Připojení VPN Gateway (brána virtuální sítě) Virtual WAN

  • Článek
  • 6 min ke čtení

Tento článek vám pomůže nastavit připojení z azure VPN Gateway (brána virtuální sítě) k bráně Azure Virtual WAN (brána VPN). Vytvoření připojení z VPN Gateway (brána virtuální sítě) k Virtual WAN (bráně VPN) je podobné jako nastavení připojení k virtuální síti WAN z pobočkových lokalit VPN.

Abychom minimalizovali možné nejasnosti mezi dvěma funkcemi, před bránu začněme názvem funkce, na kterou odkazujeme. Můžete například VPN Gateway virtuální sítě a Virtual WAN VPN.

Než začnete

Než začnete, vytvořte následující prostředky:

Azure Virtual WAN

Azure Virtual Network

  • Vytvořte virtuální síť bez bran virtuální sítě. Ověřte, že se žádná z podsítí vašich místních sítí nepřekrývá s virtuálními sítěmi, ke které se chcete připojit. Pokud chcete vytvořit virtuální síť v Azure Portal, podívejte se na rychlý start.

1. Vytvoření VPN Gateway virtuální sítě

Vytvořte pro VPN Gateway virtuální síť novou bránu virtuální sítě v režimu aktivní-aktivní. Při vytváření brány můžete buď použít existující veřejné IP adresy pro dvě instance brány, nebo můžete vytvořit nové veřejné IP adresy. Tyto veřejné IP adresy budete používat při nastavování Virtual WAN lokalit. Další informace o branách VPN v konfiguraci aktivní-aktivní a postupu konfigurace najdete v tématu Konfigurace bran VPN v konfiguraci aktivní-aktivní.

Nastavení režimu aktivní-aktivní

Na stránce Konfigurace brány virtuální sítě povolte režim aktivní-aktivní.

aktivní–aktivní

Nastavení protokolu BGP

Na stránce Konfigurace brány virtuální sítě můžete (volitelně) vybrat Konfigurovat číslo ASN protokolu BGP. Pokud nakonfigurujete protokol BGP, změňte ASN z výchozí hodnoty zobrazené na portálu. Pro tuto konfiguraci nesmí být ASN protokolu BGP 65515. 65515 bude používat Azure Virtual WAN.

Snímek obrazovky znázorňuje stránku konfigurace brány virtuální sítě s vybranou možností Konfigurovat číslo ASN protokolu BGP

Veřejné IP adresy

Po vytvoření brány přejděte na stránku Vlastnosti. Vlastnosti a nastavení konfigurace budou podobné jako v následujícím příkladu. Všimněte si dvou veřejných IP adres, které se používají pro bránu.

Vlastnosti

2. Vytvoření Virtual WAN VPN

Pokud chcete Virtual WAN sítě VPN, přejděte do vaší virtuální sítě WAN a v části Připojení vyberte Lokality VPN. V této části vytvoříte dvě sítě VPN Virtual WAN sítě VPN, které odpovídají branám virtuální sítě, které jste vytvořili v předchozí části.

  1. Vyberte +Vytvořit lokalitu.

  2. Na stránce Vytvořit lokality VPN zadejte následující hodnoty:

    • Oblast – stejná oblast jako Azure VPN Gateway brány virtuální sítě.
    • Dodavatel zařízení – zadejte dodavatele zařízení (libovolný název).
    • Privátní adresní prostor – Zadejte hodnotu nebo ponechte prázdnou hodnotu, pokud je povolený protokol BGP.
    • Border Gateway Protocol – Pokud má brána virtuální sítě Azure VPN Gateway povolený protokol BGP, nastavte na Povolit.
    • Připojení na Hubs – V rozevíracím seznamu vyberte centrum, které jste vytvořili v požadavcích. Pokud centrum nevidíte, ověřte, že jste pro site-to-site VPN vytvořili bránu brány.

  3. V části Odkazy zadejte následující hodnoty:

    • Název zprostředkovatele – zadejte Název odkazu a Název zprostředkovatele (libovolný název).
    • Rychlost – rychlost (libovolné číslo).
    • IP adresa – Zadejte IP adresu (stejnou jako první veřejná IP adresa zobrazená ve vlastnostech brány virtuální VPN Gateway sítě).
    • Adresa BGP a ASN – adresa BGP a ASN. Musí být stejné jako jedna z IP adres partnerského protokolu BGP a ASN z brány virtuální sítě VPN Gateway sítě, kterou jste nakonfigurovali v kroku 1.

  4. Zkontrolujte a vyberte Potvrdit a vytvořte web.

  5. Opakujte předchozí kroky a vytvořte druhou lokalitu tak, aby odpovídala druhé instanci brány virtuální VPN Gateway sítě. Budete mít stejná nastavení s výjimkou použití druhé veřejné IP adresy a druhé IP adresy partnerského protokolu BGP z VPN Gateway konfigurace.

  6. Teď máte úspěšně zřízené dvě lokality a můžete přejít k další části a stáhnout konfigurační soubory.

3. Stažení konfiguračních souborů sítě VPN

V této části stáhnete konfigurační soubor SÍTĚ VPN pro všechny weby, které jste vytvořili v předchozí části.

  1. V horní části stránky Virtual WAN sítě VPN vyberte Web a pak vyberte Stáhnout konfiguraci sítě VPN site-to-site. Azure vytvoří konfigurační soubor s nastavením.

    Snímek obrazovky zobrazující stránku Lokality VPN s vybranou akcí Stáhnout konfiguraci site-to-site VPN

  2. Stáhněte a otevřete konfigurační soubor.

  3. Opakujte tyto kroky pro druhou lokalitu. Jakmile máte oba konfigurační soubory otevřené, můžete přejít k další části.

4. Vytvoření bran místní sítě

V této části vytvoříte dvě brány VPN Gateway místní sítě Azure. Konfigurační soubory z předchozího kroku obsahují nastavení konfigurace brány. Tato nastavení slouží k vytvoření a konfiguraci brány VPN Gateway místní sítě.

  1. Pomocí těchto nastavení vytvořte bránu místní sítě. Informace o tom, jak vytvořit bránu VPN Gateway sítě, najdete v článku VPN Gateway Vytvoření brány místní sítě.

    • IP adresa – Použijte IP adresu Instance0 zobrazenou pro konfiguraci brány z konfiguračního souboru.
    • BGP – Pokud je připojení přes protokol BGP, vyberte Konfigurovat nastavení protokolu BGP a zadejte ASN 65515. Zadejte IP adresu partnera BGP. Pro konfiguraci brány z konfiguračního souboru použijte Instanci0 BgpPeeringAddresses.
    • Adresní prostor Pokud připojení není přes protokol BGP, ujistěte se, že možnost Konfigurovat nastavení protokolu BGP zůstane nezaškrtnutá. Zadejte adresní prostory, které budete inzerovat ze strany brány virtuální sítě. Můžete přidat více různých rozsahů adres. Zkontrolujte, že se zadané rozsahy nepřekrývají s rozsahy jiných sítí, ke kterým se budete chtít připojit.
    • Předplatné, skupina prostředků a umístění jsou stejné jako u Virtual WAN prostředků.

  2. Zkontrolujte a vytvořte bránu místní sítě. Brána místní sítě by měla vypadat podobně jako v tomto příkladu.

    Snímek obrazovky zobrazující stránku Konfigurace se zvýrazněnou IP adresou a vybranou možností Konfigurovat nastavení protokolu BGP

  3. Opakováním těchto kroků vytvořte další bránu místní sítě, ale tentokrát použijte hodnoty Instance1 místo hodnoty Instance0 z konfiguračního souboru.

    stažení konfiguračního souboru

5. Vytvoření připojení

V této části vytvoříte připojení mezi bránou místní VPN Gateway a bránou virtuální sítě. Postup vytvoření připojení VPN Gateway najdete v tématu Konfigurace připojení.

  1. Na portálu přejděte k bráně virtuální sítě a klikněte na Připojení. V horní části okna Připojení klikněte na + Přidat a otevřete stránku Přidat připojení.

  2. Na stránce Přidat připojení nakonfigurujte pro připojení následující hodnoty:

    • Název: Zadejte název připojení.
    • Typ připojení: Vyberte Site-to-Site (IPSec).
    • Brána virtuální sítě: Tato hodnota je pevně daná, protože se připojujete z této brány.
    • Brána místní sítě: Toto připojení připojí bránu virtuální sítě k bráně místní sítě. Vyberte jednu z bran místní sítě, kterou jste vytvořili dříve.
    • Sdílený klíč: Zadejte sdílený klíč.
    • Protokol IKE: Zvolte protokol IKE.

  3. Vytvořte připojení kliknutím na OK.

  4. Připojení si můžete zobrazit na stránce Připojení brány virtuální sítě.

    Připojení

  5. Opakujte předchozí kroky a vytvořte druhé připojení. Pro druhé připojení vyberte druhou bránu místní sítě, kterou jste vytvořili.

  6. Pokud připojení prochází protokolem BGP, po vytvoření připojení přejděte k připojení a vyberte Konfigurace. Na stránce Konfigurace vyberte pro BGP možnost Povoleno. Pak klikněte na Uložit. Postup opakujte pro druhé připojení.

6. Testování připojení

Připojení můžete otestovat tak, že vytvoříte dva virtuální počítače, jeden na straně brány virtuální sítě VPN Gateway a jeden ve virtuální síti pro Virtual WAN, a pak oba virtuální počítače otestujte příkazem ping.

  1. Vytvořte virtuální počítač ve virtuální síti (Test1-VNet) pro Azure VPN Gateway (Test1-VNG). Nevytvářejte virtuální počítač v podsítě GatewaySubnet.

  2. Vytvořte další virtuální síť pro připojení k virtuální síti WAN. Vytvořte virtuální počítač v podsíti této virtuální sítě. Tato virtuální síť nesmí obsahovat žádné brány virtuální sítě. Virtuální síť můžete rychle vytvořit pomocí postupu PowerShellu v článku o připojení site-to-site. Před spuštěním rutin nezapomeňte změnit hodnoty.

  3. Připojení virtuální síť do Virtual WAN hubu. Na stránce virtuální sítě WAN vyberte Připojení k virtuální síti a pak + Přidat připojení. Na stránce Add connection (Přidat připojení) zadejte údaje do následujících polí:

    • Connection name (Název připojení) – zadejte název připojení.
    • Hubs (Rozbočovače) – vyberte rozbočovač, který chcete k tomuto připojení přidružit.
    • Subscription (Předplatné) – ověřte předplatné.
    • Virtual network (Virtuální síť) – vyberte virtuální síť, kterou chcete připojit k tomuto rozbočovači. Virtuální síť nesmí mít existující bránu virtuální sítě.

  4. Kliknutím na OK vytvořte připojení k virtuální síti.

  5. Připojení je teď nastavené mezi virtuálními počítače. Měli byste být schopni od druhého použít příkaz ping na jeden virtuální počítač, pokud komunikaci neblokují nějaké brány firewall nebo jiné zásady.

Další kroky

Postup konfigurace vlastních zásad IPsec najdete v tématu Konfigurace vlastních zásad IPsec pro Virtual WAN. Další informace o těchto Virtual WAN najdete v tématu Informace o Azure Virtual WAN a nejčastější dotazy Azure Virtual WAN.