Dodawanie lub usuwanie połączeń typu lokacja-lokacja usługi VPN Gateway

Ten artykuł ułatwia dodawanie lub usuwanie połączeń typu lokacja-lokacja (S2S) dla bramy sieci VPN. Możesz również dodać połączenia typu lokacja-lokacja do bramy sieci VPN, która ma już połączenie typu lokacja-lokacja, połączenie typu punkt-lokacja lub połączenie między sieciami wirtualnymi. Podczas dodawania połączeń występują pewne ograniczenia. Zapoznaj się z sekcją Wymagania wstępne w tym artykule, aby sprawdzić przed rozpoczęciem konfiguracji.

Informacje o współistniejących połączeniach usługi ExpressRoute/lokacja-lokacja

• Kroki opisane w tym artykule umożliwiają dodanie nowego połączenia sieci VPN do istniejącego połączenia usługi ExpressRoute/połączenia typu lokacja-lokacja.
• Nie można użyć kroków opisanych w tym artykule, aby skonfigurować nowe współistniejące połączenie usługi ExpressRoute/lokacja-lokacja. Aby utworzyć nowe współistniejące połączenie, zobacz: Współistniejące połączenia usługi ExpressRoute/S2S.

Wymagania wstępne

Sprawdź następujące elementy:

• Nie konfigurujesz nowego współistniejącego połączenia usługi ExpressRoute i usługi VPN Gateway typu lokacja-lokacja.
• Masz sieć wirtualną utworzoną przy użyciu modelu wdrażania usługi Resource Manager z istniejącym połączeniem.
• Brama sieci wirtualnej dla sieci wirtualnej to RouteBased. Jeśli masz bramę sieci VPN PolicyBased, musisz usunąć bramę sieci wirtualnej i utworzyć nową bramę sieci VPN jako RouteBased.
• Żaden z zakresów adresów nie nakłada się na żadną z sieci wirtualnych, z którymi łączy się ta sieć wirtualna.
• Masz zgodne urządzenie sieci VPN i osobę, która może ją skonfigurować. Zobacz artykuł About VPN Devices (Urządzenia sieci VPN — informacje). Jeśli nie dysponujesz wiedzą niezbędną do skonfigurowania urządzenia sieci VPN lub nie znasz zakresu adresów IP ujętego w konfiguracji sieci lokalnej, skontaktuj się z osobą, która może podać Ci te dane.
• Masz zewnętrzny publiczny adres IP dla urządzenia sieci VPN.

Tworzenie bramy sieci lokalnej

Utwórz bramę sieci lokalnej reprezentującą gałąź lub lokalizację, z którą chcesz nawiązać połączenie.

Brama sieci lokalnej jest konkretnym obiektem reprezentującym lokalizację lokalną (lokację) na potrzeby routingu. Nadaj lokacji nazwę, za pomocą której platforma Azure może się do niej odwoływać, a następnie określ adres IP lokalnego urządzenia sieci VPN, do którego utworzysz połączenie. Określ również prefiksy adresów IP, które będą kierowane za pośrednictwem bramy sieci VPN do urządzenia sieci VPN. Określone prefiksy adresów są prefiksami znajdującymi się w Twojej sieci lokalnej. W przypadku zmiany sieci lokalnej lub jeśli trzeba zmienić publiczny adres IP urządzenia sieci VPN, można łatwo zaktualizować wartości później.

W tym przykładzie utworzymy bramę sieci lokalnej przy użyciu następujących wartości.

• Nazwa: Site1
• Grupa zasobów: TestRG1
• Lokalizacja: Wschodnie stany USA

1. W witrynie Azure Portal w obszarze Wyszukaj zasoby, usługi i dokumenty (G+/)wprowadź bramę sieci lokalnej. Znajdź bramę sieci lokalnej w obszarze Marketplace w wynikach wyszukiwania i wybierz ją, aby otworzyć stronę Tworzenie bramy sieci lokalnej.

2. Na stronie Tworzenie bramy sieci lokalnej na karcie Podstawy określ wartości bramy sieci lokalnej.

   

   • Subskrypcja: sprawdź, czy wyświetlana jest prawidłowa subskrypcja.
   • Grupa zasobów: wybierz grupę zasobów, której chcesz użyć. Możesz utworzyć nową grupę zasobów lub wybrać grupę, która została już utworzona.
   • Region: wybierz region, w którym zostanie utworzony ten obiekt. Możesz wybrać tę samą lokalizację, w której znajduje się sieć wirtualna, ale nie musisz tego robić.
   • Nazwa: określ nazwę obiektu bramy sieci lokalnej.
   • Punkt końcowy: wybierz typ punktu końcowego dla lokalnego urządzenia sieci VPN jako adresu IP lub nazwy FQDN (w pełni kwalifikowana nazwa domeny).
     • Adres IP: jeśli masz statyczny publiczny adres IP przydzielony z dostawcy usług internetowych (ISP) dla urządzenia sieci VPN, wybierz opcję Adres IP. Wypełnij adres IP, jak pokazano w przykładzie. Ten adres to publiczny adres IP urządzenia sieci VPN, z którym ma nawiązać połączenie usługa Azure VPN Gateway. Jeśli nie masz teraz adresu IP, możesz użyć wartości przedstawionych w przykładzie. Później należy wrócić i zastąpić zastępczy adres IP publicznym adresem IP urządzenia sieci VPN. W przeciwnym razie platforma Azure nie może nawiązać połączenia.
     • Nazwa FQDN: jeśli masz dynamiczny publiczny adres IP, który może ulec zmianie po pewnym czasie, często określany przez usługodawcę internetowy, możesz użyć stałej nazwy DNS z usługą Dynamic DNS, aby wskazać bieżący publiczny adres IP urządzenia sieci VPN. Twoja brama sieci VPN platformy Azure rozpoznaje nazwę FQDN, aby określić publiczny adres IP do nawiązania połączenia.
   • Przestrzeń adresowa: Przestrzeń adresowa odnosi się do zakresów adresów sieci reprezentowanej przez tę sieć lokalną. Można dodać wiele zakresów przestrzeni adresów. Upewnij się, że określone w tym miejscu zakresy nie pokrywają się z zakresami innych sieci, z którymi chcesz się łączyć. Platforma Azure kieruje zakres adresów określony do lokalnego adresu IP urządzenia sieci VPN. Jeśli chcesz nawiązać połączenie ze swoją lokacją lokalną, podaj w tym miejscu własne wartości, a nie wartości pokazane w przykładzie.

   Uwaga

   • Usługa Azure VPN Gateway obsługuje tylko jeden adres IPv4 dla każdej nazwy FQDN. Jeśli nazwa domeny jest rozpoznawana jako wiele adresów IP, usługa VPN Gateway używa pierwszego adresu IP zwróconego przez serwery DNS. Aby wyeliminować niepewność, zalecamy, aby nazwa FQDN zawsze była rozpoznawana jako pojedynczy adres IPv4. Protokół IPv6 nie jest obsługiwany.
   • Usługa VPN Gateway utrzymuje pamięć podręczną DNS odświeżaną co 5 minut. Brama próbuje rozpoznać nazwy FQDN tylko dla rozłączonych tuneli. Zresetowanie bramy powoduje również wyzwolenie rozpoznawania nazw FQDN.
   • Mimo że usługa Azure VPN Gateway obsługuje wiele połączeń z różnymi bramami sieci lokalnej z różnymi nazwami FQDN, wszystkie nazwy FQDN muszą rozpoznawać różne adresy IP.

3. Na karcie Zaawansowane można w razie potrzeby skonfigurować ustawienia protokołu BGP.

4. Po określeniu wartości wybierz pozycję Przejrzyj i utwórz w dolnej części strony, aby zweryfikować stronę.

5. Wybierz pozycję Utwórz, aby utworzyć obiekt bramy sieci lokalnej.

Konfiguracja urządzenia sieci VPN

Połączenia typu lokacja-lokacja z siecią lokalną wymagają urządzenia sieci VPN. W tym kroku konfigurowane jest urządzenie sieci VPN. Podczas konfigurowania urządzenia sieci VPN potrzebne są następujące wartości:

• Klucz wspólny. Jest to ten sam klucz współużytkowany określony podczas tworzenia połączenia sieci VPN typu lokacja-lokacja. W naszych przykładach używamy podstawowego klucza współużytkowanego. Zalecamy, aby do użycia wygenerować bardziej złożony klucz.
• Publiczny adres IP bramy sieci wirtualnej. Publiczny adres IP można wyświetlić za pomocą witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia. Aby znaleźć publiczny adres IP bramy sieci VPN przy użyciu witryny Azure Portal, przejdź do pozycji Bramy sieci wirtualnej, a następnie wybierz nazwę bramy.

W zależności od posiadanego urządzenia sieci VPN może być możliwe pobranie skryptu konfiguracji urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Pobieranie skryptów konfiguracji urządzenia sieci VPN.

Aby uzyskać więcej informacji o konfiguracji, zobacz następujące linki:

• Aby uzyskać informacje o zgodnych urządzeniach sieci VPN, zobacz Urządzenia sieci VPN.
• Przed skonfigurowaniem urządzenia sieci VPN sprawdź wszelkie znane problemy ze zgodnością urządzeń dla urządzenia sieci VPN, którego chcesz użyć.
• Aby uzyskać linki do ustawień konfiguracji urządzenia, zobacz Zweryfikowane urządzenia sieci VPN. Linki do ustawień konfiguracji urządzeń zostały podane na zasadzie największej staranności. Zawsze najlepiej jest skontaktować się z producentem urządzenia, aby uzyskać najnowsze informacje o konfiguracji. Lista zawiera przetestowane wersje. Jeśli system operacyjny nie znajduje się na tej liście, nadal jest możliwe, że wersja jest zgodna. Zapoznaj się z producentem urządzenia, aby sprawdzić, czy wersja systemu operacyjnego dla urządzenia sieci VPN jest zgodna.
• Aby zapoznać się z omówieniem konfiguracji urządzenia sieci VPN, zobacz Omówienie konfiguracji urządzeń sieci VPN innych firm.
• Aby uzyskać informacje na temat edytowania przykładów konfiguracji urządzeń, zobacz Edytowanie przykładów.
• Aby poznać wymagania w zakresie usług kryptograficznych, zobacz artykuł About cryptographic requirements and Azure VPN gateways (Informacje dotyczące wymagań w zakresie usług kryptograficznych oraz bram VPN platformy Azure).
• Aby uzyskać informacje o parametrach protokołu IPsec/IKE, zobacz Informacje o urządzeniach sieci VPN i parametrach protokołu IPsec/IKE dla połączeń bramy sieci VPN typu lokacja-lokacja. Ten link zawiera informacje na temat wersji IKE, grupy Diffie-Hellman, metody uwierzytelniania, algorytmów szyfrowania i tworzenia skrótów, okresu istnienia programu SA, PFS i DPD, oprócz innych informacji o parametrach potrzebnych do ukończenia konfiguracji.
• Aby uzyskać instrukcje konfiguracji zasad protokołu IPsec/IKE, zobacz Konfigurowanie zasad protokołu IPsec/IKE dla połączeń sieci VPN typu lokacja-lokacja lub połączeń między sieciami wirtualnymi.
• Aby połączyć wiele urządzeń sieci VPN opartej na zasadach, zobacz Connect Azure VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Łączenie bram usługi Azure VPN Gateway z wieloma lokalnymi urządzeniami sieci VPN opartej na zasadach przy użyciu programu PowerShell).

Konfigurowanie połączenia

Utwórz połączenie sieci VPN typu lokacja-lokacja między bramą sieci wirtualnej a lokalnym urządzeniem sieci VPN.

Utwórz połączenie przy użyciu następujących wartości:

• Nazwa bramy sieci lokalnej: Site1
• nazwa Połączenie ion: VNet1toSite1
• Klucz współużytkowany: w tym przykładzie użyjemy klucza abc123. Jednak możesz użyć dowolnej wartości zgodnej ze sprzętem sieci VPN. Ważne, żeby wartości były zgodne po obu stronach połączenia.

1. Przejdź do sieci wirtualnej. Na stronie sieci wirtualnej w okienku po lewej stronie wybierz pozycję Połączenie urządzenia. Znajdź bramę sieci VPN i wybierz ją, aby ją otworzyć.

2. Na stronie bramy wybierz pozycję Połączenia.

3. W górnej części strony Połączenie ions wybierz pozycję + Dodaj, aby otworzyć stronę Tworzenie połączenia.

   

4. Na stronie Tworzenie połączenia na karcie Podstawy skonfiguruj wartości dla połączenia:

   • W obszarze Szczegóły projektu wybierz subskrypcję i grupę zasobów, w której znajdują się zasoby.

   • W obszarze Szczegóły wystąpienia skonfiguruj następujące ustawienia:

     • typ Połączenie: wybierz pozycję Lokacja-lokacja (IPSec).
     • Nazwa: nazwij połączenie.
     • Region: wybierz region dla połączenia.

5. Wybierz kartę Ustawienia i skonfiguruj następujące wartości:

   

   • Brama sieci wirtualnej: wybierz bramę sieci wirtualnej z listy rozwijanej.
   • Brama sieci lokalnej: wybierz bramę sieci lokalnej z listy rozwijanej.
   • Klucz współużytkowany: wartość musi być zgodna z wartością używaną dla lokalnego lokalnego urządzenia sieci VPN. Jeśli to pole nie jest wyświetlane na stronie portalu lub chcesz później zaktualizować ten klucz, możesz to zrobić po utworzeniu obiektu połączenia. Przejdź do utworzonego obiektu połączenia (przykładowa nazwa: VNet1toSite1) i zaktualizuj klucz na stronie Uwierzytelnianie .
   • Protokół IKE: wybierz pozycję IKEv2.
   • Użyj prywatnego adresu IP platformy Azure: nie wybieraj.
   • Włącz protokół BGP: nie wybieraj.
   • FastPath: nie wybieraj.
   • Zasady protokołu IPsec/IKE: wybierz pozycję Domyślne.
   • Użyj selektora ruchu opartego na zasadach: wybierz pozycję Wyłącz.
   • Limit czasu usługi DPD w sekundach: wybierz wartość 45.
   • tryb Połączenie ion: wybierz pozycję Domyślne. To ustawienie służy do określania, która brama może zainicjować połączenie. Aby uzyskać więcej informacji, zobacz Ustawienia usługi VPN Gateway — tryby Połączenie ion.

6. W przypadku skojarzeń reguł translatora adresów sieciowych pozostaw wybraną wartość ruchu przychodzącego i wychodzącegojako 0.

7. Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować ustawienia połączenia.

8. Wybierz Utwór, aby utworzyć łącznik.

9. Po zakończeniu wdrażania można wyświetlić połączenie na stronie Połączenie ions bramy sieci wirtualnej. Stan zmieni się z Nieznany na Połączenie, a następnie na Powodzenie.

Wyświetlanie i weryfikowanie połączenia sieci VPN

W witrynie Azure Portal możesz wyświetlić stan połączenia bramy sieci VPN, przechodząc do połączenia. Poniższe kroki pokazują jeden ze sposobów przejścia do połączenia i zweryfikowania.

1. W menu witryny Azure Portal wybierz pozycję Wszystkie zasoby lub wyszukaj i wybierz pozycję Wszystkie zasoby na dowolnej stronie.
2. Wybierz bramę sieci wirtualnej.
3. W okienku bramy sieci wirtualnej wybierz pozycję Połączenie ions. Zostanie pokazany stan każdego połączenia.
4. Wybierz nazwę połączenia, które chcesz zweryfikować, aby otworzyć podstawowe elementy. W okienku Podstawy możesz wyświetlić więcej informacji o połączeniu. Stan to Powodzenie i Połączenie po pomyślnym nawiązaniu połączenia.

Usuwanie połączenia

1. W portalu przejdź do strony Połączenie ions bramy sieci VPN.
2. Kliknij połączenie, które chcesz usunąć. Spowoduje to otwarcie strony połączenia.
3. Kliknij przycisk Usuń, aby usunąć połączenie.

Następne kroki

Aby uzyskać więcej informacji na temat konfiguracji bramy sieci VPN typu lokacja-lokacja, zobacz Samouczek: konfigurowanie konfiguracji bramy sieci VPN typu lokacja-lokacja.