Gelijktijdige ExpressRoute- en site-to-site-verbindingen configureren (klassiek)
In dit artikel leest u hoe u ExpressRoute- en site-naar-site-VPN-verbindingen configureert die naast elkaar kunnen worden gebruikt. De mogelijkheid om site-naar-site-VPN en ExpressRoute te configureren heeft verschillende voordelen. U kunt site-naar-site-VPN configureren als een beveiligd failoverpad voor ExpressRoute of site-naar-site-VPN's gebruiken om verbinding te maken met sites die niet zijn verbonden via ExpressRoute. In dit artikel gaan we in op de stappen voor het configureren van beide scenario's. Dit artikel is van toepassing op het klassieke implementatiemodel. Deze configuratie is niet beschikbaar in de portal.
Belangrijk
Vanaf 1 maart 2017 kunt u geen nieuwe ExpressRoute-circuits meer maken in het klassieke implementatiemodel.
- U kunt een bestaand ExpressRoute-circuit van het klassieke implementatiemodel naar het Resource Manager-implementatiemodel verplaatsen zonder onderbreking van de connectiviteit. Zie Een bestaand circuit verplaatsen voor meer informatie.
- U kunt verbinding maken met virtuele netwerken in het klassieke implementatiemodel door allowClassicOperations in te stellen op TRUE.
Gebruik de volgende koppelingen om ExpressRoute-circuits in het implementatiemodel van Resource Manager te maken en beheren:
-
Create and manage ExpressRoute circuits (ExpressRoute-circuits maken en beheren)
- Routering (peering) configureren voor ExpressRoute-circuits
Over Azure-implementatiemodellen
Azure werkt momenteel in combinatie met twee implementatiemodellen: Resource Manager en klassiek. De twee modellen zijn niet volledig compatibel met elkaar. Voordat u begint, moet u bepalen met welk model u wilt werken. Zie Implementatiemodellen begrijpen voor meer informatie over de implementatiemodellen. Als u niet bekend bent met Azure, raden we u aan het Resource Manager-implementatiemodel te gebruiken.
Belangrijk
Een ExpressRoute-circuit moet vooraf zijn geconfigureerd voordat u de instructies in dit artikel volgt. Zorg ervoor dat u de handleidingen hebt gevolgd om een ExpressRoute-circuit te maken en routering te configureren voordat u doorgaat.
Limieten en beperkingen
- Transitroutering wordt niet ondersteund. U kunt (via Azure) niet routeren tussen uw lokale netwerk dat is verbonden via site-naar-site-VPN en uw lokale netwerk dat is verbonden via ExpressRoute.
- Punt-naar-site wordt niet ondersteund. U kunt geen punt-naar-site-VPN-verbindingen inschakelen naar het hetzelfde VNet dat is verbonden met ExpressRoute. Punt-naar-site-VPN en ExpressRoute kunnen niet naast elkaar bestaan voor hetzelfde VNet.
- Geforceerde tunneling kan niet worden ingeschakeld op de site-naar-site VPN-gateway. U kunt alle internetverkeer alleen via ExpressRoute terug naar uw on-premises netwerk ‘forceren’.
- Basic SKU-gateway wordt niet ondersteund. U moet een niet-basic SKU-gateway gebruiken voor zowel de ExpressRoute gateway als de VPN-gateway.
- Alleen een op route gebaseerde VPN-gateway wordt ondersteund. U moet een op route gebaseerde VPN-gateway gebruiken.
- Statische route moet worden geconfigureerd voor de VPN-gateway. Als uw lokale netwerk is verbonden met ExpressRoute en een site-naar-site-VPN, moet u in uw lokale netwerk een statische route hebben geconfigureerd voor het routeren van de site-naar-site-VPN-verbinding met het openbare internet.
Configuratie-ontwerpen
Een site-naar-site-VPN configureren als een failoverpad voor ExpressRoute
U kunt een site-naar-site-VPN-verbinding configureren als een back-up voor ExpressRoute. Deze instelling is alleen van toepassing op virtuele netwerken die zijn gekoppeld aan het persoonlijke Azure-peeringpad. Er is geen op VPN gebaseerde failoveroplossing voor services die toegankelijk zijn via openbare Azure- en Microsoft-peerings. Het ExpressRoute-circuit is altijd de primaire koppeling. Gegevens stromen alleen door het site-naar-site-VPN-pad als het ExpressRoute-circuit uitvalt.
Notitie
Hoewel een ExpressRoute-circuit de voorkeur heeft boven site-naar-site-VPN wanneer beide routes hetzelfde zijn, gebruikt Azure de langste voorvoegselovereenkomst om de route naar de bestemming van het pakket te kiezen.
Een site-naar-site-VPN configureren om verbinding te maken met sites die niet zijn verbonden via ExpressRoute
U kunt uw netwerk zodanig configureren dat sommige sites rechtstreeks verbinding maken met Azure via site-naar-site-VPN en sommige sites verbinding maken via ExpressRoute.
Notitie
U kunt een virtueel netwerk niet configureren als transitrouter.
De stappen selecteren die u gaat gebruiken
Er zijn twee sets met procedures waaruit u kunt kiezen om verbindingen te configureren die naast elkaar kunnen worden gebruikt. Welke configuratieprocedure u selecteert, is afhankelijk van het gegeven of u een nieuw virtueel netwerk wilt maken of een bestaand virtueel netwerk hebt waarmee u verbinding wilt maken.
Ik heb geen VNet en moet er een maken.
Als u nog geen virtueel netwerk hebt, begeleidt deze procedure u bij het maken van een nieuw virtueel netwerk met behulp van het klassieke implementatiemodel en het maken van nieuwe ExpressRoute- en site-naar-site-VPN-verbindingen. Volg voor de configuratie de stappen in het gedeelte Een nieuw virtueel netwerk en naast elkaar bestaande verbindingen maken in dit artikel.
Ik heb al een VNet met het klassieke implementatiemodel.
Mogelijk hebt u al een virtueel netwerk met een bestaande site-naar-site-VPN-verbinding of ExpressRoute-verbinding. In de artikelsectie Naast elkaar bestaande verbindingen configureren voor een bestaand VNet wordt u begeleid bij het verwijderen van de gateway en het maken van nieuwe ExpressRoute- en site-naar-site-VPN-verbindingen. Wanneer u nieuwe verbindingen maakt, moeten de stappen in een specifieke volgorde worden uitgevoerd. Gebruik geen instructies uit andere artikelen om uw gateways en verbindingen te maken.
In deze procedure moet u uw gateway verwijderen en vervolgens nieuwe gateways configureren om verbindingen te maken die naast elkaar kunnen worden gebruikt. U ondervindt downtime voor uw cross-premises verbindingen terwijl u uw gateway en verbindingen verwijdert en opnieuw maakt, maar u hoeft uw VM's of services niet te migreren naar een nieuw virtueel netwerk. Uw VM's en services kunnen nog steeds communiceren via de load balancer terwijl u uw gateway configureert als ze hiervoor zijn geconfigureerd.
PowerShell-cmdlets installeren
Installeer de nieuwste versie van de Azure SM (Service Management) PowerShell-modules en de Azure ExpressRoute-module. U kunt de Azure CloudShell-omgeving niet gebruiken om SM-modules uit te voeren.
Volg de instructies in het artikel De Service Management-module installeren artikel voor het installeren van de Azure Service Management-module. Als de Az- of RM-module al is geïnstalleerd, gebruikt u -AllowClobber.
Importeer de geïnstalleerde modules. Wanneer u het volgende voorbeeld gebruikt, past u het pad aan de locatie en versie van de geïnstalleerde PowerShell-modules aan.
Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1' Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'
Als u zich wilt aanmelden bij uw Azure-account, opent u de PowerShell-console met verhoogde rechten en maakt u verbinding met uw account. Gebruik het volgende voorbeeld om verbinding te maken met behulp van de Service Management-module:
Add-AzureAccount
Een nieuw virtueel netwerk en naast elkaar bestaande verbindingen maken
Deze procedure begeleidt u bij het maken van een VNet en maakt site-naar-site- en ExpressRoute-verbindingen die naast elkaar bestaan.
U moet de nieuwste versie van de Azure PowerShell-cmdlets installeren. De cmdlets die u voor deze configuratie gebruikt, kunnen enigszins afwijken van de cmdlets waarmee u bekend bent. Zorg ervoor dat u de cmdlets gebruikt die in deze instructies worden vermeld.
Maak een schema voor het virtuele netwerk. Zie Azure Virtual Network-configuratieschema voor meer informatie over het configuratieschema.
Wanneer u uw schema maakt, moet u de volgende waarden gebruiken:
- Het gatewaysubnet voor het virtuele netwerk moet /27 of een korter voorvoegsel (zoals /26 of /25) zijn.
- Het verbindingstype van de gateway is Toegewezen.
<VirtualNetworkSite name="MyAzureVNET" Location="Central US"> <AddressSpace> <AddressPrefix>10.17.159.192/26</AddressPrefix> </AddressSpace> <Subnets> <Subnet name="Subnet-1"> <AddressPrefix>10.17.159.192/27</AddressPrefix> </Subnet> <Subnet name="GatewaySubnet"> <AddressPrefix>10.17.159.224/27</AddressPrefix> /Subnet> </Subnets> <Gateway> <ConnectionsToLocalNetwork> <LocalNetworkSiteRef name="MyLocalNetwork"> <Connection type="Dedicated" /> </LocalNetworkSiteRef> </ConnectionsToLocalNetwork> </Gateway> </VirtualNetworkSite>
Nadat u het XML-schemabestand hebt gemaakt en geconfigureerd, uploadt u het bestand om uw virtuele netwerk te maken.
Gebruik de volgende cmdlet voor het uploaden van het bestand en vervang de waarde door uw eigen waarde.
Set-AzureVNetConfig -ConfigurationPath 'C:\NetworkConfig.xml'
Maak een ExpressRoute-gateway. Zorg ervoor dat u de GatewaySKU opgeeft als Standard, HighPerformance of UltraPerformance en het GatewayType als DynamicRouting.
Gebruik het volgende voorbeeld, waarbij u de waarden vervangt door uw eigen waarden.
New-AzureVNetGateway -VNetName MyAzureVNET -GatewayType DynamicRouting -GatewaySKU HighPerformance
Koppel de ExpressRoute-gateway aan het ExpressRoute-circuit. Nadat deze stap is voltooid, wordt de verbinding tussen uw on-premises netwerk en Azure tot stand gebracht via ExpressRoute.
New-AzureDedicatedCircuitLink -ServiceKey <service-key> -VNetName MyAzureVNET
Maak vervolgens uw site-naar-site-VPN-gateway. De GatewaySKU moet zijn ingesteld op Standard, HighPerformance of UltraPerformance en het GatewayType op DynamicRouting.
New-AzureVirtualNetworkGateway -VNetName MyAzureVNET -GatewayName S2SVPN -GatewayType DynamicRouting -GatewaySKU HighPerformance
Gebruik de cmdlet
Get-AzureVirtualNetworkGateway
om de instellingen van de gateway van het virtuele netwerk op te halen, waaronder de gateway-ID en het openbare IP-adres.Get-AzureVirtualNetworkGateway GatewayId : 348ae011-ffa9-4add-b530-7cb30010565e GatewayName : S2SVPN LastEventData : GatewayType : DynamicRouting LastEventTimeStamp : 5/29/2015 4:41:41 PM LastEventMessage : Successfully created a gateway for the following virtual network: GNSDesMoines LastEventID : 23002 State : Provisioned VIPAddress : 104.43.x.y DefaultSite : GatewaySKU : HighPerformance Location : VnetId : 979aabcf-e47f-4136-ab9b-b4780c1e1bd5 SubnetId : EnableBgp : False OperationDescription : Get-AzureVirtualNetworkGateway OperationId : 42773656-85e1-a6b6-8705-35473f1e6f6a OperationStatus : Succeeded
Maak een lokaal exemplaar van de VPN-gateway van uw site. Deze opdracht wordt niet gebruikt om uw on-premises VPN-gateway te configureren. Met deze opdracht kunt u de instellingen voor de lokale gateway opgeven, zoals het openbare IP-adres en de on-premises-adresruimte, zodat de Azure VPN-gateway er verbinding mee kan maken.
Belangrijk
De lokale site voor de site-naar-site-VPN-verbinding is niet gedefinieerd in de netcfg. In plaats daarvan moet u deze cmdlet gebruiken om de parameters van de lokale site op te geven. U kunt deze niet definiëren met de portal of het netcfg-bestand.
Gebruik het volgende voorbeeld, waarbij u de waarden vervangt door uw eigen waarden.
New-AzureLocalNetworkGateway -GatewayName MyLocalNetwork -IpAddress <MyLocalGatewayIp> -AddressSpace <MyLocalNetworkAddress>
Notitie
Als uw lokale netwerk meerdere routes heeft, kunt u ze doorgeven als een matrix. $MyLocalNetworkAddress = @('10.1.2.0/24', '10.1.3.0/24', '10.2.1.0/24')
Gebruik de cmdlet
Get-AzureVirtualNetworkGateway
om de instellingen van de gateway van het virtuele netwerk op te halen, waaronder de gateway-ID en het openbare IP-adres. Zie het volgende voorbeeldGet-AzureLocalNetworkGateway GatewayId : 532cb428-8c8c-4596-9a4f-7ae3a9fcd01b GatewayName : MyLocalNetwork IpAddress : 23.39.x.y AddressSpace : {10.1.2.0/24} OperationDescription : Get-AzureLocalNetworkGateway OperationId : ddc4bfae-502c-adc7-bd7d-1efbc00b3fe5 OperationStatus : Succeeded
Configureer het lokale VPN-apparaat om verbinding te maken met de nieuwe gateway. Gebruik de informatie die u in stap 6 bij de configuratie van uw VPN-apparaat hebt opgehaald. Zie VPN-apparaatconfiguratie voor meer informatie over het configureren van een VPN-apparaat.
Koppel de site-naar-site-VPN-gateway in Azure aan de lokale gateway.
In dit voorbeeld is connectedEntityId de lokale gateway-ID. Deze kunt u vinden door
Get-AzureLocalNetworkGateway
uit te voeren. U kunt virtualNetworkGatewayId vinden met behulp van de cmdletGet-AzureVirtualNetworkGateway
. Na deze stap wordt de verbinding tussen uw lokale netwerk en Azure tot stand gebracht via de site-naar-site-VPN-verbinding.New-AzureVirtualNetworkGatewayConnection -connectedEntityId <local-network-gateway-id> -gatewayConnectionName Azure2Local -gatewayConnectionType IPsec -sharedKey abc123 -virtualNetworkGatewayId <azure-s2s-vpn-gateway-id>
Naast elkaar bestaande verbindingen configureren voor een bestaand VNet
Als u een bestaand virtueel netwerk hebt, controleert u de grootte van het gatewaysubnet. Als het gatewaysubnet /28 of /29 is, moet u eerst de gateway van het virtuele netwerk verwijderen en het gatewaysubnet vergroten. In de stappen in dit gedeelte wordt beschreven hoe u dat doet.
Als het gatewaysubnet /27 of groter is en het virtuele netwerk is verbonden via ExpressRoute, kunt u deze stappen overslaan en doorgaan met 'Stap 6- Een site-naar-site-VPN-gateway maken' in de vorige sectie.
Notitie
Als u de bestaande gateway verwijdert terwijl u bezig bent met deze configuratie, wordt de verbinding tussen uw lokale site en uw virtuele netwerk verbroken.
U moet de nieuwste versie van de Azure Resource Manager PowerShell-cmdlets installeren. De cmdlets die u voor deze configuratie gebruikt, kunnen enigszins afwijken van de cmdlets waarmee u bekend bent. Zorg ervoor dat u de cmdlets gebruikt die in deze instructies worden vermeld.
Verwijder de bestaande ExpressRoute- of site-naar-site-VPN-gateway. Gebruik de volgende cmdlet, waarbij u de waarden vervangt door uw eigen waarden.
Remove-AzureVNetGateway –VnetName MyAzureVNET
Exporteer het schema van het virtuele netwerk. Gebruik de volgende PowerShell-cmdlet, waarbij u de waarden vervangt door uw eigen waarden.
Get-AzureVNetConfig –ExportToFile "C:\NetworkConfig.xml"
Bewerk het schema van het netwerkconfiguratiebestand zodanig dat het gatewaysubnet /27 of een kortere voorvoegsel (zoals /26 of /25) is. Zie het volgende voorbeeld
Notitie
Als u in uw virtuele netwerk niet voldoende IP-adressen over hebt om het gatewaysubnet te vergroten, moet u meer IP-adresruimte toevoegen. Zie Azure Virtual Network-configuratieschema voor meer informatie over het configuratieschema.
<Subnet name="GatewaySubnet"> <AddressPrefix>10.17.159.224/27</AddressPrefix> </Subnet>
Als uw vorige gateway een site-naar-site-VPN was, moet u ook het verbindingstype wijzigen in Toegewezen.
<Gateway> <ConnectionsToLocalNetwork> <LocalNetworkSiteRef name="MyLocalNetwork"> <Connection type="Dedicated" /> </LocalNetworkSiteRef> </ConnectionsToLocalNetwork> </Gateway>
U hebt op dit moment een VNet zonder gateways. Als u nieuwe gateways wilt maken en uw verbindingen wilt voltooien, kunt u doorgaan met Stap 4 - Een ExpressRoute-gateway maken. Deze stap vindt u in de voorgaande reeks stappen.
Volgende stappen
Zie de Veelgestelde vragen over ExpressRoute voor meer informatie over ExpressRoute