Udostępnij za pośrednictwem

Tworzenie połączenia sieci VPN typu lokacja-lokacja przy użyciu programu PowerShell

  • Artykuł

W tym artykule pokazano, jak za pomocą programu PowerShell utworzyć połączenie bramy sieci VPN typu lokacja-lokacja z sieci lokalnej do sieci wirtualnej. Kroki opisane w tym artykule dotyczą modelu wdrażania przy użyciu usługi Resource Manager.

Połączenie bramy sieci VPN typu lokacja-lokacja służy do łączenia sieci lokalnej z siecią wirtualną platformy Azure za pośrednictwem tunelu sieci VPN IPsec/IKE (IKEv1 lub IKEv2). Ten typ połączenia wymaga lokalnego urządzenia sieci VPN z przypisanym publicznym adresem IP dostępnym z zewnątrz. Więcej informacji o bramach sieci VPN można znaleźć w artykule Informacje dotyczące bram sieci VPN.

Diagram połączeń międzylokacyjnej usługi VPN Gateway międzylokacyjnej.

Wymagania wstępne

Przed rozpoczęciem konfiguracji sprawdź, czy środowisko spełnia następujące kryteria:

  • Sprawdź, czy masz działającą bramę sieci VPN opartą na trasach. Aby utworzyć bramę sieci VPN, zobacz Tworzenie bramy sieci VPN.
  • Upewnij się, że masz zgodne urządzenie sieci VPN i dostępna jest osoba, która umie je skonfigurować. Aby uzyskać więcej informacji o zgodnych urządzeniach sieci VPN i konfiguracji urządzeń, zobacz artykuł Informacje o urządzeniach sieci VPN.
  • Sprawdź, czy masz dostępny zewnętrznie publiczny adres IPv4 urządzenia sieci VPN.
  • Jeśli nie znasz zakresów adresów IP znajdujących się w konfiguracji sieci lokalnej, musisz koordynować pracę z osobą, która może podać te szczegóły. Podczas tworzenia tej konfiguracji należy określić prefiksy zakresu adresów IP, które platforma Azure kieruje do lokalizacji lokalnej. Żadna z podsieci sieci lokalnej nie może się nakładać na podsieci sieci wirtualnej, z którymi chcesz nawiązać połączenie.

Azure PowerShell

W tym artykule są używane polecenia cmdlet programu PowerShell. Aby uruchomić polecenia cmdlet, możesz użyć usługi Azure Cloud Shell. Cloud Shell to bezpłatna interaktywna powłoka, której można użyć do wykonania kroków opisanych w tym artykule. Udostępnia ona wstępnie zainstalowane i najczęściej używane narzędzia platformy Azure, które są skonfigurowane do użycia na koncie.

Aby otworzyć usługę Cloud Shell, wybierz pozycję Otwórz program CloudShell w prawym górnym rogu bloku kodu. Możesz również otworzyć usługę Cloud Shell na osobnej karcie przeglądarki, przechodząc do strony https://shell.azure.com/powershell. Wybierz pozycję Kopiuj , aby skopiować bloki kodu, wklej je w usłudze Cloud Shell, a następnie wybierz Enter, aby je uruchomić.

Możesz również zainstalować i uruchomić polecenia cmdlet programu Azure PowerShell lokalnie na komputerze. Polecenia cmdlet programu PowerShell są często aktualizowane. Jeśli nie zainstalowano najnowszej wersji, wartości określone w instrukcjach mogą zakończyć się niepowodzeniem. Aby znaleźć wersje programu Azure PowerShell zainstalowane na komputerze, użyj Get-Module -ListAvailable Az polecenia cmdlet . Aby zainstalować lub zaktualizować, zobacz Instalowanie modułu programu Azure PowerShell.

Tworzenie bramy sieci lokalnej

Brama sieci lokalnej (LNG) zwykle odwołuje się do lokalizacji lokalnej. Nie jest to samo co brama sieci wirtualnej. Nadaj lokacji nazwę, za pomocą której platforma Azure może się do niej odwoływać, a następnie określ adres IP lokalnego urządzenia sieci VPN, do którego utworzysz połączenie. Należy również określić prefiksy adresów IP, które są kierowane przez bramę sieci VPN do urządzenia sieci VPN. Określone prefiksy adresów są prefiksami znajdującymi się w Twojej sieci lokalnej. W przypadku zmian w sieci lokalnej prefiksy można łatwo zaktualizować.

Wybierz jeden z poniższych przykładów. Wartości używane w przykładach to:

  • GatewayIPAddress to adres IP lokalnego urządzenia sieci VPN, a nie bramy sieci VPN platformy Azure.
  • AddressPrefix oznacza lokalną przestrzeń adresową.

Przykład prefiksu pojedynczego adresu

New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix '10.0.0.0/24'

Przykład prefiksu wielu adresów

New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix @('192.168.0.0/24','10.0.0.0/24')

Konfiguracja urządzenia sieci VPN

Połączenia typu lokacja-lokacja z siecią lokalną wymagają urządzenia sieci VPN. W tym kroku konfigurowane jest urządzenie sieci VPN. Podczas konfigurowania urządzenia sieci VPN potrzebne są następujące elementy:

  • Klucz wspólny. Użyjesz tego klucza współużytkowanego zarówno podczas konfigurowania urządzenia sieci VPN, jak i podczas tworzenia połączenia sieci VPN typu lokacja-lokacja. W naszych przykładach używamy podstawowego klucza współużytkowanego. Zalecamy, aby do użycia wygenerować bardziej złożony klucz. Ważne jest, aby klucz był taki sam po obu stronach połączenia.

  • Publiczny adres IP bramy sieci wirtualnej. Publiczny adres IP można wyświetlić za pomocą witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia. Aby znaleźć publiczny adres IP bramy sieci wirtualnej przy użyciu programu PowerShell, użyj poniższego przykładu. W tym przykładzie VNet1GWpip1 jest nazwą zasobu publicznego adresu IP utworzonego we wcześniejszym kroku.

    Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1

W zależności od posiadanego urządzenia sieci VPN może być możliwe pobranie skryptu konfiguracji urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Pobieranie skryptów konfiguracji urządzenia sieci VPN.

Poniższe linki zawierają więcej informacji o konfiguracji:

  • Aby uzyskać informacje o zgodnych urządzeniach sieci VPN, zobacz About VPN devices (Informacje o urządzeniach sieci VPN).

  • Przed skonfigurowaniem urządzenia sieci VPN sprawdź, czy nie występują znane problemy ze zgodnością urządzeń.

  • Aby uzyskać linki do ustawień konfiguracji urządzenia, zobacz Zweryfikowane urządzenia sieci VPN. Udostępniamy linki do konfiguracji urządzeń w oparciu o najlepsze rozwiązanie, ale zawsze najlepiej jest sprawdzić u producenta urządzenia najnowsze informacje o konfiguracji.

    Lista zawiera przetestowane wersje. Jeśli wersja systemu operacyjnego dla urządzenia sieci VPN nie znajduje się na liście, nadal może być zgodna. Sprawdź producenta urządzenia.

  • Aby uzyskać podstawowe informacje na temat konfiguracji urządzenia sieci VPN, zobacz Omówienie konfiguracji urządzeń sieci VPN partnera.

  • Aby uzyskać informacje na temat edytowania przykładów konfiguracji urządzeń, zobacz Edytowanie przykładów.

  • Aby poznać wymagania w zakresie usług kryptograficznych, zobacz artykuł About cryptographic requirements and Azure VPN gateways (Informacje dotyczące wymagań w zakresie usług kryptograficznych oraz bram VPN platformy Azure).

  • Aby uzyskać informacje o parametrach potrzebnych do ukończenia konfiguracji, zobacz Domyślne parametry protokołu IPsec/IKE. Informacje obejmują wersję protokołu IKE, grupę Diffie-Hellman (DH), metodę uwierzytelniania, algorytmy szyfrowania i skrótu, okres istnienia skojarzenia zabezpieczeń (SA), doskonałą tajemnicę przesyłania dalej (PFS) i wykrywanie utraconych elementów równorzędnych (DPD).

  • Aby uzyskać instrukcje konfiguracji zasad protokołu IPsec/IKE, zobacz Konfigurowanie niestandardowych zasad połączeń protokołu IPsec/IKE dla sieci VPN S2S i między sieciami wirtualnymi.

  • Aby połączyć wiele urządzeń sieci VPN opartych na zasadach, zobacz Łączenie bramy sieci VPN z wieloma lokalnymi urządzeniami sieci VPN opartymi na zasadach.

Tworzenie połączenia sieci VPN

Utwórz połączenie sieci VPN typu lokacja-lokacja między bramą sieci wirtualnej a lokalnym urządzeniem sieci VPN. Jeśli używasz bramy trybu aktywne-aktywne (zalecane), każde wystąpienie maszyny wirtualnej bramy ma oddzielny adres IP. Aby prawidłowo skonfigurować łączność o wysokiej dostępności, należy ustanowić tunel między każdym wystąpieniem maszyny wirtualnej a urządzeniem sieci VPN. Oba tunele są częścią tego samego połączenia.

Pamiętaj, aby zastąpić wartości w przykładach własnymi. Klucz wspólny musi odpowiadać wartości użytej podczas konfiguracji urządzenia sieci VPN. Zwróć uwagę, że parametr "-ConnectionType" dla połączenia lokacja-lokacja to IPsec.

  1. Ustaw zmienne.

    $gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1
$local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1

  2. Utwórz połączenie.

    New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1 `
-Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'

Sprawdzanie połączenia sieci VPN

Istnieje kilka różnych sposobów sprawdzenia połączenia sieci VPN.

Możesz sprawdzić, czy połączenie powiodło się, używając polecenia cmdlet "Get-AzVirtualNetworkGatewayConnection" z poleceniem "-Debug" lub bez polecenia "-Debug".

  1. Można skorzystać z następującego przykładu użycia polecenia cmdlet, dopasowując wartości do własnych potrzeb. Po wyświetleniu monitu wybierz „A”, aby uruchomić wszystko. W podanym przykładzie opcja „-Name” odnosi się do nazwy połączenia, które ma zostać przetestowane.

    Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1

  2. Po zakończeniu działania polecenia cmdlet sprawdź wartości. W poniższym przykładzie stan połączenia jest wyświetlany jako „Połączone” i można zobaczyć bajty przychodzące i wychodzące.

    "connectionStatus": "Connected",
"ingressBytesTransferred": 33509044,
"egressBytesTransferred": 4142431

Aby zmodyfikować prefiksy adresów IP bramy sieci lokalnej

Jeśli prefiksy adresów IP, które mają być kierowane do lokalizacji lokalnej, ulegną zmianie, można zmodyfikować bramę sieci lokalnej. W przypadku korzystania z tych przykładów zmodyfikuj wartości, aby były zgodne ze środowiskiem.

Aby dodać dodatkowe prefiksy adresów:

  1. Ustaw wartość zmiennej dla klasy LocalNetworkGateway.

    $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1

  2. Zmodyfikuj prefiksy. Wartości, które określisz, zastępują poprzednie wartości.

    Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
-AddressPrefix @('10.101.0.0/24','10.101.1.0/24','10.101.2.0/24')

Aby usunąć prefiksy adresów:

Opuść prefiksy, które nie są już potrzebne. W tym przykładzie nie potrzebujemy już prefiksu 10.101.2.0/24 (z poprzedniego przykładu), dlatego zaktualizujemy bramę sieci lokalnej i wykluczymy ten prefiks.

  1. Ustaw wartość zmiennej dla klasy LocalNetworkGateway.

    $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1

  2. Ustaw bramę ze zaktualizowanymi prefiksami.

    Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
-AddressPrefix @('10.101.0.0/24','10.101.1.0/24')

Aby zmodyfikować adres IP bramy dla bramy sieci lokalnej

W przypadku zmiany publicznego adresu IP urządzenia sieci VPN, z którym chcesz nawiązać połączenie, musisz zmodyfikować bramę sieci lokalnej w celu odzwierciedlenia tej zmiany. Podczas modyfikowania tej wartości możesz również zmodyfikować prefiksy adresów. Użyj istniejącej nazwy bramy sieci lokalnej w celu zastąpienia bieżących ustawień. Jeśli użyjesz innej nazwy, utworzysz nową bramę sieci lokalnej, a nie zastąpisz istniejącej.

New-AzLocalNetworkGateway -Name Site1 `
-Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') `
-GatewayIpAddress "5.4.3.2" -ResourceGroupName TestRG1

Aby usunąć połączenie bramy

Jeśli nie znasz nazwy połączenia, możesz go znaleźć przy użyciu polecenia cmdlet "Get-AzVirtualNetworkGatewayConnection".

Remove-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 `
-ResourceGroupName TestRG1

Następne kroki