新增或移除 VPN 閘道 站對站連線

  • 發行項

本文可協助您新增或移除 VPN 閘道的站對站連線。 您也可以將 S2S 連線新增至已具有 S2S 連線、點對站連線或 VNet 對 VNet 連線的 VPN 閘道。 新增連線有一些限制。 開始設定之前,請先閱讀本文的必要條件一節。

站對站 VPN 閘道 與多個月臺的跨單位連線圖表。

關於 ExpressRoute/站對站及並存連線

  • 您可以使用本文中的步驟,將新的 VPN 連線新增至已存在的 ExpressRoute/站對站並存連線。
  • 您可以使用本文中的步驟,設定新的 ExpressRoute/站對站並存連線。 若要建立新的共存連線,請參閱: ExpressRoute/S2S 並存連線

必要條件

請確認下列事項:

  • 您「未」設定新的並存 ExpressRoute 和 VPN 閘道站對站連線。
  • 您使用 Resource Manager 部署模型建立的虛擬網路具有現有連線。
  • 虛擬網路的虛擬網路閘道為 RouteBased。 如果您的 VPN 閘道為原則型,您就必須刪除虛擬網路閘道,並建立新的路由型 VPN 閘道。
  • 此虛擬網路所連線的任何虛擬網路,位址範圍都不會重疊。
  • 您有相容的 VPN 裝置以及能夠對其進行設定的人員。 請參閱 關於 VPN 裝置。 如果不熟悉設定 VPN 裝置,或不熟悉位於內部部署網路組態的 IP 位址範圍,則您需要與能夠提供那些詳細資料的人協調。
  • 您的 VPN 裝置有對外開放的公用 IP 位址。

建立局域網路閘道

建立局域網路網關,代表您要連線的分支或位置。

局域網路網關是特定物件,代表您的內部部署位置(月台)進行路由。 您可以為網站指定 Azure 可以參考的名稱,然後指定您要在其中建立連線的內部部署 VPN 裝置 IP 位址。 也請指定 IP 位址首碼,以供系統透過 VPN 閘道路由至 VPN 裝置。 您指定的位址首碼是位於內部部署網路上的首碼。 如果您的內部部署網路變更,或您需要變更 VPN 裝置的公用 IP 位址,您稍後可以輕鬆地更新這些值。

在此範例中,我們會使用下列值建立局域網路網關。

  • 名稱: Site1
  • 資源群組︰TestRG1
  • 位置:美國東部

  1. 在 [Azure 入口網站] 的 [搜尋資源、服務和檔] 中,輸入局域網路網關 在搜尋結果中找出 Marketplace 底下的局域網路閘道,然後選取它以開啟 [建立局域網路閘道] 頁面。

  2. 在 [ 建立局域網络網關] 頁面上[基本] 索引 卷標上,指定局域網路網關的值。

    顯示使用IP位址建立局域網路閘道的螢幕快照。

    • 用帳戶:確認顯示正確的訂用帳戶。
    • 資源群組:選取您想要使用的資源群組。 您可以建立新的資源群組,或選取您已建立的資源群組。
    • 區域:選取將建立此對象的區域。 您可能想要選取虛擬網路所在的相同位置,但不需要這麼做。
    • 名稱: 指定區域網路閘道物件的名稱。
    • 端點:選取內部部署 VPN 裝置的端點類型作為 IP 位址FQDN(完整功能變數名稱)。
      • IP 位址:如果您的 VPN 裝置有從因特網服務提供者 (ISP) 配置的靜態公用 IP 位址,請選取 [IP 位址] 選項。 填入IP位址,如範例所示。 此位址是您想要 Azure VPN 閘道 連線之 VPN 裝置的公用 IP 位址。 如果您目前沒有IP位址,您可以使用範例中顯示的值。 之後,您必須返回,並以 VPN 裝置的公用 IP 位址取代佔位元 IP 位址。 否則,Azure 無法連線。
      • FQDN:如果您有動態公用 IP 位址,可能會在一段時間後變更,通常由 ISP 決定,您可以使用固定 DNS 名稱搭配動態 DNS 服務,指向您 VPN 裝置目前的公用 IP 位址。 您的 Azure VPN 閘道會解析 FQDN,以判斷要連線的公用 IP 位址。
    • 位址空間:位址空間是指此局域網路所代表網路的位址範圍。 您可以新增多個位址空間範圍。 請確定在此處指定的範圍不會與您想要連線的其他網路範圍重疊。 Azure 會將您指定的位址範圍路由傳送至內部部署 VPN 裝置 IP 位址。 如果您想要連線到您的內部部署網站,而不是範例中顯示的值,請使用您自己的值。

    注意

    • Azure VPN 閘道 針對每個 FQDN 只支援一個 IPv4 位址。 如果功能變數名稱解析為多個IP位址,VPN 閘道 會使用 DNS 伺服器傳回的第一個IP位址。 若要消除不確定性,我們建議您的 FQDN 一律解析成單一 IPv4 位址。 不支援 IPv6。
    • VPN 閘道 會維護每隔 5 分鐘重新整理一次 DNS 快取。 網關只會嘗試解析已中斷連線通道的 FQDN。 重設閘道也會觸發 FQDN 解析。
    • 雖然 Azure VPN 閘道 支援使用不同 FQDN 連線到不同局域網路閘道的多個連線,但所有 FQDN 都必須解析為不同的 IP 位址。

  3. 在 [ 進階 ] 索引標籤上,您可以視需要設定 BGP 設定。

  4. 指定值之後,請選取頁面底部的 [ 檢閱 + 建立 ] 來驗證頁面。

  5. 選取 [建立] 以建立區域網路閘道物件。

設定 VPN 裝置

內部部署網路的站對站連線需要 VPN 裝置。 在此步驟中,設定 VPN 裝置。 設定 VPN 裝置時,您需要下列值:

  • 共用金鑰。 這個共同金鑰與您建立站對站 VPN 連線時指定的共用金鑰相同。 在我們的範例中,我們會使用基本的共用金鑰。 我們建議您產生更複雜的金鑰以供使用。
  • 虛擬網路閘道的公用 IP 位址。 您可以使用 Azure 入口網站、PowerShell 或 CLI 來檢視公用 IP 位址。 若要使用 Azure 入口網站 尋找 VPN 閘道的公用 IP 位址,請移至 [虛擬網路閘道],然後選取閘道的名稱。

視您擁有的 VPN 裝置而定,您可能可以下載 VPN 裝置組態腳本。 如需詳細資訊,請參閱下載 VPN 裝置組態指令碼

如需詳細資訊,請參閱下列連結:

設定連線

建立虛擬網路閘道與內部部署 VPN 裝置之間的站對站 VPN 連線。

使用下列值建立連線:

  • 局域網路閘道名稱: Site1
  • 連線 ion 名稱:VNet1toSite1
  • 共用密鑰: 在此範例中,我們使用 abc123。 但是,您可以使用任何與 VPN 硬體相容的專案。 重要的是,值會比對連接兩側。

  1. 移至您的虛擬網路。 在虛擬網路頁面上的左側,選取 連線 裝置。 找出您的 VPN 閘道,然後選取它以開啟它。

  2. 在閘道的頁面上,選取 [連線]

  3. 在 [連線 ions] 頁面頂端,選取 [+ 新增] 以開啟 [建立連線] 頁面。

    顯示 [基本] 頁面的螢幕快照。

  4. 在 [建立連線] 頁面上的 [基本] 索引標籤上,設定連線的值:

    • 在 [專案詳細數據]下,選取您的資源所在的訂用帳戶和資源群組。

    • 在 [實例詳細數據] 底 ,設定下列設定:

      • 連線 ion 類型:選取 [站對站][IPSec]。
      • 名稱: 為連線命名。
      • 區域: 選取此連線的區域。

  5. 選取 [設定] 索引標籤並設定下列值:

    顯示 [設定] 頁面的螢幕快照。

    • 虛擬網路閘道:從下拉式清單中選取虛擬網路閘道。
    • 局域網路閘道:從下拉式清單中選取局域網路閘道。
    • 共用金鑰:這裡的值必須符合您用於本機內部部署 VPN 裝置的值。
    • IKE 通訊協定:選取 [IKEv2]。
    • 使用 Azure 私人 IP 位址:不要選取。
    • 啟用 BGP:不要選取。
    • FastPath:不要選取。
    • IPsec/IKE 原則: 選取 [預設]。
    • 使用以原則為基礎的流量選取器:選取 [ 停用]。
    • DPD 逾時以秒為單位:選取 45
    • 連線 ion 模式:選取 [預設值]。 此設定可用來指定可起始連線的閘道。 如需詳細資訊,請參閱 VPN 閘道 設定 - 連線 模式

  6. 針對 NAT 規則關聯,將輸入輸出保留0。

  7. 選取 [ 檢閱 + 建立 ] 來驗證您的連線設定。

  8. 選取建立建立連接。

  9. 部署完成後,您可以在虛擬網路網關的 [連線 ions] 頁面上檢視連線。 狀態會從 [未知] 變更為 [連線],然後變更為 [成功]。

檢視和驗證 VPN 連線

在 Azure 入口網站中,您可以移至連線,檢視 VPN 閘道的連線狀態。 下列步驟顯示前往連線並驗證的一種方式。

  1. 在 [Azure 入口網站] 功能選單上,選取 [所有資源] 或搜尋 ,然後從任何頁面上選取 [所有資源]。
  2. 選取您的虛擬網路閘道。
  3. 在虛擬網路閘道的窗格中,選取 [連線]。 您可以看到每個連線的狀態。
  4. 選取您要驗證以開啟 Essentials 的連接名稱。 在 [ 基本資訊 ] 窗格中,您可以檢視連線的詳細資訊。 狀態為 [成功],且在您成功連線之後 連線

移除連接

  1. 在入口網站中,移至您的 VPN 閘道 連線 頁面
  2. 按兩下您要移除的連線。 這會開啟連線的頁面。
  3. 按兩下 [ 刪除] 以移除連線。

下一步

如需站對站 VPN 閘道組態的詳細資訊,請參閱 教學課程:設定站對站 VPN 閘道組態