Konfigurera ExpressRoute- och plats-till-plats-samexisterande anslutningar med hjälp av PowerShell

• PowerShell – Resource Manager
• PowerShell – Klassisk

Den här artikeln hjälper dig att konfigurera ExpressRoute- och plats-till-plats-VPN-anslutningar som samexisterar. Det finns flera fördelar med att konfigurera båda anslutningarna:

• Du kan konfigurera ett plats-till-plats-VPN som en säker redundanssökväg för ExpressRoute.
• Du kan också använda plats-till-plats-VPN för att ansluta till webbplatser som inte är anslutna via ExpressRoute.

Stegen för att konfigurera båda scenarierna beskrivs i den här artikeln. Den här artikeln gäller distributionsmodellen i Resource Manager, och PowerShell används. Du kan också konfigurera dessa scenarier med hjälp av Azure Portal, även om dokumentationen ännu inte är tillgänglig. Du kan konfigurera någon av gatewayerna först. Normalt upplever du ingen stilleståndstid när du lägger till en ny gateway- eller gatewayanslutning.

Kommentar

Om du vill skapa en plats-till-plats-VPN över en ExpressRoute-krets kan du läsa plats-till-plats-VPN via Microsoft-peering.

Gränser och begränsningar

• Enbart routebaserad VPN-gateway stöds. Du måste använda en routningsbaserad VPN-gateway. Du kan också använda en routningsbaserad VPN-gateway med en VPN-anslutning som konfigurerats för "principbaserade trafikväljare" enligt beskrivningen i Anslut till flera principbaserade VPN-enheter.
• Samexisterande konfigurationer för ExpressRoute-VPN Gateway stöds inte med offentlig IP-adress för Basic SKU.
• Om du vill använda transitroutning mellan ExpressRoute och VPN måste ASN för Azure VPN Gateway vara inställt på 65515 och Azure Route Server ska användas. Azure VPN Gateway stöder BGP-routningsprotokollet. För att ExpressRoute och Azure VPN ska fungera tillsammans måste du ha det autonoma systemnumret för din Azure VPN-gateway som standardvärde, 65515. Om du tidigare har valt ett annat ASN än 65515 och ändrar inställningen till 65515 måste du återställa VPN-gatewayen för att inställningen ska börja gälla.
• Gateway-undernätet måste vara /27 eller ett kortare prefix, till exempel /26 eller /25, eller så får du ett felmeddelande när du lägger till den virtuella ExpressRoute-nätverksgatewayen.

Konfigurationsdesign

Konfigurera ett plats-till-plats-VPN som en redundanssökväg för ExpressRoute

Du kan konfigurera en PLATS-till-plats-VPN-anslutning som en säkerhetskopia för din ExpressRoute-anslutning. Den här konfigurationen gäller endast för virtuella nätverk som är länkade till den privata Peering-sökvägen i Azure. Det finns ingen VPN-baserad redundanslösning för tjänster som är tillgängliga via Azure Microsoft-peering. ExpressRoute-kretsen är alltid den primära länken och data flödar endast via VPN-sökvägen plats-till-plats om ExpressRoute-kretsen misslyckas. För att undvika asymmetrisk routning konfigurerar du det lokala nätverket så att det föredrar ExpressRoute-kretsen framför plats-till-plats-VPN genom att ange en högre lokal inställning för de vägar som tas emot via ExpressRoute.

Kommentar

• Om du har Aktiverat ExpressRoute Microsoft-peering kan du ta emot den offentliga IP-adressen för din Azure VPN-gateway på ExpressRoute-anslutningen. Konfigurera din plats-till-plats-VPN-anslutning som en säkerhetskopia genom att konfigurera ditt lokala nätverk så att VPN-anslutningen dirigeras till Internet.
• Även om ExpressRoute-kretssökvägen föredras framför plats-till-plats-VPN när båda vägarna är desamma, använder Azure den längsta prefixmatchningen för att välja vägen mot paketets mål.

Konfigurera ett plats-till-plats-VPN för att ansluta till platser som inte är anslutna via ExpressRoute

Du kan konfigurera nätverket så att vissa webbplatser ansluter direkt till Azure via ett plats-till-plats-VPN, medan andra ansluter via ExpressRoute.

Välj vilka steg du ska använda

Det finns två uppsättningar procedurer för att välja bland. Vilken konfigurationsprocedur du väljer beror på om du har ett befintligt virtuellt nätverk eller om du behöver skapa ett nytt.

• Jag har inget virtuellt nätverk och behöver skapa ett.

  Om du inte redan har ett virtuellt nätverk vägleder den här proceduren dig genom att skapa ett nytt virtuellt nätverk med hjälp av Resource Manager-distributionsmodellen och skapa nya ExpressRoute- och plats-till-plats-VPN-anslutningar.

• Jag har redan ett virtuellt nätverk för Resource Manager-distributionsmodellen.

  Om du redan har ett virtuellt nätverk med en befintlig plats-till-plats-VPN- eller ExpressRoute-anslutning och gateway-undernätsprefixet är /28 eller längre (/29, /30 osv.) måste du ta bort den befintliga gatewayen. Stegen för att konfigurera samexisterande anslutningar för ett befintligt virtuellt nätverk vägleder dig genom att ta bort gatewayen och sedan skapa nya ExpressRoute- och plats-till-plats-VPN-anslutningar.

  Om du tar bort och återskapar din gateway orsakas driftstopp för dina anslutningar mellan platser. Men dina virtuella datorer och tjänster kan ansluta via Internet medan du konfigurerar din gateway om de har konfigurerats för att göra det.

Innan du börjar

Stegen och exemplen i den här artikeln använder Azure PowerShell Az-moduler. Information om hur du installerar Az-modulerna lokalt på datorn finns i Installera Azure PowerShell. Mer information om den nya Az-modulen finns i Introduktion till den nya Azure PowerShell Az-modulen. PowerShell-cmdletar uppdateras ofta. Om du inte kör den senaste versionen kan de värden som anges i anvisningarna misslyckas. Om du vill hitta de installerade versionerna av PowerShell i systemet använder du cmdleten Get-Module -ListAvailable Az .

Du kan använda Azure Cloud Shell för att köra de flesta PowerShell-cmdletar och CLI-kommandon i stället för att installera Azure PowerShell eller CLI lokalt. Azure Cloud Shell är ett kostnadsfritt interaktivt gränssnitt som har vanliga Azure-verktyg förinstallerade och är konfigurerade att användas med ditt konto. Om du vill köra kod som finns i den här artikeln i Azure Cloud Shell öppnar du en Cloud Shell-session, använder knappen Kopiera i ett kodblock för att kopiera koden och klistrar in den i Cloud Shell-sessionen med Ctrl+Skift+V i Windows och Linux eller Cmd+Skift+V på macOS. Klistrad text körs inte automatiskt, tryck på Retur för att köra kod.

Det finns flera olika sätt att starta Cloud Shell:

Alternativ	Länk
Klicka på Prova i det övre högra hörnet av ett kodblock.
Öppna Cloud Shell i din webbläsare.
Klicka på knappen Cloud Shell på menyn längst upp till höger på Azure Portal.

Nytt virtuellt nätverk och samexisterande anslutningar

Den här proceduren vägleder dig genom att skapa ett virtuellt nätverk och konfigurera samexisterande plats-till-plats-VPN- och ExpressRoute-anslutningar. De cmdletar som används i den här konfigurationen kan skilja sig från de cmdletar som du är bekant med, så se till att du använder de angivna cmdletarna.

1. Logga in och välj din prenumeration.

   Om du använder Azure Cloud Shell loggar du in på ditt Azure-konto automatiskt efter att ha klickat på Prova. Om du vill logga in lokalt öppnar du PowerShell-konsolen med utökade privilegier och kör cmdleten för att ansluta.

   Connect-AzAccount
   

   Om du har fler än en prenumeration hämtar du en lista över dina Azure-prenumerationer.

   Get-AzSubscription
   

   Ange den prenumeration som du vill använda.

   Select-AzSubscription -SubscriptionName "Name of subscription"
   

2. Definiera variabler och skapa en resursgrupp.

   $location = "Central US"
   $resgrp = New-AzResourceGroup -Name "ErVpnCoex" -Location $location
   $VNetASN = 65515
   

3. Skapa ett virtuellt nätverk med GatewaySubnet. Mer information om hur du skapar ett virtuellt nätverk finns i Skapa ett virtuellt nätverk. Mer information om hur du skapar undernät finns i Skapa ett undernät.

   Viktigt!

   GatewaySubnet måste vara ett /27 eller ett kortare prefix, till exempel /26 eller /25.

   Skapa ett nytt virtuellt nätverk.

   $vnet = New-AzVirtualNetwork -Name "CoexVnet" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AddressPrefix "10.200.0.0/16"
   

   Lägg till två undernät med namnet App och GatewaySubnet.

   Add-AzVirtualNetworkSubnetConfig -Name "App" -VirtualNetwork $vnet -AddressPrefix "10.200.1.0/24"
   Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"
   

   Spara konfigurationen av det virtuella nätverket.

   $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
   

4. Skapa din PLATS-till-plats-VPN-gateway. Mer information om vpn-gatewaykonfigurationen finns i Konfigurera ett virtuellt nätverk med en plats-till-plats-anslutning. GatewaySku stöds för VPNGw1, VpnGw2, VpnGw3, Standard och HighPerformance VPN-gatewayer. Samexisterande konfigurationer för ExpressRoute-VPN Gateway stöds inte på basic-SKU:n. VpnType måste vara RouteBased.

   $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
   $gwIP = New-AzPublicIpAddress -Name "VPNGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
   $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "VPNGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
   New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"
   

   Azure VPN-gatewayen stöder BGP-routningsprotokollet. Du kan ange ASN (AS Number) för det virtuella nätverket genom att lägga till -Asn flaggan i följande kommando. Om du inte anger parametern Asn anges as-numret som standard till 65515.

   $azureVpn = New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"
   

   Kommentar

   För att samexistera gatewayer måste du använda standard-ASN på 65515. Mer information finns i gränser och begränsningar.

   Du hittar IP-adressen för BGP-peering och det AS-nummer som Azure använder för VPN-gatewayen genom att köra $azureVpn.BgpSettings.BgpPeeringAddress och $azureVpn.BgpSettings.Asn. Mer information finns i Konfigurera BGP för Azure VPN-gateway.

5. Skapa en lokal plats för VPN-gatewayen. Det här kommandot konfigurerar inte din lokala VPN-gateway. I stället kan du ange inställningarna för den lokala gatewayen, till exempel den offentliga IP-adressen och det lokala adressutrymmet, så att Azure VPN-gatewayen kan ansluta till den.

   Om din lokala VPN-enhet endast stöder statisk routning konfigurerar du de statiska vägarna på följande sätt:

   $MyLocalNetworkAddress = @("10.100.0.0/16","10.101.0.0/16","10.102.0.0/16")
   $localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress "<Public IP>" -AddressPrefix $MyLocalNetworkAddress
   

   Om din lokala VPN-enhet stöder BGP och du vill aktivera dynamisk routning måste du känna till BGP-peering-IP och AS-numret för din lokala VPN-enhet.

   $localVPNPublicIP = "<Public IP>"
   $localBGPPeeringIP = "<Private IP for the BGP session>"
   $localBGPASN = "<ASN>"
   $localAddressPrefix = $localBGPPeeringIP + "/32"
   $localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress $localVPNPublicIP -AddressPrefix $localAddressPrefix -BgpPeeringAddress $localBGPPeeringIP -Asn $localBGPASN
   

6. Konfigurera din lokala VPN-enhet till att ansluta till en ny Azure VPN-gateway. Mer information om VPN-enhetskonfiguration finns i VPN-enhetskonfiguration.

7. Länka PLATS-till-plats-VPN-gatewayen på Azure till den lokala gatewayen.

   $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
   New-AzVirtualNetworkGatewayConnection -Name "VPNConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $azureVpn -LocalNetworkGateway2 $localVpn -ConnectionType IPsec -SharedKey "<yourkey>"
   

8. Om du ansluter till en befintlig ExpressRoute-krets hoppar du över steg 8 och 9 och går vidare till steg 10. Konfigurera ExpressRoute-kretsar. Mer information om hur du konfigurerar ExpressRoute-kretsar finns i skapa en ExpressRoute-krets.

9. Konfigurera privat Azure-peering via ExpressRoute-kretsen. Mer information om hur du konfigurerar privat Azure-peering över ExpressRoute-kretsen finns i konfigurera peering.

10. Skapa en ExpressRoute-gateway. Mer information om konfiguration av ExpressRoute-gateways finns i Konfiguration av ExpressRoute-gateway. GatewaySKU:n måste vara Standard, HighPerformance, eller UltraPerformance.

$gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
$gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
$gw = New-AzVirtualNetworkGateway -Name "ERGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard

11. Länka ExpressRoute-gatewayen till ExpressRoute-kretsen. När du har slutfört det här steget upprättas anslutningen mellan ditt lokala nätverk och Azure via ExpressRoute. Mer information om länken finns i Länka VNets till ExpressRoute.

$ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute

Befintligt virtuellt nätverk med en gateway

Om ditt virtuella nätverk bara har en virtuell nätverksgateway och du behöver lägga till en annan gateway av en annan typ följer du dessa steg:

1. Kontrollera gatewayens undernätsstorlek:

   • Om gatewayundernätet är /27 eller större går du vidare till föregående avsnitt för att lägga till antingen en plats-till-plats VPN-gateway eller en ExpressRoute-gateway.
   • Om gatewayundernätet är /28 eller /29 måste du ta bort den befintliga virtuella nätverksgatewayen och öka gatewayens undernätsstorlek.

2. Ta bort den befintliga gatewayen:

   Remove-AzVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup>
   

3. Ta bort gatewayundernätet:

   $vnet = Get-AzVirtualNetwork -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
   Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet
   

4. Lägg till ett större gatewayundernät:

   • Kontrollera att det nya undernätet är /27 eller större. Om det inte finns tillräckligt med IP-adresser lägger du till mer IP-adressutrymme.

   $vnet = Get-AzVirtualNetwork -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
   Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"
   $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
   

5. Skapa nya gatewayer och anslutningar:

   • Ange variabler:

   $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
   $gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
   $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
   

   • Skapa gatewayen:

   $gw = New-AzVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup> -Location <yourlocation> -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard
   

   • Skapa anslutningen:

   $ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
   New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute
   

Lägga till punkt-till-plats-konfiguration i din VPN-gateway

Följ dessa steg om du vill lägga till en punkt-till-plats-konfiguration till vpn-gatewayen i en samexistenskonfiguration. Du kan ladda upp VPN-rotcertifikatet antingen genom att installera PowerShell lokalt på datorn eller med hjälp av Azure Portal.

1. Lägga till VPN-klientadresspool

   $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $azureVpn -VpnClientAddressPool "10.251.251.0/24"
   

2. Ladda upp VPN-rotcertifikatet

   Ladda upp VPN-rotcertifikatet till Azure för din VPN-gateway. I följande exempel förutsätts att rotcertifikatet lagras på den lokala dator där PowerShell-cmdletarna körs. Du kan också ladda upp certifikatet med hjälp av Azure Portal.

   $p2sCertFullName = "RootErVpnCoexP2S.cer" 
   $p2sCertMatchName = "RootErVpnCoexP2S" 
   $p2sCertToUpload = Get-ChildItem Cert:\CurrentUser\My | Where-Object {$_.Subject -match $p2sCertMatchName} 
   if ($p2sCertToUpload.Count -eq 1) { Write-Host "Certificate found" } else { Write-Host "Certificate not found"; exit } 
   $p2sCertData = [System.Convert]::ToBase64String($p2sCertToUpload.RawData) 
   Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $p2sCertFullName -VirtualNetworkGatewayName $azureVpn.Name -ResourceGroupName $resgrp.ResourceGroupName -PublicCertData $p2sCertData
   

Mer information om punkt-till-plats-VPN finns i Konfigurera en punkt-till-plats-anslutning.

Aktivera överföringsroutning mellan ExpressRoute och Azure VPN

Konfigurera Azure Route Server för att aktivera anslutningen mellan ett lokalt nätverk som är anslutet till ExpressRoute och ett annat lokalt nätverk som är anslutet till ett plats-till-plats-VPN.

Nästa steg

Mer information om ExpressRoute finns i Vanliga frågor och svar om ExpressRoute.