Udostępnij za pośrednictwem

Tworzenie połączenia sieci VPN typu lokacja-lokacja — uwierzytelnianie za pomocą klucza współużytkowanego — interfejs wiersza polecenia platformy Azure

  • Artykuł

W tym artykule pokazano, jak za pomocą interfejsu wiersza polecenia platformy Azure utworzyć połączenie bramy sieci VPN typu lokacja-lokacja (S2S) z sieci lokalnej do sieci wirtualnej. Tę konfigurację można również utworzyć przy użyciu innego narzędzia wdrażania, wybierając inną opcję z poniższej listy:

Diagram połączenia międzylokacyjnego usługi VPN Gateway międzylokacyjnej dla interfejsu wiersza polecenia.

Połączenie bramy sieci VPN typu lokacja-lokacja służy do łączenia sieci lokalnej z siecią wirtualną platformy Azure za pośrednictwem tunelu sieci VPN IPsec/IKE (IKEv1 lub IKEv2). Ten typ połączenia wymaga lokalnego urządzenia sieci VPN z przypisanym publicznym adresem IP dostępnym z zewnątrz. Więcej informacji o bramach sieci VPN można znaleźć w artykule Informacje dotyczące bram sieci VPN.

Zanim rozpoczniesz

Przed rozpoczęciem konfiguracji sprawdź, czy środowisko spełnia następujące kryteria:

  • Masz konto platformy Azure z aktywną subskrypcją. Jeśli nie masz konta, możesz je utworzyć teraz za darmo.
  • Jeśli nie znasz zakresów adresów IP znajdujących się w konfiguracji sieci lokalnej, musisz koordynować pracę z osobą, która może podać te szczegóły. Podczas tworzenia tej konfiguracji należy określić prefiksy zakresu adresów IP, które platforma Azure kieruje do lokalizacji lokalnej. Żadna z podsieci sieci lokalnej nie może nakładać się na podsieci sieci wirtualnej, z którymi chcesz nawiązać połączenie.
  • Urządzenia sieci VPN:
    • Upewnij się, że masz zgodne urządzenie sieci VPN i osobę, która może ją skonfigurować. Aby uzyskać więcej informacji na temat zgodnych urządzeń sieci VPN i konfiguracji urządzeń, zobacz About VPN devices (Informacje o urządzeniach sieci VPN).
    • Sprawdź, czy urządzenie sieci VPN obsługuje bramy trybu aktywne-aktywne. W tym artykule jest tworzona brama sieci VPN w trybie aktywny-aktywny, która jest zalecana w przypadku łączności o wysokiej dostępności. Tryb aktywny-aktywny określa, że oba wystąpienia maszyn wirtualnych bramy są aktywne. Ten tryb wymaga dwóch publicznych adresów IP, po jednym dla każdego wystąpienia maszyny wirtualnej bramy. Urządzenie sieci VPN należy skonfigurować tak, aby łączyło się z adresem IP dla każdego wystąpienia maszyny wirtualnej bramy.
      Jeśli urządzenie sieci VPN nie obsługuje tego trybu, nie włączaj tego trybu dla bramy. Aby uzyskać więcej informacji, zobacz Projektowanie łączności o wysokiej dostępności dla połączeń między lokalizacjami i sieciami wirtualnymi oraz Informacje o bramach sieci VPN w trybie aktywny-aktywny.
  • Ten artykuł wymaga wersji 2.0 lub nowszej interfejsu wiersza polecenia platformy Azure. W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.

Nawiązywanie połączenia z subskrypcją

Jeśli zdecydujesz się uruchamiać interfejs wiersza polecenia lokalnie, połącz się z subskrypcją. Jeśli używasz usługi Azure Cloud Shell w przeglądarce, nie musisz łączyć się z subskrypcją. Możesz jednak sprawdzić, czy używasz odpowiedniej subskrypcji po nawiązaniu połączenia.

Zaloguj się do subskrypcji platformy Azure za pomocą polecenia az login i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie. Aby uzyskać więcej informacji na temat logowania się, zobacz artykuł Rozpoczynanie pracy z interfejsem wiersza polecenia platformy Azure.

az login

Jeśli masz więcej niż jedną subskrypcję platformy Azure, wyświetl subskrypcje dla konta.

az account list --all

Określ subskrypcję, której chcesz użyć.

az account set --subscription <replace_with_your_subscription_id>

Tworzenie grupy zasobów

Poniższy przykład obejmuje tworzenie grupy zasobów o nazwie „TestRG1” w lokalizacji „eastus”. Jeśli masz już grupę zasobów w regionie, w którym chcesz utworzyć sieć wirtualną, możesz użyć tej grupy.

az group create --name TestRG1 --location eastus

Tworzenie sieci wirtualnej

Jeśli nie masz jeszcze sieci wirtualnej, utwórz ją przy użyciu polecenia az network vnet create. Podczas tworzenia sieci wirtualnej upewnij się, że określone przestrzenie adresowe nie nakładają się na żadne inne przestrzenie adresowe w obrębie sieci lokalnej.

Uwaga

Aby ta sieć wirtualna łączyła się z lokalizacją lokalną, należy koordynować pracę z administratorem sieci lokalnej w celu wyrzucenia zakresu adresów IP, którego można używać specjalnie dla tej sieci wirtualnej. Jeśli po obu stronach połączenia sieci VPN istnieje powielony zakres adresów, ruch nie będzie przekierowywany w oczekiwany sposób. Ponadto jeśli chcesz połączyć tę sieć wirtualną z inną siecią wirtualną, przestrzeń adresowa nie może nakładać się na inną sieć wirtualną. Dlatego należy odpowiednio zaplanować konfigurację sieci.

Poniższy przykład tworzy sieć wirtualną o nazwie "VNet1" i podsieć "Subnet1".

az network vnet create --name VNet1 --resource-group TestRG1 --address-prefix 10.1.0.0/16 --location eastus --subnet-name Subnet1 --subnet-prefix 10.1.0.0/24

Tworzenie podsieci bramy

Brama sieci wirtualnej używa specyficznej podsieci nazywanej podsiecią bramy. Podsieć bramy jest częścią zakresu adresów IP sieci wirtualnej, który jest wybierany podczas konfigurowania sieci wirtualnej. Zawiera ona adresy IP używane przez zasoby i usługi bramy sieci wirtualnej. Aby platforma Azure wdrożyła zasoby bramy, podsieć musi mieć nazwę „GatewaySubnet”. Nie można określić innej podsieci w celu wdrożenia w niej zasobów bramy. Jeśli nie będziesz mieć podsieci o nazwie „GatewaySubnet”, tworzenie bramy sieci VPN nie powiedzie się.

Podczas tworzenia podsieci bramy należy określić liczbę zawartych w niej adresów IP. Liczba potrzebnych adresów IP zależy od konfiguracji bramy sieci VPN, którą chce się utworzyć. Niektóre konfiguracje wymagają większej liczby adresów IP niż inne. Zalecamy utworzenie podsieci bramy korzystającej z maski /27 lub /28.

Jeśli zobaczysz błąd z informacją o tym, że przestrzeń adresowa nakłada się z podsiecią lub że podsieć nie zawiera się w przestrzeni adresowej sieci wirtualnej, sprawdź zakres adresów sieci wirtualnej. Możliwe, że w zakresie adresów utworzonym dla sieci wirtualnej nie masz wystarczającej liczby adresów IP. Na przykład jeśli podsieć domyślna obejmuje cały zakres adresów, nie ma już adresów IP do utworzenia dodatkowych podsieci. Możesz albo dostosować swoje podsieci w obrębie istniejącej przestrzeni adresowej w celu zwolnienia adresów IP, albo określić dodatkowy zakres adresów i w nim utworzyć podsieć bramy.

Użyj polecenia az network vnet subnet create, aby utworzyć podsieć bramy.

az network vnet subnet create --address-prefix 10.1.255.0/27 --name GatewaySubnet --resource-group TestRG1 --vnet-name VNet1

Ważne

Sieciowe grupy zabezpieczeń w podsieci bramy nie są obsługiwane. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci wirtualnej (vpn i bramy usługi ExpressRoute) przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz What is a Network Security Group? (Co to jest sieciowa grupa zabezpieczeń?)

Tworzenie bramy sieci lokalnej

Brama sieci lokalnej zazwyczaj odwołuje się do lokalizacji lokalnej. Nadaj lokacji nazwę, za pomocą której platforma Azure może się do niej odwoływać, a następnie określ adres IP lokalnego urządzenia sieci VPN, do którego utworzysz połączenie. Określ również prefiksy adresów IP, które będą kierowane za pośrednictwem bramy sieci VPN do urządzenia sieci VPN. Określone prefiksy adresów są prefiksami znajdującymi się w Twojej sieci lokalnej. W przypadku zmian w sieci lokalnej prefiksy można łatwo zaktualizować.

Użyj następujących wartości:

  • --gateway-ip-address to adres IP lokalnego urządzenia sieci VPN.
  • --local-address-prefixes to Twoje lokalne przestrzenie adresowe.

Użyj polecenia az network local-gateway create, aby dodać bramę sieci lokalnej z wieloma prefiksami adresów:

az network local-gateway create --gateway-ip-address 203.0.133.8 --name Site1 --resource-group TestRG1 --local-address-prefixes 192.168.1.0/24 192.168.3.0/24

Przesłanie żądania dotyczącego publicznego adresu IP

Brama sieci VPN musi mieć publiczny adres IP. Jeśli chcesz utworzyć bramę aktywne-aktywne (zalecane), musisz zażądać dwóch publicznych adresów IP. Aby uzyskać więcej informacji na temat konfiguracji bramy aktywne-aktywne, zobacz Najpierw zażądasz zasobu adresu IP, a następnie zapoznaj się z nim podczas tworzenia bramy sieci wirtualnej. Adres IP jest przypisywany do zasobu podczas tworzenia bramy sieci VPN. Jedyną zmianą publicznego adresu IP jest usunięcie i ponowne utworzenie bramy. Nie zmienia się on w przypadku zmiany rozmiaru, zresetowania ani przeprowadzania innych wewnętrznych czynności konserwacyjnych bądź uaktualnień bramy sieci VPN. Jeśli chcesz utworzyć bramę sieci VPN przy użyciu jednostki SKU bramy Podstawowej, zażądaj publicznego adresu IP z następującymi wartościami --allocation-method Dynamic --sku Basic.

Użyj polecenia az network public-ip create, aby zażądać publicznego adresu IP.

az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Aby utworzyć bramę aktywne-aktywne (zalecane), zażądaj drugiego publicznego adresu IP:

az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Tworzenie bramy sieci VPN

Utwórz bramę sieci VPN sieci wirtualnej. Tworzenie bramy często może trwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy.

Użyj następujących wartości:

  • Typ --gateway-dla konfiguracji lokacja-lokacja to Vpn. Typ bramy jest zawsze specyficzny dla wdrażanych konfiguracji. Aby uzyskać więcej informacji, zobacz Gateway types (Typy bram).
  • Parametr --vpn-type to RouteBased.
  • Wybierz jednostkę SKU bramy, która ma być używana. Dla niektórych jednostek SKU istnieją ograniczenia konfiguracji. Aby uzyskać więcej informacji, zobacz Gateway SKUs (Jednostki SKU bramy).

Utwórz bramę sieci VPN za pomocą polecenia az network vnet-gateway create. Jeśli to polecenie zostanie uruchomione z parametrem „--no-wait”, nie będą widoczne żadne informacje zwrotne ani dane wyjściowe. Ten parametr umożliwia utworzenie bramy w tle. Utworzenie bramy w zależności od jednostki SKU trwa co najmniej 45 minut.

Brama w trybie aktywny-aktywny

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Brama trybu wstrzymania aktywnego

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Konfiguracja urządzenia sieci VPN

Połączenia typu lokacja-lokacja z siecią lokalną wymagają urządzenia sieci VPN. W tym kroku konfigurowane jest urządzenie sieci VPN. Podczas konfigurowania urządzenia sieci VPN potrzebne są następujące wartości:

  • Klucz współużytkowany: ten klucz współużytkowany jest taki sam, który określa się podczas tworzenia połączenia sieci VPN typu lokacja-lokacja. W naszych przykładach używamy prostego klucza wspólnego. Zalecamy, aby do użycia wygenerować bardziej złożony klucz.

  • Publiczne adresy IP wystąpień bramy sieci wirtualnej: uzyskaj adres IP dla każdego wystąpienia maszyny wirtualnej. Jeśli brama jest w trybie aktywny-aktywny, będziesz mieć adres IP dla każdego wystąpienia maszyny wirtualnej bramy. Pamiętaj, aby skonfigurować urządzenie przy użyciu obu adresów IP, po jednym dla każdej aktywnej maszyny wirtualnej bramy. Bramy trybu wstrzymania aktywnego mają tylko jeden adres IP.

    Uwaga

    W przypadku połączeń typu lokacja-lokacja z bramą sieci VPN w trybie aktywny-aktywny upewnij się, że tunele są ustanawiane dla każdego wystąpienia maszyny wirtualnej bramy. Jeśli ustanowić tunel tylko do jednego wystąpienia maszyny wirtualnej bramy, połączenie spadnie podczas konserwacji. Jeśli urządzenie sieci VPN nie obsługuje tej konfiguracji, skonfiguruj bramę pod kątem trybu wstrzymania aktywnego.

    Aby znaleźć publiczny adres IP swojej bramy sieci wirtualnej, użyj polecenia az network public-ip list. W celu poprawienia czytelności dane wyjściowe są sformatowane do wyświetlania listy publicznych adresów IP w formacie tabeli.

    az network public-ip list --resource-group TestRG1 --output table

W zależności od posiadanego urządzenia sieci VPN może być możliwe pobranie skryptu konfiguracji urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Pobieranie skryptów konfiguracji urządzenia sieci VPN.

Poniższe linki zawierają więcej informacji o konfiguracji:

  • Aby uzyskać informacje o zgodnych urządzeniach sieci VPN, zobacz About VPN devices (Informacje o urządzeniach sieci VPN).

  • Przed skonfigurowaniem urządzenia sieci VPN sprawdź, czy nie występują znane problemy ze zgodnością urządzeń.

  • Aby uzyskać linki do ustawień konfiguracji urządzenia, zobacz Zweryfikowane urządzenia sieci VPN. Udostępniamy linki do konfiguracji urządzeń w oparciu o najlepsze rozwiązanie, ale zawsze najlepiej jest sprawdzić u producenta urządzenia najnowsze informacje o konfiguracji.

    Lista zawiera przetestowane wersje. Jeśli wersja systemu operacyjnego dla urządzenia sieci VPN nie znajduje się na liście, nadal może być zgodna. Sprawdź producenta urządzenia.

  • Aby uzyskać podstawowe informacje na temat konfiguracji urządzenia sieci VPN, zobacz Omówienie konfiguracji urządzeń sieci VPN partnera.

  • Aby uzyskać informacje na temat edytowania przykładów konfiguracji urządzeń, zobacz Edytowanie przykładów.

  • Aby poznać wymagania w zakresie usług kryptograficznych, zobacz artykuł About cryptographic requirements and Azure VPN gateways (Informacje dotyczące wymagań w zakresie usług kryptograficznych oraz bram VPN platformy Azure).

  • Aby uzyskać informacje o parametrach potrzebnych do ukończenia konfiguracji, zobacz Domyślne parametry protokołu IPsec/IKE. Informacje obejmują wersję protokołu IKE, grupę Diffie-Hellman (DH), metodę uwierzytelniania, algorytmy szyfrowania i skrótu, okres istnienia skojarzenia zabezpieczeń (SA), doskonałą tajemnicę przesyłania dalej (PFS) i wykrywanie utraconych elementów równorzędnych (DPD).

  • Aby uzyskać instrukcje konfiguracji zasad protokołu IPsec/IKE, zobacz Konfigurowanie niestandardowych zasad połączeń protokołu IPsec/IKE dla sieci VPN S2S i między sieciami wirtualnymi.

  • Aby połączyć wiele urządzeń sieci VPN opartych na zasadach, zobacz Łączenie bramy sieci VPN z wieloma lokalnymi urządzeniami sieci VPN opartymi na zasadach.

Tworzenie połączenia sieci VPN

Utwórz połączenie sieci VPN typu lokacja-lokacja między bramą sieci wirtualnej a lokalnym urządzeniem sieci VPN. Zwróć szczególną uwagę na wartość udostępnionego klucza, która musi być zgodna ze skonfigurowaną wartością klucza współużytkowanego dla Twojego urządzenia sieci VPN.

Utwórz połączenie za pomocą polecenia az network vpn-connection create. Utwórz dodatkowe połączenia, jeśli tworzysz konfigurację bramy o wysokiej dostępności, taką jak tryb aktywny-aktywny.

az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1

Po chwili zostanie nawiązane połączenie.

Sprawdzanie połączenia sieci VPN

Możesz sprawdzić, czy połączenie powiodło się, używając polecenia az network vpn-connection show. W przykładzie "--name" odnosi się do nazwy połączenia, które chcesz przetestować. Gdy proces nawiązywania połączenia trwa, jego stan połączenia to „Łączenie”. Gdy połączenie zostanie nawiązane, jego stan zmienia się na „Połączone”. Zmodyfikuj poniższy przykład przy użyciu wartości środowiska.

az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>

Jeśli chcesz użyć innej metody, aby sprawdzić swoje połączenie, zobacz Weryfikowanie połączenia bramy sieci VPN.

Typowe zadania

Ta sekcja zawiera typowe polecenia, które są przydatne przy pracy z konfiguracjami lokacja-lokacja. Aby uzyskać pełną listę poleceń sieciowych interfejsu wiersza polecenia, zobacz Interfejs wiersza polecenia platformy Azure — sieć.

Aby wyświetlić bramy sieci lokalnej

Aby wyświetlić listę bram sieci lokalnej, użyj polecenia az network local-gateway list.

az network local-gateway list --resource-group TestRG1

Aby zmodyfikować prefiksy adresów IP bramy sieci lokalnej — brak połączenia bramy

Jeśli nie masz połączenia bramy i chcesz dodać lub usunąć prefiksy adresów IP, możesz użyć tego samego polecenia, za pomocą którego utworzono bramę sieci lokalnej: az network local-gateway create. To polecenie umożliwia również zaktualizowanie adresu IP bramy dla urządzenia sieci VPN. W celu zastąpienia bieżących ustawień użyj istniejącej nazwy bramy sieci lokalnej. Jeśli użyjesz innej nazwy, utworzysz nową bramę sieci lokalnej, a nie zastąpisz istniejącej.

Po wprowadzeniu każdej zmiany należy określić całą listę prefiksów, a nie tylko prefiksy, które chcesz zmienić. Określ tylko prefiksy, które chcesz zachować. W tym przypadku są to prefiksy 10.0.0.0/24 i 20.0.0.0/24

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 20.0.0.0/24

Aby zmodyfikować prefiksy adresów IP bramy sieci lokalnej — istniejące połączenie bramy

Jeśli masz połączenie bramy i chcesz dodać lub usunąć prefiksy adresów IP, możesz zaktualizować prefiksy przy użyciu polecenia az network local-gateway update. Spowoduje to pewien przestój połączenia sieci VPN. W przypadku modyfikowania prefiksów adresów IP nie musisz usuwać bramy sieci VPN.

Po wprowadzeniu każdej zmiany należy określić całą listę prefiksów, a nie tylko prefiksy, które chcesz zmienić. W tym przykładzie już istnieją prefiksy 10.0.0.0/24 i 20.0.0.0/24. Dodano prefiksy 30.0.0.0/24 i 40.0.0.0/24 oraz określono wszystkie 4 prefiksy podczas aktualizowania.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 20.0.0.0/24 30.0.0.0/24 40.0.0.0/24 --name VNet1toSite2 -g TestRG1

Aby zmodyfikować element „gatewayIpAddress” bramy sieci lokalnej

W przypadku zmiany publicznego adresu IP urządzenia sieci VPN, z którym chcesz nawiązać połączenie, musisz zmodyfikować bramę sieci lokalnej w celu odzwierciedlenia tej zmiany. Adres IP bramy można zmienić bez usuwania istniejącego połączenia bramy sieci VPN (jeśli istnieje). Aby zmodyfikować adres IP bramy, zamień wartości „Site2” i „TestRG1” na własne wartości za pomocą polecenia az network local-gateway update.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

Sprawdź, czy adres IP w danych wyjściowych jest poprawny:

"gatewayIpAddress": "23.99.222.170",

Aby sprawdzić wartości klucza współużytkowanego

Sprawdź, czy wartość klucza współużytkowanego jest taka sama jak wartość użyta do konfiguracji urządzenia sieci VPN. Jeśli nie, ponownie uruchom połączenie przy użyciu wartości z urządzenia lub zaktualizuj urządzenie wartością ze zwracanych danych. Wartości muszą być zgodne. Aby wyświetlić klucz współużytkowany, użyj polecenia az network vpn-connection-list.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

Aby wyświetlić publiczny adres IP bramy sieci VPN

Aby znaleźć publiczny adres IP swojej bramy sieci wirtualnej, użyj polecenia az network public-ip list. W celu poprawienia czytelności dane wyjściowe tego polecenia zostały sformatowane do wyświetlania listy publicznych adresów IP w formacie tabeli.

az network public-ip list --resource-group TestRG1 --output table

Następne kroki