Konfigurace ExpressRoute a Site-to-Site současně existujících připojení pomocí prostředí PowerShellConfigure ExpressRoute and Site-to-Site coexisting connections using PowerShell

Tento článek vám pomůže nakonfigurovat připojení ExpressRoute a VPN typu Site-to-Site, která existovat vedle sebe.This article helps you configure ExpressRoute and Site-to-Site VPN connections that coexist. Možnost konfigurace VPN typu site-to-site a ExpressRoute má několik výhod.Having the ability to configure Site-to-Site VPN and ExpressRoute has several advantages. Můžete nakonfigurovat VPN typu Site-to-Site jako cestu zabezpečené převzetí služeb při selhání pro ExpressRoute, nebo použít VPN typu Site-to-Site pro připojení k webům, které nejsou připojené prostřednictvím ExpressRoute.You can configure Site-to-Site VPN as a secure failover path for ExpressRoute, or use Site-to-Site VPNs to connect to sites that are not connected through ExpressRoute. V tomto článku vám nabídneme postupy konfigurace pro oba scénáře.We will cover the steps to configure both scenarios in this article. Tento článek se týká modelu nasazení Resource Manager.This article applies to the Resource Manager deployment model.

Konfigurace ExpressRoute a současně existujících připojení VPN typu Site-to-Site má několik výhod.Configuring Site-to-Site VPN and ExpressRoute coexisting connections has several advantages:

  • Můžete nakonfigurovat VPN typu Site-to-Site jako bezpečnou cestu převzetí služeb při selhání pro ExpressRoute.You can configure a Site-to-Site VPN as a secure failover path for ExpressRoute.
  • Další možností je použít VPN typu Site-to-Site pro připojení k webům, které nejsou prostřednictvím ExpressRoute připojené.Alternatively, you can use Site-to-Site VPNs to connect to sites that are not connected through ExpressRoute.

V tomto článku jsou postupy konfigurace pro oba scénáře.The steps to configure both scenarios are covered in this article. Tento článek se týká modelu nasazení Resource Manager a používá PowerShell.This article applies to the Resource Manager deployment model and uses PowerShell. Můžete také nakonfigurovat tyto scénáře pomocí webu Azure portal, i když dokumentaci ještě není k dispozici.You can also configure these scenarios using the Azure portal, although documentation is not yet available. Buď bránu můžete nakonfigurovat první.You can configure either gateway first. Při přidávání nové brány nebo připojení k bráně obvykle, budou účtovat nedojde k žádnému výpadku.Typically, you will incur no downtime when adding a new gateway or gateway connection.

Poznámka

Pokud chcete vytvořit připojení VPN typu Site-to-Site přes okruh ExpressRoute, přečtěte si prosím tento článek.If you want to create a Site-to-Site VPN over an ExpressRoute circuit, please see this article.

OmezeníLimits and limitations

  • Směrování provozu není podporováno.Transit routing is not supported. Nemůžete provádět směrování (přes Azure) mezi místní sítí připojenou prostřednictvím sítě VPN typu site-to-site a místní sítí připojenou přes ExpressRoute.You cannot route (via Azure) between your local network connected via Site-to-Site VPN and your local network connected via ExpressRoute.
  • Základní brána SKU není podporována.Basic SKU gateway is not supported. Pro bránu ExpressRoute a bránu VPN je nutné použít jinou než základní bránu SKU.You must use a non-Basic SKU gateway for both the ExpressRoute gateway and the VPN gateway.
  • Podporována je pouze brána VPN na základě tras.Only route-based VPN gateway is supported. Je nutné použít službu VPN Gateway na základě tras.You must use a route-based VPN Gateway.
  • Pro vaši bránu VPN by měla být nakonfigurována statická trasa.Static route should be configured for your VPN gateway. Pokud je vaše místní síť připojená k ExpressRoute a síti VPN typu site-to-site, musíte mít v místní síti konfigurovanou statickou trasu, abyste mohli směrovat připojení VPN typu site-to-site do veřejného internetu.If your local network is connected to both ExpressRoute and a Site-to-Site VPN, you must have a static route configured in your local network to route the Site-to-Site VPN connection to the public Internet.
  • Brána VPN výchozí číslo ASN 65515, pokud není zadaný.VPN Gateway defaults to ASN 65515 if not specified. Brána Azure VPN podporuje směrovací protokol BGP.Azure VPN Gateway supports the BGP routing protocol. Můžete zadat ASN (číslo AS) pro virtuální síť přidáním přepínače - Asn.You can specify ASN (AS Number) for a virtual network by adding the -Asn switch. Pokud nezadáte tento parametr, výchozí hodnota je číslo 65515.If you don't specify this parameter, the default AS number is 65515. Můžete použít libovolné číslo ASN pro konfiguraci, ale pokud vyberete jinou hodnotu než 65515, musíte resetovat bránu pro nastavení projevilo.You can use any ASN for the configuration, but if you select something other than 65515, you must reset the gateway for the setting to take effect.

Návrhy konfiguraceConfiguration designs

Konfigurace VPN typu site-to-site jako cesty převzetí služeb při selhání pro ExpressRouteConfigure a Site-to-Site VPN as a failover path for ExpressRoute

Můžete nakonfigurovat připojení VPN typu site-to-site jako záložní pro ExpressRoute.You can configure a Site-to-Site VPN connection as a backup for ExpressRoute. Toto připojení platí jenom pro virtuální sítě, které jsou propojené s cestou soukromého partnerského vztahu Azure.This connection applies only to virtual networks linked to the Azure private peering path. Řešení převzetí služeb při selhání založené na VPN pro služby, které jsou přístupné prostřednictvím partnerského vztahu Azure nebo partnerského vztahu Microsoftu, neexistuje.There is no VPN-based failover solution for services accessible through Azure Microsoft peering. Okruh ExpressRoute je vždy primárním propojením.The ExpressRoute circuit is always the primary link. Data prochází cestou VPN typu Site-to-Site jenom v případě, že okruh ExpressRoute selže.Data flows through the Site-to-Site VPN path only if the ExpressRoute circuit fails. Vaše místní síťová konfigurace by také měla před VPN typu Site-to-Site preferovat okruh ExpressRoute, abyste se vyhnuli asymetrickému směrování.To avoid asymmetrical routing, your local network configuration should also prefer the ExpressRoute circuit over the Site-to-Site VPN. Cestu ExpressRoute můžete preferovat nastavením vyšší místní předvolby pro trasy přijímané přes ExpressRoute.You can prefer the ExpressRoute path by setting higher local preference for the routes received the ExpressRoute.

Poznámka

I když v případě, že jsou obě trasy stejné, je okruh ExpressRoute upřednostněný před VPN typu Site-to-Site, Azure k výběru trasy směrem k cíli paketu použije nejdelší shodu předpony.While ExpressRoute circuit is preferred over Site-to-Site VPN when both routes are the same, Azure will use the longest prefix match to choose the route towards the packet's destination.

Současná existence

Konfigurace VPN typu site-to-site pro připojení webů, které nejsou připojené prostřednictvím ExpressRouteConfigure a Site-to-Site VPN to connect to sites not connected through ExpressRoute

Svoji síť můžete nakonfigurovat tak, že některé weby jsou připojené přímo k Azure prostřednictvím VPN typu site-to-site a některé weby přes ExpressRoute.You can configure your network where some sites connect directly to Azure over Site-to-Site VPN, and some sites connect through ExpressRoute.

Současná existence

Poznámka

Virtuální síť nemůžete nakonfigurovat jako směrovač provozu.You cannot configure a virtual network as a transit router.

Výběr kroků k použitíSelecting the steps to use

Existují dvě různé sady postupů, ze kterých si můžete vybrat.There are two different sets of procedures to choose from. Postup konfigurace, který vyberete, závisí na tom, jestli máte existující virtuální síť, ke které se chcete připojit, nebo chcete vytvořit novou virtuální síť.The configuration procedure that you select depends on whether you have an existing virtual network that you want to connect to, or you want to create a new virtual network.

  • Nemám virtuální síť a potřebuji ji vytvořit.I don't have a VNet and need to create one.

    Pokud ještě nemáte virtuální síť, tento postup vás provede procesem vytvoření nové virtuální sítě pomocí modelu nasazení Resource Manager a vytvoření nových připojení ExpressRoute a VPN typu Site-to-Site.If you don’t already have a virtual network, this procedure walks you through creating a new virtual network using Resource Manager deployment model and creating new ExpressRoute and Site-to-Site VPN connections. Pokud chcete konfigurovat virtuální síť, postupujte podle kroků v části Vytvoření nové virtuální sítě a současně existujících připojení.To configure a virtual network, follow the steps in To create a new virtual network and coexisting connections.

  • Už mám virtuální síť modelu nasazení Resource Manager.I already have a Resource Manager deployment model VNet.

    Už můžete mít virtuální síť s existujícím připojením VPN typu site-to-site nebo připojením ExpressRoute.You may already have a virtual network in place with an existing Site-to-Site VPN connection or ExpressRoute connection. Pokud je v tomto případě maska podsítě brány /28 nebo menší (/28, /29 atd.), je potřeba existující bránu odstranit.In this scenario if the gateway subnet mask is /28 or smaller (/28, /29, etc.), you have to delete the existing gateway. V části Konfigurace současně existujících připojení pro už existující virtuální síť najdete postup odstranění brány a následného vytvoření nových připojení ExpressRoute a VPN typu Site-to-Site.The To configure coexisting connections for an already existing VNet section walks you through deleting the gateway, and then creating new ExpressRoute and Site-to-Site VPN connections.

    Pokud síťovou bránou odstraníte a znovu vytvoříte, dojde u vašich připojení mezi různými místy k výpadku.If you delete and recreate your gateway, you will have downtime for your cross-premises connections. Virtuální počítače a služby však budou během konfigurace brány stále schopné komunikovat prostřednictvím nástroje pro vyrovnávání zatížení, pokud jsou tak nakonfigurované.However, your VMs and services will still be able to communicate out through the load balancer while you configure your gateway if they are configured to do so.

Než začneteBefore you begin

Poznámka

Tento článek je aktualizovaný a využívá nový modul Az Azure PowerShellu.This article has been updated to use the new Azure PowerShell Az module. Můžete dál využívat modul AzureRM, který bude dostávat opravy chyb nejméně do prosince 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Další informace o kompatibilitě nového modulu Az a modulu AzureRM najdete v tématu Seznámení s novým modulem Az Azure PowerShellu.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pokyny k instalaci modulu Az najdete v tématu věnovaném instalaci Azure PowerShellu.For Az module installation instructions, see Install Azure PowerShell.

Tento článek používá rutiny prostředí PowerShell.This article uses PowerShell cmdlets. Pokud chcete spustit rutiny, můžete použít Azure Cloud Shell.To run the cmdlets, you can use Azure Cloud Shell. Azure Cloud Shell je bezplatné interaktivní prostředí, který byl předinstalován běžné nástroje Azure a je nakonfigurován pro použití s vaším účtem.Azure Cloud Shell is a free interactive shell that has common Azure tools preinstalled and is configured to use with your account. Stačí kliknout na Kopírovat a zkopírovat kód, vložit ho do Cloud Shellu a potom ho spustit stisknutím Enter.Just click the Copy to copy the code, paste it into the Cloud Shell, and then press enter to run it. Existuje několik způsobů, jak Cloud Shell spustit:There are a few ways to launch the Cloud Shell:

Klikněte na Vyzkoušet v pravém horním rohu bloku kódu.Click Try It in the upper right corner of a code block. Cloud Shell v tomto článku
Otevřete Cloud Shell ve vašem prohlížeči.Open Cloud Shell in your browser. https://shell.azure.com/powershell
Klikněte na tlačítko Cloud Shell v nabídce v pravé horní části webu Azure Portal.Click the Cloud Shell button on the menu in the upper right of the Azure portal. Cloud Shell na portáluCloud Shell in the portal

Místní spuštění prostředí Azure PowerShellRun Azure PowerShell locally

Můžete také nainstalovat a spustit rutiny prostředí Azure PowerShell místně ve vašem počítači.You can also install and run the Azure PowerShell cmdlets locally on your computer. Rutiny Powershellu se často aktualizují.PowerShell cmdlets are updated frequently. Pokud používáte nejnovější verzi, zadané v pokynech pro hodnoty nemusí fungovat.If you are not running the latest version, the values specified in the instructions may fail. K vyhledání nainstalovaných verzí Powershellu v systému, použijte Get-Module -ListAvailable Az rutiny.To find the installed versions of PowerShell on your system, use the Get-Module -ListAvailable Az cmdlet. Pro instalaci nebo aktualizaci, najdete v článku instalace modulu Azure PowerShell.To install or update, see Install the Azure PowerShell module.

Vytvoření nové virtuální sítě a současně existujících připojeníTo create a new virtual network and coexisting connections

Tento postup vás provede procesem vytvoření virtuální sítě a připojení ExpressRoute a VPN typu Site-to-Site, která budou existovat společně.This procedure walks you through creating a VNet and Site-to-Site and ExpressRoute connections that will coexist. Rutiny, které použijete pro tuto konfiguraci, se můžou mírně lišit od těch, co znáte.The cmdlets that you use for this configuration may be slightly different than what you might be familiar with. Ujistěte se, že používáte rutiny určené v těchto pokynech.Be sure to use the cmdlets specified in these instructions.

  1. Přihlaste se a vyberte své předplatné.Sign in and select your subscription.

    Pokud používáte Azure Cloud Shell, přihlásíte ke svému účtu Azure automaticky po kliknutí na tlačítko "Vyzkoušejte si to".If you are using the Azure Cloud Shell, you sign in to your Azure account automatically after clicking 'Try it'. Přihlásit místně, otevřete konzolu Powershellu se zvýšenými oprávněními a spusťte rutinu pro připojení.To sign in locally, open your PowerShell console with elevated privileges and run the cmdlet to connect.

    Connect-AzAccount
    

    Pokud máte více předplatných, získejte seznam předplatných Azure.If you have more than one subscription, get a list of your Azure subscriptions.

    Get-AzSubscription
    

    Určete předplatné, které chcete použít.Specify the subscription that you want to use.

    Select-AzSubscription -SubscriptionName "Name of subscription"
    
  2. Nastavte proměnné.Set variables.

    $location = "Central US"
    $resgrp = New-AzResourceGroup -Name "ErVpnCoex" -Location $location
    $VNetASN = 65515
    
  3. Vytvořte virtuální síť včetně podsítě brány.Create a virtual network including Gateway Subnet. Další informace o vytváření virtuálních sítí najdete v tématu Vytvoření virtuální sítě.For more information about creating a virtual network, see Create a virtual network. Další informace o vytváření podsítí najdete v tématu Vytvoření podsítě.For more information about creating subnets, see Create a subnet

    Důležité

    Podsíť brány musí být /27 nebo kratší předpona (například /26 nebo /25).The Gateway Subnet must be /27 or a shorter prefix (such as /26 or /25).

    Vytvořte novou virtuální síť.Create a new VNet.

    $vnet = New-AzVirtualNetwork -Name "CoexVnet" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AddressPrefix "10.200.0.0/16"
    

    Přidejte podsítě.Add subnets.

    Add-AzVirtualNetworkSubnetConfig -Name "App" -VirtualNetwork $vnet -AddressPrefix "10.200.1.0/24"
    Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"
    

    Uložte konfiguraci virtuální sítě.Save the VNet configuration.

    $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
    
  4. Dále vytvořte bránu VPN typu site-to-site.Next, create your Site-to-Site VPN gateway. Další informace o konfiguraci brány VPN najdete v tématu Konfigurace virtuální sítě s připojením typu site-to-site.For more information about the VPN gateway configuration, see Configure a VNet with a Site-to-Site connection. GatewaySku podporují pouze následující brány VPN: VpnGw1, VpnGw2, VpnGw3, Standard a HighPerformance.The GatewaySku is only supported for VpnGw1, VpnGw2, VpnGw3, Standard, and HighPerformance VPN gateways. Konfigurace současného fungování ExpressRoute a služby VPN Gateway nejsou podporované v základní SKU.ExpressRoute-VPN Gateway coexist configurations are not supported on the Basic SKU. VpnType musí být RouteBased.The VpnType must be RouteBased.

    $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
    $gwIP = New-AzPublicIpAddress -Name "VPNGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
    $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "VPNGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
    New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"
    

    Brána Azure VPN podporuje směrovací protokol BGP.Azure VPN gateway supports BGP routing protocol. Můžete zadat ASN (číslo AS) pro tuto virtuální síť přidáním přepínače -Asn do následujícího příkazu.You can specify ASN (AS Number) for that Virtual Network by adding the -Asn switch in the following command. V případě nezadání parametru se použije výchozí číslo AS 65515.Not specifying that parameter will default to AS number 65515.

    $azureVpn = New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1" -Asn $VNetASN
    

    IP adresu partnerských vztahů protokolu BGP a číslo AS, které Azure používá pro bránu VPN, najdete v $azureVpn.BgpSettings.BgpPeeringAddress a $azureVpn.BgpSettings.Asn.You can find the BGP peering IP and the AS number that Azure uses for the VPN gateway in $azureVpn.BgpSettings.BgpPeeringAddress and $azureVpn.BgpSettings.Asn. Další informace najdete v tématu Konfigurace protokolu BGP pro bránu VPN Azure.For more information, see Configure BGP for Azure VPN gateway.

  5. Vytvořte entitu brány VPN místního webu.Create a local site VPN gateway entity. Tento příkaz neprovede konfiguraci vaší místní brány VPN.This command doesn’t configure your on-premises VPN gateway. Místo toho umožní zadat nastavení místní brány, jako je například veřejná IP adresa a místní adresní prostor, aby se brána Azure VPN k nim mohla připojit.Rather, it allows you to provide the local gateway settings, such as the public IP and the on-premises address space, so that the Azure VPN gateway can connect to it.

    Pokud vaše místní zařízení VPN podporuje pouze statické směrování, můžete nakonfigurovat statické trasy následujícím způsobem:If your local VPN device only supports static routing, you can configure the static routes in the following way:

    $MyLocalNetworkAddress = @("10.100.0.0/16","10.101.0.0/16","10.102.0.0/16")
    $localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress *<Public IP>* -AddressPrefix $MyLocalNetworkAddress
    

    Pokud vaše místní zařízení VPN podporuje protokol BGP a chcete povolit dynamické trasování, potřebujete znát IP adresu partnerských vztahů protokolu BGP a číslo AS, které vaše místní zařízení VPN používá.If your local VPN device supports the BGP and you want to enable dynamic routing, you need to know the BGP peering IP and the AS number that your local VPN device uses.

    $localVPNPublicIP = "<Public IP>"
    $localBGPPeeringIP = "<Private IP for the BGP session>"
    $localBGPASN = "<ASN>"
    $localAddressPrefix = $localBGPPeeringIP + "/32"
    $localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress $localVPNPublicIP -AddressPrefix $localAddressPrefix -BgpPeeringAddress $localBGPPeeringIP -Asn $localBGPASN
    
  6. Nakonfigurujte místní zařízení VPN pro připojení k nové bráně Azure VPN.Configure your local VPN device to connect to the new Azure VPN gateway. Další informace o konfiguraci zařízení VPN najdete v tématu Konfigurace zařízení VPN.For more information about VPN device configuration, see VPN Device Configuration.

  7. Propojte bránu VPN typu site-to-site v Azure s místní bránou.Link the Site-to-Site VPN gateway on Azure to the local gateway.

    $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
    New-AzVirtualNetworkGatewayConnection -Name "VPNConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $azureVpn -LocalNetworkGateway2 $localVpn -ConnectionType IPsec -SharedKey <yourkey>
    
  8. Pokud se připojujete k existujícímu okruhu ExpressRoute, kroky 8 a 9 přeskočte a přejděte rovnou ke kroku 10.If you are connecting to an existing ExpressRoute circuit, skip steps 8 & 9 and, jump to step 10. Nakonfigurujte okruhy ExpressRoute.Configure ExpressRoute circuits. Další informace o konfiguraci okruhu ExpressRoute najdete v tématu o vytvoření okruhu ExpressRoute.For more information about configuring ExpressRoute circuit, see create an ExpressRoute circuit.

  9. Nakonfigurujte soukromý partnerský vztah Azure přes okruh ExpressRoute.Configure Azure private peering over the ExpressRoute circuit. Další informace o konfiguraci soukromého partnerského vztahu Azure přes okruh ExpressRoute najdete v tématu o konfiguraci partnerského vztahu.For more information about configuring Azure private peering over the ExpressRoute circuit, see configure peering

  10. Vytvořte bránu ExpressRoute.Create an ExpressRoute gateway. Další informace o konfiguraci brány ExpressRoute najdete v tématu Konfigurace brány ExpressRoute.For more information about the ExpressRoute gateway configuration, see ExpressRoute gateway configuration. GatewaySKU musí být Standard, HighPerformance nebo UltraPerformance.The GatewaySKU must be Standard, HighPerformance, or UltraPerformance.

    $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
    $gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
    $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
    $gw = New-AzVirtualNetworkGateway -Name "ERGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard
    
  11. Propojte bránu ExpressRoute s okruhem ExpressRoute.Link the ExpressRoute gateway to the ExpressRoute circuit. Po dokončení tohoto kroku bude připojení mezi místní sítí a Azure prostřednictvím ExpressRoute vytvořeno.After this step has been completed, the connection between your on-premises network and Azure, through ExpressRoute, is established. Další informace o operaci propojení najdete v tématu Propojení virtuálních sítí s ExpressRoute.For more information about the link operation, see Link VNets to ExpressRoute.

    $ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
    New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute
    

Konfigurace současně existujících připojení pro už existující virtuální síťTo configure coexisting connections for an already existing VNet

Pokud máte virtuální síť, která obsahuje pouze jednu bránu virtuální sítě (např. bránu VPN typu Site-to-Site), a chcete přidat další bránu jiného typu (např. bránu ExpressRoute), zkontrolujte velikost podsítě brány.If you have a virtual network that has only one virtual network gateway (let's say, Site-to-Site VPN gateway) and you want to add another gateway of a different type (let's say, ExpressRoute gateway), check the gateway subnet size. Pokud je velikost podsítě brány /27 nebo větší, můžete přeskočit následující kroky a podle kroků v předchozí části přidat bránu VPN typu Site-to-Site nebo bránu ExpressRoute.If the gateway subnet is /27 or larger, you can skip the steps below and follow the steps in the previous section to add either a Site-to-Site VPN gateway or an ExpressRoute gateway. Pokud je podsíť brány /28 nebo /29, musíte nejdřív bránu virtuální sítě odstranit a zvýšit velikost podsítě brány.If the gateway subnet is /28 or /29, you have to first delete the virtual network gateway and increase the gateway subnet size. Postup v této části ukazuje, jak to provést.The steps in this section show you how to do that.

Rutiny, které použijete pro tuto konfiguraci, se můžou mírně lišit od těch, co znáte.The cmdlets that you use for this configuration may be slightly different than what you might be familiar with. Ujistěte se, že používáte rutiny určené v těchto pokynech.Be sure to use the cmdlets specified in these instructions.

  1. Odstraňte existující bránu ExpressRoute nebo VPN typu site-to-site.Delete the existing ExpressRoute or Site-to-Site VPN gateway.

    Remove-AzVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup>
    
  2. Odstraňte podsíť brány.Delete Gateway Subnet.

    $vnet = Get-AzVirtualNetwork -Name <yourvnetname> -ResourceGroupName <yourresourcegroup> Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet
    
  3. Přidejte podsíť brány, která je /27 nebo větší.Add a Gateway Subnet that is /27 or larger.

    Poznámka

    Pokud vám ve virtuální síti nezbylo dost IP adres pro zvětšení velikosti podsítě brány, budete muset přidat další adresní prostor IP adres.If you don't have enough IP addresses left in your virtual network to increase the gateway subnet size, you need to add more IP address space.

    $vnet = Get-AzVirtualNetwork -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
    Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"
    

    Uložte konfiguraci virtuální sítě.Save the VNet configuration.

    $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
    
  4. V tuto chvíli máte virtuální síť, která nemá žádné brány.At this point, you have a virtual network with no gateways. K vytvoření nové brány a nastavení připojení, použijte následující příklady:To create new gateways and set up the connections, use the following examples:

    Nastavte proměnné.Set the variables.

    $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
    $gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
    $gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
    $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
    $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
    

    Vytvoření brány.Create the gateway.

    $gw = New-AzVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup> -Location <yourlocation) -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard
    

    Vytvořte připojení.Create the connection.

    $ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
    New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute
    

Přidání konfigurace point-to-site k bráně VPNTo add point-to-site configuration to the VPN gateway

Provedením následujících kroků, abyste k vaší brány VPN v nastavení koexistence Přidat konfiguraci Point-to-Site.You can follow the steps below to add Point-to-Site configuration to your VPN gateway in a coexistence setup. Nahrát kořenový certifikát VPN, musíte místně nainstalovat prostředí PowerShell na vašem počítači nebo pomocí webu Azure portal.To upload the VPN root certificate, you must either install PowerShell locally to your computer, or use the Azure portal.

  1. Přidejte fond adres klienta VPN.Add VPN Client address pool.

    $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
    Set-AzVirtualNetworkGatewayVpnClientConfig -VirtualNetworkGateway $azureVpn -VpnClientAddressPool "10.251.251.0/24"
    
  2. Odešlete kořenový certifikát VPN pro bránu VPN do Azure.Upload the VPN root certificate to Azure for your VPN gateway. V tomto příkladu se předpokládá, že kořenový certifikát je uložený v místním počítači, kde jsou spuštěním následující rutiny prostředí PowerShell a že používáte PowerShell místně.In this example, it's assumed that the root certificate is stored in the local machine where the following PowerShell cmdlets are run and that you are running PowerShell locally. Můžete také nahrát certifikát, pomocí webu Azure portal.You can also upload the certificate using the Azure portal.

    $p2sCertFullName = "RootErVpnCoexP2S.cer" 
    $p2sCertMatchName = "RootErVpnCoexP2S" 
    $p2sCertToUpload=get-childitem Cert:\CurrentUser\My | Where-Object {$_.Subject -match $p2sCertMatchName} 
    if ($p2sCertToUpload.count -eq 1){write-host "cert found"} else {write-host "cert not found" exit} 
    $p2sCertData = [System.Convert]::ToBase64String($p2sCertToUpload.RawData) 
    Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $p2sCertFullName -VirtualNetworkGatewayname $azureVpn.Name -ResourceGroupName $resgrp.ResourceGroupName -PublicCertData $p2sCertData
    

Další informace o VPN typu point-to-site najdete v tématu Konfigurace připojení typu point-to-site.For more information on Point-to-Site VPN, see Configure a Point-to-Site connection.

Další postupNext steps

Další informace o ExpressRoute najdete v tématu ExpressRoute – nejčastější dotazy.For more information about ExpressRoute, see the ExpressRoute FAQ.