Een site-naar-site-verbinding toevoegen aan een VNet met een bestaande VPN-gatewayverbinding (klassiek)

In dit artikel wordt beschreven hoe u PowerShell gebruikt om site-naar-site-verbindingen (S2S) toe te voegen aan een VPN-gateway die een bestaande verbinding heeft. Dit type verbinding wordt vaak aangeduid als een configuratie met meerdere site's. De stappen in dit artikel zijn van toepassing op virtuele netwerken die zijn gemaakt met behulp van het klassieke implementatiemodel (ook wel servicebeheer genoemd). Deze stappen zijn niet van toepassing op expressroute-/site-naar-site-verbindingsconfiguraties die naast elkaar bestaan.

Implementatiemodellen en -methoden

Azure werkt momenteel in combinatie met twee implementatiemodellen: Resource Manager en klassiek. De twee modellen zijn niet volledig compatibel met elkaar. Voordat u begint, moet u bepalen met welk model u wilt werken. Zie Implementatiemodellen begrijpen voor meer informatie over de implementatiemodellen. Als u niet bekend bent met Azure, raden we u aan het Resource Manager-implementatiemodel te gebruiken.

We werken deze tabel bij wanneer er nieuwe artikelen en extra hulpprogramma's beschikbaar komen voor deze configuratie. Wanneer een artikel beschikbaar is, wordt er rechtstreeks vanuit deze tabel een koppeling naar gemaakt.

Over verbinding maken

U kunt meerdere on-premises sites verbinden met één virtueel netwerk. Dit is vooral aantrekkelijk voor het bouwen van hybride cloudoplossingen. Het maken van een multi-site-verbinding met uw virtuele Azure-netwerkgateway is vergelijkbaar met het maken van andere site-naar-site-verbindingen. U kunt in feite een bestaande Azure VPN-gateway gebruiken, zolang de gateway dynamisch is (op route gebaseerd).

Als u al een statische gateway hebt die is verbonden met uw virtuele netwerk, kunt u het gatewaytype wijzigen in dynamisch zonder dat u het virtuele netwerk opnieuw hoeft te bouwen om ruimte te bieden aan meerdere plaatsen. Voordat u het routeringstype verandert, moet u ervoor zorgen dat uw on-premises VPN-gateway op route gebaseerde VPN-configuraties ondersteunt.

Punten om in overweging te nemen

U kunt de portal niet gebruiken om wijzigingen aan te brengen in dit virtuele netwerk. U moet wijzigingen aanbrengen in het netwerkconfiguratiebestand in plaats van de portal te gebruiken. Als u wijzigingen in de portal aanlevert, worden uw referentie-instellingen voor meerdere site overschreven voor dit virtuele netwerk.

U moet vertrouwd zijn met het gebruik van het netwerkconfiguratiebestand op het moment dat u de procedure voor meerdere site hebt voltooid. Als er echter meerdere personen aan uw netwerkconfiguratie werken, moet u ervoor zorgen dat iedereen deze beperking kent. Dit betekent niet dat u de portal helemaal niet kunt gebruiken. U kunt deze voor al het andere gebruiken, behalve configuratiewijzigingen aan te brengen in dit specifieke virtuele netwerk.

Voordat u begint

Controleer voordat u met de configuratie begint of u het volgende hebt:

• Compatibele VPN-hardware voor elke on-premises locatie. Raadpleeg About VPN Devices for Virtual Network Connectivity (Informatie over VPN-apparaten voor connectiviteit) om te controleren of het apparaat dat u wilt gebruiken, compatibel is.
• Een extern gericht openbaar IPv4-IP-adres voor elk VPN-apparaat. Het IP-adres kan zich niet achter een NAT bevinden. Dit is vereist.
• Iemand die ervaring heeft met het configureren van uw VPN-hardware. U moet een goed begrip hebben van het configureren van uw VPN-apparaat of werken met iemand die dat wel doet.
• De IP-adresbereiken die u wilt gebruiken voor het virtuele netwerk (als u er nog geen hebt gemaakt).
• De IP-adresbereiken voor elk van de lokale netwerksites die u wilt verbinden. U moet ervoor zorgen dat de IP-adresbereiken voor elk van de lokale netwerksites die u wilt verbinden, niet overlappen. Anders weigert de portal of REST API de configuratie die wordt geüpload.
  Als u bijvoorbeeld twee lokale netwerksites hebt die beide het IP-adresbereik 10.2.3.0/24 bevatten en u een pakket hebt met het doeladres 10.2.3.3, weet Azure niet naar welke site u het pakket wilt verzenden, omdat de adresbereiken overlappen. Om routeringsproblemen te voorkomen, kunt u in Azure geen configuratiebestand met overlappende bereik uploaden.

Werken met Azure PowerShell

Wanneer u werkt met het klassieke implementatie model, kunt u Azure Cloud Shell niet gebruiken. In plaats daarvan moet u de nieuwste versie van de Power shell-cmdlets voor Azure Service Management (SM) lokaal op uw computer installeren. Deze cmdlets verschillen van de AzureRM-of AZ-cmdlets. Zie Service Management-cmdlets installerenom de SM-cmdlets te installeren. Zie de Azure PowerShell documentatievoor meer informatie over Azure PowerShell in het algemeen.

1. Een site-naar-site-VPN maken

Als u al een site-naar-site-VPN met een gateway voor dynamische routering hebt, is dat prima. U kunt doorgaan met Het configureren van het virtuele netwerk exporteren. Zo niet, doe dan het volgende:

Als u al een virtueel site-naar-site-netwerk hebt, maar wel een statische routeringsgateway (op basis van beleid) hebt:

1. Wijzig uw gatewaytype in dynamische routering. Voor een VPN met meerdere site is een dynamische routeringsgateway (ook wel op route gebaseerde) vereist. Als u het gatewaytype wilt wijzigen, moet u eerst de bestaande gateway verwijderen en vervolgens een nieuwe maken.
2. Configureer uw nieuwe gateway en maak uw VPN-tunnel. Zie De SKU en het VPN-typeopgeven voor instructies. Zorg ervoor dat u het routeringstype opgeeft als Dynamisch.

Als u geen virtueel site-naar-site-netwerk hebt:

1. Maak uw virtuele site-naar-site-netwerk met behulp van de volgende instructies: Maak een Virtual Network met een site-naar-site-VPN-verbinding.
2. Configureer een gateway voor dynamische routering met behulp van deze instructies: Configureer een VPN Gateway. Zorg ervoor dat u dynamische routering selecteert voor uw gatewaytype.

2. Het netwerkconfiguratiebestand exporteren

Open uw PowerShell-console met verhoogde rechten. Als u wilt overschakelen naar servicebeheer, gebruikt u deze opdracht:

azure config mode asm

Maak verbinding met uw account. Gebruik het volgende voorbeeld als hulp bij het maken van de verbinding:

Add-AzureAccount

Exporteert u uw Azure-netwerkconfiguratiebestand door de volgende opdracht uit te voeren. U kunt de locatie van het bestand zo nodig wijzigen om te exporteren naar een andere locatie.

Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

3. Het netwerkconfiguratiebestand openen

Open het netwerkconfiguratiebestand dat u in de laatste stap hebt gedownload. Gebruik een XML-editor die u wilt. Het bestand moet er ongeveer als volgt uitzien:

<NetworkConfiguration xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
  <VirtualNetworkConfiguration>
    <LocalNetworkSites>
      <LocalNetworkSite name="Site1">
        <AddressSpace>
          <AddressPrefix>10.0.0.0/16</AddressPrefix>
          <AddressPrefix>10.1.0.0/16</AddressPrefix>
        </AddressSpace>
        <VPNGatewayAddress>131.2.3.4</VPNGatewayAddress>
      </LocalNetworkSite>
      <LocalNetworkSite name="Site2">
        <AddressSpace>
          <AddressPrefix>10.2.0.0/16</AddressPrefix>
          <AddressPrefix>10.3.0.0/16</AddressPrefix>
        </AddressSpace>
        <VPNGatewayAddress>131.4.5.6</VPNGatewayAddress>
      </LocalNetworkSite>
    </LocalNetworkSites>
    <VirtualNetworkSites>
      <VirtualNetworkSite name="VNet1" AffinityGroup="USWest">
        <AddressSpace>
          <AddressPrefix>10.20.0.0/16</AddressPrefix>
          <AddressPrefix>10.21.0.0/16</AddressPrefix>
        </AddressSpace>
        <Subnets>
          <Subnet name="FE">
            <AddressPrefix>10.20.0.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="BE">
            <AddressPrefix>10.20.1.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="GatewaySubnet">
            <AddressPrefix>10.20.2.0/29</AddressPrefix>
          </Subnet>
        </Subnets>
        <Gateway>
          <ConnectionsToLocalNetwork>
            <LocalNetworkSiteRef name="Site1">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
          </ConnectionsToLocalNetwork>
        </Gateway>
      </VirtualNetworkSite>
    </VirtualNetworkSites>
  </VirtualNetworkConfiguration>
</NetworkConfiguration>

4. Meerdere siteverwijzingen toevoegen

Wanneer u siteverwijzingsgegevens toevoegt of verwijdert, moet u configuratiewijzigingen aanbrengen in ConnectionsToLocalNetwork/LocalNetworkSiteRef. Het toevoegen van een nieuwe referentie voor lokale site activeert Azure om een nieuwe tunnel te maken. In het onderstaande voorbeeld is de netwerkconfiguratie voor een verbinding met één site. Sla het bestand op wanneer u klaar bent met het aanbrengen van uw wijzigingen.

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

Als u aanvullende siteverwijzingen wilt toevoegen (een configuratie voor meerdere site maken), voegt u aanvullende localNetworkSiteRef-regels toe, zoals wordt weergegeven in het onderstaande voorbeeld:

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
      <LocalNetworkSiteRef name="Site2"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

5. Het netwerkconfiguratiebestand importeren

Importeer het netwerkconfiguratiebestand. Wanneer u dit bestand met de wijzigingen importeert, worden de nieuwe tunnels toegevoegd. De tunnels gebruiken de dynamische gateway die u eerder hebt gemaakt. U kunt PowerShell gebruiken om het bestand te importeren.

6. Sleutels downloaden

Zodra uw nieuwe tunnels zijn toegevoegd, gebruikt u de PowerShell-cmdlet Get-AzureVNetGatewayKey om de vooraf gedeelde IPsec/IKE-sleutels voor elke tunnel op te halen.

Bijvoorbeeld:

Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site1"
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site2"

Als u dat liever wilt, kunt u ook de Virtual Network gateway gedeelde sleutel ophalen REST API de vooraf gedeelde sleutels op te halen.

7. Uw verbindingen controleren

Controleer de status van multi-site tunnel. Nadat u de sleutels voor elke tunnel hebt gedownload, moet u de verbindingen controleren. Gebruik 'Get-AzureVnetConnection' om een lijst met virtuele netwerktunnels op te halen, zoals wordt weergegeven in het onderstaande voorbeeld. VNet1 is de naam van het VNet.

Get-AzureVnetConnection -VNetName VNET1

Voorbeeld retourneren:

    ConnectivityState         : Connected
    EgressBytesTransferred    : 661530
    IngressBytesTransferred   : 519207
    LastConnectionEstablished : 5/2/2014 2:51:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site1' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site1
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7f68a8e6-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

    ConnectivityState         : Connected
    EgressBytesTransferred    : 789398
    IngressBytesTransferred   : 143908
    LastConnectionEstablished : 5/2/2014 3:20:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site2' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site2
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7893b329-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

Volgende stappen

Zie Over VPN-gateways voor meer informatie over VPN-gateways.