Łączenie VPN Gateway (bramy sieci wirtualnej) z Virtual WAN

Ten artykuł ułatwia skonfigurowanie łączności z usługi Azure VPN Gateway (bramy sieci wirtualnej) do usługi Azure Virtual WAN (bramy sieci VPN). Tworzenie połączenia z VPN Gateway (bramy sieci wirtualnej) do Virtual WAN (bramy sieci VPN) jest podobne do konfigurowania łączności z wirtualną siecią WAN z lokacji sieci VPN gałęzi.

Aby zminimalizować możliwe zamieszanie między dwiema funkcjami, poprzemy bramę nazwą funkcji, do której się odwołujemy. Na przykład VPN Gateway bramę sieci wirtualnej i bramę sieci VPN Virtual WAN.

Zanim rozpoczniesz

Przed rozpoczęciem utwórz następujące zasoby:

Azure Virtual WAN

• Utwórz wirtualną sieć WAN.
• Utwórz koncentrator.
• Utwórz bramę sieci VPN S2S skonfigurowaną w koncentratonie.

Virtual Network (dla bramy sieci wirtualnej)

• Utwórz sieć wirtualną bez żadnych bram sieci wirtualnej. Ta sieć wirtualna zostanie skonfigurowana z bramą aktywnej/aktywnej sieci wirtualnej w kolejnych krokach. Sprawdź, czy żadna z podsieci sieci lokalnych nie nakłada się na sieci wirtualne, z którymi chcesz się połączyć.

1. Konfigurowanie bramy sieci wirtualnej VPN Gateway

W tej sekcji utworzysz bramę sieci wirtualnej VPN Gateway w trybie aktywny-aktywny dla sieci wirtualnej. Podczas tworzenia bramy można użyć istniejących publicznych adresów IP dla dwóch wystąpień bramy lub utworzyć nowe publiczne adresy IP. Te publiczne adresy IP będą używane podczas konfigurowania witryn Virtual WAN.

1. Utwórz bramę sieci wirtualnej VPN Gateway w trybie aktywny-aktywny dla sieci wirtualnej. Aby uzyskać więcej informacji na temat bram sieci VPN aktywne-aktywne i kroki konfiguracji, zobacz Konfigurowanie bram sieci VPN aktywne-aktywne.

2. W poniższych sekcjach przedstawiono przykładowe ustawienia bramy sieci wirtualnej.

   • Ustawienie trybu aktywne-aktywne — na stronie Konfiguracja bramy sieci wirtualnej upewnij się, że jest włączony tryb aktywny-aktywny .

     

   • Ustawienie protokołu BGP — na stronie Konfiguracja bramy sieci wirtualnej możesz (opcjonalnie) wybrać pozycję Konfiguruj nazwę ASN protokołu BGP. Jeśli skonfigurujesz protokół BGP, zmień numer ASN z wartości domyślnej wyświetlanej w portalu. W przypadku tej konfiguracji nazwa ASN protokołu BGP nie może być 65515. Usługa Azure Virtual WAN będzie używana przez usługę 65515.

     

   • Publiczne adresy IP — po utworzeniu bramy przejdź do strony Właściwości . Właściwości i ustawienia konfiguracji będą podobne do poniższego przykładu. Zwróć uwagę na dwa publiczne adresy IP używane dla bramy.

     

2. Tworzenie Virtual WAN lokacji sieci VPN

W tej sekcji utworzysz dwie lokacje sieci VPN Virtual WAN odpowiadające bramom sieci wirtualnej utworzonym w poprzedniej sekcji.

1. Na stronie Virtual WAN przejdź do witryn sieci VPN.

2. Na stronie Lokacje sieci VPN wybierz pozycję +Utwórz lokację.

3. Na stronie Tworzenie lokacji sieci VPN na karcie Podstawy wypełnij następujące pola:

   • Region: ten sam region co brama sieci wirtualnej usługi Azure VPN Gateway.
   • Nazwa: Przykład: Site1
   • Dostawca urządzenia: nazwa dostawcy urządzenia sieci VPN (na przykład Citrix, Cisco, Barracuda). Dodanie dostawcy urządzenia może pomóc zespołowi platformy Azure lepiej zrozumieć środowisko i dodać nowe możliwości optymalizacji w przyszłości. Może też ułatwić Ci rozwiązywanie problemów.
   • Prywatna przestrzeń adresowa: wprowadź wartość lub pozostaw wartość pustą po włączeniu protokołu BGP.

4. Wybierz pozycję Dalej: Łącza> , aby przejść do strony Linki .

5. Na stronie Linki wypełnij następujące pola:

   • Nazwa łącza: nazwa, którą chcesz podać dla linku fizycznego w lokacji sieci VPN. Przykład: Link1.
   • Szybkość połączenia: jest to szybkość urządzenia sieci VPN w lokalizacji gałęzi. Przykład: 50, co oznacza, że szybkość urządzenia sieci VPN w lokalizacji gałęzi to 50 Mb/s.
   • Nazwa dostawcy łączy: nazwa łącza fizycznego w lokacji sieci VPN. Przykład: ATT, Verizon.
   • Połącz adres IP — wprowadź adres IP. W przypadku tej konfiguracji jest ona taka sama jak pierwszy publiczny adres IP wyświetlany we właściwościach bramy sieci wirtualnej (VPN Gateway).
   • Adres protokołu BGP i numer ASN — muszą one być takie same jak jeden z adresów IP elementu równorzędnego BGP i numer ASN z bramy sieci wirtualnej VPN Gateway skonfigurowanej w kroku 1.

6. Po zakończeniu wypełniania pól wybierz pozycję Przejrzyj i utwórz w celu weryfikacji. Wybierz pozycję Utwórz, aby utworzyć lokację.

7. Powtórz poprzednie kroki, aby utworzyć drugą lokację, aby dopasować je do drugiego wystąpienia bramy sieci wirtualnej VPN Gateway. Zachowasz te same ustawienia, z wyjątkiem używania drugiego publicznego adresu IP i drugiego adresu IP elementu równorzędnego protokołu BGP z konfiguracji VPN Gateway.

8. Masz teraz dwie witryny, które zostały pomyślnie aprowidowane.

3. Łączenie lokacji z koncentratorem wirtualnym

Następnie połącz obie lokacje z koncentratorem wirtualnym, wykonując następujące kroki. Aby uzyskać więcej informacji na temat łączenia lokacji, zobacz Łączenie lokacji sieci VPN z koncentratorem wirtualnym.

1. Na stronie Virtual WAN przejdź do pozycji Koncentratory.

2. Na stronie Koncentratory kliknij utworzone centrum.

3. Na stronie utworzonego centrum w okienku po lewej stronie wybierz pozycję VPN (lokacja-lokacja).

4. Na stronie Sieć VPN (lokacja-lokacja) powinny być widoczne witryny. Jeśli nie, może być konieczne kliknięcie bąbelka Skojarzenie centrum:x , aby wyczyścić filtry i wyświetlić witrynę.

5. Zaznacz pole wyboru obok nazwy obu witryn (nie klikaj bezpośrednio nazwy lokacji), a następnie kliknij pozycję Połącz lokacje sieci VPN.

6. Na stronie Łączenie witryn skonfiguruj ustawienia. Pamiętaj, aby zanotować używaną wartość klucza wstępnego . Zostanie on użyty ponownie w dalszej części ćwiczenia podczas tworzenia połączeń.

7. W dolnej części strony wybierz pozycję Połącz. Aktualizowanie centrum przy użyciu ustawień lokacji zajmuje trochę czasu.

4. Pobieranie plików konfiguracji sieci VPN

W tej sekcji pobierzesz plik konfiguracji sieci VPN dla lokacji utworzonych w poprzedniej sekcji.

1. Na stronie Virtual WAN przejdź do witryn sieci VPN.

2. Na stronie Lokacje sieci VPN w górnej części strony wybierz pozycję Pobierz konfigurację sieci VPN typu lokacja-lokacja i pobierz plik. Platforma Azure tworzy plik konfiguracji z niezbędnymi wartościami używanymi do konfigurowania bram sieci lokalnej w następnej sekcji.

   

5. Tworzenie bram sieci lokalnej

W tej sekcji utworzysz dwie bramy sieci lokalnej usługi Azure VPN Gateway. Pliki konfiguracji z poprzedniego kroku zawierają ustawienia konfiguracji bramy. Użyj tych ustawień, aby utworzyć i skonfigurować bramy sieci lokalnej usługi Azure VPN Gateway.

1. Utwórz bramę sieci lokalnej przy użyciu tych ustawień. Aby uzyskać informacje na temat tworzenia bramy sieci lokalnej VPN Gateway, zobacz artykuł VPN Gateway Create a local network gateway (Tworzenie bramy sieci lokalnej).

   • Adres IP — użyj adresu IP wystąpienia0 wyświetlanego dla konfiguracji bramy z pliku konfiguracji.
   • BGP — jeśli połączenie jest za pośrednictwem protokołu BGP, wybierz pozycję Konfiguruj ustawienia protokołu BGP i wprowadź numer ASN "65515". Wprowadź adres IP elementu równorzędnego BGP. Użyj polecenia "Instance0 BgpPeeringAddresses" dla konfiguracji bramy z pliku konfiguracji.
   • Przestrzeń adresowa — jeśli połączenie nie jest za pośrednictwem protokołu BGP, upewnij się, że ustawienie Konfiguruj ustawienia protokołu BGP pozostaje niezaznaczone. Wprowadź przestrzenie adresowe, które będą anonsowane po stronie bramy sieci wirtualnej. Można dodać wiele zakresów przestrzeni adresów. Upewnij się, że określone w tym miejscu zakresy nie nakładają się na zakresy innych sieci, z którymi chcesz się połączyć.
   • Subskrypcja, grupa zasobów i lokalizacja — są one takie same jak w przypadku centrum Virtual WAN.

2. Przejrzyj i utwórz bramę sieci lokalnej. Brama sieci lokalnej powinna wyglądać podobnie do tego przykładu.

   

3. Powtórz te kroki, aby utworzyć kolejną bramę sieci lokalnej, ale tym razem użyj wartości "Instance1" zamiast wartości "Instance0" z pliku konfiguracji.

   

Ważne

Należy pamiętać, że podczas konfigurowania połączenia BGP za pośrednictwem protokołu IPsec z publicznym adresem IP, który nie jest publicznym adresem IP bramy vWAN z zdalnym adresem ASN "65515", wdrożenie bramy sieci lokalnej zakończy się niepowodzeniem, ponieważ asN "65515" jest udokumentowanym zastrzeżonym adresem ASN, jak pokazano w artykule What Autonomous Systems Can I use (Co autonomiczne systemy mogą używać). Jednak gdy brama sieci lokalnej odczytuje publiczny adres vWAN z zdalną nazwą ASN "65515", to ograniczenie zostanie zniesione przez platformę.

6. Tworzenie połączeń

W tej sekcji utworzysz połączenie między bramami sieci lokalnej VPN Gateway a bramą sieci wirtualnej. Aby uzyskać instrukcje dotyczące tworzenia połączenia VPN Gateway, zobacz Konfigurowanie połączenia.

1. W portalu przejdź do bramy sieci wirtualnej i wybierz pozycję Połączenia. W górnej części strony Połączenia wybierz pozycję +Dodaj , aby otworzyć stronę Dodaj połączenie .

2. Na stronie Dodawanie połączenia skonfiguruj następujące wartości dla połączenia:

   • Nazwa: nazwij połączenie.
   • Typ połączenia: Wybierz pozycję Lokacja-lokacja (IPSec)
   • Brama sieci wirtualnej: Ta wartość jest stała, ponieważ łączysz się z tej bramy.
   • Brama sieci lokalnej: To połączenie spowoduje połączenie bramy sieci wirtualnej z bramą sieci lokalnej. Wybierz jedną z utworzonych wcześniej bram sieci lokalnych.
   • Klucz wspólny: Wprowadź klucz wspólny z wcześniejszej wersji.
   • Protokół IKE: Wybierz protokół IKE.

3. Wybierz przycisk OK , aby utworzyć połączenie.

4. Połączenie będzie widoczne na stronie Połączenia bramy sieci wirtualnej.

5. Powtórz powyższe kroki, aby utworzyć drugie połączenie. W przypadku drugiego połączenia wybierz drugą utworzoną bramę sieci lokalnej.

6. Jeśli połączenia są za pośrednictwem protokołu BGP, po utworzeniu połączeń przejdź do połączenia i wybierz pozycję Konfiguracja. Na stronie Konfiguracja w polu BGP wybierz pozycję Włączone. Następnie wybierz pozycję Zapisz.

7. Powtórz dla drugiego połączenia.

7. Testowanie połączeń

Możesz przetestować łączność, tworząc dwie maszyny wirtualne, jedną po stronie bramy VPN Gateway sieci wirtualnej, a drugą w sieci wirtualnej dla Virtual WAN, a następnie wyślij polecenie ping do dwóch maszyn wirtualnych.

1. Utwórz maszynę wirtualną w sieci wirtualnej (Test1-VNet) dla usługi Azure VPN Gateway (Test1-VNG). Nie twórz maszyny wirtualnej w podsieci GatewaySubnet.

2. Utwórz inną sieć wirtualną, aby nawiązać połączenie z wirtualną siecią WAN. Utwórz maszynę wirtualną w podsieci tej sieci wirtualnej. Ta sieć wirtualna nie może zawierać żadnych bram sieci wirtualnych. Sieć wirtualną można szybko utworzyć, wykonując kroki programu PowerShell w artykule dotyczącym połączenia lokacja-lokacja . Pamiętaj, aby zmienić wartości przed uruchomieniem poleceń cmdlet.

3. Połącz sieć wirtualną z centrum Virtual WAN. Na stronie wirtualnej sieci WAN wybierz pozycję Połączenia sieci wirtualnej, a następnie pozycję +Dodaj połączenie. Na stronie Dodaj połączenie wypełnij następujące pola:

   • Nazwa połączenia — nazwij połączenie.
   • Koncentratory — wybierz koncentrator, z którym chcesz skojarzyć to połączenie.
   • Subskrypcja — sprawdź, czy wybrano właściwą subskrypcję.
   • Sieć wirtualna — wybierz sieć wirtualną, którą chcesz połączyć z tym koncentratorem. Sieć wirtualna nie może mieć jeszcze istniejącej bramy sieci wirtualnej.

4. Wybierz przycisk OK , aby utworzyć połączenie sieci wirtualnej.

5. Łączność jest teraz ustawiana między maszynami wirtualnymi. Należy wysłać polecenie ping do jednej maszyny wirtualnej z drugiej, chyba że istnieją zapory lub inne zasady blokujące komunikację.

Następne kroki

• Aby uzyskać więcej informacji na temat Virtual WAN sieci VPN typu lokacja-lokacja, zobacz Samouczek: Virtual WAN sieci VPN typu lokacja-lokacja.
• Aby uzyskać więcej informacji na temat ustawień bramy VPN Gateway active-active, zobacz VPN Gateway konfiguracji active-active-active.