共用方式為

新增或移除 VPN 閘道站對站連線

  • 發行項

本文可協助您新增或移除 VPN 閘道的站對站 (S2S) 連線。 您也可以將 S2S 連線新增到已經有 S2S 連線、點對站連線或 VNet 對 VNet 連線的 VNet 閘道。 新增連線有一些限制。 開始設定之前,請先閱讀本文的必要條件一節。

圖表顯示站對站 VPN 閘道與多個網站跨單位連線。

關於 ExpressRoute/站對站及並存連線

  • 您可以使用本文中的步驟,將新的 VPN 連線新增至已存在的 ExpressRoute/站對站並存連線。
  • 您可以使用本文中的步驟,設定新的 ExpressRoute/站對站並存連線。 若要建立新的並存連線,請參閱:ExpressRoute/S2S 並存連線

必要條件

請確認下列事項:

  • 您「未」設定新的並存 ExpressRoute 和 VPN 閘道站對站連線。
  • 您使用 Resource Manager 部署模型建立的虛擬網路具有現有連線。
  • 您虛擬網路的虛擬網路閘道是路由型。 如果您的 VPN 閘道為原則型,您就必須刪除虛擬網路閘道,並建立新的路由型 VPN 閘道。
  • 此虛擬網路所連線的任何虛擬網路,位址範圍都不會重疊。
  • 您有相容的 VPN 裝置以及能夠對其進行設定的人員。 請參閱 關於 VPN 裝置。 如果不熟悉設定 VPN 裝置,或不熟悉位於內部部署網路組態的 IP 位址範圍,則您需要與能夠提供那些詳細資料的人協調。
  • 您的 VPN 裝置有對外開放的公用 IP 位址。

建立區域網路閘道

區域網路閘道是一個部署至 Azure 的特定物件,代表您用於路由的內部部署位置 (網站)。 請將站台命名為可供 Azure 參考的名稱,然後指定您想要與其建立連線的內部部署 VPN 裝置 IP 位址。 也請指定 IP 位址首碼,以供系統透過 VPN 閘道路由至 VPN 裝置。 您指定的位址首碼是位於內部部署網路上的首碼。 如果您的內部部署網路變更,或者您需要變更 VPN 裝置的公用 IP 位址,您稍後可以輕鬆地更新這些值。

使用下列範例值建立區域網路閘道:

  • 名稱:Site1
  • 資源群組︰TestRG1
  • 位置:美國東部

組態考量:

  • VPN 閘道對每個 FQDN 僅支援一個 IPv4 位址。 如果網域名稱解析為多個 IP 位址,VPN 閘道將會使用 DNS 伺服器所傳回的第一個 IP 位址。 若要排除不確定性,我們建議您的 FQDN 一律解析成單一 IPv4 位址。 不支援 IPv6。
  • VPN 閘道會以每 5 分鐘重新整理一次的方式維護 DNS 快取。 閘道只會嘗試解析已中斷連線通道的 FQDN。 重設閘道也會觸發 FQDN 解析。
  • 雖然 VPN 閘道支援使用不同 FQDN 連線到不同區域網路閘道的多個連線,但所有 FQDN 都必須解析為不同的 IP 位址。

  1. 在入口網站中,移至 [區域網路閘道],然後開啟 [建立區域網路閘道] 頁面。

  2. [基本] 索引標籤上,指定區域網路閘道的值。

    顯示使用 IP 位址建立區域網路閘道的螢幕擷取畫面。

    • 訂用帳戶:確認顯示的是正確的訂用帳戶。
    • 資源群組:選取要使用的資源群組。 您可以建立新的資源群組,或選取您已建立的資源群組。
    • 區域:選取此物件的區域。 您可能想要選取虛擬網路所在的相同位置,但可以不用這麼做。
    • 名稱:指定區域網路閘道物件的名稱。
    • 端點:選取內部部署 VPN 裝置的端點類型:[IP 位址] 或 [FQDN (完整網域名稱)]
      • IP 位址:如果您有從 VPN 裝置網際網路服務提供者 (ISP) 配置的靜態公用 IP 位址,請選取 [IP 位址] 選項。 填入 IP 位址,如範例所示。 這個位址是您希望 Azure VPN 閘道連線的 VPN 裝置公用 IP 位址。 如果您目前沒有 IP 位址,可以使用範例中顯示的值。 您後續必須回來將預留位置 IP 位址取代為 VPN 裝置的公用 IP 位址。 否則,Azure 無法連線。
      • FQDN:如果您有一段特定時間後可能變更的動態公用 IP 位址 (通常取決於您的 ISP),即可使用固定 DNS 名稱搭配動態 DNS 服務,以指向您 VPN 裝置目前的公用 IP 位址。 Azure VPN 閘道會解析 FQDN,以決定要連線的公用 IP 位址。
    • 位址空間:位址空間是指此區域網路所代表之網路的位址範圍。 您可以加入多個位址空間範圍。 確定您在此指定的範圍,不會與您要連線的其他網路範圍重疊。 Azure 會將您指定的位址範圍路由傳送至內部部署 VPN 裝置 IP 位址。 如果您想要連線至內部部署網站,在此處請使用您自己的值,而不是範例中顯示的值

  3. 在 [進階] 索引標籤上,您可以視需要設定 BGP 設定。

  4. 指定值之後,請選取頁面底部的 [檢閱 + 建立] 來驗證頁面。

  5. 選取 [建立],建立區域網路閘道物件。

設定 VPN 裝置

內部部署網路的站對站連線需要 VPN 裝置。 在此步驟中,設定 VPN 裝置。 設定 VPN 裝置時,您需要下列值:

  • 共用金鑰。 這個共同金鑰與您建立站對站 VPN 連線時指定的共用金鑰相同。 在我們的範例中,我們會使用基本的共用金鑰。 我們建議您產生更複雜的金鑰以供使用。
  • 虛擬網路閘道的公用 IP 位址。 您可以使用 Azure 入口網站、PowerShell 或 CLI 來檢視公用 IP 位址。 若要使用 Azure 入口網站尋找 VPN 閘道的公用 IP 位址,請移至 [虛擬網路閘道],然後選取閘道名稱。

根據您所擁有的 VPN 裝置,您或許可以下載 VPN 裝置設定指令碼。 如需詳細資訊,請參閱下載 VPN 裝置組態指令碼

如需詳細設定資訊,請參閱下列連結:

設定連線

您會在虛擬網路閘道與內部部署 VPN 裝置之間建立站對站 VPN 連線。 在本節中,我們使用下列範例值:

  • 區域網路閘道名稱:Site1
  • 連線名稱︰VNet1toSite1
  • 共用的金鑰:此範例中,我們會使用 abc123。 但是,您可以使用任何與您 VPN 硬體相容的項目。 值務必符合連線的兩端。

  1. 在入口網站中,移至虛擬網路閘道並加以開啟。

  2. 在閘道的頁面上,選取 [連線]

  3. 在 [連線] 頁面的頂部,選取 [+新增] 以開啟 [建立連線] 頁面。

    顯示 [基本] 頁面的螢幕擷取畫面。

  4. 在 [建立連線] 頁面的 [基本] 索引標籤上 ,設定連線的值:

    • 在 [專案詳細資料] 底下,選取您資源所在的訂用帳戶和資源群組。

    • 在 [執行個體詳細資料] 底下,進行下列設定:

      • 連線類型:選取 [站對站 (IPSec)]
      • 名稱:為連線命名。
      • 區域:選取此連線的區域。

  5. 選取 [設定] 索引標籤並設定下列值:

    顯示 [設定] 頁面的螢幕擷取畫面。

    • 虛擬網路閘道:從下拉式清單中選取虛擬網路閘道。
    • 區域網路閘道:從下拉式清單中選取區域網路閘道。
    • 共用金鑰:此處的值必須與您用於本機內部部署 VPN 裝置的值相符。 如果此欄位未出現在入口網站頁面上,或您想要稍後更新此金鑰,您可以在建立連線物件之後執行此動作。 移至您所建立的連線物件 (範例名稱:VNet1toSite1),並在 [驗證] 頁面上更新金鑰。
    • IKE 通訊協定:選取 [IKEv2]
    • 使用 Azure 私人 IP 位址:不要選取。
    • 啟用 BGP:不要選取。
    • FastPath:不要選取。
    • IPsec/IKE 原則:選取 [預設]
    • 使用原則型流量選取器:選取 [停用]
    • DPD 逾時 (秒):選取 45
    • 連線模式:選取 [預設]。 此設定可用來指定哪些閘道可以起始連線。 如需詳細資訊,請參閱 VPN 閘道設定 - 連線模式

  6. 針對 [NAT 規則關聯],將 [輸入] 和 [輸出] 都保留為 [已選取 0 個]

  7. 選取 [檢閱 + 建立] 以驗證連線設定。

  8. 選取建立建立連接。

  9. 部署完成後,即可在虛擬網路閘道的 [連線] 頁面上檢視連線。 狀態會從 [未知] 變成 [連線中],然後變成 [成功]

檢視和驗證 VPN 連線

在 Azure 入口網站中,您可以移至連線,檢視 VPN 閘道的連線狀態。 下列步驟顯示移至連線並進行驗證的其中一種方式。

  1. Azure 入口網站功能表上,從任何頁面選取 [所有資源],或搜尋並選取 [所有資源]
  2. 選取虛擬網路閘道。
  3. 在虛擬網路閘道的窗格中,選取 [連線]。 您可以看到每個連線的狀態。
  4. 選取您要驗證的連線名稱以開啟 Essentials。 在 [Essentials] 窗格中,您可以檢視連線的相關詳細資訊。 成功連線之後,狀態為「成功」和「已連線」

移除連接

  1. 在入口網站中,移至您的 VPN 閘道 [連線] 頁面。
  2. 按一下您要移除的連線。 這會開啟連線的頁面。
  3. 按一下 [刪除] 以移除連線。

下一步

如需站對站 VPN 閘道組態的詳細資訊,請參閱教學課程:設定站對站 VPN 閘道組態