Planowanie i implementowanie wirtualnej sieci rozległej, w tym zabezpieczonego koncentratora wirtualnego

  • {liczbaMinut} minut

Usługa Virtual WAN łączy się z zasobami na platformie Azure za pośrednictwem połączenia sieci VPN IPsec/IKE (IKEv1 i IKEv2). Ten typ połączenia wymaga lokalnego urządzenia sieci VPN, które ma przypisany zewnętrzny publiczny adres IP.

Diagram przedstawiający wirtualne połączenie sieci rozległej między lokalizacjami.

Wymagania wstępne

  • Sprawdź, czy masz subskrypcję platformy Azure. Jeśli nie masz jeszcze subskrypcji platformy Azure, możesz aktywować korzyści dla subskrybentów MSDN lub utworzyć bezpłatne konto.

  • Zdecyduj zakres adresów IP, którego chcesz użyć dla prywatnej przestrzeni adresowej koncentratora wirtualnego. Te informacje są używane podczas konfigurowania wirtualnego huba. Koncentrator wirtualny to sieć wirtualna utworzona i używana przez usługę Virtual WAN. Jest rdzeniem Twojej sieci Virtual WAN w danym regionie. Zakres przestrzeni adresowej musi być zgodny z określonymi regułami.

    • Zakres adresów określony dla centrum nie może nakładać się na żadną z istniejących sieci wirtualnych, z którymi nawiązujesz połączenie.
    • Zakres adresów nie może nakładać się na lokalne zakresy adresów, z którymi nawiązujesz połączenie.
    • Jeśli nie znasz zakresów adresów IP znajdujących się w konfiguracji sieci lokalnej, koordynuj się z osobą, która może podać te szczegóły.

Witryna Azure Portal lub program Azure PowerShell

Możesz użyć portalu Azure lub poleceń cmdlet programu Azure PowerShell do utworzenia połączenia typu site-to-site z usługą Azure Virtual WAN. Usługa Cloud Shell to bezpłatna interaktywna powłoka zawierająca wstępnie zainstalowane i skonfigurowane narzędzia platformy Azure do użycia z kontem.

Aby otworzyć usługę Cloud Shell, wybierz pozycję Otwórz usługę Cloud Shell w prawym górnym rogu bloku kodu. Możesz również otworzyć usługę Cloud Shell na osobnej karcie przeglądarki, przechodząc do strony https://shell.azure.com/powershell. Wybierz pozycję Kopiuj , aby skopiować bloki kodu, wklej je w usłudze Cloud Shell, a następnie wybierz Enter, aby je uruchomić.

Możesz również zainstalować i uruchomić polecenia cmdlet programu Azure PowerShell lokalnie na komputerze. Polecenia cmdlet programu PowerShell są często aktualizowane. Jeśli nie zainstalowano najnowszej wersji, wartości określone w instrukcjach mogą zakończyć się niepowodzeniem. Aby znaleźć wersje programu Azure PowerShell zainstalowane na komputerze, użyj Get-Module -ListAvailable Az cmdlet.

Zaloguj

Jeśli używasz usługi Azure Cloud Shell , nastąpi automatyczne przekierowanie do logowania się do konta po otwarciu usługi Cloud Shell. Nie musisz uruchamiać Connect-AzAccount. Po zalogowaniu można nadal zmieniać subskrypcje, jeśli to konieczne, używając Get-AzSubscriptioni Select-AzSubscription.

Jeśli korzystasz z programu PowerShell lokalnie, otwórz konsolę programu PowerShell z podwyższonym poziomem uprawnień i połącz się z kontem platformy Azure. Polecenie cmdlet Connect-AzAccount monituje o podanie poświadczeń. Po uwierzytelnieniu pobiera ustawienia konta, aby były dostępne dla programu Azure PowerShell. Subskrypcję można zmienić przy użyciu Get-AzSubscriptioni Select-AzSubscription -SubscriptionName "Name of subscription".

Tworzenie wirtualnej sieci WAN

Przed utworzeniem wirtualnej sieci wan należy utworzyć grupę zasobów do hostowania wirtualnej sieci Wan lub użyć istniejącej grupy zasobów. Użyj jednego z poniższych przykładów.

W tym przykładzie tworzona jest nowa grupa zasobów o nazwie TestRG w lokalizacji Wschodnie USA. Jeśli zamiast tego chcesz użyć istniejącej grupy zasobów, możesz zmodyfikować polecenie $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup", a następnie wykonać kroki opisane w tym ćwiczeniu przy użyciu własnych wartości.

  1. Utwórz grupę zasobów.

    New-AzResourceGroup -Location "East US" -Name "TestRG"

  2. Utwórz wirtualną sieć WAN przy użyciu polecenia cmdlet New-AzVirtualWan.

    $virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"

Tworzenie centrum i konfigurowanie ustawień centrum

Sieć wirtualna (hub) to wirtualna sieć, która może zawierać bramy dla połączeń typu site-to-site, ExpressRoute lub połączeń punkt-punkt. Utwórz koncentrator wirtualny za pomocą New-AzVirtualHub. W tym przykładzie tworzony jest domyślny koncentrator wirtualny o nazwie Hub1 z określonym prefiksem adresu i lokalizacją centrum.

$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"

Utwórz bramę VPN typu lokacja-lokacja

W tej sekcji utworzysz bramę sieci VPN typu lokacja-lokacja w tej samej lokalizacji co koncentrator wirtualny, do którego jest odwołanie. Podczas tworzenia bramy sieci VPN należy określić żądane jednostki skalowania. Utworzenie bramy trwa około 30 minut.

  1. Jeśli usługa Azure Cloud Shell została zamknięta lub upłynął limit czasu połączenia, może być konieczne ponowne zadeklarowanie zmiennej dla $virtualHub.

    $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"

  2. Utwórz bramę sieci VPN przy użyciu polecenia cmdlet New-AzVpnGateway.

    New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2

  3. Po utworzeniu bramy sieci VPN możesz ją wyświetlić, korzystając z poniższego przykładu.

    Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"

Utwórz stronę i połączenia

W tej sekcji utworzysz lokacje, które odpowiadają lokalizacjom fizycznym i połączeniom. Te lokacje zawierają lokalne punkty końcowe urządzeń sieci VPN. W wirtualnej sieci WAN można utworzyć maksymalnie 1000 lokacji na koncentrator wirtualny. Jeśli masz wiele centrów, możesz utworzyć 1000 na każde z tych centrów.

  1. Ustaw zmienną dla bramy sieci VPN oraz dla przestrzeni adresowej IP znajdującej się w Twojej lokalizacji lokalnej. Ruch przeznaczony dla tej przestrzeni adresowej jest kierowany do lokalnej witryny. Jest to wymagane, gdy protokół BGP nie jest włączony dla witryny.

    $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSiteAddressSpaces = New-Object string[] 2
$vpnSiteAddressSpaces[0] = "192.168.2.0/24"
$vpnSiteAddressSpaces[1] = "192.168.3.0/24"

  2. Utwórz łącza, aby dodać informacje o linkach fizycznych w gałęzi, w tym metadane dotyczące szybkości łącza, nazwy dostawcy linków i publicznego adresu IP urządzenia lokalnego.

    $vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10"

$vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"

  3. Utwórz witrynę sieci VPN, odwołując się do zmiennych linków witryny sieci VPN, które właśnie utworzyłeś. Jeśli usługa Azure Cloud Shell została zamknięta lub przekroczono limit czasu połączenia, ponownie zadeklaruj zmienną wirtualną WAN:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"

    Utwórz lokalizację VPN, korzystając z polecenia cmdlet New-AzVpnSite.

    $vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)

  4. Utwórz połączenie do strony. Połączenie składa się z dwóch tuneli aktywnych-aktywnych z gałęzi/lokacji do skalowalnej bramy.

    $vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100

$vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10

Połącz witrynę VPN z koncentratorem

  1. Przed uruchomieniem polecenia może być konieczne ponowne zadeklarowanie następujących zmiennych:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"

  2. Połącz witrynę sieci VPN z centrum.

    New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)

Połącz sieć VNet z hubem

Następnym krokiem jest połączenie koncentratora z siecią wirtualną. Jeśli utworzono nową grupę zasobów na potrzeby tego ćwiczenia, zazwyczaj nie masz już wirtualnej sieci (VNet) w grupie zasobów. Poniższe kroki ułatwiają utworzenie sieci wirtualnej, jeśli jeszcze jej nie masz. Można teraz utworzyć połączenie między koncentratorem a swoją siecią wirtualną.

Utwórz wirtualną sieć

Aby utworzyć sieć wirtualną, możesz użyć następujących przykładowych wartości. Pamiętaj, aby zastąpić wartości w przykładach wartościami użytymi w twoim środowisku.

  1. Utwórz sieć wirtualną.

    $vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnet

  2. Określ ustawienia podsieci.

    $subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

  3. Ustaw sieć wirtualną.

    $virtualNetwork | Set-AzVirtualNetwork

Podłącz VNet do koncentratora

Poniższe kroki umożliwiają połączenie sieci wirtualnej z koncentratorem wirtualnym przy użyciu programu PowerShell. Możesz również użyć witryny Azure Portal, aby wykonać to zadanie. Powtórz te kroki dla każdej sieci wirtualnej, którą chcesz połączyć.

Przed utworzeniem połączenia należy pamiętać o następujących kwestiach:

  • Sieć wirtualna może być połączona tylko z jednym koncentratorem wirtualnym w danym momencie.
  • Aby połączyć go z wirtualnym hubem, zdalna sieć wirtualna nie może mieć bramy.
  • Niektóre ustawienia konfiguracji, takie jak Propagacja trasy statycznej, można skonfigurować tylko w witrynie Azure Portal w tej chwili.

Jeśli bramy sieci VPN znajdują się w koncentratorze wirtualnym, ta operacja, a także każda inna operacja zapisu w połączonej sieci wirtualnej może spowodować rozłączenie klientów punkt-do-sieci, a także ponowne połączenie tuneli typu sieć-do-sieci i sesji protokołu BGP (Border Gateway Protocol).

Dodaj połączenie

  1. Zadeklaruj zmienne dla istniejących zasobów, w tym istniejącą sieć wirtualną.

    $resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $remoteVirtualNetwork = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG"

  2. Utwórz połączenie sieci równorzędnej z siecią wirtualną i koncentratora wirtualnego.

    New-AzVirtualHubVnetConnection -ResourceGroupName "TestRG" -VirtualHubName "Hub1" -Name "VNet1-connection" -RemoteVirtualNetwork $remoteVirtualNetwork

Konfigurowanie urządzenia sieci VPN

Pobieranie konfiguracji sieci VPN

Użyj pliku konfiguracji urządzenia sieci VPN, aby skonfigurować lokalne urządzenie sieci VPN. Poniżej przedstawiono podstawowe kroki:

  1. Na stronie usługi Virtual WAN przejdź do strony Hubs ->Twój wirtualny koncentrator ->VPN (z witryny do witryny).

  2. Na górze strony Sieć VPN (witryna-witryna) kliknij opcję Pobierz konfigurację sieci VPN. Wyświetli się seria komunikatów podczas tworzenia przez platformę Azure nowego konta przechowywania w grupie zasobów "microsoft-network-[location]", gdzie lokalizacja jest miejscem położenia sieci WAN. Możesz również dodać istniejące konto magazynowe, klikając "Użyj istniejącego" i dodając prawidłowy adres URL SAS z włączonymi uprawnieniami do zapisu.

  3. Po zakończeniu tworzenia pliku kliknij link, aby pobrać plik. Spowoduje to utworzenie nowego pliku z konfiguracją sieci VPN pod podanym adresem URL SAS.

  4. Zastosuj konfigurację do lokalnego urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Konfiguracja urządzenia sieci VPN w tej sekcji.

  5. Po zastosowaniu konfiguracji do urządzeń sieci VPN, nie musisz zachowywać konta magazynowego, które utworzyłeś.

    • Przestrzeń adresowa sieci wirtualnej koncentratorów wirtualnych.

      • Przykład:

        • "AddressSpace":"10.1.0.0/24"

    • Przestrzeń adresowa sieci wirtualnych połączonych z koncentratorem wirtualnym.

      • Przykład:

        • "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]

    • Przestrzeń adresowa IP koncentratora wirtualnego vpngateway. Ponieważ każde połączenie vpngateway składa się z dwóch tuneli w konfiguracji aktywne-aktywne, zobaczysz oba adresy IP wymienione w tym pliku. W tym przykładzie dla każdej witryny widoczne są "Instance0" i "Instance1".

      • Przykład:

        • "Instance0":"nnn.nn.nn.nnn"
        • "Instance1":"nnn.nn.nn.nnn"

    • Publiczny adres IP: przypisany przez platformę Azure.

    • Prywatny adres IP: przypisany przez platformę Azure.

    • Domyślny adres IP protokołu BGP: przypisany przez platformę Azure.

    • Niestandardowy adres IP protokołu BGP: to pole jest zarezerwowane dla usługi APIPA (automatyczne prywatne adresowanie IP). Platforma Azure obsługuje adres IP protokołu BGP w zakresach 169.254.21.* i 169.254.22.*. Azure akceptuje połączenia wykorzystujące BGP w tych zakresach, ale nawiąże połączenie z domyślnym adresem IP protokołu BGP. Użytkownicy mogą określić wiele niestandardowych adresów IP protokołu BGP dla każdego wystąpienia. Nie należy używać tego samego niestandardowego adresu IP protokołu BGP dla obu wystąpień.

Plik konfiguracji urządzenia sieci VPN

Plik konfiguracji urządzenia zawiera ustawienia, które mają być używane podczas konfigurowania lokalnego urządzenia sieci VPN. Podczas wyświetlania tego pliku zwróć uwagę na następujące informacje:

  • vpnSiteConfiguration — w tej sekcji opisano szczegóły urządzenia skonfigurowanego jako strona łącząca się z wirtualną siecią WAN. Zawiera ona nazwę i publiczny adres IP urządzenia gałęzi.

vpnSiteConnections — ta sekcja zawiera informacje o następujących ustawieniach:

  • Szczegóły konfiguracji połączenia vpngateway, takie jak BGP, klucz wstępny itp. Klucz psk to klucz wstępny, który jest generowany automatycznie. Zawsze można edytować połączenie na stronie Przeglądowej, korzystając z niestandardowego Klucza Wstępnego (PSK).

Przykładowy plik konfiguracji urządzenia

{ "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5" }, "vpnSiteConfiguration":{ "Name":"testsite1", "IPAddress":"73.239.3.208" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe", "ConnectedSubnets":[ "10.2.0.0/16", "10.3.0.0/16" ] }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.186", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac" }, "vpnSiteConfiguration":{ "Name":" testsite2", "IPAddress":"66.193.205.122" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7" }, "vpnSiteConfiguration":{ "Name":" testsite3", "IPAddress":"182.71.123.228" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }

Konfigurowanie urządzenia sieci VPN

Uwaga / Notatka

Jeśli pracujesz z rozwiązaniem partnerskim usługi Virtual WAN, konfiguracja urządzenia sieci VPN odbywa się automatycznie. Kontroler urządzenia uzyskuje plik konfiguracji z Azure i zastosowuje go do urządzenia, aby skonfigurować połączenie z Azure. Oznacza to, że nie musisz wiedzieć, jak ręcznie skonfigurować urządzenie sieci VPN.

Wyświetlanie lub edytowanie ustawień bramy

Ustawienia bramy sieci VPN można wyświetlać i edytować w dowolnym momencie. Przejdź do swojego koncentratora wirtualnego ->VPN (lokacja-lokacja) i wybierz Wyświetl/Skonfiguruj.

Zrzut ekranu przedstawiający sposób wyświetlania i edytowania ustawień bramy sieci VPN na stronie konfiguracji wirtualnego huba.

Na stronie Edytowanie bramy sieci VPN można zobaczyć następujące ustawienia:

Zrzut ekranu przedstawiający sposób edytowania ustawień wirtualnej bramy sieci prywatnej.