Tworzenie sieci wirtualnej za pomocą połączenia typu lokacja-lokacja przy użyciu witryny Azure Portal (model klasyczny)

Ten artykuł pokazuje, jak używać witryny Azure Portal do tworzenia połączenia bramy sieci VPN lokacja-lokacja z sieci lokalnej do sieci wirtualnej. Kroki opisane w tym artykule dotyczą klasycznego (starszego ) modelu wdrażania i nie dotyczą bieżącego modelu wdrażania usługi Resource Manager. Zamiast tego zobacz wersję usługi Resource Manager tego artykułu.

Ważne

Nie można już tworzyć nowych bram sieci wirtualnych dla klasycznych sieci wirtualnych modelu wdrażania (zarządzania usługami). Nowe bramy sieci wirtualnej można tworzyć tylko dla sieci wirtualnych usługi Resource Manager.

Połączenie bramy sieci VPN typu lokacja-lokacja umożliwia łączenie sieci lokalnej z siecią wirtualną platformy Azure za pośrednictwem tunelu sieci VPN IPsec/IKE (IKEv1 lub IKEv2). Ten typ połączenia wymaga lokalnego urządzenia sieci VPN z przypisanym publicznym adresem IP dostępnym z zewnątrz. Więcej informacji o bramach sieci VPN można znaleźć w artykule Informacje dotyczące bram sieci VPN.

Uwaga

Ten artykuł został napisany dla klasycznego (starszego) modelu wdrażania. Zalecamy zamiast tego użycie najnowszego modelu wdrażania platformy Azure. Model wdrażania przy użyciu usługi Resource Manager jest najnowszym modelem wdrażania i oferuje więcej opcji i zgodności funkcji niż klasyczny model wdrażania. Aby zrozumieć różnicę między tymi dwoma modelami wdrażania, zobacz Omówienie modeli wdrażania i stanu zasobów.

Jeśli chcesz użyć innej wersji tego artykułu, użyj spisu treści w okienku po lewej stronie.

Zanim rozpoczniesz

Przed rozpoczęciem konfiguracji sprawdź, czy są spełnione następujące kryteria:

• Upewnij się, że chcesz pracować w klasycznym modelu wdrażania. Jeśli chcesz pracować w modelu wdrażania usługi Resource Manager, zobacz Tworzenie połączenia typu lokacja-lokacja (Resource Manager). Zalecamy użycie modelu wdrażania przy użyciu usługi Resource Manager, ponieważ model klasyczny jest starszy.
• Upewnij się, że masz zgodne urządzenie sieci VPN i dostępna jest osoba, która umie je skonfigurować. Aby uzyskać więcej informacji o zgodnych urządzeniach sieci VPN i konfiguracji urządzeń, zobacz artykuł Informacje o urządzeniach sieci VPN.
• Sprawdź, czy masz dostępny zewnętrznie publiczny adres IPv4 urządzenia sieci VPN.
• Jeśli nie znasz zakresów adresów IP znajdujących się w konfiguracji sieci lokalnej, musisz koordynować pracę z osobą, która może podać te szczegóły. Tworząc tę konfigurację, musisz określić prefiksy zakresu adresów IP, które platforma Azure będzie kierować do Twojej lokalizacji lokalnej. Żadna z podsieci sieci lokalnej nie może się nakładać na podsieci sieci wirtualnej, z którymi chcesz nawiązać połączenie.
• Program PowerShell jest wymagany w celu określenia klucza współużytkowanego i utworzenia połączenia bramy sieci VPN. Podczas pracy z klasycznym modelem wdrażania nie można użyć usługi Azure Cloud Shell. Zamiast tego należy zainstalować najnowszą wersję poleceń cmdlet programu PowerShell zarządzania usługami platformy Azure lokalnie na komputerze. Te polecenia cmdlet różnią się od poleceń cmdlet Moduł AzureRM lub Az. Aby zainstalować polecenia cmdlet sm, zobacz Instalowanie poleceń cmdlet zarządzania usługami. Aby uzyskać więcej informacji na temat programu Azure PowerShell, zobacz dokumentację programu Azure PowerShell.

Przykładowe wartości konfiguracji dla tego ćwiczenia

W przykładach w tym artykule są stosowane następujące wartości. Tych wartości możesz użyć do tworzenia środowiska testowego lub odwoływać się do nich, aby lepiej zrozumieć przykłady w niniejszym artykule. Zazwyczaj podczas pracy z wartościami adresów IP dla przestrzeni adresowej chcesz koordynować pracę z administratorem sieci, aby uniknąć nakładających się przestrzeni adresowych, co może mieć wpływ na routing. W takim przypadku zastąp wartości adresów IP własnymi, jeśli chcesz utworzyć połączenie robocze.

• Grupa zasobów: TestRG1
• Nazwa sieci wirtualnej: TestVNet1
• Przestrzeń adresowa: 10.11.0.0/16
• Nazwa podsieci: FrontEnd
• Zakres adresów podsieci: 10.11.0.0/24
• GatewaySubnet: 10.11.255.0/27
• Region: (USA) Wschodnie stany USA
• Nazwa lokacji lokalnej: Lokacja2
• Przestrzeń adresowa klienta: przestrzeń adresowa znajdująca się w lokacji lokalnej.

Tworzenie sieci wirtualnej

Podczas tworzenia sieci wirtualnej do użycia na potrzeby połączenia typu lokacja-lokacja należy upewnić się, że określone przestrzenie adresowe nie nakładają się na żadną z przestrzeni adresowych klienta dla lokacji lokalnych, z którymi chcesz nawiązać połączenie. Obecność nakładających się podsieci spowoduje, że połączenie nie będzie działać prawidłowo.

• Jeśli masz już sieć wirtualną, sprawdź, czy ustawienia są zgodne z projektem bramy sieci VPN. Zwróć szczególną uwagę na wszelkie podsieci, które mogą nakładać się na inne sieci.

• Jeśli nie masz jeszcze sieci wirtualnej, utwórz ją. Zamieszczone zrzuty ekranu są przykładowe. Przedstawione na nich wartości należy zastąpić własnymi.

Aby utworzyć sieć wirtualną

1. W przeglądarce przejdź do witryny Azure Portal i, jeśli to konieczne, zaloguj się przy użyciu konta platformy Azure.
2. Wybierz pozycję +Utwórz zasób. W polu Szukaj w witrynie Marketplace wpisz „Sieć wirtualna”. Z listy zwróconej znajdź pozycję Sieć wirtualna i wybierz ją, aby otworzyć stronę Sieć wirtualna.
3. Na stronie Sieć wirtualna w obszarze przycisku Utwórz zostanie wyświetlony komunikat "Deploy with Resource Manager (Deploy with Resource Manager (change to Classic)" (Wdróż przy użyciu usługi Resource Manager (zmień na klasyczny)". Usługa Resource Manager jest domyślną wartością tworzenia sieci wirtualnej. Nie chcesz tworzyć sieci wirtualnej usługi Resource Manager. Wybierz pozycję (przejdź do klasycznej), aby utworzyć klasyczną sieć wirtualną. Następnie wybierz kartę Przegląd i wybierz pozycję Utwórz.
4. Na stronie Tworzenie sieci wirtualnej (klasycznej) na karcie Podstawy skonfiguruj ustawienia sieci wirtualnej przy użyciu przykładowych wartości.
5. Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować sieć wirtualną.
6. Przebiegi walidacji. Po zweryfikowaniu sieci wirtualnej wybierz pozycję Utwórz.

Ustawienia DNS nie są wymaganą częścią tej konfiguracji, ale dns jest konieczne, jeśli chcesz rozpoznawania nazw między maszynami wirtualnymi. Określenie wartości nie powoduje utworzenia nowego serwera DNS. Określony adres IP serwera DNS powinien być adresem serwera będącego w stanie rozpoznawać nazwy zasobów, z którymi nawiązywane jest połączenie.

Po utworzeniu sieci wirtualnej możesz dodać adres IP serwera DNS, aby umożliwić obsługę rozpoznawania nazw. Otwórz ustawienia sieci wirtualnej, wybierz pozycję Serwery DNS i dodaj adres IP serwera DNS, którego chcesz użyć do rozpoznawania nazw.

1. Znajdź sieć wirtualną w portalu.
2. Na stronie sieci wirtualnej w sekcji Ustawienia wybierz pozycję Serwery DNS.
3. Dodaj serwer DNS.
4. Aby zapisać ustawienia, wybierz pozycję Zapisz w górnej części strony.

Konfigurowanie lokacji i bramy

Aby skonfigurować lokację

Lokacja lokalna zazwyczaj oznacza lokalizację lokalną. Zawiera adres IP urządzenia sieci VPN, z którym utworzysz połączenie, oraz zakresy adresów IP, które będą kierowane przez bramę sieci VPN do urządzenia sieci VPN.

1. Na stronie sieci wirtualnej w obszarze Ustawienia wybierz pozycję Połączenia typu lokacja-lokacja.

2. Na stronie Połączenia lokacja-lokacja wybierz pozycję + Dodaj.

3. Na stronie Konfigurowanie połączenia sieci VPN i bramy dla typu Połączenie pozostaw wybraną opcję Lokacja-lokacja. W tym ćwiczeniu należy użyć kombinacji przykładowych wartości i własnych wartości.

   • Adres IP bramy sieci VPN: Publiczny adres IP urządzenia sieci VPN w sieci lokalnej. Urządzenie sieci VPN wymaga publicznego adresu IPv4. Określ prawidłowy publiczny adres IP dla urządzenia sieci VPN, z którym chcesz się połączyć. Musi ona być osiągalna przez platformę Azure. Jeśli nie znasz adresu IP urządzenia sieci VPN, zawsze możesz podać wartość zastępczą (o ile jest w formacie prawidłowego publicznego adresu IP) i zmienić ją później.

   • Przestrzeń adresowa klienta: Podaj listę zakresów adresów IP, które mają być kierowane do sieci lokalnej za pośrednictwem tej bramy. Można dodać wiele zakresów przestrzeni adresów. Upewnij się, że określone w tym miejscu zakresy nie nakładają się na zakresy innych sieci, z którymi łączy się sieć wirtualna, ani z zakresami adresów samej sieci wirtualnej.

4. W dolnej części strony nie wybieraj pozycji Przejrzyj i utwórz. Zamiast tego wybierz pozycję Dalej: Brama>.

Aby skonfigurować bramę sieci wirtualnej

1. Na stronie Brama wybierz następujące wartości:

   • Rozmiar: jest to jednostka SKU bramy używana do tworzenia bramy sieci wirtualnej. Klasyczne bramy sieci VPN używają starych (starszych) jednostek SKU bramy. Aby uzyskać więcej informacji o starszych jednostkach SKU bramy, zobacz Working with virtual network gateway SKUs (old SKUs) (Praca z jednostkami SKU [starymi jednostkami SKU] bramy sieci wirtualnej). Dla tego ćwiczenia możesz wybrać pozycję Standardowa .

   • Podsieć bramy: rozmiar określonej podsieci bramy zależy od konfiguracji bramy sieci VPN, którą chcesz utworzyć. Chociaż istnieje możliwość utworzenia podsieci bramy tak małej jak /29, zalecamy użycie /27 lub /28. Spowoduje to utworzenie większej podsieci obejmującej więcej adresów. Zastosowanie większej podsieci bramy daje wystarczającą liczbę adresów IP, aby uwzględnić możliwe przyszłe konfiguracje.

2. Wybierz pozycję Przejrzyj i utwórz w dolnej części strony, aby zweryfikować ustawienia. Wybierz pozycję Utwórz , aby wdrożyć. Utworzenie bramy sieci wirtualnej w zależności od wybranej jednostki SKU bramy może potrwać do 45 minut.

Konfiguracja urządzenia sieci VPN

Połączenia typu lokacja-lokacja z siecią lokalną wymagają urządzenia sieci VPN. W tym kroku konfigurowane jest urządzenie sieci VPN. Podczas konfigurowania urządzenia sieci VPN potrzebne są następujące wartości:

• Klucz wspólny. To ten sam klucz wspólny, który jest określany podczas tworzenia połączenia sieci VPN typu lokacja-lokacja. W naszych przykładach używamy podstawowego klucza współużytkowanego. Zalecamy, aby do użycia wygenerować bardziej złożony klucz.
• Publiczny adres IP bramy sieci wirtualnej. Publiczny adres IP można wyświetlić za pomocą witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia.

Aby pobrać skrypty konfiguracji urządzenia sieci VPN:

W zależności od używanego urządzenia sieci VPN, może być możliwe pobranie skryptu konfiguracji urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Pobieranie skryptów konfiguracji urządzenia sieci VPN.

Zobacz poniższe linki, aby uzyskać dodatkowe informacje o konfiguracji:

• Aby uzyskać informacje o zgodnych urządzeniach sieci VPN, zobacz Urządzenia sieci VPN.

• Przed skonfigurowaniem urządzenia sieci VPN, którego zamierzasz użyć, sprawdź, czy istnieją dla niego znane problemy dotyczące zgodności urządzeń.

• Aby uzyskać linki do ustawień konfiguracji urządzeń, zobacz Zweryfikowane urządzenia sieci VPN. Linki do ustawień konfiguracji urządzeń zostały podane na zasadzie największej staranności. Zawsze najlepiej jest skontaktować się z producentem urządzenia, aby uzyskać najnowsze informacje o konfiguracji. Na liście pokazano wersje, które przetestowaliśmy. Jeśli Twój system operacyjny nie znajduje się na tej liście, dana wersja nadal może być zgodna. Skontaktuj się z producentem urządzenia, aby sprawdzić, czy wersja systemu operacyjnego urządzenia sieci VPN jest zgodna.

• Aby zapoznać się z omówieniem konfiguracji urządzenia sieci VPN, zobacz Omówienie konfiguracji urządzenia sieci VPN.

• Aby uzyskać informacje na temat edytowania przykładów konfiguracji urządzeń, zobacz Edytowanie przykładów.

• Aby poznać wymagania w zakresie usług kryptograficznych, zobacz artykuł About cryptographic requirements and Azure VPN gateways (Informacje dotyczące wymagań w zakresie usług kryptograficznych oraz bram VPN platformy Azure).

• Aby zapoznać się z informacjami dotyczącymi parametrów protokołu IPsec/IKE, zobacz artykuł Informacje na temat urządzeń sieci VPN i parametrów protokołu IPsec/IKE dla połączeń bramy VPN typu lokacja-lokacja. Ten link umożliwia wyświetlenie informacji o wersji protokołu IKE, grupie Diffie’ego-Hellmana, metodzie uwierzytelniania, algorytmach szyfrowania i wyznaczania wartości skrótu, okresie istnienia skojarzeń zabezpieczeń, doskonałym utajnieniu przekazywania i wykrywaniu nieaktywnych elementów równorzędnych, a także innych informacji o parametrach, które są wymagane do ukończenia konfiguracji.

• Aby zapoznać się z krokami konfiguracji zasad protokołu IPsec/IKE, zobacz artykuł Configure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections (Konfigurowanie zasad IPsec/IKE dla połączeń S2S VPN lub VNet-to-VNet).

• Aby połączyć wiele urządzeń sieci VPN opartej na zasadach, zobacz Connect Azure VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Łączenie bram usługi Azure VPN Gateway z wieloma lokalnymi urządzeniami sieci VPN opartej na zasadach przy użyciu programu PowerShell).

Pobieranie wartości

Podczas tworzenia klasycznych sieci wirtualnych w witrynie Azure Portal wyświetlana nazwa nie jest pełną nazwą używaną w programie PowerShell. Na przykład sieć wirtualna, która wydaje się mieć nazwę TestVNet1 w portalu, może mieć znacznie dłuższą nazwę w pliku konfiguracji sieci. W przypadku sieci wirtualnej w nazwie grupy zasobów "ClassicRG" może wyglądać następująco: Group ClassicRG TestVNet1. Podczas tworzenia połączeń ważne jest użycie wartości widocznych w pliku konfiguracji sieci.

W poniższych krokach połączysz się z kontem platformy Azure i pobierzesz i wyświetlisz plik konfiguracji sieci, aby uzyskać wartości wymagane dla połączeń.

1. Pobierz i zainstaluj najnowszą wersję poleceń cmdlet programu PowerShell azure Service Management (SM). Większość osób ma zainstalowane lokalnie moduły usługi Resource Manager, ale nie mają modułów zarządzania usługami. Moduły zarządzania usługami są starsze i muszą być zainstalowane oddzielnie. Aby uzyskać więcej informacji, zobacz Instalowanie poleceń cmdlet zarządzania usługami.

2. Otwórz konsolę programu PowerShell z podwyższonym poziomem uprawnień i połącz się ze swoim kontem. Skorzystaj z poniższych przykładów, aby ułatwić nawiązywanie połączenia. Te polecenia należy uruchomić lokalnie przy użyciu modułu zarządzania usługami programu PowerShell. Połącz się ze swoim kontem. Użyj poniższego przykładu w celu łatwiejszego nawiązania połączenia:

   Add-AzureAccount
   

3. Sprawdź subskrypcje dostępne na koncie.

   Get-AzureSubscription
   

4. Jeśli masz więcej niż jedną subskrypcję, wybierz tę, której chcesz użyć.

   Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
   

5. Utwórz katalog na komputerze. Na przykład C:\AzureVNet

6. Wyeksportuj plik konfiguracji sieci do katalogu. W tym przykładzie plik konfiguracji sieci jest eksportowany do folderu C:\AzureNet.

   Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
   

7. Otwórz plik za pomocą edytora tekstów i wyświetl nazwy sieci wirtualnych i witryn. Te nazwy będą nazwami używanymi podczas tworzenia połączeń.
   Nazwy sieci wirtualnych są wyświetlane jako Nazwa witryny VirtualNetworkSite =
   Nazwy witryn są wyświetlane jako Nazwa LocalNetworkSiteRef =

Tworzenie połączenia

Uwaga

W przypadku klasycznego modelu wdrażania ten krok nie jest dostępny w witrynie Azure Portal lub za pośrednictwem usługi Azure Cloud Shell. Należy użyć lokalnej wersji poleceń cmdlet programu Azure PowerShell (Service Management, Service Management, Service Management) z poziomu pulpitu.

W tym kroku, używając wartości z poprzednich kroków, należy ustawić klucz wspólny i utworzyć połączenie. Ustawiony klucz musi być tym samym kluczem, który został użyty w konfiguracji urządzenia sieci VPN.

1. Ustaw klucz współużytkowany i utwórz połączenie.

   • Zmień wartość -VNetName i wartość -LocalNetworkSiteName. W przypadku podawania nazwy, która zawiera spacje, umieść wartość w apostrofach.
   • Wartość "-SharedKey" to wygenerowana wartość, a następnie określona. W tym przykładzie użyliśmy ciągu "abc123", ale można (i powinno) wygenerować coś bardziej złożonego. Pamiętaj o tym, że wartość podana w tym miejscu musi być taka sama, jak wartość podana podczas konfigurowania urządzenia sieci VPN.

   Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' `
   -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
   

2. Wynik po utworzeniu połączenia: Stan: Powodzenie.

Weryfikowanie połączenia

Przechodząc w witrynie Azure Portal do połączenia, można sprawdzić stan połączenia klasycznej bramy VPN Gateway sieci wirtualnej. Poniższe kroki pokazują jeden ze sposobów nawigacji do połączenia oraz jego weryfikacji.

1. W witrynie Azure Portal przejdź do klasycznej sieci wirtualnej.
2. Na stronie sieć wirtualna kliknij typ połączenia, które chcesz wyświetlić. Na przykład połączenia typu lokacja-lokacja.
3. Na stronie Połączenia lokacja-lokacja w obszarze Nazwa wybierz połączenie lokacji, które chcesz wyświetlić.
4. Na stronie Właściwości wyświetl informacje o połączeniu.

Jeśli masz problemy z nawiązaniem połączenia, zobacz sekcję Rozwiązywanie problemów w spisie treści w okienku po lewej stronie.

Jak zresetować bramę VPN Gateway

Resetowanie bramy Azure VPN Gateway przydaje się w przypadku utraty połączenia sieci VPN obejmującego wiele lokalizacji w jednym lub wielu tunelach VPN typu lokacja-lokacja. W takiej sytuacji lokalne urządzenia sieci VPN działają prawidłowo, ale nie mogą ustanowić tuneli IPsec z bramami Azure VPN Gateway. Aby uzyskać instrukcje, zobacz Resetowanie bramy VPN Gateway.

Jak zmienić rozmiar jednostki SKU bramy

Aby zmienić rozmiar bramy dla klasycznego modelu wdrażania, należy użyć poleceń cmdlet programu PowerShell zarządzania usługami. Użyj następującego polecenia:

Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance

Następne kroki

• Po zakończeniu procesu nawiązywania połączenia można dodać do sieci wirtualnych maszyny wirtualne. Aby uzyskać więcej informacji, zobacz Virtual Machines (Maszyny wirtualne).
• Aby uzyskać informacje o wymuszonym tunelowaniu, zobacz Informacje o wymuszonym tunelowaniu.