Een site-naar-site-verbinding maken met Azure Virtual WAN met behulp van PowerShell
In dit artikel wordt beschreven hoe u Virtual WAN gebruikt om verbinding te maken met uw resources in Azure via een VPN-verbinding via IPsec/IKE (IKEv1 en IKEv2) via PowerShell. Voor dit type verbinding moet er on-premises een VPN-apparaat aanwezig zijn waaraan een extern openbaar IP-adres is toegewezen. Zie het overzicht van Virtual WAN voor meer informatie over Virtual WAN. U kunt deze configuratie ook maken met behulp van de Azure Portal instructies.
Vereisten
Controleer of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.
Bepaal het IP-adresbereik dat u wilt gebruiken voor de privéadresruimte van uw virtuele hub. Deze informatie wordt gebruikt bij het configureren van uw virtuele hub. Een virtuele hub is een virtueel netwerk dat wordt gemaakt en gebruikt door Virtual WAN. Dit vormt de kern van uw Virtual WAN-netwerk in een regio. Het adresruimtebereik moet voldoen aan bepaalde regels.
- Het adresbereik dat u voor de hub opgeeft mag niet overlappen met een van de bestaande virtuele netwerken waarmee u verbinding wilt maken.
- Het adresbereik mag niet overlappen met de on-premises adresbereiken waarmee u verbinding maakt.
- Als u niet bekend bent met de IP-adresbereiken in uw on-premises netwerkconfiguratie, kunt u contact opnemen met iemand die deze gegevens voor u kan verstrekken.
Azure PowerShell
In dit artikel worden PowerShell-cmdlets gebruikt. U kunt Azure Cloud Shell gebruiken om de cmdlets uit te voeren. Cloud Shell is een gratis interactieve shell die u kunt gebruiken om de stappen in dit artikel uit te voeren. In deze shell zijn algemene Azure-hulpprogramma's vooraf geïnstalleerd en geconfigureerd voor gebruik met uw account.
Als u Cloud Shell wilt openen, selecteert u Cloudshell openen in de rechterbovenhoek van een codeblok. U kunt Cloud Shell ook openen op een afzonderlijk browsertabblad door naar te https://shell.azure.com/powershellgaan. Selecteer Kopiëren om de codeblokken te kopiëren, plak deze in Cloud Shell en selecteer Enter om ze uit te voeren.
U kunt de Azure PowerShell cmdlets ook lokaal op uw computer installeren en uitvoeren. PowerShell-cmdlets worden regelmatig bijgewerkt. Als u de nieuwste versie niet hebt geïnstalleerd, kunnen de waarden die in de instructies zijn opgegeven, mislukken. Gebruik Get-Module -ListAvailable Az de cmdlet om de versies van Azure PowerShell die op uw computer zijn geïnstalleerd te vinden. Zie De Azure PowerShell-module installeren als u de module Azure PowerShell wilt installeren of bijwerken.
Aanmelden
Als u Azure Cloud Shell wordt u automatisch omgeleid om u aan te melden bij uw account nadat u Cloudshell hebt geopend. U hoeft niet uit te voeren Connect-AzAccount. Nadat u bent aangemeld, kunt u nog steeds abonnementen wijzigen indien nodig met behulp van Get-AzSubscription en Select-AzSubscription.
Als u PowerShell lokaal uitvoert, opent u de PowerShell-console met verhoogde bevoegdheden en maakt u verbinding met uw Azure-account. De Connect-AzAccount cmdlet vraagt u om referenties. Nadat u zich hebt geverifieerd, worden uw accountinstellingen gedownload, zodat deze beschikbaar zijn voor Azure PowerShell. U kunt het abonnement wijzigen met behulp van Get-AzSubscription en Select-AzSubscription -SubscriptionName "Name of subscription".
Een virtueel WAN maken
Voordat u een virtueel wan kunt maken, moet u een resourcegroep maken om het virtuele wan te hosten of een bestaande resourcegroep te gebruiken. Gebruik een van de volgende voorbeelden.
In dit voorbeeld wordt een nieuwe resourcegroep met de naam TestRG gemaakt op de locatie VS - oost . Als u in plaats daarvan een bestaande resourcegroep wilt gebruiken, kunt u de $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup" opdracht wijzigen en vervolgens de stappen in deze oefening uitvoeren met behulp van uw eigen waarden.
Maak een resourcegroep.
New-AzResourceGroup -Location "East US" -Name "TestRG"Maak het virtuele wan met behulp van de cmdlet New-AzVirtualWan .
$virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"
De hub maken en hub-instellingen configureren
Een hub is een virtueel netwerk dat gateways kan bevatten voor site-naar-site-, ExpressRoute- of punt-naar-site-functionaliteit. Maak een virtuele hub met New-AzVirtualHub. In dit voorbeeld wordt een standaard virtuele hub met de naam Hub1 gemaakt met het opgegeven adresvoorvoegsel en een locatie voor de hub.
$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"
Een site-naar-site-VPN-gateway maken
In deze sectie maakt u een site-naar-site-VPN-gateway op dezelfde locatie als de virtuele hub waarnaar wordt verwezen. Wanneer u de VPN-gateway maakt, geeft u de gewenste schaaleenheden op. Het duurt ongeveer 30 minuten voordat de gateway is gemaakt.
Als u Azure Cloud Shell hebt gesloten of als er een time-out optreedt voor uw verbinding, moet u de variabele mogelijk opnieuw declareren voor $virtualHub.
$virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"Maak een VPN-gateway met behulp van de cmdlet New-AzVpnGateway .
New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2Zodra uw VPN-gateway is gemaakt, kunt u deze weergeven met behulp van het volgende voorbeeld.
Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
Een site en verbindingen maken
In deze sectie maakt u sites die overeenkomen met uw fysieke locaties en de verbindingen. Deze sites bevatten uw on-premises VPN-apparaateindpunten. U kunt maximaal 1000 sites per virtuele hub in een virtueel WAN maken. Als u meerdere hubs hebt, kunt u 1000 per hub maken.
Stel de variabele in voor de VPN-gateway en voor de IP-adresruimte die zich op uw on-premises site bevindt. Verkeer dat bestemd is voor deze adresruimte wordt doorgestuurd naar uw lokale site. Dit is vereist wanneer BGP niet is ingeschakeld voor de site.
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" $vpnSiteAddressSpaces = New-Object string[] 2 $vpnSiteAddressSpaces[0] = "192.168.2.0/24" $vpnSiteAddressSpaces[1] = "192.168.3.0/24"Maak koppelingen om informatie toe te voegen over de fysieke koppelingen in de vertakking, inclusief metagegevens over de snelheid van de koppeling, de naam van de koppelingsprovider en het openbare IP-adres van het on-premises apparaat.
$vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10" $vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"Maak de VPN-site en verwijst naar de variabelen van de VPN-sitekoppelingen die u zojuist hebt gemaakt.
Als u Azure Cloud Shell hebt gesloten of als er een time-out optreedt voor uw verbinding, geeft u de virtuele WAN-variabele opnieuw op:
$virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"Maak de VPN-site met behulp van de cmdlet New-AzVpnSite .
$vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)Maak de koppelingsverbinding voor de site. De verbinding bestaat uit twee actief-actief-tunnels van een vertakking/site naar de schaalbare gateway.
$vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100 $vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10
De VPN-site verbinden met een hub
Verbind uw VPN-site met de site-naar-site-VPN-gateway van de hub met behulp van de cmdlet New-AzVpnConnection .
Voordat u de opdracht uitvoert, moet u mogelijk de volgende variabelen opnieuw declareren:
$virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1" $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" $vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"Verbind de VPN-site met de hub.
New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)
Een VNet verbinden met uw hub
De volgende stap is het verbinden van de hub met het VNet. Als u een nieuwe resourcegroep voor deze oefening hebt gemaakt, hebt u meestal nog geen virtueel netwerk (VNet) in uw resourcegroep. Met de onderstaande stappen kunt u een VNet maken als u er nog geen hebt. U kunt vervolgens een verbinding maken tussen de hub en uw VNet.
Een virtueel netwerk maken
U kunt de volgende voorbeeldwaarden gebruiken om een VNet te maken. Zorg ervoor dat u de waarden in de voorbeelden vervangt door de waarden die u voor uw omgeving hebt gebruikt. Zie Quickstart: Azure PowerShell gebruiken om een virtueel netwerk te maken voor meer informatie.
Maak een VNet.
$vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnetGeef subnetinstellingen op.
$subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnetStel het VNet in.
$virtualNetwork | Set-AzVirtualNetwork
Een VNet verbinden met een hub
Zodra u een VNet hebt, volgt u de stappen in dit artikel om uw VNet te verbinden met de VWAN-hub: Een VNet verbinden met een Virtual WAN hub.
VPN-apparaat configureren
Als u uw on-premises VPN-apparaat wilt configureren, volgt u de stappen in het artikel Site-naar-site: Azure Portal.
Resources opschonen
Wanneer u de resources die u hebt gemaakt niet meer nodig hebt, verwijdert u ze. Sommige van de Virtual WAN resources moeten in een bepaalde volgorde worden verwijderd vanwege afhankelijkheden. Het verwijderen duurt ongeveer 30 minuten.
Verwijder alle gatewayentiteiten in de volgende volgorde:
Declareer de variabelen.
$resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"Verwijder de VPN-gatewayverbinding met de VPN-sites.
Remove-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection"Verwijder de VPN-gateway. Als u een VPN-gateway verwijdert, worden ook alle VPN ExpressRoute-verbindingen verwijderd die eraan zijn gekoppeld.
Remove-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"Op dit punt kunt u een van de volgende twee dingen doen:
- U kunt de hele resourcegroep verwijderen om alle resterende resources te verwijderen, inclusief de hubs, sites en het virtuele WAN.
- U kunt ervoor kiezen om elk van de resources in de resourcegroep te verwijderen.
De hele resourcegroep verwijderen:
Remove-AzResourceGroup -Name "TestRG"Elke resource in de resourcegroep verwijderen:
Verwijder de VPN-site.
Remove-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"Verwijder de virtuele hub.
Remove-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"Verwijder het virtuele WAN.
Remove-AzVirtualWan -Name "TestVWAN1" -ResourceGroupName "TestRG"
Volgende stappen
Zie de veelgestelde vragen over Virtual WAN voor meer informatie over Virtual WAN.