Partilhar via

Ligar um Gateway de VPN (gateway de rede virtual) ao WAN Virtual

  • Artigo

Este artigo ajuda-o a configurar a conectividade de um Gateway de VPN do Azure (gateway de rede virtual) para um WAN Virtual do Azure (gateway de VPN). Criar uma ligação de um Gateway de VPN (gateway de rede virtual) para um WAN Virtual (gateway de VPN) é semelhante a configurar a conectividade a uma WAN virtual a partir de sites de VPN de ramo.

Para minimizar uma possível confusão entre duas funcionalidades, vamos preceder o gateway com o nome da funcionalidade a que nos referimos. Por exemplo, Gateway de VPN gateway de rede virtual e WAN Virtual gateway de VPN.

Antes de começar

Antes de começar, crie os seguintes recursos:

WAN Virtual do Azure

Rede Virtual (para gateway de rede virtual)

  • Crie uma rede virtual sem gateways de rede virtual. Esta rede virtual será configurada com um gateway de rede virtual ativo/ativo em passos posteriores. Verifique se nenhuma das sub-redes das suas redes no local se sobrepõe às redes virtuais às quais pretende ligar.

1. Configurar Gateway de VPN gateway de rede virtual

Nesta secção, vai criar um Gateway de VPN gateway de rede virtual no modo ativo-ativo para a sua rede virtual. Quando cria o gateway, pode utilizar endereços IP públicos existentes para as duas instâncias do gateway ou pode criar novos IPs públicos. Irá utilizar estes IPs públicos ao configurar o WAN Virtual sites.

  1. Crie um Gateway de VPN gateway de rede virtual no modo ativo-ativo para a sua rede virtual. Para obter mais informações sobre os gateways de VPN ativo-ativo e os passos de configuração, veja Configurar gateways de VPN ativos-ativos.

  2. As secções seguintes mostram definições de exemplo para o gateway de rede virtual.

    • Definição modo ativo-ativo – na página Configuração do gateway de rede virtual, certifique-se de que o modo ativo-ativo está ativado.

      Captura de ecrã a mostrar um gateway de rede virtual com o modo ativo-ativo ativado.

    • Definição de BGP – na página Configuração do gateway de rede virtual, pode (opcionalmente) selecionar Configurar ASN de BGP. Se configurar o BGP, altere o ASN do valor predefinido apresentado no portal. Para esta configuração, o ASN bgp não pode ser 65515. O 65515 será utilizado pelo Azure WAN Virtual.

      Captura de ecrã a mostrar uma página de Configuração do gateway de rede virtual com a opção Configurar ASN de BGP selecionada.

    • Endereços IP públicos – assim que o gateway for criado, aceda à página Propriedades . As propriedades e as definições de configuração serão semelhantes ao exemplo seguinte. Repare nos dois endereços IP públicos que são utilizados para o gateway.

      Captura de ecrã a mostrar a página Propriedades de um gateway de rede virtual com as propriedades selecionadas.

2. Criar sites de VPN WAN Virtual

Nesta secção, irá criar dois WAN Virtual sites VPN que correspondem aos gateways de rede virtual que criou na secção anterior.

  1. Na página WAN Virtual, aceda a Sites VPN.

  2. Na página Sites VPN, clique em +Criar site.

  3. Na página Criar Site VPN, no separador Informações Básicas, preencha os seguintes campos:

    • Região: a mesma região que o Azure Gateway de VPN gateway de rede virtual.
    • Nome: Exemplo: Site1
    • Fornecedor do dispositivo: o nome do fornecedor do dispositivo VPN (por exemplo: Citrix, Cisco, Barracuda). Adicionar o fornecedor do dispositivo pode ajudar a Equipa do Azure a compreender melhor o seu ambiente de modo a acrescentar possibilidades de otimização adicionais no futuro ou a ajudá-lo a resolver problemas.
    • Espaço de endereços privado: introduza um valor ou deixe em branco quando o BGP estiver ativado.

  4. Selecione Seguinte: Ligações> para avançar para a página Ligações .

  5. Na página Ligações , preencha os seguintes campos:

    • Nome da Ligação: um nome que pretende fornecer para a ligação física no Site VPN. Exemplo: Ligação1.
    • Velocidade da ligação: esta é a velocidade do dispositivo VPN na localização do ramo. Exemplo: 50, o que significa que 50 Mbps é a velocidade do dispositivo VPN na localização do ramo.
    • Nome do fornecedor da ligação: o nome da ligação física no Site VPN. Exemplo: ATT, Verizon.
    • Endereço IP da Ligação – introduza o endereço IP. Para esta configuração, é o mesmo que o primeiro endereço IP público mostrado nas propriedades do gateway de rede virtual (Gateway de VPN).
    • Endereço BGP e ASN – estes têm de ser os mesmos que um dos endereços IP do elemento de rede BGP e o ASN do gateway de rede virtual Gateway de VPN que configurou no Passo 1.

  6. Depois de preencher os campos, selecione Rever + criar para verificar. Selecione Criar para criar o site.

  7. Repita os passos anteriores para criar o segundo site para corresponder à segunda instância do gateway de rede virtual Gateway de VPN. Irá manter as mesmas definições, exceto com o segundo endereço IP público e o segundo endereço IP do elemento de rede BGP da configuração do Gateway de VPN.

  8. Tem agora dois sites aprovisionados com êxito.

3. Ligar sites ao hub virtual

Em seguida, ligue ambos os sites ao hub virtual através dos seguintes passos. Para obter mais informações sobre como ligar sites, veja Ligar sites VPN a um hub virtual.

  1. Na página WAN Virtual, aceda a Hubs.

  2. Na página Hubs , clique no hub que criou.

  3. Na página do hub que criou, no painel esquerdo, selecione VPN (Site a site).

  4. Na página VPN (Site a site ), deverá ver os seus sites. Se não o fizer, poderá ter de clicar na bolha Associação do Hub:x para limpar os filtros e ver o seu site.

  5. Selecione a caixa de verificação junto ao nome de ambos os sites (não clique diretamente no nome do site) e, em seguida, clique em Ligar sites VPN.

  6. Na página Ligar sites , configure as definições. Certifique-se de que anota o valor da chave pré-partilhada que utiliza. Será novamente utilizado mais tarde no exercício quando criar as suas ligações.

  7. Na parte inferior da página, selecione Ligar. O hub demora algum tempo a atualizar com as definições do site.

4. Transferir os ficheiros de configuração de VPN

Nesta secção, vai transferir o ficheiro de configuração VPN para os sites que criou na secção anterior.

  1. Na página WAN Virtual, aceda a Sites de VPN.

  2. Na página Sites VPN , na parte superior da página, selecione Transferir configuração de VPN Site a Site e transfira o ficheiro. O Azure cria um ficheiro de configuração com os valores necessários que são utilizados para configurar os gateways de rede local na secção seguinte.

    Captura de ecrã da página de sites VPN com a ação Transferir configuração de Rede de VPNs selecionada.

5. Criar os gateways de rede local

Nesta secção, vai criar dois gateways de rede local do Azure Gateway de VPN. Os ficheiros de configuração do passo anterior contêm as definições de configuração do gateway. Utilize estas definições para criar e configurar o Azure Gateway de VPN gateways de rede local.

  1. Crie o gateway de rede local com estas definições. Para obter informações sobre como criar um gateway de rede local Gateway de VPN, veja o artigo Gateway de VPN Criar um gateway de rede local.

    • Endereço IP – utilize o Endereço IP da Instância0 mostrado para gatewayconfiguration a partir do ficheiro de configuração.
    • BGP – se a ligação for através de BGP, selecione Configurar definições de BGP e introduza o ASN "65515". Introduza o endereço IP do elemento da rede BGP. Utilize "Instance0 BgpPeeringAddresses" para gatewayconfiguration a partir do ficheiro de configuração.
    • Espaço de Endereços – se a ligação não for através de BGP, certifique-se de que a opção Configurar definições de BGP permanece desmarcada. Introduza os espaços de endereços que vai anunciar a partir do lado do gateway de rede virtual. Pode adicionar vários intervalos de espaço de endereços. Certifique-se de que os intervalos que especificar aqui não se sobrepõem a intervalos de outras redes às quais se pretende ligar.
    • Subscrição, Grupo de Recursos e Localização – estes são os mesmos que para o hub WAN Virtual.

  2. Reveja e crie o gateway de rede local. O gateway de rede local deve ter um aspeto semelhante a este exemplo.

    Captura de ecrã a mostrar a página Configuração com um endereço IP realçado para o gateway de rede local 1.

  3. Repita estes passos para criar outro gateway de rede local, mas, desta vez, utilize os valores "Instance1" em vez dos valores "Instance0" do ficheiro de configuração.

    Captura de ecrã que mostra a página Configuração com um endereço IP realçado para o gateway de rede local 2.

Importante

Tenha em atenção que, ao configurar uma ligação BGP Através de IPsec a um IP Público que não seja um endereço IP Público do Gateway vWAN com o ASN remoto "65515", a implementação do Gateway de Rede Local falhará, uma vez que o ASN "65515" é um ASN reservado documentado, conforme descrito em Que Sistemas Autónomos Posso utilizar. No entanto, quando o Gateway de Rede Local lê o endereço público vWAN com o ASN remoto "65515", esta restrição é levantada pela plataforma.

6. Criar ligações

Nesta secção, vai criar uma ligação entre o Gateway de VPN gateways de rede local e o gateway de rede virtual. Para obter os passos sobre como criar uma ligação Gateway de VPN, veja Configurar uma ligação.

  1. No portal, aceda ao gateway de rede virtual e selecione Ligações. Na parte superior da página Ligações, selecione +Adicionar para abrir a página Adicionar ligação .

  2. Na página Adicionar ligação , configure os seguintes valores para a sua ligação:

    • Nome: Atribua um nome à sua ligação.
    • Tipo de ligação: Selecione Site a Site(IPSec)
    • Gateway de rede virtual: O valor é fixo porque está a ligar a partir deste gateway.
    • Gateway de rede local: Esta ligação ligará o gateway de rede virtual ao gateway de rede local. Escolha um dos gateways de rede local que criou anteriormente.
    • Chave Partilhada: Introduza a chave partilhada de anteriormente.
    • Protocolo IKE: Selecione o protocolo IKE.

  3. Selecione OK para criar a ligação.

  4. A ligação é apresentada na página Ligações do gateway de rede virtual.

  5. Repita os passos anteriores para criar uma segunda ligação. Para a segunda ligação, selecione o outro gateway de rede local que criou.

  6. Se as ligações estiverem através do BGP, depois de criar as ligações, aceda a uma ligação e selecione Configuração. Na página Configuração , para BGP, selecione Ativado. Em seguida, selecione Guardar.

  7. Repita para a segunda ligação.

7. Testar ligações

Pode testar a conectividade ao criar duas máquinas virtuais, uma na parte lateral do gateway de rede virtual Gateway de VPN e outra numa rede virtual para o WAN Virtual e, em seguida, enviar ping às duas máquinas virtuais.

  1. Crie uma máquina virtual na rede virtual (Test1-VNet) para o Azure Gateway de VPN (Test1-VNG). Não crie a máquina virtual no GatewaySubnet.

  2. Crie outra rede virtual para ligar à WAN virtual. Crie uma máquina virtual numa sub-rede desta rede virtual. Esta rede virtual não pode conter gateways de rede virtual. Pode criar rapidamente uma rede virtual com os passos do PowerShell no artigo de ligação site a site . Certifique-se de que altera os valores antes de executar os cmdlets.

  3. Ligue a VNet ao hub WAN Virtual. Na página da WAN virtual, selecione Ligações de rede virtual e, em seguida, +Adicionar ligação. Na página Add connection (Adicionar ligação), preencha os seguintes campos:

    • Connection name (Nome da ligação) - dê um nome à ligação.
    • Hubs - selecione o hub que pretende associar a esta ligação.
    • Subscription (Subscrição) - verifique a subscrição.
    • Virtual network (Rede virtual) - selecione a rede virtual que pretende ligar a este hub. A rede virtual não pode ter um gateway de rede virtual já existente.

  4. Selecione OK para criar a ligação de rede virtual.

  5. A conectividade está agora definida entre as VMs. Deverá conseguir enviar um ping de uma VM a partir da outra, a menos que existam firewalls ou outras políticas a bloquear a comunicação.

Passos seguintes