Настройка и проверка виртуальной сети или VPN-подключений

В этом пошаговом руководстве содержатся пошаговые инструкции по настройке и проверке различных развертываний VPN и виртуальных сетей Azure. К таким сценариям относятся транзитная маршрутизация, подключения "сеть — сеть", протокол BGP (BGP), многосайтовых подключений и подключения "точка — сеть".

VPN-шлюзы Azure обеспечивают гибкость при Организации практически любого типа подключенной топологии виртуальной сети в Azure. Например, можно подключить виртуальные сети:

  • Между регионами.
  • Между типами виртуальных сетей (Azure Resource Manager и классической).
  • В Azure или в локальной гибридной среде.
  • В разных подписках.

VPN-подключение "сеть — сеть"

Подключение виртуальной сети к другой виртуальной сети через VPN аналогично подключению виртуальной сети к расположению локального сайта. Оба типа подключения используют VPN-шлюз для обеспечения безопасного туннеля через IPsec и IKE. Виртуальные сети могут относиться к одному или разным регионам и к одной или разным подпискам.

Подключение "сеть — сеть" с использованием IPsec

Если виртуальные сети находятся в одном регионе, их можно подключить с помощью пиринга виртуальных сетей. Пиринг виртуальных сетей не использует VPN-шлюз. Это увеличивает пропускную способность и сокращает задержку. Чтобы настроить подключение пиринга между виртуальными сетями, выберите Настройка и проверка пиринга виртуальной сети.

Если виртуальные сети были созданы с помощью модели развертывания диспетчера ресурсов Azure, выберите Настройка и проверка диспетчер ресурсов виртуальной сети для подключения к Диспетчер ресурсов виртуальной сети , чтобы настроить VPN-подключение.

Если одна из виртуальных сетей была создана с помощью классической модели развертывания Azure, а другая была создана с помощью диспетчер ресурсов, выберите настроить и проверить классическую виртуальную сеть диспетчер ресурсов подключение к виртуальной сети для настройки VPN-подключения.

Настройка пиринга виртуальной сети для двух виртуальных сетей в одном регионе

Прежде чем приступить к внедрению и настройке пиринга виртуальной сети Azure, убедитесь, что выполнены следующие предварительные требования.

  • Пиринговые виртуальные сети должны находиться в одном регионе Azure.
  • Одноранговые виртуальные сети должны иметь пространства IP-адресов, которые не перекрываются.
  • Пиринговая связь устанавливается между двумя виртуальными сетями. Между одноранговыми узлами нет производной промежуточной связи. Например, если VNetA соединен с VNetB, а VNetB — с Внетк, VNetA не является одноранговым элементом внетк.

При соблюдении требований вы можете следовать указаниям в руководстве по подключению виртуальных сетей с помощью пиринга виртуальных сетей, используя портал Azure для создания и настройки пиринга.

Чтобы проверить конфигурацию пиринга, используйте следующий метод:

  1. Войдите в портал Azure , используя учетную запись с необходимыми ролями и разрешениями.
  2. В верхней части окна портала в поле с текстом Поиск ресурсов введите виртуальные сети. Когда в результатах поиска появится пункт Виртуальные сети, выберите его.
  3. В появившейся колонке виртуальные сети выберите виртуальную сеть, для которой нужно создать пиринг.
  4. В области, которая отображается для виртуальной сети, в разделе Параметры выберите пиринг .
  5. Выберите пиринг и просмотрите результаты конфигурации.

Параметры для проверки конфигурации пиринга виртуальной сети

Для Azure PowerShell выполните команду Get-azurermvirtualnetworkpeering — , чтобы получить пиринг виртуальной сети. Приведем пример:

PS C:\Users\User1> Get-AzureRmVirtualNetworkPeering -VirtualNetworkName Vnet10-01 -ResourceGroupName dev-vnets
Name                             : LinkToVNET10-02
Id                               : /subscriptions/GUID/resourceGroups/dev-vnets/providers/Microsoft.Network/virtualNetworks/VNET10-01/virtualNetworkPeerings/LinkToVNET10-0
2
Etag                             : W/"GUID"
ResourceGroupName                : dev-vnets
VirtualNetworkName               : vnet10-01
ProvisioningState                : Succeeded
RemoteVirtualNetwork             : {
                                  "Id": "/subscriptions/GUID/resourceGroups/DEV-VNET
                                   s/providers/Microsoft.Network/virtualNetworks/VNET10-02"
                                   }
AllowVirtualNetworkAccess        : True
AllowForwardedTraffic            : False
AllowGatewayTransit              : False
UseRemoteGateways                : False
RemoteGateways                   : null
RemoteVirtualNetworkAddressSpace : null

Подключение диспетчер ресурсов виртуальной сети к другой диспетчер ресурсов виртуальной сети

Вы можете настроить подключение из одной диспетчер ресурсов виртуальной сети к другой диспетчер ресурсов виртуальной сети напрямую. Также можно настроить подключение с помощью IPsec.

Настройка VPN-подключения между диспетчер ресурсов виртуальными сетями

Сведения о настройке подключения между виртуальными сетями диспетчер ресурсов без использования IPsec см. в статье Настройка подключения к VPN-шлюзу типа "сеть — сеть" с помощью портал Azure.

Чтобы настроить подключение между двумя диспетчер ресурсов виртуальными сетями по протоколу IPsec, выполните шаги 1 – 5 в разделе Создание подключения типа "сеть — сеть" в портал Azure для каждой виртуальной сети.

Примечание

Эти действия применимы только к виртуальным сетям в одной подписке. Если ваши виртуальные сети находятся в разных подписках, для подключения необходимо использовать PowerShell. См. статью, посвященную использованию PowerShell.

Проверка VPN-подключения между диспетчер ресурсов виртуальными сетями

Классическая виртуальная сеть подключение к Azure Resource Manager виртуальной сети

Чтобы проверить, правильно ли настроено VPN-подключение, выполните приведенные ниже инструкции.

Примечание

Числа после компонентов виртуальной сети в этих шагах соответствуют числам на предыдущей схеме.

  1. Убедитесь, что в подключенных виртуальных сетях нет перекрывающихся адресных пространств.
  2. Убедитесь, что диапазон адресов для виртуальной сети Azure Resource Manager (1) точно определен в экземпляре объекта соединения (4).
  3. Убедитесь, что диапазон адресов для виртуальной сети Azure Resource Manager (6) точно определен в экземпляре объекта соединения (3).
  4. Убедитесь, что общие ключи совпадают с объектами соединения.
  5. Убедитесь, что виртуальный IP-адрес шлюза виртуальной сети (2) Azure Resource Manager точно определен в экземпляре объекта соединения (4).
  6. Убедитесь, что виртуальный IP-адрес шлюза виртуальной сети (5) Azure Resource Manager определен точно в экземпляре объекта соединения (3).

Подключение классической виртуальной сети к диспетчер ресурсов виртуальной сети

Можно создать подключение между виртуальными сетями, которые находятся в разных подписках, и в разных регионах. Вы также можете подключать виртуальные сети, которые уже имеют подключения к локальным сетям, при условии, что тип шлюза настроен как на основе маршрутов.

Сведения о настройке подключения между классической виртуальной сетью и диспетчер ресурсов виртуальной сетью см. в статье подключение виртуальных сетей из разных моделей развертывания с помощью портал Azure.

На схеме показана классическая виртуальная сеть, подключенная к Azure Resource Manager виртуальной сети.

Чтобы проверить конфигурацию при подключении классической виртуальной сети к Azure Resource Manager виртуальной сети, выполните следующие инструкции.

Примечание

Числа после компонентов виртуальной сети в этих шагах соответствуют числам на предыдущей схеме.

  1. Убедитесь, что в подключенных виртуальных сетях нет перекрывающихся адресных пространств.
  2. Убедитесь, что диапазон адресов для виртуальной сети Azure Resource Manager (6) точно определен в классическом определении локальной сети (3).
  3. Убедитесь, что диапазон адресов для классической виртуальной сети (1) точно определен в Azure Resource Manager экземпляре объекта соединения (4).
  4. Убедитесь, что классический виртуальный IP-адрес шлюза виртуальной сети (2) точно определен в Azure Resource Manager экземпляре объекта соединения (4).
  5. Убедитесь, что шлюз виртуальной сети Azure Resource Manager (5) точно определен в классическом экземпляре определения локальной сети (3).
  6. Убедитесь, что общие ключи совпадают в обеих подключенных виртуальных сетях:
    • Классическая виртуальная сеть: Определение локальной сети (3)
    • Azure Resource Manager виртуальная сеть: объект подключения (4)

Создание VPN-подключения "точка — сеть"

Конфигурация "точка — сеть" (P2S на следующей схеме) позволяет создать безопасное подключение с отдельного клиентского компьютера к виртуальной сети. Подключения типа "точка — сеть" полезны, если требуется подключиться к виртуальной сети из удаленного расположения, например из дома или конференции. Они также полезны при наличии нескольких клиентов, которым требуется подключение к виртуальной сети.

VPN-подключение типа "точка — сеть" инициируется с клиентского компьютера с помощью собственного VPN-клиента Windows. Для проверки подлинности подключений клиентов используются сертификаты.

Подключение типа "точка — сеть"

Для подключений типа "точка — сеть" не требуется VPN-устройство. Они создают VPN-подключение по протоколу SSTP. Подключение типа "точка — сеть" к виртуальной сети можно подключить с помощью различных средств развертывания и моделей развертывания.

Проверка подключения "точка — сеть"

В статье Устранение неполадок подключения "точка — сеть " в Azure рассматриваются распространенные проблемы с подключением "точка — сеть".

Создание многосайтового VPN-подключения

Вы можете добавить подключение типа "сеть — сеть" (S2S на следующей схеме) к виртуальной сети, в которой уже есть подключение типа "сеть — сеть", подключение типа "точка — сеть" или сетевое подключение. Такой тип подключения часто называется многосайтововой конфигурацией.

Многосайтовое подключение

Сейчас Azure поддерживает две модели развертывания: классическую и с использованием Resource Manager. Эти две модели не полностью совместимы друг с другом. Сведения о настройке многосайтового подключения с различными моделями см. в следующих статьях:

Примечание

Действия, описанные в этих статьях, не применяются к параллельным конфигурациям подключений Azure ExpressRoute и "сеть — сеть". Дополнительные сведения см. в разделе подключения ExpressRoute и соединения "сеть — сеть".

Настройка транзитной маршрутизации

Транзитная маршрутизация — это конкретный сценарий маршрутизации, при котором вы подключаете несколько сетей в топологии последовательной цепочки. Эта маршрутизация позволяет ресурсам в виртуальных сетях с обеих сторон цепочки взаимодействовать друг с другом через виртуальные сети между. Без транзитной маршрутизации сети или устройства, которые были равноправны через концентратор, не могут подключиться друг к другу.

Настройка транзитной маршрутизации в подключении типа "точка — сеть"

Представьте себе ситуацию, в которой необходимо настроить VPN-подключение типа "сеть — сеть" между VNetA и VNetB. Кроме того, необходимо настроить VPN-подключение типа "точка — сеть" для подключения клиента к шлюзу VNetA. Затем необходимо включить транзитную маршрутизацию для клиентов "точка — сеть", чтобы подключиться к VNetB, который проходит через VNetA.

Этот сценарий поддерживается при включении BGP для VPN типа "сеть — сеть" между VNetA и VNetB. Дополнительные сведения см. в статье о маршрутизации VPN типа "точка — сеть".

Настройка транзитной маршрутизации в подключении ExpressRoute

Azure ExpressRoute позволяет переносить локальные сети в облако Microsoft по выделенному закрытому соединению, которое обеспечивается поставщиком услуг подключения. ExpressRoute позволяет устанавливать подключения к облачным службам Майкрософт, таким как Microsoft Azure, Microsoft 365 и Dynamics 365. Дополнительные сведения см. в статье Обзор ExpressRoute.

Подключение частного пиринга ExpressRoute к виртуальным сетям Azure

Примечание

Рекомендуется связать обе виртуальные сети с каналом ExpressRoute , а не настроить транзитную маршрутизацию, если VNetA и VNetB находятся в одном регионе. Если ваши виртуальные сети находятся в разных регионах, их также можно связать непосредственно с каналом, если у вас установлен ExpressRoute Premium.

Если у вас есть ExpressRoute и сосуществование между сайтами, транзитная маршрутизация не поддерживается. Дополнительные сведения см. в статье Настройка ExpressRoute и "сеть — сеть" с помощью PowerShell.

Если вы включили ExpressRoute для подключения локальных сетей к виртуальной сети Azure, вы можете включить пиринг между виртуальными сетями, в которых требуется транзитная маршрутизация. Чтобы разрешить локальным сетям подключаться к удаленной виртуальной сети, необходимо настроить пиринг виртуальных сетей.

Примечание

Пиринг виртуальных сетей доступен только для виртуальных сетей в том же регионе.

Чтобы проверить, настроена ли транзитная маршрутизация для пиринга виртуальных сетей, выполните следующие действия:

  1. Войдите в портал Azure , используя учетную запись с необходимыми ролями и разрешениями.
  2. Создайте пиринг между VNetA и VNetB , как показано на предыдущей схеме.
  3. В области, которая отображается для виртуальной сети, в разделе Параметры выберите пиринг .
  4. Выберите пиринг, который вы хотите просмотреть. Затем выберите Конфигурация , чтобы убедиться, что вы включили параметр Разрешить транзит шлюза в сети VNetA, подключенной к каналу Expressroute, и Используйте удаленный шлюз в удаленной сети VNetB, не подключенной к каналу expressroute.

Настройка транзитной маршрутизации в одноранговом подключении к виртуальной сети

Если между виртуальными сетями установлена пиринговая связь, можно использовать шлюз в одной из этих сетей в качестве транзитного пункта при подключении к локальной сети. Чтобы настроить транзитный маршрут в пиринга виртуальной сети, см. раздел подключения типа "сеть — сеть".

Примечание

Транзитный шлюз не поддерживается в связи пиринга между виртуальными сетями, созданными с помощью разных моделей развертывания. Обе виртуальные сети в связи пиринга должны быть созданы с помощью диспетчер ресурсов для передачи шлюза.

Чтобы проверить, настроен ли транзитный маршрут для пиринга виртуальных сетей, выполните следующие действия:

  1. Войдите в портал Azure , используя учетную запись с необходимыми ролями и разрешениями.
  2. В верхней части окна портала в поле с текстом Поиск ресурсов введите виртуальные сети. Когда в результатах поиска появится пункт Виртуальные сети, выберите его.
  3. В появившейся колонке виртуальные сети выберите виртуальную сеть, для которой необходимо проверить параметр пиринга.
  4. В области, которая отображается для выбранной виртуальной сети, в разделе Параметры выберите пиринг .
  5. Выберите пиринг, который требуется просмотреть. Убедитесь, что вы включили параметр Разрешить транзит шлюза и использовать удаленные шлюзы в разделе Конфигурация.

Параметры для проверки настройки транзитного маршрута для пиринга виртуальной сети

Настройка транзитной маршрутизации в подключении "сеть — сеть"

Чтобы настроить транзитную маршрутизацию между виртуальными сетями, необходимо включить протокол BGP для всех промежуточных подключений "сеть — сеть" с помощью модели развертывания диспетчер ресурсов и PowerShell. Инструкции см. в статье Настройка BGP на VPN-шлюзах Azure с помощью PowerShell.

Транзитный трафик через VPN-шлюзы Azure можно перебрать с помощью классической модели развертывания, но в нем используются статически определенные адресные пространства в файле конфигурации сети. BGP пока не поддерживается виртуальными сетями Azure и VPN-шлюзами через классическую модель развертывания. Без BGP определение адресов транзитного пространства вручную может привести к ошибке, и мы не рекомендуем их использовать.

Примечание

Классические подключения типа "сеть — сеть" настраиваются с помощью классического портала Azure или файла конфигурации сети на классическом портале. Вы не можете создать или изменить классическую виртуальную сеть с помощью модели развертывания Azure Resource Manager или портал Azure. Дополнительные сведения о транзитной маршрутизации для классических виртуальных сетей см. в блоге разработчика Майкрософт.

Настройка транзитной маршрутизации в подключении типа "сеть — сеть"

Чтобы настроить транзитную маршрутизацию между локальной сетью и виртуальной сетью с подключением типа "сеть — сеть", необходимо включить протокол BGP для всех промежуточных подключений типа "сеть — сеть" с помощью модели развертывания диспетчер ресурсов и PowerShell. Инструкции см. в статье Настройка BGP на VPN-шлюзах Azure с помощью PowerShell .

Транзитный трафик через VPN-шлюзы Azure можно перебрать с помощью классической модели развертывания, но в нем используются статически определенные адресные пространства в файле конфигурации сети. BGP пока не поддерживается виртуальными сетями Azure и VPN-шлюзами через классическую модель развертывания. Без BGP определение адресов транзитного пространства вручную может привести к ошибке, и мы не рекомендуем их использовать.

Примечание

Классические подключения типа "сеть — сеть" настраиваются с помощью классического портала Azure или файла конфигурации сети на классическом портале. Вы не можете создать или изменить классическую виртуальную сеть с помощью модели развертывания Azure Resource Manager или портал Azure. Дополнительные сведения о транзитной маршрутизации для классических виртуальных сетей см. в блоге разработчика Майкрософт.

Настройка BGP для VPN-шлюза

BGP — это стандартный протокол маршрутизации, используемый в Интернете для обмена информацией о маршрутизации и достижимости между двумя или более сетями. Когда BGP используется в контексте виртуальных сетей Azure, он включает VPN-шлюзы Azure и локальные VPN-устройства, называемые одноранговыми узлами BGP или соседями. Они обмениваются "маршрутами", которые будут сообщать о доступности и достижимости обоих шлюзов, чтобы эти префиксы продавались через шлюзы или маршрутизаторы.

BGP также может включить транзитную маршрутизацию между несколькими сетями путем распространения маршрутов, которые шлюз BGP изучает с одного узла BGP на все остальные узлы BGP. Дополнительные сведения см. в статье Общие сведения о BGP с VPN-шлюзом Azure.

Настройка BGP для VPN-подключения

Сведения о настройке VPN-подключения, использующего BGP, см. в статье Настройка BGP на VPN-шлюзах Azure с помощью PowerShell.

Включите протокол BGP для шлюза виртуальной сети, создав для него автономную систему (как). Основные шлюзы не поддерживают BGP. Чтобы проверить номер SKU шлюза, перейдите к разделу Обзор колонки VPN-шлюза в портал Azure. Если номер SKU является базовым, необходимо изменить номер SKU (см. раздел изменение размера шлюза) на VpnGw1.

Проверка номера SKU приведет к простою 20 – 30 минут. Как только шлюз будет иметь правильный номер SKU, его можно добавить с помощью командлета PowerShell Set-AzureRmVirtualNetworkGateway . Когда вы настроите значение AS, IP-адрес узла BGP для шлюза будет предоставляться автоматически.

Необходимо вручную указать LocalNetworkGateway номер AS и адрес узла BGP. Значения и можно задать ASN с -BgpPeeringAddress помощью команды New-азурермлокалнетворкгатевай или Set-азурермлокалнетворкгатевай PowerShell командлет. Некоторые цифры зарезервированы для Azure, и их нельзя использовать, как описано в статье о BGP с VPN-шлюзом Azure.

Для объекта соединения должен быть включен BGP. Можно задать значение с -EnableBGP $True помощью New-AzureRmVirtualNetworkGatewayConnection или Set-AzureRmVirtualNetworkGatewayConnection.

Проверка конфигурации BGP

Чтобы проверить, правильно ли настроен протокол BGP, можно запустить get-AzureRmVirtualNetworkGateway и get-AzureRmLocalNetworkGateway командлеты. Затем Обратите внимание на выходные данные, связанные с BGP, в BgpSettingsText части. Пример:

{

"Asn": AsnNumber,

"BgpPeeringAddress": "IP address",

"PeerWeight": 0

}

Создание высокодоступного активного/активного VPN-подключения

Основные различия между шлюзами "активный/активный" и "активный/резервный":

  • Необходимо создать две IP-конфигурации шлюза с двумя общедоступными IP-адресами.
  • Необходимо задать флаг енаблеактивеактивефеатуре .
  • Номер SKU шлюза должен быть VpnGw1, VpnGw2 или VpnGw3.

Чтобы обеспечить высокий уровень доступности между локальными и сетевыми подключениями, необходимо развернуть несколько VPN-шлюзов и установить несколько параллельных подключений между сетями и Azure. Общие сведения о вариантах подключения и топологии см. в разделе высокодоступные подключения между локальными сетями и сеть-сеть.

Чтобы создать активные или активные подключения между локальными и сетевыми сетями, следуйте инструкциям в статье Настройка активных и активных подключений S2S с VPN-шлюзами Azure для настройки VPN-шлюза Azure в режиме "активный/активный".

Примечание

  • При добавлении адресов в шлюз локальной сети для режима "активный/активный" с поддержкой BGP добавьте только адреса узлов BGP (/32). Если добавить дополнительные адреса, они будут рассматриваться как статические маршруты и имеют приоритет над маршрутами BGP.
  • Для локальных сетей, подключающихся к Azure, необходимо использовать разные номера BGP. (Если они одинаковы, необходимо изменить виртуальную сеть как число, если локальное VPN-устройство уже использует ASN для пиринга с другими соседями BGP.)

Изменение типа VPN-шлюза Azure после развертывания

Невозможно изменить тип шлюза виртуальной сети Azure с политики на основе политик на основе маршрутов или напрямую. Сначала необходимо удалить шлюз. После этого IP-адрес и общий ключ не будут сохранены. Затем можно создать новый шлюз для нужного типа.

Чтобы удалить и создать шлюз, выполните следующие действия.

  1. Удалите все подключения, связанные с исходным шлюзом.
  2. Удалите шлюз с помощью портал Azure, PowerShell или классической оболочки PowerShell:
  3. Выполните действия, описанные в разделе Создание VPN-шлюза , чтобы создать новый шлюз требуемого типа и завершить настройку VPN.

Примечание

Этот процесс займет около 60 минут.

Дальнейшие действия