Создание подключения типа "сеть — сеть" с помощью классического портала Azure

В этой статье показано, как с помощью портала Azure создать подключение типа "сеть — сеть" с использованием VPN-шлюза между вашей локальной сетью к виртуальной. Действия, описанные в этой статье, применяются к классической (устаревшей) модели развертывания и не применяются к текущей модели развертывания Resource Manager. Вместо этого см. версию Resource Manager этой статьи.

Важно!

Вы больше не можете создавать новые шлюзы виртуальной сети для классических виртуальных сетей модели развертывания (управления службами). Новые шлюзы виртуальной сети можно создавать только для виртуальных сетей Resource Manager.

Подключение VPN-шлюза типа "сеть — сеть" используется для подключения между локальной сетью и виртуальной сетью Azure через туннель VPN по протоколу IPsec/IKE (IKEv1 или IKEv2). Для этого типа подключения требуется локальное VPN-устройство, которому назначен внешний общедоступный IP-адрес. Дополнительные сведения о VPN-шлюзах см. в этой статье.

Примечание.

Эта статья написана для классической (устаревшей) модели развертывания. Вместо этого рекомендуется использовать последнюю модель развертывания Azure. Модель развертывания Resource Manager — это последняя модель развертывания, которая предоставляет дополнительные возможности и совместимость функций, чем классическая модель развертывания. Чтобы понять разницу между этими двумя моделями развертывания, ознакомьтесь с разделом "Общие сведения о моделях развертывания" и состоянии ресурсов.

Если вы хотите использовать другую версию этой статьи, используйте оглавление в левой области.

Подготовка к работе

Перед началом настройки убедитесь, что удовлетворены следующие требования:

• Убедитесь, что выбрана классическая модель развертывания. Если вы хотите работать в модели развертывания Resource Manager, обратитесь к статье Руководство по созданию подключения типа "сеть — сеть" на портале Azure. Мы рекомендуем использовать модель развертывания с Resource Manager, т. к. классическая модель уже устарела.
• Убедитесь, что у вас есть совместимое VPN–устройство и пользователь, который может настроить его. Дополнительные сведения о совместимых устройствах VPN и их настройке см. в этой статье.
• Убедитесь, что у вас есть общедоступный IPv4–адрес для вашего VPN–устройства.
• Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, найдите того, кто сможет предоставить вам нужную информацию. При создании этой конфигурации необходимо указать префиксы диапазона IP-адресов, которые Azure будет направлять к локальному расположению. Ни одна из подсетей локальной сети не может перекрывать виртуальные подсети, к которым вы хотите подключиться.
• Чтобы задать общий ключ и создать подключение к шлюзу VPN, требуется PowerShell. При работе с классической моделью развертывания нельзя использовать Azure Cloud Shell. Вместо этого нужно установить локально на компьютере последнюю версию командлетов PowerShell из набора программных интерфейсов по управлению службами Azure. Эти командлеты отличаются от командлетов AzureRM или Az. Сведения об установке командлетов из набора программных интерфейсов по управлению службами см. в статье Установка командлетов из набора программных интерфейсов по управлению службами. Дополнительные сведения общего характера об Azure PowerShell см. в документации по Azure PowerShell.

Примеры значений конфигурации для этого упражнения

В примерах этой статьи мы используем следующие значения. Эти значения можно использовать для создания тестовой среды или для лучшего понимания примеров в этой статье. Как правило, при работе со значениями IP-адресов для адресного пространства необходимо скоординировать ваши действия с администратором сети, чтобы не получить пересекающиеся адресные пространства (при этом возможны ошибки маршрутизации). В этом случае замените значения IP-адреса на ваши собственные, если нужно создать действующее подключение.

• Группа ресурсов: TestRG1.
• Имя виртуальной сети: TestVNet1
• Адресное пространство: 10.11.0.0/16
• Имя подсети: FrontEnd.
• Адресное пространство подсети: 10.11.0.0/24
• Подсеть шлюза: 10.11.255.0/27.
• Регион: (США) Восточная часть США
• Имя локального сайта: Site2.
• Адресное пространство клиента: Это адресное пространство, которое находится на локальном сайте.

Создание виртуальной сети

При создании виртуальной сети, используемой для подключения S2S, необходимо убедиться, что указанные адресные пространства не перекрываются с любыми адресными пространствами клиента для локальных сайтов, к которым требуется подключиться. В таком случае подключение не будет работать правильно.

• Если у вас уже есть виртуальная сеть, проверьте совместимость параметров со структурой VPN-шлюза. Обратите особое внимание на любые подсети, которые могут перекрываться с другими сетями.

• Если у вас нет виртуальной сети, создайте ее. Снимки экрана приведены в качестве примеров. Обязательно подставьте собственные значения.

Создание виртуальной сети

1. В браузере откройте портал Azure и при необходимости войдите с помощью учетной записи Azure.
2. Выберите +Создать ресурс. В поле Поиск по Marketplace введите "Виртуальная сеть". Найдите виртуальную сеть в возвращенном списке и выберите ее, чтобы открыть страницу виртуальной сети.
3. На странице "Виртуальная сеть" под кнопкой "Создать" вы увидите "Развернуть с помощью диспетчера ресурсов (изменить на классический)". Диспетчер ресурсов используется по умолчанию для создания виртуальной сети. Вы не хотите создавать виртуальную сеть Resource Manager. Выберите (изменить на Classic), чтобы создать классическую виртуальную сеть. Затем выберите вкладку Обзор и выберите Создать.
4. На странице Создание виртуальной сети (классическая) на вкладке Основные настройте параметры виртуальной сети с использованием примеров значений.
5. Выберите Обзор + создать, чтобы проверить свою виртуальную сеть.
6. Выполняется проверка. После проверки виртуальной сети выберите Создать.

Настройки DNS не являются обязательной частью этой конфигурации, но DNS необходим, если вы хотите разрешение имен между вашими виртуальными машинами. Если указать значение, DNS-сервер не создается. Необходимо указать IP-адрес DNS-сервера, который может разрешать имена для ресурсов, к которым вы подключаетесь.

После создания виртуальной сети можно добавить IP-адрес DNS-сервера для обработки разрешения имен. Откройте настройки своей виртуальной сети, выберите DNS-серверы и добавьте IP-адрес DNS-сервера, который вы хотите использовать для разрешения имен.

1. Найдите виртуальную сеть на портале.
2. В колонке виртуальной сети в разделе Параметры выберите DNS-серверы.
3. Добавьте DNS-сервер.
4. Чтобы сохранить параметры, выберите кнопку Сохранить в верхней части страницы.

Настройка сайта и шлюза

Настройка сайта

Термин "локальный сайт" обычно означает локальное расположение. Он содержит IP-адрес VPN-устройства, к которому вы создадите подключение, и диапазоны IP-адресов, которые будут перенаправлены через VPN-шлюз на VPN-устройство.

1. На странице вашей виртуальной сети в разделе Параметры выберите Подключения "сеть — сеть".

2. На странице Подключения "сеть — сеть" нажмите кнопку + Добавить.

3. На странице Настройка подключения VPN и шлюза оставьте для параметра Тип подключения значение Сеть — Сеть. Для этого упражнения необходимо использовать сочетание примеров значений и собственных значений.

   • IP-адрес VPN-шлюза. Это общедоступный IP-адрес VPN-устройства для локальной сети. Для VPN-устройства требуется общедоступный IP-адрес IPv4. Укажите допустимый общедоступный IP-адрес VPN-устройства, к которому необходимо подключиться. Этот адрес должен быть доступным для Azure. Если вы не знаете IP-адрес VPN-устройства, можно всегда указать значение заполнителя (при условии, что он имеет формат допустимого общедоступного IP-адреса) и изменить его в будущем.

   • Адресное пространство клиента. Укажите диапазон IP-адресов, которые нужно перенаправлять в локальную сеть через этот шлюз. Можно добавить несколько диапазонов пространства адресов. Убедитесь, что указанные здесь диапазоны не перекрываются с диапазонами других сетей, к которым подключается виртуальная сеть, или с диапазонами адресов самой виртуальной сети.

4. В нижней части страницы НЕ НАЖИМАЙТЕ кнопку "Проверить и создать". Вместо этого выберите Далее: шлюз>.

Настройка шлюза виртуальной сети

1. На странице Шлюз выберите следующие значения:

   • Размер — это SKU шлюза, который будет использоваться для создания шлюза виртуальной сети. Классические VPN-шлюзы используют старые (устаревшие версии) SKU. Дополнительные сведения об устаревших версиях SKU шлюза см. в статье Работа со SKU шлюза виртуальной сети (старые версии SKU). Для этого упражнения можно выбрать Стандартный.

   • Подсеть шлюза: размер указанной подсети шлюза зависит от конфигурации создаваемого VPN-шлюза. Хотя можно создать подсеть шлюза меньше /29, рекомендуется использовать /27 или /28. При этом создается большая подсеть, которая включает в себя больше адресов. Использование более крупной подсети для шлюза позволяет создавать достаточное число IP-адресов с учетом возможных конфигураций в будущем.

2. Нажмите кнопку Проверить и создать в нижней части страницы, чтобы проверить параметры. Нажмите кнопку Создать для развертывания. Создание шлюза виртуальной сети может занять до 45 минут в зависимости от выбранного вами SKU шлюза.

Настройка устройства VPN

Для подключения типа "сеть — сеть" к локальной сети требуется VPN-устройство. На этом этапе мы настроим VPN-устройство. Чтобы настроить локальное VPN-устройство, потребуются следующие значения:

• Общий ключ. Это тот же общий ключ, который указывается при создании VPN-подключения "сеть — сеть". В наших примерах мы используем простые общие ключи. Для практического использования рекомендуется создавать более сложные ключи.
• Общедоступный IP-адрес шлюза виртуальной сети. Общедоступный IP-адрес можно просмотреть с помощью портала Azure, PowerShell или CLI.

Скачивание скриптов конфигурации VPN-устройства:

В зависимости от устройства VPN можно загрузить для него скрипт конфигурации. Дополнительные сведения см. в статье о скачивании скриптов конфигурации для VPN-устройств.

Дополнительные сведения о конфигурации см. по следующим ссылкам:

• См. дополнительные сведения о совместимых VPN-устройствах.

• Прежде чем настраивать VPN-устройство, которое вы хотите использовать, проверьте его на наличие известных проблем совместимости устройств.

• См. дополнительные сведения о проверенных VPN-устройствах. Ссылки на инструкции по настройке устройств будут предоставляться по мере возможности. Актуальные сведения о конфигурации всегда лучше проверять у производителей устройств. В списке перечислены протестированные нами версии. Если вашей ОС нет в этом списке, эта версия все равно может быть совместимой. Обратитесь к изготовителю устройства, чтобы проверить совместимость версии ОС с вашим VPN-устройством.

• Общие сведения о конфигурации устройства VPN см. в статье Обзор конфигураций партнерских VPN-устройств.

• См. дополнительные сведения о примерах изменения конфигурации устройств.

• См. дополнительные сведения о требованиях к шифрованию и VPN-шлюзах Azure.

• См. дополнительные сведения о VPN-устройствах и параметрах IPsec/IKE для подключений типа "сеть — сеть" через VPN-шлюз. По этой ссылке отображаются сведения о версии IKE, группе Диффи-Хелмана, способе аутентификации, алгоритмах шифрования и хэширования, времени существования SA, PFS, DPD, а также другие сведения о параметрах, необходимых для завершения настройки.

• См. инструкции по настройке политики IPsec/IKE для VPN-подключений типа "сеть — сеть" или "виртуальная сеть — виртуальная сеть".

• Сведения о подключении нескольких VPN-устройств на основе политик см. в статье Подключение VPN-шлюзов Azure к нескольким локальным VPN-устройствам на основе политики с помощью PowerShell.

Получение значений

При создании классических виртуальных сетей на портале Azure имя, которое вы просматриваете, не является полным именем, используемым для PowerShell. Например, если виртуальная сеть отображается на портале с именем TestVNet1, то в файле конфигурации сети ее имя может быть гораздо длиннее. Для виртуальной сети в группе ресурсов "ClassicRG" имя может выглядеть примерно так: Group ClassicRG TestVNet1. При создании подключений важно использовать значения, приведенные в файле конфигурации сети.

Выполняя следующие действия, вы подключитесь к учетной записи Azure, а также скачаете и просмотрите файл конфигурации сети для получения значений, необходимых для подключений.

1. Скачайте и установите последнюю версию командлетов PowerShell для управления службами Azure. У большинства людей модули Resource Manager установлены локально, но у них нет модулей Service Management. Модули управления услугами являются устаревшими и должны устанавливаться отдельно. Дополнительные сведения см. в разделе Установка командлетов управления службами.

2. Откройте консоль PowerShell с повышенными правами и подключитесь к своей учетной записи. Используйте следующие примеры, чтобы помочь вам подключиться. Эти команды необходимо запускать локально с помощью модуля PowerShell Service Management. Подключитесь к учетной записи. Для подключения используйте следующий пример кода:

   Add-AzureAccount
   

3. Просмотрите подписки учетной записи.

   Get-AzureSubscription
   

4. При наличии нескольких подписок выберите подписку, которую вы хотите использовать.

   Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
   

5. Создайте каталог на своем компьютере. Например, C:\AzureVNet

6. Экспортируйте файл конфигурации сети в каталог. В этом примере файл конфигурации сети экспортируется в каталог C:\AzureNet.

   Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
   

7. Откройте файл в текстовом редакторе и просмотрите имена для виртуальных сетей и сайтов. Эти имена будут теми именами, которые вы будете использовать при создании своих подключений.
   Имена виртуальных сетей перечислены как VirtualNetworkSite name =
   Имена сайтов перечислены как LocalNetworkSiteRef name =

Создание подключения

Примечание.

Этот шаг недоступен на портале Azure и в Azure Cloud Shell для классической модели развертывания. Необходимо использовать версию командлетов Azure PowerShell для управления службами локально на вашем компьютере.

На этом этапе вы настраиваете общий ключ и создаете подключения, используя значения с предыдущих этапов. Заданный ключ должен быть тем же ключом, который использовался в конфигурации VPN-устройства.

1. Установите общий ключ и создайте подключение.

   • Измените значения -VNetName и -LocalNetworkSiteName. Если указывается имя с пробелами, заключите его в одиночные кавычки.
   • "-SharedKey" — вы должны сформировать это значение, а затем указать его. В этом примере мы использовали "abc123", но можно (и стоит) сформировать что-нибудь более сложное. Важно, чтобы заданное здесь значение совпадало со значением, указанным при настройке вашего VPN-устройства.

   Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' `
   -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
   

2. После создания подключения отобразится состояние Успешно.

Проверка подключения

Чтобы на портале Azure просмотреть состояние подключения для VPN-шлюза виртуальной сети в классической модели развертывания, перейдите к нужному подключению. Ниже показано, как перейти к подключению и проверить его.

1. На портале Azure перейдите в раздел классической виртуальной сети.
2. На странице виртуальной сети выберите тип подключения, которое требуется просмотреть. Например, Подключения сеть — сеть.
3. На странице Подключения сеть — сеть в поле Имя выберите подключение сайта, которое требуется просмотреть.
4. На странице Свойства просмотрите информацию о подключении.

Если у вас возникли проблемы с подключением, ознакомьтесь с разделом "Устранение неполадок " оглавления в левой области.

Как сбросить VPN-шлюз

Сброс настроек VPN-шлюза Azure полезен при потере распределенного VPN-подключения в одном или нескольких VPN-туннелях типа "сеть-сеть". В этой ситуации все локальные VPN-устройства работают правильно, но не могут взаимодействовать с VPN-шлюзами Azure через туннели IPsec. Пошаговые инструкции см. в статье Сброс VPN-шлюза.

Изменение размера номера SKU шлюза

Чтобы изменить размер шлюза для классической модели развертывания, необходимо использовать командлеты PowerShell для управления службами. Используйте следующую команду:

Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance

Следующие шаги

• Установив подключение, можно добавить виртуальные машины в виртуальные сети. Дополнительные сведения о виртуальных машинах см. здесь.
• Сведения о принудительном туннелировании см. в статье Настройка принудительного туннелирования с помощью классической модели развертывания.