Udostępnij za pośrednictwem

Zarządzaj połączeniami lokalnej bramy sieciowej na platformie Azure

  • Artykuł

Dotyczy: Azure Local 2311.2 i nowsze; Windows Server 2022, Windows Server 2019, Windows Server 2016

W tym artykule opisano, jak tworzyć, usuwać i aktualizować połączenia bramowe przy użyciu Centrum Administracyjnego Windows po wdrożeniu sieci zdefiniowanej programowo (SDN). Bramy są używane do routingu ruchu sieciowego między siecią wirtualną a inną siecią lokalną lub zdalną. Istnieją trzy typy połączeń bramki: bezpieczeństwo protokołu internetowego (IPsec), ogólne enkapsulowanie routingu (GRE) oraz warstwa 3 (L3).

Uwaga

Przed utworzeniem połączenia bramki musisz wdrożyć bramy SDN. Ponadto należy wdrożyć programowe moduły równoważenia obciążenia (SLB) przed utworzeniem połączenia IPsec.

Aby uzyskać więcej informacji na temat bram dla sieci SDN, zobacz Co to jest brama RAS dla sieci SDN. Aby uzyskać więcej informacji na temat wdrażania sieci SDN, zobacz Wdrażanie infrastruktury SDN przy użyciu SDN Express.

Tworzenie nowego połączenia bramy IPsec

Połączenia bramy IPsec służą do zapewniania bezpiecznych połączeń szyfrowanych lokacja-lokacja między sieciami wirtualnymi SDN i zewnętrznymi sieciami klientów przez Internet.

Połączenie bramy SDN IPsec.

  1. W centrum administracyjnym systemu Windows w obszarze Wszystkie połączenia wybierz system, na którym chcesz utworzyć połączenie bramy.
  2. W obszarze Narzędzia przewiń w dół do Sieć i wybierz Połączenia Bram.
  3. W obszarze Połączenia bramy wybierz kartę Inwentarz, a następnie wybierz pozycję Nowy.
  4. Pod Utwórz nowe połączenie bramy wprowadź nazwę połączenia
  5. Wybierz sieć wirtualną, dla której zostanie skonfigurowane połączenie bramy.
  6. Ustaw typ połączenia jako IPSEC.
  7. Wybierz pulę bram dla połączenia. Z ustawień domyślnych tworzona jest pula bramy o nazwie "DefaultAll". Możesz wybrać tę opcję lub utworzyć nową pulę bram. Możesz utworzyć nową pulę bramy używając polecenia cmdlet programu PowerShell New-NetworkControllerGatewayPool. To polecenie cmdlet można uruchamiać bezpośrednio na maszynach wirtualnych kontrolera sieci lub uruchamiać je zdalnie przy użyciu poświadczeń.
  8. Wybierz podsieć bramy. Jest to podsieć w sieci wirtualnej, która jest używana specjalnie dla połączeń za pomocą bramy. Adresy IP z tej podsieci będą przydzielane na maszynach wirtualnych bramy sieciowej. Jeśli nie masz skonfigurowanej podsieci bramy, dodaj ją do sieci wirtualnej, a następnie utwórz połączenie bramy. Ta podsieć może być mała, na przykład z prefiksem /30, /29 lub /28.
  9. Podaj wartość maksymalnej dozwolonej przepustowości ruchu przychodzącego (KBPS) i maksymalnej dozwolonej przepustowości ruchu wychodzącego (KBPS). Upewnij się, że podajesz wartość proporcjonalną do całkowitej pojemności bramy. Łączna pojemność jest dostarczana przez Ciebie w ramach wdrożenia bramy. Aby dowiedzieć się więcej na temat pojemności bramy i wpływu na nią przepustowości połączenia protokołu IPsec, zobacz Obliczanie pojemności bramy.
  10. Podaj docelowy adres IP dla połączenia. Jest to publiczny adres IP bramy zdalnej.
  11. Dodaj trasy dla połączenia. Każda trasa musi mieć metrykę trasy i prefiks podsieci docelowej. Wszystkie pakiety kierowane do tych prefiksów podsieci przejdą przez połączenie bramy.
  12. Podaj wspólny tajny element IPsec dla połączenia. To musi być zgodne z typem uwierzytelniania (przedzielany klucz) i wspólnym sekretem skonfigurowanym na zdalnej bramie.
  13. W razie potrzeby podaj ustawienia zaawansowane protokołu IPsec.
  14. Kliknij przycisk Utwórz , aby skonfigurować połączenie.
  15. Na liście Połączenia bramy sprawdź, czy stan konfiguracji połączenia to Powodzenie.

Tworzenie nowego połączenia bramy GRE

Tunele oparte na protokole GRE umożliwiają łączność między sieciami wirtualnymi dzierżawy a sieciami zewnętrznymi. Ponieważ protokół GRE jest lekki, a obsługa protokołu GRE jest dostępna na większości urządzeń sieciowych, jest idealnym wyborem do tunelowania, gdy szyfrowanie danych nie jest wymagane.

Połączenie bramy SDN GRE.

  1. W centrum administracyjnym systemu Windows w obszarze Wszystkie połączenia wybierz system, na którym chcesz utworzyć połączenie bramy.
  2. W obszarze Narzędzia przewiń w dół do Sieci i wybierz Połączenia Bramkowe.
  3. W obszarze Połączenia bramy sieciowej wybierz kartę Inwentarz, a następnie wybierz Nowy.
  4. Pod Utwórz nowe połączenie bramy wprowadź nazwę połączenia.
  5. Wybierz sieć wirtualną, dla której zostanie skonfigurowane połączenie bramy.
  6. Ustaw typ połączenia jako GRE.
  7. Wybierz pulę bramy dla połączenia. Domyślnie tworzona jest pula bramy o nazwie "DefaultAll". Możesz wybrać tę opcję lub utworzyć nową pulę bram. Nową pulę bramy można utworzyć przy użyciu New-NetworkControllerGatewayPool polecenia cmdlet programu PowerShell. To polecenie cmdlet można uruchamiać bezpośrednio na maszynach wirtualnych kontrolera sieci lub uruchamiać je zdalnie przy użyciu poświadczeń.
  8. Wybierz podsieć bramy. Jest to podsieć w sieci wirtualnej, która jest używana specjalnie do połączeń z bramą. Adresy IP z tej podsieci będą przydzielane na maszynach wirtualnych bramy. Jeśli nie masz skonfigurowanej podsieci bramy, dodaj ją do sieci wirtualnej, a następnie utwórz połączenie bramy. Ta podsieć może być mała, na przykład z prefiksem /30, /29 lub /28.
  9. Podaj wartość maksymalnej dozwolonej przepustowości ruchu przychodzącego (KBPS) i maksymalnej dozwolonej przepustowości ruchu wychodzącego (KBPS). Upewnij się, że podajesz wartość proporcjonalną do całkowitej pojemności bramy. Całkowita pojemność jest określana przez Ciebie w ramach wdrożenia bramy sieci. Aby dowiedzieć się więcej na temat pojemności bramy i tego, jak wpływa na nią przepustowość połączenia GRE, zobacz Obliczanie pojemności bramy.
  10. Podaj docelowy adres IP dla połączenia. Jest to publiczny adres IP bramy zdalnej.
  11. Dodaj trasy dla połączenia. Każda trasa musi mieć metrykę trasy i prefiks podsieci docelowej. Wszystkie pakiety przeznaczone do tych prefiksów podsieci przejdą przez połączenie bramy.
  12. Podaj klucz GRE dla połączenia. Musi to być zgodne z kluczem GRE skonfigurowanym w bramie zdalnej.
  13. Kliknij przycisk Utwórz , aby skonfigurować połączenie.
  14. Na liście Połączenia bramy sprawdź, czy stan konfiguracji połączenia to Powodzenie.

Tworzenie połączenia L3

Przekazywanie L3 umożliwia łączność między infrastrukturą fizyczną w centrum danych a sieciami wirtualnymi SDN. Dzięki połączeniu przekazującemu L3 maszyny wirtualne sieci dzierżawczej mogą łączyć się z siecią fizyczną za pośrednictwem bramy SDN. W takim przypadku brama SDN działa jako router między siecią wirtualną SDN a siecią fizyczną.

Połączenie bramy SDN L3.

  1. W centrum administracyjnym systemu Windows w obszarze Wszystkie połączenia wybierz system, na którym chcesz utworzyć połączenie bramy.

  2. W obszarze Narzędzia przewiń w dół do obszaru Siećowanie i wybierz Połączenia bramowe.

  3. W obszarze Połączenia bram wybierz kartę Spis, a następnie wybierz pozycję Nowy.

  4. W obszarze Utwórz nowe połączenie bramy, wprowadź nazwę połączenia.

  5. Wybierz Sieć Wirtualną, dla której zostanie skonfigurowane połączenie bramy.

  6. Ustaw typ połączenia jako L3.

  7. Wybierz pulę bramy dla połączenia. Domyślnie tworzona jest pula bramy o nazwie "DefaultAll". Możesz wybrać tę opcję lub utworzyć nową pulę bram. Pulę bram można również utworzyć przy użyciu New-NetworkControllerGatewayPool polecenia cmdlet programu PowerShell. To polecenie cmdlet można uruchamiać bezpośrednio na maszynach wirtualnych kontrolera sieci lub uruchamiać je zdalnie przy użyciu poświadczeń.

  8. Wybierz podsieć bramy. Jest to podsieć w sieci wirtualnej, która jest używana specjalnie dla połączeń bramy. Adresy IP z tej podsieci będą przypisane na maszynach wirtualnych bramy. Jeśli nie masz skonfigurowanej podsieci bramy, dodaj ją do sieci wirtualnej, a następnie utwórz połączenie bramy. Ta podsieć może być mała, na przykład z prefiksem /30, /29 lub /28.

  9. Podaj wartość maksymalnej dozwolonej przepustowości ruchu przychodzącego (KBPS) i maksymalnej dozwolonej przepustowości ruchu wychodzącego (KBPS). Upewnij się, że podajesz wartość proporcjonalną do całkowitej pojemności bramy. Łączna pojemność jest dostarczana przez Ciebie w ramach wdrożenia bramy. Aby dowiedzieć się więcej na temat pojemności bramy i tego, jak wpływa na nią przepustowość połączenia L3, zobacz Obliczanie pojemności bramy.

    Uwaga

    W przypadku połączeń L3 maksymalna przepustowość ruchu przychodzącego i wychodzącego nie jest wymuszana. Jednak podane wartości są nadal używane do zmniejszenia dostępnej pojemności bramy, aby uniknąć jej nadmiernej lub niedostatecznej aprowizacji.

  10. Dodaj trasy dla połączenia. Każda trasa musi mieć metrykę trasy i prefiks podsieci docelowej. Wszystkie pakiety przeznaczone do tych prefiksów podsieci przejdą przez połączenie bramy.

  11. Wybierz sieć dla sieci logicznej L3. Reprezentuje to sieć fizyczną, która chce komunikować się z siecią wirtualną. Należy skonfigurować tę sieć jako sieć logiczną SDN.

  12. Wybierz pozycję L3 Podsieć logiczna z sieci logicznej L3. Upewnij się, że podsieć ma skonfigurowaną sieć VLAN.

  13. Podaj adres IP dla L3 adresu IP/maski podsieci. Musi należeć do podsieci logicznej L3 podanej powyżej. Ten adres IP jest skonfigurowany w interfejsie bramy SDN. Adres IP musi być podany w formacie CIDR (Classless Inter-Domain Routing).

  14. Podaj adres IP równorzędnego L3. Musi należeć do podsieci logicznej L3 podanej powyżej. Ten adres IP będzie służyć jako następny przeskok, gdy ruch kierowany do sieci fizycznej z sieci wirtualnej osiągnie bramę SDN.

  15. Kliknij przycisk Utwórz , aby skonfigurować połączenie.

  16. Na liście Połączeń Bramy sprawdź, czy stan konfiguracji połączenia to Sukces.

    Uwaga

    Jeśli planujesz wdrożyć połączenia bramy L3 z routingiem BGP, upewnij się, że skonfigurowano ustawienia BGP przełącznika Top of Rack (ToR) następująco:

    • update-source: określa adres źródłowy aktualizacji protokołu BGP, czyli L3 VLAN. Na przykład sieć VLAN 250.
    • ebgp multihop: określa dodatkowe skoki wymagane, ponieważ sąsiad BGP znajduje się więcej niż jeden skok dalej.

Wyświetlanie wszystkich połączeń bramy

Wszystkie połączenia bram sieciowych można łatwo zobaczyć w systemie.

Wyświetl połączenia bramy SDN.

  1. W centrum administracyjnym systemu Windows w obszarze Wszystkie połączenia wybierz system, dla którego chcesz wyświetlić połączenia bramy.

  2. W obszarze Narzędzia przewiń w dół do obszaru Sieciowanie i wybierz Połączenia bram.

  3. Karta Spis po prawej stronie zawiera listę dostępnych połączeń bramy i udostępnia polecenia do zarządzania poszczególnymi połączeniami bramy. Masz następujące możliwości:

    • Wyświetl listę połączeń bramy.
    • Zmień ustawienia połączenia bramy.
    • Usuń połączenie bramy.

Wyświetlanie szczegółów połączenia bramy

Szczegółowe informacje dotyczące określonego połączenia bramy można wyświetlić na dedykowanej stronie.

Wyświetl szczegóły bramy sieci SDN.

  1. W obszarze Narzędzia przewiń w dół i wybierz pozycję Połączenia bramy.

  2. Kliknij kartę Inwentarz po prawej stronie, a następnie wybierz połączenie bramy. Na kolejnej stronie można wykonać następujące czynności:

    • Wyświetl szczegóły połączenia (typ, skojarzona sieć wirtualna, właściwości lub stan połączenia).
    • Brama, na której jest hostowane połączenie.
    • Wizualna reprezentacja połączenia z jednostką zdalną.
    • Wyświetl statystyki połączenia (bajty przychodzące/wychodzące, szybkość transferu danych lub porzucone pakiety).
    • Zmień ustawienia połączenia.

Zmień ustawienia połączenia bramy

Możesz zmienić ustawienia połączenia dla połączeń IPsec, GRE i L3.

Zmień ustawienia połączenia bramy SDN.

  1. W obszarze Narzędzia przewiń w dół i wybierz pozycję Połączenia bramowe.

  2. Kliknij kartę Inwentarz po prawej stronie, wybierz połączenie z bramą, a następnie wybierz pozycję Ustawienia.

  3. W przypadku połączeń IPsec:

    • Na karcie Ogólne można zmienić maksymalną dozwoloną przepustowość ruchu przychodzącego, maksymalną dozwoloną przepustowość ruchu wychodzącego, docelowy adres IP połączenia, dodać/zmienić/zmienić trasy i zmienić klucz wstępny protokołu IPsec.
    • Kliknij pozycję Ustawienia zaawansowane protokołu IPsec, aby zmienić ustawienia zaawansowane.

  4. W przypadku połączeń GRE: na karcie Ogólne można zmienić maksymalną dozwoloną przepustowość ruchu przychodzącego, maksymalną dozwoloną przepustowość wychodzącą, docelowy adres IP połączenia, dodać/zmienić/usunąć trasy i zmienić klucz GRE.

  5. W przypadku połączeń L3: na karcie Ogólne można zmienić maksymalną dozwoloną przepustowość ruchu przychodzącego, maksymalną dozwoloną przepustowość ruchu wychodzącego, dodać/zmienić/usunąć trasy, zmienić sieć logiczną L3, podsieć logiczną L3, adres IP L3 i adres IP elementu równorzędnego L3.

Usuń połączenie bramy

Jeśli połączenie bramy nie jest już potrzebne, możesz usunąć je.

Usuń połączenie bramy SDN.

  1. W obszarze Narzędzia przewiń w dół i wybierz pozycję Połączenia bramy.
  2. Kliknij kartę Spis po prawej stronie, a następnie wybierz połączenie bramy. Kliknij Usuń.
  3. W oknie dialogowym potwierdzenia kliknij przycisk Tak. Kliknij przycisk Odśwież , aby sprawdzić, czy połączenie bramy zostało usunięte.

Następne kroki