Tworzenie połączenia sieci VPN typu lokacja-lokacja — interfejs wiersza polecenia platformy Azure

W tym artykule pokazano, jak za pomocą interfejsu wiersza polecenia platformy Azure utworzyć połączenie bramy sieci VPN typu lokacja-lokacja (S2S) z sieci lokalnej do sieci wirtualnej.

Połączenie bramy sieci VPN typu lokacja-lokacja służy do łączenia sieci lokalnej z siecią wirtualną platformy Azure za pośrednictwem tunelu sieci VPN IPsec/IKE (IKEv1 lub IKEv2). Ten typ połączenia wymaga lokalnego urządzenia sieci VPN z przypisanym publicznym adresem IP dostępnym z zewnątrz. Kroki opisane w tym artykule umożliwiają utworzenie połączenia między bramą sieci VPN i lokalnym urządzeniem sieci VPN przy użyciu klucza współużytkowanego. Więcej informacji o bramach sieci VPN można znaleźć w artykule Informacje dotyczące bram sieci VPN.

Zanim rozpoczniesz

Przed rozpoczęciem konfiguracji sprawdź, czy środowisko spełnia następujące kryteria:

• Sprawdź, czy masz działającą bramę sieci VPN opartą na trasach. Aby utworzyć bramę sieci VPN, zobacz Tworzenie bramy sieci VPN.

• Jeśli nie znasz zakresów adresów IP znajdujących się w konfiguracji sieci lokalnej, musisz koordynować pracę z osobą, która może podać te szczegóły. Podczas tworzenia tej konfiguracji należy określić prefiksy zakresu adresów IP, które platforma Azure kieruje do lokalizacji lokalnej. Żadna z podsieci sieci lokalnej nie może nakładać się na podsieci sieci wirtualnej, z którymi chcesz nawiązać połączenie.

• Urządzenia sieci VPN:

  • Upewnij się, że masz zgodne urządzenie sieci VPN i osobę, która może ją skonfigurować. Aby uzyskać więcej informacji na temat zgodnych urządzeń sieci VPN i konfiguracji urządzeń, zobacz About VPN devices (Informacje o urządzeniach sieci VPN).
  • Ustal, czy urządzenie sieci VPN obsługuje bramy w trybie aktywny-aktywny. W tym artykule jest tworzona brama sieci VPN w trybie aktywny-aktywny, która jest zalecana w przypadku łączności o wysokiej dostępności. Tryb aktywny-aktywny określa, że oba wystąpienia maszyn wirtualnych bramy są aktywne. Ten tryb wymaga dwóch publicznych adresów IP, po jednym dla każdego wystąpienia maszyny wirtualnej bramy. Urządzenie sieci VPN należy skonfigurować tak, aby łączyło się z adresem IP dla każdego wystąpienia maszyny wirtualnej bramy.
    Jeśli urządzenie sieci VPN nie obsługuje tego trybu, nie włączaj tego trybu dla bramy. Aby uzyskać więcej informacji, zobacz Projektowanie łączności o wysokiej dostępności dla połączeń między lokalizacjami i sieciami wirtualnymi oraz Informacje o bramach sieci VPN w trybie aktywny-aktywny.

• Ten artykuł wymaga wersji 2.0 lub nowszej interfejsu wiersza polecenia platformy Azure.

  • Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.

    

  • Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.

    • Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.

    • Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.

    • Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.

Tworzenie bramy sieci lokalnej

Brama sieci lokalnej zazwyczaj odwołuje się do lokalizacji lokalnej. Nadaj lokacji nazwę, za pomocą której platforma Azure może się do niej odwoływać, a następnie określ adres IP lokalnego urządzenia sieci VPN, do którego utworzysz połączenie. Określ również prefiksy adresów IP, które będą kierowane za pośrednictwem bramy sieci VPN do urządzenia sieci VPN. Określone prefiksy adresów są prefiksami znajdującymi się w Twojej sieci lokalnej. W przypadku zmian w sieci lokalnej prefiksy można łatwo zaktualizować.

Użyj następujących wartości:

• --gateway-ip-address to adres IP lokalnego urządzenia sieci VPN.
• --local-address-prefixes to Twoje lokalne przestrzenie adresowe.

Użyj polecenia az network local-gateway create, aby dodać bramę sieci lokalnej. W poniższym przykładzie przedstawiono bramę sieci lokalnej z wieloma prefiksami adresów. Przedstawione wartości zastąp własnymi.

az network local-gateway create --gateway-ip-address [IP address of your on-premises VPN device] --name Site1 --resource-group TestRG1 --local-address-prefixes 10.3.0.0/16 10.0.0.0/24

Konfiguracja urządzenia sieci VPN

Połączenia typu lokacja-lokacja z siecią lokalną wymagają urządzenia sieci VPN. W tym kroku konfigurowane jest urządzenie sieci VPN. Podczas konfigurowania urządzenia sieci VPN potrzebne są następujące wartości:

• Klucz współużytkowany: ten klucz współużytkowany jest taki sam, który określa się podczas tworzenia połączenia sieci VPN typu lokacja-lokacja. W naszych przykładach używamy prostego klucza wspólnego. Zalecamy, aby do użycia wygenerować bardziej złożony klucz.

• Publiczne adresy IP wystąpień bramy sieci wirtualnej: uzyskaj adres IP dla każdego wystąpienia maszyny wirtualnej. Jeśli brama jest w trybie aktywny-aktywny, będziesz mieć adres IP dla każdego wystąpienia maszyny wirtualnej bramy. Pamiętaj, aby skonfigurować urządzenie przy użyciu obu adresów IP, po jednym dla każdej aktywnej maszyny wirtualnej bramy. Bramy trybu wstrzymania aktywnego mają tylko jeden adres IP.

  Aby znaleźć publiczny adres IP swojej bramy sieci wirtualnej, użyj polecenia az network public-ip list. W celu poprawienia czytelności dane wyjściowe są sformatowane do wyświetlania listy publicznych adresów IP w formacie tabeli. W tym przykładzie VNet1GWpip1 jest nazwą zasobu publicznego adresu IP.

  az network public-ip list --resource-group TestRG1 --output table
  

W zależności od posiadanego urządzenia sieci VPN może być możliwe pobranie skryptu konfiguracji urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Pobieranie skryptów konfiguracji urządzenia sieci VPN.

Poniższe linki zawierają więcej informacji o konfiguracji:

• Aby uzyskać informacje o zgodnych urządzeniach sieci VPN, zobacz About VPN devices (Informacje o urządzeniach sieci VPN).

• Przed skonfigurowaniem urządzenia sieci VPN sprawdź, czy nie występują znane problemy ze zgodnością urządzeń.

• Aby uzyskać linki do ustawień konfiguracji urządzenia, zobacz Zweryfikowane urządzenia sieci VPN. Udostępniamy linki do konfiguracji urządzeń w oparciu o najlepsze rozwiązanie, ale zawsze najlepiej jest sprawdzić u producenta urządzenia najnowsze informacje o konfiguracji.

  Lista zawiera przetestowane wersje. Jeśli wersja systemu operacyjnego dla urządzenia sieci VPN nie znajduje się na liście, nadal może być zgodna. Sprawdź producenta urządzenia.

• Aby uzyskać podstawowe informacje na temat konfiguracji urządzenia sieci VPN, zobacz Omówienie konfiguracji urządzeń sieci VPN partnera.

• Aby uzyskać informacje na temat edytowania przykładów konfiguracji urządzeń, zobacz Edytowanie przykładów.

• Aby poznać wymagania w zakresie usług kryptograficznych, zobacz artykuł About cryptographic requirements and Azure VPN gateways (Informacje dotyczące wymagań w zakresie usług kryptograficznych oraz bram VPN platformy Azure).

• Aby uzyskać informacje o parametrach potrzebnych do ukończenia konfiguracji, zobacz Domyślne parametry protokołu IPsec/IKE. Informacje obejmują wersję protokołu IKE, grupę Diffie-Hellman (DH), metodę uwierzytelniania, algorytmy szyfrowania i skrótu, okres istnienia skojarzenia zabezpieczeń (SA), doskonałą tajemnicę przesyłania dalej (PFS) i wykrywanie utraconych elementów równorzędnych (DPD).

• Aby uzyskać instrukcje konfiguracji zasad protokołu IPsec/IKE, zobacz Konfigurowanie niestandardowych zasad połączeń protokołu IPsec/IKE dla sieci VPN S2S i między sieciami wirtualnymi.

• Aby połączyć wiele urządzeń sieci VPN opartych na zasadach, zobacz Łączenie bramy sieci VPN z wieloma lokalnymi urządzeniami sieci VPN opartymi na zasadach.

Tworzenie połączenia sieci VPN

Utwórz połączenie sieci VPN typu lokacja-lokacja między bramą sieci wirtualnej a lokalnym urządzeniem sieci VPN. Jeśli używasz bramy trybu aktywne-aktywne (zalecane), każde wystąpienie maszyny wirtualnej bramy ma oddzielny adres IP. Aby prawidłowo skonfigurować łączność o wysokiej dostępności, należy ustanowić tunel między każdym wystąpieniem maszyny wirtualnej a urządzeniem sieci VPN. Oba tunele są częścią tego samego połączenia.

Utwórz połączenie za pomocą polecenia az network vpn-connection create. Klucz wspólny musi odpowiadać wartości użytej podczas konfiguracji urządzenia sieci VPN.

az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1

Po chwili zostanie nawiązane połączenie.

Sprawdzanie połączenia sieci VPN

Możesz sprawdzić, czy połączenie powiodło się, używając polecenia az network vpn-connection show. W przykładzie "--name" odnosi się do nazwy połączenia, które chcesz przetestować. Gdy proces nawiązywania połączenia trwa, jego stan połączenia to „Łączenie”. Gdy połączenie zostanie nawiązane, jego stan zmienia się na „Połączone”. Zmodyfikuj poniższy przykład przy użyciu wartości środowiska.

az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>

Jeśli chcesz użyć innej metody, aby sprawdzić swoje połączenie, zobacz Weryfikowanie połączenia bramy sieci VPN.

Typowe zadania

Ta sekcja zawiera typowe polecenia, które są przydatne przy pracy z konfiguracjami lokacja-lokacja. Aby uzyskać pełną listę poleceń sieciowych interfejsu wiersza polecenia, zobacz Interfejs wiersza polecenia platformy Azure — sieć.

Aby wyświetlić bramy sieci lokalnej

Aby wyświetlić listę bram sieci lokalnej, użyj polecenia az network local-gateway list.

az network local-gateway list --resource-group TestRG1

Aby zmodyfikować prefiksy adresów IP bramy sieci lokalnej — brak połączenia bramy

Jeśli chcesz dodać lub usunąć prefiksy adresów IP, a brama nie ma jeszcze połączenia, możesz zaktualizować prefiksy za pomocą polecenia az network local-gateway create. W celu zastąpienia bieżących ustawień użyj istniejącej nazwy bramy sieci lokalnej. Jeśli użyjesz innej nazwy, utworzysz nową bramę sieci lokalnej, a nie zastąpisz istniejącej. To polecenie umożliwia również zaktualizowanie adresu IP bramy dla urządzenia sieci VPN.

Po wprowadzeniu każdej zmiany należy określić całą listę prefiksów, a nie tylko prefiksy, które chcesz zmienić. Określ tylko prefiksy, które chcesz zachować. W tym przypadku 10.0.0.0/24 i 10.3.0.0/16

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 10.3.0.0/16

Aby zmodyfikować prefiksy adresów IP bramy sieci lokalnej — istniejące połączenie bramy

Jeśli masz połączenie bramy i chcesz dodać lub usunąć prefiksy adresów IP, możesz zaktualizować prefiksy przy użyciu polecenia az network local-gateway update. Spowoduje to pewien przestój połączenia sieci VPN.

Po wprowadzeniu każdej zmiany należy określić całą listę prefiksów, a nie tylko prefiksy, które chcesz zmienić. W tym przykładzie 10.0.0.0/24 i 10.3.0.0/16 już istnieją. Dodamy prefiksy 10.5.0.0/16 i 10.6.0.0/16 i określają wszystkie 4 prefiksy podczas aktualizowania.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 10.3.0.0/16 10.5.0.0/16 10.6.0.0/16 --name VNet1toSite2 -g TestRG1

Aby zmodyfikować element „gatewayIpAddress” bramy sieci lokalnej

Jeśli zmienisz publiczny adres IP urządzenia sieci VPN, musisz zmodyfikować bramę sieci lokalnej przy użyciu zaktualizowanego adresu IP. Podczas modyfikowania bramy należy określić istniejącą nazwę bramy sieci lokalnej. Jeśli używasz innej nazwy, zamiast zastępować istniejące informacje o bramie, należy utworzyć nową bramę sieci lokalnej.

Aby zmodyfikować adres IP bramy, zamień wartości „Site2” i „TestRG1” na własne wartości za pomocą polecenia az network local-gateway update.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

Sprawdź, czy adres IP w danych wyjściowych jest poprawny:

"gatewayIpAddress": "23.99.222.170",

Aby sprawdzić wartości klucza współużytkowanego

Sprawdź, czy wartość klucza współużytkowanego jest taka sama jak wartość użyta do konfiguracji urządzenia sieci VPN. Jeśli tak nie jest, uruchom ponownie połączenie przy użyciu wartości z urządzenia lub zaktualizuj urządzenie przy użyciu wartości zwróconej. Wartości muszą być zgodne. Aby wyświetlić klucz współużytkowany, użyj polecenia az network vpn-connection-list.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

Aby wyświetlić publiczny adres IP bramy sieci VPN

Aby znaleźć publiczny adres IP swojej bramy sieci wirtualnej, użyj polecenia az network public-ip list. W celu poprawienia czytelności dane wyjściowe tego polecenia zostały sformatowane do wyświetlania listy publicznych adresów IP w formacie tabeli.

az network public-ip list --resource-group TestRG1 --output table

Następne kroki

• Aby uzyskać informacje na temat protokołu BGP, zobacz Omówienie protokołu BGP i Jak skonfigurować protokół BGP.
• Aby uzyskać informacje o wymuszonym tunelowaniu, zobacz Informacje o wymuszonym tunelowaniu.
• Aby uzyskać informacje o połączeniach o wysokiej dostępności aktywne-aktywne, zobacz połączenia między lokalizacjami o wysokiej dostępności i połączenia między sieciami wirtualnymi.
• Aby zapoznać się z listą poleceń interfejsu wiersza polecenia platformy Azure dotyczących sieci, zobacz Interfejs wiersza polecenia platformy Azure.
• Aby uzyskać informacje na temat tworzenia połączenia sieci VPN typu lokacja-lokacja przy użyciu szablonu usługi Azure Resource Manager, zobacz Tworzenie połączenia sieci VPN typu lokacja-lokacja.
• Aby uzyskać informacje na temat tworzenia połączenia sieci VPN między sieciami wirtualnymi przy użyciu szablonu usługi Azure Resource Manager, zobacz Wdrażanie replikacji geograficznej bazy danych HBase.