Planowanie i implementowanie wirtualnej sieci rozległej, w tym zabezpieczonego koncentratora wirtualnego

  • 7 min

Usługa Virtual WAN łączy się z zasobami na platformie Azure za pośrednictwem połączenia sieci VPN IPsec/IKE (IKEv1 i IKEv2). Ten typ połączenia wymaga lokalnego urządzenia sieci VPN z przypisanym publicznym adresem IP dostępnym z zewnątrz.

Diagram przedstawiający połączenie sieciowe między lokacjami w całej lokacji.

Wymagania wstępne

  • Sprawdź, czy masz subskrypcję platformy Azure. Jeśli nie masz jeszcze subskrypcji platformy Azure, możesz aktywować korzyści dla subskrybentów MSDN lub utworzyć bezpłatne konto.

  • Zdecyduj zakres adresów IP, którego chcesz użyć dla prywatnej przestrzeni adresowej koncentratora wirtualnego. Te informacje są używane podczas konfigurowania koncentratora wirtualnego. Koncentrator wirtualny to sieć wirtualna utworzona i używana przez usługę Virtual WAN. Jest to rdzeń sieci usługi Virtual WAN w regionie. Zakres przestrzeni adresowej musi być zgodny z określonymi regułami.

    • Zakres adresów określony dla centrum nie może nakładać się na żadną z istniejących sieci wirtualnych, z którymi nawiązujesz połączenie.
    • Zakres adresów nie może nakładać się na lokalne zakresy adresów, z którymi nawiązujesz połączenie.
    • Jeśli nie znasz zakresów adresów IP znajdujących się w konfiguracji sieci lokalnej, koordynuj się z osobą, która może podać te szczegóły.

Witryna Azure Portal lub program Azure PowerShell

Możesz użyć witryny Azure Portal lub poleceń cmdlet programu Azure PowerShell, aby utworzyć połączenie lokacja-lokacja z usługą Azure Virtual WAN. Usługa Cloud Shell to bezpłatna interaktywna powłoka zawierająca wstępnie zainstalowane i skonfigurowane narzędzia platformy Azure do użycia z kontem.

Aby otworzyć usługę Cloud Shell, wybierz pozycję Otwórz usługę Cloud Shell w prawym górnym rogu bloku kodu. Możesz również otworzyć usługę Cloud Shell na osobnej karcie przeglądarki, przechodząc do strony https://shell.azure.com/powershell. Wybierz pozycję Kopiuj , aby skopiować bloki kodu, wklej je w usłudze Cloud Shell, a następnie wybierz Enter, aby je uruchomić.

Możesz również zainstalować i uruchomić polecenia cmdlet programu Azure PowerShell lokalnie na komputerze. Polecenia cmdlet programu PowerShell są często aktualizowane. Jeśli nie zainstalowano najnowszej wersji, wartości określone w instrukcjach mogą zakończyć się niepowodzeniem. Aby znaleźć wersje programu Azure PowerShell zainstalowane na komputerze, użyj polecenia Get-Module -ListAvailable Az cmdlet.

Zaloguj

Jeśli używasz usługi Azure Cloud Shell , nastąpi automatyczne przekierowanie do logowania się do konta po otwarciu usługi Cloud Shell. Nie trzeba uruchamiać polecenia Connect-AzAccount. Po zalogowaniu nadal możesz zmienić subskrypcje, jeśli to konieczne, używając poleceń Get-AzSubscriptioni Select-AzSubscription.

Jeśli korzystasz z programu PowerShell lokalnie, otwórz konsolę programu PowerShell z podwyższonym poziomem uprawnień i połącz się z kontem platformy Azure. Polecenie cmdlet Connect-AzAccount wyświetli monit o podanie poświadczeń. Po uwierzytelnieniu pobiera ustawienia konta, aby były dostępne dla programu Azure PowerShell. Subskrypcję można zmienić przy użyciu narzędzi Get-AzSubscriptioni Select-AzSubscription -SubscriptionName "Name of subscription".

Tworzenie wirtualnej sieci WAN

Przed utworzeniem wirtualnej sieci wan należy utworzyć grupę zasobów do hostowania wirtualnej sieci Wan lub użyć istniejącej grupy zasobów. Użyj jednego z poniższych przykładów.

W tym przykładzie zostanie utworzona nowa grupa zasobów o nazwie TestRG w lokalizacji Wschodnie stany USA. Jeśli zamiast tego chcesz użyć istniejącej grupy zasobów, możesz zmodyfikować $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup"polecenie, a następnie wykonać kroki opisane w tym ćwiczeniu przy użyciu własnych wartości.

  1. Utwórz grupę zasobów.

    New-AzResourceGroup -Location "East US" -Name "TestRG"

  2. Utwórz wirtualną sieć wan przy użyciu polecenia cmdlet New-AzVirtualWan.

    $virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"

Tworzenie centrum i konfigurowanie ustawień centrum

Koncentrator to sieć wirtualna, która może zawierać bramy dla funkcji lokacja-lokacja, ExpressRoute lub punkt-lokacja. Utwórz koncentrator wirtualny za pomocą polecenia New-AzVirtualHub. W tym przykładzie tworzony jest domyślny koncentrator wirtualny o nazwie Hub1 z określonym prefiksem adresu i lokalizacją centrum.

$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"

Tworzenie bramy sieci VPN typu lokacja-lokacja

W tej sekcji utworzysz bramę sieci VPN typu lokacja-lokacja w tej samej lokalizacji, w której znajduje się odwołanie do koncentratora wirtualnego. Podczas tworzenia bramy sieci VPN należy określić żądane jednostki skalowania. Utworzenie bramy trwa około 30 minut.

  1. Jeśli usługa Azure Cloud Shell została zamknięta lub upłynął limit czasu połączenia, może być konieczne ponowne zadeklarowanie zmiennej dla $virtualHub.

    $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"

  2. Utwórz bramę sieci VPN przy użyciu polecenia cmdlet New-AzVpnGateway.

    New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2

  3. Po utworzeniu bramy sieci VPN możesz ją wyświetlić, korzystając z poniższego przykładu.

    Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"

Tworzenie lokacji i połączeń

W tej sekcji utworzysz lokacje, które odpowiadają lokalizacjom fizycznym i połączeniom. Te lokacje zawierają lokalne punkty końcowe urządzeń sieci VPN. W wirtualnej sieci WAN można utworzyć maksymalnie 1000 lokacji na koncentrator wirtualny. Jeśli masz wiele centrów, możesz utworzyć 1000 na każde z tych centrów.

  1. Ustaw zmienną dla bramy sieci VPN i przestrzeni adresowej IP, która znajduje się w lokacji lokalnej. Ruch do tej przestrzeni adresowej jest kierowany do lokacji lokalnej. Jest to wymagane, gdy protokół BGP nie jest włączony dla lokacji.

    $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSiteAddressSpaces = New-Object string[] 2
$vpnSiteAddressSpaces[0] = "192.168.2.0/24"
$vpnSiteAddressSpaces[1] = "192.168.3.0/24"

  2. Utwórz łącza, aby dodać informacje o linkach fizycznych w gałęzi, w tym metadane dotyczące szybkości łącza, nazwy dostawcy linków i publicznego adresu IP urządzenia lokalnego.

    $vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10"

$vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"

  3. Utwórz lokację sieci VPN, odwołując się do zmiennych utworzonych linków lokacji sieci VPN. Jeśli usługa Azure Cloud Shell została zamknięta lub przekroczono limit czasu połączenia, ponownie zadeklaruj zmienną wirtualną WAN:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"

    Utwórz lokację sieci VPN przy użyciu polecenia cmdlet New-AzVpnSite.

    $vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)

  4. Utwórz połączenie łącza lokacji. Połączenie składa się z dwóch tuneli aktywnych-aktywnych z gałęzi/lokacji do skalowalnej bramy.

    $vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100

$vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10

Łączenie lokacji sieci VPN z koncentratorem

  1. Przed uruchomieniem polecenia może być konieczne ponowne zadeklarowanie następujących zmiennych:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"

  2. Połącz lokację sieci VPN z koncentratorem.

    New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)

Łączenie sieci wirtualnej z centrum

Następnym krokiem jest połączenie koncentratora z siecią wirtualną. Jeśli utworzono nową grupę zasobów na potrzeby tego ćwiczenia, zwykle nie będziesz mieć sieci wirtualnej w grupie zasobów. Poniższe kroki ułatwiają utworzenie sieci wirtualnej, jeśli jeszcze jej nie masz. Następnie można utworzyć połączenie między koncentratorem a siecią wirtualną.

Tworzenie sieci wirtualnej

Aby utworzyć sieć wirtualną, możesz użyć następujących przykładowych wartości. Pamiętaj, aby zastąpić wartości w przykładach dla wartości użytych w danym środowisku.

  1. Utwórz sieć wirtualną.

    $vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnet

  2. Określ ustawienia podsieci.

    $subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

  3. Ustaw sieć wirtualną.

    $virtualNetwork | Set-AzVirtualNetwork

Łączenie sieci wirtualnej z koncentratorem

Poniższe kroki umożliwiają połączenie sieci wirtualnej z koncentratorem wirtualnym przy użyciu programu PowerShell. Możesz również użyć witryny Azure Portal, aby wykonać to zadanie. Powtórz te czynności dla każdej sieci wirtualnej, z którą chcesz się połączyć.

Przed utworzeniem połączenia należy pamiętać o następujących kwestiach:

  • Sieć wirtualna może być połączona tylko z jednym koncentratorem wirtualnym jednocześnie.
  • Aby połączyć go z koncentratorem wirtualnym, zdalna sieć wirtualna nie może mieć bramy.
  • Niektóre ustawienia konfiguracji, takie jak Propagacja trasy statycznej, można skonfigurować tylko w witrynie Azure Portal w tej chwili.

Jeśli bramy sieci VPN znajdują się w koncentratonie wirtualnym, ta operacja, a także każda inna operacja zapisu w połączonej sieci wirtualnej może spowodować rozłączenie klientów punkt-lokacja, a także ponowne połączenie tuneli typu lokacja-lokacja i sesji protokołu BGP (Border Gateway Protocol).

Dodaj połączenie

  1. Zadeklaruj zmienne dla istniejących zasobów, w tym istniejącą sieć wirtualną.

    $resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $remoteVirtualNetwork = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG"

  2. Utwórz połączenie z komunikacją równorzędną sieci wirtualnej z koncentratorem wirtualnym.

    New-AzVirtualHubVnetConnection -ResourceGroupName "TestRG" -VirtualHubName "Hub1" -Name "VNet1-connection" -RemoteVirtualNetwork $remoteVirtualNetwork

Konfigurowanie urządzenia sieci VPN

Pobieranie konfiguracji sieci VPN

Użyj pliku konfiguracji urządzenia sieci VPN, aby skonfigurować lokalne urządzenie sieci VPN. Poniżej przedstawiono podstawowe kroki:

  1. Na stronie usługi Virtual WAN przejdź do strony Hubs ->Your virtual hub ->VPN (lokacja-lokacja).

  2. W górnej części strony Sieć VPN (lokacja-lokacja) kliknij pozycję Pobierz konfigurację sieci VPN. Zobaczysz serię komunikatów, gdy platforma Azure tworzy nowe konto magazynu w grupie zasobów "microsoft-network-[location]", gdzie lokalizacja jest lokalizacją sieci WAN. Możesz również dodać istniejące konto magazynu, klikając pozycję "Użyj istniejącego" i dodając prawidłowy adres URL sygnatury dostępu współdzielonego z włączonymi uprawnieniami do zapisu.

  3. Po zakończeniu tworzenia pliku kliknij link, aby pobrać plik. Spowoduje to utworzenie nowego pliku z konfiguracją sieci VPN w podanej lokalizacji adresu URL sygnatury dostępu współdzielonego.

  4. Zastosuj konfigurację na lokalnym urządzeniu sieci VPN. Aby uzyskać więcej informacji, zobacz Konfiguracja urządzenia sieci VPN w tej sekcji.

  5. Po zastosowaniu konfiguracji do urządzeń sieci VPN nie musisz przechowywać utworzonego konta magazynu.

    • Przestrzeń adresowa sieci wirtualnej koncentratorów wirtualnych.

      • Przykład:

        • "AddressSpace":"10.1.0.0/24"

    • Przestrzeń adresowa sieci wirtualnych połączonych z koncentratorem wirtualnym.

      • Przykład:

        • "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]

    • Przestrzeń adresowa IP koncentratora wirtualnego vpngateway. Ponieważ każde połączenie vpngateway składa się z dwóch tuneli w konfiguracji aktywne-aktywne, zobaczysz oba adresy IP wymienione w tym pliku. W tym przykładzie są to wartości „Instance0” i „Instance1” dla każdej lokacji.

      • Przykład:

        • "Instance0":"nnn.nn.nn.nnn"
        • "Instance1":"nnn.nn.nn.nnn"

    • Publiczny adres IP: przypisany przez platformę Azure.

    • Prywatny adres IP: przypisany przez platformę Azure.

    • Domyślny adres IP protokołu BGP: przypisany przez platformę Azure.

    • Niestandardowy adres IP protokołu BGP: to pole jest zarezerwowane dla usługi APIPA (automatyczne prywatne adresowanie IP). pomoc techniczna platformy Azure adres IP protokołu BGP w zakresach 169.254.21.* i 169.254.22.*. Platforma Azure akceptuje połączenia BGP w tych zakresach, ale wybierze połączenie z domyślnym adresem IP protokołu BGP. Użytkownicy mogą określić wiele niestandardowych adresów IP protokołu BGP dla każdego wystąpienia. Nie należy używać tego samego niestandardowego adresu IP protokołu BGP dla obu wystąpień.

Plik konfiguracji urządzenia sieci VPN

Plik konfiguracji urządzenia zawiera ustawienia używane podczas konfigurowania lokalnego urządzenia sieci VPN. Podczas przeglądania tego pliku należy zwrócić uwagę na następujące informacje:

  • vpnSiteConfiguration — w tej sekcji określono szczegóły urządzenia skonfigurowane jako lokacja łącząca się z wirtualną siecią WAN. Zawiera ona nazwę i publiczny adres IP urządzenia gałęzi.

vpnSiteConnections — ta sekcja zawiera informacje o następujących ustawieniach:

  • Szczegóły konfiguracji połączenia vpngateway, takie jak BGP, klucz wstępny itp. Klucz psk to klucz wstępny, który jest generowany automatycznie. Zawsze można edytować połączenie na stronie Przegląd niestandardowego klucza wstępnego (PSK).

Przykładowy plik konfiguracji urządzenia

{ "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5" }, "vpnSiteConfiguration":{ "Name":"testsite1", "IPAddress":"73.239.3.208" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe", "ConnectedSubnets":[ "10.2.0.0/16", "10.3.0.0/16" ] }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.186", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac" }, "vpnSiteConfiguration":{ "Name":" testsite2", "IPAddress":"66.193.205.122" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7" }, "vpnSiteConfiguration":{ "Name":" testsite3", "IPAddress":"182.71.123.228" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }

Konfigurowanie urządzenia sieci VPN

Uwaga

Jeśli używasz rozwiązania partnera usługi Virtual WAN, konfiguracja urządzenia sieci VPN odbywa się automatycznie. Kontroler urządzenia uzyskuje plik konfiguracji z platformy Azure i stosuje go do urządzenia w celu skonfigurowania połączenia z platformą Azure. Oznacza to, że nie musisz wiedzieć, w jaki sposób skonfigurować urządzenie sieci VPN ręcznie.

Wyświetlanie lub edytowanie ustawień bramy

Ustawienia bramy sieci VPN można wyświetlać i edytować w dowolnym momencie. Przejdź do koncentratora wirtualnego -> i wybierz pozycję Wyświetl/Skonfiguruj.

Zrzut ekranu przedstawiający sposób wyświetlania i edytowania ustawień bramy wirtualnej sieci prywatnej ze strony konfiguracji koncentratora wirtualnego.

Na stronie Edytowanie bramy sieci VPN można zobaczyć następujące ustawienia:

Zrzut ekranu przedstawiający sposób edytowania ustawień wirtualnej bramy sieci prywatnej.