Konfigurowanie współistniejących połączeń usługi ExpressRoute i połączeń typu lokacja-lokacja przy użyciu programu PowerShell

• Program PowerShell — model usługi Resource Manager
• PowerShell — model klasyczny

Ten artykuł ułatwia konfigurowanie współistniejących połączeń usługi ExpressRoute i sieci VPN typu lokacja-lokacja. Konfigurowanie obu połączeń ma kilka zalet:

• Sieć VPN typu lokacja-lokacja można skonfigurować jako bezpieczną ścieżkę trybu failover dla usługi ExpressRoute.
• Alternatywnie można użyć sieci VPN typu lokacja-lokacja do łączenia się z lokacjami, które nie są połączone za pośrednictwem usługi ExpressRoute.

Ten artykuł zawiera instrukcje konfiguracji obu scenariuszy. Ten artykuł ma zastosowanie w modelu wdrażania przy użyciu usługi Resource Manager i używa programu PowerShell. Te scenariusze można również skonfigurować przy użyciu witryny Azure Portal, chociaż dokumentacja nie jest jeszcze dostępna. Możesz najpierw skonfigurować jedną bramę. Zazwyczaj nie występują żadne przestoje podczas dodawania nowej bramy lub połączenia bramy.

Uwaga

Jeśli chcesz utworzyć sieć VPN typu lokacja-lokacja za pośrednictwem obwodu usługi ExpressRoute, zobacz Sieć VPN typu lokacja-lokacja za pośrednictwem komunikacji równorzędnej firmy Microsoft.

Limity i ograniczenia

• Obsługiwana jest tylko brama sieci VPN oparta na trasach. Należy użyć bramy sieci VPN opartej na trasach. Możesz również użyć bramy sieci VPN opartej na trasach z połączeniem sieci VPN skonfigurowanym dla selektorów ruchu opartego na zasadach, zgodnie z opisem w artykule Łączenie z wieloma urządzeniami sieci VPN opartymi na zasadach.
• Współistnienie konfiguracji usługi ExpressRoute-VPN Gateway nie jest obsługiwane z publicznym adresem IP jednostki SKU w warstwie Podstawowa.
• Jeśli chcesz użyć routingu tranzytowego między usługą ExpressRoute i siecią VPN, numer ASN usługi Azure VPN Gateway musi być ustawiony na wartość 65515, a należy użyć usługi Azure Route Server. Usługa Azure VPN Gateway obsługuje protokół routingu BGP. Aby usługa ExpressRoute i sieć VPN platformy Azure współdziałały ze sobą, należy zachować numer systemu autonomicznego bramy sieci VPN platformy Azure z wartością domyślną 65515. Jeśli wcześniej wybrano numer ASN inny niż 65515 i zmienisz ustawienie na 65515, musisz zresetować bramę sieci VPN, aby ustawienie zaczęły obowiązywać.
• Podsieć bramy musi być /27 lub krótszym prefiksem, takim jak /26 lub /25, albo podczas dodawania bramy sieci wirtualnej usługi ExpressRoute zostanie wyświetlony komunikat o błędzie.

Projekty konfiguracji

Konfigurowanie sieci VPN typu lokacja-lokacja jako ścieżki trybu failover dla usługi ExpressRoute

Połączenie sieci VPN typu lokacja-lokacja można skonfigurować jako kopię zapasową połączenia usługi ExpressRoute. Ta konfiguracja ma zastosowanie tylko do sieci wirtualnych połączonych ze ścieżką prywatnej komunikacji równorzędnej platformy Azure. Nie ma rozwiązania trybu failover opartego na sieci VPN dla usług dostępnych za pośrednictwem komunikacji równorzędnej azure firmy Microsoft. Obwód usługi ExpressRoute jest zawsze podstawowym linkiem, a dane przepływa przez ścieżkę sieci VPN typu lokacja-lokacja tylko wtedy, gdy obwód usługi ExpressRoute ulegnie awarii. Aby uniknąć routingu asymetrycznego, skonfiguruj sieć lokalną tak, aby preferował obwód usługi ExpressRoute za pośrednictwem sieci VPN typu lokacja-lokacja, ustawiając wyższą preferencję lokalną dla tras odebranych za pośrednictwem usługi ExpressRoute.

Uwaga

• Jeśli włączono komunikację równorzędną usługi ExpressRoute firmy Microsoft, możesz otrzymać publiczny adres IP bramy sieci VPN platformy Azure w połączeniu usługi ExpressRoute. Aby skonfigurować połączenie sieci VPN typu lokacja-lokacja jako kopię zapasową, skonfiguruj sieć lokalną tak, aby połączenie sieci VPN było kierowane do Internetu.
• Chociaż ścieżka obwodu usługi ExpressRoute jest preferowana w sieci VPN typu lokacja-lokacja, gdy obie trasy są takie same, platforma Azure używa najdłuższego dopasowania prefiksu, aby wybrać trasę do miejsca docelowego pakietu.

Konfigurowanie sieci VPN typu lokacja-lokacja w celu łączenia się z lokacjami, które nie są połączone za pośrednictwem usługi ExpressRoute

Sieć można skonfigurować tak, aby niektóre lokacje łączyły się bezpośrednio z platformą Azure za pośrednictwem sieci VPN typu lokacja-lokacja, podczas gdy inne łączą się za pośrednictwem usługi ExpressRoute.

Wybieranie czynności do wykonania

Istnieją dwa różne zestawy procedur do wyboru. Wybrana procedura konfiguracji zależy od tego, czy masz istniejącą sieć wirtualną, czy musisz utworzyć nową.

• Nie mam sieci wirtualnej i muszę je utworzyć.

  Jeśli nie masz jeszcze sieci wirtualnej, ta procedura przeprowadzi Cię przez proces tworzenia nowej sieci wirtualnej przy użyciu modelu wdrażania usługi Resource Manager i tworzenia nowych połączeń usługi ExpressRoute i sieci VPN typu lokacja-lokacja.

• Mam już sieć wirtualną modelu wdrażania usługi Resource Manager.

  Jeśli masz już sieć wirtualną z istniejącą siecią VPN typu lokacja-lokacja lub połączeniem usługi ExpressRoute, a prefiks podsieci bramy to /28 lub dłużej (/29, /30 itp.), musisz usunąć istniejącą bramę. Kroki konfigurowania współistniejących połączeń dla istniejącej sieci wirtualnej zawierają instrukcje usuwania bramy, a następnie tworzenia nowych połączeń usługi ExpressRoute i połączeń sieci VPN typu lokacja-lokacja.

  Usunięcie i ponowne utworzenie bramy powoduje przestój połączeń obejmujących wiele lokalizacji. Jednak maszyny wirtualne i usługi mogą łączyć się za pośrednictwem Internetu podczas konfigurowania bramy, jeśli są one skonfigurowane w taki sposób.

Zanim rozpoczniesz

Kroki i przykłady w tym artykule korzystają z modułów Az programu Azure PowerShell. Aby zainstalować moduły Az lokalnie na komputerze, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się więcej na temat nowego modułu Az, zobacz Wprowadzenie do nowego modułu Az programu Azure PowerShell. Polecenia cmdlet programu PowerShell są często aktualizowane. Jeśli nie używasz najnowszej wersji, wartości określone w instrukcjach mogą zakończyć się niepowodzeniem. Aby znaleźć zainstalowane wersje programu PowerShell w systemie, użyj Get-Module -ListAvailable Az polecenia cmdlet .

Za pomocą usługi Azure Cloud Shell można uruchamiać większość poleceń cmdlet programu PowerShell i poleceń interfejsu wiersza polecenia zamiast instalować program Azure PowerShell lub interfejs wiersza polecenia lokalnie. Usługa Azure Cloud Shell to bezpłatna interaktywna powłoka, która ma wstępnie zainstalowane typowe narzędzia platformy Azure i jest skonfigurowana do używania z kontem. Aby uruchomić dowolny kod zawarty w tym artykule w usłudze Azure Cloud Shell, otwórz sesję usługi Cloud Shell, użyj przycisku Kopiuj w bloku kodu, aby skopiować kod i wklej go do sesji usługi Cloud Shell za pomocą Ctrl+Shift+V w systemach Windows i Linux lub Cmd+Shift+V w systemie macOS. Wklejony tekst nie jest automatycznie wykonywany, naciśnij Enter , aby uruchomić kod.

Istnieje kilka sposobów uruchomienia usługi Cloud Shell:

Opcja	Link
Kliknij przycisk Wypróbuj w prawym górnym rogu bloku kodu.
Otwórz usługę Cloud Shell w swojej przeglądarce.
Kliknij przycisk Cloud Shell w menu w prawym górnym rogu witryny Azure Portal.

Nowa sieć wirtualna i współistniejące połączenia

Ta procedura przeprowadzi Cię przez proces tworzenia sieci wirtualnej i konfigurowania współistniejącej sieci VPN typu lokacja-lokacja i połączeń usługi ExpressRoute. Polecenia cmdlet używane w tej konfiguracji mogą różnić się od poleceń cmdlet, które znasz, więc upewnij się, że używasz określonych poleceń cmdlet.

1. Zaloguj się i wybierz swoją subskrypcję.

   Jeśli używasz usługi Azure Cloud Shell, zaloguj się automatycznie do konta platformy Azure po kliknięciu pozycji "Wypróbuj". Aby zalogować się lokalnie, otwórz konsolę programu PowerShell z podwyższonym poziomem uprawnień i uruchom polecenie cmdlet, aby nawiązać połączenie.

   Connect-AzAccount
   

   Jeśli masz więcej niż jedną subskrypcję, pobierz listę subskrypcji platformy Azure.

   Get-AzSubscription
   

   Określ subskrypcję, której chcesz użyć.

   Select-AzSubscription -SubscriptionName "Name of subscription"
   

2. Zdefiniuj zmienne i utwórz grupę zasobów.

   $location = "Central US"
   $resgrp = New-AzResourceGroup -Name "ErVpnCoex" -Location $location
   $VNetASN = 65515
   

3. Utwórz sieć wirtualną, w tym .GatewaySubnet Aby uzyskać więcej informacji na temat tworzenia sieci wirtualnej, zobacz Create a virtual network (Tworzenie sieci wirtualnej). Aby uzyskać więcej informacji na temat tworzenia podsieci, zobacz Tworzenie podsieci.

   Ważne

   Podsieć GatewaySubnet musi być /27 lub krótszym prefiksem, takim jak /26 lub /25.

   Utwórz nową sieć wirtualną.

   $vnet = New-AzVirtualNetwork -Name "CoexVnet" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AddressPrefix "10.200.0.0/16"
   

   Dodaj dwie podsieci o nazwie App i GatewaySubnet.

   Add-AzVirtualNetworkSubnetConfig -Name "App" -VirtualNetwork $vnet -AddressPrefix "10.200.1.0/24"
   Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"
   

   Zapisz konfigurację sieci wirtualnej.

   $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
   

4. Utwórz bramę sieci VPN typu lokacja-lokacja. Aby uzyskać więcej informacji na temat konfiguracji bramy sieci VPN, zobacz Konfigurowanie sieci wirtualnej przy użyciu połączenia lokacja-lokacja. Wartość GatewaySku jest obsługiwana dla bram sieci VPN VpnGw1, VpnGw2, VpnGw3, Standard i HighPerformance . Współistnienie konfiguracji usługi ExpressRoute-VPN Gateway nie jest obsługiwane w jednostce SKU w warstwie Podstawowa. Parametr VpnType musi mieć wartość RouteBased.

   $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
   $gwIP = New-AzPublicIpAddress -Name "VPNGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
   $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "VPNGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
   New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"
   

   Brama sieci VPN platformy Azure obsługuje protokół routingu BGP. Możesz określić numer ASN dla sieci wirtualnej, dodając flagę -Asn w poniższym poleceniu. Nie określono parametru Asn domyślnie numer AS do 65515.

   $azureVpn = New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"
   

   Uwaga

   W przypadku współistniejących bram należy użyć domyślnej nazwy ASN 65515. Aby uzyskać więcej informacji, zobacz limity i ograniczenia.

   Adres IP komunikacji równorzędnej BGP i numer AS używany przez platformę Azure dla bramy sieci VPN można znaleźć, uruchamiając polecenie $azureVpn.BgpSettings.BgpPeeringAddress i $azureVpn.BgpSettings.Asn. Aby uzyskać więcej informacji, zobacz Konfigurowanie protokołu BGP dla bramy usługi Azure VPN Gateway.

5. Utwórz obiekt bramy sieci VPN witryny lokalnej. To polecenie nie powoduje skonfigurowania bramy lokalnej sieci VPN. Zamiast tego umożliwia podanie ustawień bramy lokalnej, takich jak publiczny adres IP i lokalna przestrzeń adresowa, dzięki czemu brama sieci VPN platformy Azure może się z nią połączyć.

   Jeśli lokalne urządzenie sieci VPN obsługuje tylko routing statyczny, skonfiguruj trasy statyczne w następujący sposób:

   $MyLocalNetworkAddress = @("10.100.0.0/16","10.101.0.0/16","10.102.0.0/16")
   $localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress "<Public IP>" -AddressPrefix $MyLocalNetworkAddress
   

   Jeśli lokalne urządzenie sieci VPN obsługuje protokół BGP i chcesz włączyć routing dynamiczny, musisz znać adres IP komunikacji równorzędnej BGP i numer AS lokalnego urządzenia sieci VPN.

   $localVPNPublicIP = "<Public IP>"
   $localBGPPeeringIP = "<Private IP for the BGP session>"
   $localBGPASN = "<ASN>"
   $localAddressPrefix = $localBGPPeeringIP + "/32"
   $localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress $localVPNPublicIP -AddressPrefix $localAddressPrefix -BgpPeeringAddress $localBGPPeeringIP -Asn $localBGPASN
   

6. Skonfiguruj lokalne urządzenie sieci VPN do połączenia z nową bramą sieci VPN Azure. Więcej informacji na temat konfigurowania urządzenia VPN znajduje się w artykule VPN Device Configuration (Konfigurowanie urządzenia VPN).

7. Połącz bramę sieci VPN typu lokacja-lokacja na platformie Azure z bramą lokalną.

   $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
   New-AzVirtualNetworkGatewayConnection -Name "VPNConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $azureVpn -LocalNetworkGateway2 $localVpn -ConnectionType IPsec -SharedKey "<yourkey>"
   

8. Jeśli łączysz się z istniejącym obwodem usługi ExpressRoute, pomiń kroki 8 i 9 i przejdź do kroku 10. Skonfiguruj obwody usługi ExpressRoute. Aby uzyskać więcej informacji na temat konfigurowania obwodów usługi ExpressRoute, zobacz tworzenie obwodu usługi ExpressRoute.

9. Skonfiguruj prywatną komunikację równorzędną na platformie Azure za pośrednictwem obwodu usługi ExpressRoute. Aby uzyskać więcej informacji na temat konfigurowania prywatnej komunikacji równorzędnej platformy Azure za pośrednictwem obwodu usługi ExpressRoute, zobacz Konfigurowanie komunikacji równorzędnej.

10. Utwórz bramę usługi ExpressRoute. Więcej informacji na temat konfigurowania bramy usługi ExpressRoute znajduje się w artykule ExpressRoute gateway configuration (Konfigurowanie bramy usługi ExpressRoute). Opcja GatewaySKU musi mieć wartość Standard, HighPerformance lub UltraPerformance.

$gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
$gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
$gw = New-AzVirtualNetworkGateway -Name "ERGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard

11. Połącz bramę usługi ExpressRoute z obwodem usługi ExpressRoute. Po wykonaniu tego kroku połączenie między siecią lokalną a platformą Azure zostanie nawiązane za pośrednictwem usługi ExpressRoute. Więcej informacji na temat operacji łączenia znajduje się w artykule Link VNets to ExpressRoute (Łączenie sieci wirtualnych z usługą ExpressRoute).

$ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute

Istniejąca sieć wirtualna z bramą

Jeśli sieć wirtualna ma tylko jedną bramę sieci wirtualnej i musisz dodać inną bramę innego typu, wykonaj następujące kroki:

1. Sprawdź rozmiar podsieci bramy:

   • Jeśli podsieć bramy jest /27 lub większa, przejdź do poprzedniej sekcji, aby dodać bramę sieci VPN typu lokacja-lokacja lub bramę usługi ExpressRoute.
   • Jeśli podsieć bramy to /28 lub /29, musisz usunąć istniejącą bramę sieci wirtualnej i zwiększyć rozmiar podsieci bramy.

2. Usuń istniejącą bramę:

   Remove-AzVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup>
   

3. Usuń podsieć bramy:

   $vnet = Get-AzVirtualNetwork -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
   Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet
   

4. Dodaj większą podsieć bramy:

   • Upewnij się, że nowa podsieć to /27 lub większa. Jeśli nie ma wystarczającej liczby adresów IP, dodaj więcej przestrzeni adresów IP.

   $vnet = Get-AzVirtualNetwork -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
   Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"
   $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
   

5. Utwórz nowe bramy i połączenia:

   • Ustaw wartości zmiennych:

   $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
   $gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
   $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
   

   • Utwórz bramę:

   $gw = New-AzVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup> -Location <yourlocation> -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard
   

   • Utwórz połączenie:

   $ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
   New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute
   

Dodawanie konfiguracji punkt-lokacja do bramy sieci VPN

Aby dodać konfigurację punkt-lokacja do bramy sieci VPN w konfiguracji współistnienia, wykonaj następujące kroki. Certyfikat główny sieci VPN można przekazać lokalnie, instalując program PowerShell na komputerze lub korzystając z witryny Azure Portal.

1. Dodawanie puli adresów klienta sieci VPN

   $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $azureVpn -VpnClientAddressPool "10.251.251.0/24"
   

2. Przekazywanie certyfikatu głównego sieci VPN

   Przekaż certyfikat główny sieci VPN do platformy Azure dla bramy sieci VPN. W poniższym przykładzie przyjęto założenie, że certyfikat główny jest przechowywany na komputerze lokalnym, na którym są uruchamiane polecenia cmdlet programu PowerShell. Możesz również przekazać certyfikat przy użyciu witryny Azure Portal.

   $p2sCertFullName = "RootErVpnCoexP2S.cer" 
   $p2sCertMatchName = "RootErVpnCoexP2S" 
   $p2sCertToUpload = Get-ChildItem Cert:\CurrentUser\My | Where-Object {$_.Subject -match $p2sCertMatchName} 
   if ($p2sCertToUpload.Count -eq 1) { Write-Host "Certificate found" } else { Write-Host "Certificate not found"; exit } 
   $p2sCertData = [System.Convert]::ToBase64String($p2sCertToUpload.RawData) 
   Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $p2sCertFullName -VirtualNetworkGatewayName $azureVpn.Name -ResourceGroupName $resgrp.ResourceGroupName -PublicCertData $p2sCertData
   

Więcej informacji na temat sieci VPN typu punkt-lokacja znajduje się w artykule Configure a Point-to-Site connection (Konfigurowanie połączenia typu punkt-lokacja).

Włączanie routingu tranzytowego między usługą ExpressRoute i siecią VPN platformy Azure

Aby włączyć łączność między siecią lokalną połączoną z usługą ExpressRoute i inną siecią lokalną połączoną z siecią VPN typu lokacja-lokacja, skonfiguruj usługę Azure Route Server.

Następne kroki

Więcej informacji na temat usługi ExpressRoute znajduje się w artykule ExpressRoute FAQ (Usługa ExpressRoute — często zadawane pytania).