將 VPN 閘道 (虛擬網路閘道) 連線到虛擬 WAN
本文可協助您設定從 Azure VPN 閘道 (虛擬網路閘道) 到 Azure 虛擬 WAN (VPN 閘道) 之間的連線。 建立從 Azure VPN 閘道 (虛擬網路閘道) 到虛擬 WAN (VPN 閘道) 之間的連線,與設定從 VPN 分支網站到虛擬 WAN 之間的連線類似。
為了盡可能避免造成混淆,我們會在閘道前面加上我們參考的功能名稱。 例如,VPN 閘道虛擬網路閘道,以及虛擬 WAN VPN 閘道。
開始之前
開始之前,請先建立下列資源:
Azure Virtual WAN
虛擬網路 (適用於虛擬網路閘道)
- 建立不含任何虛擬網路閘道的虛擬網路。 將會在後續步驟中使用主動/主動虛擬網路閘道設定此虛擬網路。 驗證沒有任何內部部署網路的子網路與您要連線的虛擬網路子網路重疊。
1.設定 VPN 閘道虛擬網路閘道
本節內容中,您會在主動-主動模式下為虛擬網路建立 VPN 閘道虛擬網路閘道。 當您建立閘道時,閘道的兩個執行個體可以使用現有的公用 IP 位址,也可以建立新的公用 IP。 設定虛擬 WAN 網站時會用到這些公用 IP。
在您的虛擬網路中,以主動-主動模式建立 VPN 閘道虛擬網路閘道。 如需主動-主動 VPN 閘道和設定步驟的詳細資訊,請參閱設定主動-主動 VPN 閘道。
下列各節會提供虛擬網路閘道的範例設定。
主動-主動模式設定:在虛擬網路閘道 [組態] 頁面上,確定已啟用主動-主動模式。
BGP 設定:在虛擬網路閘道的 [設定] 頁面上,可以選取 (選擇性) [設定 BGP ASN]。 如果您設定了 BGP,請在入口網站中變更 ASN 所顯示的預設值。 在此設定下,BGP ASN 不能是 65515。 因為 Azure 虛擬 WAN 將使用 65515。
公用 IP 位址:建立閘道後,請前往 [屬性] 頁面。 屬性和組態設定會類似下列範例。 請留意用於閘道的兩個公用 IP 位址。
2.建立虛擬 WAN VPN 網站
本節內容中,您會建立兩個虛擬 WAN VPN 網站,以呼應在上一節中建立的虛擬網路閘道。
在您的 [虛擬 WAN] 頁面上,請前往 [VPN 網站]。
在 [VPN 網站] 頁面上,選取 [+ 建立網站]。
在 [建立 VPN 網站] 頁面的 [基本] 索引標籤中,完成以下欄位:
- 區域:與 Azure VPN 閘道虛擬網路閘道相同的區域。
- 名稱:範例:網站 1
- 裝置廠商: VPN 裝置廠商的名稱 (例如:Citrix、Cisco、Barracuda)。 新增裝置廠商可協助 Azure 小組深入了解您的環境,以便在未來增加額外最佳化的可能性,或協助您進行疑難排解。
- 私人位址空間:輸入值,若啟用了 BGP 則保留空白。
選取 [下一步:連結>] 以前進到 [連結] 頁面。
在 [連結] 頁面上,完成以下欄位:
- 連結名稱: 您想要為 VPN 網站實體連結提供的名稱。 範例:連結 1。
- 連結速度: 這是 VPN 裝置在分支位置的速度。 範例:50,代表 VPN 裝置在分支網站的速度為 50 Mbps。
- 連結提供者名稱: VPN 網站的實體連結名稱。 範例:ATT、Verizon。
- 連結 IP 位址:輸入 IP 位址。 設定與 (VPN 閘道) 虛擬網路閘道屬性底下,所顯示的第一個公用 IP 位址相同。
- BGP 位址和 ASN:這些必須相同於其中一個 BGP 對等 IP 位址,以及您在步驟 1 中所設定的 VPN 閘道虛擬網路閘道。
填寫完欄位之後,請選取 [檢閱 + 建立]來進行確認。 選取 [建立] 以建立網站。
重複上述步驟以建立第二個網站,該網站要與 VPN 閘道虛擬網路閘道的第二個執行個體相符。 除了使用第二個公用 IP 位址,和來自 VPN 閘道設定的第二個 BGP 對等 IP 位址之外,都要保留相同的設定。
您現在已成功佈建兩個網站。
3.將網站連線至虛擬中樞
接下來,使用下列步驟將這兩個網站連線至虛擬中樞。 如需連線網站的詳細資訊,請參閱將 VPN 網站連線至虛擬中樞。
在虛擬 WAN頁面上,移至 [中樞]。
在 [中樞] 頁面上,按一下您建立的中樞。
在您建立的中樞頁面左側窗格中,選取 [VPN (站對站)]。
在 [VPN (站對站)] 頁面上,應該會看到您的網站。 如果沒有看到,您可能需要按一下 [中樞關聯:x] 泡泡,來清除篩選條件並檢視您的網站。
選取這些網站名稱旁的核取方塊 (不要直接按一下網站名稱),然後按一下 [連線到 VPN 網站]。
在 [連線網站] 頁面上進行設定。 請務必記下您使用的 [預先共用金鑰] 值。 稍後會在建立連線的練習中再次用到。
選取頁面底部的 [連線]。 中樞需要一段時間才能依網站設定進行更新。
4.下載 VPN 設定檔
在本節中,您要為在上一節中建立的網站下載 VPN 設定檔。
在您的虛擬 WAN 頁面上,請前往 [VPN 網站]。
在 [VPN 網站] 頁面上,選取頁面頂端的 [下載站對站 VPN 設定],並下載檔案。 Azure 在下一節中會使用區域網路閘道設定所用的必要值來建立設定檔。
5.建立區域網路閘道
在本節中,您會建立兩個 Azure VPN 閘道區域網路閘道。 上一個步驟中的設定檔包含了閘道組態設定。 使用這些設定來建立並設定Azure VPN 閘道區域網路閘道。
使用這些設定來建立區域網路閘道。 如需 VPN 閘道區域網路閘道建立方式的資訊,請參閱建立區域網路閘道的 VPN 閘道相關文章。
- IP 位址:使用設定檔中 gatewayconfiguration 所顯示的 Instance0 IP 位址。
- BGP:如果連線是使用 BGP,請勾選 [進行 BGP 設定],然後輸入 ASN '65515'。 輸入 BGP 對等 IP 位址。 針對設定檔中的 gatewayconfiguration,使用 'Instance0 BgpPeeringAddresses'。
- 位址空間:如果連線不是使用 BGP,請勿勾選 [進行 BGP 設定]。 輸入您要從虛擬網路閘道端公告的位址空間。 您可以加入多個位址空間範圍。 確定您在此指定的範圍,不會與您要連線的其他網路範圍重疊。
- 訂閱、資源群組和位置:與虛擬 WAN 中樞相同。
檢閱並建立區域網路閘道。 您的區域網路閘道看起來應該類似這個範例。
重複上述步驟以建立另一個區域網路閘道,但這次請改用 'Instance1' 的值,而不要使用設定檔中 'Instance0' 的值。
重要
請注意,當設定 BGP Over IPsec 連線到非具有遠端 ASN '65515' 的 vWAN 閘道公用 IP 位址時,局域網路閘道部署將會失敗,因為 ASN '65515' 是記載的保留 ASN,如 我可以使用哪些自發系統 中所述。 不過,當區域網路閘道使用遠端 ASN '65515' 讀取 vWAN 公用位址時,平台會解除此限制。
6.建立連線
在本節中,您會建立 VPN 閘道區域網路閘道與虛擬網路閘道之間的連線。 如需建立 VPN 閘道連線的步驟,請參閱設定連線。
在入口網站中,前往您的虛擬網路閘道,然後選取 [連線]。 在 [連線] 頁面的頂部,選取 [+新增] 以開啟 [新增連線] 頁面。
在 [新增連線] 頁面上,為您的連線設定下列值:
- 名稱:為您的連線命名。
- 連線類型:選取 [站對站 (IPSec)]
- 虛擬網路閘道:因為您正從此閘道連線,所以值是固定的。
- 區域網路閘道:此連線會將虛擬網路閘道連線到區域網路閘道。 選擇您稍早建立的其中一個區域網路閘道。
- 共用金鑰:請輸入稍早的共用金鑰。
- IKE 通訊協定:選擇 IKE 通訊協定。
選取 [確定] 來建立連線。
您可以在虛擬網路閘道的 [連線] 頁面中檢視連線。
重複上述步驟以建立第二個連線。 針對第二個連線,選取您建立的區域網路閘道。
如果連線是使用 BGP,在您建立連線之後,請前往連線然後選取 [設定]。 在 [設定] 頁面上,針對 BGP 選取 [已啟用]。 然後選取 [儲存]。
針對第二個連線重複上述步驟。
7.測試連接
您可以建立兩部虛擬機器來測試連線能力,一部位於 VPN 閘道虛擬網路閘道這邊,另一部位於虛擬 WAN 的虛擬網路中,然後 Ping 這兩部虛擬機器。
在 Azure VPN 閘道 (Test1-VNG) 的虛擬網路 (Test1-VNet) 中建立虛擬機器。 請勿在 GatewatSubnet 建立虛擬機器。
建立另一個虛擬網路以連線到虛擬 WAN。 在此虛擬網路的子網路中建立虛擬機器。 此虛擬網路不能包含任何虛擬網路閘道。 您可以使用站對站連線一文中的 PowerShell 步驟,快速建立虛擬網路。 在執行該 Cmdlet 之前,請務必先變更值。
將 VNet 連線到虛擬 WAN 中樞。 在虛擬 WAN 頁面上,選取 [虛擬網路連線],然後選取 [+新增連線]。 在 [新增連線] 頁面上,填寫下列欄位︰
- 名稱 - 為您的連線命名。
- 中樞 - 選取要與此連線產生關聯的中樞。
- 訂用帳戶 - 請確認訂用帳戶。
- 虛擬網路 - 選取要與此中樞連線的虛擬網路。 虛擬網路不能具有現有的虛擬網路閘道。
選取 [確認] 建立虛擬網路連線。
VM 之間現在已建立了連線。 您應該能夠從一個 VM Ping 另一個,除非有任何防火牆或其他原則封鎖了通訊。
下一步
- 如需虛擬 WAN 站對站 VPN 的詳細資訊,請參閱教學課程:虛擬 WAN 網站對網站 VPN。
- 如需 VPN 閘道主動-主動閘道設定的詳細資訊,請參閱 VPN 閘道主動-主動設定。