Připojení Azure VPN Gateway k několika místním založené na zásadách zařízením VPN pomocí PowershelluConnect Azure VPN gateways to multiple on-premises policy-based VPN devices using PowerShell

Tento článek vám pomůže nakonfigurovat služby Azure založené na směrování VPN gateway pro připojení k několika místním založené na zásadách zařízením VPN využití vlastních zásad IPsec/IKE na připojení S2S VPN.This article helps you configure an Azure route-based VPN gateway to connect to multiple on-premises policy-based VPN devices leveraging custom IPsec/IKE policies on S2S VPN connections.

Poznámka

Tento článek byl aktualizován, aby používal nový Azure PowerShell AZ Module.This article has been updated to use the new Azure PowerShell Az module. Stále můžete používat modul AzureRM, který bude dál přijímat opravy chyb, dokud nebude aspoň 2020. prosince.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Další informace o novém rozhraní AZ Module a AzureRM Compatibility najdete v tématu představení nového Azure PowerShell AZ Module.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pokyny k instalaci přidaných modulů najdete v tématu Install Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

O zásadové a trasové brány VPNAbout policy-based and route-based VPN gateways

Zásady – vs. zařízení sítě VPN založené na směrování se liší v nastavení protokolu IPsec selektory provozu na připojení:Policy- vs. route-based VPN devices differ in how the IPsec traffic selectors are set on a connection:

  • Na základě zásad zařízení VPN použijte k definování, jak provoz je do tunelových propojení IPsec šifrované/dešifrovat kombinace předpon z obou sítích.Policy-based VPN devices use the combinations of prefixes from both networks to define how traffic is encrypted/decrypted through IPsec tunnels. Obvykle je založený na zařízení brány firewall, které provádějí filtrování paketů.It is typically built on firewall devices that perform packet filtering. Šifrování tunel IPsec a dešifrování se přidají do paketu filtrování a modul pro zpracování.IPsec tunnel encryption and decryption are added to the packet filtering and processing engine.
  • Založené na trasách zařízení VPN použijte selektory provozu any-to-any (zástupný znak) a umožní směrování a předávání tabulky směrovat přenos dat do různých tunelových propojení IPsec.Route-based VPN devices use any-to-any (wildcard) traffic selectors, and let routing/forwarding tables direct traffic to different IPsec tunnels. Obvykle orchard je založen na platformách směrovače, kde každý tunelu IPsec je modelovaná jako síťové rozhraní nebo VTI (tunel virtuálního rozhraní).It is typically built on router platforms where each IPsec tunnel is modeled as a network interface or VTI (virtual tunnel interface).

Následující diagramy zvýrazněte dva modely:The following diagrams highlight the two models:

Příklad připojení VPN na základě zásadPolicy-based VPN example

na základě zásad

Příklad sítě VPN založené na trasáchRoute-based VPN example

založené na trasách

Podpora Azure pro síť VPN založená na zásadáchAzure support for policy-based VPN

V současné době podporuje oba režimy bran VPN Azure: trasovými bránami VPN a bránami VPN na základě zásad.Currently, Azure supports both modes of VPN gateways: route-based VPN gateways and policy-based VPN gateways. Tyto šablony jsou sestaveny na různých platformách interní, vedlo různé požadavky:They are built on different internal platforms, which result in different specifications:

Brány sítě VPN PolicyBasedPolicyBased VPN Gateway Brány VPN typu RouteBasedRouteBased VPN Gateway
Azure skladové položky brányAzure Gateway SKU BasicBasic Basic, Standard, HighPerformance, VpnGw1, VpnGw2, VpnGw3Basic, Standard, HighPerformance, VpnGw1, VpnGw2, VpnGw3
Verze IKEIKE version IKEv1IKEv1 IKEv2IKEv2
Max. Připojení S2SMax. S2S connections 11 Basic/Standard: 10Basic/Standard: 10
HighPerformance: 30HighPerformance: 30

Pomocí vlastních zásad IPsec/IKE, teď můžete nakonfigurovat Azure založené na směrování VPN Gateway používat selektory provozu na základě předpony s možností "PolicyBasedTrafficSelectors", které umožňuje připojení k místním zařízením VPN na základě zásad.With the custom IPsec/IKE policy, you can now configure Azure route-based VPN gateways to use prefix-based traffic selectors with option "PolicyBasedTrafficSelectors", to connect to on-premises policy-based VPN devices. Díky této funkci můžete připojení z virtuální sítě Azure a bránu VPN k několika místních na základě zásad zařízení VPN nebo brána firewall odebrání limitu jednoho připojení z aktuální Azure na základě zásad VPN Gateway.This capability allows you to connect from an Azure virtual network and VPN gateway to multiple on-premises policy-based VPN/firewall devices, removing the single connection limit from the current Azure policy-based VPN gateways.

Důležité

  1. Pokud chcete povolit tyto možnosti připojení, musí podporovat místní zařízení VPN na základě zásad IKEv2 k připojení ke službám Azure VPN Gateway založená na trasách.To enable this connectivity, your on-premises policy-based VPN devices must support IKEv2 to connect to the Azure route-based VPN gateways. Zkontrolujte vaše specifikace zařízení VPN.Check your VPN device specifications.
  2. Sítích na pracovišti připojení prostřednictvím zařízení VPN založené na zásadách se tento mechanismus lze připojit pouze k virtuální síti Azure; nelze přenosu do jiných sítích na pracovišti nebo virtuálních sítí prostřednictvím stejné brány Azure VPN.The on-premises networks connecting through policy-based VPN devices with this mechanism can only connect to the Azure virtual network; they cannot transit to other on-premises networks or virtual networks via the same Azure VPN gateway.
  3. Možnost konfigurace je součástí vlastní zásady IPsec/IKE připojení.The configuration option is part of the custom IPsec/IKE connection policy. Pokud povolíte možnost selektor provozu na základě zásad, musíte zadat úplnou zásad (algoritmy šifrování a integrita protokolu IPsec/IKE, síly klíče a doby životnosti přidružení zabezpečení).If you enable the policy-based traffic selector option, you must specify the complete policy (IPsec/IKE encryption and integrity algorithms, key strengths, and SA lifetimes).

Následující diagram ukazuje, proč při směrování prostřednictvím brány Azure VPN nefunguje s možností na základě zásad:The following diagram shows why transit routing via Azure VPN gateway doesn't work with the policy-based option:

na základě zásad přenosu

Jak je znázorněno v diagramu, brána Azure VPN se selektory provozu z virtuální sítě ke každé z předpony místní sítě, ale ne předpony křížové připojení.As shown in the diagram, the Azure VPN gateway has traffic selectors from the virtual network to each of the on-premises network prefixes, but not the cross-connection prefixes. Například v místním serveru 2, web 3 a 4 webu může každý komunikovat do sítě VNet1 v uvedeném pořadí, ale nemůže připojit přes bránu Azure VPN mezi sebou.For example, on-premises site 2, site 3, and site 4 can each communicate to VNet1 respectively, but cannot connect via the Azure VPN gateway to each other. Diagram znázorňuje cross-connect selektory provozu, které nejsou k dispozici ve službě Azure VPN gateway v rámci této konfigurace.The diagram shows the cross-connect traffic selectors that are not available in the Azure VPN gateway under this configuration.

Konfigurace selektory provozu na základě zásad připojeníConfigure policy-based traffic selectors on a connection

Pokyny v tomto článku použijte stejný příklad, jak je popsáno v zásady Konfigurace protokolu IPsec/IKE pro připojení typu S2S nebo VNet-to-VNet k navázání připojení S2S VPN.The instructions in this article follow the same example as described in Configure IPsec/IKE policy for S2S or VNet-to-VNet connections to establish a S2S VPN connection. To je ukázáno v následujícím diagramu:This is shown in the following diagram:

s2s-policy

Pracovní postup pro povolení tato připojení:The workflow to enable this connectivity:

  1. Vytvoření virtuální sítě, brána sítě VPN a bránu místní sítě pro připojení mezi různými místyCreate the virtual network, VPN gateway, and local network gateway for your cross-premises connection
  2. Vytvoření zásady IPsec/IKECreate an IPsec/IKE policy
  3. Když vytvoříte připojení typu S2S nebo VNet-to-VNet, použijte zásady a povolit selektory provozu na základě zásad připojeníApply the policy when you create a S2S or VNet-to-VNet connection, and enable the policy-based traffic selectors on the connection
  4. Pokud se připojení vytvoří, můžete použít nebo aktualizovat zásady na existující připojeníIf the connection is already created, you can apply or update the policy to an existing connection

Než začneteBefore you begin

Ověřte, že máte předplatné Azure.Verify that you have an Azure subscription. Pokud ještě nemáte předplatné Azure, můžete si aktivovat výhody pro předplatitele MSDN nebo si zaregistrovat bezplatný účet.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

Tento článek používá rutiny prostředí PowerShell.This article uses PowerShell cmdlets. Ke spouštění rutin, můžete použít Azure Cloud Shell, interaktivní prostředí prostředí hostovaných v Azure a použít pomocí prohlížeče.To run the cmdlets, you can use Azure Cloud Shell, an interactive shell environment hosted in Azure and used through the browser. Azure Cloud Shell se dodává s rutinami Azure Powershellu, které jsou předem nainstalované.Azure Cloud Shell comes with the Azure PowerShell cmdlets pre-installed.

Pokud chcete spustit libovolný kód obsažený v tomto článku v Azure Cloud Shell, otevřete relaci služby Cloud Shell, použijte kopírování tlačítko na bloku kódu pro kód zkopírujte a vložte ho do relace Cloud Shellu s Ctrl + Shift + V na Windows a Linux, nebo Cmd + Shift + V v systému macOS.To run any code contained in this article on Azure Cloud Shell, open a Cloud Shell session, use the Copy button on a code block to copy the code, and paste it into the Cloud Shell session with Ctrl+Shift+V on Windows and Linux, or Cmd+Shift+V on macOS. Vložený text není spouštěny automaticky, takže stiskněte Enter pro spuštění kódu.Pasted text is not automatically executed, so press Enter to run code.

Můžete spustit Azure Cloud Shell pomocí:You can launch Azure Cloud Shell with:

Zvolte Vyzkoušet v pravém horním rohu bloku kódu.Select Try It in the upper-right corner of a code block. To nebude automaticky zkopírování textu do Cloud Shellu.This doesn't automatically copy text to Cloud Shell. Příklad vyzkoušet pro Azure Cloud Shell.
Otevřít shell.azure.com v prohlížeči.Open shell.azure.com in your browser. Spusťte Azure Cloud Shell tlačítkoLaunch Azure Cloud Shell button
Zvolte Cloud Shell v nabídce v pravém horním rohu webu Azure Portal.Select the Cloud Shell button on the menu in the upper-right corner of the Azure portal. Tlačítko Cloud Shell na webu Azure Portal

Místní použití PowershelluRunning PowerShell locally

Můžete také nainstalovat a spustit rutiny prostředí Azure PowerShell místně ve vašem počítači.You can also install and run the Azure PowerShell cmdlets locally on your computer. Rutiny Powershellu se často aktualizují.PowerShell cmdlets are updated frequently. Pokud používáte nejnovější verzi, zadané v pokynech pro hodnoty nemusí fungovat.If you are not running the latest version, the values specified in the instructions may fail. Chcete-li najít verze ve vašem počítači nainstalovaný Azure PowerShell, použijte Get-Module -ListAvailable Az rutiny.To find the versions of Azure PowerShell installed on your computer, use the Get-Module -ListAvailable Az cmdlet. Pro instalaci nebo aktualizaci, najdete v článku instalace modulu Azure PowerShell.To install or update, see Install the Azure PowerShell module.

Povolit selektory provozu na základě zásad připojeníEnable policy-based traffic selectors on a connection

Ujistěte se, že jste dokončili část 3 z článku o zásadách konfigurace protokolu IPsec/IKE pro tento oddíl.Make sure you have completed Part 3 of the Configure IPsec/IKE policy article for this section. Následující příklad používá stejné parametry a kroky:The following example uses the same parameters and steps:

Krok 1 – vytvoření virtuální sítě, brána sítě VPN a bránu místní sítěStep 1 - Create the virtual network, VPN gateway, and local network gateway

1. Připojení k vašemu předplatnému a deklarace proměnných1. Connect to your subscription and declare your variables

Otevřete konzolu Powershellu se zvýšenými oprávněními.Open your PowerShell console with elevated privileges.

Pokud používáte prostředí Azure PowerShell místně, připojte se ke svému účtu Azure.If you are running Azure PowerShell locally, connect to your Azure account. Připojit AzAccount rutina vás vyzve k zadání přihlašovacích údajů.The Connect-AzAccount cmdlet prompts you for credentials. Po ověření, stáhne nastavení účtu, aby byly k dispozici pro prostředí Azure PowerShell.After authenticating, it downloads your account settings so that they are available to Azure PowerShell. Tento první krok přeskočte, pokud nejsou místní použití Powershellu a místo toho používáte Azure Cloud Shell "Vyzkoušejte si to" v prohlížeči.If you are not running PowerShell locally and are instead using the Azure Cloud Shell 'Try it' in the browser, skip this first step. Připojíte se ke svému účtu Azure automaticky.You will connect to your Azure account automatically.

Connect-AzAccount

Pokud máte více předplatných, získejte seznam předplatných Azure.If you have more than one subscription, get a list of your Azure subscriptions.

Get-AzSubscription

Určete předplatné, které chcete použít.Specify the subscription that you want to use.

Select-AzSubscription -SubscriptionName "Name of subscription"

Deklarujte proměnné.Declare your variables. Pro toto cvičení můžeme použít následující proměnné:For this exercise, we use the following variables:

$Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"

$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. Vytvoření virtuální sítě, brána sítě VPN a bránu místní sítě2. Create the virtual network, VPN gateway, and local network gateway

Vytvořte skupinu prostředků.Create a resource group.

New-AzResourceGroup -Name $RG1 -Location $Location1

Použijte následující příklad k vytvoření virtuální sítě TestVNet1 s tři podsítě a bránu VPN.Use the following example to create the virtual network TestVNet1 with three subnets, and the VPN gateway. Pokud chcete nahradit hodnoty, je důležité vždy pojmenovat podsítě brány speciálně "GatewaySubnet".If you want to substitute values, it's important that you always name your gateway subnet specifically 'GatewaySubnet'. Pokud použijete jiný název, vytvoření brány se nezdaří.If you name it something else, your gateway creation fails.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku HighPerformance

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

Krok 2: vytvoření připojení S2S VPN pomocí zásad IPsec/IKEStep 2 - Create a S2S VPN connection with an IPsec/IKE policy

1. Vytvoření zásady IPsec/IKE1. Create an IPsec/IKE policy

Důležité

Je potřeba vytvořit zásady IPsec/IKE, chcete-li povolit možnost "UsePolicyBasedTrafficSelectors" připojení.You need to create an IPsec/IKE policy in order to enable "UsePolicyBasedTrafficSelectors" option on the connection.

Následující příklad vytvoří zásady IPsec/IKE pomocí těchto algoritmů a parametrů:The following example creates an IPsec/IKE policy with these algorithms and parameters:

  • IKEv2: AES256, SHA384, DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • Protokol IPsec: AES256, SHA256, PFS None, SA Lifetime 14400 seconds & 102400000KBIPsec: AES256, SHA256, PFS None, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2. Vytvořte připojení S2S VPN selektory provozu na základě zásad a zásad IPsec/IKE2. Create the S2S VPN connection with policy-based traffic selectors and IPsec/IKE policy

Vytvoření připojení S2S VPN a použití zásady IPsec/IKE vytvořili v předchozím kroku.Create an S2S VPN connection and apply the IPsec/IKE policy created in the previous step. Mějte na další parametr "-UsePolicyBasedTrafficSelectors $True" umožňující selektory provozu na základě zásad připojení.Be aware of the additional parameter "-UsePolicyBasedTrafficSelectors $True" which enables policy-based traffic selectors on the connection.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -UsePolicyBasedTrafficSelectors $True -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

Po dokončení kroků, připojení S2S VPN používat zásady IPsec/IKE definována a povolit selektory provozu na základě zásad připojení.After completing the steps, the S2S VPN connection will use the IPsec/IKE policy defined, and enable policy-based traffic selectors on the connection. Stejný postup k přidání další připojení k další místní zařízení VPN na základě zásad ze stejné Azure VPN gateway můžete opakovat.You can repeat the same steps to add more connections to additional on-premises policy-based VPN devices from the same Azure VPN gateway.

Aktualizovat selektory provozu na základě zásad pro připojeníUpdate policy-based traffic selectors for a connection

Poslední části se dozvíte, jak aktualizovat možnost selektory provozu na základě zásad pro existující připojení S2S VPN.The last section shows you how to update the policy-based traffic selectors option for an existing S2S VPN connection.

1. Získat připojení1. Get the connection

Získáte prostředek připojení.Get the connection resource.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

2. Zaškrtněte možnost selektory provozu na základě zásad2. Check the policy-based traffic selectors option

Následující řádek určuje, zda selektory provozu na základě zásad se používá pro připojení:The following line shows whether the policy-based traffic selectors are used for the connection:

$connection6.UsePolicyBasedTrafficSelectors

Pokud vrátí řádek "True", pak selektory provozu na základě zásad jsou nakonfigurovány pro připojení; jinak vrátí "False."If the line returns "True", then policy-based traffic selectors are configured on the connection; otherwise it returns "False."

3. Povolí nebo zakáže selektory provozu na základě zásad připojení3. Enable/Disable the policy-based traffic selectors on a connection

Jakmile získáte prostředek připojení, můžete povolit nebo zakázat možnost.Once you obtain the connection resource, you can enable or disable the option.

Chcete-li povolit UsePolicyBasedTrafficSelectorsTo Enable UsePolicyBasedTrafficSelectors

Následující příklad povolí možnost selektory provozu na základě zásad, ale ponechá zásady IPsec/IKE beze změny:The following example enables the policy-based traffic selectors option, but leaves the IPsec/IKE policy unchanged:

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True

Chcete-li zakázat UsePolicyBasedTrafficSelectorsTo Disable UsePolicyBasedTrafficSelectors

Následující příklad zakazuje možnost selektory provozu na základě zásad, ale ponechá beze změny zásad IPsec/IKE:The following example disables the policy-based traffic selectors option, but leaves the IPsec/IKE policy unchanged:

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $False

Další postupNext steps

Po dokončení připojení můžete do virtuálních sítí přidávat virtuální počítače.Once your connection is complete, you can add virtual machines to your virtual networks. Kroky jsou uvedeny v tématu Vytvoření virtuálního počítače.See Create a Virtual Machine for steps.

Projděte si také zásady Konfigurace protokolu IPsec/IKE pro připojení S2S VPN nebo VNet-to-VNet podrobné informace o vlastních zásad IPsec/IKE.Also review Configure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections for more details on custom IPsec/IKE policies.