Samouczek: tworzenie połączenia sieci VPN typu lokacja-lokacja w witrynie Azure Portal

W tym samouczku użyjesz witryny Azure Portal do utworzenia połączenia bramy sieci VPN typu lokacja-lokacja (S2S) między siecią lokalną a siecią wirtualną. Tę konfigurację można również utworzyć przy użyciu programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

W tym samouczku zostały wykonane następujące czynności:

• Utwórz sieć prywatną.
• Utwórz bramę sieci VPN.
• Utwórz bramę sieci lokalnej.
• Utwórz połączenie sieci VPN.
• Zweryfikuj połączenie.
• Nawiązywanie połączenia z maszyną wirtualną.

Wymagania wstępne

• Potrzebujesz konta platformy Azure z aktywną subskrypcją. Jeśli nie masz konta, możesz je utworzyć teraz za darmo.

• Jeśli nie znasz zakresów adresów IP znajdujących się w konfiguracji sieci lokalnej, musisz koordynować pracę z osobą, która może podać te szczegóły. Podczas tworzenia tej konfiguracji należy określić prefiksy zakresu adresów IP, które platforma Azure kieruje do lokalizacji lokalnej. Żadna z podsieci sieci lokalnej nie może nakładać się na podsieci sieci wirtualnej, z którymi chcesz nawiązać połączenie.

• Urządzenia sieci VPN:

  • Upewnij się, że masz zgodne urządzenie sieci VPN i osobę, która może ją skonfigurować. Aby uzyskać więcej informacji na temat zgodnych urządzeń sieci VPN i konfiguracji urządzeń, zobacz About VPN devices (Informacje o urządzeniach sieci VPN).
  • Sprawdź, czy masz dostępny zewnętrznie publiczny adres IPv4 urządzenia sieci VPN.
  • Sprawdź, czy urządzenie sieci VPN obsługuje bramy trybu aktywne-aktywne. W tym artykule jest tworzona brama sieci VPN w trybie aktywny-aktywny, która jest zalecana w przypadku łączności o wysokiej dostępności. Tryb aktywny-aktywny określa, że oba wystąpienia maszyn wirtualnych bramy są aktywne i używają dwóch publicznych adresów IP, po jednym dla każdego wystąpienia maszyny wirtualnej bramy. Urządzenie sieci VPN należy skonfigurować tak, aby łączyło się z adresem IP dla każdego wystąpienia maszyny wirtualnej bramy. Jeśli urządzenie sieci VPN nie obsługuje tego trybu, nie włączaj tego trybu dla bramy. Aby uzyskać więcej informacji, zobacz Projektowanie łączności o wysokiej dostępności dla połączeń między lokalizacjami i sieciami wirtualnymi oraz Informacje o bramach sieci VPN w trybie aktywny-aktywny.

Tworzenie sieci wirtualnej

W tej sekcji utworzysz sieć wirtualną przy użyciu następujących wartości:

• Grupa zasobów: TestRG1
• Nazwa: VNet1
• Region: (USA) Wschodnie stany USA
• Przestrzeń adresowa IPv4: 10.1.0.0/16
• Nazwa podsieci: FrontEnd
• Przestrzeń adresowa podsieci:

Uwaga

Jeśli używasz sieci wirtualnej w ramach architektury obejmującej wiele lokalizacji, pamiętaj, aby koordynować pracę z administratorem sieci lokalnej, aby wyrzucić zakres adresów IP, którego można używać specjalnie dla tej sieci wirtualnej. Jeśli po obu stronach połączenia sieci VPN będzie istnieć powielony zakres adresów, ruch będzie przekierowywany w nieoczekiwany sposób. Ponadto, jeśli chcesz połączyć tę sieć wirtualną z inną siecią wirtualną, przestrzeń adresowa nie może nakładać się na inną sieć wirtualną. Dlatego należy odpowiednio zaplanować konfigurację sieci.

1. Zaloguj się w witrynie Azure Portal.

2. W obszarze Wyszukaj zasoby, usługę i dokumenty (G+/) w górnej części strony portalu wprowadź wartość sieć wirtualna. Wybierz pozycję Sieć wirtualna w wynikach wyszukiwania witryny Marketplace, aby otworzyć stronę Sieć wirtualna.

3. Na stronie Sieć wirtualna wybierz pozycję Utwórz, aby otworzyć stronę Tworzenie sieci wirtualnej.

4. Na karcie Podstawowe skonfiguruj ustawienia sieci wirtualnej dla szczegółów projektu i szczegółów wystąpienia. Po zweryfikowaniu wprowadzonych wartości zostanie wyświetlony zielony znacznik wyboru. Wartości wyświetlane w przykładzie można dostosować zgodnie z wymaganymi ustawieniami.

   

   • Subskrypcja: Sprawdź, czy jest wyświetlana prawidłowa subskrypcja. Subskrypcje można zmienić przy użyciu pola listy rozwijanej.
   • Grupa zasobów: wybierz istniejącą grupę zasobów lub wybierz pozycję Utwórz nową , aby utworzyć nową. Aby uzyskać więcej informacji na temat grup zasobów, zobacz Omówienie usługi Azure Resource Manager.
   • Nazwa: Wprowadź nazwę sieci wirtualnej.
   • Region: wybierz lokalizację sieci wirtualnej. Lokalizacja określa, gdzie będą znajdować się zasoby wdrażane w tej sieci wirtualnej.

5. Wybierz pozycję Dalej lub Zabezpieczenia, aby przejść do karty Zabezpieczenia. W tym ćwiczeniu pozostaw wartości domyślne dla wszystkich usług na tej stronie.

6. Wybierz pozycję Adresy IP, aby przejść do karty Adresy IP. Na karcie Adresy IP skonfiguruj ustawienia.

   • Przestrzeń adresowa IPv4: domyślnie tworzona jest automatycznie przestrzeń adresowa. Możesz wybrać przestrzeń adresową i dostosować ją tak, aby odzwierciedlała własne wartości. Możesz również dodać inną przestrzeń adresową i usunąć wartość domyślną, która została utworzona automatycznie. Można na przykład określić adres początkowy jako 10.1.0.0 i określić rozmiar przestrzeni adresowej jako /16. Następnie wybierz pozycję Dodaj , aby dodać tę przestrzeń adresową.

   • + Dodaj podsieć: jeśli używasz domyślnej przestrzeni adresowej, domyślna podsieć zostanie utworzona automatycznie. Jeśli zmienisz przestrzeń adresową, dodaj nową podsieć w tej przestrzeni adresowej. Wybierz pozycję + Dodaj podsieć, aby otworzyć okno Dodawanie podsieci. Skonfiguruj następujące ustawienia, a następnie wybierz pozycję Dodaj w dolnej części strony, aby dodać wartości.

     • Nazwa podsieci: przykładem jest FrontEnd.
     • Zakres adresów podsieci: zakres adresów dla tej podsieci. Przykłady to 10.1.0.0 i /24.

7. Przejrzyj stronę Adresy IP i usuń wszystkie przestrzenie adresowe lub podsieci, których nie potrzebujesz.

8. Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować ustawienia sieci wirtualnej.

9. Po zweryfikowaniu ustawień wybierz pozycję Utwórz , aby utworzyć sieć wirtualną.

Po utworzeniu sieci wirtualnej możesz opcjonalnie skonfigurować usługę Azure DDoS Protection. Usługa Azure DDoS Protection jest prosta do włączenia w dowolnej nowej lub istniejącej sieci wirtualnej i nie wymaga żadnych zmian aplikacji ani zasobów. Aby uzyskać więcej informacji na temat usługi Azure DDoS Protection, zobacz Co to jest usługa Azure DDoS Protection?.

Tworzenie podsieci bramy

Brama sieci wirtualnej wymaga określonej podsieci o nazwie GatewaySubnet. Podsieć bramy jest częścią zakresu adresów IP sieci wirtualnej i zawiera adresy IP używane przez zasoby i usługi bramy sieci wirtualnej.

Podczas tworzenia podsieci bramy należy określić liczbę zawartych w niej adresów IP. Liczba potrzebnych adresów IP zależy od konfiguracji bramy sieci VPN, którą chce się utworzyć. Niektóre konfiguracje wymagają większej liczby adresów IP niż inne. Najlepiej określić /27 lub większą (/26, /25 itp.) dla podsieci bramy.

1. Na stronie sieci wirtualnej w okienku po lewej stronie wybierz pozycję Podsieci, aby otworzyć stronę Podsieci.
2. W górnej części strony wybierz pozycję + Podsieć bramy, aby otworzyć okienko Dodaj podsieć .
3. Nazwa jest automatycznie wprowadzana jako GatewaySubnet. W razie potrzeby dostosuj wartość zakresu adresów IP. Przykładem jest 10.1.255.0/27.
4. Nie dopasuj innych wartości na stronie. Wybierz pozycję Zapisz w dolnej części strony, aby zapisać podsieć.

Ważne

Sieciowe grupy zabezpieczeń w podsieci bramy nie są obsługiwane. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci wirtualnej (vpn i bramy usługi ExpressRoute) przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz What is a Network Security Group? (Co to jest sieciowa grupa zabezpieczeń?)

Tworzenie bramy sieci VPN

W tym kroku utworzysz bramę sieci wirtualnej (bramę sieci VPN) dla sieci wirtualnej. Tworzenie bramy często może trwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy.

Tworzenie bramy sieci VPN

Utwórz bramę sieci wirtualnej (bramę sieci VPN) przy użyciu następujących wartości:

• Nazwa: VNet1GW
• Typ bramy: VPN
• Jednostka SKU: VpnGw2AZ
• Generacja: Generacja 2
• Sieć wirtualna: VNet1
• Zakres adresów podsieci bramy: 10.1.255.0/27
• Publiczny adres IP: utwórz nowy
• Nazwa publicznego adresu IP: VNet1GWpip1
• Jednostka SKU publicznego adresu IP: Standardowa
• Przypisanie: statyczne
• Druga nazwa publicznego adresu IP: VNet1GWpip2
• Włącz tryb aktywny-aktywny: włączone
• Konfigurowanie protokołu BGP: wyłączone

1. W obszarze Wyszukaj zasoby, usługi i dokumenty (G+/)wprowadź bramę sieci wirtualnej. Znajdź bramę sieci wirtualnej w wynikach wyszukiwania witryny Marketplace i wybierz ją, aby otworzyć stronę Tworzenie bramy sieci wirtualnej.

2. Na karcie Podstawy wypełnij wartości szczegółów projektu i szczegółów wystąpienia.

   

   • Subskrypcja: wybierz subskrypcję, której chcesz użyć z listy rozwijanej.

   • Grupa zasobów: ta wartość jest wypełniana automatycznie po wybraniu sieci wirtualnej na tej stronie.

   • Nazwa: jest to nazwa tworzonego obiektu bramy. Różni się to od podsieci bramy, do której zostaną wdrożone zasoby bramy.

   • Region: wybierz region, w którym chcesz utworzyć ten zasób. Region bramy musi być taki sam jak sieć wirtualna.

   • Typ bramy: Wybierz pozycję Sieć VPN. Bramy sieci VPN używają typu bramy sieci wirtualnej Sieć VPN.

   • Jednostka SKU: z listy rozwijanej wybierz jednostkę SKU bramy, która obsługuje funkcje, których chcesz użyć.

     • Zalecamy wybranie jednostki SKU, która kończy się w az, gdy jest to możliwe. Jednostki SKU AZ obsługują strefy dostępności.
     • Podstawowa jednostka SKU nie jest dostępna w portalu. Aby skonfigurować bramę jednostki SKU w warstwie Podstawowa, należy użyć programu PowerShell lub interfejsu wiersza polecenia.

   • Generacja: wybierz pozycję Generacja2 z listy rozwijanej.

   • Sieć wirtualna: z listy rozwijanej wybierz sieć wirtualną, do której chcesz dodać tę bramę. Jeśli nie widzisz sieci wirtualnej, której chcesz użyć, upewnij się, że wybrano poprawną subskrypcję i region w poprzednich ustawieniach.

   • Zakres adresów podsieci bramy lub podsieć: podsieć bramy jest wymagana do utworzenia bramy sieci VPN.

     Obecnie to pole może wyświetlać różne opcje ustawień w zależności od przestrzeni adresowej sieci wirtualnej i tego, czy utworzono już podsieć o nazwie GatewaySubnet dla sieci wirtualnej.

     Jeśli nie masz podsieci bramy i nie widzisz opcji jej utworzenia na tej stronie, wróć do sieci wirtualnej i utwórz podsieć bramy. Następnie wróć do tej strony i skonfiguruj bramę sieci VPN.

3. Określ wartości dla publicznego adresu IP. Te ustawienia określają obiekty publicznego adresu IP, które będą skojarzone z bramą sieci VPN. Publiczny adres IP jest przypisywany do każdego obiektu publicznego adresu IP podczas tworzenia bramy sieci VPN. Jedyną zmianą przypisanego publicznego adresu IP jest usunięcie i ponowne utworzenie bramy. Adresy IP nie zmieniają się w przypadku zmiany rozmiaru, resetowania ani innych wewnętrznych konserwacji/uaktualnień bramy sieci VPN.

   

   • Typ publicznego adresu IP: jeśli ta opcja zostanie wyświetlona, wybierz pozycję Standardowa.

   • Publiczny adres IP: pozostaw zaznaczoną opcję Utwórz nową .

   • Nazwa publicznego adresu IP: w polu tekstowym wprowadź nazwę wystąpienia publicznego adresu IP.

   • Jednostka SKU publicznego adresu IP: ustawienie jest automatycznie wybierane na jednostkę SKU w warstwie Standardowa.

   • Przypisanie: przypisanie jest zwykle wybierane automatycznie i powinno być statyczne.

   • Strefa dostępności: to ustawienie jest dostępne dla jednostek SKU bramy AZ w regionach obsługujących strefy dostępności. Wybierz strefę nadmiarową, chyba że chcesz określić strefę.

   • Włącz tryb aktywny-aktywny: zalecamy wybranie opcji Włączone , aby skorzystać z zalet bramy trybu aktywnego-aktywnego. Jeśli planujesz używać tej bramy do połączenia lokacja-lokacja, należy wziąć pod uwagę następujące kwestie:

     • Sprawdź projekt aktywny-aktywny, którego chcesz użyć. Połączenia z lokalnym urządzeniem sieci VPN muszą być skonfigurowane specjalnie w celu korzystania z trybu aktywne-aktywne.
     • Niektóre urządzenia sieci VPN nie obsługują trybu aktywne-aktywne. Jeśli nie masz pewności, zapoznaj się z dostawcą urządzenia sieci VPN. Jeśli używasz urządzenia sieci VPN, które nie obsługuje trybu aktywne-aktywne, możesz wybrać opcję Wyłączone dla tego ustawienia.

   • Drugi publiczny adres IP: wybierz pozycję Utwórz nowy. Jest to dostępne tylko w przypadku wybrania opcji Włączone dla ustawienia Włącz tryb aktywny-aktywny.

   • Nazwa publicznego adresu IP: w polu tekstowym wprowadź nazwę wystąpienia publicznego adresu IP.

   • Jednostka SKU publicznego adresu IP: ustawienie jest automatycznie wybierane na jednostkę SKU w warstwie Standardowa.

   • Strefa dostępności: wybierz strefę nadmiarową, chyba że chcesz określić strefę.

   • Skonfiguruj protokół BGP: wybierz pozycję Wyłączone, chyba że konfiguracja wymaga tego ustawienia. Jeśli to ustawienie jest wymagane, domyślna nazwa ASN to 65515, chociaż tę wartość można zmienić.

   • Włącz dostęp do usługi Key Vault: wybierz pozycję Wyłączone, chyba że konfiguracja wymaga tego ustawienia.

4. Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację.

5. Po zakończeniu walidacji wybierz pozycję Utwórz , aby wdrożyć bramę sieci VPN.

Tworzenie i wdrażanie bramy może potrwać co najmniej 45 minut. Stan wdrożenia można zobaczyć na stronie Przegląd bramy.

Ważne

Sieciowe grupy zabezpieczeń w podsieci bramy nie są obsługiwane. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci wirtualnej (vpn i bramy usługi ExpressRoute) przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz What is a Network Security Group? (Co to jest sieciowa grupa zabezpieczeń?)

Wyświetlanie publicznego adresu IP

Aby wyświetlić adres IP skojarzony z każdym wystąpieniem maszyny wirtualnej bramy sieci wirtualnej, przejdź do bramy sieci wirtualnej w portalu.

1. Przejdź do strony Właściwości bramy sieci wirtualnej (a nie na stronie Przegląd). Może być konieczne rozwinięcie obszaru Ustawienia , aby wyświetlić stronę Właściwości na liście.
2. Jeśli brama jest w trybie aktywny-pasywny, zobaczysz tylko jeden adres IP. Jeśli brama jest w trybie aktywny-aktywny, zobaczysz na liście dwa publiczne adresy IP, po jednym dla każdego wystąpienia maszyny wirtualnej bramy. Podczas tworzenia połączenia lokacja-lokacja należy określić każdy adres IP podczas konfigurowania urządzenia sieci VPN, ponieważ obie maszyny wirtualne bramy są aktywne.
3. Aby wyświetlić więcej informacji o obiekcie adresu IP, kliknij skojarzony link adresu IP.

Tworzenie bramy sieci lokalnej

Brama sieci lokalnej jest określonym obiektem wdrożonym na platformie Azure, który reprezentuje lokalizację lokalną (lokację) na potrzeby routingu. Nadaj lokacji nazwę, za pomocą której platforma Azure może się do niej odwoływać, a następnie określ adres IP lokalnego urządzenia sieci VPN, do którego utworzysz połączenie. Należy również określić prefiksy adresów IP, które są kierowane przez bramę sieci VPN do urządzenia sieci VPN. Określone prefiksy adresów są prefiksami znajdującymi się w Twojej sieci lokalnej. W przypadku zmiany sieci lokalnej lub jeśli trzeba zmienić publiczny adres IP urządzenia sieci VPN, można łatwo zaktualizować wartości później. Dla każdego urządzenia sieci VPN, z którym chcesz nawiązać połączenie, należy utworzyć oddzielną bramę sieci lokalnej. Niektóre projekty łączności o wysokiej dostępności określają wiele lokalnych urządzeń sieci VPN.

Utwórz bramę sieci lokalnej przy użyciu następujących wartości:

• Nazwa: Site1
• Grupa zasobów: TestRG1
• Lokalizacja: Wschodnie stany USA

Zagadnienia dotyczące konfiguracji:

• Usługa VPN Gateway obsługuje tylko jeden adres IPv4 dla każdej nazwy FQDN. Jeśli nazwa domeny jest rozpoznawana jako wiele adresów IP, usługa VPN Gateway używa pierwszego adresu IP zwróconego przez serwery DNS. Aby wyeliminować niepewność, zalecamy, aby nazwa FQDN zawsze była rozpoznawana jako pojedynczy adres IPv4. Protokół IPv6 nie jest obsługiwany.
• Usługa VPN Gateway utrzymuje pamięć podręczną DNS odświeżaną co 5 minut. Brama próbuje rozpoznać nazwy FQDN tylko dla rozłączonych tuneli. Zresetowanie bramy powoduje również wyzwolenie rozpoznawania nazw FQDN.
• Mimo że usługa VPN Gateway obsługuje wiele połączeń z różnymi bramami sieci lokalnej z różnymi nazwami FQDN, wszystkie nazwy FQDN muszą rozpoznawać różne adresy IP.

1. W portalu przejdź do pozycji Bramy sieci lokalnej i otwórz stronę Tworzenie bramy sieci lokalnej.

2. W karcie Podstawowe określ wartości bramy sieci lokalnej.

   

   • Subskrypcja: sprawdź, czy wyświetlana jest prawidłowa subskrypcja.
   • Grupa zasobów: wybierz grupę zasobów, której chcesz użyć. Możesz utworzyć nową grupę zasobów lub wybrać grupę, która została już utworzona.
   • Region: wybierz region dla tego obiektu. Możesz wybrać tę samą lokalizację, w której znajduje się sieć wirtualna, ale nie musisz tego robić.
   • Nazwa: określ nazwę obiektu bramy sieci lokalnej.
   • Punkt końcowy: wybierz typ punktu końcowego dla lokalnego urządzenia sieci VPN jako adresu IP lub nazwy FQDN (w pełni kwalifikowana nazwa domeny).
     • Adres IP: jeśli masz statyczny publiczny adres IP przydzielony z dostawcy usług internetowych (ISP) dla urządzenia sieci VPN, wybierz opcję Adres IP. Wypełnij adres IP, jak pokazano w przykładzie. Ten adres to publiczny adres IP urządzenia sieci VPN, z którym ma nawiązać połączenie usługa Azure VPN Gateway. Jeśli nie masz teraz adresu IP, możesz użyć wartości przedstawionych w przykładzie. Później należy wrócić i zastąpić zastępczy adres IP publicznym adresem IP urządzenia sieci VPN. W przeciwnym razie platforma Azure nie może nawiązać połączenia.
     • Nazwa FQDN: jeśli masz dynamiczny publiczny adres IP, który może ulec zmianie po pewnym czasie, często określany przez usługodawcę internetowy, możesz użyć stałej nazwy DNS z usługą Dynamic DNS, aby wskazać bieżący publiczny adres IP urządzenia sieci VPN. Twoja brama sieci VPN platformy Azure rozpoznaje nazwę FQDN, aby określić publiczny adres IP do nawiązania połączenia.
   • Przestrzeń adresowa: Przestrzeń adresowa odnosi się do zakresów adresów sieci reprezentowanej przez tę sieć lokalną. Można dodać wiele zakresów przestrzeni adresów. Upewnij się, że określone w tym miejscu zakresy nie pokrywają się z zakresami innych sieci, z którymi chcesz się łączyć. Platforma Azure kieruje zakres adresów określony do lokalnego adresu IP urządzenia sieci VPN. Jeśli chcesz nawiązać połączenie ze swoją lokacją lokalną, podaj w tym miejscu własne wartości, a nie wartości pokazane w przykładzie.

3. Na karcie Zaawansowane można w razie potrzeby skonfigurować ustawienia protokołu BGP.

4. Po określeniu wartości wybierz pozycję Przejrzyj i utwórz w dolnej części strony, aby zweryfikować stronę.

5. Wybierz pozycję Utwórz, aby utworzyć obiekt bramy sieci lokalnej.

Konfiguracja urządzenia sieci VPN

Połączenia typu lokacja-lokacja z siecią lokalną wymagają urządzenia sieci VPN. W tym kroku konfigurowane jest urządzenie sieci VPN. Podczas konfigurowania urządzenia sieci VPN potrzebne są następujące wartości:

• Klucz współużytkowany: ten klucz współużytkowany jest taki sam, który określa się podczas tworzenia połączenia sieci VPN typu lokacja-lokacja. W naszych przykładach używamy prostego klucza wspólnego. Zalecamy, aby do użycia wygenerować bardziej złożony klucz.
• Publiczne adresy IP wystąpień bramy sieci wirtualnej: uzyskaj adres IP dla każdego wystąpienia maszyny wirtualnej. Jeśli brama jest w trybie aktywny-aktywny, będziesz mieć adres IP dla każdego wystąpienia maszyny wirtualnej bramy. Pamiętaj, aby skonfigurować urządzenie przy użyciu obu adresów IP, po jednym dla każdej aktywnej maszyny wirtualnej bramy. Bramy trybu wstrzymania aktywnego mają tylko jeden adres IP.

Uwaga

W przypadku połączeń typu lokacja-lokacja z bramą sieci VPN w trybie aktywny-aktywny upewnij się, że tunele są ustanawiane dla każdego wystąpienia maszyny wirtualnej bramy. Jeśli ustanowić tunel tylko do jednego wystąpienia maszyny wirtualnej bramy, połączenie spadnie podczas konserwacji. Jeśli urządzenie sieci VPN nie obsługuje tej konfiguracji, skonfiguruj bramę pod kątem trybu wstrzymania aktywnego.

W zależności od posiadanego urządzenia sieci VPN może być możliwe pobranie skryptu konfiguracji urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Pobieranie skryptów konfiguracji urządzenia sieci VPN.

Aby uzyskać więcej informacji o konfiguracji, zobacz następujące linki:

• Aby uzyskać informacje o zgodnych urządzeniach sieci VPN, zobacz Urządzenia sieci VPN.
• Przed skonfigurowaniem urządzenia sieci VPN sprawdź wszelkie znane problemy ze zgodnością urządzeń dla urządzenia sieci VPN, którego chcesz użyć.
• Aby uzyskać linki do ustawień konfiguracji urządzenia, zobacz Zweryfikowane urządzenia sieci VPN. Linki do ustawień konfiguracji urządzeń zostały podane na zasadzie największej staranności. Zawsze najlepiej jest skontaktować się z producentem urządzenia, aby uzyskać najnowsze informacje o konfiguracji. Lista zawiera przetestowane wersje. Jeśli system operacyjny nie znajduje się na tej liście, nadal jest możliwe, że wersja jest zgodna. Zapoznaj się z producentem urządzenia, aby sprawdzić, czy wersja systemu operacyjnego dla urządzenia sieci VPN jest zgodna.
• Aby zapoznać się z omówieniem konfiguracji urządzenia sieci VPN, zobacz Omówienie konfiguracji urządzeń sieci VPN innych firm.
• Aby uzyskać informacje na temat edytowania przykładów konfiguracji urządzeń, zobacz Edytowanie przykładów.
• Aby poznać wymagania w zakresie usług kryptograficznych, zobacz artykuł About cryptographic requirements and Azure VPN gateways (Informacje dotyczące wymagań w zakresie usług kryptograficznych oraz bram VPN platformy Azure).
• Aby uzyskać informacje o parametrach protokołu IPsec/IKE, zobacz Informacje o urządzeniach sieci VPN i parametrach protokołu IPsec/IKE dla połączeń bramy sieci VPN typu lokacja-lokacja. Ten link zawiera informacje na temat wersji IKE, grupy Diffie-Hellman, metody uwierzytelniania, algorytmów szyfrowania i tworzenia skrótów, okresu istnienia programu SA, PFS i DPD, oprócz innych informacji o parametrach potrzebnych do ukończenia konfiguracji.
• Aby uzyskać instrukcje konfiguracji zasad protokołu IPsec/IKE, zobacz Konfigurowanie zasad protokołu IPsec/IKE dla połączeń sieci VPN typu lokacja-lokacja lub połączeń między sieciami wirtualnymi.
• Aby połączyć wiele urządzeń sieci VPN opartej na zasadach, zobacz Connect Azure VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Łączenie bram usługi Azure VPN Gateway z wieloma lokalnymi urządzeniami sieci VPN opartej na zasadach przy użyciu programu PowerShell).

Tworzenie połączeń sieci VPN

Utwórz połączenie sieci VPN typu lokacja-lokacja między bramą sieci wirtualnej a lokalnym urządzeniem sieci VPN. Jeśli używasz bramy trybu aktywne-aktywne (zalecane), każde wystąpienie maszyny wirtualnej bramy ma oddzielny adres IP. Aby prawidłowo skonfigurować łączność o wysokiej dostępności, należy ustanowić tunel między każdym wystąpieniem maszyny wirtualnej a urządzeniem sieci VPN. Oba tunele są częścią tego samego połączenia.

Utwórz połączenie przy użyciu następujących wartości:

• Nazwa bramy sieci lokalnej: Site1
• Nazwa połączenia: VNet1toSite1
• Klucz wspólny: w tym przykładzie użyto abc123. Można jednak użyć dowolnego sprzętu sieci VPN. Ważne, żeby wartości były zgodne po obu stronach połączenia.

1. W portalu przejdź do bramy sieci wirtualnej i otwórz ją.

2. Na stronie bramy wybierz pozycję Połączenia.

3. W górnej części strony Połączenia wybierz pozycję + Dodaj , aby otworzyć stronę Tworzenie połączenia .

   

4. Na stronie Tworzenie połączenia na karcie Podstawy skonfiguruj wartości dla połączenia:

   • W obszarze Szczegóły projektu wybierz subskrypcję i grupę zasobów, w której znajdują się zasoby.

   • W obszarze Szczegóły wystąpienia skonfiguruj następujące ustawienia:

     • Typ połączenia: wybierz pozycję Lokacja-lokacja (IPSec).
     • Nazwa: nazwij połączenie.
     • Region: wybierz region dla połączenia.

5. Wybierz kartę Ustawienia i skonfiguruj następujące wartości:

   

   • Brama sieci wirtualnej: wybierz bramę sieci wirtualnej z listy rozwijanej.
   • Brama sieci lokalnej: wybierz bramę sieci lokalnej z listy rozwijanej.
   • Klucz współużytkowany: wartość musi być zgodna z wartością używaną dla lokalnego lokalnego urządzenia sieci VPN. Jeśli to pole nie jest wyświetlane na stronie portalu lub chcesz później zaktualizować ten klucz, możesz to zrobić po utworzeniu obiektu połączenia. Przejdź do utworzonego obiektu połączenia (przykładowa nazwa: VNet1toSite1) i zaktualizuj klucz na stronie Uwierzytelnianie .
   • Protokół IKE: wybierz pozycję IKEv2.
   • Użyj prywatnego adresu IP platformy Azure: nie wybieraj.
   • Włącz protokół BGP: nie wybieraj.
   • FastPath: nie wybieraj.
   • Zasady protokołu IPsec/IKE: wybierz pozycję Domyślne.
   • Użyj selektora ruchu opartego na zasadach: wybierz pozycję Wyłącz.
   • Limit czasu usługi DPD w sekundach: wybierz wartość 45.
   • Tryb połączenia: wybierz pozycję Domyślne. To ustawienie służy do określania, która brama może zainicjować połączenie. Aby uzyskać więcej informacji, zobacz Ustawienia bramy sieci VPN — tryby połączenia.

6. W przypadku skojarzeń reguł translatora adresów sieciowych pozostaw wybraną wartość ruchu przychodzącego i wychodzącego jako 0.

7. Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować ustawienia połączenia.

8. Wybierz Utwór, aby utworzyć łącznik.

9. Po zakończeniu wdrażania można wyświetlić połączenie na stronie Połączenia bramy sieci wirtualnej. Stan zmieni się z Nieznany na Łączenie , a następnie na Powodzenie.

Konfigurowanie większej liczby ustawień połączenia (opcjonalnie)

W razie potrzeby można skonfigurować więcej ustawień połączenia. W przeciwnym razie pomiń tę sekcję i pozostaw wartości domyślne. Aby uzyskać więcej informacji, zobacz Konfigurowanie niestandardowych zasad połączeń protokołu IPsec/IKE.

1. Przejdź do bramy sieci wirtualnej i wybierz pozycję Połączenia , aby otworzyć stronę Połączenia .

2. Wybierz nazwę połączenia, które chcesz skonfigurować, aby otworzyć stronę Połączenie .

3. Po lewej stronie strony Połączenie wybierz pozycję Konfiguracja , aby otworzyć stronę Konfiguracja . Wprowadź wszelkie niezbędne zmiany, a następnie wybierz pozycję Zapisz.

   Na poniższych zrzutach ekranu ustawienia są włączone, aby zobaczyć ustawienia konfiguracji, które są dostępne w portalu. Wybierz zrzut ekranu, aby wyświetlić rozwinięty widok. Podczas konfigurowania połączeń należy skonfigurować tylko wymagane ustawienia. W przeciwnym razie pozostaw ustawienia domyślne.

   

   

Sprawdzanie połączenia sieci VPN

W witrynie Azure Portal możesz wyświetlić stan połączenia bramy sieci VPN, przechodząc do połączenia. Poniższe kroki pokazują jeden ze sposobów przejścia do połączenia i zweryfikowania.

1. W menu witryny Azure Portal wybierz pozycję Wszystkie zasoby lub wyszukaj i wybierz pozycję Wszystkie zasoby na dowolnej stronie.
2. Wybierz bramę sieci wirtualnej.
3. W okienku bramy sieci wirtualnej wybierz pozycję Połączenia. Zostanie pokazany stan każdego połączenia.
4. Wybierz nazwę połączenia, które chcesz zweryfikować, aby otworzyć podstawowe elementy. W okienku Podstawy możesz wyświetlić więcej informacji o połączeniu. Stan to Powodzenie i Połączono po pomyślnym nawiązaniu połączenia.

Nawiązywanie połączenia z maszyną wirtualną

Możesz nawiązać połączenie z maszyną wirtualną wdrożona w sieci wirtualnej, tworząc połączenie pulpitu zdalnego z maszyną wirtualną. Najlepszym sposobem na zweryfikowanie, czy można połączyć się z maszyną wirtualną, jest połączenie się z nią za pomocą jej prywatnego adresu IP, a nie nazwy komputera. W ten sposób można przetestować możliwość połączenia się, a nie poprawność skonfigurowania rozpoznawania nazw.

1. Zlokalizuj prywatny adres IP. Prywatny adres IP maszyny wirtualnej można znaleźć, przeglądając właściwości maszyny wirtualnej w witrynie Azure Portal lub przy użyciu programu PowerShell.

   • Azure Portal: znajdź maszynę wirtualną w witrynie Azure Portal. Wyświetl właściwości maszyny wirtualnej. Zostanie wyświetlony prywatny adres IP.

   • PowerShell: użyj przykładu, aby wyświetlić listę maszyn wirtualnych i prywatnych adresów IP z grup zasobów. Przed użyciem tego przykładu nie trzeba go modyfikować.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Sprawdź, czy masz połączenie z siecią wirtualną.

3. Otwórz okno Podłączanie pulpitu zdalnego, wprowadzając protokół RDP lub Podłączanie pulpitu zdalnego w polu wyszukiwania na pasku zadań. Następnie wybierz pozycję Podłączanie pulpitu zdalnego. Możesz również otworzyć połączenie pulpitu mstsc zdalnego przy użyciu polecenia w programie PowerShell.

4. W programie Podłączanie pulpitu zdalnego wprowadź prywatny adres IP maszyny wirtualnej. Możesz wybrać pozycję Pokaż opcje , aby dostosować inne ustawienia, a następnie nawiązać połączenie.

Jeśli masz problemy z nawiązywaniem połączenia z maszyną wirtualną za pośrednictwem połączenia sieci VPN, sprawdź następujące kwestie:

• Sprawdź, czy połączenie sieci VPN zostało pomyślnie nawiązane.
• Sprawdź, czy łączysz się z prywatnym adresem IP maszyny wirtualnej.
• Jeśli możesz nawiązać połączenie z maszyną wirtualną przy użyciu prywatnego adresu IP, ale nie nazwy komputera, sprawdź, czy system DNS został prawidłowo skonfigurowany. Aby uzyskać więcej informacji na temat działania rozpoznawania nazw dla maszyn wirtualnych, zobacz Rozpoznawanie nazw dla maszyn wirtualnych.

Aby uzyskać więcej informacji na temat połączeń pulpitu zdalnego, zobacz Rozwiązywanie problemów z połączeniami pulpitu zdalnego z maszyną wirtualną.

Kroki opcjonalne

Resetowanie bramy

Resetowanie bramy Azure VPN Gateway przydaje się w przypadku utraty połączenia sieci VPN obejmującego wiele lokalizacji w jednym lub wielu tunelach VPN typu lokacja-lokacja. W takiej sytuacji lokalne urządzenia sieci VPN działają prawidłowo, ale nie mogą ustanowić tuneli IPsec z bramami Azure VPN Gateway. Jeśli chcesz zresetować bramę active-active-active, możesz zresetować oba wystąpienia przy użyciu portalu. Możesz również użyć programu PowerShell lub interfejsu wiersza polecenia, aby zresetować każde wystąpienie bramy oddzielnie przy użyciu adresów VIP wystąpień. Aby uzyskać więcej informacji, zobacz Resetowanie połączenia lub bramy.

1. W portalu przejdź do bramy sieci wirtualnej, którą chcesz zresetować.
2. Na stronie Brama sieci wirtualnej w okienku po lewej stronie przewiń i znajdź pozycję Pomoc —> resetowanie.
3. Na stronie Resetowanie wybierz pozycję Resetuj. Po wydaniu polecenia bieżące aktywne wystąpienie bramy sieci VPN platformy Azure zostanie natychmiast uruchomione ponownie. Zresetowanie bramy powoduje lukę w łączności sieci VPN i może ograniczyć przyszłą analizę głównej przyczyny problemu.

Dodawanie innego połączenia

Brama może mieć wiele połączeń. Jeśli chcesz skonfigurować połączenia z wieloma lokacjami lokalnymi z tej samej bramy sieci VPN, przestrzenie adresowe nie mogą nakładać się między żadnymi połączeniami.

1. Jeśli łączysz się przy użyciu sieci VPN typu lokacja-lokacja i nie masz bramy sieci lokalnej dla lokacji, z którą chcesz nawiązać połączenie, utwórz kolejną bramę sieci lokalnej i określ szczegóły lokacji. Aby uzyskać więcej informacji, zobacz Tworzenie bramy sieci lokalnej.
2. Aby dodać połączenie, przejdź do bramy sieci VPN, a następnie wybierz pozycję Połączenia , aby otworzyć stronę Połączenia .
3. Wybierz pozycję + Dodaj , aby dodać połączenie. Dostosuj typ połączenia, aby odzwierciedlić połączenie między sieciami wirtualnymi (w przypadku nawiązywania połączenia z inną bramą sieci wirtualnej) lub lokacja-lokacja.
4. Określ klucz wspólny, którego chcesz użyć, a następnie wybierz przycisk OK , aby utworzyć połączenie.

Aktualizowanie klucza współużytkowanego połączenia

Możesz określić inny klucz współużytkowany dla połączenia.

1. W portalu przejdź do połączenia.
2. Zmień klucz wspólny na stronie Uwierzytelnianie .
3. Zapisz zmiany.
4. W razie potrzeby zaktualizuj urządzenie sieci VPN przy użyciu nowego klucza współużytkowanego.

Zmienianie rozmiaru lub zmienianie jednostki SKU bramy

Możesz zmienić rozmiar jednostki SKU bramy lub zmienić jednostkę SKU bramy. Istnieją określone reguły dotyczące dostępnej opcji, w zależności od jednostki SKU używanej obecnie przez bramę. Aby uzyskać więcej informacji, zobacz Zmienianie rozmiaru lub zmienianie jednostek SKU bramy.

Więcej zagadnień dotyczących konfiguracji

Konfiguracje lokacja-lokacja można dostosować na różne sposoby. Aby uzyskać więcej informacji, zobacz następujące artykuły:

• Aby uzyskać informacje na temat protokołu BGP, zobacz Omówienie protokołu BGP i Jak skonfigurować protokół BGP.
• Aby uzyskać informacje o wymuszonym tunelowaniu, zobacz Informacje o wymuszonym tunelowaniu.
• Aby uzyskać informacje o połączeniach o wysokiej dostępności aktywne-aktywne, zobacz Połączenia między lokalizacjami o wysokiej dostępności i połączeniami między sieciami wirtualnymi.
• Aby uzyskać informacje na temat ograniczania ruchu sieciowego do zasobów w sieci wirtualnej, zobacz Zabezpieczenia sieci.
• Aby uzyskać informacje o sposobie kierowania ruchu między platformą Azure, środowiskiem lokalnym i zasobami internetowymi, zobacz Routing ruchu w sieci wirtualnej.

Czyszczenie zasobów

Jeśli nie zamierzasz nadal korzystać z tej aplikacji lub przejdź do następnego samouczka, usuń te zasoby.

1. Wprowadź nazwę grupy zasobów w polu Wyszukaj w górnej części portalu i wybierz ją z wyników wyszukiwania.
2. Wybierz pozycję Usuń grupę zasobów.
3. Wprowadź grupę zasobów w polu WPISZ NAZWĘ GRUPY ZASOBÓW, a następnie wybierz pozycję Usuń.

Następne kroki

Po skonfigurowaniu połączenia lokacja-lokacja można dodać połączenie typu punkt-lokacja do tej samej bramy.

Połączenia sieci VPN typu punkt-lokacja