Konfigurace společně používaných připojení typu Site-to-Site a ExpressRoute (Classic)Configure ExpressRoute and Site-to-Site coexisting connections (classic)

Tento článek vám pomůže nakonfigurovat připojení ExpressRoute a VPN typu Site-to-Site, která existovat vedle sebe.This article helps you configure ExpressRoute and Site-to-Site VPN connections that coexist. Možnost konfigurace VPN typu site-to-site a ExpressRoute má několik výhod.Having the ability to configure Site-to-Site VPN and ExpressRoute has several advantages. Můžete nakonfigurovat VPN typu Site-to-Site jako cestu zabezpečené převzetí služeb při selhání pro ExpressRoute, nebo použít VPN typu Site-to-Site pro připojení k webům, které nejsou připojené prostřednictvím ExpressRoute.You can configure Site-to-Site VPN as a secure failover path for ExpressRoute, or use Site-to-Site VPNs to connect to sites that are not connected through ExpressRoute. V tomto článku vám nabídneme postupy konfigurace pro oba scénáře.We will cover the steps to configure both scenarios in this article. Tento článek se týká modelu nasazení Classic.This article applies to the classic deployment model. Tato konfigurace není k dispozici na portálu.This configuration is not available in the portal.

Důležité

Od 1. března 2017 už v modelu nasazení Classic není možné vytvářet nové okruhy ExpressRoute.As of March 1, 2017, you can't create new ExpressRoute circuits in the classic deployment model.

  • Stávající okruh ExpressRoute můžete z modelu nasazení Classic do modelu nasazení Resource Manager přesunout, aniž by došlo k výpadku připojení.You can move an existing ExpressRoute circuit from the classic deployment model to the Resource Manager deployment model without experiencing any connectivity down time. Další informace najdete v tématu věnovaném přesunu stávajících okruhů.For more information, see Move an existing circuit.
  • K virtuálním sítím v modelu nasazení Classic se můžete připojit tak, že nastavíte allowClassicOperations na TRUE.You can connect to virtual networks in the classic deployment model by setting allowClassicOperations to TRUE.

K vytvoření a správě okruhů ExpressRoute v modelu nasazení Resource Manager použijte následující odkazy:Use the following links to create and manage ExpressRoute circuits in the Resource Manager deployment model:

O modelech nasazení AzureAbout Azure deployment models

Azure v současné době používá dva modely nasazení: Resource Manager a classic.Azure currently works with two deployment models: Resource Manager and classic. Tyto dva modely nejsou navzájem zcela kompatibilní.The two models are not completely compatible with each other. Než začnete, musíte vědět, ve kterém modelu chcete pracovat.Before you begin, you need to know which model that you want to work in. Informace o modelech nasazení najdete v tématu Vysvětlení modelů nasazení.For information about the deployment models, see Understanding deployment models. Pokud s Azure začínáte, doporučujeme vám použít model nasazení Resource Manager.If you are new to Azure, we recommend that you use the Resource Manager deployment model.

Důležité

Než budete postupovat podle dál uvedených pokynů, musí být předem nakonfigurované okruhy ExpressRoute.ExpressRoute circuits must be pre-configured before you follow the instructions below. Před provedením následujících kroků zkontrolujte, že jste provedli postupy pro vytvoření okruhu ExpressRoute a konfiguraci směrování.Make sure that you have followed the guides to create an ExpressRoute circuit and configure routing before you follow the steps below.

OmezeníLimits and limitations

  • Směrování provozu není podporováno.Transit routing is not supported. Nemůžete provádět směrování (přes Azure) mezi místní sítí připojenou prostřednictvím sítě VPN typu site-to-site a místní sítí připojenou přes ExpressRoute.You cannot route (via Azure) between your local network connected via Site-to-Site VPN and your local network connected via ExpressRoute.
  • Typ point-to-site není podporován.Point-to-site is not supported. Nemůžete povolit připojení VPN typu point-to-site ke stejné virtuální síti, která je připojená k ExpressRoute.You can't enable point-to-site VPN connections to the same VNet that is connected to ExpressRoute. Připojení VPN typu point-to-site a ExpressRoute nemůžou existovat pro stejnou síť VNet souběžně.Point-to-site VPN and ExpressRoute cannot coexist for the same VNet.
  • Na bráně VPN typu site-to-site nelze povolit vynucené tunelové propojení.Forced tunneling cannot be enabled on the Site-to-Site VPN gateway. Můžete pouze „vynutit“ veškerý provoz směřující na internet zpět do místní sítě prostřednictvím ExpressRoute.You can only "force" all Internet-bound traffic back to your on-premises network via ExpressRoute.
  • Základní brána SKU není podporována.Basic SKU gateway is not supported. Pro bránu ExpressRoute a bránu VPN je nutné použít jinou než základní bránu SKU.You must use a non-Basic SKU gateway for both the ExpressRoute gateway and the VPN gateway.
  • Podporována je pouze brána VPN na základě tras.Only route-based VPN gateway is supported. Je nutné použít službu VPN Gateway na základě tras.You must use a route-based VPN Gateway.
  • Pro vaši bránu VPN by měla být nakonfigurována statická trasa.Static route should be configured for your VPN gateway. Pokud je vaše místní síť připojená k ExpressRoute a síti VPN typu site-to-site, musíte mít v místní síti konfigurovanou statickou trasu, abyste mohli směrovat připojení VPN typu site-to-site do veřejného internetu.If your local network is connected to both ExpressRoute and a Site-to-Site VPN, you must have a static route configured in your local network to route the Site-to-Site VPN connection to the public Internet.
  • Nejprve je nutné nakonfigurovat bránu ExpressRoute.ExpressRoute gateway must be configured first. Bránu ExpressRoute musíte vytvořit předtím, než přidáte bránu VPN typu site-to-site.You must create the ExpressRoute gateway first before you add the Site-to-Site VPN gateway.

Návrhy konfiguraceConfiguration designs

Konfigurace VPN typu site-to-site jako cesty převzetí služeb při selhání pro ExpressRouteConfigure a Site-to-Site VPN as a failover path for ExpressRoute

Můžete nakonfigurovat připojení VPN typu site-to-site jako záložní pro ExpressRoute.You can configure a Site-to-Site VPN connection as a backup for ExpressRoute. To platí jenom pro virtuální sítě, které jsou propojené s cestou soukromého partnerského vztahu Azure.This applies only to virtual networks linked to the Azure private peering path. Neexistuje žádné řešení převzetí služeb při selhání založené na VPN pro služby, které jsou přístupné prostřednictvím veřejného partnerského vztahu Azure nebo partnerského vztahu Microsoftu.There is no VPN-based failover solution for services accessible through Azure public and Microsoft peerings. Okruh ExpressRoute je vždy primárním propojením.The ExpressRoute circuit is always the primary link. Data budou procházet cestou VPN typu site-to-site jenom v případě, když okruh ExpressRoute selže.Data will flow through the Site-to-Site VPN path only if the ExpressRoute circuit fails.

Poznámka

I když v případě, že jsou obě trasy stejné, je okruh ExpressRoute upřednostněný před VPN typu Site-to-Site, Azure k výběru trasy směrem k cíli paketu použije nejdelší shodu předpony.While ExpressRoute circuit is preferred over Site-to-Site VPN when both routes are the same, Azure will use the longest prefix match to choose the route towards the packet's destination.

Současná existence

Konfigurace VPN typu site-to-site pro připojení webů, které nejsou připojené prostřednictvím ExpressRouteConfigure a Site-to-Site VPN to connect to sites not connected through ExpressRoute

Svoji síť můžete nakonfigurovat tak, že některé weby jsou připojené přímo k Azure prostřednictvím VPN typu site-to-site a některé weby přes ExpressRoute.You can configure your network where some sites connect directly to Azure over Site-to-Site VPN, and some sites connect through ExpressRoute.

Současná existence

Poznámka

Virtuální síť nemůžete nakonfigurovat jako směrovač provozu.You cannot a configure a virtual network as a transit router.

Výběr kroků k použitíSelecting the steps to use

Existují dvě sady postupů, ze kterých si můžete vybrat, když konfigurujete připojení, která můžou existovat společně.There are two different sets of procedures to choose from in order to configure connections that can coexist. Postup konfigurace, který vyberete, bude záviset na tom, jestli máte existující virtuální síť, ke které se chcete připojit, nebo chcete vytvořit novou virtuální síť.The configuration procedure that you select will depend on whether you have an existing virtual network that you want to connect to, or you want to create a new virtual network.

  • Nemám virtuální síť a potřebuji ji vytvořit.I don't have a VNet and need to create one.

    Pokud ještě nemáte virtuální síť, tento postup vás provede procesem vytvoření nové virtuální sítě pomocí modelu nasazení Classic a vytvoření nových připojení ExpressRoute a VPN typu site-to-site.If you don’t already have a virtual network, this procedure will walk you through creating a new virtual network using the classic deployment model and creating new ExpressRoute and Site-to-Site VPN connections. Konfiguraci provedete podle kroků v části Vytvoření nové virtuální sítě a koexistujících připojení.To configure, follow the steps in the article section To create a new virtual network and coexisting connections.

  • Už mám virtuální síť modelu nasazení Classic.I already have a classic deployment model VNet.

    Už můžete mít virtuální síť s existujícím připojením VPN typu site-to-site nebo připojením ExpressRoute.You may already have a virtual network in place with an existing Site-to-Site VPN connection or ExpressRoute connection. V části článku konfigurace současně existujících připojení pro už existující virtuální síť uvedené části najdete postup odstranění brány a následného vytvoření nových připojení ExpressRoute a VPN typu Site-to-Site.The article section To configure coexisting connections for an already existing VNet will walk you through deleting the gateway, and then creating new ExpressRoute and Site-to-Site VPN connections. Uvědomte si, že při vytváření nových připojení musí být kroky provedené ve velmi specifickém pořadí.Note that when creating the new connections, the steps must be completed in a very specific order. Nepoužívejte pro vytvoření připojení a bran pokyny z jiných článků.Don't use the instructions in other articles to create your gateways and connections.

    V tomto postupu bude vytvoření připojení, která mohou existovat společně, vyžadovat, abyste odstranili bránu a pak nakonfigurovali nové brány.In this procedure, creating connections that can coexist will require you to delete your gateway, and then configure new gateways. To znamená, že budete mít během odstraňování a opětného vytváření brány a připojení výpadek připojení mezi místy, ale nebude nutné migrovat žádné virtuální počítače a služby do nové virtuální sítě.This means you will have downtime for your cross-premises connections while you delete and recreate your gateway and connections, but you will not need to migrate any of your VMs or services to a new virtual network. Virtuální počítače a služby budou během konfigurace brány stále schopné komunikovat prostřednictvím nástroje pro vyrovnávání zatížení, pokud jsou tak nakonfigurované.Your VMs and services will still be able to communicate out through the load balancer while you configure your gateway if they are configured to do so.

Vytvoření nové virtuální sítě a současně existujících připojeníTo create a new virtual network and coexisting connections

Tento postup vás provede procesem vytvoření virtuální sítě a vytvoření připojení ExpressRoute a VPN site-to-site, která budou existovat společně.This procedure will walk you through creating a VNet and create Site-to-Site and ExpressRoute connections that will coexist.

  1. Budete potřebovat nainstalovat nejnovější verzi rutin Azure PowerShellu.You'll need to install the latest version of the Azure PowerShell cmdlets. Další informace o instalaci rutin prostředí PowerShell najdete v tématu Instalace a konfigurace Azure PowerShellu.See How to install and configure Azure PowerShell for more information about installing the PowerShell cmdlets. Všimněte si, že rutiny, které budete používat pro tuto konfiguraci, se můžou mírně lišit od těch, co znáte.Note that the cmdlets that you'll use for this configuration may be slightly different than what you might be familiar with. Ujistěte se, že používáte rutiny určené v těchto pokynech.Be sure to use the cmdlets specified in these instructions.

  2. Vytvořte schéma pro virtuální síť.Create a schema for your virtual network. Další informace o schématu konfigurace najdete v tématu Azure Virtual Network configuration schema (Schéma konfigurace Azure Virtual Network).For more information about the configuration schema, see Azure Virtual Network configuration schema.

    Při vytváření schématu použijte následující hodnoty:When you create your schema, make sure you use the following values:

    • Podsíť brány pro virtuální síť musí být /27 nebo kratší předpona (například /26 nebo /25).The gateway subnet for the virtual network must be /27 or a shorter prefix (such as /26 or /25).

    • Typ připojení brány je Vyhrazené.The gateway connection type is "Dedicated".

          <VirtualNetworkSite name="MyAzureVNET" Location="Central US">
            <AddressSpace>
              <AddressPrefix>10.17.159.192/26</AddressPrefix>
            </AddressSpace>
            <Subnets>
              <Subnet name="Subnet-1">
                <AddressPrefix>10.17.159.192/27</AddressPrefix>
              </Subnet>
              <Subnet name="GatewaySubnet">
                <AddressPrefix>10.17.159.224/27</AddressPrefix>
              </Subnet>
            </Subnets>
            <Gateway>
              <ConnectionsToLocalNetwork>
                <LocalNetworkSiteRef name="MyLocalNetwork">
                  <Connection type="Dedicated" />
                </LocalNetworkSiteRef>
              </ConnectionsToLocalNetwork>
            </Gateway>
          </VirtualNetworkSite>
      
  3. Po vytvoření a konfiguraci souboru schématu XML tento soubor odešlete.After creating and configuring your xml schema file, upload the file. Tím vytvoříte virtuální síť.This will create your virtual network.

    Použijte následující rutinu k odeslání souboru (po náhradě vlastní hodnotou).Use the following cmdlet to upload your file, replacing the value with your own.

     Set-AzureVNetConfig -ConfigurationPath 'C:\NetworkConfig.xml'
    
  4. Vytvořte bránu ExpressRoute.Create an ExpressRoute gateway. Je nutné zadat GatewaySKU jako Standard, HighPerformance nebo UltraPerformance a GatewayType jako DynamicRouting.Be sure to specify the GatewaySKU as Standard, HighPerformance, or UltraPerformance and the GatewayType as DynamicRouting.

    Použijte následující příklad a nahraďte v něm hodnoty vlastními.Use the following sample, substituting the values for your own.

     New-AzureVNetGateway -VNetName MyAzureVNET -GatewayType DynamicRouting -GatewaySKU HighPerformance
    
  5. Propojte bránu ExpressRoute s okruhem ExpressRoute.Link the ExpressRoute gateway to the ExpressRoute circuit. Po dokončení tohoto kroku bude připojení mezi místní sítí a Azure prostřednictvím ExpressRoute vytvořeno.After this step has been completed, the connection between your on-premises network and Azure, through ExpressRoute, is established.

     New-AzureDedicatedCircuitLink -ServiceKey <service-key> -VNetName MyAzureVNET
    
  6. Dále vytvořte bránu VPN typu site-to-site.Next, create your Site-to-Site VPN gateway. GatewaySKU musí být Standard, HighPerformance nebo UltraPerformance a GatewayType musí být DynamicRouting.The GatewaySKU must be Standard, HighPerformance, or UltraPerformance and the GatewayType must be DynamicRouting.

     New-AzureVirtualNetworkGateway -VNetName MyAzureVNET -GatewayName S2SVPN -GatewayType DynamicRouting -GatewaySKU  HighPerformance
    

    Pokud chcete načíst nastavení brány virtuální sítě, včetně ID brány a veřejné IP adresy, použijte rutinu Get-AzureVirtualNetworkGateway.To retrieve the virtual network gateway settings, including the gateway ID and the public IP, use the Get-AzureVirtualNetworkGateway cmdlet.

     Get-AzureVirtualNetworkGateway
    
     GatewayId            : 348ae011-ffa9-4add-b530-7cb30010565e
     GatewayName          : S2SVPN
     LastEventData        :
     GatewayType          : DynamicRouting
     LastEventTimeStamp   : 5/29/2015 4:41:41 PM
     LastEventMessage     : Successfully created a gateway for the following virtual network: GNSDesMoines
     LastEventID          : 23002
     State                : Provisioned
     VIPAddress           : 104.43.x.y
     DefaultSite          :
     GatewaySKU           : HighPerformance
     Location             :
     VnetId               : 979aabcf-e47f-4136-ab9b-b4780c1e1bd5
     SubnetId             :
     EnableBgp            : False
     OperationDescription : Get-AzureVirtualNetworkGateway
     OperationId          : 42773656-85e1-a6b6-8705-35473f1e6f6a
     OperationStatus      : Succeeded
    
  7. Vytvořte entitu brány VPN místního webu.Create a local site VPN gateway entity. Tento příkaz neprovede konfiguraci vaší místní brány VPN.This command doesn’t configure your on-premises VPN gateway. Místo toho umožní zadat nastavení místní brány, jako je například veřejná IP adresa a místní adresní prostor, aby se brána Azure VPN k nim mohla připojit.Rather, it allows you to provide the local gateway settings, such as the public IP and the on-premises address space, so that the Azure VPN gateway can connect to it.

    Důležité

    Místní web připojení VPN typu site-to-site není v souboru netcfg definován.The local site for the Site-to-Site VPN is not defined in the netcfg. Místo toho musíte k určení parametrů místního webu použít tuto rutinu.Instead, you must use this cmdlet to specify the local site parameters. Nelze je definovat pomocí portálu nebo souboru netcfg.You cannot define it using either portal, or the netcfg file.

    Použijte následující příklad a nahraďte v něm hodnoty vlastními.Use the following sample, replacing the values with your own.

     New-AzureLocalNetworkGateway -GatewayName MyLocalNetwork -IpAddress <MyLocalGatewayIp> -AddressSpace <MyLocalNetworkAddress>
    

    Poznámka

    Pokud vaše místní síť obsahuje víc tras, můžete je předat všechny najednou jako pole.If your local network has multiple routes, you can pass them all in as an array. $MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")$MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")

    Pokud chcete načíst nastavení brány virtuální sítě, včetně ID brány a veřejné IP adresy, použijte rutinu Get-AzureVirtualNetworkGateway.To retrieve the virtual network gateway settings, including the gateway ID and the public IP, use the Get-AzureVirtualNetworkGateway cmdlet. Prohlédněte si následující příklad.See the following example.

     Get-AzureLocalNetworkGateway
    
     GatewayId            : 532cb428-8c8c-4596-9a4f-7ae3a9fcd01b
     GatewayName          : MyLocalNetwork
     IpAddress            : 23.39.x.y
     AddressSpace         : {10.1.2.0/24}
     OperationDescription : Get-AzureLocalNetworkGateway
     OperationId          : ddc4bfae-502c-adc7-bd7d-1efbc00b3fe5
     OperationStatus      : Succeeded
    
  8. Nakonfigurujte místní zařízení VPN pro připojení k nové bráně.Configure your local VPN device to connect to the new gateway. Při konfiguraci zařízení VPN použijte informace, které jste získali v kroku 6.Use the information that you retrieved in step 6 when configuring your VPN device. Další informace o konfiguraci zařízení VPN najdete v tématu Konfigurace zařízení VPN.For more information about VPN device configuration, see VPN Device Configuration.

  9. Propojte bránu VPN typu site-to-site v Azure s místní bránou.Link the Site-to-Site VPN gateway on Azure to the local gateway.

    V tomto příkladu je ID místní brány connectedEntityId, které můžete najít spuštěním rutiny Get-AzureLocalNetworkGateway.In this example, connectedEntityId is the local gateway ID, which you can find by running Get-AzureLocalNetworkGateway. VirtualNetworkGatewayId můžete najít pomocí rutiny Get-AzureVirtualNetworkGateway.You can find virtualNetworkGatewayId by using the Get-AzureVirtualNetworkGateway cmdlet. Po dokončení tohoto kroku bude připojení mezi místní sítí a Azure prostřednictvím připojení VPN typu site-to-site vytvořeno.After this step, the connection between your local network and Azure via the Site-to-Site VPN connection is established.

     New-AzureVirtualNetworkGatewayConnection -connectedEntityId <local-network-gateway-id> -gatewayConnectionName Azure2Local -gatewayConnectionType IPsec -sharedKey abc123 -virtualNetworkGatewayId <azure-s2s-vpn-gateway-id>
    

Konfigurace současně existujících připojení pro už existující virtuální síťTo configure coexisting connections for an already existing VNet

Pokud máte existující virtuální síť, zkontrolujte velikost podsítě brány.If you have an existing virtual network, check the gateway subnet size. Pokud podsíť brány je /28 nebo /29, musíte nejdřív bránu virtuální sítě odstranit a zvýšit velikost podsítě brány.If the gateway subnet is /28 or /29, you must first delete the virtual network gateway and increase the gateway subnet size. Postup v této části ukazuje, jak to provést.The steps in this section will show you how to do that.

Pokud podsíť brány je /27 nebo větší a virtuální síť je připojená přes ExpressRoute, můžete přeskočit následující kroky a přejít ke kroku 6 – Vytvoření brány VPN typu site-to-site v předchozí části.If the gateway subnet is /27 or larger and the virtual network is connected via ExpressRoute, you can skip the steps below and proceed to "Step 6 - Create a Site-to-Site VPN gateway" in the previous section.

Poznámka

Pokud odstraníte existující bránu, místní místo ztratí během práce na této konfiguraci připojení k virtuální síti.When you delete the existing gateway, your local premises will lose the connection to your virtual network while you are working on this configuration.

  1. Budete potřebovat nainstalovat nejnovější verzi rutin PowerShellu pro Azure Resource Manager.You'll need to install the latest version of the Azure Resource Manager PowerShell cmdlets. Další informace o instalaci rutin prostředí PowerShell najdete v tématu Instalace a konfigurace Azure PowerShellu.See How to install and configure Azure PowerShell for more information about installing the PowerShell cmdlets. Všimněte si, že rutiny, které budete používat pro tuto konfiguraci, se můžou mírně lišit od těch, co znáte.Note that the cmdlets that you'll use for this configuration may be slightly different than what you might be familiar with. Ujistěte se, že používáte rutiny určené v těchto pokynech.Be sure to use the cmdlets specified in these instructions.

  2. Odstraňte existující bránu ExpressRoute nebo VPN typu site-to-site.Delete the existing ExpressRoute or Site-to-Site VPN gateway. Použijte následující rutinu a nahraďte v ní hodnoty vlastními.Use the following cmdlet, replacing the values with your own.

     Remove-AzureVNetGateway –VnetName MyAzureVNET
    
  3. Exportujte schéma virtuální sítě.Export the virtual network schema. Použijte následující rutinu PowerShellu a nahraďte v ní hodnoty vlastními.Use the following PowerShell cmdlet, replacing the values with your own.

     Get-AzureVNetConfig –ExportToFile “C:\NetworkConfig.xml”
    
  4. Upravte schéma konfiguračního souboru sítě, aby podsíť brány byla /27 nebo kratší předpona (například /26 nebo /25).Edit the network configuration file schema so that the gateway subnet is /27 or a shorter prefix (such as /26 or /25). Prohlédněte si následující příklad.See the following example.

    Poznámka

    Pokud vám ve virtuální síti nezbylo dost IP adres pro zvětšení velikosti podsítě brány, budete muset přidat další adresní prostor IP adres.If you don't have enough IP addresses left in your virtual network to increase the gateway subnet size, you need to add more IP address space. Další informace o schématu konfigurace najdete v tématu Azure Virtual Network configuration schema (Schéma konfigurace Azure Virtual Network).For more information about the configuration schema, see Azure Virtual Network configuration schema.

       <Subnet name="GatewaySubnet">
         <AddressPrefix>10.17.159.224/27</AddressPrefix>
       </Subnet>
    
  5. Pokud předchozí brána byla VPN typu site-to-site, musíte změnit taky typ připojení na Dedicated.If your previous gateway was a Site-to-Site VPN, you must also change the connection type to Dedicated.

              <Gateway>
               <ConnectionsToLocalNetwork>
                 <LocalNetworkSiteRef name="MyLocalNetwork">
                   <Connection type="Dedicated" />
                 </LocalNetworkSiteRef>
               </ConnectionsToLocalNetwork>
             </Gateway>
    
  6. V tuto chvíli máte virtuální síť, která nemá žádné brány.At this point, you'll have a VNet with no gateways. Abyste vytvořili nové brány a dokončili připojení, můžete pokračovat krokem 4 – Vytvoření brány ExpressRoute, který se nachází v předchozí sadě kroků.To create new gateways and complete your connections, you can proceed with Step 4 - Create an ExpressRoute gateway, found in the preceding set of steps.

Další postupNext steps

Další informace o ExpressRoute najdete v tématu ExpressRoute – nejčastější dotazy.For more information about ExpressRoute, see the ExpressRoute FAQ