Partilhar via

Conectar um gateway VPN (gateway de rede virtual) à WAN virtual

  • Artigo

Este artigo ajuda você a configurar a conectividade de um Gateway de VPN do Azure (gateway de rede virtual) para uma WAN Virtual do Azure (gateway VPN). Criar uma conexão de um Gateway VPN (gateway de rede virtual) para uma WAN Virtual (gateway VPN) é semelhante à configuração de conectividade com uma WAN virtual a partir de sites VPN de filial.

Para minimizar possíveis confusões entre dois recursos, vamos prefaciar o gateway com o nome do recurso ao qual estamos nos referindo. Por exemplo, gateway de rede virtual VPN Gateway e gateway VPN WAN virtual.

Antes de começar

Antes de começar, crie os seguintes recursos:

WAN Virtual do Azure

Rede Virtual (para gateway de rede virtual)

  • Crie uma rede virtual sem gateways de rede virtual. Essa rede virtual será configurada com um gateway de rede virtual ativo/ativo em etapas posteriores. Verifique se nenhuma das sub-redes de suas redes locais se sobrepõe às redes virtuais às quais você deseja se conectar.

1. Configurar gateway de rede virtual VPN Gateway

Nesta seção, você cria um gateway de rede virtual do Gateway VPN no modo ativo-ativo para sua rede virtual. Ao criar o gateway, você pode usar endereços IP públicos existentes para as duas instâncias do gateway ou pode criar novos IPs públicos. Você usará esses IPs públicos ao configurar os sites da WAN Virtual.

  1. Crie um gateway de rede virtual do Gateway VPN no modo ativo-ativo para sua rede virtual. Para obter mais informações sobre gateways VPN ativos-ativos e etapas de configuração, consulte Configurar gateways VPN ativos-ativos.

  2. As seções a seguir mostram configurações de exemplo para seu gateway de rede virtual.

    • Configuração do modo ativo-ativo - Na página Configuração do gateway de rede virtual, verifique se o modo ativo-ativo está habilitado.

      Captura de ecrã a mostrar um gateway de rede virtual com o modo ativo-ativo ativado.

    • Configuração de BGP - Na página Configuração do gateway de rede virtual, você pode (opcionalmente) selecionar Configurar ASN BGP. Se você configurar o BGP, altere o ASN do valor padrão mostrado no portal. Para esta configuração, o ASN BGP não pode ser 65515. 65515 será usado pela WAN Virtual do Azure.

      A captura de tela mostra uma página Configuração do gateway de rede virtual com Configurar ASN BGP selecionado.

    • Endereços IP públicos - Depois que o gateway for criado, vá para a página Propriedades . As propriedades e definições de configuração serão semelhantes ao exemplo a seguir. Observe os dois endereços IP públicos que são usados para o gateway.

      A captura de tela mostra uma página Propriedades do gateway de rede virtual com as propriedades selecionadas.

2. Crie sites VPN WAN virtuais

Nesta seção, você criará dois sites VPN de WAN Virtual que correspondem aos gateways de rede virtual criados na seção anterior.

  1. Na sua página WAN Virtual, vá para sites VPN.

  2. Na página Sites VPN, clique em +Criar site.

  3. Na página Criar Site VPN, no separador Informações Básicas, preencha os seguintes campos:

    • Região: A mesma região que o gateway de rede virtual do Gateway de VPN do Azure.
    • Nome: Exemplo: Site1
    • Fornecedor do dispositivo: é o nome do fornecedor do dispositivo VPN (por exemplo: Citrix, Cisco, Barracuda). Adicionar o fornecedor do dispositivo pode ajudar a Equipa do Azure a compreender melhor o seu ambiente de modo a acrescentar possibilidades de otimização adicionais no futuro ou a ajudá-lo a resolver problemas.
    • Espaço de endereço privado: insira um valor ou deixe em branco quando o BGP estiver habilitado.

  4. Selecione Next: Links> para avançar para a página Links .

  5. Na página Links, preencha os seguintes campos:

    • Nome da Ligação: o nome que quer dar à ligação física no Site VPN. Exemplo: Link1.
    • Velocidade da ligação: é a velocidade do dispositivo VPN na localização do ramo. Exemplo: 50, o que significa que 50 Mbps é a velocidade do dispositivo VPN na localização do ramo.
    • Nome do fornecedor da ligação: é o nome da ligação física no Site VPN. Exemplo: ATT, Verizon.
    • Endereço IP do link - Digite o endereço IP. Para essa configuração, é o mesmo que o primeiro endereço IP público mostrado nas propriedades do gateway de rede virtual (Gateway VPN).
    • Endereço BGP e ASN - Estes devem ser iguais a um dos endereços IP de mesmo nível BGP e ASN do gateway de rede virtual do Gateway VPN que você configurou na Etapa 1.

  6. Depois de preencher os campos, selecione Rever + criar para verificar. Selecione Criar para criar o site.

  7. Repita as etapas anteriores para criar o segundo site para corresponder à segunda instância do gateway de rede virtual do Gateway VPN. Você manterá as mesmas configurações, exceto usando o segundo endereço IP público e o segundo endereço IP de mesmo nível BGP da configuração do Gateway VPN.

  8. Agora você tem dois sites provisionados com êxito.

3. Conectar sites ao hub virtual

Em seguida, conecte ambos os sites ao seu hub virtual usando as etapas a seguir. Para obter mais informações sobre como conectar sites, consulte Conectar sites VPN a um hub virtual.

  1. Na página da WAN Virtual, vá para Hubs.

  2. Na página Hubs, clique no hub que você criou.

  3. Na página do hub que você criou, no painel esquerdo, selecione VPN (Site a site).

  4. Na página VPN (Site to site), você deve ver seus sites. Caso contrário, talvez seja necessário clicar na bolha Hub association:x para limpar os filtros e visualizar seu site.

  5. Marque a caixa de seleção ao lado do nome de ambos os sites (não clique diretamente no nome do site) e clique em Conectar sites VPN.

  6. Na página Conectar sites, defina as configurações. Certifique-se de anotar o valor da chave pré-compartilhada que você usa. Ele será usado novamente mais tarde no exercício quando você criar suas conexões.

  7. Na parte inferior da página, selecione Conectar. Demora um pouco para que o hub seja atualizado com as configurações do site.

4. Faça o download dos arquivos de configuração VPN

Nesta seção, você baixa o arquivo de configuração de VPN para os sites criados na seção anterior.

  1. Na sua página WAN Virtual, vá para sites VPN.

  2. Na página Sites VPN, na parte superior da página, selecione Baixar configuração de VPN Site a Site e baixe o arquivo. O Azure cria um arquivo de configuração com os valores necessários que são usados para configurar seus gateways de rede local na próxima seção.

    Captura de ecrã da página de sites VPN com a ação de configuração de VPN Transferir Site a Site selecionada.

5. Criar os gateways de rede local

Nesta seção, você cria dois gateways de rede local do Gateway de VPN do Azure. Os arquivos de configuração da etapa anterior contêm as definições de configuração do gateway. Use essas configurações para criar e configurar os gateways de rede local do Gateway de VPN do Azure.

  1. Crie o gateway de rede local usando essas configurações. Para obter informações sobre como criar um gateway de rede local do Gateway VPN, consulte o artigo Criar um gateway de rede local do Gateway VPN.

    • Endereço IP - Use o endereço IP Instance0 mostrado para gatewayconfiguration a partir do arquivo de configuração.
    • BGP - Se a conexão for sobre BGP, selecione Configurar configurações de BGP e digite o ASN '65515'. Insira o endereço IP do par BGP. Use 'Instance0 BgpPeeringAddresses' para gatewayconfiguration a partir do arquivo de configuração.
    • Espaço de Endereço - Se a conexão não for sobre BGP, certifique-se de que Definir configurações de BGP permaneça desmarcado. Insira os espaços de endereço que você vai anunciar do lado do gateway de rede virtual. Pode adicionar vários intervalos de espaço de endereços. Certifique-se de que os intervalos que especificar aqui não se sobrepõem aos intervalos de outras redes às quais pretende ligar.
    • Assinatura, Grupo de Recursos e Localização - Estes são os mesmos que para o hub WAN Virtual.

  2. Revise e crie o gateway de rede local. Seu gateway de rede local deve ser semelhante a este exemplo.

    Captura de tela que mostra a página Configuração com um endereço IP realçado para o gateway de rede local 1.

  3. Repita essas etapas para criar outro gateway de rede local, mas, desta vez, use os valores 'Instance1' em vez de 'Instance0' do arquivo de configuração.

    Captura de tela que mostra a página Configuração com um endereço IP realçado para o gateway de rede local 2.

Importante

Lembre-se de que, ao configurar uma conexão BGP sobre IPsec para um IP público que NÃO seja um endereço IP público do gateway vWAN com o ASN remoto '65515', a implantação do Gateway de Rede Local falhará, pois o ASN '65515' é um ASN reservado documentado, conforme descrito em Que sistemas autônomos posso usar. No entanto, quando o Gateway de Rede Local lê o endereço público vWAN com o ASN remoto '65515', essa restrição é levantada pela plataforma.

6. Crie conexões

Nesta seção, você cria uma conexão entre os gateways de rede local do Gateway VPN e o gateway de rede virtual. Para conhecer as etapas sobre como criar uma conexão de Gateway VPN, consulte Configurar uma conexão.

  1. No portal, vá para o gateway de rede virtual e selecione Conexões. Na parte superior da página Conexões, selecione +Adicionar para abrir a página Adicionar conexão .

  2. Na página Adicionar conexão, configure os seguintes valores para sua conexão:

    • Nome: Atribua um nome à sua ligação.
    • Tipo de conexão: Selecione Site-to-site (IPsec)
    • Gateway de rede virtual: o valor é fixo porque você está se conectando a partir desse gateway.
    • Gateway de rede local: essa conexão conectará o gateway de rede virtual ao gateway de rede local. Escolha um dos gateways de rede local que você criou anteriormente.
    • Chave compartilhada: insira a chave compartilhada do anterior.
    • Protocolo IKE: Escolha o protocolo IKE.

  3. Selecione OK para criar sua conexão.

  4. A ligação é apresentada na página Ligações do gateway de rede virtual.

  5. Repita as etapas anteriores para criar uma segunda conexão. Para a segunda conexão, selecione o outro gateway de rede local que você criou.

  6. Se as conexões forem por BGP, depois de criar suas conexões, vá para uma conexão e selecione Configuração. Na página Configuração, para BGP, selecione Habilitado. Em seguida, selecione Guardar.

  7. Repita para a segunda conexão.

7. Testar conexões

Você pode testar a conectividade criando duas máquinas virtuais, uma no lado do gateway de rede virtual do Gateway VPN e outra em uma rede virtual para a WAN Virtual e, em seguida, executando ping nas duas máquinas virtuais.

  1. Crie uma máquina virtual na rede virtual (Test1-VNet) para o Gateway de VPN do Azure (Test1-VNG). Não crie a máquina virtual na GatewaySubnet.

  2. Crie outra rede virtual para se conectar à WAN virtual. Crie uma máquina virtual em uma sub-rede dessa rede virtual. Esta rede virtual não pode conter gateways de rede virtual. Você pode criar rapidamente uma rede virtual usando as etapas do PowerShell no artigo de conexão site a site. Certifique-se de alterar os valores antes de executar os cmdlets.

  3. Conecte a VNet ao hub WAN Virtual. Na página da WAN virtual, selecione Conexões de rede virtual e, em seguida , +Adicionar conexão. Na página Add connection (Adicionar ligação), preencha os seguintes campos:

    • Connection name (Nome da ligação) - dê um nome à ligação.
    • Hubs - selecione o hub que pretende associar a esta ligação.
    • Subscription (Subscrição) - verifique a subscrição.
    • Virtual network (Rede virtual) - selecione a rede virtual que pretende ligar a este hub. A rede virtual não pode ter um gateway de rede virtual já existente.

  4. Selecione OK para criar a conexão de rede virtual.

  5. A conectividade agora está definida entre as VMs. Você deve ser capaz de executar ping em uma VM da outra, a menos que haja firewalls ou outras políticas bloqueando a comunicação.

Próximos passos