Łączenie bramy sieci VPN (bramy sieci wirtualnej) z usługą Virtual WAN

Ten artykuł ułatwia skonfigurowanie łączności z usługi Azure VPN Gateway (bramy sieci wirtualnej) do usługi Azure Virtual WAN (bramy sieci VPN). Tworzenie połączenia z bramy sieci VPN (bramy sieci wirtualnej) do wirtualnej sieci WAN (bramy VPN) jest podobne do konfigurowania łączności z wirtualną siecią WAN dla oddziałowych lokalizacji VPN.

Aby zminimalizować możliwe zamieszanie między dwiema funkcjami, rozpoczniemy od bramy nazwą funkcji, do której się odwołujemy. Na przykład brama sieci wirtualnej dla VPN Gateway oraz brama VPN dla Virtual WAN.

Zanim rozpoczniesz

Przed rozpoczęciem utwórz następujące zasoby:

Azure Virtual WAN

• Utwórz wirtualną sieć WAN.
• Utwórz centrum.
• Utwórz bramę VPN S2S skonfigurowaną w węźle.

Sieć wirtualna (dla bramy sieci wirtualnej)

• Utwórz sieć wirtualną bez żadnych bram sieci wirtualnych. Ta sieć wirtualna zostanie skonfigurowana z bramą sieci wirtualnej w trybie aktywnym/aktywnym w kolejnych krokach. Sprawdź, czy żadna z podsieci sieci lokalnych nie nakłada się na sieci wirtualne, z którymi chcesz się połączyć.

1. Konfigurowanie bramy sieci wirtualnej usługi VPN Gateway

W tej sekcji utworzysz bramę VPN Gateway w trybie aktywny-aktywny dla swojej sieci wirtualnej. Podczas tworzenia bramy można użyć istniejących publicznych adresów IP dla dwóch wystąpień bramy lub utworzyć nowe publiczne adresy IP. Będziesz używać tych publicznych adresów IP podczas konfigurowania witryn sieciowych Virtual WAN.

1. Utwórz bramę sieci wirtualnej typu VPN Gateway w trybie aktywny-aktywny dla swojej sieci wirtualnej. Aby uzyskać więcej informacji na temat bram sieci VPN typu active-active i kroków konfiguracji, zobacz Konfigurowanie bram sieci VPN typu active-active. Podczas tworzenia bramy sieci wirtualnej należy pamiętać o następujących ustawieniach:

   • Tryb aktywny-aktywny — upewnij się, że wybrano tryb Aktywny-aktywny . To ustawienie jest wymagane, aby brama sieci wirtualnej usługi VPN Gateway łączyła się z usługą Virtual WAN.
   • BGP — na stronie Konfiguracja bramy sieci wirtualnej możesz (opcjonalnie) wybrać pozycję Konfiguruj protokół BGP. Jeśli skonfigurujesz protokół BGP, zmień numer ASN z wartości domyślnej wyświetlanej w portalu. W przypadku tej konfiguracji nazwa ASN protokołu BGP nie może być 65515. Usługa 65515 będzie używana przez usługę Azure Virtual WAN.
   • Publiczne adresy IP — bramy sieci wirtualnej w trybie aktywny-aktywny bramy sieci VPN są przypisywane dwa publiczne adresy IP. Po utworzeniu gateway’a, aby wyświetlić oba publiczne adresy IP, przejdź do strony Właściwości (a nie strony Omówienie).

2. Utwórz witryny sieci VPN usługi Virtual WAN

W tej sekcji utworzysz dwie witryny VPN Virtual WAN, które odpowiadają bramom sieci wirtualnej utworzonym w poprzedniej sekcji.

1. Na stronie Usługi Virtual WAN przejdź do lokalizacji VPN.

2. Na stronie Lokacje sieci VPN wybierz pozycję +Utwórz lokację.

3. Na stronie Tworzenie lokacji sieci VPN na karcie Podstawy wypełnij następujące pola:

   • Region: ten sam region co brama sieci wirtualnej usługi Azure VPN Gateway.
   • Nazwa: Przykład: Site1
   • Dostawca urządzenia: Nazwa dostawcy urządzenia sieci VPN (na przykład Citrix, Cisco, Barracuda). Dodanie dostawcy urządzenia może pomóc zespołowi platformy Azure lepiej zrozumieć środowisko i dodać nowe możliwości optymalizacji w przyszłości. Może też ułatwić Ci rozwiązywanie problemów.
   • Prywatna przestrzeń adresowa: wprowadź wartość lub pozostaw wartość pustą po włączeniu protokołu BGP.

4. Wybierz pozycję >, aby przejść do strony Linki.

5. Na stronie Linki wypełnij następujące pola:

   • Nazwa łącza: Nazwa, którą chcesz podać dla łącza fizycznego w lokacji sieci VPN. Przykład: Link1.
   • Szybkość łącza: Jest to szybkość urządzenia sieci VPN w lokalizacji gałęzi. Przykład: 50, co oznacza, że szybkość urządzenia sieci VPN w lokalizacji gałęzi to 50 Mb/s.
   • Nazwa dostawcy łącza: Nazwa łącza fizycznego w lokacji sieci VPN. Przykład: ATT, Verizon.
   • Podaj adres IP — wprowadź adres IP. W przypadku tej konfiguracji jest ona taka sama jak pierwszy publiczny adres IP wyświetlany we właściwościach bramy sieci wirtualnej (VPN Gateway).
   • Adres protokołu BGP i ASN — Muszą one być zgodne z jednym z adresów IP partnerów BGP i numerem ASN z bramy sieci wirtualnej usługi VPN Gateway skonfigurowanej w Step 1.

6. Po zakończeniu wypełniania pól wybierz pozycję Przejrzyj i utwórz w celu weryfikacji. Wybierz Utwórz, aby utworzyć witrynę.

7. Powtórz poprzednie kroki, aby utworzyć drugą lokalizację, dopasowując ją do drugiego wystąpienia bramy sieci wirtualnej VPN Gateway. Zachowasz te same ustawienia, z wyjątkiem użycia drugiego publicznego adresu IP i drugiego adresu IP równorzędnego BGP z konfiguracji bramy VPN.

8. Obecnie masz dwie witryny pomyślnie ukończone.

3. Podłącz strony do koncentratora wirtualnego

Następnie połącz obie witryny z koncentratorem wirtualnym, wykonując następujące kroki. Aby uzyskać więcej informacji na temat łączenia witryn, zobacz Łączenie witryn sieci VPN z wirtualnym koncentratorem.

1. Na stronie Virtual WAN przejdź do pozycji Koncentratory.

2. Na stronie Huby kliknij na hub, który utworzyłeś.

3. Na stronie utworzonego centrum z lewego panelu wybierz pozycję VPN (punkt-punkt).

4. Na stronie Sieć VPN (Lokacja-lokacja ) powinny być wyświetlone lokacje. Jeśli tego nie zrobisz, może być konieczne kliknięcie bąbelka Skojarzenie centrum:x , aby wyczyścić filtry i wyświetlić witrynę.

5. Zaznacz pole wyboru obok nazwy obu witryn (nie klikaj bezpośrednio nazwy witryny), a następnie kliknij pozycję Połącz witryny VPN.

6. Na stronie Łączenie witryn skonfiguruj ustawienia. Pamiętaj, aby zanotować wartość używanego wstępnie uzgodnionego klucza. Zostanie on użyty ponownie w dalszej części ćwiczenia podczas tworzenia połączeń.

7. W dolnej części strony wybierz pozycję Połącz. Aktualizowanie modułu z ustawieniami strony zajmuje krótką chwilę.

4. Pobieranie plików konfiguracji sieci VPN

W tej sekcji pobierzesz plik konfiguracji sieci VPN dla lokacji utworzonych w poprzedniej sekcji.

1. Na stronie z usługą Virtual WAN przejdź do witryn VPN.
2. Na stronie Lokacje VPN, na górze strony wybierz opcję "Pobierz konfigurację Site-to-Site VPN" i pobierz plik. Platforma Azure tworzy plik konfiguracji z niezbędnymi wartościami używanymi do konfigurowania bram sieci lokalnej w następnej sekcji.

5. Tworzenie bram sieci lokalnej

W tej sekcji utworzysz dwie bramy sieci lokalnej usługi Azure VPN Gateway. Pliki konfiguracji z poprzedniego kroku zawierają ustawienia konfiguracji bramy. Użyj tych ustawień, aby utworzyć i skonfigurować bramy sieci lokalnej usługi Azure VPN Gateway.

1. Utwórz bramę sieci lokalnej przy użyciu tych ustawień. Aby uzyskać informacje o sposobie tworzenia bramy sieci lokalnej usługi VPN Gateway, zobacz artykuł Vpn Gateway Create a local network gateway (Tworzenie bramy sieci lokalnej).

   • Adres IP — użyj adresu IP Instance0, który jest pokazany dla konfiguracji bramki z pliku konfiguracyjnego.
   • BGP — jeśli połączenie jest za pośrednictwem protokołu BGP, wybierz pozycję Konfiguruj ustawienia protokołu BGP i wprowadź numer ASN "65515". Wprowadź adres IP peera BGP. Użyj 'Instance0 BgpPeeringAddresses' dla gatewayconfiguration z pliku konfiguracyjnego.
   • Przestrzeń adresowa — jeśli połączenie nie jest za pośrednictwem protokołu BGP, upewnij się, że ustawienia protokołu BGP pozostają niezaznaczone. Wprowadź przestrzenie adresowe, które będą reklamowane z bramy sieci wirtualnej. Można dodać wiele zakresów przestrzeni adresów. Upewnij się, że określone w tym miejscu zakresy nie pokrywają się z zakresami innych sieci, z którymi chcesz się łączyć.
   • Subskrypcja, grupa zasobów i lokalizacja — są one takie same jak w przypadku koncentratora usługi Virtual WAN.

2. Przejrzyj i utwórz bramę sieci lokalnej. Brama sieci lokalnej powinna wyglądać podobnie do tego przykładu.

   

3. Powtórz te kroki, aby utworzyć kolejną bramę sieci lokalnej, ale tym razem użyj wartości "Instance1" zamiast wartości "Instance0" z pliku konfiguracji.

   

Ważne

Podczas konfigurowania protokołu BGP za pośrednictwem połączenia IPsec z publicznym adresem IP, który nie jest publicznym adresem IP bramy wirtualnej sieci WAN ze zdalnym ASN "65515", wdrożenie lokalnej bramy sieciowej nie powiedzie się, ponieważ ASN "65515" jest udokumentowanym zarezerwowanym ASN. Jednak gdy brama sieci lokalnej odczytuje publiczny adres IP wirtualnej sieci WAN ze zdalnym ASN '65515', platforma znosi to ograniczenie.

6. Tworzenie połączeń

W tej sekcji utworzysz połączenie między bramami sieci lokalnej usługi VPN Gateway i bramą sieci wirtualnej. Aby uzyskać instrukcje dotyczące tworzenia połączenia bramy sieci VPN, zobacz Konfigurowanie połączenia.

1. W portalu przejdź do bramy sieci wirtualnej i wybierz pozycję Połączenia. W górnej części strony Połączenia wybierz pozycję +Dodaj, aby otworzyć stronę Dodaj połączenie.

2. Na stronie Dodawanie połączenia skonfiguruj następujące wartości dla połączenia:

   • Nazwa: nazwij połączenie.
   • Typ połączenia: Wybierz pozycję Lokacja-lokacja (IPsec)
   • Brama sieci wirtualnej: wartość jest stała, ponieważ nawiązujesz połączenie z tej bramy.
   • Brama sieci lokalnej: To połączenie łączy bramę sieci wirtualnej z bramą sieci lokalnej. Wybierz jedną z utworzonych wcześniej bram sieci lokalnej.
   • Klucz wspólny: wprowadź klucz wspólny z wcześniejszej wersji.
   • Protokół IKE: wybierz protokół IKE.

3. Wybierz przycisk OK , aby utworzyć połączenie.

4. Połączenie będzie widoczne na stronie Połączenia bramy sieci wirtualnej.

5. Powtórz powyższe kroki, aby utworzyć drugie połączenie. W przypadku drugiego połączenia wybierz drugą utworzoną bramę sieci lokalnej.

6. Jeśli połączenia są za pośrednictwem protokołu BGP, po utworzeniu połączeń przejdź do połączenia i wybierz pozycję Konfiguracja. Na stronie Konfiguracja w polu BGP wybierz pozycję Włączone. Następnie wybierz pozycję Zapisz.

7. Powtórz dla drugiego połączenia.

7. Testowanie połączeń

Łączność można przetestować, tworząc dwie maszyny wirtualne, jedną po stronie bramy sieci wirtualnej usługi VPN Gateway, a drugą w sieci wirtualnej dla usługi Virtual WAN, a następnie wysyłając polecenie ping do dwóch maszyn wirtualnych.

1. Utwórz maszynę wirtualną w sieci wirtualnej (Test1-VNet) dla usługi Azure VPN Gateway (Test1-VNG). Nie twórz maszyny wirtualnej w podsieci GatewaySubnet.

2. Utwórz inną sieć wirtualną, aby nawiązać połączenie z wirtualną siecią WAN. Utwórz maszynę wirtualną w podsieci tej sieci wirtualnej. Ta sieć wirtualna nie może zawierać żadnych bram sieci wirtualnych. Sieć wirtualną można szybko utworzyć, wykonując kroki programu PowerShell w artykule dotyczącym połączenia sieć-sieć. Pamiętaj, aby zmienić wartości przed uruchomieniem poleceń cmdlet.

3. Połącz sieć wirtualną z węzłem sieci WAN Virtualnej. Na stronie wirtualnej sieci WAN wybierz pozycję Połączenia sieci wirtualnej, a następnie pozycję +Dodaj połączenie. Na stronie Dodaj połączenie wypełnij następujące pola:

   • Nazwa połączenia — nazwij połączenie.
   • Huby — wybierz hub, z którym chcesz skojarzyć to połączenie.
   • Subskrypcja — sprawdź, czy wybrano właściwą subskrypcję.
   • Sieć wirtualna — wybierz sieć wirtualną, którą zamierzasz połączyć z tym węzłem. Sieć wirtualna nie może mieć już istniejącej bramy sieci wirtualnej.

4. Wybierz przycisk OK , aby utworzyć połączenie sieci wirtualnej.

5. Łączność jest teraz ustawiana między maszynami wirtualnymi. Powinno być możliwe pingowanie jednej maszyny wirtualnej z drugiej, chyba że istnieją zapory sieciowe lub inne polityki blokujące komunikację.

Następne kroki

• Aby uzyskać więcej informacji na temat sieci VPN typu lokacja-lokacja usługi Virtual WAN, zobacz Samouczek: sieć VPN typu lokacja-lokacja usługi Virtual WAN.
• Aby uzyskać więcej informacji na temat ustawień aktywnej-aktywnej bramy VPN Gateway, zobacz Konfiguracje aktywne-aktywne bramy VPN Gateway.