Samouczek: tworzenie połączenia sieci VPN typu lokacja-lokacja w witrynie Azure Portal

W tym samouczku pokazano, jak za pomocą witryny Azure Portal utworzyć połączenie bramy sieci VPN typu lokacja-lokacja (S2S) między siecią lokalną a siecią wirtualną. Tę konfigurację można również utworzyć przy użyciu programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Utwórz sieć prywatną.
• Utwórz bramę sieci VPN.
• Utwórz bramę sieci lokalnej.
• Utwórz połączenie sieci VPN.
• Zweryfikuj połączenie.
• Połączenie do maszyny wirtualnej.

Wymagania wstępne

• Potrzebujesz konta platformy Azure z aktywną subskrypcją. Jeśli nie masz konta, możesz je utworzyć teraz za darmo.
• Upewnij się, że masz zgodne urządzenie sieci VPN i osobę, która może ją skonfigurować. Aby uzyskać więcej informacji na temat zgodnych urządzeń sieci VPN i konfiguracji urządzeń, zobacz About VPN devices (Informacje o urządzeniach sieci VPN).
• Sprawdź, czy masz dostępny zewnętrznie publiczny adres IPv4 urządzenia sieci VPN.
• Jeśli nie znasz zakresów adresów IP znajdujących się w konfiguracji sieci lokalnej, musisz koordynować pracę z osobą, która może podać te szczegóły. Tworząc tę konfigurację, musisz określić prefiksy zakresu adresów IP, które platforma Azure będzie kierować do Twojej lokalizacji lokalnej. Żadna z podsieci sieci lokalnej nie może nakładać się na podsieci sieci wirtualnej, z którymi chcesz nawiązać połączenie.

Tworzenie sieci wirtualnej

W tej sekcji utworzysz sieć wirtualną przy użyciu następujących wartości:

• Grupa zasobów: TestRG1
• Nazwa: VNet1
• Region: (USA) Wschodnie stany USA
• Przestrzeń adresowa IPv4: 10.1.0.0/16
• Nazwa podsieci: FrontEnd
• Przestrzeń adresowa podsieci: 10.1.0.0/24

Uwaga

Jeśli używasz sieci wirtualnej w ramach architektury obejmującej wiele lokalizacji, pamiętaj, aby koordynować pracę z administratorem sieci lokalnej, aby wyrzucić zakres adresów IP, którego można używać specjalnie dla tej sieci wirtualnej. Jeśli po obu stronach połączenia sieci VPN będzie istnieć powielony zakres adresów, ruch będzie przekierowywany w nieoczekiwany sposób. Ponadto, jeśli chcesz połączyć tę sieć wirtualną z inną siecią wirtualną, przestrzeń adresowa nie może nakładać się na inną sieć wirtualną. Dlatego należy odpowiednio zaplanować konfigurację sieci.

1. Zaloguj się w witrynie Azure Portal.

2. W obszarze Wyszukaj zasoby, usługę i dokumenty (G+/) w górnej części strony portalu wprowadź wartość sieć wirtualna. Wybierz pozycję Sieć wirtualna w wynikach wyszukiwania witryny Marketplace, aby otworzyć stronę Sieć wirtualna.

3. Na stronie Sieć wirtualna wybierz pozycję Utwórz, aby otworzyć stronę Tworzenie sieci wirtualnej.

4. Na karcie Podstawowe skonfiguruj ustawienia sieci wirtualnej dla szczegółów projektu i szczegółów wystąpienia. Po zweryfikowaniu wprowadzonych wartości zostanie wyświetlony zielony znacznik wyboru. Wartości wyświetlane w przykładzie można dostosować zgodnie z wymaganymi ustawieniami.

   

   • Subskrypcja: Sprawdź, czy jest wyświetlana prawidłowa subskrypcja. Subskrypcje można zmienić przy użyciu pola listy rozwijanej.
   • Grupa zasobów: wybierz istniejącą grupę zasobów lub wybierz pozycję Utwórz nową , aby utworzyć nową. Aby uzyskać więcej informacji na temat grup zasobów, zobacz Omówienie usługi Azure Resource Manager.
   • Nazwa: Wprowadź nazwę sieci wirtualnej.
   • Region: wybierz lokalizację sieci wirtualnej. Lokalizacja określa, gdzie będą aktywne zasoby wdrażane w tej sieci wirtualnej.

5. Wybierz pozycję Dalej lub Zabezpieczenia, aby przejść do karty Zabezpieczenia. W tym ćwiczeniu pozostaw wartości domyślne dla wszystkich usług na tej stronie.

6. Wybierz pozycję Adresy IP, aby przejść do karty Adresy IP. Na karcie Adresy IP skonfiguruj ustawienia.

   • Przestrzeń adresowa IPv4: domyślnie tworzona jest automatycznie przestrzeń adresowa. Możesz wybrać przestrzeń adresową i dostosować ją tak, aby odzwierciedlała własne wartości. Możesz również dodać inną przestrzeń adresową i usunąć wartość domyślną, która została utworzona automatycznie. Można na przykład określić adres początkowy jako 10.1.0.0 i określić rozmiar przestrzeni adresowej jako /16. Następnie wybierz pozycję Dodaj , aby dodać tę przestrzeń adresową.

   • + Dodaj podsieć: jeśli używasz domyślnej przestrzeni adresowej, domyślna podsieć zostanie utworzona automatycznie. Jeśli zmienisz przestrzeń adresową, dodaj nową podsieć w tej przestrzeni adresowej. Wybierz pozycję + Dodaj podsieć, aby otworzyć okno Dodawanie podsieci. Skonfiguruj następujące ustawienia, a następnie wybierz pozycję Dodaj w dolnej części strony, aby dodać wartości.

     • Nazwa podsieci: przykładem jest FrontEnd.
     • Zakres adresów podsieci: zakres adresów dla tej podsieci. Przykłady to 10.1.0.0 i /24.

7. Przejrzyj stronę Adresy IP i usuń wszystkie przestrzenie adresowe lub podsieci, których nie potrzebujesz.

8. Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować ustawienia sieci wirtualnej.

9. Po zweryfikowaniu ustawień wybierz pozycję Utwórz , aby utworzyć sieć wirtualną.

Po utworzeniu sieci wirtualnej możesz opcjonalnie skonfigurować usługę Azure DDoS Protection. Usługa Azure DDoS Protection jest prosta do włączenia w dowolnej nowej lub istniejącej sieci wirtualnej i nie wymaga żadnych zmian aplikacji ani zasobów. Aby uzyskać więcej informacji na temat usługi Azure DDoS Protection, zobacz Co to jest usługa Azure DDoS Protection?.

Tworzenie podsieci bramy

Brama sieci wirtualnej wymaga określonej podsieci o nazwie GatewaySubnet. Podsieć bramy jest częścią zakresu adresów IP sieci wirtualnej i zawiera adresy IP używane przez zasoby i usługi bramy sieci wirtualnej.

Podczas tworzenia podsieci bramy należy określić liczbę zawartych w niej adresów IP. Liczba potrzebnych adresów IP zależy od konfiguracji bramy sieci VPN, którą chce się utworzyć. Niektóre konfiguracje wymagają większej liczby adresów IP niż inne. Najlepiej określić /27 lub większą (/26, /25 itp.) dla podsieci bramy.

Jeśli zostanie wyświetlony błąd określający, że przestrzeń adresowa nakłada się na podsieć lub czy podsieć nie jest zawarta w przestrzeni adresowej sieci wirtualnej, sprawdź zakres adresów sieci wirtualnej. Być może nie masz wystarczającej liczby adresów IP dostępnych w zakresie adresów utworzonym dla sieci wirtualnej. Jeśli na przykład domyślna podsieć obejmuje cały zakres adresów, nie ma adresów IP do utworzenia większej liczby podsieci. Możesz dostosować podsieci w istniejącej przestrzeni adresowej, aby zwolnić adresy IP lub określić inny zakres adresów i utworzyć tam podsieć bramy.

1. Na stronie sieci wirtualnej w okienku po lewej stronie wybierz pozycję Podsieci, aby otworzyć stronę Podsieci.
2. W górnej części strony wybierz pozycję + Podsieć bramy, aby otworzyć okienko Dodaj podsieć .
3. Nazwa jest automatycznie wprowadzana jako GatewaySubnet. W razie potrzeby dostosuj wartość zakresu adresów IP. Przykładem jest 10.1.255.0/27.
4. Nie dopasuj innych wartości na stronie. Wybierz pozycję Zapisz w dolnej części strony, aby zapisać podsieć.

Tworzenie bramy sieci VPN

W tym kroku utworzysz bramę sieci wirtualnej dla sieci wirtualnej. Tworzenie bramy często może trwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy.

Tworzenie bramy

Utwórz bramę sieci wirtualnej (bramę sieci VPN) przy użyciu następujących wartości:

• Nazwa: VNet1GW
• Region: Wschodnie stany USA
• Typ bramy: VPN
• Jednostka SKU: VpnGw2
• Generacja: Generacja 2
• Sieć wirtualna: VNet1
• Zakres adresów podsieci bramy: 10.1.255.0/27
• Publiczny adres IP: utwórz nowy
• Publiczny adres IP: VNet1GWpip
• Włącz tryb aktywny-aktywny: wyłączone
• Konfigurowanie protokołu BGP: wyłączone

1. W obszarze Wyszukaj zasoby, usługi i dokumenty (G+/)wprowadź bramę sieci wirtualnej. Znajdź bramę sieci wirtualnej w wynikach wyszukiwania witryny Marketplace i wybierz ją, aby otworzyć stronę Tworzenie bramy sieci wirtualnej.

   

2. Na karcie Podstawy wypełnij wartości szczegółów projektu i szczegółów wystąpienia.

   

   • Subskrypcja: wybierz subskrypcję, której chcesz użyć z listy rozwijanej.

   • Grupa zasobów: to ustawienie jest wypełniane automatycznie po wybraniu sieci wirtualnej na tej stronie.

   • Nazwa: Nadaj nazwę bramie. Nazewnictwo bramy nie jest takie samo jak nazewnictwo podsieci bramy. Jest to nazwa tworzonego obiektu bramy.

   • Region: wybierz region, w którym chcesz utworzyć ten zasób. Region bramy musi być taki sam jak sieć wirtualna.

   • Typ bramy: Wybierz pozycję Sieć VPN. Bramy sieci VPN używają typu bramy sieci wirtualnej Sieć VPN.

   • Jednostka SKU: z listy rozwijanej wybierz jednostkę SKU bramy, która obsługuje funkcje, których chcesz użyć. Zobacz Jednostki SKU bramy. W portalu jednostki SKU dostępne na liście rozwijanej zależą od wybranego VPN type elementu. Podstawową jednostkę SKU można skonfigurować tylko przy użyciu interfejsu wiersza polecenia platformy Azure lub programu PowerShell. Nie można skonfigurować podstawowej jednostki SKU w witrynie Azure Portal.

   • Generacja: wybierz generację, której chcesz użyć. Zalecamy używanie jednostki SKU generacji2. Aby uzyskać więcej informacji, zobacz Gateway SKUs (Jednostki SKU bramy).

   • Sieć wirtualna: z listy rozwijanej wybierz sieć wirtualną, do której chcesz dodać tę bramę. Jeśli nie widzisz sieci wirtualnej, dla której chcesz utworzyć bramę, upewnij się, że wybrano poprawną subskrypcję i region w poprzednich ustawieniach.

   • Zakres adresów podsieci bramy lub podsieć: podsieć bramy jest wymagana do utworzenia bramy sieci VPN.

     Obecnie to pole ma kilka różnych zachowań, w zależności od przestrzeni adresowej sieci wirtualnej i tego, czy utworzono już podsieć o nazwie GatewaySubnet dla sieci wirtualnej.

     Jeśli nie masz podsieci bramy i nie widzisz opcji jej utworzenia na tej stronie, wróć do sieci wirtualnej i utwórz podsieć bramy. Następnie wróć do tej strony i skonfiguruj bramę sieci VPN.

3. Określ wartości dla publicznego adresu IP. Te ustawienia określają obiekt publicznego adresu IP, który zostanie skojarzony z bramą sieci VPN. Publiczny adres IP jest przypisywany do tego obiektu podczas tworzenia bramy sieci VPN. Jedynym momentem zmiany podstawowego publicznego adresu IP jest usunięcie i ponowne utworzenie bramy. Nie zmienia się on w przypadku zmiany rozmiaru, zresetowania ani przeprowadzania innych wewnętrznych czynności konserwacyjnych bądź uaktualnień bramy sieci VPN.

   

   • Typ publicznego adresu IP: w tym ćwiczeniu, jeśli masz możliwość wybrania typu adresu, wybierz pozycję Standardowa.
   • Publiczny adres IP: pozostaw zaznaczoną opcję Utwórz nową .
   • Nazwa publicznego adresu IP: w polu tekstowym wprowadź nazwę wystąpienia publicznego adresu IP.
   • Jednostka SKU publicznego adresu IP: ustawienie jest wybierane automatycznie.
   • Przypisanie: przypisanie jest zazwyczaj wybierane automatycznie i może być dynamiczne lub statyczne.
   • Włącz tryb aktywny-aktywny: wybierz pozycję Wyłączone. Włącz to ustawienie tylko wtedy, gdy tworzysz konfigurację bramy aktywne-aktywne.
   • Skonfiguruj protokół BGP: wybierz pozycję Wyłączone, chyba że konfiguracja wymaga tego ustawienia. Jeśli to ustawienie jest wymagane, domyślna nazwa ASN to 65515, chociaż tę wartość można zmienić.

4. Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację.

5. Po zakończeniu walidacji wybierz pozycję Utwórz , aby wdrożyć bramę sieci VPN.

Stan wdrożenia można zobaczyć na stronie Przegląd bramy. Tworzenie i wdrażanie bramy może potrwać do 45 minut. Po utworzeniu bramy można wyświetlić przypisany do niej adres IP, przeglądając sieć wirtualną w portalu. Brama jest widoczna jako urządzenie podłączone.

Ważne

Podczas pracy z podsieciami bramy należy unikać kojarzenia sieciowej grupy zabezpieczeń z podsiecią bramy. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci wirtualnej (vpn i bramy usługi ExpressRoute) przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz Co to jest sieciowa grupa zabezpieczeń?.

Wyświetlanie publicznego adresu IP

Publiczny adres IP bramy można wyświetlić na stronie Przegląd bramy.

Aby wyświetlić więcej informacji na temat obiektu publicznego adresu IP, wybierz link nazwa/adres IP obok pozycji Publiczny adres IP.

Tworzenie bramy sieci lokalnej

Brama sieci lokalnej jest konkretnym obiektem reprezentującym lokalizację lokalną (lokację) na potrzeby routingu. Nadaj lokacji nazwę, za pomocą której platforma Azure może się do niej odwoływać, a następnie określ adres IP lokalnego urządzenia sieci VPN, do którego utworzysz połączenie. Należy również określić prefiksy adresów IP, które są kierowane przez bramę sieci VPN do urządzenia sieci VPN. Określone prefiksy adresów są prefiksami znajdującymi się w Twojej sieci lokalnej. W przypadku zmiany sieci lokalnej lub jeśli trzeba zmienić publiczny adres IP urządzenia sieci VPN, można łatwo zaktualizować wartości później.

Utwórz bramę sieci lokalnej przy użyciu następujących wartości:

• Nazwa: Site1
• Grupa zasobów: TestRG1
• Lokalizacja: Wschodnie stany USA

1. W witrynie Azure Portal w obszarze Wyszukaj zasoby, usługi i dokumenty (G+/)wprowadź bramę sieci lokalnej. Znajdź bramę sieci lokalnej w obszarze Marketplace w wynikach wyszukiwania i wybierz ją, aby otworzyć stronę Tworzenie bramy sieci lokalnej.

2. Na stronie Tworzenie bramy sieci lokalnej na karcie Podstawy określ wartości bramy sieci lokalnej.

   

   • Subskrypcja: sprawdź, czy wyświetlana jest prawidłowa subskrypcja.
   • Grupa zasobów: wybierz grupę zasobów, której chcesz użyć. Możesz utworzyć nową grupę zasobów lub wybrać grupę, która została już utworzona.
   • Region: wybierz region, w którym zostanie utworzony ten obiekt. Możesz wybrać tę samą lokalizację, w której znajduje się sieć wirtualna, ale nie musisz tego robić.
   • Nazwa: określ nazwę obiektu bramy sieci lokalnej.
   • Punkt końcowy: wybierz typ punktu końcowego dla lokalnego urządzenia sieci VPN jako adresu IP lub nazwy FQDN (w pełni kwalifikowana nazwa domeny).
     • Adres IP: jeśli masz statyczny publiczny adres IP przydzielony z dostawcy usług internetowych (ISP) dla urządzenia sieci VPN, wybierz opcję Adres IP. Wypełnij adres IP, jak pokazano w przykładzie. Ten adres to publiczny adres IP urządzenia sieci VPN, z którym ma nawiązać połączenie usługa Azure VPN Gateway. Jeśli nie masz teraz adresu IP, możesz użyć wartości przedstawionych w przykładzie. Później należy wrócić i zastąpić zastępczy adres IP publicznym adresem IP urządzenia sieci VPN. W przeciwnym razie platforma Azure nie może nawiązać połączenia.
     • Nazwa FQDN: jeśli masz dynamiczny publiczny adres IP, który może ulec zmianie po pewnym czasie, często określany przez usługodawcę internetowy, możesz użyć stałej nazwy DNS z usługą Dynamic DNS, aby wskazać bieżący publiczny adres IP urządzenia sieci VPN. Twoja brama sieci VPN platformy Azure rozpoznaje nazwę FQDN, aby określić publiczny adres IP do nawiązania połączenia.
   • Przestrzeń adresowa: Przestrzeń adresowa odnosi się do zakresów adresów sieci reprezentowanej przez tę sieć lokalną. Można dodać wiele zakresów przestrzeni adresów. Upewnij się, że określone w tym miejscu zakresy nie pokrywają się z zakresami innych sieci, z którymi chcesz się łączyć. Platforma Azure kieruje zakres adresów określony do lokalnego adresu IP urządzenia sieci VPN. Jeśli chcesz nawiązać połączenie ze swoją lokacją lokalną, podaj w tym miejscu własne wartości, a nie wartości pokazane w przykładzie.

   Uwaga

   • Usługa Azure VPN Gateway obsługuje tylko jeden adres IPv4 dla każdej nazwy FQDN. Jeśli nazwa domeny jest rozpoznawana jako wiele adresów IP, usługa VPN Gateway używa pierwszego adresu IP zwróconego przez serwery DNS. Aby wyeliminować niepewność, zalecamy, aby nazwa FQDN zawsze była rozpoznawana jako pojedynczy adres IPv4. Protokół IPv6 nie jest obsługiwany.
   • Usługa VPN Gateway utrzymuje pamięć podręczną DNS odświeżaną co 5 minut. Brama próbuje rozpoznać nazwy FQDN tylko dla rozłączonych tuneli. Zresetowanie bramy powoduje również wyzwolenie rozpoznawania nazw FQDN.
   • Mimo że usługa Azure VPN Gateway obsługuje wiele połączeń z różnymi bramami sieci lokalnej z różnymi nazwami FQDN, wszystkie nazwy FQDN muszą rozpoznawać różne adresy IP.

3. Na karcie Zaawansowane można w razie potrzeby skonfigurować ustawienia protokołu BGP.

4. Po określeniu wartości wybierz pozycję Przejrzyj i utwórz w dolnej części strony, aby zweryfikować stronę.

5. Wybierz pozycję Utwórz, aby utworzyć obiekt bramy sieci lokalnej.

Konfiguracja urządzenia sieci VPN

Połączenia typu lokacja-lokacja z siecią lokalną wymagają urządzenia sieci VPN. W tym kroku konfigurowane jest urządzenie sieci VPN. Podczas konfigurowania urządzenia sieci VPN potrzebne są następujące wartości:

• Klucz współużytkowany: ten klucz współużytkowany jest taki sam, który określa się podczas tworzenia połączenia sieci VPN typu lokacja-lokacja. W naszych przykładach używamy podstawowego klucza współużytkowanego. Zalecamy, aby do użycia wygenerować bardziej złożony klucz.
• Publiczny adres IP bramy sieci wirtualnej: publiczny adres IP można wyświetlić przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Aby znaleźć publiczny adres IP bramy sieci VPN przy użyciu witryny Azure Portal, przejdź do pozycji Bramy sieci wirtualnej, a następnie wybierz nazwę bramy.

W zależności od posiadanego urządzenia sieci VPN może być możliwe pobranie skryptu konfiguracji urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Pobieranie skryptów konfiguracji urządzenia sieci VPN.

Aby uzyskać więcej informacji o konfiguracji, zobacz następujące linki:

• Aby uzyskać informacje o zgodnych urządzeniach sieci VPN, zobacz Urządzenia sieci VPN.
• Przed skonfigurowaniem urządzenia sieci VPN sprawdź wszelkie znane problemy ze zgodnością urządzeń dla urządzenia sieci VPN, którego chcesz użyć.
• Aby uzyskać linki do ustawień konfiguracji urządzenia, zobacz Zweryfikowane urządzenia sieci VPN. Linki do ustawień konfiguracji urządzeń zostały podane na zasadzie największej staranności. Zawsze najlepiej jest skontaktować się z producentem urządzenia, aby uzyskać najnowsze informacje o konfiguracji. Lista zawiera przetestowane wersje. Jeśli system operacyjny nie znajduje się na tej liście, nadal jest możliwe, że wersja jest zgodna. Zapoznaj się z producentem urządzenia, aby sprawdzić, czy wersja systemu operacyjnego dla urządzenia sieci VPN jest zgodna.
• Aby zapoznać się z omówieniem konfiguracji urządzenia sieci VPN, zobacz Omówienie konfiguracji urządzeń sieci VPN innych firm.
• Aby uzyskać informacje na temat edytowania przykładów konfiguracji urządzeń, zobacz Edytowanie przykładów.
• Aby poznać wymagania w zakresie usług kryptograficznych, zobacz artykuł About cryptographic requirements and Azure VPN gateways (Informacje dotyczące wymagań w zakresie usług kryptograficznych oraz bram VPN platformy Azure).
• Aby uzyskać informacje o parametrach protokołu IPsec/IKE, zobacz Informacje o urządzeniach sieci VPN i parametrach protokołu IPsec/IKE dla połączeń bramy sieci VPN typu lokacja-lokacja. Ten link zawiera informacje na temat wersji IKE, grupy Diffie-Hellman, metody uwierzytelniania, algorytmów szyfrowania i tworzenia skrótów, okresu istnienia programu SA, PFS i DPD, oprócz innych informacji o parametrach potrzebnych do ukończenia konfiguracji.
• Aby uzyskać instrukcje konfiguracji zasad protokołu IPsec/IKE, zobacz Konfigurowanie zasad protokołu IPsec/IKE dla połączeń sieci VPN typu lokacja-lokacja lub połączeń między sieciami wirtualnymi.
• Aby połączyć wiele urządzeń sieci VPN opartej na zasadach, zobacz Connect Azure VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Łączenie bram usługi Azure VPN Gateway z wieloma lokalnymi urządzeniami sieci VPN opartej na zasadach przy użyciu programu PowerShell).

Tworzenie połączeń sieci VPN

Utwórz połączenie sieci VPN typu lokacja-lokacja między bramą sieci wirtualnej a lokalnym urządzeniem sieci VPN.

Utwórz połączenie przy użyciu następujących wartości:

• Nazwa bramy sieci lokalnej: Site1
• nazwa Połączenie ion: VNet1toSite1
• Klucz wspólny: w tym przykładzie użyto abc123. Można jednak użyć dowolnego sprzętu sieci VPN. Ważne, żeby wartości były zgodne po obu stronach połączenia.

1. Przejdź do sieci wirtualnej. Na stronie sieci wirtualnej po lewej stronie wybierz pozycję Połączenie urządzenia. Znajdź bramę sieci VPN i wybierz ją, aby ją otworzyć.

2. Na stronie bramy wybierz pozycję Połączenia.

3. W górnej części strony Połączenie ions wybierz pozycję + Dodaj, aby otworzyć stronę Tworzenie połączenia.

   

4. Na stronie Tworzenie połączenia na karcie Podstawy skonfiguruj wartości dla połączenia:

   • W obszarze Szczegóły projektu wybierz subskrypcję i grupę zasobów, w której znajdują się zasoby.

   • W obszarze Szczegóły wystąpienia skonfiguruj następujące ustawienia:

     • typ Połączenie: wybierz pozycję Lokacja-lokacja (IPSec).
     • Nazwa: nazwij połączenie.
     • Region: wybierz region dla połączenia.

5. Wybierz kartę Ustawienia i skonfiguruj następujące wartości:

   

   • Brama sieci wirtualnej: wybierz bramę sieci wirtualnej z listy rozwijanej.
   • Brama sieci lokalnej: wybierz bramę sieci lokalnej z listy rozwijanej.
   • Klucz współużytkowany: wartość musi być zgodna z wartością używaną dla lokalnego lokalnego urządzenia sieci VPN.
   • Protokół IKE: wybierz pozycję IKEv2.
   • Użyj prywatnego adresu IP platformy Azure: nie wybieraj.
   • Włącz protokół BGP: nie wybieraj.
   • FastPath: nie wybieraj.
   • Zasady protokołu IPsec/IKE: wybierz pozycję Domyślne.
   • Użyj selektora ruchu opartego na zasadach: wybierz pozycję Wyłącz.
   • Limit czasu usługi DPD w sekundach: wybierz wartość 45.
   • tryb Połączenie ion: wybierz pozycję Domyślne. To ustawienie służy do określania, która brama może zainicjować połączenie. Aby uzyskać więcej informacji, zobacz Ustawienia usługi VPN Gateway — tryby Połączenie ion.

6. W przypadku skojarzeń reguł translatora adresów sieciowych pozostaw wybraną wartość ruchu przychodzącego i wychodzącegojako 0.

7. Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować ustawienia połączenia.

8. Wybierz Utwór, aby utworzyć łącznik.

9. Po zakończeniu wdrażania można wyświetlić połączenie na stronie Połączenie ions bramy sieci wirtualnej. Stan zmieni się z Nieznany na Połączenie, a następnie na Powodzenie.

Konfigurowanie większej liczby ustawień połączenia (opcjonalnie)

W razie potrzeby można skonfigurować więcej ustawień połączenia. W przeciwnym razie pomiń tę sekcję i pozostaw wartości domyślne. Aby uzyskać więcej informacji, zobacz Konfigurowanie niestandardowych zasad połączeń protokołu IPsec/IKE.

1. Przejdź do bramy sieci wirtualnej i wybierz pozycję Połączenie ions, aby otworzyć stronę Połączenie ions.

2. Wybierz nazwę połączenia, które chcesz skonfigurować, aby otworzyć stronę Połączenie ion.

3. Po lewej stronie Połączenie ion wybierz pozycję Konfiguracja, aby otworzyć stronę Konfiguracja. Wprowadź wszelkie niezbędne zmiany, a następnie wybierz pozycję Zapisz.

   Na poniższych zrzutach ekranu ustawienia są włączone, aby zobaczyć ustawienia konfiguracji, które są dostępne w portalu. Wybierz zrzut ekranu, aby wyświetlić rozwinięty widok. Podczas konfigurowania połączeń należy skonfigurować tylko wymagane ustawienia. W przeciwnym razie pozostaw ustawienia domyślne.

   

   

Sprawdzanie połączenia sieci VPN

W witrynie Azure Portal możesz wyświetlić stan połączenia bramy sieci VPN, przechodząc do połączenia. Poniższe kroki pokazują jeden ze sposobów przejścia do połączenia i zweryfikowania.

1. W menu witryny Azure Portal wybierz pozycję Wszystkie zasoby lub wyszukaj i wybierz pozycję Wszystkie zasoby na dowolnej stronie.
2. Wybierz bramę sieci wirtualnej.
3. W okienku bramy sieci wirtualnej wybierz pozycję Połączenie ions. Zostanie pokazany stan każdego połączenia.
4. Wybierz nazwę połączenia, które chcesz zweryfikować, aby otworzyć podstawowe elementy. W okienku Podstawy możesz wyświetlić więcej informacji o połączeniu. Stan to Powodzenie i Połączenie po pomyślnym nawiązaniu połączenia.

Nawiązywanie połączenia z maszyną wirtualną

Możesz nawiązać połączenie z maszyną wirtualną wdrożona w sieci wirtualnej, tworząc Połączenie pulpitu zdalnego z maszyną wirtualną. Najlepszym sposobem na zweryfikowanie, czy można połączyć się z maszyną wirtualną, jest połączenie się z nią za pomocą jej prywatnego adresu IP, a nie nazwy komputera. W ten sposób można przetestować możliwość połączenia się, a nie poprawność skonfigurowania rozpoznawania nazw.

1. Zlokalizuj prywatny adres IP. Prywatny adres IP maszyny wirtualnej można znaleźć, przeglądając właściwości maszyny wirtualnej w witrynie Azure Portal lub przy użyciu programu PowerShell.

   • Azure Portal: znajdź maszynę wirtualną w witrynie Azure Portal. Wyświetl właściwości maszyny wirtualnej. Zostanie wyświetlony prywatny adres IP.

   • PowerShell: użyj przykładu, aby wyświetlić listę maszyn wirtualnych i prywatnych adresów IP z grup zasobów. Przed użyciem tego przykładu nie trzeba go modyfikować.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Sprawdź, czy masz połączenie z siecią wirtualną.

3. Otwórz Połączenie pulpitu zdalnego, wprowadzając Połączenie RDP lub Pulpit zdalny w polu wyszukiwania na pasku zadań. Następnie wybierz Połączenie pulpitu zdalnego. Możesz również otworzyć Połączenie pulpitu mstsc zdalnego przy użyciu polecenia w programie PowerShell.

4. W programie Podłączanie pulpitu zdalnego wprowadź prywatny adres IP maszyny wirtualnej. Możesz wybrać pozycję Pokaż opcje , aby dostosować inne ustawienia, a następnie nawiązać połączenie.

Jeśli masz problemy z nawiązywaniem połączenia z maszyną wirtualną za pośrednictwem połączenia sieci VPN, sprawdź następujące kwestie:

• Sprawdź, czy połączenie sieci VPN zostało pomyślnie nawiązane.
• Sprawdź, czy łączysz się z prywatnym adresem IP maszyny wirtualnej.
• Jeśli możesz nawiązać połączenie z maszyną wirtualną przy użyciu prywatnego adresu IP, ale nie nazwy komputera, sprawdź, czy system DNS został prawidłowo skonfigurowany. Aby uzyskać więcej informacji na temat działania rozpoznawania nazw dla maszyn wirtualnych, zobacz Rozpoznawanie nazw dla maszyn wirtualnych.

Aby uzyskać więcej informacji na temat połączeń pulpitu zdalnego, zobacz Rozwiązywanie problemów z połączeniami pulpitu zdalnego z maszyną wirtualną.

Kroki opcjonalne

W tej sekcji opisano dostępne opcje.

Zmienianie rozmiaru jednostki SKU bramy

Istnieją określone reguły zmiany rozmiaru i zmiany jednostki SKU bramy. W tej sekcji zmieniasz rozmiar jednostki SKU. Aby uzyskać więcej informacji, zobacz Zmienianie rozmiaru lub zmienianie jednostek SKU bramy.

1. Przejdź do strony Konfiguracja bramy sieci wirtualnej.

2. Po prawej stronie wybierz strzałkę listy rozwijanej, aby wyświetlić listę dostępnych jednostek SKU.

   Zwróć uwagę, że lista wypełnia tylko jednostki SKU, których można użyć do zmiany rozmiaru bieżącej jednostki SKU. Jeśli nie widzisz jednostki SKU, której chcesz użyć, zamiast zmiany rozmiaru, musisz zmienić rozmiar na nową jednostkę SKU.

   

3. Wybierz jednostkę SKU z listy rozwijanej.

Resetowanie bramy

Resetowanie bramy Azure VPN Gateway przydaje się w przypadku utraty połączenia sieci VPN obejmującego wiele lokalizacji w jednym lub wielu tunelach VPN typu lokacja-lokacja. W takiej sytuacji lokalne urządzenia sieci VPN działają prawidłowo, ale nie mogą ustanowić tuneli IPsec z bramami Azure VPN Gateway.

1. W portalu przejdź do bramy sieci wirtualnej, którą chcesz zresetować.
2. Na stronie Brama sieci wirtualnej w okienku po lewej stronie przewiń w dół do pozycji Resetuj.
3. Na stronie Resetowanie wybierz pozycję Resetuj. Po wydaniu polecenia bieżące aktywne wystąpienie usługi Azure VPN Gateway zostanie natychmiast uruchomione ponownie. Zresetowanie bramy powoduje lukę w łączności sieci VPN i może ograniczyć przyszłą analizę głównej przyczyny problemu.

Dodawanie innego połączenia

Połączenie z wieloma lokacjami lokalnymi można utworzyć z tej samej bramy sieci VPN. Jeśli chcesz skonfigurować wiele połączeń, przestrzenie adresowe nie mogą nakładać się między żadnymi połączeniami.

1. Aby dodać kolejne połączenie, przejdź do bramy sieci VPN, a następnie wybierz pozycję Połączenie ions, aby otworzyć stronę Połączenie ions.
2. Wybierz pozycję + Dodaj , aby dodać połączenie. Dostosuj typ połączenia, aby odzwierciedlić połączenie między sieciami (w przypadku nawiązywania połączenia z inną bramą sieci wirtualnej) lub lokacja-lokacja.
3. Jeśli łączysz się przy użyciu połączenia lokacja-lokacja i nie utworzono jeszcze bramy sieci lokalnej dla lokacji, z którą chcesz nawiązać połączenie, możesz utworzyć nową.
4. Określ klucz wspólny, którego chcesz użyć, a następnie wybierz przycisk OK , aby utworzyć połączenie.

Więcej zagadnień dotyczących konfiguracji

Konfiguracje lokacja-lokacja można dostosować na różne sposoby. Aby uzyskać więcej informacji, zobacz następujące artykuły:

• Aby uzyskać informacje na temat protokołu BGP, zobacz Omówienie protokołu BGP i Jak skonfigurować protokół BGP.
• Aby uzyskać informacje o wymuszonym tunelowaniu, zobacz Informacje o wymuszonym tunelowaniu.
• Aby uzyskać informacje o połączeniach o wysokiej dostępności aktywne-aktywne, zobacz Połączenia między lokalizacjami o wysokiej dostępności i połączeniami między sieciami wirtualnymi.
• Aby uzyskać informacje na temat ograniczania ruchu sieciowego do zasobów w sieci wirtualnej, zobacz Zabezpieczenia sieci.
• Aby uzyskać informacje o sposobie kierowania ruchu między platformą Azure, środowiskiem lokalnym i zasobami internetowymi, zobacz Routing ruchu w sieci wirtualnej.

Czyszczenie zasobów

Jeśli nie zamierzasz nadal korzystać z tej aplikacji lub przejdź do następnego samouczka, usuń te zasoby.

1. Wprowadź nazwę grupy zasobów w polu Wyszukaj w górnej części portalu i wybierz ją z wyników wyszukiwania.
2. Wybierz pozycję Usuń grupę zasobów.
3. Wprowadź grupę zasobów w polu WPISZ NAZWĘ GRUPY ZASOBÓW, a następnie wybierz pozycję Usuń.

Następne kroki

Po skonfigurowaniu połączenia lokacja-lokacja można dodać połączenie typu punkt-lokacja do tej samej bramy.

Połączenia sieci VPN typu punkt-lokacja