Skapa en plats-till-plats-anslutning med hjälp av Azure-portalen (klassisk)
Den här artikeln visar hur du kan använda Azure Portal för att skapa en VPN-gatewayanslutning från plats till plats från ditt lokala nätverk till det virtuella nätverket. Stegen i den här artikeln gäller för den klassiska (äldre) distributionsmodellen och gäller inte för den aktuella distributionsmodellen Resource Manager. Se Resource Manager-versionen av den här artikeln i stället.
Viktigt!
Du kan inte längre skapa nya virtuella nätverksgatewayer för klassiska virtuella distributionsmodeller (tjänsthantering). Nya virtuella nätverksgatewayer kan bara skapas för virtuella Resource Manager-nätverk.
En VPN-gatewayanslutning från plats till plats används för att ansluta ditt lokala nätverk till ett virtuellt Azure-nätverk via en IPsec/IKE VPN-tunnel (IKEv1 eller IKEv2). Den här typen av anslutning kräver en lokal VPN-enhet som tilldelats till en extern offentlig IP-adress. Mer information om VPN-gatewayer finns i Om VPN-gateway.
Kommentar
Den här artikeln är skriven för den klassiska (äldre) distributionsmodellen. Vi rekommenderar att du använder den senaste Azure-distributionsmodellen i stället. Resource Manager-distributionsmodellen är den senaste distributionsmodellen och erbjuder fler alternativ och funktionskompatibilitet än den klassiska distributionsmodellen. Information om skillnaden mellan dessa två distributionsmodeller finns i Förstå distributionsmodeller och tillståndet för dina resurser.
Om du vill använda en annan version av den här artikeln använder du innehållsförteckningen i den vänstra rutan.
Innan du börjar
Kontrollera att du har uppfyllt följande villkor innan du påbörjar konfigurationen:
- Bekräfta att du vill arbeta i den klassiska distributionsmodellen. Om du vill arbeta i Resource Manager-distributionsmodellen kan du läsa Skapa en plats-till-plats-anslutning (Resource Manager). Vi rekommenderar att du använder Resource Manager-distributionsmodellen eftersom den klassiska modellen är äldre.
- Kontrollera att du har en kompatibel VPN-enhet och någon som kan konfigurera den. Se Om VPN-enheter för mer information om kompatibla VPN-enheter och enhetskonfiguration.
- Kontrollera att du har en extern offentlig IPv4-adress för VPN-enheten.
- Om du inte känner till IP-adressintervallen i din lokala nätverkskonfiguration måste du samordna med någon som kan ange den informationen åt dig. När du skapar den här konfigurationen måste du ange prefix för IP-adressintervall som Azure dirigerar till den lokala platsen. Inget av undernäten i ditt lokala nätverk kan överlappa de virtuella nätverksundernät du vill ansluta till.
- PowerShell krävs för att ange den delade nyckeln och skapa VPN-gatewayanslutningen. När du arbetar med den klassiska distributionsmodellen kan du inte använda Azure Cloud Shell. I stället måste du installera den senaste versionen av Azure Service Management (SM) PowerShell-cmdletar lokalt på datorn. Dessa cmdletar skiljer sig från AzureRM- eller Az-cmdletarna. Information om hur du installerar SM-cmdletar finns i Installera cmdletar för servicehantering. Mer information om Azure PowerShell i allmänhet finns i Azure PowerShell-dokumentationen.
Exempel på konfigurationsvärden för övningen
Vi använder följande värden i exemplen. Du kan använda värdena till att skapa en testmiljö eller hänvisa till dem för att bättre förstå exemplen i den här artikeln. När du arbetar med IP-adressvärden för Adressutrymme vill du vanligtvis samordna med nätverksadministratören för att undvika överlappande adressutrymmen, vilket kan påverka routningen. I det här fallet ersätter du IP-adressvärdena med dina egna om du vill skapa en fungerande anslutning.
- Resursgrupp: TestRG1
- VNet-namn: TestVNet1
- Adressutrymme: 10.11.0.0/16
- Undernätsnamn: FrontEnd
- Adressintervall för undernät: 10.11.0.0/24
- GatewaySubnet: 10.11.255.0/27
- Region: (USA) USA, östra
- Namn på lokal plats: Site2
- Klientadressutrymme: Adressutrymmet som finns på din lokala plats.
Skapa ett virtuellt nätverk
När du skapar ett virtuellt nätverk som ska användas för en S2S-anslutning måste du se till att adressutrymmena som du anger inte överlappar något av klientadressutrymmena för de lokala platser som du vill ansluta till. Om du har överlappande undernät fungerar inte anslutningen ordentligt.
Om du redan har ett VNet, kontrollerar du att inställningarna är kompatibla med din VPN-gatewaydesign. Var särskilt uppmärksam på eventuella undernät som kan överlappa andra nätverk.
Om du inte redan har ett virtuellt nätverk, skapa ett. Skärmbilderna anges som exempel. Glöm inte att byta ut värdena mot dina egna.
Så här skapar du ett virtuellt nätverk
- Navigera till Azure-portalen från en webbläsare och logga in med ditt Azure-konto vid behov.
- Välj +Skapa en resurs. Skriv ”Virtuella nätverk” i fältet Sök på marketplace. Leta upp virtuellt nätverk i den returnerade listan och välj det för att öppna sidan Virtuellt nätverk .
- På sidan Virtuellt nätverk, under knappen Skapa, visas "Distribuera med Resource Manager (ändra till klassisk)". Resource Manager är standard för att skapa ett virtuellt nätverk. Du vill inte skapa ett virtuellt Resource Manager-nätverk. Välj (ändra till Klassisk) för att skapa ett klassiskt virtuellt nätverk. Välj sedan fliken Översikt och välj Skapa.
- På sidan Skapa virtuellt nätverk (klassiskt) på fliken Grundläggande konfigurerar du VNet-inställningarna med exempelvärdena.
- Välj Granska + skapa för att verifiera ditt virtuella nätverk.
- Valideringskörningar. När det virtuella nätverket har verifierats väljer du Skapa.
DNS-inställningar är inte en nödvändig del av den här konfigurationen, men DNS är nödvändigt om du vill ha namnmatchning mellan dina virtuella datorer. Ingen ny DNS-server skapas när du anger ett värde. Den angivna IP-adressen för DNS-servern måste vara en DNS-server som kan matcha namnen för de resurser som du ansluter till.
När du har skapat ditt virtuella nätverk kan du lägga till IP-adressen för en DNS-server för att hantera namnmatchning. Öppna inställningarna för det virtuella nätverket, välj DNS-servrar och lägg till IP-adressen för den DNS-server som du vill använda för namnmatchning.
- Leta upp det virtuella nätverket i portalen.
- På sidan för ditt virtuella nätverk går du till avsnittet Inställningar och väljer DNS-servrar.
- Lägg till en DNS-server.
- Spara inställningarna genom att välja Spara överst på sidan.
Konfigurera platsen och gatewayen
Så här konfigurerar du webbplatsen
Den lokala platsen avser vanligtvis din lokala plats. Den innehåller IP-adressen för DEN VPN-enhet som du ska skapa en anslutning till och DE IP-adressintervall som ska dirigeras via VPN-gatewayen till VPN-enheten.
På sidan för ditt virtuella nätverk går du till Inställningar och väljer Plats-till-plats-anslutningar.
På sidan Plats-till-plats-anslutningar väljer du + Lägg till.
På sidan Konfigurera en VPN-anslutning och gateway lämnar du Plats-till-plats för Anslutningstyp valt. I den här övningen måste du använda en kombination av exempelvärdena och dina egna värden.
IP-adress till VPN-gateway: Det här är den offentliga IP-adressen till VPN-enheten för ditt lokala nätverk. VPN-enheten måste ha en offentlig IP-adress (IPv4). Ange en giltig offentlig IP-adress för VPN-enheten som du vill ansluta till. Den måste kunna nås av Azure. Om du inte vet VPN-enhetens IP-adress kan du använda ett platshållarvärde (i formatet för en giltig offentlig IP-adress) och ändra det senare.
Klientadressutrymme: Visar IP-adressintervall som du vill dirigera till det lokala nätverket via denna gateway. Du kan lägga till flera adressintervall. Kontrollera att de intervall som du anger här inte överlappar intervallen för andra nätverk som ditt virtuella nätverk ansluter till eller med adressintervallen för själva det virtuella nätverket.
Längst ned på sidan väljer du INTE Granska + skapa. Välj i stället Nästa: Gateway>.
Så här konfigurerar du den virtuella nätverksgatewayen
På sidan Gateway väljer du följande värden:
Storlek: Det här är den gateway-SKU som du använder för att skapa din virtuella nätverksgateway. Klassiska VPN-gatewayer använder de gamla (äldre) gateway-SKU:erna. Mer information om de äldre gateway-SKU:erna finns i Working with virtual network gateway SKUs (old SKUs) (Arbeta med SKU:er för virtuella nätverksgatewayer (gamla SKU:er)). Du kan välja Standard för den här övningen.
Gateway-undernät: Storleken på gatewayundernätet som du anger beror på den VPN-gatewaykonfiguration som du vill skapa. Även om det är möjligt att skapa ett gateway-undernät så litet som /29 rekommenderar vi att du använder /27 eller /28. Då skapas ett större undernät som innehåller fler adresser. Om du använder det större nätverksundernätet får du tillräckligt många IP-adresser för att hantera möjliga framtida konfigurationer.
Välj Granska + skapa längst ned på sidan för att verifiera dina inställningar. Välj Skapa för att distribuera. Det kan ta upp till 45 minuter att skapa en virtuell nätverksgateway, beroende på vilken gateway-SKU du har valt.
Konfigurera din VPN-enhet
Plats-till-plats-anslutningar till ett lokalt nätverk kräver en VPN-enhet. I det här steget konfigurerar du VPN-enheten. När du konfigurerar VPN-enheten behöver du följande värden:
- En delad nyckel. Det här är samma delade nyckel som du anger när du skapar VPN-anslutningen för plats-till-plats. I vårt exempel använder vi en enkel delad nyckel. Vi rekommenderar att du skapar och använder en mer komplex nyckel.
- Den offentliga IP-adressen för din virtuella nätverksgateway. Du kan visa den offentliga IP-adressen genom att använda Azure Portal, PowerShell eller CLI.
Beroende på vilken VPN-enhet du har kanske du kan ladda ned ett konfigurationsskript för VPN-enheter. Mer information finns i Ladda ned konfigurationsskript för VPN-enheten.
Följande länkar innehåller mer konfigurationsinformation:
Information om kompatibla VPN-enheter finns i Om VPN-enheter.
Innan du konfigurerar VPN-enheten kontrollerar du om det finns några kända problem med enhetskompatibiliteten.
Länkar till enhetskonfigurationsinställningar finns i Verifierade VPN-enheter. Vi tillhandahåller länkar för enhetskonfiguration på bästa sätt, men det är alltid bäst att kontakta enhetstillverkaren för att få den senaste konfigurationsinformationen.
Listan visar de versioner som vi har testat. Om operativsystemets version för VPN-enheten inte finns med i listan kan den fortfarande vara kompatibel. Kontakta enhetstillverkaren.
Grundläggande information om VPN-enhetskonfiguration finns i Översikt över partner-VPN-enhetskonfigurationer.
Mer information om att redigera enhetens konfigurationsexempel finns i Redigera exempel.
Kryptografiska krav finns i Om kryptografiska krav och Azure VPN-gatewayer.
Information om parametrar som du behöver för att slutföra konfigurationen finns i Standardparametrar för IPsec/IKE. Informationen omfattar IKE-version, Diffie-Hellman-grupp (DH), autentiseringsmetod, krypterings- och hashalgoritmer, livslängd för säkerhetsassociation (SA), PFS (Perfect Forward Secrecy) och DPD (Dead Peer Detection).
Information om konfigurationssteg för IPsec/IKE-principer finns i Konfigurera anpassade IPsec/IKE-anslutningsprinciper för S2S VPN och VNet-till-VNet.
Information om hur du ansluter flera principbaserade VPN-enheter finns i Ansluta en VPN-gateway till flera lokala principbaserade VPN-enheter.
Hämta värden
När du skapar klassiska virtuella nätverk i Azure-portalen är namnet som du visar inte det fullständiga namn som du använder för PowerShell. Ett virtuellt nätverk som verkar ha namnet TestVNet1 i portalen kan till exempel ha ett mycket längre namn i nätverkskonfigurationsfilen. För ett VNet i resursgruppens "ClassicRG"-namn kan det se ut ungefär så här: Grupp ClassicRG TestVNet1. När du skapar dina anslutningar är det viktigt att använda de värden som du ser i nätverkskonfigurationsfilen.
I följande steg ansluter du till ditt Azure-konto och laddar ned och visar nätverkskonfigurationsfilen för att hämta de värden som krävs för dina anslutningar.
Ladda ned och installera den senaste versionen av PowerShell-cmdletarna för Azure Service Management (SM). De flesta har Resource Manager-modulerna installerade lokalt, men har inte servicehanteringsmoduler. Service Management-moduler är äldre och måste installeras separat. Mer information finns i Installera servicehanterings cmdletar.
Öppna PowerShell-konsolen med utökade rättigheter och anslut till ditt konto. Använd följande exempel för att hjälpa dig att ansluta. Du måste köra dessa kommandon lokalt med hjälp av PowerShell Service Management-modulen. Anslut till ditt konto. Använd följande exempel för att ansluta:
Add-AzureAccount
Kontrollera prenumerationerna för kontot.
Get-AzureSubscription
Om du har mer än en prenumeration väljer du den du vill använda.
Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
Skapa en katalog på datorn. Till exempel C:\AzureVNet
Exportera nätverkskonfigurationsfilen till katalogen. I det här exemplet exporteras nätverkskonfigurationsfilen till C:\AzureNet.
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
Öppna filen med en textredigerare och visa namnen på dina virtuella nätverk och webbplatser. Dessa namn är de namn som du använder när du skapar dina anslutningar.
VNet-namn visas som VirtualNetworkSite-namn =
Webbplatsnamn visas som LocalNetworkSiteRef-namn =
Skapa anslutningen
Kommentar
För den klassiska distributionsmodellen är det här steget inte tillgängligt i Azure-portalen eller via Azure Cloud Shell. Du måste använda servicehanteringsversionen (SM) av Azure PowerShell-cmdletarna lokalt från skrivbordet.
I det här steget anger du den delade nyckeln och skapar anslutningen med hjälp av värdena från föregående steg. Nyckeln som du anger måste vara samma nyckel som användes i vpn-enhetskonfigurationen.
Ange den delade nyckeln och skapa anslutningen.
- Ändra värdet -VNetName och värdet -LocalNetworkSiteName. När du anger ett namn som innehåller blanksteg ska du ange värdet inom enkla citattecken.
- "-SharedKey" är ett värde som du genererar och anger sedan. I exemplet använde vi "abc123", men du kan (och bör) generera något mer komplext. Det är viktigt att värdet du anger här är samma värde som du angav när du konfigurerade VPN-enheten.
Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' ` -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
När anslutningen har skapats visas resultatet: Status: Lyckades.
Verifiera din anslutning
Du kan visa anslutningsstatus i Azure Portal för en klassisk VNet VPN Gateway genom att navigera till anslutningen. Följande steg visar ett sätt att navigera till din anslutning och verifiera.
- I Azure-portalen går du till ditt klassiska virtuella nätverk (VNet).
- På sidan virtuellt nätverk klickar du på den typ av anslutning som du vill visa. Till exempel plats-till-plats-anslutningar.
- På sidan Plats-till-plats-anslutningar går du till Namn och väljer den platsanslutning som du vill visa.
- På sidan Egenskaper visar du informationen om anslutningen.
Om du har problem med att ansluta kan du läsa avsnittet Felsöka i innehållsförteckningen i den vänstra rutan.
Återställa en VPN-gateway
Du kan behöva återställa en Azure VPN-gateway om VPN-anslutningen mellan flera platser i en eller flera VPN-tunnlar för plats-till-plats bryts. I det här fallet fungerar de lokala VPN-enheterna korrekt, men de kan inte upprätta IPSec-tunnlar med Azures VPN-gatewayer.
Cmdleten för att återställa en klassisk gateway är Reset-AzureVNetGateway. Azure PowerShell-cmdletarna för Service Management måste installeras lokalt på skrivbordet. Du kan inte använda Azure Cloud Shell. Innan du utför en återställning kontrollerar du att du har den senaste versionen av PowerShell-cmdletarna för Service Management (SM).
När du använder det här kommandot kontrollerar du att du använder det fullständiga namnet på det virtuella nätverket. Klassiska virtuella nätverk som skapades med hjälp av portalen har ett långt namn som krävs för PowerShell. Du kan visa det långa namnet med hjälp Get-AzureVNetConfig -ExportToFile C:\Myfoldername\NetworkConfig.xml
av .
I följande exempel återställs gatewayen för ett virtuellt nätverk med namnet "Group TestRG1 TestVNet1" (som visas som "TestVNet1" i portalen):
Reset-AzureVNetGateway –VnetName 'Group TestRG1 TestVNet1'
Resultat:
Error :
HttpStatusCode : OK
Id : f1600632-c819-4b2f-ac0e-f4126bec1ff8
Status : Successful
RequestId : 9ca273de2c4d01e986480ce1ffa4d6d9
StatusCode : OK
Så här ändrar du storlek på en gateway-SKU
Om du vill ändra storlek på en gateway för den klassiska distributionsmodellen måste du använda PowerShell-cmdletarna för Service Management. Ange följande kommando:
Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance
Nästa steg
- När anslutningen är klar kan du lägga till virtuella datorer till dina virtuella nätverk. Mer information finns i Virtuella datorer.
- Information om tvingad tunneltrafik finns i Om forcerade tunnlar.