Dodawanie połączenia lokacja-lokacja do sieci wirtualnej z istniejącym połączeniem bramy sieci VPN (klasyczne)Add a Site-to-Site connection to a VNet with an existing VPN gateway connection (classic)

Uwaga

Ten artykuł dotyczy klasycznego modelu wdrażania.This article is written for the classic deployment model. Jeśli dopiero zaczynasz pracę na platformie Azure, zalecamy użycie modelu wdrażania przy użyciu usługi Resource Manager.If you're new to Azure, we recommend that you use the Resource Manager deployment model instead. Model wdrażania przy użyciu usługi Resource Manager jest najnowszym modelem wdrażania i oferuje więcej opcji oraz większą zgodność funkcji niż klasyczny model wdrażania.The Resource Manager deployment model is the most current deployment model and offers more options and feature compatibility than the classic deployment model. Aby uzyskać więcej informacji na temat modeli wdrażania, zobacz Understanding deployment models (Omówienie modeli wdrażania).For more information about the deployment models, see Understanding deployment models.

W przypadku wersji Menedżer zasobów tego artykułu wybierz ją z listy rozwijanej lub z spisu treści po lewej stronie.For the Resource Manager version of this article, select it from the drop-down list, or from the table of contents on the left.

W tym artykule opisano sposób dodawania połączeń typu lokacja-lokacja (S2S) do bramy sieci VPN z istniejącym połączeniem przy użyciu programu PowerShell.This article walks you through using PowerShell to add Site-to-Site (S2S) connections to a VPN gateway that has an existing connection. Ten typ połączenia jest często określany mianem konfiguracji "wiele lokacji".This type of connection is often referred to as a "multi-site" configuration. Kroki opisane w tym artykule mają zastosowanie do sieci wirtualnych utworzonych przy użyciu klasycznego modelu wdrażania (nazywanego również zarządzaniem usługami).The steps in this article apply to virtual networks created using the classic deployment model (also known as Service Management). Te kroki nie dotyczą współistniejących konfiguracji połączeń ExpressRoute/lokacja-lokacja.These steps do not apply to ExpressRoute/Site-to-Site coexisting connection configurations.

Modele i metody wdrażaniaDeployment models and methods

Obecnie platforma Azure obsługuje dwa modele wdrażania: model wdrażania przy użyciu usługi Azure Resource Manager i model klasyczny.Azure currently works with two deployment models: Resource Manager and classic. Te dwa modele nie są ze sobą w pełni zgodne.The two models are not completely compatible with each other. Zanim zaczniesz, musisz wiedzieć, z którym modelem chcesz pracować.Before you begin, you need to know which model that you want to work in. Aby uzyskać więcej informacji na temat modeli wdrażania, zobacz Understanding deployment models (Omówienie modeli wdrażania).For information about the deployment models, see Understanding deployment models. Jeśli dopiero zaczynasz pracę na platformie Azure, zalecamy użycie modelu wdrażania przy użyciu usługi Resource Manager.If you are new to Azure, we recommend that you use the Resource Manager deployment model.

Ta tabela jest aktualizowana w miarę jak nowe artykuły i dodatkowe narzędzia stają się dostępne dla tej konfiguracji.We update this table as new articles and additional tools become available for this configuration. Gdy artykuł jest dostępny, prosimy o bezpośredni link do niego z tej tabeli.When an article is available, we link directly to it from this table.

Model/Metoda wdrażaniaDeployment model/method Witryna Azure PortalAzure portal Program PowerShellPowerShell
Resource ManagerResource Manager SamouczekTutorial ObsługiwaneSupported
KlasycznyClassic NieobsługiwaneNot Supported SamouczekTutorial

Informacje o łączeniuAbout connecting

Można połączyć wiele lokacji lokalnych z pojedynczą siecią wirtualną.You can connect multiple on-premises sites to a single virtual network. Jest to szczególnie atrakcyjne w przypadku tworzenia rozwiązań w chmurze hybrydowej.This is especially attractive for building hybrid cloud solutions. Tworzenie połączenia między lokacjami z bramą sieci wirtualnej platformy Azure jest podobne do tworzenia innych połączeń typu lokacja-lokacja.Creating a multi-site connection to your Azure virtual network gateway is similar to creating other Site-to-Site connections. W rzeczywistości można użyć istniejącej bramy sieci VPN platformy Azure, o ile Brama jest dynamiczna (oparta na trasach).In fact, you can use an existing Azure VPN gateway, as long as the gateway is dynamic (route-based).

Jeśli masz już bramę statyczną połączoną z siecią wirtualną, możesz zmienić typ bramy na dynamiczną bez konieczności odbudowywania sieci wirtualnej w celu uwzględnienia wiele lokacji.If you already have a static gateway connected to your virtual network, you can change the gateway type to dynamic without needing to rebuild the virtual network in order to accommodate multi-site. Przed zmianą typu routingu upewnij się, że lokalna Brama sieci VPN obsługuje konfiguracje sieci VPN oparte na trasach.Before changing the routing type, make sure that your on-premises VPN gateway supports route-based VPN configurations.

Diagram z obsługą wiele lokacjimulti-site diagram

Kwestie do rozważeniaPoints to consider

Nie będzie można używać portalu do wprowadzania zmian w tej sieci wirtualnej.You won't be able to use the portal to make changes to this virtual network. Należy wprowadzić zmiany w pliku konfiguracji sieci, zamiast korzystać z portalu.You need to make changes to the network configuration file instead of using the portal. Jeśli wprowadzisz zmiany w portalu, zastąpią one ustawienia odwołań do kilku witryn dla tej sieci wirtualnej.If you make changes in the portal, they'll overwrite your multi-site reference settings for this virtual network.

Należy wygodnie korzystać z pliku konfiguracji sieci przez czas ukończenia procedury wielolokacjowej.You should feel comfortable using the network configuration file by the time you've completed the multi-site procedure. Jeśli jednak w konfiguracji sieci istnieje wiele osób, należy się upewnić, że każdy wie o tym ograniczeniu.However, if you have multiple people working on your network configuration, you'll need to make sure that everyone knows about this limitation. Nie oznacza to, że w ogóle nie można używać portalu.This doesn't mean that you can't use the portal at all. Można jej używać dla wszystkiego innego, z wyjątkiem wprowadzania zmian w konfiguracji tej konkretnej sieci wirtualnej.You can use it for everything else, except making configuration changes to this particular virtual network.

Zanim rozpocznieszBefore you begin

Przed rozpoczęciem konfiguracji Sprawdź, czy masz następujące elementy:Before you begin configuration, verify that you have the following:

  • Zgodny sprzęt sieci VPN dla każdej lokalizacji lokalnej.Compatible VPN hardware for each on-premises location. Sprawdź Informacje o urządzeniach sieci VPN pod kątem łączności Virtual Network , aby sprawdzić, czy urządzenie, którego chcesz użyć, jest znane jako zgodne.Check About VPN Devices for Virtual Network Connectivity to verify if the device that you want to use is something that is known to be compatible.
  • Zewnętrzny adres IP protokołu IPv4 dla każdego urządzenia sieci VPN.An externally facing public IPv4 IP address for each VPN device. Adres IP nie może znajdować się za translatorem adresów sieciowych.The IP address cannot be located behind a NAT. Jest to wymagane.This is requirement.
  • Osoba, która jest w sposób nieużywany do konfigurowania sprzętu sieci VPN.Someone who is proficient at configuring your VPN hardware. Musisz mieć silny opis sposobu konfigurowania urządzenia sieci VPN lub pracy z osobą, która robi.You'll have to have a strong understanding of how to configure your VPN device, or work with someone who does.
  • Zakresy adresów IP, które mają być używane dla sieci wirtualnej (jeśli jeszcze nie zostały utworzone).The IP address ranges that you want to use for your virtual network (if you haven't already created one).
  • Zakresy adresów IP dla każdej z lokacji sieci lokalnej, z którymi będziesz się łączyć.The IP address ranges for each of the local network sites that you'll be connecting to. Należy upewnić się, że zakresy adresów IP dla każdej z lokacji sieci lokalnej, z którymi chcesz się połączyć, nie nakładają się na siebie.You'll need to make sure that the IP address ranges for each of the local network sites that you want to connect to do not overlap. W przeciwnym razie Portal lub interfejs API REST odrzuci zakazaną konfigurację.Otherwise, the portal or the REST API will reject the configuration being uploaded.
    Na przykład jeśli masz dwie lokalne lokacje sieciowe, które zawierają zakres adresów IP 10.2.3.0/24 i masz pakiet z adresem docelowym 10.2.3.3, platforma Azure nie będzie mogła wiedzieć, do której lokacji chcesz wysłać pakiet, ponieważ zakresy adresów nakładają się na siebie.For example, if you have two local network sites that both contain the IP address range 10.2.3.0/24 and you have a package with a destination address 10.2.3.3, Azure wouldn't know which site you want to send the package to because the address ranges are overlapping. Aby zapobiec problemom z routingiem, platforma Azure nie zezwala na przekazywanie pliku konfiguracji, który ma nakładające się zakresy.To prevent routing issues, Azure doesn't allow you to upload a configuration file that has overlapping ranges.

Praca z Azure PowerShellWorking with Azure PowerShell

Podczas pracy z klasycznym modelem wdrażania nie można używać Azure Cloud Shell.When working with the classic deployment model, you can't use Azure Cloud Shell. Zamiast tego należy lokalnie zainstalować najnowszą wersję poleceń cmdlet programu PowerShell dla usługi Azure Service Management (SM) na komputerze.Instead, you must install the latest version of the Azure Service Management (SM) PowerShell cmdlets locally on your computer. Te polecenia cmdlet różnią się od AzureRM lub AZ poleceń cmdlet.These cmdlets are different from the AzureRM or Az cmdlets. Aby zainstalować polecenia cmdlet narzędzia SM, zobacz Instalowanie poleceń cmdlet programu Service Management.To install the SM cmdlets, see Install Service Management cmdlets. Aby uzyskać więcej informacji na temat ogólnie Azure PowerShell, zapoznaj się z dokumentacją Azure PowerShell.For more information about Azure PowerShell in general, see the Azure PowerShell documentation.

1. Tworzenie sieci VPN typu lokacja-lokacja1. Create a Site-to-Site VPN

Jeśli masz już sieć VPN typu lokacja-lokacja z bramą dynamicznego routingu, świetnie!If you already have a Site-to-Site VPN with a dynamic routing gateway, great! Możesz przystępować eksport ustawień konfiguracji sieci wirtualnej.You can proceed to Export the virtual network configuration settings. Jeśli nie, wykonaj następujące czynności:If not, do the following:

Jeśli masz już sieć wirtualną typu lokacja-lokacja, ale ma ona statyczną (opartą na zasadach) bramę routingu:If you already have a Site-to-Site virtual network, but it has a static (policy-based) routing gateway:

  1. Zmień typ bramy na Routing dynamiczny.Change your gateway type to dynamic routing. Sieć VPN z obsługą wiele lokacji wymaga dynamicznej (nazywanego również bramą routingu opartego na trasach).A multi-site VPN requires a dynamic (also known as route-based) routing gateway. Aby zmienić typ bramy, należy najpierw usunąć istniejącą bramę, a następnie utworzyć nową.To change your gateway type, you'll need to first delete the existing gateway, then create a new one.
  2. Skonfiguruj nową bramę i Utwórz tunel VPN.Configure your new gateway and create your VPN tunnel. Aby uzyskać instrukcje, zobacz Określanie jednostki SKU i typu sieci VPN.For instructions, For instructions, see Specify the SKU and VPN type. Upewnij się, że typ routingu jest określony jako "dynamiczny".Make sure you specify the Routing Type as 'Dynamic'.

Jeśli nie masz sieci wirtualnej typu lokacja-lokacja:If you don't have a Site-to-Site virtual network:

  1. Utwórz sieć wirtualną lokacja-lokacja, wykonując następujące instrukcje: utwórz Virtual Network z połączeniem sieci VPN typu lokacja-lokacja.Create your Site-to-Site virtual network using these instructions: Create a Virtual Network with a Site-to-Site VPN Connection.
  2. Konfigurowanie bramy routingu dynamicznego przy użyciu następujących instrukcji: skonfiguruj VPN Gateway.Configure a dynamic routing gateway using these instructions: Configure a VPN Gateway. Upewnij się, że wybrano opcję Routing dynamiczny dla danego typu bramy.Be sure to select dynamic routing for your gateway type.

2. Wyeksportuj plik konfiguracji sieci2. Export the network configuration file

Otwórz konsolę programu PowerShell z podwyższonym poziomem uprawnień.Open your PowerShell console with elevated rights. Aby przełączyć się do zarządzania usługami, użyj tego polecenia:To switch to service management, use this command:

azure config mode asm

Połącz się ze swoim kontem.Connect to your account. Użyj poniższego przykładu w celu łatwiejszego nawiązania połączenia:Use the following example to help you connect:

Add-AzureAccount

Wyeksportuj plik konfiguracji sieci platformy Azure, uruchamiając następujące polecenie.Export your Azure network configuration file by running the following command. W razie potrzeby można zmienić lokalizację pliku do wyeksportowania do innej lokalizacji.You can change the location of the file to export to a different location if necessary.

Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

3. Otwórz plik konfiguracji sieciowej3. Open the network configuration file

Otwórz plik konfiguracji sieciowej pobrany w ostatnim kroku.Open the network configuration file that you downloaded in the last step. Użyj dowolnego edytora XML.Use any xml editor that you like. Plik powinien wyglądać podobnie do poniższego:The file should look similar to the following:

<NetworkConfiguration xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
  <VirtualNetworkConfiguration>
    <LocalNetworkSites>
      <LocalNetworkSite name="Site1">
        <AddressSpace>
          <AddressPrefix>10.0.0.0/16</AddressPrefix>
          <AddressPrefix>10.1.0.0/16</AddressPrefix>
        </AddressSpace>
        <VPNGatewayAddress>131.2.3.4</VPNGatewayAddress>
      </LocalNetworkSite>
      <LocalNetworkSite name="Site2">
        <AddressSpace>
          <AddressPrefix>10.2.0.0/16</AddressPrefix>
          <AddressPrefix>10.3.0.0/16</AddressPrefix>
        </AddressSpace>
        <VPNGatewayAddress>131.4.5.6</VPNGatewayAddress>
      </LocalNetworkSite>
    </LocalNetworkSites>
    <VirtualNetworkSites>
      <VirtualNetworkSite name="VNet1" AffinityGroup="USWest">
        <AddressSpace>
          <AddressPrefix>10.20.0.0/16</AddressPrefix>
          <AddressPrefix>10.21.0.0/16</AddressPrefix>
        </AddressSpace>
        <Subnets>
          <Subnet name="FE">
            <AddressPrefix>10.20.0.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="BE">
            <AddressPrefix>10.20.1.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="GatewaySubnet">
            <AddressPrefix>10.20.2.0/29</AddressPrefix>
          </Subnet>
        </Subnets>
        <Gateway>
          <ConnectionsToLocalNetwork>
            <LocalNetworkSiteRef name="Site1">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
          </ConnectionsToLocalNetwork>
        </Gateway>
      </VirtualNetworkSite>
    </VirtualNetworkSites>
  </VirtualNetworkConfiguration>
</NetworkConfiguration>

4. Dodaj odwołania do wielu lokacji4. Add multiple site references

Po dodaniu lub usunięciu informacji o odwołaniu do lokacji wprowadzisz zmiany w konfiguracji ConnectionsToLocalNetwork/LocalNetworkSiteRef.When you add or remove site reference information, you'll make configuration changes to the ConnectionsToLocalNetwork/LocalNetworkSiteRef. Dodanie nowego tunelu do lokalnego odwołania do lokacji spowoduje, że platforma Azure zostanie utworzona.Adding a new local site reference triggers Azure to create a new tunnel. W poniższym przykładzie konfiguracja sieci dotyczy połączenia z jedną lokacją.In the example below, the network configuration is for a single-site connection. Zapisz plik po zakończeniu wprowadzania zmian.Save the file once you have finished making your changes.

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

Aby dodać dodatkowe odwołania do lokacji (utworzyć konfigurację z konfiguracją wiele lokacji), po prostu Dodaj dodatkowe linie "LocalNetworkSiteRef", jak pokazano w poniższym przykładzie:To add additional site references (create a multi-site configuration), simply add additional "LocalNetworkSiteRef" lines, as shown in the example below:

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
      <LocalNetworkSiteRef name="Site2"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

5. Zaimportuj plik konfiguracji sieci5. Import the network configuration file

Zaimportuj plik konfiguracji sieci.Import the network configuration file. Po zaimportowaniu tego pliku ze zmianami zostaną dodane nowe tunele.When you import this file with the changes, the new tunnels will be added. Tunele będą używały utworzonej wcześniej bramy dynamicznej.The tunnels will use the dynamic gateway that you created earlier. Do zaimportowania pliku można użyć programu PowerShell.You can use PowerShell to import the file.

6. Pobierz klucze6. Download keys

Po dodaniu nowych tuneli należy użyć polecenia cmdlet "Get-AzureVNetGatewayKey" programu PowerShell, aby pobrać klucze wstępne protokołu IPsec/IKE dla każdego tunelu.Once your new tunnels have been added, use the PowerShell cmdlet 'Get-AzureVNetGatewayKey' to get the IPsec/IKE pre-shared keys for each tunnel.

Na przykład:For example:

Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site1"
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site2"

Jeśli wolisz, możesz również użyć interfejsu API REST usługi Get Virtual Network Gateway w celu uzyskania kluczy wstępnych.If you prefer, you can also use the Get Virtual Network Gateway Shared Key REST API to get the pre-shared keys.

7. Sprawdź połączenia7. Verify your connections

Sprawdź stan tunelu z obsługą wiele lokacji.Check the multi-site tunnel status. Po pobraniu kluczy dla każdego tunelu należy zweryfikować połączenia.After downloading the keys for each tunnel, you'll want to verify connections. Użyj polecenie "Get-AzureVnetConnection", aby uzyskać listę tuneli sieci wirtualnej, jak pokazano w poniższym przykładzie.Use 'Get-AzureVnetConnection' to get a list of virtual network tunnels, as shown in the example below. VNet1 jest nazwą sieci wirtualnej.VNet1 is the name of the VNet.

Get-AzureVnetConnection -VNetName VNET1

Przykład powrotu:Example return:

    ConnectivityState         : Connected
    EgressBytesTransferred    : 661530
    IngressBytesTransferred   : 519207
    LastConnectionEstablished : 5/2/2014 2:51:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site1' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site1
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7f68a8e6-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

    ConnectivityState         : Connected
    EgressBytesTransferred    : 789398
    IngressBytesTransferred   : 143908
    LastConnectionEstablished : 5/2/2014 3:20:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site2' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site2
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7893b329-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

Następne krokiNext steps

Aby dowiedzieć się więcej o bramach sieci VPN, zobacz Informacje o bramach sieci VPN.To learn more about VPN Gateways, see About VPN Gateways.