使用 Azure 入口網站建立站對站連線 (傳統)
本文說明如何使用 Azure 入口網站來建立從內部部署網路到 VNet 的站對站 VPN 閘道連線。 本文中的步驟適用於傳統 (舊版) 部署模型,不適用於目前的部署模型 Resource Manager。 請改為參閱本文的 Resource Manager 版本。
重要
您無法再為傳統部署模型 (服務管理) 虛擬網路建立新的虛擬網路閘道。 只有 Resource Manager 虛擬網路可以建立新的虛擬網路閘道。
站對站 VPN 閘道連線可用來透過 IPsec/IKE (IKEv1 或 IKEv2) VPN 通道,將內部部署網路連線到 Azure 虛擬網路。 此類型的連線需要位於內部部署的 VPN 裝置,且您已對該裝置指派對外開放的公用 IP 位址。 如需 VPN 閘道的詳細資訊,請參閱關於 VPN 閘道。
注意
本文針對傳統 (舊版) 部署模型而撰寫。 建議您改用最新的 Azure 部署模型。 Resource Manager 部署模型是最新的部署模型,可提供比傳統部署模型更多的選項和功能相容性。 若要了解這兩個部署模型之間的差異,請參閱了解部署模型和資源的狀態。
若要使用本文的不同版本,請使用左窗格中的目錄。
開始之前
在開始設定之前,請確認您已符合下列條件:
- 確認您想要使用傳統部署模型。 如果您想要使用 Resource Manager 部署模型,請參閱建立站對站連線 (Resource Manager)。 我們建議您使用 Resource Manager 部署模型,因為傳統模型是舊版模型。
- 確定您有相容的 VPN 裝置以及能夠對其進行設定的人員。 如需相容 VPN 裝置和裝置組態的詳細資訊,請參閱關於 VPN 裝置。
- 確認您的 VPN 裝置有對外開放的公用 IPv4 位址。
- 如果您不熟悉位於內部部署網路設定的 IP 位址範圍,您需要與能夠提供那些詳細資料的人協調。 當您建立此組態時,您必須指定 IP 位址範圍的首碼,以供 Azure 路由傳送至您的內部部署位置。 內部部署網路的子網路皆不得與您所要連線的虛擬網路子網路重疊。
- 需要 PowerShell 才能指定共用金鑰及建立 VPN 閘道連線。 使用傳統部署模型時,您無法使用 Azure Cloud Shell, 而必須在本機電腦上安裝最新版的 Azure 服務管理 (SM) PowerShell Cmdlet。 這些 Cmdlet 與 AzureRM 或 Az Cmdlet 不同。 若要安裝 SM Cmdlet,請參閱安裝服務管理 Cmdlet。 如需關於 Azure PowerShell 的一般詳細資訊,請參閱 Azure PowerShell 文件。
此練習的範例設定值
本文的範例使用下列值。 您可以使用這些值來建立測試環境,或參考這些值,進一步了解本文中的範例。 一般而言,使用位址空間的 IP 位址值時,您想要與網路系統管理員協調,以避免重疊的位址空間可能會影響路由。 在此情況下,如果您想要建立可運作的連線,請將 IP 位址值取代為您自己的值。
- 資源群組︰TestRG1
- VNet 名稱︰TestVNet1
- 位址空間:10.11.0.0/16
- 子網路名稱:FrontEnd
- 子網路位址範圍:10.11.0.0/24
- GatewaySubnet:10.11.255.0/27
- 區域:(美國) 美國東部
- 本機網站名稱︰ Site2
- 用戶端位址空間:位於內部部署網站上的位址空間。
建立虛擬網路
當您建立要用於 S2S 連線的虛擬網路時,您必須確定所指定的位址空間,不會與您要連接的本機網站中任何用戶端位址空間重疊。 如果有重疊的子網路,您的連線便無法正常運作。
如果您已經有 VNet,請驗證設定是否與您的 VPN 閘道設計相容。 請特別注意任何可能與其他網路重疊的子網路。
如果您還沒有虛擬網路,請建立一個。 已提供螢幕擷取畫面做為範例。 請務必將值取代為您自己的值。
建立虛擬網路
- 透過瀏覽器瀏覽至 Azure 入口網站 ,並視需要使用您的 Azure 帳戶登入。
- 選取 [+建立資源]。 在 [搜尋 Marketplace] 欄位中,輸入「虛擬網路」。 在傳回的清單中找出 [虛擬網路],然後選取以開啟 [虛擬網路] 頁面。
- 在 [虛擬網路] 頁面的 [建立] 按鈕下方,您會看到「使用 Resource Manager 部署 (變更為傳統版)」。 Resource Manager 是建立 VNet 的預設值。 您不想要建立 Resource Manager VNet。 選取 [(變更為傳統版)] 以建立傳統 VNet。 然後,選取 [概觀] 索引標籤,然後選取 [建立]。
- 在 [建立虛擬網路 (傳統版)] 頁面的 [基本] 索引標籤上,使用範例值設定 VNet 設定。
- 選取 [檢閱 + 建立] 以驗證您的 VNet。
- 驗證執行。 驗證 VNet 之後,請選取 [建立]。
DNS 設定不是此設定的必要部分,但如果您想要 VM 之間的名稱解析,則需要 DNS。 指定一個值並不會建立新的 DNS 伺服器。 您指定的 DNS 伺服器 IP 位址應該是可以解析您所連線之資源名稱的 DNS 伺服器。
建立虛擬網路之後,您可以新增 DNS 伺服器的 IP 位址,以便處理名稱解析。 開啟您的虛擬網路設定、按一下 DNS 伺服器,然後新增您要用於名稱解析的 DNS 伺服器 IP 位址。
- 在入口網站中找出虛擬網路。
- 在您的虛擬網路頁面上,選取 [設定] 區段下方的 [DNS 伺服器]。
- 新增 DNS 伺服器。
- 若要儲存您的設定,選取頁面頂端的 [儲存]。
設定網站和閘道
若要設定網站
本機網站通常是指您的內部部署位置。 其包含您要建立連線的 VPN 裝置 IP 位址,以及將透過 VPN 閘道路由傳送至 VPN 裝置的 IP 位址範圍。
在 VNet 的頁面上,選取 [設定] 下方的 [站對站連線]。
在 [站對站連線] 頁面上,選取 [+ 新增]。
在 [設定 VPN 連線和閘道] 頁面上,針對 [連線類型] 將 [站對站] 保持選取狀態。 在此練習中,您必須使用範例值的組合和自有值。
VPN 閘道 IP 位址:這是您內部部署網路之 VPN 裝置的公用 IP 位址。 VPN 裝置需要 IPv4 公用 IP 位址。 為您要連線的 VPN 裝置指定有效的公用 IP 位址。 網站必須可由 Azure 連線。 如果您不知道 VPN 裝置的 IP 位址,您可以一律放入預留位置值 (只要其為有效的公用 IP 位址格式即可),然後稍後加以變更。
用戶端位址空間︰列出您要透過此閘道路由傳送至本機內部部署網路的 IP 位址範圍。 您可以加入多個位址空間範圍。 確定您在此指定的範圍,不會與虛擬網路要連接的其他網路範圍重疊,或與虛擬網路本身的位址範圍重疊。
「請勿」選取頁面底部的 [檢閱 + 建立]。 請改為選取 [下一步:閘道>]。
若要設定虛擬網路閘道
在 [閘道] 頁面上,選取下列值:
大小:這是您會用來建立虛擬網路閘道的閘道 SKU。 傳統 VPN 閘道會使用舊式 (舊版) 閘道 SKU。 如需舊版閘道 SKU 的詳細資訊,請參閱使用虛擬網路閘道 SKU (舊式 SKU)。 您可以選取用於此練習的 [標準]。
閘道子網路:您所要建立的 VPN 閘道設定會決定您需要為閘道子網路指定的大小。 雖然可以建立和 /29 一樣小的閘道子網路,但建議您使用 /27 或 /28。 這可建立包含更多位址的較大子網路。 使用較大的閘道子網路可讓您擁有足夠的 IP 位址,以因應未來可能的組態。
選取頁面底部的 [檢閱 + 建立] 以驗證您的設定。 選取 [建立] 以進行部署。 視您選取的閘道 SKU 而定,建立虛擬網路閘道可能需要 45 分鐘的時間。
設定 VPN 裝置
內部部署網路的站對站連線需要 VPN 裝置。 在此步驟中,設定 VPN 裝置。 設定 VPN 裝置時,您需要下列值:
- 共用金鑰。 這個共同金鑰與您建立站對站 VPN 連線時指定的共用金鑰相同。 在我們的範例中,我們會使用基本的共用金鑰。 我們建議您產生更複雜的金鑰以供使用。
- 虛擬網路閘道的公用 IP 位址。 您可以使用 Azure 入口網站、PowerShell 或 CLI 來檢視公用 IP 位址。
根據您所擁有的 VPN 裝置,您或許可以下載 VPN 裝置設定指令碼。 如需詳細資訊,請參閱下載 VPN 裝置組態指令碼。
下列連結提供詳細設定資訊:
如需相容 VPN 裝置的相關資訊,請參閱關於 VPN 裝置。
設定 VPN 裝置之前,請先檢查是否有任何已知的裝置相容性問題。
如需裝置組態設定的連結,請參閱已經驗證的 VPN 裝置。 我們會盡最大努力提供裝置設定連結,但最好向裝置製造商洽詢最新的設定資訊。
此清單會顯示我們測試的版本。 如果 VPN 裝置的作業系統版本不在清單中,仍然可能相容。 請洽詢您的裝置製造商。
如需 VPN 裝置設定的基本資訊,請參閱合作夥伴 VPN 裝置設定概觀。
如需編輯裝置組態範例的相關資訊,請參閱編輯範例。
如需密碼編譯需求,請參閱關於密碼編譯需求和 Azure VPN 閘道。
如需關於完成設定所需參數的資訊,請參閱預設 IPsec/IKE 參數。 此資訊包含 IKE 版本、Diffie-Hellman (DH) 群組、驗證方法、加密和雜湊演算法、安全性關聯 (SA) 存留期、完整轉寄密碼 (PFS) 和失效對等偵測 (DPD)。
如需 IPsec/IKE 原則設定步驟,請參閱設定 S2S VPN 和 VNet 對 VNet 的自訂 IPsec/IKE 連線原則。
若要連線多個以原則為基礎的 VPN 裝置,請參閱將 VPN 閘道連線至多個內部部署以原則為基礎的 VPN 裝置。
擷取值
當您在 Azure 入口網站中建立傳統 VNet 時,您所檢視的名稱不是在 PowerShell 中使用的完整名稱。 例如,在入口網站中名稱顯示為 TestVNet1 的 VNet,在網路組態檔中的名稱可能更長。 針對資源群組 "ClassicRG" 名稱中的 VNet,可能看起來像這樣:Group ClassicRG TestVNet1。 當您建立連線時,務必使用您在網路組態檔中看到的值。
在下列步驟中,您將會連線到您的 Azure 帳戶,並且下載及檢視網路組態檔,以取得連線的必要值。
下載並安裝最新版的 Azure 服務管理 (SM) PowerShell Cmdlet。 多數人會在本機安裝 Resource Manager 的模組,但沒有服務管理模組。 服務管理模組是舊版,必須另外安裝。 如需詳細資訊,請參閱安裝服務管理 Cmdlet。
以提高的權限開啟 PowerShell 主控台並連接到您的帳戶。 使用下列範例來協助您進行連線。 您必須使用 PowerShell 服務管理模組在本機執行這些命令。 連線至您的帳戶。 使用下列範例來協助您連線:
Add-AzureAccount
檢查帳戶的訂用帳戶。
Get-AzureSubscription
如果您有多個訂用帳戶,請選取您要使用的訂用帳戶。
Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
在電腦上建立目錄。 例如,C:\AzureVNet
將網路設定檔匯出至目錄。 在此範例中,會將網路組態檔匯出到 C:\AzureNet。
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
使用文字編輯器開啟檔案,並且檢視 VNet 和網站的名稱。 這些名稱是您建立連線時使用的名稱。
VNet 名稱會列為 VirtualNetworkSite name =
站台名稱會列為 LocalNetworkSiteRef name =
建立連線
注意
針對傳統部署模型,此步驟不適用於 Azure 入口網站或透過 Azure Cloud Shell。 您必須從本機桌面使用 Azure PowerShell Cmdlet 的服務管理 (SM) 版本。
在這個步驟中,使用先前步驟中的值,您可以設定共用金鑰並建立連線。 您設定的金鑰必須是 VPN 裝置設定中所用相同金鑰。
設定共用金鑰及建立連線。
- 變更 -VNetName 值和 -LocalNetworkSiteName 值。 指定包含空格的名稱時,請使用單引號括住值。
- '-SharedKey' 是您產生並指定的值。 在範例中,我們使用的是 'abc123',但是您可以 (且應該) 使用更為複雜的值。 重要的是,您在此指定的值必須與您在設定 VPN 裝置時指定的值相同。
Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' ` -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
建立連線後,結果是︰狀態︰成功。
確認您的連線
在 Azure 入口網站中,您可以瀏覽至連線,以檢視傳統 VNet VPN 閘道的連線狀態。 下列步驟顯示瀏覽至連線並進行驗證的其中一種方式。
- 在 Azure 入口網站中,移至您的傳統虛擬網路 (VNet)。
- 在 [虛擬網路] 頁面上,按一下所要檢視的連線類型。 例如,站對站連線。
- 在 [站對站連線] 頁面的 [名稱] 下方,選取您要檢視的站台連線。
- 在 [屬性] 頁面上,檢視連線的相關資訊。
如有連線問題,請參閱左窗格中目錄的 [疑難排解] 區段。
如何重設 VPN 閘道
如果您遺失一或多個站對站 VPN 通道上的跨單位 VPN 連線,重設 Azure VPN 閘道會很有幫助。 在此情況下,您的所有內部部署 VPN 裝置都會運作正常,但無法使用 Azure VPN 閘道建立 IPsec 通道。
Reset-AzureVNetGateway 是可用來重設傳統閘道的 Cmdlet。 服務管理的 Azure PowerShell Cmdlet 必須安裝在您的桌機本地。 請勿使用 Azure Cloud Shell。 執行重設之前,請確認您已安裝最新版的 Service Management (SM) PowerShell Cmdlet。
使用此命令時,請確定您使用的是虛擬網路的完整名稱。 使用入口網站建立的傳統 Vnet 有長名稱,PowerShell 需要用到。 您可以使用 Get-AzureVNetConfig -ExportToFile C:\Myfoldername\NetworkConfig.xml
來檢視長名稱。
下列範例會重設虛擬網路的閘道,閘道名稱為 "Group TestRG1 TestVNet1" (在入口網站中只顯示為 "TestVNet1"):
Reset-AzureVNetGateway –VnetName 'Group TestRG1 TestVNet1'
結果:
Error :
HttpStatusCode : OK
Id : f1600632-c819-4b2f-ac0e-f4126bec1ff8
Status : Successful
RequestId : 9ca273de2c4d01e986480ce1ffa4d6d9
StatusCode : OK
如何調整閘道 SKU 的大小
若要調整傳統部署模型的閘道大小,您必須使用服務管理 PowerShell Cmdlet。 使用下列命令:
Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance