Udostępnij za pośrednictwem


Samouczek: tworzenie połączenia sieci VPN typu lokacja-lokacja w witrynie Azure Portal

W tym samouczku użyjesz witryny Azure Portal do utworzenia połączenia bramy sieci VPN typu lokacja-lokacja (S2S) między siecią lokalną a siecią wirtualną. Tę konfigurację można również utworzyć przy użyciu programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Diagram przedstawiający połączenia między lokalizacjami bramy sieci VPN typu lokacja-lokacja.

W tym samouczku zostały wykonane następujące czynności:

  • Utwórz sieć prywatną.
  • Utwórz bramę sieci VPN.
  • Utwórz bramę sieci lokalnej.
  • Utwórz połączenie sieci VPN.
  • Zweryfikuj połączenie.
  • Nawiązywanie połączenia z maszyną wirtualną.

Wymagania wstępne

  • Potrzebujesz konta platformy Azure z aktywną subskrypcją. Jeśli nie masz konta, możesz je utworzyć teraz za darmo.

  • Jeśli nie znasz zakresów adresów IP znajdujących się w konfiguracji sieci lokalnej, musisz koordynować pracę z osobą, która może podać te szczegóły. Podczas tworzenia tej konfiguracji należy określić prefiksy zakresu adresów IP, które platforma Azure kieruje do lokalizacji lokalnej. Żadna z podsieci sieci lokalnej nie może nakładać się na podsieci sieci wirtualnej, z którymi chcesz nawiązać połączenie.

  • Urządzenia sieci VPN:

    • Upewnij się, że masz zgodne urządzenie sieci VPN i osobę, która może ją skonfigurować. Aby uzyskać więcej informacji na temat zgodnych urządzeń sieci VPN i konfiguracji urządzeń, zobacz About VPN devices (Informacje o urządzeniach sieci VPN).
    • Sprawdź, czy masz dostępny zewnętrznie publiczny adres IPv4 urządzenia sieci VPN.
    • Sprawdź, czy urządzenie sieci VPN obsługuje bramy trybu aktywne-aktywne. W tym artykule jest tworzona brama sieci VPN w trybie aktywny-aktywny, która jest zalecana w przypadku łączności o wysokiej dostępności. Tryb aktywny-aktywny określa, że oba wystąpienia maszyn wirtualnych bramy są aktywne i używają dwóch publicznych adresów IP, po jednym dla każdego wystąpienia maszyny wirtualnej bramy. Urządzenie sieci VPN należy skonfigurować tak, aby łączyło się z adresem IP dla każdego wystąpienia maszyny wirtualnej bramy. Jeśli urządzenie sieci VPN nie obsługuje tego trybu, nie włączaj tego trybu dla bramy. Aby uzyskać więcej informacji, zobacz Projektowanie łączności o wysokiej dostępności dla połączeń między lokalizacjami i sieciami wirtualnymi oraz Informacje o bramach sieci VPN w trybie aktywny-aktywny.

Tworzenie sieci wirtualnej

W tej sekcji utworzysz sieć wirtualną przy użyciu następujących wartości:

  • Grupa zasobów: TestRG1
  • Nazwa: VNet1
  • Region: (USA) Wschodnie stany USA
  • Przestrzeń adresowa IPv4: 10.1.0.0/16
  • Nazwa podsieci: FrontEnd
  • Przestrzeń adresowa podsieci:

Uwaga

Jeśli używasz sieci wirtualnej w ramach architektury obejmującej wiele lokalizacji, pamiętaj, aby koordynować pracę z administratorem sieci lokalnej, aby wyrzucić zakres adresów IP, którego można używać specjalnie dla tej sieci wirtualnej. Jeśli po obu stronach połączenia sieci VPN będzie istnieć powielony zakres adresów, ruch będzie przekierowywany w nieoczekiwany sposób. Ponadto, jeśli chcesz połączyć tę sieć wirtualną z inną siecią wirtualną, przestrzeń adresowa nie może nakładać się na inną sieć wirtualną. Dlatego należy odpowiednio zaplanować konfigurację sieci.

  1. Zaloguj się w witrynie Azure Portal.

  2. W obszarze Wyszukaj zasoby, usługę i dokumenty (G+/) w górnej części strony portalu wprowadź wartość sieć wirtualna. Wybierz pozycję Sieć wirtualna w wynikach wyszukiwania witryny Marketplace, aby otworzyć stronę Sieć wirtualna.

  3. Na stronie Sieć wirtualna wybierz pozycję Utwórz, aby otworzyć stronę Tworzenie sieci wirtualnej.

  4. Na karcie Podstawowe skonfiguruj ustawienia sieci wirtualnej dla szczegółów projektu i szczegółów wystąpienia. Po zweryfikowaniu wprowadzonych wartości zostanie wyświetlony zielony znacznik wyboru. Wartości wyświetlane w przykładzie można dostosować zgodnie z wymaganymi ustawieniami.

    Zrzut ekranu przedstawiający kartę Podstawowe.

    • Subskrypcja: Sprawdź, czy jest wyświetlana prawidłowa subskrypcja. Subskrypcje można zmienić przy użyciu pola listy rozwijanej.
    • Grupa zasobów: wybierz istniejącą grupę zasobów lub wybierz pozycję Utwórz nową , aby utworzyć nową. Aby uzyskać więcej informacji na temat grup zasobów, zobacz Omówienie usługi Azure Resource Manager.
    • Nazwa: Wprowadź nazwę sieci wirtualnej.
    • Region: wybierz lokalizację sieci wirtualnej. Lokalizacja określa, gdzie będą znajdować się zasoby wdrażane w tej sieci wirtualnej.
  5. Wybierz pozycję Dalej lub Zabezpieczenia, aby przejść do karty Zabezpieczenia. W tym ćwiczeniu pozostaw wartości domyślne dla wszystkich usług na tej stronie.

  6. Wybierz pozycję Adresy IP, aby przejść do karty Adresy IP. Na karcie Adresy IP skonfiguruj ustawienia.

    • Przestrzeń adresowa IPv4: domyślnie tworzona jest automatycznie przestrzeń adresowa. Możesz wybrać przestrzeń adresową i dostosować ją tak, aby odzwierciedlała własne wartości. Możesz również dodać inną przestrzeń adresową i usunąć wartość domyślną, która została utworzona automatycznie. Można na przykład określić adres początkowy jako 10.1.0.0 i określić rozmiar przestrzeni adresowej jako /16. Następnie wybierz pozycję Dodaj , aby dodać tę przestrzeń adresową.

    • + Dodaj podsieć: jeśli używasz domyślnej przestrzeni adresowej, domyślna podsieć zostanie utworzona automatycznie. Jeśli zmienisz przestrzeń adresową, dodaj nową podsieć w tej przestrzeni adresowej. Wybierz pozycję + Dodaj podsieć, aby otworzyć okno Dodawanie podsieci. Skonfiguruj następujące ustawienia, a następnie wybierz pozycję Dodaj w dolnej części strony, aby dodać wartości.

      • Nazwa podsieci: przykładem jest FrontEnd.
      • Zakres adresów podsieci: zakres adresów dla tej podsieci. Przykłady to 10.1.0.0 i /24.
  7. Przejrzyj stronę Adresy IP i usuń wszystkie przestrzenie adresowe lub podsieci, których nie potrzebujesz.

  8. Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować ustawienia sieci wirtualnej.

  9. Po zweryfikowaniu ustawień wybierz pozycję Utwórz , aby utworzyć sieć wirtualną.

Po utworzeniu sieci wirtualnej możesz opcjonalnie skonfigurować usługę Azure DDoS Protection. Usługa Azure DDoS Protection jest prosta do włączenia w dowolnej nowej lub istniejącej sieci wirtualnej i nie wymaga żadnych zmian aplikacji ani zasobów. Aby uzyskać więcej informacji na temat usługi Azure DDoS Protection, zobacz Co to jest usługa Azure DDoS Protection?.

Tworzenie podsieci bramy

Brama sieci wirtualnej wymaga określonej podsieci o nazwie GatewaySubnet. Podsieć bramy jest częścią zakresu adresów IP sieci wirtualnej i zawiera adresy IP używane przez zasoby i usługi bramy sieci wirtualnej.

Podczas tworzenia podsieci bramy należy określić liczbę zawartych w niej adresów IP. Liczba potrzebnych adresów IP zależy od konfiguracji bramy sieci VPN, którą chce się utworzyć. Niektóre konfiguracje wymagają większej liczby adresów IP niż inne. Najlepiej określić /27 lub większą (/26, /25 itp.) dla podsieci bramy.

  1. Na stronie sieci wirtualnej w okienku po lewej stronie wybierz pozycję Podsieci, aby otworzyć stronę Podsieci.
  2. W górnej części strony wybierz pozycję + Podsieć bramy, aby otworzyć okienko Dodaj podsieć .
  3. Nazwa jest automatycznie wprowadzana jako GatewaySubnet. W razie potrzeby dostosuj wartość zakresu adresów IP. Przykładem jest 10.1.255.0/27.
  4. Nie dopasuj innych wartości na stronie. Wybierz pozycję Zapisz w dolnej części strony, aby zapisać podsieć.

Ważne

Sieciowe grupy zabezpieczeń w podsieci bramy nie są obsługiwane. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci wirtualnej (vpn i bramy usługi ExpressRoute) przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz What is a Network Security Group? (Co to jest sieciowa grupa zabezpieczeń?)

Tworzenie bramy sieci VPN

W tym kroku utworzysz bramę sieci wirtualnej (bramę sieci VPN) dla sieci wirtualnej. Tworzenie bramy często może trwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy.

Tworzenie bramy sieci VPN

Utwórz bramę sieci wirtualnej (bramę sieci VPN) przy użyciu następujących wartości:

  • Nazwa: VNet1GW
  • Typ bramy: VPN
  • Jednostka SKU: VpnGw2AZ
  • Generacja: Generacja 2
  • Sieć wirtualna: VNet1
  • Zakres adresów podsieci bramy: 10.1.255.0/27
  • Publiczny adres IP: utwórz nowy
  • Nazwa publicznego adresu IP: VNet1GWpip1
  • Jednostka SKU publicznego adresu IP: Standardowa
  • Przypisanie: statyczne
  • Druga nazwa publicznego adresu IP: VNet1GWpip2
  • Włącz tryb aktywny-aktywny: włączone
  • Konfigurowanie protokołu BGP: wyłączone
  1. W obszarze Wyszukaj zasoby, usługi i dokumenty (G+/)wprowadź bramę sieci wirtualnej. Znajdź bramę sieci wirtualnej w wynikach wyszukiwania witryny Marketplace i wybierz ją, aby otworzyć stronę Tworzenie bramy sieci wirtualnej.

  2. Na karcie Podstawy wypełnij wartości szczegółów projektu i szczegółów wystąpienia.

    Zrzut ekranu przedstawiający pola Wystąpienie.

    • Subskrypcja: wybierz subskrypcję, której chcesz użyć z listy rozwijanej.

    • Grupa zasobów: ta wartość jest wypełniana automatycznie po wybraniu sieci wirtualnej na tej stronie.

    • Nazwa: jest to nazwa tworzonego obiektu bramy. Różni się to od podsieci bramy, do której zostaną wdrożone zasoby bramy.

    • Region: wybierz region, w którym chcesz utworzyć ten zasób. Region bramy musi być taki sam jak sieć wirtualna.

    • Typ bramy: Wybierz pozycję Sieć VPN. Bramy sieci VPN używają typu bramy sieci wirtualnej Sieć VPN.

    • Jednostka SKU: z listy rozwijanej wybierz jednostkę SKU bramy, która obsługuje funkcje, których chcesz użyć. Aby uzyskać więcej informacji na temat jednostek SKU, zobacz Jednostki SKU bramy. Aby zamiast tego skonfigurować bramę jednostki SKU w warstwie Podstawowa, zobacz kroki programu PowerShell .

    • Generacja: wybierz pozycję Generacja2 z listy rozwijanej.

    • Sieć wirtualna: z listy rozwijanej wybierz sieć wirtualną, do której chcesz dodać tę bramę. Jeśli nie widzisz sieci wirtualnej, której chcesz użyć, upewnij się, że wybrano poprawną subskrypcję i region w poprzednich ustawieniach.

    • Zakres adresów podsieci bramy lub podsieć: podsieć bramy jest wymagana do utworzenia bramy sieci VPN.

      Obecnie to pole może wyświetlać różne opcje ustawień w zależności od przestrzeni adresowej sieci wirtualnej i tego, czy utworzono już podsieć o nazwie GatewaySubnet dla sieci wirtualnej.

      Jeśli nie masz podsieci bramy i nie widzisz opcji jej utworzenia na tej stronie, wróć do sieci wirtualnej i utwórz podsieć bramy. Następnie wróć do tej strony i skonfiguruj bramę sieci VPN.

  1. Określ wartości dla publicznego adresu IP. Te ustawienia określają obiekty publicznego adresu IP, które będą skojarzone z bramą sieci VPN. Publiczny adres IP jest przypisywany do każdego obiektu publicznego adresu IP podczas tworzenia bramy sieci VPN. Jedyną zmianą przypisanego publicznego adresu IP jest usunięcie i ponowne utworzenie bramy. Adresy IP nie zmieniają się w przypadku zmiany rozmiaru, resetowania ani innych wewnętrznych konserwacji/uaktualnień bramy sieci VPN.

    Zrzut ekranu przedstawiający pole Publiczny adres IP.

    • Typ publicznego adresu IP: jeśli ta opcja zostanie wyświetlona, wybierz pozycję Standardowa.

    • Publiczny adres IP: pozostaw zaznaczoną opcję Utwórz nową .

    • Nazwa publicznego adresu IP: w polu tekstowym wprowadź nazwę wystąpienia publicznego adresu IP.

    • Jednostka SKU publicznego adresu IP: ustawienie jest automatycznie wybierane na jednostkę SKU w warstwie Standardowa.

    • Przypisanie: przypisanie jest zwykle wybierane automatycznie i powinno być statyczne.

    • Strefa dostępności: wybierz strefę nadmiarową, chyba że chcesz określić strefę.

    • Włącz tryb aktywny-aktywny: wybierz pozycję Włączone. Spowoduje to utworzenie konfiguracji bramy aktywne-aktywne .

    • Drugi publiczny adres IP: wybierz pozycję Utwórz nowy.

    • Nazwa publicznego adresu IP: w polu tekstowym wprowadź nazwę wystąpienia publicznego adresu IP.

    • Jednostka SKU publicznego adresu IP: ustawienie jest automatycznie wybierane na jednostkę SKU w warstwie Standardowa.

    • Strefa dostępności: wybierz strefę nadmiarową, chyba że chcesz określić strefę.

    • Skonfiguruj protokół BGP: wybierz pozycję Wyłączone, chyba że konfiguracja wymaga tego ustawienia. Jeśli to ustawienie jest wymagane, domyślna nazwa ASN to 65515, chociaż tę wartość można zmienić.

  2. Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację.

  3. Po zakończeniu walidacji wybierz pozycję Utwórz , aby wdrożyć bramę sieci VPN.

Tworzenie i wdrażanie bramy może potrwać co najmniej 45 minut. Stan wdrożenia można zobaczyć na stronie Przegląd bramy.

Ważne

Sieciowe grupy zabezpieczeń w podsieci bramy nie są obsługiwane. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci wirtualnej (vpn i bramy usługi ExpressRoute) przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz What is a Network Security Group? (Co to jest sieciowa grupa zabezpieczeń?)

Wyświetlanie publicznego adresu IP

Aby wyświetlić adres IP skojarzony z każdym wystąpieniem maszyny wirtualnej bramy sieci wirtualnej, przejdź do bramy sieci wirtualnej w portalu.

  1. Przejdź do strony Właściwości bramy sieci wirtualnej (a nie na stronie Przegląd). Może być konieczne rozwinięcie obszaru Ustawienia , aby wyświetlić stronę Właściwości na liście.
  2. Jeśli brama jest w trybie aktywny-pasywny, zobaczysz tylko jeden adres IP. Jeśli brama jest w trybie aktywny-aktywny, zobaczysz na liście dwa publiczne adresy IP, po jednym dla każdego wystąpienia maszyny wirtualnej bramy. Podczas tworzenia połączenia lokacja-lokacja należy określić każdy adres IP podczas konfigurowania urządzenia sieci VPN, ponieważ obie maszyny wirtualne bramy są aktywne.
  3. Aby wyświetlić więcej informacji o obiekcie adresu IP, kliknij skojarzony link adresu IP.

Tworzenie bramy sieci lokalnej

Brama sieci lokalnej jest określonym obiektem wdrożonym na platformie Azure, który reprezentuje lokalizację lokalną (lokację) na potrzeby routingu. Nadaj lokacji nazwę, za pomocą której platforma Azure może się do niej odwoływać, a następnie określ adres IP lokalnego urządzenia sieci VPN, do którego utworzysz połączenie. Należy również określić prefiksy adresów IP, które są kierowane przez bramę sieci VPN do urządzenia sieci VPN. Określone prefiksy adresów są prefiksami znajdującymi się w Twojej sieci lokalnej. W przypadku zmiany sieci lokalnej lub jeśli trzeba zmienić publiczny adres IP urządzenia sieci VPN, można łatwo zaktualizować wartości później. Dla każdego urządzenia sieci VPN, z którym chcesz nawiązać połączenie, należy utworzyć oddzielną bramę sieci lokalnej. Niektóre projekty łączności o wysokiej dostępności określają wiele lokalnych urządzeń sieci VPN.

Utwórz bramę sieci lokalnej przy użyciu następujących wartości:

  • Nazwa: Site1
  • Grupa zasobów: TestRG1
  • Lokalizacja: Wschodnie stany USA

Zagadnienia dotyczące konfiguracji:

  • Usługa VPN Gateway obsługuje tylko jeden adres IPv4 dla każdej nazwy FQDN. Jeśli nazwa domeny jest rozpoznawana jako wiele adresów IP, usługa VPN Gateway używa pierwszego adresu IP zwróconego przez serwery DNS. Aby wyeliminować niepewność, zalecamy, aby nazwa FQDN zawsze była rozpoznawana jako pojedynczy adres IPv4. Protokół IPv6 nie jest obsługiwany.
  • Usługa VPN Gateway utrzymuje pamięć podręczną DNS odświeżaną co 5 minut. Brama próbuje rozpoznać nazwy FQDN tylko dla rozłączonych tuneli. Zresetowanie bramy powoduje również wyzwolenie rozpoznawania nazw FQDN.
  • Mimo że usługa VPN Gateway obsługuje wiele połączeń z różnymi bramami sieci lokalnej z różnymi nazwami FQDN, wszystkie nazwy FQDN muszą rozpoznawać różne adresy IP.
  1. W portalu przejdź do pozycji Bramy sieci lokalnej i otwórz stronę Tworzenie bramy sieci lokalnej.

  2. W karcie Podstawowe określ wartości bramy sieci lokalnej.

    Zrzut ekranu przedstawiający tworzenie bramy sieci lokalnej z adresem IP.

    • Subskrypcja: sprawdź, czy wyświetlana jest prawidłowa subskrypcja.
    • Grupa zasobów: wybierz grupę zasobów, której chcesz użyć. Możesz utworzyć nową grupę zasobów lub wybrać grupę, która została już utworzona.
    • Region: wybierz region dla tego obiektu. Możesz wybrać tę samą lokalizację, w której znajduje się sieć wirtualna, ale nie musisz tego robić.
    • Nazwa: określ nazwę obiektu bramy sieci lokalnej.
    • Punkt końcowy: wybierz typ punktu końcowego dla lokalnego urządzenia sieci VPN jako adresu IP lub nazwy FQDN (w pełni kwalifikowana nazwa domeny).
      • Adres IP: jeśli masz statyczny publiczny adres IP przydzielony z dostawcy usług internetowych (ISP) dla urządzenia sieci VPN, wybierz opcję Adres IP. Wypełnij adres IP, jak pokazano w przykładzie. Ten adres to publiczny adres IP urządzenia sieci VPN, z którym ma nawiązać połączenie usługa Azure VPN Gateway. Jeśli nie masz teraz adresu IP, możesz użyć wartości przedstawionych w przykładzie. Później należy wrócić i zastąpić zastępczy adres IP publicznym adresem IP urządzenia sieci VPN. W przeciwnym razie platforma Azure nie może nawiązać połączenia.
      • Nazwa FQDN: jeśli masz dynamiczny publiczny adres IP, który może ulec zmianie po pewnym czasie, często określany przez usługodawcę internetowy, możesz użyć stałej nazwy DNS z usługą Dynamic DNS, aby wskazać bieżący publiczny adres IP urządzenia sieci VPN. Twoja brama sieci VPN platformy Azure rozpoznaje nazwę FQDN, aby określić publiczny adres IP do nawiązania połączenia.
    • Przestrzeń adresowa: Przestrzeń adresowa odnosi się do zakresów adresów sieci reprezentowanej przez tę sieć lokalną. Można dodać wiele zakresów przestrzeni adresów. Upewnij się, że określone w tym miejscu zakresy nie pokrywają się z zakresami innych sieci, z którymi chcesz się łączyć. Platforma Azure kieruje zakres adresów określony do lokalnego adresu IP urządzenia sieci VPN. Jeśli chcesz nawiązać połączenie ze swoją lokacją lokalną, podaj w tym miejscu własne wartości, a nie wartości pokazane w przykładzie.
  3. Na karcie Zaawansowane można w razie potrzeby skonfigurować ustawienia protokołu BGP.

  4. Po określeniu wartości wybierz pozycję Przejrzyj i utwórz w dolnej części strony, aby zweryfikować stronę.

  5. Wybierz pozycję Utwórz, aby utworzyć obiekt bramy sieci lokalnej.

Konfiguracja urządzenia sieci VPN

Połączenia typu lokacja-lokacja z siecią lokalną wymagają urządzenia sieci VPN. W tym kroku konfigurowane jest urządzenie sieci VPN. Podczas konfigurowania urządzenia sieci VPN potrzebne są następujące wartości:

  • Klucz współużytkowany: ten klucz współużytkowany jest taki sam, który określa się podczas tworzenia połączenia sieci VPN typu lokacja-lokacja. W naszych przykładach używamy prostego klucza wspólnego. Zalecamy, aby do użycia wygenerować bardziej złożony klucz.
  • Publiczne adresy IP wystąpień bramy sieci wirtualnej: uzyskaj adres IP dla każdego wystąpienia maszyny wirtualnej. Jeśli brama jest w trybie aktywny-aktywny, będziesz mieć adres IP dla każdego wystąpienia maszyny wirtualnej bramy. Pamiętaj, aby skonfigurować urządzenie przy użyciu obu adresów IP, po jednym dla każdej aktywnej maszyny wirtualnej bramy. Bramy trybu wstrzymania aktywnego mają tylko jeden adres IP.

Uwaga

W przypadku połączeń typu lokacja-lokacja z bramą sieci VPN w trybie aktywny-aktywny upewnij się, że tunele są ustanawiane dla każdego wystąpienia maszyny wirtualnej bramy. Jeśli ustanowić tunel tylko do jednego wystąpienia maszyny wirtualnej bramy, połączenie spadnie podczas konserwacji. Jeśli urządzenie sieci VPN nie obsługuje tej konfiguracji, skonfiguruj bramę pod kątem trybu wstrzymania aktywnego.

W zależności od posiadanego urządzenia sieci VPN może być możliwe pobranie skryptu konfiguracji urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Pobieranie skryptów konfiguracji urządzenia sieci VPN.

Aby uzyskać więcej informacji o konfiguracji, zobacz następujące linki:

Tworzenie połączeń sieci VPN

Utwórz połączenie sieci VPN typu lokacja-lokacja między bramą sieci wirtualnej a lokalnym urządzeniem sieci VPN. Jeśli używasz bramy trybu aktywne-aktywne (zalecane), każde wystąpienie maszyny wirtualnej bramy ma oddzielny adres IP. Aby prawidłowo skonfigurować łączność o wysokiej dostępności, należy ustanowić tunel między każdym wystąpieniem maszyny wirtualnej a urządzeniem sieci VPN. Oba tunele są częścią tego samego połączenia.

Utwórz połączenie przy użyciu następujących wartości:

  • Nazwa bramy sieci lokalnej: Site1
  • Nazwa połączenia: VNet1toSite1
  • Klucz wspólny: w tym przykładzie użyto abc123. Można jednak użyć dowolnego sprzętu sieci VPN. Ważne, żeby wartości były zgodne po obu stronach połączenia.
  1. W portalu przejdź do bramy sieci wirtualnej i otwórz ją.

  2. Na stronie bramy wybierz pozycję Połączenia.

  3. W górnej części strony Połączenia wybierz pozycję + Dodaj , aby otworzyć stronę Tworzenie połączenia .

    Zrzut ekranu przedstawiający stronę Podstawowe.

  4. Na stronie Tworzenie połączenia na karcie Podstawy skonfiguruj wartości dla połączenia:

    • W obszarze Szczegóły projektu wybierz subskrypcję i grupę zasobów, w której znajdują się zasoby.

    • W obszarze Szczegóły wystąpienia skonfiguruj następujące ustawienia:

      • Typ połączenia: wybierz pozycję Lokacja-lokacja (IPSec).
      • Nazwa: nazwij połączenie.
      • Region: wybierz region dla połączenia.
  5. Wybierz kartę Ustawienia i skonfiguruj następujące wartości:

    Zrzut ekranu przedstawiający stronę Ustawienia.

    • Brama sieci wirtualnej: wybierz bramę sieci wirtualnej z listy rozwijanej.
    • Brama sieci lokalnej: wybierz bramę sieci lokalnej z listy rozwijanej.
    • Klucz współużytkowany: wartość musi być zgodna z wartością używaną dla lokalnego lokalnego urządzenia sieci VPN. Jeśli to pole nie jest wyświetlane na stronie portalu lub chcesz później zaktualizować ten klucz, możesz to zrobić po utworzeniu obiektu połączenia. Przejdź do utworzonego obiektu połączenia (przykładowa nazwa: VNet1toSite1) i zaktualizuj klucz na stronie Uwierzytelnianie .
    • Protokół IKE: wybierz pozycję IKEv2.
    • Użyj prywatnego adresu IP platformy Azure: nie wybieraj.
    • Włącz protokół BGP: nie wybieraj.
    • FastPath: nie wybieraj.
    • Zasady protokołu IPsec/IKE: wybierz pozycję Domyślne.
    • Użyj selektora ruchu opartego na zasadach: wybierz pozycję Wyłącz.
    • Limit czasu usługi DPD w sekundach: wybierz wartość 45.
    • Tryb połączenia: wybierz pozycję Domyślne. To ustawienie służy do określania, która brama może zainicjować połączenie. Aby uzyskać więcej informacji, zobacz Ustawienia bramy sieci VPN — tryby połączenia.
  6. W przypadku skojarzeń reguł translatora adresów sieciowych pozostaw wybraną wartość ruchu przychodzącego i wychodzącego jako 0.

  7. Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować ustawienia połączenia.

  8. Wybierz Utwór, aby utworzyć łącznik.

  9. Po zakończeniu wdrażania można wyświetlić połączenie na stronie Połączenia bramy sieci wirtualnej. Stan zmieni się z Nieznany na Łączenie , a następnie na Powodzenie.

Konfigurowanie większej liczby ustawień połączenia (opcjonalnie)

W razie potrzeby można skonfigurować więcej ustawień połączenia. W przeciwnym razie pomiń tę sekcję i pozostaw wartości domyślne. Aby uzyskać więcej informacji, zobacz Konfigurowanie niestandardowych zasad połączeń protokołu IPsec/IKE.

  1. Przejdź do bramy sieci wirtualnej i wybierz pozycję Połączenia , aby otworzyć stronę Połączenia .

  2. Wybierz nazwę połączenia, które chcesz skonfigurować, aby otworzyć stronę Połączenie .

  3. Po lewej stronie strony Połączenie wybierz pozycję Konfiguracja , aby otworzyć stronę Konfiguracja . Wprowadź wszelkie niezbędne zmiany, a następnie wybierz pozycję Zapisz.

    Na poniższych zrzutach ekranu ustawienia są włączone, aby zobaczyć ustawienia konfiguracji, które są dostępne w portalu. Wybierz zrzut ekranu, aby wyświetlić rozwinięty widok. Podczas konfigurowania połączeń należy skonfigurować tylko wymagane ustawienia. W przeciwnym razie pozostaw ustawienia domyślne.

    Zrzut ekranu przedstawiający ustawienia połączenia strony Połączenie.

    Zrzut ekranu przedstawiający stronę Połączenie z większą liczbie ustawień połączenia.

Sprawdzanie połączenia sieci VPN

W witrynie Azure Portal możesz wyświetlić stan połączenia bramy sieci VPN, przechodząc do połączenia. Poniższe kroki pokazują jeden ze sposobów przejścia do połączenia i zweryfikowania.

  1. W menu witryny Azure Portal wybierz pozycję Wszystkie zasoby lub wyszukaj i wybierz pozycję Wszystkie zasoby na dowolnej stronie.
  2. Wybierz bramę sieci wirtualnej.
  3. W okienku bramy sieci wirtualnej wybierz pozycję Połączenia. Zostanie pokazany stan każdego połączenia.
  4. Wybierz nazwę połączenia, które chcesz zweryfikować, aby otworzyć podstawowe elementy. W okienku Podstawy możesz wyświetlić więcej informacji o połączeniu. Stan to Powodzenie i Połączono po pomyślnym nawiązaniu połączenia.

Nawiązywanie połączenia z maszyną wirtualną

Możesz nawiązać połączenie z maszyną wirtualną wdrożona w sieci wirtualnej, tworząc połączenie pulpitu zdalnego z maszyną wirtualną. Najlepszym sposobem na zweryfikowanie, czy można połączyć się z maszyną wirtualną, jest połączenie się z nią za pomocą jej prywatnego adresu IP, a nie nazwy komputera. W ten sposób można przetestować możliwość połączenia się, a nie poprawność skonfigurowania rozpoznawania nazw.

  1. Zlokalizuj prywatny adres IP. Prywatny adres IP maszyny wirtualnej można znaleźć, przeglądając właściwości maszyny wirtualnej w witrynie Azure Portal lub przy użyciu programu PowerShell.

    • Azure Portal: znajdź maszynę wirtualną w witrynie Azure Portal. Wyświetl właściwości maszyny wirtualnej. Zostanie wyświetlony prywatny adres IP.

    • PowerShell: użyj przykładu, aby wyświetlić listę maszyn wirtualnych i prywatnych adresów IP z grup zasobów. Przed użyciem tego przykładu nie trzeba go modyfikować.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
      
      foreach ($Nic in $Nics) {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Sprawdź, czy masz połączenie z siecią wirtualną.

  3. Otwórz okno Podłączanie pulpitu zdalnego, wprowadzając protokół RDP lub Podłączanie pulpitu zdalnego w polu wyszukiwania na pasku zadań. Następnie wybierz pozycję Podłączanie pulpitu zdalnego. Możesz również otworzyć połączenie pulpitu mstsc zdalnego przy użyciu polecenia w programie PowerShell.

  4. W programie Podłączanie pulpitu zdalnego wprowadź prywatny adres IP maszyny wirtualnej. Możesz wybrać pozycję Pokaż opcje , aby dostosować inne ustawienia, a następnie nawiązać połączenie.

Jeśli masz problemy z nawiązywaniem połączenia z maszyną wirtualną za pośrednictwem połączenia sieci VPN, sprawdź następujące kwestie:

  • Sprawdź, czy połączenie sieci VPN zostało pomyślnie nawiązane.
  • Sprawdź, czy łączysz się z prywatnym adresem IP maszyny wirtualnej.
  • Jeśli możesz nawiązać połączenie z maszyną wirtualną przy użyciu prywatnego adresu IP, ale nie nazwy komputera, sprawdź, czy system DNS został prawidłowo skonfigurowany. Aby uzyskać więcej informacji na temat działania rozpoznawania nazw dla maszyn wirtualnych, zobacz Rozpoznawanie nazw dla maszyn wirtualnych.

Aby uzyskać więcej informacji na temat połączeń pulpitu zdalnego, zobacz Rozwiązywanie problemów z połączeniami pulpitu zdalnego z maszyną wirtualną.

Kroki opcjonalne

Zmienianie rozmiaru jednostki SKU bramy

Istnieją określone reguły zmiany rozmiaru i zmiany jednostki SKU bramy. W tej sekcji zmieniasz rozmiar jednostki SKU. Aby uzyskać więcej informacji, zobacz Zmienianie rozmiaru lub zmienianie jednostek SKU bramy.

  1. Przejdź do strony Konfiguracja bramy sieci wirtualnej.

  2. Po prawej stronie wybierz strzałkę listy rozwijanej, aby wyświetlić listę dostępnych jednostek SKU.

    Zwróć uwagę, że lista wypełnia tylko jednostki SKU, których można użyć do zmiany rozmiaru bieżącej jednostki SKU. Jeśli nie widzisz jednostki SKU, której chcesz użyć, zamiast zmiany rozmiaru, musisz zmienić rozmiar na nową jednostkę SKU.

    Zrzut ekranu przedstawiający sposób zmiany rozmiaru bramy.

  3. Wybierz jednostkę SKU z listy rozwijanej.

Resetowanie bramy

Resetowanie bramy Azure VPN Gateway przydaje się w przypadku utraty połączenia sieci VPN obejmującego wiele lokalizacji w jednym lub wielu tunelach VPN typu lokacja-lokacja. W takiej sytuacji lokalne urządzenia sieci VPN działają prawidłowo, ale nie mogą ustanowić tuneli IPsec z bramami Azure VPN Gateway. Jeśli chcesz zresetować bramę active-active-active, możesz zresetować oba wystąpienia przy użyciu portalu. Możesz również użyć programu PowerShell lub interfejsu wiersza polecenia, aby zresetować każde wystąpienie bramy oddzielnie przy użyciu adresów VIP wystąpień. Aby uzyskać więcej informacji, zobacz Resetowanie połączenia lub bramy.

  1. W portalu przejdź do bramy sieci wirtualnej, którą chcesz zresetować.
  2. Na stronie Brama sieci wirtualnej w okienku po lewej stronie przewiń i znajdź pozycję Pomoc —> resetowanie.
  3. Na stronie Resetowanie wybierz pozycję Resetuj. Po wydaniu polecenia bieżące aktywne wystąpienie bramy sieci VPN platformy Azure zostanie natychmiast uruchomione ponownie. Zresetowanie bramy powoduje lukę w łączności sieci VPN i może ograniczyć przyszłą analizę głównej przyczyny problemu.

Dodawanie innego połączenia

Brama może mieć wiele połączeń. Jeśli chcesz skonfigurować połączenia z wieloma lokacjami lokalnymi z tej samej bramy sieci VPN, przestrzenie adresowe nie mogą nakładać się między żadnymi połączeniami.

  1. Jeśli łączysz się przy użyciu sieci VPN typu lokacja-lokacja i nie masz bramy sieci lokalnej dla lokacji, z którą chcesz nawiązać połączenie, utwórz kolejną bramę sieci lokalnej i określ szczegóły lokacji. Aby uzyskać więcej informacji, zobacz Tworzenie bramy sieci lokalnej.
  2. Aby dodać połączenie, przejdź do bramy sieci VPN, a następnie wybierz pozycję Połączenia , aby otworzyć stronę Połączenia .
  3. Wybierz pozycję + Dodaj , aby dodać połączenie. Dostosuj typ połączenia, aby odzwierciedlić połączenie między sieciami wirtualnymi (w przypadku nawiązywania połączenia z inną bramą sieci wirtualnej) lub lokacja-lokacja.
  4. Określ klucz wspólny, którego chcesz użyć, a następnie wybierz przycisk OK , aby utworzyć połączenie.

Aktualizowanie klucza współużytkowanego połączenia

Możesz określić inny klucz współużytkowany dla połączenia. W portalu przejdź do połączenia. Zmień klucz wspólny na stronie Uwierzytelnianie .

Więcej zagadnień dotyczących konfiguracji

Konfiguracje lokacja-lokacja można dostosować na różne sposoby. Aby uzyskać więcej informacji, zobacz następujące artykuły:

Czyszczenie zasobów

Jeśli nie zamierzasz nadal korzystać z tej aplikacji lub przejdź do następnego samouczka, usuń te zasoby.

  1. Wprowadź nazwę grupy zasobów w polu Wyszukaj w górnej części portalu i wybierz ją z wyników wyszukiwania.
  2. Wybierz pozycję Usuń grupę zasobów.
  3. Wprowadź grupę zasobów w polu WPISZ NAZWĘ GRUPY ZASOBÓW, a następnie wybierz pozycję Usuń.

Następne kroki

Po skonfigurowaniu połączenia lokacja-lokacja można dodać połączenie typu punkt-lokacja do tej samej bramy.