教學課程:在 Azure 入口網站中建立站對站 VPN 連線

Azure VPN 閘道提供客戶組織內部與 Azure 之間的跨單位連線。 本教學課程說明如何使用 Azure 入口網站建立從內部部署網路到 VNet 的站對站 VPN 閘道連線。 您也可以使用 Azure PowerShellAzure CLI 來建立此設定。

站對站 VPN 閘道跨單位連線圖表。

在本教學課程中,您會了解如何:

  • 建立虛擬網路
  • 建立 VPN 閘道
  • 建立區域網路閘道
  • 建立 VPN 連線
  • 驗證連線
  • 連接到虛擬機器

必要條件

  • 具有有效訂用帳戶的 Azure 帳戶。 如果您沒有帳戶,請免費建立一個
  • 確定您有相容的 VPN 裝置以及能夠對其進行設定的人員。 如需相容 VPN 裝置和裝置組態的詳細資訊,請參閱關於 VPN 裝置
  • 確認您的 VPN 裝置有對外開放的公用 IPv4 位址。
  • 如果您不熟悉位於內部部署網路設定的 IP 位址範圍,您需要與能夠提供那些詳細資料的人協調。 當您建立此組態時,您必須指定 IP 位址範圍的首碼,以供 Azure 路由傳送至您的內部部署位置。 內部部署網路的子網路皆不得與您所要連線的虛擬網路子網路重疊。

建立虛擬網路

在本節中,您會使用下列值建立虛擬網路 (VNet):

  • 資源群組: TestRG1
  • 名稱: VNet1
  • 區域: (美國) 美國東部
  • IPv4 位址空間: 10.1.0.0/16
  • 子網路名稱: FrontEnd
  • 子網路位址空間: 10.1.0.0/24

注意

在使用虛擬網路作為用作跨單位結構的一部分時,請確保與內部部署網路系統管理員協調,以切割出此虛擬網路專用的 IP 位址範圍。 如果 VPN 連線的兩端存在重複的位址範圍,流量就會以未預期的方式路由傳送。 此外,如果要將此虛擬網路連線至另一個虛擬網路,則位址空間不能與其他虛擬網路重疊。 請據此規劃您的網路組態。

  1. 登入 Azure 入口網站

  2. 在 [搜尋資源、服務和文件 (G+/)] 中,輸入虛擬網路。 從 Marketplace 結果中選取虛擬網路,以開啟 [虛擬網路] 頁面。

    顯示 Azure 入口網站 [搜尋列] 結果並從 Marketplace 選取虛擬網路的螢幕擷取畫面。

  3. 在 [虛擬網路] 頁面上,選取 [建立]。 這會開啟 [建立虛擬網路] 頁面。

  4. 在 [基本] 索引標籤上,設定 [專案詳細資料] 和 [執行個體詳細資料] 的 VNet 設定。 當您輸入的值經過驗證後,即會顯示綠色的核取記號。 您可以根據需要的設定來調整範例中顯示的值。

    顯示 [基本概念] 索引標籤的螢幕擷取畫面。

    • 訂用帳戶:確認列出的訂用帳戶是否正確。 您可以使用下拉式清單變更訂用帳戶。
    • 資源群組:選取現有的資源群組,或選取 [新建] 以建立新的資源群組。 如需有關資源群組的詳細資訊,請參閱 Azure Resource Manager 概觀
    • Name:輸入虛擬網路的名稱。
    • 區域:選取您的 VNet 位置。 此位置會決定您部署到此 VNet 的資源存留的位置。
  5. 選取 [安全性] 以前往 [安全性] 索引標籤。此時,請保留預設值。

    • BastionHost:停用
    • DDoS 保護標準:停用
    • 防火牆:停用
  6. 選取 [IP 位址] 以前往 [IP 位址] 索引標籤。在 [IP 位址] 索引標籤上,指定各項設定。 您可以根據需要的設定來調整範例中顯示的值。

    顯示 [IP 位址] 索引標籤的螢幕擷取畫面。

    • IPv4 位址空間:依預設,系統會自動建立位址空間。 您可以選取位址空間並加以調整,以反映自己的值。 也可以選取現有位址空間下方的方塊,並指定其他位址空間的值,藉此新增更多位址空間。
    • + 新增子網路:如果您使用預設的位址空間,則系統會自動建立預設子網路。 如果您變更位址空間,則需要新增子網路。 選取 [+ 新增子網路] 以開啟 [新增子網路] 視窗。 指定以下設定,然後在頁面底部選取 [新增] 以新增值。
      • 子網路名稱:在此範例中,我們將子網路命名為「FrontEnd」。
      • 子網路位址範圍︰此子網路的位址範圍。
  7. 選取 [檢閱 + 建立] 來驗證虛擬網路設定。

  8. 驗證設定之後,請選取 [建立] 以建立虛擬網路。

建立 VPN 閘道

此步驟將帶您建立 VNet 的虛擬網路閘道。 建立閘道通常可能需要 45 分鐘或更久,視選取的閘道 SKU 而定。

關於閘道子網路

虛擬網路閘道會使用稱為閘道子網路的特定子網路。 閘道子網路是您設定虛擬網路時,所指定虛擬網路 IP 位址範圍的一部分。 其包含虛擬網路閘道資源和服務所使用的 IP 位址。

當您建立閘道子網路時,您可指定子網路包含的 IP 位址數目。 所需的 IP 位址數目取決於您想要建立的 VPN 閘道組態。 有些組態需要的 IP 位址比其他組態多。 我們建議您建立使用 /27 或/28 的閘道子網路。

如果您看到錯誤指出位址空間與子網路重疊,或子網路未包含在虛擬網路的位址空間內,請檢查您的 VNet 位址範圍。 您為虛擬網路所建立的位址範圍中可能沒有足夠的可用 IP 位址。 例如,如果您的預設子網路包含整個位址範圍,則沒有剩餘任何 IP 位址可供建立其他子網路。 您可以調整現有位址空間內的子網路以釋出 IP 位址,也可以指定其他位址範圍並於該處建立閘道子網路。

建立閘道

使用下列值建立虛擬網路閘道 (VPN 閘道):

  • 名稱: VNet1GW
  • 區域: 美國東部
  • 閘道類型: VPN
  • VPN 類型: 以路由為基礎
  • SKU:VpnGw2
  • 世代:第 2 代
  • 虛擬網路: VNet1
  • 閘道子網路位址範圍: 10.1.255.0/27
  • 公用 IP 位址: 新建
  • 公用 IP 位址名稱:VNet1GWpip
  • 啟用主動-主動模式: 已停用
  • 設定 BGP: 已停用
  1. 在 [搜尋資源、服務和文件 (G+/)] 中,輸入虛擬網路閘道。 在 Marketplace 搜尋結果中找出虛擬網路閘道並選取,以開啟 [建立虛擬網路閘道] 頁面。

    [搜尋] 欄位的螢幕擷取畫面。

  2. 在 [基本] 索引標籤中,填入 [專案詳細資料] 和 [執行個體詳細資料] 的值。

    [執行個體] 欄位的螢幕擷取畫面。

    • 訂用帳戶:從下拉式清單選取您想要使用的訂用帳戶。
    • 資源群組:當您在此頁面上選取您的虛擬網路時,會自動填入此設定。
    • 名稱:為您的閘道命名。 為您的閘道命名與為閘道子網路命名不同。 這是您要建立之閘道物件的名稱。
    • 區域:選取您要在其中建立此資源的區域。 閘道的區域必須與虛擬網路相同。
    • 閘道類型︰選取 [VPN]。 VPN 閘道使用 VPN 虛擬網路閘道類型。
    • VPN 類型:選取針對您的組態指定的 VPN 類型。 大部分組態需要路由式 VPN 類型。
    • SKU:從下拉清單選取您要使用的閘道 SKU。 下拉式清單中所列的 SKU 取決於您選取的 VPN 類型。 選取的 SKU 務必要能支援您所要使用的功能。 如需閘道 SKU 的詳細資訊,請參閱閘道 SKU
    • 世代:選取您要使用的世代。 如需詳細資訊,請參閱閘道 SKU
    • 虛擬網路:從下拉式清單選擇您要新增此閘道的虛擬網路。 如果您看不到想要建立閘道的 VNet,請確定您在先前的設定中選取了正確的訂用帳戶和區域。
    • 閘道子網路位址範圍︰只有當您的 VNet 沒有閘道子網時,才會顯示此欄位。 最好指定 /27 或更大範圍 (/26、/25 等)。 這可讓您有足夠的 IP 位址因應未來變更,例如新增 ExpressRoute 閘道。 我們不建議您建立小於 /28 的範圍。 如果您已經有閘道子網路,您可以藉由瀏覽至您的虛擬網路來檢視 GatewaySubnet 詳細資料。 選取 [子網路] 以檢視範圍。 如果您想要變更範圍,可以刪除並重新建立 GatewaySubnet。
  1. 指定 [公用 IP 位址] 的值。 這些設定可指定會與 VPN 閘道建立關聯的公用 IP 位址物件。 建立 VPN 閘道時,系統會將公用 IP 位址動態指派給此物件。 公用 IP 位址只會在刪除或重新建立閘道時變更。 它不會因為重新調整、重設或 VPN 閘道的其他內部維護/升級而變更。

    [公用 IP 位址] 欄位的螢幕擷取畫面。

    • 公用 IP 位址類型:在大部分情況下,您會想使用「基本公用 IP 位址」類型。 如果入口網站頁面沒有顯示此欄位,則可能是您選取的閘道 SKU 為您預先選取了這個值。
    • 公用 IP 位址:將 [新建] 保持選取。
    • 公用 IP 位址名稱:在文字方塊中,輸入公用 IP 位址執行個體的名稱。
    • 公用 IP 位址 SKU:這個欄位是由 [公用 IP 位址類型] 設定所控制。
    • 指派:VPN 閘道僅支援「動態」。
    • 啟用主動 - 主動模式:只有當您要建立「主動-主動」閘道設定時,才選取 [啟用主動 - 主動模式]。 否則,將此設定保持 [已停用]。
    • 將 [設定 BGP] 保持為 [已停用] (除非您的組態特別需要此設定)。 如果您需要此設定,則預設的 ASN 為 65515,不過您可以變更此值。
  2. 選取 [檢閱 + 建立] 以執行驗證。

  3. 驗證通過後,選取 [建立] 以部署 VPN 閘道。

您可以在閘道的 [概觀] 頁面上看到部署狀態。 要完整建立和部署閘道,最多可能需要 45 分鐘的時間。 建立閘道之後,您可以查看入口網站中的虛擬網路,來檢視已指派給閘道的 IP 位址。 閘道會顯示為已連接的裝置。

重要

使用閘道子網路時,避免將網路安全性群組 (NSG) 與閘道子網路產生關聯。 將網路安全性群組與此子網路產生關聯,可能會導致您的虛擬網路閘道 (VPN 與 Express Route 閘道) 如預期停止運作。 如需有關網路安全性群組的詳細資訊,請參閱什麼是網路安全性群組?

檢視公用 IP 位址

您可以在閘道的 [概觀] 頁面上,檢視閘道的公用 IP 位址。

顯示公用 IP 位址的螢幕擷取畫面。

若要查看公用 IP 位址物件的其他資訊,請選取 [公用 IP 位址] 旁的 [名稱/IP 位址] 連結。

建立區域網路閘道

區域網路閘道是一個特定物件,代表您用於路由的內部部署位置 (網站)。 請將站台命名為可供 Azure 參考的名稱,然後指定您想要與其建立連線的內部部署 VPN 裝置 IP 位址。 也請指定 IP 位址首碼,以供系統透過 VPN 閘道路由至 VPN 裝置。 您指定的位址首碼是位於內部部署網路上的首碼。 如果您的內部部署網路變更,或者您需要變更 VPN 裝置的公用 IP 位址,您稍後可以輕鬆地更新這些值。

使用下列值建立區域網路閘道:

  • 名稱: Site1
  • 資源群組: TestRG1
  • 位置: 美國東部
  1. Azure 入口網站的 [搜尋資源、服務和文件 (G+/)] 中,鍵入 [區域網路閘道]。 在搜尋結果中,找到 [Marketplace] 下的 [區域網路閘道],然後加以選取。 這會開啟 [建立區域網路閘道] 頁面。

  2. 在 [建立區域網路閘道] 頁面的 [基本] 索引標籤上,指定區域網路閘道的值。

    建立具有 IP 位址的區域網路閘道。

    • 訂用帳戶︰ 請確認已顯示正確的訂用帳戶。
    • 資源群組: 選取您想要使用的資源群組。 您可以建立新的資源群組,或選取您已經建立的資源群組。
    • 地區:選取將要建立此物件的地區。 建議您選取 VNet 所在的相同位置,但您可以不用這麼做。
    • 名稱:指定區域網路閘道物件的名稱。
    • 端點: 選取內部部署 VPN 裝置的端點類型 - IP 位址FQDN (完整網域名稱)
      • IP 位址:如果您有從 VPN 裝置網際網路服務提供者配置的靜態公用 IP 位址,請選取 [IP 位址] 選項並填入 IP 位址,如此範例所示。 這是您希望 Azure VPN 閘道連線的 VPN 裝置公用 IP 位址。 如果您目前沒有 IP 位址,您可以使用範例中顯示的值,但您必須返回,並以您的 VPN 裝置的公用 IP 位址取代預留位置 IP 位址。 否則,Azure 將無法連線。
      • FQDN:如果您有一段特定時間之後可能變更的動態公用 IP 位址 (通常是由您的網際網路服務提供者決定),您可以使用常數 DNS 名稱搭配動態 DNS 服務,以指向您的 VPN 裝置目前的公用 IP 位址。 您的 Azure VPN 閘道會解析 FQDN,以決定要連線的公用 IP 位址。
    • 是指此區域網路所代表之網路的位址範圍。 您可以加入多個位址空間範圍。 確定您在此指定的範圍,不會與您要連線的其他網路範圍重疊。 Azure 會將您指定的位址範圍路由傳送至內部部署 VPN 裝置 IP 位址。 如果您想要連線至內部部署網站,在此處請使用您自己的值,而不是範例中顯示的值

    注意

    • Azure VPN 對每個 FQDN 僅支援一個 IPv4 位址。 如果網域名稱解析為多個 IP 位址,Azure VPN 閘道將會使用 DNS 伺服器所傳回的第一個 IP 位址。 若要排除不確定性,我們建議您的 FQDN 一律解析成單一 IPv4 位址。 不支援 IPv6。
    • Azure VPN 閘道會以每 5 分鐘重新整理一次的方式維護 DNS 快取。 閘道只會嘗試解析已中斷連線通道的 FQDN。 重設閘道也會觸發 FQDN 解析。
  3. 在 [進階] 索引標籤上,您可以視需要設定 BGP 設定。

  4. 當您完成指定值之後,請選取頁面底部的 [檢閱 + 建立] 以驗證頁面。

  5. 選取 [建立],建立區域網路閘道物件。

設定 VPN 裝置

內部部署網路的站對站連線需要 VPN 裝置。 在此步驟中,設定 VPN 裝置。 設定 VPN 裝置時,您需要下列值:

  • 共用金鑰。 這個共同金鑰與您建立站對站 VPN 連線時指定的共用金鑰相同。 在我們的範例中,我們會使用基本的共用金鑰。 我們建議您產生更複雜的金鑰以供使用。
  • 虛擬網路閘道的公用 IP 位址。 您可以使用 Azure 入口網站、PowerShell 或 CLI 來檢視公用 IP 位址。 若要使用 Azure 入口網站尋找 VPN 閘道的公用 IP 位址,請移至 [虛擬網路閘道],然後選取閘道名稱。

若要下載 VPN 裝置組態指令碼:

根據您所擁有的 VPN 裝置,您或許可以下載 VPN 裝置組態指令碼。 如需詳細資訊,請參閱下載 VPN 裝置組態指令碼

請參閱下列連結以取得其他組態資訊︰

建立 VPN 連線

您會在虛擬網路閘道與內部部署 VPN 裝置之間建立站對站 VPN 連線。

使用下列值建立連線:

  • 區域網路閘道名稱: Site1
  • 連線名稱: VNet1toSite1
  • 共用的金鑰:此範例中,我們會使用 abc123。 但是,您可以使用任何與您 VPN 硬體相容的項目。 值務必符合連線的兩端。
  1. 移至您的虛擬網路。 在 VNet 頁面上,選取左側的 [已連線裝置]。 找出您的 VPN 閘道,然後按一下以開啟 VPN 閘道。

  2. 在閘道的頁面上,選取 [連線]。 在 [連線] 頁面的頂部,選取 [+新增] 以開啟 [新增連線] 頁面。

    [新增連線] 頁面的螢幕擷取畫面。

  3. 在 [新增連線] 頁面上,設定您連線的值。

    • 名稱:為您的連線命名。
    • 連線類型: 選取 [站對站 (IPSec)]。
    • 虛擬網路閘道:因為您正從此閘道連線,所以值是固定的。
    • 區域網路閘道: 選取 [選擇區域網路閘道] 並選取要使用的區域網路閘道。
    • 共用金鑰:此處的值必須與您用於本機內部部署 VPN 裝置的值相符。 範例中使用的是 'abc123',但是您可以(且應該) 使用更為複雜的值。 請注意,您在此指定的值與您在設定 VPN 裝置時指定的值相同。
    • 保留 [使用 Azure 私人 IP 位址] 未核取。
    • 保留 [啟用 BGP] 未核取。
    • 選取 IKEv2
  4. 選取 [確定] 來建立連線。 您會看到畫面上閃爍「正在建立連線」

  5. 您可以在虛擬網路閘道的 [連線] 頁面中檢視連線。 狀態將會從 [未知] 變成 [連線中],然後變成 [成功]。

若要設定其他連線設定 (選擇性)

如有必要,您可以為連線設定其他設定。 否則,請略過本節並保留預設值。

  1. 移至您的虛擬網路閘道,然後選取 [連線] 以開啟 [連線] 頁面。

  2. 選取您想要設定的連線名稱,以開啟 [連線] 頁面。

  3. 在 [連線] 頁面左側,選取 [設定] 以開啟 [連線] 頁面。 進行任何必要的變更,然後 [儲存]。

    在下列螢幕擷取畫面中,我們已啟用所有設定,以向您顯示入口網站中可用的組態設定。 按一下螢幕擷取畫面以查看展開的檢視。 當您設定連線時,只設定您所需的設定。 否則,請保留預設設定。

    顯示其他連線設定的連線頁面螢幕擷取畫面。

驗證 VPN 連線

在 Azure 入口網站中,您可以瀏覽至連線,檢視 VPN 閘道的連線狀態。 下列步驟顯示瀏覽至連線並進行驗證的其中一種方式。

  1. Azure 入口網站功能表上,從任何頁面選取 [所有資源],或搜尋並選取 [所有資源]。
  2. 選取您的虛擬網路閘道。
  3. 在虛擬網路閘道的刀鋒視窗上,按一下 [連線] 。 您可以看到每個連線的狀態。
  4. 按一下您要驗證的連線名稱以開啟 Essentials。 在 Essentials 中,您可以檢視連線的相關詳細資訊。 當您成功建立連線時,[狀態]會是 [成功] 和 [已連線]。

連接到虛擬機器

您可以建立 VM 的遠端桌面連線,以連線至已部署至 VNet 的 VM。 一開始確認您可以連線至 VM 的最佳方法是使用其私人 IP 位址 (而不是電腦名稱) 進行連線。 這樣一來,您會測試以查看您是否可以連線,而不是否已正確設定名稱解析。

  1. 找出私人 IP 位址。 在 Azure 入口網站中或使用 PowerShell 查看 VM 的屬性,即可找到 VM 的私人 IP 位址。

    • Azure 入口網站 - 在 Azure 入口網站中尋找您的虛擬機器。 檢視 VM 的屬性。 系統會列出私人 IP 位址。

    • PowerShell - 使用範例來檢視資源群組中的 VM 和私人 IP 位址清單。 使用此範例前,您不需要加以修改。

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
      
      foreach ($Nic in $Nics) {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. 確認您已連線至 VNet。

  3. 在工作列上的搜尋方塊中輸入「RDP」或「遠端桌面連線」以開啟遠端桌面連線,然後選取 [遠端桌面連線]。 您也可以使用 PowerShell 中的 'mstsc' 命令開啟遠端桌面連線。

  4. 在 [遠端桌面連線] 中,輸入 VM 的私人 IP 位址。 您可以選取 [顯示選項],調整其他設定,然後進行連線。

針對連線進行疑難排解

如果您無法透過 VPN 連線與虛擬機器連線,請檢查下列各項:

  • 確認您的 VPN 連線成功。

  • 確認您正連線至 VM 的私人 IP 位址。

  • 如果您可以使用私人 IP 位址 (而非電腦名稱) 來連線至 VM,請確認您已正確設定 DNS。 如需 VM 的名稱解析運作方式的詳細資訊,請參閱 VM 的名稱解析

  • 如需 RDP 連線的詳細資訊,請參閱針對 VM 的遠端桌面連線進行疑難排解

選擇性步驟

調整閘道 SKU 的大小

閘道 SKU 的大小調整與變更有相關特定規則。 在本節中,我們會調整 SKU 的大小。 如需詳細資訊,請參閱閘道設定 - 調整大小和變更 SKU

  1. 移至虛擬網路閘道的 [設定] 頁面。

  2. 在頁面右側,按一下下拉式箭號以顯示可用的閘道 SKU。

    顯示如何對閘道調整大小的螢幕擷取畫面。

  3. 選取下拉式清單的 SKU。

重設閘道

如果您遺失一或多個站對站 VPN 通道上的跨單位 VPN 連線,重設 Azure VPN 閘道會很有幫助。 在此情況下,您的所有內部部署 VPN 裝置都會運作正常,但無法使用 Azure VPN 閘道建立 IPsec 通道。

  1. 在入口網站中,按一下您想要重設的虛擬網路閘道。
  2. 在 [虛擬網路閘道] 頁面的左窗格中,向下捲動至 [支援 + 疑難排解] 區段,然後選取 [重設]。
  3. 在 [重設] 頁面上,按一下 [重設]。 一旦發出此命令,會立即重新啟動 Azure VPN 閘道目前作用中的執行個體。 重設閘道會導致 VPN 連線中斷,而且可能會限制未來對該問題進行根本原因分析。

新增另一個連線

您可以從同一個 VPN 閘道建立到多個內部部署網站的連線。 如果您想要設定多個連線,位址空間在任何連線之間都不能重疊。

  1. 若要新增其他連線,請移至 VPN 閘道,然後選取 [連線] 以開啟 [連線] 頁面。
  2. 選取 [+新增] 以新增連線。 調整連線類型以反映 VNet 對 VNet (如果連線到另一個 VNet 閘道) 或站對站。
  3. 如果您要使用站對站進行連線,且您尚未針對您要連線的站台建立區域網路閘道,則您可以新建立一個。
  4. 指定您要使用的共用金鑰,然後選取 [確定] 以建立連線。

其他設定考量

S2S 設定可透過多種方式進行自訂。 如需詳細資訊,請參閱下列文章:

清除資源

如果您不打算繼續使用此應用程式或移至下一個教學課程,請使用下列步驟刪除這些資源:

  1. 在入口網站頂端的 [搜尋] 方塊中輸入您的資源群組,然後從搜尋結果中進行選取。
  2. 選取 [刪除資源群組]。
  3. 針對 [輸入資源群組名稱] 輸入您的資源群組,然後選取 [刪除]。

後續步驟

設定 S2S 連線之後,您可以將 P2S 連線新增至相同的閘道。