Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Virtual WAN zum Verbinden Ihrer Ressourcen in Azure über eine IPsec/IKE-VPN-Verbindung (IKEv1 und IKEv2) mithilfe von PowerShell nutzen. Für diese Art von Verbindung wird ein lokales VPN-Gerät benötigt, dem eine extern zugängliche, öffentliche IP-Adresse zugewiesen ist. Weitere Informationen zu Virtual WAN finden Sie in der Übersicht über Virtual WAN. Sie können diese Konfiguration auch mithilfe der Anweisungen im Azure-Portal erstellen.
Voraussetzungen
Stellen Sie sicher, dass Sie über ein Azure-Abonnement verfügen. Wenn Sie noch kein Azure-Abonnement besitzen, können Sie Ihre MSDN-Abonnentenvorteile aktivieren oder sich für ein kostenloses Konto registrieren.
Legen Sie den IP-Adressbereich fest, den Sie für den privaten Adressraum Ihres virtuellen Hubs verwenden möchten. Diese Informationen werden beim Konfigurieren Ihres virtuellen Hubs verwendet. Ein virtueller Hub ist ein virtuelles Netzwerk, das von Virtual WAN erstellt und genutzt wird. Es ist der Kern Ihres Virtual WAN-Netzwerks in einer Region. Der Adressraumbereich muss bestimmten Regeln entsprechen:
- Der von Ihnen für den Hub angegebene Adressbereich darf sich nicht mit einem der vorhandenen virtuellen Netzwerke überlappen, mit denen Sie eine Verbindung herstellen.
- Der Adressbereich darf nicht mit den lokalen Adressbereichen überlappen, mit denen Sie eine Verbindung herstellen.
- Falls Sie nicht mit den IP-Adressbereichen in Ihrer lokalen Netzwerkkonfiguration vertraut sind, sollten Sie sich an eine Person wenden, die Ihnen diese Informationen zur Verfügung stellen kann.
Azure PowerShell
In diesem Artikel werden PowerShell-Cmdlets verwendet. Um die Cmdlets auszuführen, können Sie Azure Cloud Shell verwenden. Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert.
Wählen Sie in der oberen rechten Ecke eines Codeblocks einfach die Option Cloud Shell öffnen aus, um Cloud Shell zu öffnen. Sie können Cloud Shell auch auf einer separaten Browserregisterkarte öffnen, indem Sie zu https://shell.azure.com/powershell navigieren. Wählen Sie Kopieren aus, um die Codeblöcke zu kopieren. Fügen Sie die Blöcke anschließend in Cloud Shell ein, und drücken Sie die EINGABETASTE, um sie auszuführen.
Sie können die Azure PowerShell-Cmdlets auch lokal auf Ihrem Computer installieren und ausführen. PowerShell-Cmdlets werden regelmäßig aktualisiert. Wenn Sie nicht die aktuelle Version installiert haben, kann es bei Verwendung der in den Anweisungen angegebenen Werte zu Fehlern kommen. Verwenden Sie das Cmdlet Get-Module -ListAvailable Az, um die auf Ihrem Computer installierten Azure PowerShell-Versionen zu ermitteln. Informationen zum Installieren oder Aktualisieren finden Sie unter Installieren des Azure PowerShell-Moduls.
Anmelden
Wenn Sie Azure Cloud Shell verwenden, werden Sie nach dem Öffnen von Cloud Shell automatisch zur Anmeldung bei Ihrem Konto weitergeleitet. Sie müssen Connect-AzAccount nicht ausführen. Nach der Anmeldung können Sie die Abonnements bei Bedarf mithilfe von Get-AzSubscription und Select-AzSubscription immer noch ändern.
Wenn Sie PowerShell lokal ausführen, öffnen Sie die PowerShell-Konsole mit erhöhten Rechten und stellen Sie eine Verbindung mit Ihrem Azure-Konto her. Das Cmdlet Connect-AzAccount fordert Sie zur Eingabe von Anmeldeinformationen auf. Nachdem Sie sich authentifiziert haben, werden Ihre Kontoeinstellungen heruntergeladen, damit sie Azure PowerShell zur Verfügung stehen. Sie können das Abonnement mittels Get-AzSubscription und Select-AzSubscription -SubscriptionName "Name of subscription" ändern.
Erstellen eines virtuellen WAN
Bevor Sie ein virtuelles WAN erstellen können, müssen Sie eine Ressourcengruppe erstellen, um das virtuelle WAN zu hosten, oder eine vorhandene Ressourcengruppe verwenden. Nutzen Sie eins der folgenden Beispiele:
In diesem Beispiel wird eine neue Ressourcengruppe mit dem Namen TestRG am Standort USA, Osten erstellt. Wenn Sie stattdessen eine vorhandene Ressourcengruppe verwenden möchten, können Sie den Befehl $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup" ändern und dann die Schritte in dieser Übung mit Ihren eigenen Werten ausführen.
Erstellen Sie eine Ressourcengruppe.
New-AzResourceGroup -Location "East US" -Name "TestRG"Erstellen Sie das virtuelle WAN mithilfe des Cmdlets New-AzVirtualWan.
$virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"
Erstellen des Hubs und Konfigurieren der Hubeinstellungen
Ein Hub ist ein virtuelles Netzwerk, das Gateways für Verbindungen vom Typ „Site-to-Site“, „ExpressRoute“ oder „Point-to-Site“ enthalten kann. Erstellen Sie mit New-AzVirtualHub einen virtuellen Hub. In diesem Beispiel wird ein virtueller Standardhub mit dem Namen Hub1 mit dem angegebenen Adresspräfix und einem Standort für den Hub erstellt.
$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"
Erstellen eines Site-to-Site-VPN-Gateways
In diesem Abschnitt erstellen Sie ein Site-to-Site-VPN-Gateway, das sich an demselben Standort wie der virtuelle Hub befindet, auf den verwiesen wird. Beim Erstellen des VPN-Gateways geben Sie die gewünschten Skalierungseinheiten an. Die Erstellung des Gateways nimmt etwa 30 Minuten in Anspruch.
Wenn Sie Azure Cloud Shell geschlossen haben oder die Verbindung ein Timeout aufweist, müssen Sie möglicherweise die Variable für $virtualHub erneut deklarieren.
$virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"Erstellen Sie mit dem Cmdlet New-AzVpnGateway ein VPN-Gateway.
New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2Sobald das VPN-Gateway erstellt wurde, können Sie es mithilfe des folgenden Beispiels anzeigen.
Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
Erstellen eines Standorts und von Verbindungen
In diesem Abschnitt erstellen Sie Standorte, die Ihren physischen Standorten und den Verbindungen entsprechen. Diese Standorte enthalten Ihre lokalen VPN-Geräteendpunkte. Sie können bis zu 1.000 Standorte pro virtuellem Hub in einem virtuellen WAN erstellen. Bei mehreren Hubs ist die Erstellung von 1.000 Standorten pro Hub möglich.
Legen Sie die Variable für das VPN-Gateway und für den IP-Adressraum Ihres lokalen Standorts fest. Der Datenverkehr, der für diesen Adressraum bestimmt ist, wird an Ihre lokale Site geleitet. Dies ist erforderlich, wenn BGP für den Standort nicht aktiviert ist.
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" $vpnSiteAddressSpaces = New-Object string[] 2 $vpnSiteAddressSpaces[0] = "192.168.2.0/24" $vpnSiteAddressSpaces[1] = "192.168.3.0/24"Erstellen Sie Verbindungen, um Informationen zu den physischen Verbindungen an der Zweigstelle einschließlich Metadaten zu Verbindungsgeschwindigkeit, Name des Verbindungsanbieters und die öffentliche IP-Adresse des lokalen Geräts.
$vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10" $vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"Erstellen Sie den VPN-Standort und verweisen Sie dabei auf die Variablen der gerade erstellten VPN-Websitelinks.
Wenn Sie Azure Cloud Shell geschlossen haben oder die Verbindung ein Timeout aufweist, deklarieren Sie die Variable des virtuellen WAN erneut:
$virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"Erstellen Sie die VPN-Website mithilfe des Cmdlets New-AzVpnSite.
$vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)Erstellen Sie die Standortlinkverbindung. Die Verbindung besteht aus zwei aktiv-aktiven Tunneln von einer Zweigstelle/einem Standort bis zum skalierbaren Gateway.
$vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100 $vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10
Herstellen einer Verbindung von der VPN-Site mit dem Hub
Verbinden Sie Ihren VPN-Standort mithilfe des Cmdlets New-AzVpnConnection mit dem Site-to-Site-VPN-Gateway des Hubs.
Bevor Sie den Befehl ausführen, müssen Sie möglicherweise die folgenden Variablen erneut definieren:
$virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1" $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" $vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"Stellen Sie eine Verbindung von der VPN-Website mit dem Hub her.
New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)
Verbinden eines VNet mit Ihrem Hub
Der nächste Schritt besteht darin, den Hub mit dem VNet zu verbinden. Wenn Sie eine neue Ressourcengruppe für diese Übung erstellt haben, verfügen Sie in der Regel noch nicht über ein virtuelles Netzwerk (VNet) in Ihrer Ressourcengruppe. Die folgenden Schritte helfen Ihnen beim Erstellen eines VNet, falls Sie noch nicht über eines verfügen. Dann können Sie eine Verbindung zwischen dem Hub und Ihrem VNet herstellen.
Erstellen eines virtuellen Netzwerks
Sie können die folgenden Beispielwerte verwenden, um ein VNet zu erstellen. Ersetzen Sie unbedingt die Werte in den Beispielen durch die Werte, die Sie für Ihre Umgebung verwendet haben. Weitere Informationen finden Sie unter Schnellstart: Erstellen eines virtuellen Netzwerks mit Azure PowerShell.
Erstellen eines VNET
$vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnetGeben Sie die Subnetzeinstellungen an.
$subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnetRichten Sie das VNet ein.
$virtualNetwork | Set-AzVirtualNetwork
Verbinden eines VNET mit einem Hub
Sobald Sie über ein VNet verfügen, führen Sie die Schritte in diesem Artikel aus, um Ihr VNet mit dem VWAN-Hub zu verbinden: Verbinden eines VNet mit einem Virtual WAN Hub.
Konfigurieren eines VPN-Geräts
Führen Sie zum Konfigurieren Ihres lokalen VPN-Geräts die Schritte im Artikel Site-to-Site: Azure-Portal aus.
Bereinigen von Ressourcen
Wenn Sie die von Ihnen erstellten Ressourcen nicht mehr benötigen, können Sie sie löschen. Einige Virtual WAN-Ressourcen müssen aufgrund von Abhängigkeiten in einer bestimmten Reihenfolge gelöscht werden. Das Löschen kann bis zu 30 Minuten dauern.
Löschen Sie alle Gatewayentitäten in der folgenden Reihenfolge:
Deklarieren Sie die Variablen.
$resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"Löschen Sie die VPN Gateway-Verbindung mit den VPN-Standorten.
Remove-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection"Löschen Sie das VPN-Gateway. Mit dem Löschen einer VPN Gateway-Instanz werden auch alle zugeordneten VPN Express Route-Verbindungen entfernt.
Remove-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"An diesem Punkt können Sie eines von zwei Dingen tun:
- Sie können die gesamte Ressourcengruppe löschen, um alle enthaltenen Ressourcen zu löschen, einschließlich der Hubs, Websites und des virtuellen WAN.
- Sie können die einzelnen Ressourcen in der Ressourcengruppe löschen.
So löschen Sie die gesamte Ressourcengruppe:
Remove-AzResourceGroup -Name "TestRG"So löschen Sie jede Ressource in der Ressourcengruppe:
Löschen Sie den VPN-Standort.
Remove-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"Löschen Sie den virtuellen Hub.
Remove-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"Löschen Sie das virtuelle WAN.
Remove-AzVirtualWan -Name "TestVWAN1" -ResourceGroupName "TestRG"
Nächste Schritte
Um mehr über Virtual WAN zu erfahren, lesen Sie bitte die Virtual WAN FAQ.