Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln visar hur du använder Azure CLI för att skapa en plats-till-plats (S2S) VPN-gateway-anslutning från ditt lokala nätverk till ett virtuellt nätverk (VNet).
En site-to-site VPN-gatewayanslutning används för att ansluta ditt lokala nätverk till ett Azure-virtuellt nätverk via en IPsec/IKE (IKEv1 eller IKEv2) VPN-tunnel. Denna typ av anslutning kräver en VPN-enhet som är placerad på plats och som har en extern publik IP-adress tilldelad. Stegen i denna artikel skapar en anslutning mellan VPN-gatewayen och den lokala VPN-enheten med hjälp av en delad nyckel. För mer information om VPN-gateways, se Om VPN-gateway.
Innan du börjar
Kontrollera att din miljö uppfyller följande villkor innan du påbörjar konfigurationen:
Kontrollera att du har en fungerande ruttbaserad VPN-gateway. För att skapa en VPN-gateway, se Skapa en VPN-gateway.
Om du inte är bekant med IP-adressområdena som finns i din lokala nätverkskonfiguration, behöver du samarbeta med någon som kan ge dig dessa detaljer. När du skapar denna konfiguration måste du ange IP-adressområdens prefix som Azure dirigerar till din lokala plats. Ingen av delnäten i ditt lokala nätverk får överlappa med de virtuella nätverksdelnäten som du vill ansluta till.
VPN-enheter:
- Se till att du har en kompatibel VPN-enhet och någon som kan konfigurera den. För mer information om kompatibla VPN-enheter och enhetskonfiguration, se Om VPN-enheter.
- Kontrollera om din VPN-enhet stöder aktiv-aktiv-läge för gateways. Den här artikeln skapar en aktiv-aktiv-läge VPN-gateway, vilket rekommenderas för mycket tillgänglig anslutning. Den aktiva-aktiva läget specificerar att båda gateway-VM-instansarna är aktiva. Det här läget kräver två publika IP-adresser, en för varje gateway-VM-instans. Du konfigurerar din VPN-enhet för att ansluta till IP-adressen för varje gateway-VM-instans.
Om din VPN-enhet inte stöder det här läget, aktivera inte det här läget för din gateway. För mer information, se Utforma hög tillgänglig anslutning för anslutningar mellan olika lokaler och VNet-till-VNet och Om aktiva-aktiva läge VPN-gateways.
Den här artikeln kräver version 2.0 eller senare av Azure CLI.
Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Kom igång med Azure Cloud Shell.
Om du föredrar att köra CLI-referenskommandon lokalt, installera Azure CLI. Om du kör på Windows eller macOS, överväg att köra Azure CLI i en Docker-container. För mer information, se Hur du kör Azure CLI i en Docker-behållare.
Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. För att slutföra autentiseringsprocessen, följ stegen som visas i din terminal. Andra inloggningsalternativ finns i Autentisera till Azure med Azure CLI.
När du uppmanas, installera Azure CLI-tillägget vid första användning. Mer information om tillägg finns i Använda och hantera tillägg med Azure CLI.
Kör az version för att ta reda på versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.
Skapa den lokala nätverksgatewayen
Den lokala nätverksgatewayen syftar vanligtvis på din lokala plats. Du ger webbplatsen ett namn som Azure kan använda för att referera till den, och specificerar sedan IP-adressen för den lokala VPN-enheten som du ska skapa en anslutning till. Du anger också de IP-adressprefix som ska dirigeras via VPN-gatewayen till VPN-enheten. De adressprefixer som du specificerar är de prefixer som finns på ditt lokala nätverk. Om ditt lokala nätverk ändras kan du enkelt uppdatera prefixen.
Använd följande värden:
- --gateway-ip-address är IP-adressen för din lokala VPN-enhet.
- - -local-address-prefixes är dina lokala adressutrymmen.
Använd kommandot az network local-gateway create för att lägga till en lokal nätverksgateway. Följande exempel visar en lokal nätverksgateway med flera adressprefix. Ersätt värdena med dina egna.
az network local-gateway create --gateway-ip-address [IP address of your on-premises VPN device] --name Site1 --resource-group TestRG1 --local-address-prefixes 10.3.0.0/16 10.0.0.0/24
Konfigurera din VPN-enhet
Site-to-site-anslutningar till ett lokalt nätverk kräver en VPN-enhet. I det här steget konfigurerar du din VPN-enhet. När du konfigurerar din VPN-enhet behöver du följande värden:
Delad nyckel: Denna delade nyckel är densamma som du anger när du skapar din plats-till-plats-VPN-anslutning. I våra exempel använder vi en enkel delad nyckel. Vi rekommenderar att du genererar en mer komplex nyckel att använda.
Offentliga IP-adresser för dina instanser av virtuella nätverks-gateway: Skaffa IP-adressen för varje VM-instans. Om din gateway är i active-active-läge kommer du att ha en IP-adress för varje gateway-VM-instans. Se till att konfigurera din enhet med båda IP-adresserna, en för varje aktiv gateway-VM. Gateways i Active-standby-läge har bara en IP-adress.
För att hitta den offentliga IP-adressen för din virtuella nätverksgateway, använd kommandot az network public-ip list. För enkel läsning är utdata formaterade för att visa listan med offentliga IP-adresser i tabellformat. I exemplet är VNet1GWpip1 namnet på resursen för den offentliga IP-adressen.
az network public-ip list --resource-group TestRG1 --output table
Beroende på VPN-enheten du har kan du kanske ladda ner ett konfigurationsskript för VPN-enheten. För mer information, se Ladda ned VPN-enhetens konfigurationsskript.
Följande länkar innehåller mer konfigurationsinformation:
För information om kompatibla VPN-enheter, se Om VPN-enheter.
För länkar till enhetens konfigurationsinställningar, se Validerade VPN-enheter. Vi tillhandahåller konfigurationslänkar för enheter på bästa möjliga sätt, men det är alltid bäst att kontrollera med din enhetstillverkare för den senaste konfigurationsinformationen.
Listan visar de versioner vi testade. Om operativsystemets version för din VPN-enhet inte finns på listan, kan den fortfarande vara kompatibel. Kontrollera med tillverkaren av din enhet.
För grundläggande information om konfiguration av VPN-enheter, se Översikt över partnerkonfigurationer för VPN-enheter.
För information om att redigera exempel på enhetskonfiguration, se Redigera exempel.
För kryptografiska krav, se Om kryptografiska krav och Azure VPN-gateways.
För information om parametrar som du behöver för att slutföra din konfiguration, se Standard IPsec/IKE-parametrar. Informationen inkluderar IKE-version, Diffie-Hellman (DH)-grupp, autentiseringsmetod, krypterings- och hashalgoritmer, säkerhetsassociationens (SA) livstid, perfekt framåtsekretess (PFS) och Dead Peer Detection (DPD).
För konfigurationssteg för IPsec/IKE-policy, se Konfigurera anpassade IPsec/IKE-anslutningspolicyer för S2S VPN och VNet-till-VNet.
Information om hur du ansluter flera principbaserade VPN-enheter finns i Ansluta en VPN-gateway till flera lokala principbaserade VPN-enheter.
Skapa VPN-anslutningen
Skapa en plats-till-plats VPN-anslutning mellan din virtuella nätverksgateway och din lokala VPN-enhet. Om du använder en aktiv-aktiv-läge gateway (rekommenderas), har varje gateway VM-instans en separat IP-adress. För att korrekt konfigurera högtillgänglig anslutning måste du upprätta en tunnel mellan varje VM-instans och din VPN-enhet. Båda tunnlarna är del av samma förbindelse.
Skapa anslutningen med kommandot az network vpn-connection create. Den delade nyckeln måste matcha värdet du använde för att konfigurera din VPN-enhet.
az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1
Efter en kort stund kommer anslutningen att upprättas.
Verifiera VPN-anslutningen
Du kan kontrollera att anslutningen har utförts med hjälp av följande kommandot az network vpn-connection show. I exemplet hänvisar '--name' till namnet på den anslutning som du vill testa. När anslutningen håller på att etableras, visar anslutningsstatusen "Ansluter". När anslutningen har upprättats ändras status till ”Ansluten”. Ändra följande exempel med värden som passar din miljö.
az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>
Om du vill använda en annan metod för att verifiera anslutningen kan du läsa Verifiera en VPN Gateway anslutning.
Vanliga uppgifter
Den här sektionen innehåller vanliga kommandon som är användbara när du arbetar med site-to-site-konfigurationer. För den fullständiga listan över CLI-nätverkskommandon, se Azure CLI - Nätverk.
För att visa lokala nätverksportar
För att visa en lista över de lokala nätverksgatewaysna, använd kommandot az network local-gateway list.
az network local-gateway list --resource-group TestRG1
För att ändra adressprefix för den lokala nätverksgatewayens IP-adress - ingen gateway-anslutning
Om du vill lägga till eller ta bort IP-adressprefix och din gateway ännu inte har en anslutning, kan du uppdatera prefixen med hjälp av az network local-gateway create. För att skriva över de aktuella inställningarna, använd det befintliga namnet på din lokala nätverksgateway. Om du använder ett annat namn skapar du en ny lokal nätverksgateway istället för att skriva över den befintliga. Du kan också använda det här kommandot för att uppdatera gateway-IP-adressen för VPN-enheten.
Varje gång du gör en ändring måste hela listan med prefix anges, inte bara de prefix du vill ändra. Ange endast de prefix du vill behålla. I det här fallet, 10.0.0.0/24 och 10.3.0.0/16
az network local-gateway create --gateway-ip-address 203.0.113.34 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 10.3.0.0/16
För att ändra IP-adressprefix för den lokala nätverksgatewayen - befintlig gatewayanslutning
Om du har en gateway-anslutning och vill lägga till eller ta bort IP-adressprefixer kan du uppdatera prefixerna med hjälp av az network local-gateway update. Detta resulterar i viss nedtid för din VPN-anslutning.
Varje gång du gör en ändring måste hela listan med prefix anges, inte bara de prefix du vill ändra. I detta exempel är 10.0.0.0/24 och 10.3.0.0/16 redan närvarande. Vi lägger till prefixen 10.5.0.0/16 och 10.6.0.0/16 och specificerar alla 4 prefix när vi uppdaterar.
az network local-gateway update --local-address-prefixes 10.0.0.0/24 10.3.0.0/16 10.5.0.0/16 10.6.0.0/16 --name VNet1toSite2 -g TestRG1
För att ändra den lokala nätverksgatewayen 'gatewayIpAddress'
Om du ändrar den publika IP-adressen för din VPN-enhet måste du ändra den lokala nätverksgatewayen med den uppdaterade IP-adressen. När du ändrar gatewayen måste du ange det befintliga namnet på din lokala nätverksgateway. Om du använder ett annat namn skapar du en ny lokal nätverksgateway istället för att skriva över den befintliga gatewayinformationen.
För att ändra gatewayens IP-adress, ersätt värdena 'Site2' och 'TestRG1' med dina egna med hjälp av kommandot az network local-gateway update.
az network local-gateway update --gateway-ip-address 203.0.113.170 --name Site2 --resource-group TestRG1
Verifiera att IP-adressen är korrekt i utdata.
"gatewayIpAddress": "203.0.113.170",
För att verifiera de delade nyckelvärdena
Kontrollera att värdet för den delade nyckeln är samma värde som du använde för VPN-enhetskonfigurationen. Om det inte är det, kör antingen anslutningen igen med värdet från enheten, eller uppdatera enheten med värdet från returinformationen. Värdena måste stämma överens. Om du vill visa den delade nyckeln använder du az network vpn-connection-list.
az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1
För att visa VPN-gatewayens offentliga IP-adress
För att hitta den offentliga IP-adressen för din virtuella nätverksgateway, använd kommandot az network public-ip list. För att underlätta läsningen har utdata i detta exempel formaterats för att visa listan med offentliga IP-adresser i tabellformat.
az network public-ip list --resource-group TestRG1 --output table
Nästa steg
- För information om BGP, se översikt av BGP och hur man konfigurerar BGP.
- Information om tvingad tunneltrafik finns i Om tvingad tunneltrafik.
- För information om hög tillgänglighet med aktiv-aktiv anslutningar, se Hög tillgänglighet för anslutningar över premisser och mellan virtuella nätverk.
- En lista över Azure CLI-nätverkskommandon finns i Azure CLI.
- För information om hur du skapar en plats-till-plats VPN-anslutning med hjälp av en Azure Resource Manager-mall, se Skapa en plats-till-plats VPN-anslutning.
- För information om hur du skapar en VNet-till-VNet VPN-anslutning med hjälp av Azure Resource Manager-mallen, se Deploy HBase geo replication.