共用方式為

在 vWAN 中針對 Azure VMware 解決方案設定站對站 VPN

  • 發行項

在本文中,了解如何在 Microsoft Azure 虛擬 WAN 中樞內建立 VPN (IPsec IKEv1 和 IKEv2) 站對站通道終端。 中樞包含 Azure VMware 解決方案 ExpressRoute 網路閘道和站對站 VPN 網路閘道。 其會將內部部署 VPN 裝置與 Azure VMware 解決方案端點連線。

顯示 VPN 站對站通道結構的圖表。

必要條件

您必須具有在內部部署 VPN 裝置上的公開 IP 位址終端。

建立 Azure 虛擬 WAN

  1. 在入口網站前往 [搜尋資源] 列,接著在搜尋方塊中輸入 [虛擬 WAN],然後選取 [Enter]

  2. 從結果中選取 [虛擬 WAN] 在 [虛擬 WAN] 頁面中,選取 [+ 建立],以開啟 [建立 WAN] 頁面。

  3. 在 [建立 WAN] 頁面的 [基本] 索引標籤中,填寫欄位。 修改範例值以套用至您的環境。

    螢幕擷取畫面顯示 [建立 WAN] 窗格,並選取 [基本] 索引標籤。

    • 訂閱:選取您要使用的訂閱。
    • 資源群組:建立新的或使用現有的。
    • 資源群組位置:從下拉式清單中選擇資源位置。 WAN 是全域資源,並不會在特定區域存留。 不過,您必須選取一個區域以管理及放置所建立的 WAN 資源。
    • 名稱:鍵入要用來稱呼虛擬 WAN 的名稱。
    • 類型:基本或標準。 選取 [標準]。 如果您選取 [基本],請了解基本虛擬 WAN 只能包含基本中樞。 基本中樞只能用於站對站連線。

  4. 填寫欄位完成後,請在頁面底部選取 [檢閱 + 建立]

  5. 驗證通過後,按一下 [建立],以建立虛擬 WAN。

建立虛擬中樞

虛擬中樞是 Azure 虛擬 WAN 建立和使用的虛擬網路。 這是您區域中虛擬 WAN 網路的核心。 其可以包含站對站和 ExpressRoute 的網路閘道。

提示

您也可以在現有的中樞建立閘道

  1. 移至您建立的虛擬 WAN。 在虛擬 WAN 頁面的左側窗格上,於 [連線能力] 下,選取 [中樞]

  2. 在 [中樞] 頁面上,選取 [+ 新增中樞] 來開啟 [建立虛擬中樞] 頁面。

    螢幕擷取畫面顯示 [建立虛擬中樞] 窗格,並選取 [基本] 索引標籤。

  3. 在 [建立虛擬中樞] 頁面的 [基本] 索引標籤中,完成以下欄位:

    • 區域:選取您要在其中部署虛擬中樞的區域。
    • 名稱:您希望虛擬中樞顯示的名稱。
    • 中樞私人位址空間:採用 CIDR 標記法的中樞位址範圍。 最小位址空間是 /24 以便建立中樞。
    • 虛擬中樞容量:從下拉式清單中選取。 如需詳細資訊,請參閱虛擬中樞設定
    • 中樞路由喜好設定:除非您有變更此欄位的特定需求, 否則請將設定保留為預設值 ExpressRoute 。 如需詳細資訊,請參閱虛擬中樞路由偏好設定

建立 VPN 閘道

  1. 在 [建立虛擬中樞] 頁面上,按一下 [站對站] 以開啟 [站對站] 索引標籤。

    螢幕擷取畫面顯示 [建立虛擬中樞] 窗格,並選取 [站對站]。

  2. 在 [站對站] 索引標籤中,完成以下欄位:

    • 選取 [是] 以建立站對站 VPN。

    • AS 編號:您無法編輯 [AS 編號] 欄位。

    • 閘道縮放單位:從下拉式清單選取 [閘道縮放單位] 值。 縮放單位可讓您選取要在虛擬中樞內建立的 VPN 閘道彙總輸送量,以將網站連線到該閘道。

      如果您選取 1 個縮放單位 = 500 Mbps,則表示將建立兩個備援的執行個體,每個執行個體都有 500 Mbps 的最大輸送量。 例如,如果您有五個分支,每個分支執行 10 Mbps,則您需要在前端有 50 Mbps 的彙總。 在評估支援中樞分支數目所需的容量之後,應完成 Azure VPN 閘道的彙總容量規劃。

    • 路由喜好設定:Azure 路由喜好設定可讓您選擇流量在 Azure 與網際網路之間的路由方式。 您可以選擇透過 Microsoft 網路或經由 ISP 網路 (公用網際網路) 來路由傳送流量。 這些選項也分別稱為冷馬鈴薯路由和熱馬鈴薯路由。

      虛擬 WAN 中的公用 IP 位址會由服務根據選取的路由選項指派。 如需透過 Microsoft 網路或 ISP 的路由喜好設定詳細資訊,請參閱路由喜好設定一文。

  3. 選取 [檢閱 + 建立] 以進行驗證。

  4. 選取 [建立] 以建立中樞和閘道。 這項作業可能需要 30 分鐘的時間。 30 分鐘後,按一下 [重新整理] 以檢視 [中樞] 頁面上的中樞。 選取 [移至資源],以導覽至資源。

建立站對站 VPN

  1. 在 Azure 入口網站中,選取您稍早建立的虛擬 WAN。

  2. 在虛擬中樞的 [概觀] 中,選取 [連線]>[VPN (站對站)]>[建立新的 VPN 網站]

    虛擬中樞的 [概觀] 頁面螢幕擷取畫面,其中已選取 VPN (站對站) 和 [建立新的 VPN 網站]。

  3. 在 [基本] 索引標籤上,輸入必要欄位。

    顯示 [建立 VPN 網站] 頁面,並且開啟 [基本] 索引標籤的螢幕擷取畫面。

    • 區域 - 先前稱為位置。 這是您要在其中建立此網站資源的位置。

    • 名稱 - 您要用來參考內部部署網站的名稱。

    • 裝置廠商 - VPN 裝置廠商的名稱 (例如:Citrix、Cisco 或 Barracuda)。 其可協助 Azure 小組深入了解您的環境,以便在未來增加額外最佳化的可能性,或協助您進行疑難排解。

    • 私人位址空間 - 位於內部部署網站上的 CIDR IP 位址空間。 流向此位址空間的流量會路由至您本機網站。 只有在網站未啟用 BGP 時,才需要 CIDR 區塊。

    注意

    如果您在建立網站後編輯位址空間 (例如,新增額外的位址空間),則在重建元件時,可能需要 8-10 分鐘的時間來更新有效的路由。

  4. 請選取 [連結],以新增分支上實體連結的相關資訊。 如果您有虛擬 WAN 合作夥伴 CPE 裝置,請檢查這些裝置是否與 Azure 交換該資訊,作為從其系統所設定分支資訊上傳的一部分。

    指定連結和提供者名稱可讓您區分最終可能會建立為中樞一部分的任何網路閘道數目。 BGP 和自發系統號碼 (ASN) 在您的組織內不得重複。 BGP 可確保 Azure VMware 解決方案和內部部署伺服器皆會跨通道公告其路由。 如果停用,則必須手動維護需要公告的子網路。 如果遺漏子網路,HCX 無法形成服務網格。

    重要

    依預設,Azure 會將 GatewaySubnet 首碼範圍中的私人 IP 位址自動指派為 Azure VPN 閘道上的 Azure BGP IP 位址。 當內部部署 VPN 裝置使用 APIPA 位址 (169.254.0.1 到 169.254.255.254) 作為 BGP IP 時,需要自訂 Azure APIPA BGP 位址。 如果對應的區域網路閘道資源 (內部部署網路) 具有作為 BGP 對等體 IP 的 APIPA 位址,Azure VPN 閘道將會選擇自訂的 APIPA 位址。 如果區域網路閘道使用一般 IP 位址 (非 APIPA),Azure VPN 閘道將會從 GatewaySubnet 範圍還原為私人 IP 位址。

    顯示 [建立 VPN 網站] 頁面,並且開啟 [連結] 索引標籤的螢幕擷取畫面。

  5. 選取 [檢閱 + 建立]。

  6. 瀏覽至您想要的虛擬中樞,然後取消選取 [中樞關聯] 以將 VPN 網站連線到中樞。

    螢幕擷取畫面顯示 [連線至此中樞]。

(選擇性) 建立原則型 VPN 站對站通道

重要

這是選擇性步驟,僅適用於原則型 VPN。

原則型 VPN 設定需要指定內部部署和 Azure VMware 解決方案網路,包括中樞範圍。 這些範圍會指定原則型 VPN 通道內部部署端點的加密網域。 Azure VMware 解決方案端只需要啟用原則型流量選取器指標。

  1. 在 Azure 入口網站中,前往您的虛擬 WAN 中樞網站,然後在 [連線能力] 底下,選取 [VPN (站對站)]

  2. 選取要為其設定自訂 IPsec 原則的 VPN 網站。

  3. 選取 VPN 網站名稱,選取最右邊的 [更多] (...),然後選取 [編輯 VPN 連線]

    顯示現有 VPN 網站捷徑功能表的螢幕擷取畫面。

    • 網際網路通訊協定安全性 (IPsec),請選取 [自訂]

    • 使用原則型流量選取器,選取 [啟用]

    • 指定 [IKE 階段 1] 和 [IKE 階段 2 (ipsec)] 的詳細資料。

  4. 將 IPsec 設定從預設變更為自訂,並自訂 IPsec 原則。 然後選取儲存

    顯示現有 VPN 網站的螢幕擷取畫面。

    屬於原則型加密網域一部分的流量選取器或子網路應該是:

    • 虛擬 WAN 中樞 /24

    • Azure VMware 解決方案私人雲端 /22

    • 已連線的 Azure 虛擬網路 (若有的話)

將 VPN 網站連線到中樞

  1. 選取您的 VPN 網站名稱,然後選取 [連線 VPN 網站]

  2. 在 [預先共用金鑰] 欄位中,輸入先前針對內部部署端點定義的金鑰。

    提示

    如果您沒有先前定義的金鑰,您可以將此欄位留白。 系統會自動為您產生金鑰。

    螢幕擷取畫面顯示虛擬中樞的 [已連線網站] 窗格,可使用預先共用金鑰和相關聯的設定。

  3. 如果您要在中樞部署防火牆,且其是下一個躍點,請將 [傳播預設路由] 選項設定為 [啟用]

    啟用後,僅在中樞中部署防火牆時,中樞已學習預設路由,或者另一個連線的網站已啟用強制通道時,虛擬 WAN 中樞才會傳播到連線。 預設路由不是來自虛擬 WAN 中樞。

  4. 選取 Connect。 幾分鐘後,網站會顯示連線和連線能力狀態。

    顯示站對站連線和連線能力狀態的螢幕擷取畫面。

    連線狀態:這是 VPN 網站連線至 Azure 中樞 VPN 網路閘道的連線 Azure 資源狀態。 此控制平面作業成功後,Azure VPN 網路閘道和內部部署 VPN 裝置將建立連線能力。

    連線狀態:中樞和 VPN 網站中,Azure VPN 網路閘道之間的實際連線能力 (資料路徑) 狀態。 可能顯示下列其中任何一個狀態:

    • 未知:如果後端系統正在轉換成另一個狀態,通常會看到此狀態。
    • 正在連線:Azure VPN 網路閘道正嘗試與實際的內部部署 VPN 網站連線。
    • 已連線:在 Azure VPN 網路閘道與內部部署 VPN 網站之間建立的連線能力。
    • 中斷連線:如果因任何原因 (本機或 Azure) 中斷連線,通常會看到此狀態

  5. 下載 VPN 設定檔,並將其套用至內部部署端點。

    1. 在 [VPN (站對站)] 頁面上,選取頂端附近的 [下載 VPN 設定]。Azure 會在資源群組 'microsoft-network-[location]' 中建立儲存體帳戶,其中 location 是 WAN 的位置。 將設定套用至您的 VPN 裝置之後,您可以刪除此儲存體帳戶。

    2. 建立之後請選取連結,下載檔案。

    3. 將組態套用至您的內部部署 VPN 裝置。

    如需設定檔的詳細資訊,請參閱關於 VPN 裝置設定檔

  6. 修補虛擬 WAN 中樞內的 Azure VMware 解決方案 ExpressRoute。

    重要

    您必須先建立私人雲端,才能修補平台。

    重要

    您也必須將 ExpressRoute 網路閘道設定為虛擬 WAN 中樞的一部分。

    1. 在 Azure 入口網站中,移至 Azure VMware 解決方案私有雲。

    2. 在 [管理] 下,選取 [連線]

    3. 選取 [ExpressRoute] 索引標籤,然後選取 [+ 要求授權金鑰]

      此螢幕擷取畫面顯示要求 ExpressRoute 授權金鑰的選取項目。

    4. 提供授權金鑰的名稱,然後選取 [建立]

      建立金鑰可能需要大約 30 秒的時間。 在建立金鑰之後,此金鑰會出現在私人雲端的授權金鑰清單中。

      此螢幕擷取畫面顯示 ExpressRoute Global Reach 授權金鑰。

    5. 複製授權金鑰和 ExpressRoute 識別碼。 您需要這些項目,才能完成對等互連。 授權金鑰在一段時間後將消失,因此請在顯示時盡快複製金鑰。

  7. 在虛擬 WAN 中樞中將 Azure VMware 解決方案和 VPN 網路閘道連結。 使用上一個步驟中的授權金鑰和 ExpressRoute 識別碼 (對等線路 URI)。

    1. 選取您的 ExpressRoute 網路閘道,然後選取 [兌換授權金鑰]

      私有雲的 ExpressRoute 頁面螢幕擷取畫面,其中選取了 [兌換授權金鑰]。

    2. 將授權金鑰貼上到 [授權金鑰] 欄位中。

    3. 將 ExpressRoute 識別碼貼上到 [同儕節點路線 URI] 欄位中。

    4. 選取 [自動將此 ExpressRoute 線路與中樞建立關聯] 核取方塊。

    5. 選取 [新增] 以建立連結。

  8. 透過建立 NSX-T 資料中心區段並在網路上佈建 VM 來測試您的連線。 Ping 內部部署和 Azure VMware 解決方案端點。

    注意

    等待大約 5 分鐘,然後再測試 ExpressRoute 線路後面的用戶端連線,例如,先前在 VNet 中建立的 VM。