Dela via


Skapa en plats-till-plats-anslutning med hjälp av Azure-portalen (klassisk)

Den här artikeln visar hur du kan använda Azure Portal för att skapa en VPN-gatewayanslutning från plats till plats från ditt lokala nätverk till det virtuella nätverket. Stegen i den här artikeln gäller för den klassiska (äldre) distributionsmodellen och gäller inte för den aktuella distributionsmodellen Resource Manager. Se Resource Manager-versionen av den här artikeln i stället.

Viktigt!

Du kan inte längre skapa nya virtuella nätverksgatewayer för klassiska virtuella distributionsmodeller (tjänsthantering). Nya virtuella nätverksgatewayer kan bara skapas för virtuella Resource Manager-nätverk.

En VPN-gatewayanslutning från plats till plats används för att ansluta ditt lokala nätverk till ett virtuellt Azure-nätverk via en IPsec/IKE VPN-tunnel (IKEv1 eller IKEv2). Den här typen av anslutning kräver en lokal VPN-enhet som tilldelats till en extern offentlig IP-adress. Mer information om VPN-gatewayer finns i Om VPN-gateway.

Diagram som visar plats-till-plats VPN Gateway-anslutning mellan platser.

Kommentar

Den här artikeln är skriven för den klassiska (äldre) distributionsmodellen. Vi rekommenderar att du använder den senaste Azure-distributionsmodellen i stället. Resource Manager-distributionsmodellen är den senaste distributionsmodellen och erbjuder fler alternativ och funktionskompatibilitet än den klassiska distributionsmodellen. Information om skillnaden mellan dessa två distributionsmodeller finns i Förstå distributionsmodeller och tillståndet för dina resurser.

Om du vill använda en annan version av den här artikeln använder du innehållsförteckningen i den vänstra rutan.

Innan du börjar

Kontrollera att du har uppfyllt följande villkor innan du påbörjar konfigurationen:

  • Bekräfta att du vill arbeta i den klassiska distributionsmodellen. Om du vill arbeta i Resource Manager-distributionsmodellen kan du läsa Skapa en plats-till-plats-anslutning (Resource Manager). Vi rekommenderar att du använder Resource Manager-distributionsmodellen eftersom den klassiska modellen är äldre.
  • Kontrollera att du har en kompatibel VPN-enhet och någon som kan konfigurera den. Se Om VPN-enheter för mer information om kompatibla VPN-enheter och enhetskonfiguration.
  • Kontrollera att du har en extern offentlig IPv4-adress för VPN-enheten.
  • Om du inte känner till IP-adressintervallen i din lokala nätverkskonfiguration måste du samordna med någon som kan ange den informationen åt dig. När du skapar den här konfigurationen måste du ange prefix för IP-adressintervall som Azure dirigerar till den lokala platsen. Inget av undernäten i ditt lokala nätverk kan överlappa de virtuella nätverksundernät du vill ansluta till.
  • PowerShell krävs för att ange den delade nyckeln och skapa VPN-gatewayanslutningen. När du arbetar med den klassiska distributionsmodellen kan du inte använda Azure Cloud Shell. I stället måste du installera den senaste versionen av Azure Service Management (SM) PowerShell-cmdletar lokalt på datorn. Dessa cmdletar skiljer sig från AzureRM- eller Az-cmdletarna. Information om hur du installerar SM-cmdletar finns i Installera cmdletar för servicehantering. Mer information om Azure PowerShell i allmänhet finns i Azure PowerShell-dokumentationen.

Exempel på konfigurationsvärden för övningen

Vi använder följande värden i exemplen. Du kan använda värdena till att skapa en testmiljö eller hänvisa till dem för att bättre förstå exemplen i den här artikeln. När du arbetar med IP-adressvärden för Adressutrymme vill du vanligtvis samordna med nätverksadministratören för att undvika överlappande adressutrymmen, vilket kan påverka routningen. I det här fallet ersätter du IP-adressvärdena med dina egna om du vill skapa en fungerande anslutning.

  • Resursgrupp: TestRG1
  • VNet-namn: TestVNet1
  • Adressutrymme: 10.11.0.0/16
  • Undernätsnamn: FrontEnd
  • Adressintervall för undernät: 10.11.0.0/24
  • GatewaySubnet: 10.11.255.0/27
  • Region: (USA) USA, östra
  • Namn på lokal plats: Site2
  • Klientadressutrymme: Adressutrymmet som finns på din lokala plats.

Skapa ett virtuellt nätverk

När du skapar ett virtuellt nätverk som ska användas för en S2S-anslutning måste du se till att adressutrymmena som du anger inte överlappar något av klientadressutrymmena för de lokala platser som du vill ansluta till. Om du har överlappande undernät fungerar inte anslutningen ordentligt.

  • Om du redan har ett VNet, kontrollerar du att inställningarna är kompatibla med din VPN-gatewaydesign. Var särskilt uppmärksam på eventuella undernät som kan överlappa andra nätverk.

  • Om du inte redan har ett virtuellt nätverk, skapa ett. Skärmbilderna anges som exempel. Glöm inte att byta ut värdena mot dina egna.

Så här skapar du ett virtuellt nätverk

  1. Navigera till Azure-portalen från en webbläsare och logga in med ditt Azure-konto vid behov.
  2. Välj +Skapa en resurs. Skriv ”Virtuella nätverk” i fältet Sök på marketplace. Leta upp virtuellt nätverk i den returnerade listan och välj det för att öppna sidan Virtuellt nätverk .
  3. På sidan Virtuellt nätverk, under knappen Skapa, visas "Distribuera med Resource Manager (ändra till klassisk)". Resource Manager är standard för att skapa ett virtuellt nätverk. Du vill inte skapa ett virtuellt Resource Manager-nätverk. Välj (ändra till Klassisk) för att skapa ett klassiskt virtuellt nätverk. Välj sedan fliken Översikt och välj Skapa.
  4. På sidan Skapa virtuellt nätverk (klassiskt)fliken Grundläggande konfigurerar du VNet-inställningarna med exempelvärdena.
  5. Välj Granska + skapa för att verifiera ditt virtuella nätverk.
  6. Valideringskörningar. När det virtuella nätverket har verifierats väljer du Skapa.

DNS-inställningar är inte en nödvändig del av den här konfigurationen, men DNS är nödvändigt om du vill ha namnmatchning mellan dina virtuella datorer. Ingen ny DNS-server skapas när du anger ett värde. Den angivna IP-adressen för DNS-servern måste vara en DNS-server som kan matcha namnen för de resurser som du ansluter till.

När du har skapat ditt virtuella nätverk kan du lägga till IP-adressen för en DNS-server för att hantera namnmatchning. Öppna inställningarna för det virtuella nätverket, välj DNS-servrar och lägg till IP-adressen för den DNS-server som du vill använda för namnmatchning.

  1. Leta upp det virtuella nätverket i portalen.
  2. På sidan för ditt virtuella nätverk går du till avsnittet Inställningar och väljer DNS-servrar.
  3. Lägg till en DNS-server.
  4. Spara inställningarna genom att välja Spara överst på sidan.

Konfigurera platsen och gatewayen

Så här konfigurerar du webbplatsen

Den lokala platsen avser vanligtvis din lokala plats. Den innehåller IP-adressen för DEN VPN-enhet som du ska skapa en anslutning till och DE IP-adressintervall som ska dirigeras via VPN-gatewayen till VPN-enheten.

  1. På sidan för ditt virtuella nätverk går du till Inställningar och väljer Plats-till-plats-anslutningar.

  2. På sidan Plats-till-plats-anslutningar väljer du + Lägg till.

  3. På sidan Konfigurera en VPN-anslutning och gateway lämnar du Plats-till-plats för Anslutningstyp valt. I den här övningen måste du använda en kombination av exempelvärdena och dina egna värden.

    • IP-adress till VPN-gateway: Det här är den offentliga IP-adressen till VPN-enheten för ditt lokala nätverk. VPN-enheten måste ha en offentlig IP-adress (IPv4). Ange en giltig offentlig IP-adress för VPN-enheten som du vill ansluta till. Den måste kunna nås av Azure. Om du inte vet VPN-enhetens IP-adress kan du använda ett platshållarvärde (i formatet för en giltig offentlig IP-adress) och ändra det senare.

    • Klientadressutrymme: Visar IP-adressintervall som du vill dirigera till det lokala nätverket via denna gateway. Du kan lägga till flera adressintervall. Kontrollera att de intervall som du anger här inte överlappar intervallen för andra nätverk som ditt virtuella nätverk ansluter till eller med adressintervallen för själva det virtuella nätverket.

  4. Längst ned på sidan väljer du INTE Granska + skapa. Välj i stället Nästa: Gateway>.

Så här konfigurerar du den virtuella nätverksgatewayen

  1. På sidan Gateway väljer du följande värden:

    • Storlek: Det här är den gateway-SKU som du använder för att skapa din virtuella nätverksgateway. Klassiska VPN-gatewayer använder de gamla (äldre) gateway-SKU:erna. Mer information om de äldre gateway-SKU:erna finns i Working with virtual network gateway SKUs (old SKUs) (Arbeta med SKU:er för virtuella nätverksgatewayer (gamla SKU:er)). Du kan välja Standard för den här övningen.

    • Gateway-undernät: Storleken på gatewayundernätet som du anger beror på den VPN-gatewaykonfiguration som du vill skapa. Även om det är möjligt att skapa ett gateway-undernät så litet som /29 rekommenderar vi att du använder /27 eller /28. Då skapas ett större undernät som innehåller fler adresser. Om du använder det större nätverksundernätet får du tillräckligt många IP-adresser för att hantera möjliga framtida konfigurationer.

  2. Välj Granska + skapa längst ned på sidan för att verifiera dina inställningar. Välj Skapa för att distribuera. Det kan ta upp till 45 minuter att skapa en virtuell nätverksgateway, beroende på vilken gateway-SKU du har valt.

Konfigurera din VPN-enhet

Plats-till-plats-anslutningar till ett lokalt nätverk kräver en VPN-enhet. I det här steget konfigurerar du VPN-enheten. När du konfigurerar VPN-enheten behöver du följande värden:

  • En delad nyckel. Det här är samma delade nyckel som du anger när du skapar VPN-anslutningen för plats-till-plats. I vårt exempel använder vi en enkel delad nyckel. Vi rekommenderar att du skapar och använder en mer komplex nyckel.
  • Den offentliga IP-adressen för din virtuella nätverksgateway. Du kan visa den offentliga IP-adressen genom att använda Azure Portal, PowerShell eller CLI.

Beroende på vilken VPN-enhet du har kanske du kan ladda ned ett konfigurationsskript för VPN-enheter. Mer information finns i Ladda ned konfigurationsskript för VPN-enheten.

Följande länkar innehåller mer konfigurationsinformation:

Hämta värden

När du skapar klassiska virtuella nätverk i Azure Portal är namnet som du visar inte det fullständiga namn som du använder för PowerShell. Ett virtuellt nätverk som verkar ha namnet TestVNet1 i portalen kan till exempel ha ett mycket längre namn i nätverkskonfigurationsfilen. För ett VNet i resursgruppens "ClassicRG"-namn kan det se ut ungefär så här: Grupp ClassicRG TestVNet1. När du skapar dina anslutningar är det viktigt att använda de värden som du ser i nätverkskonfigurationsfilen.

I följande steg ansluter du till ditt Azure-konto och laddar ned och visar nätverkskonfigurationsfilen för att hämta de värden som krävs för dina anslutningar.

  1. Ladda ned och installera den senaste versionen av PowerShell-cmdletarna för Azure Service Management (SM). De flesta har Resource Manager-modulerna installerade lokalt, men har inte servicehanteringsmoduler. Service Management-moduler är äldre och måste installeras separat. Mer information finns i Installera servicehanterings cmdletar.

  2. Öppna PowerShell-konsolen med utökade rättigheter och anslut till ditt konto. Använd följande exempel för att hjälpa dig att ansluta. Du måste köra dessa kommandon lokalt med hjälp av PowerShell Service Management-modulen. Anslut till ditt konto. Använd följande exempel för att ansluta:

    Add-AzureAccount
    
  3. Kontrollera prenumerationerna för kontot.

    Get-AzureSubscription
    
  4. Om du har mer än en prenumeration väljer du den du vill använda.

    Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
    
  5. Skapa en katalog på datorn. Till exempel C:\AzureVNet

  6. Exportera nätverkskonfigurationsfilen till katalogen. I det här exemplet exporteras nätverkskonfigurationsfilen till C:\AzureNet.

    Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
    
  7. Öppna filen med en textredigerare och visa namnen på dina virtuella nätverk och webbplatser. Dessa namn är de namn som du använder när du skapar dina anslutningar.
    VNet-namn visas som VirtualNetworkSite-namn =
    Webbplatsnamn visas som LocalNetworkSiteRef-namn =

Skapa anslutningen

Kommentar

För den klassiska distributionsmodellen är det här steget inte tillgängligt i Azure Portal eller via Azure Cloud Shell. Du måste använda servicehanteringsversionen (SM) av Azure PowerShell-cmdletarna lokalt från skrivbordet.

I det här steget anger du den delade nyckeln och skapar anslutningen med hjälp av värdena från föregående steg. Nyckeln som du anger måste vara samma nyckel som användes i vpn-enhetskonfigurationen.

  1. Ange den delade nyckeln och skapa anslutningen.

    • Ändra värdet -VNetName och värdet -LocalNetworkSiteName. När du anger ett namn som innehåller blanksteg ska du ange värdet inom enkla citattecken.
    • "-SharedKey" är ett värde som du genererar och anger sedan. I exemplet använde vi "abc123", men du kan (och bör) generera något mer komplext. Det är viktigt att värdet du anger här är samma värde som du angav när du konfigurerade VPN-enheten.
    Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' `
    -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
    
  2. När anslutningen har skapats visas resultatet: Status: Lyckades.

Verifiera din anslutning

Du kan visa anslutningsstatus i Azure Portal för en klassisk VNet VPN Gateway genom att navigera till anslutningen. Följande steg visar ett sätt att navigera till din anslutning och verifiera.

  1. I Azure Portal går du till det klassiska virtuella nätverket (VNet).
  2. På sidan virtuellt nätverk klickar du på den typ av anslutning som du vill visa. Till exempel plats-till-plats-anslutningar.
  3. På sidan Plats-till-plats-anslutningar går du till Namn och väljer den platsanslutning som du vill visa.
  4. På sidan Egenskaper visar du informationen om anslutningen.

Om du har problem med att ansluta kan du läsa avsnittet Felsöka i innehållsförteckningen i den vänstra rutan.

Återställa en VPN-gateway

Du kan behöva återställa en Azure VPN-gateway om VPN-anslutningen mellan flera platser i en eller flera VPN-tunnlar för plats-till-plats bryts. I det här fallet fungerar de lokala VPN-enheterna korrekt, men de kan inte upprätta IPSec-tunnlar med Azures VPN-gatewayer.

Cmdleten för att återställa en klassisk gateway är Reset-AzureVNetGateway. Azure PowerShell-cmdletarna för Service Management måste installeras lokalt på skrivbordet. Du kan inte använda Azure Cloud Shell. Innan du utför en återställning kontrollerar du att du har den senaste versionen av PowerShell-cmdletarna för Service Management (SM).

När du använder det här kommandot kontrollerar du att du använder det fullständiga namnet på det virtuella nätverket. Klassiska virtuella nätverk som skapades med hjälp av portalen har ett långt namn som krävs för PowerShell. Du kan visa det långa namnet med hjälp Get-AzureVNetConfig -ExportToFile C:\Myfoldername\NetworkConfig.xmlav .

I följande exempel återställs gatewayen för ett virtuellt nätverk med namnet "Group TestRG1 TestVNet1" (som visas som "TestVNet1" i portalen):

Reset-AzureVNetGateway –VnetName 'Group TestRG1 TestVNet1'

Resultat:

Error          :
HttpStatusCode : OK
Id             : f1600632-c819-4b2f-ac0e-f4126bec1ff8
Status         : Successful
RequestId      : 9ca273de2c4d01e986480ce1ffa4d6d9
StatusCode     : OK

Så här ändrar du storlek på en gateway-SKU

Om du vill ändra storlek på en gateway för den klassiska distributionsmodellen måste du använda PowerShell-cmdletarna för Service Management. Ange följande kommando:

Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance

Nästa steg

  • När anslutningen är klar kan du lägga till virtuella datorer till dina virtuella nätverk. Mer information finns i Virtuella datorer.
  • Information om tvingad tunneltrafik finns i Om forcerade tunnlar.