設定透過 ExpressRoute 私人對等互連的站對站 VPN 連線

您可以設定使用 RFC 1918 IP 位址，從站對站 VPN 透過 ExpressRoute 私人對等互連到虛擬網路閘道的連線方式。 此設定提供下列優點：

• 透過私人對等互連的流量會經過加密。

• 連線到虛擬網路閘道的點對站使用者，可以使用 ExpressRoute (透過站對站通道) 來存取內部部署資源。

• 在相同 VPN 閘道上，您可以部署透過 ExpressRoute 私人對等互連的站對站 VPN 連線，同時也可以部署透過網際網路的站對站 VPN 連線。

此功能僅適用於標準IP型閘道。

必要條件

若要完成此設定，請確認您符合下列必要條件：

• 您有一個正常運作的 ExpressRoute 線路，會連結到建立 (或將建立) VPN 閘道所在的 VNet。

• 您可以透過 ExpressRoute 線路，經由 VNet 中的 RFC1918 (私人) IP 來連線資源。

路由

圖 1 顯示透過 ExpressRoute 私人對等互連的 VPN 連線範例。 在此範例中，您會看到內部部署網路中的網路，透過 ExpressRoute 私人對等互連，連線至 Azure 中樞 VPN 閘道。 此設定有一個重要層面，即內部部署網路與 Azure 之間是透過 ExpressRoute 和 VPN 路徑兩項進行路由傳送。

圖 1

建立連線很簡單：

1. 使用 ExpressRoute 線路和私人對等互連建立 ExpressRoute 連線。

2. 使用本文中的步驟建立 VPN 連線。

從內部部署網路到 Azure 的流量

對於從內部部署網路到 Azure 的流量，Azure 前置詞會透過 ExpressRoute 私人對等互連 BGP 和 VPN BGP 兩項進行公告 (若已在您的 VPN 閘道上設定 BGP)。 結果是兩個從內部部署網路到 Azure 的網路路由 (路徑)：

• 一個網路路由透過受 IPsec 保護的路徑。

• 一個網路路由直接透過 ExpressRoute 而無 IPsec 保護。

若要對通訊套用加密，您必須確保圖 1 中連線到 VPN 的網路中，透過內部部署 VPN 閘道的 Azure 路由會偏好透過直接 ExpressRoute 路徑。

從 Azure 到內部部署網路的流量

相同需求適用於從 Azure 到內部部署網路的流量。 若要確保 IPsec 路徑會優先於直接 ExpressRoute 路徑 (沒有 IPsec)，您有兩個選項：

• 針對連線到 VPN 的網路，在 VPN BGP 工作階段上公告更多特定前置碼。 您可以透過 ExpressRoute 私人對等互連來公告包含連線到 VPN 之網路在內的較大範圍，然後公告 VPN BGP 工作階段中較具體的範圍。 例如，透過 ExpressRoute 公告 10.0.0.0/16，並透過 VPN 公告 10.0.1.0/24。

• 公告 VPN 和 ExpressRoute 的不相鄰前置詞。 如果 VPN 連線的網路範圍與其他 ExpressRoute 連線的網路不相鄰，您可以分別在 VPN 和 ExpressRoute BGP 工作階段中公告首碼。 例如，透過 ExpressRoute 公告 10.0.0.0/24，並透過 VPN 公告 10.0.1.0/24。

在這兩個範例中，Azure 都會透過 VPN 連線將流量傳送至 10.0.1.0/24，而不是直接透過沒有 VPN 保護的 ExpressRoute 傳送。

警告

如果您透過 ExpressRoute 和 VPN 連線公告相同的前置詞，>Azure 會直接使用沒有 VPN 保護的 ExpressRoute 路徑。

入口網站的步驟

1. 設定站對站連線。 如需相關步驟，請參閱站對站設定一文。 請務必挑選具有標準公用 IP 的閘道。

   

2. 啟用閘道上的私人 IP。 選取 [設定]，然後將 [閘道私人 IP] 設定為 [啟用]。 選取儲存以儲存變更。

3. 在 [概觀] 頁面上選取 [查看更多]，查看私人 IP 位址。 寫下此資訊，以供稍後在設定步驟中使用。

   

4. 若要在連線上啟用 [使用 Azure 私人 IP 位址]，選取 [設定]。 將 [使用 Azure 私人 IP 位址] 設定為 [啟用]，然後選取 [儲存]。

   

5. 使用您在步驟 3 記下的私人 IP 做為內部部署防火牆上的遠端 IP，建立透過 ExpressRoute 私人對等互連的站對站通道。

   注意

   您 VPN 閘道上的 Configurig BGP 不需要透過 ExpressRoute 私人對等互連來達成 VPN 連線。

PowerShell 步驟

1. 設定站對站連線。 如需相關步驟，請參閱設定站對站 VPN 一文。 請務必挑選具有標準公用 IP 的閘道。

2. 使用下列 PowerShell 命令，將旗標設定為使用閘道上的私人 IP：

   $Gateway = Get-AzVirtualNetworkGateway -Name <name of gateway> -ResourceGroup <name of resource group>
   
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -EnablePrivateIpAddress $true
   

   您應該會看到公用和私人 IP 位址。 寫下輸出的 “TunnelIpAddresses” 區段底下的 IP 位址。 您會在稍後的步驟中使用這項資訊。

3. 使用下列 PowerShell 命令，將連線設定為使用私人 IP 位址：

   $Connection = get-AzVirtualNetworkGatewayConnection -Name <name of the connection> -ResourceGroupName <name of resource group>
   
   Set-AzVirtualNetworkGatewayConnection --VirtualNetworkGatewayConnection $Connection -UseLocalAzureIpAddress $true
   

4. 從您的防火牆偵測 (ping) 您在步驟 2 中寫下的私人 IP。 私人 IP 應該可以透過 ExpressRoute 私人對等互連來連線。

5. 使用此私人 IP 做為您內部部署防火牆上的遠端 IP，建立透過 ExpressRoute 私人對等互連的站對站通道。

下一步

如需 VPN 閘道的詳細資訊，請參閱什麼是 VPN 閘道？