共用方式為

教學:使用 Azure Virtual WAN 建立站點對站點連線

這個教學會教你如何使用 Virtual WAN 透過 IPsec/IKE(IKEv1 和 IKEv2)VPN 連線連接到 Azure 中的資源。 此類型的連線需要位於內部部署的 VPN 裝置,且您已對該裝置指派對外開放的公用 IP 位址。 欲了解更多Virtual WAN資訊,請參閱Virtual WAN概覽

截圖顯示了一個 Virtual WAN 的網路圖。

在本教學課程中,您將了解如何:

  • 建立虛擬 WAN
  • 設定虛擬中樞基本設定
  • 設定站對站 VPN 閘道設定
  • 建立網站
  • 將網站連線至虛擬中樞
  • 將 VPN 網站連線至虛擬中樞
  • 將 VNet 連線至虛擬中樞
  • 下載設定檔
  • 檢視或編輯 VPN 閘道

注意

如果你有很多據點,通常會用 Virtual WAN 合作夥伴來建立這個配置。 但是,如果您熟悉網路並熟練配置自己的 VPN 裝置,則可以自行建立此設定。

必要條件

在開始設定之前,請確認您已符合下列條件:

  • 你有 Azure 訂閱。 如果你沒有Azure訂閱,請建立一個free帳號

  • 您有一個想要連接到的虛擬網路。

    • 驗證沒有任何內部部署網路的子網路與您要連線的虛擬網路子網路重疊。

    • 要在Azure入口建立虛擬網路,請參閱 Quickstart 文章。

      在本練習中,我們使用下列範例值來建立虛擬網路。 您可以在建立自己的虛擬網路時修改這些值。

      參數 價值觀
      資源群組 TestRG
      名稱 VNet1
      地點/地區 美國東部
      IPv4 位址空間 10.11.0.0/16

  • 您的虛擬網路必須沒有任何現有的虛擬網路閘道。

    • 如果虛擬網路已經有閘道 (VPN 或 ExpressRoute) ,您必須先移除所有閘道,然後再繼續。
    • 此配置要求虛擬網路僅連接至 Virtual WAN 集線器閘道器。

  • 決定您要用於您的虛擬中樞私人位址空間的 IP 位址範圍。 設定您的虛擬中樞時會使用此資訊。 虛擬集線器是由 Virtual WAN 建立並使用的虛擬網路。 它是你在某個區域內 Virtual WAN 網路的核心。 位址空間範圍必須符合特定規則:

    • 您為中樞指定的位址範圍不能與您連線的任何現有虛擬網路重疊。
    • 位址範圍不能與您連線的內部部署位址範圍重疊。
    • 如果您不熟悉位於內部部署網路設定中的 IP 位址範圍,請與可以為您提供這些詳細資料的人員協調。

建立虛擬 WAN

  1. 在入口網站的 Search resources欄中,輸入 Virtual WAN,選擇 Enter

  2. 從結果中選取 [虛擬 WAN] 在 [虛擬 WAN] 頁面中,選取 [+ 建立],以開啟 [建立 WAN] 頁面。

  3. 在 [建立 WAN] 頁面的 [基本] 索引標籤中,填寫欄位。 修改範例值以套用至您的環境。

    螢幕擷取畫面顯示 [建立 WAN] 窗格,並選取 [基本] 索引標籤。

    • 訂閱:選取您要使用的訂閱。
    • 資源群組:建立新的或使用現有的。
    • 資源群組位置:從下拉式清單中選擇資源位置。 WAN 是全域資源,並不會在特定區域存留。 不過,您必須選取一個區域以管理及放置所建立的 WAN 資源。
    • 名稱:鍵入要用來稱呼虛擬 WAN 的名稱。
    • 類型:基本或標準。 選取 [標準]。 如果您選取 [基本],請了解基本虛擬 WAN 只能包含基本中樞。 基本中樞只能用於站對站連線。

  4. 填寫欄位完成後,請在頁面底部選取 [檢閱 + 建立]

  5. 驗證通過後,按一下 [建立],以建立虛擬 WAN。

設定虛擬中樞設定

虛擬中樞是虛擬網路,可以包含可用於站對站、ExpressRoute 或點對站功能的網路閘道。 在本教學課程中,您會從填寫虛擬樞紐的 [基本] 索引標籤開始,接著在下一節填寫站對站索引標籤。 也可以建立空的虛擬中樞 (不包含任何網路閘道的虛擬中樞),之後再新增網路閘道 (S2S、P2S、ExpressRoute 等)。 建立虛擬中樞之後,即使您未連結任何網站或在虛擬中樞內建立任何網路閘道,也會向您收取虛擬中樞費用。

  1. 移至您建立的虛擬 WAN。 在虛擬 WAN 頁面的左側窗格上,於 [連線能力] 下,選取 [中樞]

  2. 在 [中樞] 頁面上,選取 [+ 新增中樞] 來開啟 [建立虛擬中樞] 頁面。

    螢幕擷取畫面顯示 [建立虛擬中樞] 窗格,並選取 [基本] 索引標籤。

  3. 在 [建立虛擬中樞] 頁面的 [基本] 索引標籤中,完成以下欄位:

    • 區域:選取您要在其中部署虛擬中樞的區域。
    • 名稱:您希望虛擬中樞使用的名稱。
    • 中樞私人位址空間:採用 CIDR 標記法的中樞位址範圍。 最小位址空間是 /24 以便建立中樞。
    • 虛擬中樞容量:從下拉式清單中選取。 如需詳細資訊,請參閱虛擬中樞設定
    • 中樞路由喜好設定:除非您有變更此欄位的特定需求, 否則請將設定保留為預設值 ExpressRoute 。 如需詳細資訊,請參閱虛擬中樞路由偏好設定

還不要建立虛擬中樞。 繼續前往下一節以進行其他設定。

設定站對站閘道

在本節中,您會設定站對站連線能力設定,然後建立虛擬中樞和站對站 VPN 網路閘道。 建立虛擬中樞和網路閘道大約需要 30 分鐘。

  1. 在 [建立虛擬中樞] 頁面上,按一下 [站對站] 以開啟 [站對站] 索引標籤。

    螢幕擷取畫面顯示 [建立虛擬中樞] 窗格,並選取 [站對站]。

  2. 站對站 索引標籤中,完成以下欄位:

    • 選取 [是] 以建立站對站 VPN。

    • AS 編號:您無法編輯 [AS 編號] 欄位。

    • 閘道縮放單位:從下拉式清單選取 [閘道縮放單位] 值。 規模單位可讓您選取在虛擬中樞內為 VPN 閘道設定的彙總輸送量,以將站台連線到該閘道。

      如果您選取 1 個縮放單位 = 500 Mbps,則表示將建立兩個備援的執行個體,每個執行個體都有 500 Mbps 的最大輸送量。 例如,如果您有五個分支,每個分支執行 10 Mbps,則您需要在前端有 50 Mbps 的彙總。 Azure VPN 閘道器的總容量規劃應在評估支援中樞分支數量所需的容量後進行。

    • 路由偏好:Azure路由偏好讓你選擇流量在Azure與網際網路之間的路由方式。 您可以選擇透過 Microsoft 網路或經由 ISP 網路 (公用網際網路) 來路由傳送流量。 這些選項也分別稱為冷馬鈴薯路由和熱馬鈴薯路由。

      Virtual WAN 中的公共 IP 位址由服務根據所選的路由選項分配。 如需透過 Microsoft 網路或 ISP 的路由喜好設定詳細資訊,請參閱路由喜好設定一文。

  3. 選取 [檢閱 + 建立] 以進行驗證。

  4. 選取 [建立] 以建立中樞和閘道。 這項作業可能需要 30 分鐘的時間。 30 分鐘後,按一下 [重新整理] 以檢視 [中樞] 頁面上的中樞。 選取 [移至資源],以導覽至資源。

當您建立新的中樞時,您可能會在介面中注意到有關路由器版本的警告訊息。 當路由器正在配置時,有時會發生這種情況。 一旦路由器佈建完畢,就不會再出現訊息。

建立網站

在本節中,您會建立網站。 網站會對應至您的實體位置。 根據需求建立任意數量的網站。 這些網站包含您內部部署的 VPN 裝置端點。

例如,如果您在紐約 (NY)、倫敦和洛杉磯 (LA) 各有分公司,就會建立三個不同網站。 在虛擬 WAN 中,每個虛擬中樞最多可以建立 1,000 個站台。 如果您有多個虛擬中樞,則您可以為每個中樞各建立 1000 個。

如果你有 Virtual WAN 合作夥伴 CPE 裝置,請向他們確認他們對 Azure 的自動化。 通常,自動化意味著只需簡單點擊,即可將大規模分支資訊匯出到 Azure,並設定從 CPE 到 Azure Virtual WAN VPN 閘道的連線。 欲了解更多資訊,請參閱Azure向 CPE 合作夥伴提供的 自動化指引

  1. 請前往你的 Virtual WAN -> VPN sites 開啟 VPN sites 頁面。

  2. 在 [VPN 網站] 頁面上,按一下 [+ 建立網站]

  3. 在 [建立 VPN 網站] 頁面的 [基本] 索引標籤中,完成以下欄位:

    螢幕擷取畫面顯示 [建立 VPN 網站] 頁面,並且開啟 [基本] 索引標籤。

    • 區域: 先前稱為位置。 這是您要在其中建立此網站資源的位置。

    • 名稱: 您希望用來稱呼內部部署站點的名稱。

    • 裝置廠商: VPN 裝置廠商的名稱 (例如:Citrix、Cisco、Barracuda)。 新增裝置廠商能幫助 Azure 團隊更了解你的環境,未來能增加更多優化選項,或協助你排除故障。

    • 私人位址空間: 位於內部部署網站上的 IP 位址空間。 流向此位址空間的流量會路由至您本地站點。 當網站未啟用 BGP 時,這是必要項目。

      注意

      如果您在建立網站後編輯位址空間 (例如,新增額外的位址空間),則在重建元件時,可能需要 8-10 分鐘的時間來更新有效的路由。

  4. 請選取 [連結],以新增分支上實體連結的相關資訊。 如果你有 Virtual WAN 合作夥伴 CPE 裝置,請向他們確認這些資訊是否會作為他們系統分支資訊上傳的一部分與 Azure 交換。

    螢幕擷取畫面顯示 [建立 VPN 網站] 頁面,並且開啟 [連結] 索引標籤。

    • 連結名稱: 您想要為 VPN 網站實體連結提供的名稱。 範例:mylink1。

    • 連結速度: 這是 VPN 裝置在分支位置的速度。 範例:50,代表 VPN 裝置在分支網站的速度為 50 Mbps。

    • 連結提供者名稱: VPN 網站的實體連結名稱。 範例:ATT、Verizon。

    • 連結 IP 位址/FQDN: 使用此連結之內部部署裝置的公用 IP 位址。 或者,您可以為 ExpressRoute 後方的內部部署 VPN 裝置,提供私人 IP 位址。 您也可以包含完整合格的網域名稱。 例如 something.contoso.com。 FQDN 應該可以從 VPN 閘道解析。 如果裝載此 FQDN 的 DNS 伺服器可透過網際網路連線,就可能發生這種情況。 當同時指定 IP 位址和 FQDN 時,IP 位址的優先順序會較高。

      注意

      • 支援每個 FQDN 有一個 IPv4 位址。 如果將 FQDN 解析為多個 IP 位址,則 VPN 閘道會從清單中挑選第一個 IP4 位址。 目前不支援 IPv6 位址。

      • VPN 閘道會以每 5 分鐘重新整理一次的方式維護 DNS 快取。 閘道只會嘗試解析已中斷連線通道的 FQDN。 閘道重設或設定變更也會觸發 FQDN 解析。

    • Link 邊界閘道協定:在虛擬 WAN 連結上設定 BGP 等同於在Azure虛擬網路閘道 VPN 上設定 BGP。 內部部署 BGP 同儕節點位址不得與 VPN 到裝置的公用 IP 位址或 VPN 網站的 VNet 位址空間相同。 在 VPN 裝置上,請針對 BGP 對等互連 IP 使用不同的 IP 位址。 它可以是指派給裝置上 Loopback 介面的位址。 在代表位置的對應 VPN 網站中指定這個位址。 關於 BGP 的先修條件,請參見 About BGP with Azure VPN Gateway。 您可以隨時編輯 VPN 連結的連線,以更新其 BGP 參數 (連結上的對等互連 IP 與 AS 編號)。

  5. 您可以新增或刪除更多連結。 每個 VPN 網站支援四個連結。 例如,如果您在分支位置有四個 ISP (網際網路服務提供者),您可以建立四個連結 (每個 ISP 一個),並提供每個連結的資訊。

  6. 填寫完欄位之後,請選取 [檢閱 + 建立]來進行確認。 按一下 [建立] 來建立網站。

  7. 前往你的Virtual WAN。 在 [VPN 網站] 頁面上,您應該可以看到您所建立的網站。 如果您看不到網站,則需要調整篩選條件。 按一下 X 在 [中樞關聯] 泡泡中以清除篩選條件。

    螢幕擷取畫面顯示 [連線至此中樞]。

  8. 篩選條件清除之後,您就可以檢視您的網站。

    顯示網站的螢幕擷取畫面。

將 VPN 網站連線至虛擬中樞

在此節中,您會將 VPN 網站連線至虛擬中樞。

  1. 在你的 Virtual WAN 頁面,前往 Hubs

  2. 中心 頁面上,按一下您建立的中心。

  3. 在所建立中樞的頁面上,從左側窗格上的 [連線] 底下按一下 [VPN (站對站)] 以開啟 [VPN 站對站] 頁面。

  4. 在 [VPN (站對站)] 頁面上,您應該會看到您的網站。 如果沒有看到,您可能需要按一下 [中樞關聯: x] 泡泡,來清除篩選條件並檢視您的網站。

  5. 選取網站名稱旁的核取方塊 (不要直接按一下網站名稱),然後按一下 [連線 VPN 網站]

    螢幕擷取畫面顯示 Connect 站點。

  6. 在 [連線網站] 頁面上進行設定。

    螢幕擷取畫面顯示虛擬HUB的 [已連線的網站] 窗格,準備好接收預先共用金鑰和相關設定。

    • 預先共用金鑰 (PSK):輸入 VPN 裝置所使用的預先共用金鑰。 如果你沒輸入金鑰,Azure 會自動幫你產生一個金鑰。 然後在設定 VPN 裝置時使用該金鑰。

    • 通訊協定和 IPsec:您可以保留通訊協定 (IKEv2) 和 IPsec (預設) 的預設設定,也可以設定自訂的設定。 如需詳細資訊,請參閱預設/自訂 IPsec

    • 傳播預設路由:只有在您知道要傳播預設路由時,再將此設定變更為 [啟用]。 否則,請將其保留為 [停用]。 您之後可以隨時修改此設定。

      [啟用] 選項允許將學習的預設路由從虛擬中樞傳播到該連線。 此旗標僅在 Virtual WAN 集線器已透過部署防火牆而學習該路由,或其他連接站點已啟用強制隧道時,才允許預設路由傳播至連線。 預設路由並非從 Virtual WAN 集線器開始。

    • 使用原則式流量選取器:除非您正在對使用此設定的裝置進行連線設定,否則請將此設定保留為 [停用]

    • 設定流量選取器:保留預設值。 您之後可以隨時修改此設定。

    • 連線模式:保留預設值。 此設定可用來決定哪些閘道可以起始連線。

  7. 選取頁面底部的 [連線]

  8. 選取 [連線] 之後,連線狀態會顯示 [更新中]。 更新完成之後,網站會顯示連線和連線狀態。

    螢幕擷取畫面顯示站對站連線和連線能力狀態。

    連線配置狀態:這是連接 VPN 站點與 Azure 集線器 VPN 閘道的連線Azure資源狀態。 一旦控制平面操作成功,Azure VPN 閘道與本地 VPN 裝置將開始建立連線。

    連線狀態:這是Azure VPN 閘道器與 VPN 站點之間的實際連線(資料路徑)狀態。 更新完成後,其可能會顯示下列任何狀態:

    • 未知:如果後端系統正在轉換成另一個狀態,通常會看到此狀態。
    • 正在連線:VPN 閘道正嘗試與實際的內部部署 VPN 網站連線。
    • 已連線:VPN 閘道與內部部署 VPN 網站之間已建立連線。
    • 未連線:未建立連線。
    • Disconnected:若因任何原因(本地或Azure)連線中斷,則會出現此狀態。

  9. 如果您想要對網站進行變更,請選取網站名稱旁的核取方塊(不要直接按一下網站名稱),然後點擊 ... 內容功能表。

    螢幕擷取畫面顯示編輯、刪除與下載。

    您可以從此頁面執行下列動作:

    • 編輯此中樞的 VPN 連線。
    • 刪除此中樞的 VPN 連線。
    • 下載此網站專屬的 VPN 設定檔。 如果您想要下載連線到此中樞之網站的設定檔,請從頁面頂端的功能表中選取 [下載 VPN 設定]

  10. 接著,您可以按一下 VPN 網站,查看每個連結連線的狀態。 螢幕擷取畫面顯示指定 VPN 網站的連結連線。

將 VNet 連線至虛擬中樞

在本節中,您會建立虛擬中樞和 VNet 之間的連線。

  1. 在Azure入口網站,前往你的 Virtual WAN 在左側窗格選擇 Virtual network connections

  2. 在 [虛擬網路連線] 頁面上,選取 [+ 新增連線]

  3. 在 [新增連線] 頁面上,進行連線設定。 如需路由設定的資訊,請參閱關於路由

    • 連線名稱 - 為您的連線命名。

    • 中樞:選取要與此連線產生關聯的中樞。

    • 訂用帳戶:請確認訂用帳戶。

    • 資源群組:選取包含您要連線之虛擬網路的資源群組。

    • 虛擬網路:選取要與此中樞連線的虛擬網路。 您選取的虛擬網路不能有現有的虛擬網路閘道。

    • 傳播到無:這會根據預設設為 [否]。 將開關變更為 [是],可讓 [傳播到路由表] 和 [傳播到標籤] 的設定選項無法用於設定。

    • 為路由表建立關聯:您可以從下拉式清單中選取您想要建立關聯的路由表。

    • 傳播至標籤:標籤是路由表的邏輯群組。 針對此設定,從下拉式清單中進行選取。

    • 靜態路由:視需要設定靜態路由。 設定網路虛擬設備的靜態路由 (若適用)。 Virtual WAN 支援虛擬網路連線中單一的下一跳 IP 靜態路由。 例如,如果您有用於輸入和輸出流量的個別虛擬設備,則最好讓虛擬設備位於個別的 VNet 中,並將 VNet 連結至虛擬中樞。

    • 略過此 VNet 內工作負載的下一個躍點 IP:此設定可讓您將 NVA 和其他工作負載部署到相同的 VNet,而不會強制所有流量通過 NVA。 只有在您設定新的連線時,才能進行此設定。 如果您想要針對已建立的連線使用此設定,請刪除連線,然後新增連線。 有關此設定相關的路由行為的更多資訊,請參閱 繞過下一跳 IP 文件

      繞過下一跳 IP 的設定 不適用於從透過虛擬網路中直接連接到虛擬樞紐的 NVA,以 BGP 對等方式學習的路由。 這是因為建立輪輻虛擬網路連線時,虛擬中樞會自動學習與輪輻虛擬網路中位址相關聯的系統路由。 這些自動學習的系統路由優先於中樞透過 BGP 學習的路由。 系統路由只能被靜態路由覆蓋。

    • 傳播靜態路由:此設定可讓您將靜態路由定義於 [靜態路由 ] 區段中定義的靜態路由傳播 至 [傳播至路由表] 中指定的路由表。 此外,路由會散佈到具有已指定為 [散佈至標籤] 之標籤的路由表。 這些路由可以跨中樞傳播,但預設路由 0/0 除外。

  4. 完成您想要設定的設定之後,請選取 [ 建立 ] 以建立連線。

下載 VPN 組態

若要設定您的內部部署 VPN 裝置,請使用 VPN 裝置設定檔。 以下是基本步驟:

  1. 從你的Virtual WAN頁面,前往 Hubs -> 你的虛擬樞紐 -> VPN(站對站) 頁面。

  2. VPN(網站對網站)頁面頂端,點擊 Download VPN Config。你會看到一連串訊息,因為 Azure 在資源群組 'microsoft-network-[location]' 建立一個新的儲存帳號,而 location 是 WAN 的位置。 您也可以新增現有的儲存體帳戶,方法是按一下 [使用現有],然後新增已啟用寫入權限的有效 SAS URL。 若要深入了解如何建立新的 SAS URL,請參閱產生 SAS URL

  3. 檔案建立完成後,請按一下連結以下載檔案。 將在提供的 SAS URL 位置建立具有 VPN 設定的新檔案。 若要了解檔案的內容,請參閱本節中的關於 VPN 裝置設定檔

  4. 將組態套用至您的內部部署 VPN 裝置。 如需詳細資訊,請參閱本節中的 VPN 裝置設定

  5. 將設定套用至 VPN 裝置之後,您就不需要保留所建立的儲存體帳戶。

關於 VPN 裝置設定檔

裝置設定檔包含了設定內部部署 VPN 裝置時所要使用的設定。 當您檢視此檔案時,請注意下列資訊:

  • vpnSiteConfiguration - 本節表示配置為連線到虛擬WAN的站點的裝置詳細資訊。 它包含分支裝置的名稱和公用 IP 位址。

  • vpnSiteConnections - 此區段提供與下列設定有關的資訊:

    • 虛擬中樞虛擬網路的位址空間
      範例:

      "AddressSpace":"10.1.0.0/24"

    • 連線到虛擬中樞之虛擬網路的位址空間
      範例:

      "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]

    • 虛擬中樞 Vpngateway 的 IP 位址。 由於每個 vpngateway 連線都是由主動-主動組態中的 2 個通道組成,因此您會在此檔案中看到列出這兩個 IP 位址。 在此範例中,您會看到每個網站的 "Instance0" 和 "Instance1"。
      範例:

      "Instance0":"104.45.18.186"
"Instance1":"104.45.13.195"

    • Vpngateway 連線組態詳細資料 ,例如 BGP、預先共用金鑰等。PSK 是為您自動產生的預先共用金鑰。 您隨時都可以在自訂 PSK 的 [概觀] 頁面中編輯連線。

範例裝置設定檔

  { 
      "configurationVersion":{ 
         "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
         "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
      },
      "vpnSiteConfiguration":{ 
         "Name":"testsite1",
         "IPAddress":"73.239.3.208"
      },
      "vpnSiteConnections":[ 
         { 
            "hubConfiguration":{ 
               "AddressSpace":"10.1.0.0/24",
               "Region":"West Europe",
               "ConnectedSubnets":[ 
                  "10.2.0.0/16",
                  "10.3.0.0/16"
               ]
            },
            "gatewayConfiguration":{ 
               "IpAddresses":{ 
                  "Instance0":"203.0.113.186",
                  "Instance1":"203.0.113.195"
               }
            },
            "connectionConfiguration":{ 
               "IsBgpEnabled":false,
               "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
               "IPsecParameters":{ 
                  "SADataSizeInKilobytes":102400000,
                  "SALifeTimeInSeconds":3600
               }
            }
         }
      ]
   },
   { 
      "configurationVersion":{ 
         "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
         "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
      },
      "vpnSiteConfiguration":{ 
         "Name":" testsite2",
         "IPAddress":"198.51.100.122"
      },
      "vpnSiteConnections":[ 
         { 
            "hubConfiguration":{ 
               "AddressSpace":"10.1.0.0/24",
               "Region":"West Europe"
            },
            "gatewayConfiguration":{ 
               "IpAddresses":{ 
                  "Instance0":"203.0.113.186",
                  "Instance1":"203.0.113.195"
               }
            },
            "connectionConfiguration":{ 
               "IsBgpEnabled":false,
               "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
               "IPsecParameters":{ 
                  "SADataSizeInKilobytes":102400000,
                  "SALifeTimeInSeconds":3600
               }
            }
         }
      ]
   },
   { 
      "configurationVersion":{ 
         "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
         "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
      },
      "vpnSiteConfiguration":{ 
         "Name":" testsite3",
         "IPAddress":"192.0.2.228"
      },
      "vpnSiteConnections":[ 
         { 
            "hubConfiguration":{ 
               "AddressSpace":"10.1.0.0/24",
               "Region":"West Europe"
            },
            "gatewayConfiguration":{ 
               "IpAddresses":{ 
                  "Instance0":"203.0.113.186",
                  "Instance1":"203.0.113.195"
               }
            },
            "connectionConfiguration":{ 
               "IsBgpEnabled":false,
               "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
               "IPsecParameters":{ 
                  "SADataSizeInKilobytes":102400000,
                  "SALifeTimeInSeconds":3600
               }
            }
         }
      ]
   }

設定 VPN 裝置

注意

如果你使用的是 Virtual WAN 合作夥伴解決方案,VPN 裝置設定會自動進行。 裝置控制器會從 Azure 取得設定檔,並套用到裝置來建立與 Azure 的連線。 這表示您無須知道如何手動設定 VPN 裝置。

如果需要設定裝置的指示,您可以使用 VPN 裝置組態指令碼頁面中的指示,並留意下列注意事項:

  • VPN 裝置頁面上的說明不是針對 Virtual WAN 寫的,但你可以用設定檔裡的 Virtual WAN 值手動設定你的 VPN 裝置。

  • VPN Gateway 的可下載裝置設定腳本無法用於 Virtual WAN,因為設定不同。

  • 新的 Virtual WAN 可以同時支援 IKEv1 和 IKEv2。

  • Virtual WAN 可同時使用基於政策與路由的 VPN 裝置及裝置指令。

檢視或編輯閘道設定

您可以隨時檢視和設定您的 VPN 閘道設定。 移至您的虛擬中樞 -> [VPN (站對站)],然後點一下 [閘道設定]

顯示 [VPN(站對站)] 頁面的螢幕擷取畫面,其中閘道設定周圍有個紅色方塊。

Edit VPN Gateway 頁面上,你可以看到以下設定:

  • 公共 IP 位址:由 Azure 指派。
  • 私人IP位址:由Azure分配。
  • Default BGP IP 位址:由Azure分配。
  • 自訂 BGP IP 位址:此欄位會保留給 APIPA (自動私人 IP 定址)。 Azure 支援範圍為 169.254.21.* 和 169.254.22.* 的 BGP IP。 Azure 接受這些範圍內的 BGP 連線,但會以預設的 BGP IP 撥號連線。 使用者可以針對每個執行個體指定多個自訂 BGP IP 位址。 兩個執行個體不應該使用相同的自訂 BGP IP 位址。

清除資源

當您不再需要您所建立的資源時,請將其刪除。 由於相依關係,部分 Virtual WAN 資源必須依特定順序刪除。 刪除需要大約 30 分鐘才能完成。

  1. 開啟您建立的虛擬 WAN。

  2. 選取與虛擬 WAN 相關聯的虛擬中樞,以開啟中樞頁面。

  3. 依照下列順序刪除每個閘道類型的所有閘道實體。 這項作業可能需要 30 分鐘的時間來完成。

    VPN:

    • 中斷與 VPN 站點的連線
    • 刪除 VPN 連線
    • 刪除 VPN 閘道

    ExpressRoute:

    • 刪除 ExpressRoute 連線
    • 刪除 ExpressRoute 閘道

  4. 針對與虛擬 WAN 相關聯的所有中樞重複這些動作。

  5. 您可以在此時刪除中樞,或在稍後刪除資源群組時刪除中樞。

  6. 在 Azure 入口網站中導覽資源群組。

  7. 選擇 ,刪除資源群組。 這會刪除資源群組中的其他資源,包括中樞和虛擬 WAN。

下一步

接著,想了解更多關於 Virtual WAN 的資訊,請參見:

  • Last updated on