Skapa en PLATS-till-plats-VPN-anslutning – Azure CLI

Den här artikeln visar hur du använder Azure CLI för att skapa en VPN-gatewayanslutning från plats till plats (S2S) från ditt lokala nätverk till ett virtuellt nätverk (VNet).

En vpn-gatewayanslutning från plats till plats används för att ansluta ditt lokala nätverk till ett virtuellt Azure-nätverk via en IPsec/IKE-tunnel (IKEv1 eller IKEv2). Den här typen av anslutning kräver en lokal VPN-enhet som tilldelats till en extern offentlig IP-adress. Stegen i den här artikeln skapar en anslutning mellan VPN-gatewayen och den lokala VPN-enheten med hjälp av en delad nyckel. Mer information om VPN-gatewayer finns i Om VPN-gateway.

Innan du börjar

Kontrollera att din miljö uppfyller följande villkor innan du påbörjar konfigurationen:

• Kontrollera att du har en fungerande routningsbaserad VPN-gateway. Information om hur du skapar en VPN-gateway finns i Skapa en VPN-gateway.

• Om du inte känner till IP-adressintervallen i din lokala nätverkskonfiguration måste du samordna med någon som kan ange den informationen åt dig. När du skapar den här konfigurationen måste du ange de IP-adressintervallprefix som Azure dirigerar till din lokala plats. Inget av undernäten i ditt lokala nätverk kan överlappa de virtuella nätverksundernät som du vill ansluta till.

• VPN-enheter:

  • Kontrollera att du har en kompatibel VPN-enhet och någon som kan konfigurera den. Mer information om kompatibla VPN-enheter och enhetskonfiguration finns i Om VPN-enheter.
  • Ta reda på om VPN-enheten har stöd för aktiv-aktiv-lägesgatewayer. Den här artikeln skapar en VPN-gateway i aktivt aktivt läge, vilket rekommenderas för högtillgänglig anslutning. Aktivt-aktivt läge anger att båda gateway-VM-instanserna är aktiva. Det här läget kräver två offentliga IP-adresser, en för varje gateway-VM-instans. Du konfigurerar VPN-enheten så att den ansluter till IP-adressen för varje gateway-VM-instans.
    Om VPN-enheten inte stöder det här läget ska du inte aktivera det här läget för din gateway. Mer information finns i Designa anslutningar med hög tillgänglighet för anslutningar mellan platser och VNet-till-VNet-anslutningar och Om VPN-gatewayer i aktivt-aktivt läge.

• Den här artikeln kräver version 2.0 eller senare av Azure CLI.

  • Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.

    

  • Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.

    • Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.

    • När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.

    • Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.

Skapa den lokala nätverksgatewayen

Den lokala nätverksgatewayen avser vanligtvis din lokala plats. Du ger webbplatsen ett namn som Azure kan referera till och anger sedan IP-adressen för den lokala VPN-enhet som du ska skapa en anslutning till. Du anger också IP-adressprefixen som ska dirigeras via VPN-gatewayen till VPN-enheten. Adressprefixen du anger är de prefix som finns på det lokala nätverket. Det är enkelt att uppdatera dessa prefix om det lokala nätverket ändras.

Ange följande värden:

• --gateway-ip-address är IP-adressen till den lokala VPN-enheten.
• --local-address-prefixes är dina lokala adressutrymmen.

Använd kommandot az network local-gateway create för att lägga till en lokal nätverksgateway. I följande exempel visas en lokal nätverksgateway med flera adressprefix. Ersätt värdena med dina egna.

az network local-gateway create --gateway-ip-address [IP address of your on-premises VPN device] --name Site1 --resource-group TestRG1 --local-address-prefixes 10.3.0.0/16 10.0.0.0/24

Konfigurera din VPN-enhet

Plats-till-plats-anslutningar till ett lokalt nätverk kräver en VPN-enhet. I det här steget konfigurerar du VPN-enheten. När du konfigurerar VPN-enheten behöver du följande värden:

• Delad nyckel: Den här delade nyckeln är samma som du anger när du skapar din PLATS-till-plats-VPN-anslutning. I våra exempel använder vi en enkel delad nyckel. Vi rekommenderar att du skapar och använder en mer komplex nyckel.

• Offentliga IP-adresser för dina virtuella nätverksgatewayinstanser: Hämta IP-adressen för varje VM-instans. Om din gateway är i aktivt-aktivt läge har du en IP-adress för varje instans av den virtuella gatewaydatorn. Se till att konfigurera enheten med båda IP-adresserna, en för varje aktiv virtuell gateway-dator. Gatewayer i aktivt vänteläge har bara en IP-adress.

  Använd kommandot az network public-ip list för att hitta den offentliga IP-adressen till din virtuella nätverksgateway. För att läsningen ska gå lätt är utdata formaterade för att visa listan över offentliga IP-adresser i tabellformat. I exemplet är VNet1GWpip1 namnet på den offentliga IP-adressresursen.

  az network public-ip list --resource-group TestRG1 --output table
  

Beroende på vilken VPN-enhet du har kanske du kan ladda ned ett konfigurationsskript för VPN-enheter. Mer information finns i Ladda ned konfigurationsskript för VPN-enheten.

Följande länkar innehåller mer konfigurationsinformation:

• Information om kompatibla VPN-enheter finns i Om VPN-enheter.

• Innan du konfigurerar VPN-enheten kontrollerar du om det finns några kända problem med enhetskompatibiliteten.

• Länkar till enhetskonfigurationsinställningar finns i Verifierade VPN-enheter. Vi tillhandahåller länkar för enhetskonfiguration på bästa sätt, men det är alltid bäst att kontakta enhetstillverkaren för att få den senaste konfigurationsinformationen.

  Listan visar de versioner som vi har testat. Om operativsystemets version för VPN-enheten inte finns med i listan kan den fortfarande vara kompatibel. Kontakta enhetstillverkaren.

• Grundläggande information om VPN-enhetskonfiguration finns i Översikt över partner-VPN-enhetskonfigurationer.

• Mer information om att redigera enhetens konfigurationsexempel finns i Redigera exempel.

• Kryptografiska krav finns i Om kryptografiska krav och Azure VPN-gatewayer.

• Information om parametrar som du behöver för att slutföra konfigurationen finns i Standardparametrar för IPsec/IKE. Informationen omfattar IKE-version, Diffie-Hellman-grupp (DH), autentiseringsmetod, krypterings- och hashalgoritmer, livslängd för säkerhetsassociation (SA), PFS (Perfect Forward Secrecy) och DPD (Dead Peer Detection).

• Information om konfigurationssteg för IPsec/IKE-principer finns i Konfigurera anpassade IPsec/IKE-anslutningsprinciper för S2S VPN och VNet-till-VNet.

• Information om hur du ansluter flera principbaserade VPN-enheter finns i Ansluta en VPN-gateway till flera lokala principbaserade VPN-enheter.

Skapa VPN-anslutningen

Skapa en plats-till-plats-VPN-anslutning mellan din virtuella nätverksgateway och din lokala VPN-enhet. Om du använder en aktiv-aktiv lägesgateway (rekommenderas) har varje virtuell gateway-instans en separat IP-adress. Om du vill konfigurera anslutningar med hög tillgänglighet måste du upprätta en tunnel mellan varje VM-instans och din VPN-enhet. Båda tunnlarna ingår i samma anslutning.

Skapa anslutningen med kommandot az network vpn-connection create. Den delade nyckeln måste överensstämma med värdet som du använde vid din konfiguration av VPN-enheten.

az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1

Efter en kort stund har anslutningen upprättats.

Verifiera VPN-anslutningen

Du kan kontrollera att anslutningen har utförts med hjälp av följande kommandot az network vpn-connection show. I exemplet refererar "--name" till namnet på den anslutning som du vill testa. När anslutningen håller på att upprättas visas status Ansluter. När anslutningen har upprättats ändras status till ”Ansluten”. Ändra följande exempel med värdena för din miljö.

az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>

Om du vill använda en annan metod för att verifiera anslutningen kan du läsa Verifiera en anslutning till VPN Gateway.

Vanliga åtgärder

Det här avsnittet tar upp vanliga kommandon som är användbara när du arbetar med plats-till-plats-konfigurationer. En fullständig lista över CLI-nätverkskommandon finns i Azure CLI - Networking (Azure CLI – nätverk).

Visa lokala nätverksgatewayer

Du kan visa en lista över lokala nätverks-gatewayer med kommandot az network local-gateway list.

az network local-gateway list --resource-group TestRG1

Ändra IP-adressprefix för nätverksgateway – ingen gatewayanslutning

Om du vill lägga till eller ta bort IP-adressprefix och din gateway inte har någon anslutning ännu kan du uppdatera prefixen med az network local-gateway create. Använd det befintliga namnet på din lokala nätverksgateway när du ska skriva över befintliga inställningar. Om du inte gör det skapar du en ny lokal nätverksgateway i stället för att skriva över den som redan finns. Du kan också använda det här kommandot för att uppdatera gatewayens IP-adress för VPN-enheten.

Varje gång du gör en ändring måste hela listan med prefix specificeras, inte bara de prefix du vill ändra. Ange endast de prefix du vill behålla. I det här fallet 10.0.0.0/24 och 10.3.0.0/16

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 10.3.0.0/16

Ändra IP-adressprefix för nätverksgateway – existerande gatewayanslutning

Om du har en gatewayanslutning och vill lägga till eller ta bort IP-adressprefix kan du uppdatera prefixen med az network local-gateway update. Det medför en del avbrott för din VPN-anslutning.

Varje gång du gör en ändring måste hela listan med prefix specificeras, inte bara de prefix du vill ändra. I det här exemplet finns redan 10.0.0.0/24 och 10.3.0.0/16. Vi lägger till prefixen 10.5.0.0/16 och 10.6.0.0/16 och anger alla 4 prefixen vid uppdatering.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 10.3.0.0/16 10.5.0.0/16 10.6.0.0/16 --name VNet1toSite2 -g TestRG1

Så här ändrar du ”gatewayIpAddress” för den lokala nätverksgatewayen

Om du ändrar den offentliga IP-adressen för VPN-enheten måste du ändra den lokala nätverksgatewayen med den uppdaterade IP-adressen. När du ändrar gatewayen måste du ange det befintliga namnet på din lokala nätverksgateway. Om du använder ett annat namn skapar du en ny lokal nätverksgateway i stället för att skriva över den befintliga gatewayinformationen.

För att ändra gatewayens IP-adress ersätter du värdena ”Site2” och ”TestRG1” med ditt eget med kommandot az network local-gateway update.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

Verifiera att IP-adressen är rätt i utdata:

"gatewayIpAddress": "23.99.222.170",

Kontrollera delade nyckelvärden

Kontrollera att värdet för den delade nyckeln är samma värde som du använde till VPN-enhetens konfiguration. Om det inte är det kan du antingen köra anslutningen igen med hjälp av värdet från enheten eller uppdatera enheten med värdet från returen. Värdena måste matcha. Om du vill visa den delade nyckeln använder du az network vpn-connection-list.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

Visa den offentliga IP-adressen för VPN-gatewayen

Använd kommandot az network public-ip list för att hitta den offentliga IP-adressen till din virtuella nätverksgateway. För att läsningen ska gå lätt är utdata formaterade för att visa listan över offentliga IP-adresser i tabellformat.

az network public-ip list --resource-group TestRG1 --output table

Nästa steg

• Information om BGP finns i BGP-översikten och Så här konfigurerar du BGP.
• Information om tvingad tunneltrafik finns i Om forcerade tunnlar.
• Information om aktiva-aktiva anslutningar med hög tillgänglighet finns i Högtillgängliga anslutningar mellan platser och VNet-till-VNet-anslutningar.
• Om du vill ha en lista över Azure CLI-nätverkskommandon finns det i Azure CLI.
• Information om hur du skapar en plats-till-plats-VPN-anslutning med hjälp av Azure Resource Manager-mallen finns i Skapa en PLATS-till-plats-VPN-anslutning.
• Information om hur du skapar en VPN-anslutning mellan virtuella nätverk med azure resource manager-mall finns i Distribuera HBase geo-replikering.