Konfigurace společně existujících připojení ExpressRoute a site-to-site pomocí PowerShellu

• PowerShell – Resource Manager
• PowerShell – Classic

Tento článek vám pomůže nakonfigurovat expressRoute a připojení VPN typu site-to-site, která existují společně. Konfigurace obou připojení má několik výhod:

• Síť VPN typu site-to-site můžete nastavit jako zabezpečenou cestu převzetí služeb při selhání pro ExpressRoute.
• Alternativně můžete použít sítě VPN typu site-to-site pro připojení k webům, které nejsou připojené přes ExpressRoute.

V tomto článku jsou postupy konfigurace pro oba scénáře. Tento článek se týká modelu nasazení Resource Manager a používá PowerShell. Tyto scénáře můžete nakonfigurovat také pomocí webu Azure Portal, i když dokumentace ještě není k dispozici. Bránu můžete nejprve nakonfigurovat. Při přidávání nové brány nebo připojení brány se obvykle neprostoje.

Poznámka:

Pokud chcete vytvořit síť VPN typu site-to-site přes okruh ExpressRoute, přečtěte si téma Vpn typu site-to-site přes partnerský vztah Microsoftu.

Omezení

• Podporována je pouze brána VPN na základě tras. Musíte použít bránu VPN založenou na směrování. Bránu VPN založenou na směrování můžete také použít s připojením VPN nakonfigurovaným pro selektory provozu založené na zásadách, jak je popsáno v tématu Připojení k více zařízením VPN založeným na zásadách.
• Konfigurace služby ExpressRoute-VPN Gateway nejsou podporované společně s veřejnou IP adresou skladové položky Basic.
• Pokud chcete použít směrování přenosu mezi ExpressRoute a VPN, musí být ASN služby Azure VPN Gateway nastavená na 65515 a měl by se použít Azure Route Server. Azure VPN Gateway podporuje směrovací protokol BGP. Aby ExpressRoute a Azure VPN fungovaly společně, musíte ponechat číslo autonomního systému brány Azure VPN ve výchozí hodnotě 65515. Pokud jste dříve vybrali jiný název ASN než 65515 a změnili jste nastavení na 65515, musíte bránu VPN resetovat, aby se nastavení projevilo.
• Podsíť brány musí být /27 nebo kratší předpona, například /26 nebo /25, nebo se při přidání brány virtuální sítě ExpressRoute zobrazí chybová zpráva.

Návrhy konfigurace

Konfigurace sítě VPN typu site-to-site jako cesty převzetí služeb při selhání pro ExpressRoute

Připojení VPN typu site-to-site můžete nakonfigurovat jako zálohu připojení ExpressRoute. Toto nastavení platí jenom pro virtuální sítě propojené s cestou privátního partnerského vztahu Azure. Neexistuje žádné řešení převzetí služeb při selhání založené na síti VPN pro služby přístupné prostřednictvím partnerského vztahu Azure Microsoftu. Okruh ExpressRoute je vždy primárním propojením a data procházejí cestou VPN typu site-to-site pouze v případě, že okruh ExpressRoute selže. Abyste se vyhnuli asymetrickým směrováním, nakonfigurujte místní síť tak, aby upřednostňovala okruh ExpressRoute před vpn typu site-to-site nastavením vyšší místní předvolby pro trasy přijaté přes ExpressRoute.

Poznámka:

• Pokud máte povolený partnerský vztah Microsoftu ExpressRoute, můžete na připojení ExpressRoute obdržet veřejnou IP adresu brány Azure VPN. Pokud chcete nastavit připojení VPN typu site-to-site jako zálohu, nakonfigurujte místní síť tak, aby bylo připojení VPN směrováno na internet.
• I když je cesta okruhu ExpressRoute upřednostňovaná před vpn typu site-to-site, když jsou obě trasy stejné, Azure používá nejdelší shodu předpony k výběru trasy směrem k cíli paketu.

Konfigurace sítě VPN typu site-to-site pro připojení k lokalitám, které nejsou připojené přes ExpressRoute

Síť můžete nakonfigurovat tak, aby se některé lokality připojily přímo k Azure přes síť VPN typu site-to-site, zatímco jiné se připojují přes ExpressRoute.

Výběr kroků k použití

Existují dvě různé sady postupů, ze kterých si můžete vybrat. Postup konfigurace, který vyberete, závisí na tom, jestli máte existující virtuální síť, nebo potřebujete vytvořit novou.

• Nemám virtuální síť a potřebuji ji vytvořit.

  Pokud ještě nemáte virtuální síť, tento postup vás provede vytvořením nové virtuální sítě pomocí modelu nasazení Resource Manager a vytvořením nových připojení ExpressRoute a vpn typu site-to-site.

• Virtuální síť modelu nasazení Resource Manager už mám.

  Pokud už máte virtuální síť se stávajícím připojením VPN typu site-to-site nebo ExpressRoute a předpona podsítě brány je /28 nebo delší (/29, /30 atd.), musíte stávající bránu odstranit. Postup konfigurace společně existujících připojení pro existující část virtuální sítě vás provede odstraněním brány a následným vytvořením nových připojení VPN typu Site-to-Site.

  Odstranění a opětovné vytvoření brány způsobí výpadek vašich připojení mezi místními sítěmi. Vaše virtuální počítače a služby se ale můžou připojit přes internet, když nakonfigurujete bránu, pokud jsou nastavené tak.

Než začnete

Kroky a příklady v tomto článku používají moduly Az Azure PowerShellu. Pokud chcete moduly Az nainstalovat místně do počítače, přečtěte si téma Instalace Azure PowerShellu. Další informace o novém modulu Az najdete v tématu Představení nového modulu Az Azure PowerShellu. Rutiny PowerShellu se často aktualizují. Pokud nepoužíváte nejnovější verzi, může dojít k selhání hodnot zadaných v pokynech. K vyhledání nainstalovaných verzí PowerShellu ve vašem systému použijte rutinu Get-Module -ListAvailable Az .

Azure Cloud Shell můžete použít ke spuštění většiny rutin PowerShellu a příkazů rozhraní příkazového řádku místo místní instalace Azure PowerShellu nebo rozhraní příkazového řádku. Azure Cloud Shell je bezplatné interaktivní prostředí, které má předinstalované běžné nástroje Azure a je nakonfigurované pro použití s vaším účtem. Pokud chcete spustit jakýkoli kód obsažený v tomto článku v Azure Cloud Shellu, otevřete relaci Cloud Shellu, pomocí tlačítka Kopírovat v bloku kódu kód zkopírujte a vložte ho do relace Cloud Shellu pomocí Ctrl+Shift+V ve Windows a Linuxu nebo Cmd+Shift+V v macOS. Vložený text se nespustí automaticky, stisknutím klávesy Enter spusťte kód.

Existuje několik způsobů, jak Cloud Shell spustit:

Možnost	Odkaz
Klikněte na Vyzkoušet v pravém horním rohu bloku kódu.
Otevřete Cloud Shell ve vašem prohlížeči.
Klikněte na tlačítko Cloud Shell v nabídce v pravé horní části webu Azure Portal.

Nová virtuální síť a spoluexistující připojení

Tento postup vás provede vytvořením virtuální sítě a konfigurací společně existujících připojení VPN typu site-to-site a ExpressRoute. Rutiny použité v této konfiguraci se můžou lišit od rutin, které znáte, takže se ujistěte, že používáte zadané rutiny.

1. Přihlaste se a vyberte své předplatné.

   Pokud používáte Azure Cloud Shell, přihlásíte se k účtu Azure automaticky po kliknutí na Vyzkoušet. Pokud se chcete přihlásit místně, otevřete konzolu PowerShellu se zvýšenými oprávněními a spusťte rutinu pro připojení.

   Connect-AzAccount
   

   Pokud máte více než jedno předplatné, získejte seznam předplatných Azure.

   Get-AzSubscription
   

   Určete předplatné, které chcete použít.

   Select-AzSubscription -SubscriptionName "Name of subscription"
   

2. Definujte proměnné a vytvořte skupinu prostředků.

   $location = "Central US"
   $resgrp = New-AzResourceGroup -Name "ErVpnCoex" -Location $location
   $VNetASN = 65515
   

3. Vytvořte virtuální síť včetně .GatewaySubnet Další informace o vytváření virtuálních sítí najdete v tématu Vytvoření virtuální sítě. Další informace o vytváření podsítí najdete v tématu Vytvoření podsítě.

   Důležité

   Podsíť brány musí být /27 nebo kratší předpona, například /26 nebo /25.

   Vytvořte novou virtuální síť.

   $vnet = New-AzVirtualNetwork -Name "CoexVnet" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AddressPrefix "10.200.0.0/16"
   

   Přidejte dvě podsítě s názvem App a GatewaySubnet.

   Add-AzVirtualNetworkSubnetConfig -Name "App" -VirtualNetwork $vnet -AddressPrefix "10.200.1.0/24"
   Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"
   

   Uložte konfiguraci virtuální sítě.

   $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
   

4. Vytvořte bránu VPN typu site-to-site. Další informace o konfiguraci brány VPN najdete v tématu Konfigurace virtuální sítě s připojením typu site-to-site. GatewaySku se podporuje pro brány VPNGw1, VpnGw2, VpnGw3, Standard a HighPerformance VPN. Konfigurace služby ExpressRoute-VPN Gateway nejsou v základní SKU podporované. VpnType musí být RouteBased.

   $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
   $gwIP = New-AzPublicIpAddress -Name "VPNGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
   $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "VPNGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
   New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"
   

   Brána Azure VPN podporuje směrovací protokol BGP. AsN (AS Number) pro virtuální síť můžete zadat přidáním příznaku -Asn v následujícím příkazu. Nezadání parametru Asn nastaví jako výchozí číslo AS na 65515.

   $azureVpn = New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"
   

   Poznámka:

   U existujících bran musíte použít výchozí ASN 65515. Další informace najdete v tématu omezení a omezení.

   Ip adresu partnerského vztahu protokolu BGP a číslo AS, které Azure používá pro bránu VPN, najdete spuštěním $azureVpn.BgpSettings.BgpPeeringAddress a $azureVpn.BgpSettings.Asn. Další informace najdete v tématu Konfigurace protokolu BGP pro bránu VPN Azure.

5. Vytvořte entitu brány VPN místního webu. Tento příkaz neprovede konfiguraci vaší místní brány VPN. Místo toho vám umožní zadat nastavení místní brány, jako je veřejná IP adresa a místní adresní prostor, aby se k ní brána Azure VPN mohla připojit.

   Pokud vaše místní zařízení VPN podporuje pouze statické směrování, nakonfigurujte statické trasy následujícím způsobem:

   $MyLocalNetworkAddress = @("10.100.0.0/16","10.101.0.0/16","10.102.0.0/16")
   $localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress "<Public IP>" -AddressPrefix $MyLocalNetworkAddress
   

   Pokud vaše místní zařízení VPN podporuje protokol BGP a chcete povolit dynamické směrování, musíte znát IP adresu partnerského vztahu protokolu BGP a číslo AS vašeho místního zařízení VPN.

   $localVPNPublicIP = "<Public IP>"
   $localBGPPeeringIP = "<Private IP for the BGP session>"
   $localBGPASN = "<ASN>"
   $localAddressPrefix = $localBGPPeeringIP + "/32"
   $localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress $localVPNPublicIP -AddressPrefix $localAddressPrefix -BgpPeeringAddress $localBGPPeeringIP -Asn $localBGPASN
   

6. Nakonfigurujte místní zařízení VPN pro připojení k nové bráně Azure VPN. Další informace o konfiguraci zařízení VPN najdete v tématu Konfigurace zařízení VPN.

7. Propojte bránu VPN typu site-to-site v Azure s místní bránou.

   $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
   New-AzVirtualNetworkGatewayConnection -Name "VPNConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $azureVpn -LocalNetworkGateway2 $localVpn -ConnectionType IPsec -SharedKey "<yourkey>"
   

8. Pokud se připojujete k existujícímu okruhu ExpressRoute, přeskočte kroky 8 a 9 a přejděte ke kroku 10. Nakonfigurujte okruhy ExpressRoute. Další informace o konfiguraci okruhů ExpressRoute najdete v tématu vytvoření okruhu ExpressRoute.

9. Nakonfigurujte soukromý partnerský vztah Azure přes okruh ExpressRoute. Další informace o konfiguraci privátního partnerského vztahu Azure přes okruh ExpressRoute najdete v tématu konfigurace partnerského vztahu.

10. Vytvořte bránu ExpressRoute. Další informace o konfiguraci brány ExpressRoute najdete v tématu Konfigurace brány ExpressRoute. GatewaySKU musí být Standard, HighPerformance nebo UltraPerformance.

$gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
$gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
$gw = New-AzVirtualNetworkGateway -Name "ERGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard

11. Propojte bránu ExpressRoute s okruhem ExpressRoute. Po dokončení tohoto kroku se připojení mezi vaší místní sítí a Azure vytvoří prostřednictvím ExpressRoute. Další informace o operaci propojení najdete v tématu Propojení virtuálních sítí s ExpressRoute.

$ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute

Existující virtuální síť s bránou

Pokud má vaše virtuální síť jenom jednu bránu virtuální sítě a potřebujete přidat jinou bránu jiného typu, postupujte takto:

1. Zkontrolujte velikost podsítě brány:

   • Pokud je podsíť brány /27 nebo větší, přejděte k předchozí části a přidejte bránu VPN typu site-to-site nebo bránu ExpressRoute.
   • Pokud je podsíť brány /28 nebo /29, musíte odstranit existující bránu virtuální sítě a zvětšit velikost podsítě brány.

2. Odstraňte existující bránu:

   Remove-AzVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup>
   

3. Odstraňte podsíť brány:

   $vnet = Get-AzVirtualNetwork -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
   Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet
   

4. Přidejte větší podsíť brány:

   • Ujistěte se, že je nová podsíť /27 nebo větší. Pokud není dostatek IP adres, přidejte další adresní prostor IP adres.

   $vnet = Get-AzVirtualNetwork -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
   Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"
   $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
   

5. Vytvořte nové brány a připojení:

   • Nastavte proměnné:

   $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
   $gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
   $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
   

   • Vytvořte bránu:

   $gw = New-AzVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup> -Location <yourlocation> -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard
   

   • Vytvořte připojení:

   $ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
   New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute
   

Přidání konfigurace typu point-to-site do brány VPN

Pokud chcete do brány VPN přidat konfiguraci typu point-to-site v koexistence, postupujte takto. Kořenový certifikát VPN můžete nahrát buď tak, že nainstalujete PowerShell místně do počítače nebo pomocí webu Azure Portal.

1. Přidání fondu adres klienta VPN

   $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $azureVpn -VpnClientAddressPool "10.251.251.0/24"
   

2. Nahrání kořenového certifikátu VPN

   Nahrajte kořenový certifikát VPN do Azure pro bránu VPN. Následující příklad předpokládá, že kořenový certifikát je uložený na místním počítači, kde se spouští rutiny PowerShellu. Certifikát můžete nahrát také pomocí webu Azure Portal.

   $p2sCertFullName = "RootErVpnCoexP2S.cer" 
   $p2sCertMatchName = "RootErVpnCoexP2S" 
   $p2sCertToUpload = Get-ChildItem Cert:\CurrentUser\My | Where-Object {$_.Subject -match $p2sCertMatchName} 
   if ($p2sCertToUpload.Count -eq 1) { Write-Host "Certificate found" } else { Write-Host "Certificate not found"; exit } 
   $p2sCertData = [System.Convert]::ToBase64String($p2sCertToUpload.RawData) 
   Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $p2sCertFullName -VirtualNetworkGatewayName $azureVpn.Name -ResourceGroupName $resgrp.ResourceGroupName -PublicCertData $p2sCertData
   

Další informace o VPN typu point-to-site najdete v tématu Konfigurace připojení typu point-to-site.

Povolení směrování přenosu mezi ExpressRoute a Azure VPN

Pokud chcete povolit připojení mezi místní sítí připojenou k ExpressRoute a jinou místní sítí připojenou k síti VPN typu site-to-site, nastavte Azure Route Server.

Další kroky

Další informace o ExpressRoute najdete v tématu ExpressRoute – nejčastější dotazy.