将 VPN 网关（虚拟网络网关）连接到虚拟 WAN

本文帮助你设置从 Azure VPN 网关（虚拟网络网关）到 Azure 虚拟 WAN（VPN 网关）的连接。 创建从 VPN 网关（虚拟网络网关）到虚拟 WAN（VPN 网关）的连接类似于设置从分支 VPN 站点到虚拟 WAN 的连接。

为了尽量避免用户混淆这两项功能，我们将在“网关”前面加上所述功能的名称。 例如，VPN 网关虚拟网络网关，以及虚拟 WAN VPN 网关。

准备阶段

在开始之前，请创建以下资源：

Azure 虚拟 WAN

• 创建虚拟 WAN。
• 创建中心。
• 创建在中心内配置的 S2S VPN 网关。

虚拟网络（用于虚拟网络网关）

• 创建不带任何虚拟网络网关的虚拟网络。 在后续步骤中，将使用主动/主动虚拟网络网关配置此虚拟网络。 确认本地网络的任何子网都不会与要连接到的虚拟网络重叠。

1. 配置 VPN 网关虚拟网络网关

在本部分，你将以主动-主动模式为虚拟网络创建 VPN 网关虚拟网络网关。 创建网关时，可将现有公共 IP 地址用于该网关的两个实例，或者可以创建新的公共 IP。 设置虚拟 WAN 站点时将使用这些公共 IP。

1. 以主动-主动模式为虚拟网络创建 VPN 网关虚拟网络网关。 有关主动-主动 VPN 网关和配置步骤的详细信息，请参阅配置主动-主动 VPN 网关。

2. 以下部分显示了虚拟网络网关的示例设置。

   • 主动-主动模式设置 - 在虚拟网络网关的“配置”页上，确保启用了“主动-主动”模式。

     

   • BGP 设置 - 在虚拟网络网关的“配置”页上，可根据需要选择“配置 BGP ASN”。 如果配置 BGP，请更改门户中显示的默认值的 ASN。 对于此配置，BGP ASN 不能为 65515。 65515 将由 Azure 虚拟 WAN 使用。

     

   • 公共 IP 地址 - 创建网关后，转到“属性”页。 属性和配置设置类似于以下示例。 请注意，对网关使用了两个公共 IP 地址。

     

2.创建虚拟 WAN VPN 站点

在本部分，你将创建两个虚拟 WAN VPN 站点，它们对应于在上一部分创建的虚拟网络网关。

1. 在“虚拟 WAN”页上，转到“VPN 站点”。

2. 在“VPN 站点”页上，选择“+创建站点”。

3. 在“创建 VPN 站点”页的“基本信息”选项卡上，填写以下字段：

   • 区域：Azure VPN 网关虚拟网络网关所在的同一区域。
   • 名称：例如 Site1
   • 设备供应商：VPN 设备供应商的名称（例如：Citrix、Cisco、Barracuda）。 添加设备供应商有助于 Azure 团队更好地了解你的环境，以便将来添加更多的可用优化选项，或帮助你进行故障排除。
   • 专用地址空间：输入一个值；如果启用了 BGP，请将此字段留空。

4. 选择“下一步: 链接”转到“链接”页>。

5. 在“链接”页上填写以下字段：

   • 链路名称：要在 VPN 站点为物理链路提供的名称。 示例：Link1。
   • 速度：这是 VPN 设备在分支位置的速度。 示例：50 表示 VPN 设备在分支站点的速度为 50 Mbps。
   • 链路提供程序名称：物理链路在 VPN 站点的名称。 示例：ATT、Verizon。
   • 链接 IP 地址 - 输入设备 IP 地址。 对于此配置，它与（VPN 网关）虚拟网络网关属性下显示的第一个公共 IP 地址相同。
   • BGP 地址和 ASN - 这些值必须与某个 BGP 对等 IP 地址以及在步骤 1 中配置的 VPN 网关虚拟网络网关的 ASN 相同。

6. 填写完这些字段后，选择“查看 + 创建”进行验证。 选择“创建”以创建站点。

7. 重复上述步骤，创建与 VPN 网关虚拟网络网关的第二个实例匹配的第二个站点。 保留相同的设置，不过这一次要使用 VPN 网关配置中的第二个公共 IP 地址和第二个 BGP 对等 IP 地址。

8. 现已成功预配两个站点。

3. 将站点连接到虚拟中心

接下来，使用以下步骤将这两个站点连接到虚拟中心。 有关连接站点的详细信息，请参阅将 VPN 站点连接到虚拟中心。

1. 在“虚拟 WAN”页上，转到“中心”。

2. 在“中心”页上，单击创建的中心。

3. 在创建的中心的页面左侧窗格中，选择“VPN (站点到站点)”。

4. 在“VPN (站点到站点)”页上，应会看到你的站点。 如果没有看到，可能需要单击“中心关联:x”气泡以清除筛选器并查看站点。

5. 选中两个站点名称旁边的复选框（不要直接单击站点名称），然后单击“连接 VPN 站点”。

6. 在“连接站点”页上，配置设置。 请务必记下使用的“预共享密钥”值。 稍后在本练习中创建连接时，需要再次用到它。

7. 在页面底部，选择“连接”。 需要花费片刻时间使用站点设置更新中心。

4. 下载 VPN 配置文件

在本部分，你将下载在上一部分创建的站点的 VPN 配置文件。

1. 在“虚拟 WAN”页上，转到“VPN 站点”。

2. 在“VPN 站点”页的顶部，选择“下载站点到站点 VPN 配置”并下载文件。 Azure 会创建一个配置文件，其中包含用于在下一部分配置本地网络网关的所需值。

   

5. 创建本地网络网关

在本部分，你将创建两个 Azure VPN 网关本地网络网关。 在上一步骤中下载的配置文件包含网关配置设置。 使用这些设置来创建和配置 Azure VPN 网关本地网络网关。

1. 使用这些设置创建本地网络网关。 有关如何创建 VPN 网关本地网络网关的信息，请参阅 VPN 网关文章创建本地网络网关。

   • IP 地址 - 使用配置文件中为 gatewayconfiguration 显示的 Instance0 IP 地址。
   • BGP - 如果通过 BGP 建立连接，请选择“配置 BGP 设置”并输入 ASN“65515”。 输入 BGP 对等 IP 地址。 使用配置文件中 gatewayconfiguration 的“Instance0 BgpPeeringAddresses”。
   • 地址空间 - 如果连接不是通过 BGP 建立的，请确保“配置 BGP 设置”保持未选中状态。 输入要从虚拟网络网关端播发的地址空间。 可以添加多个地址空间范围。 请确保此处所指定的范围没有与要连接到的其他网络的范围相重叠。
   • 订阅、资源组和位置 - 这些值与虚拟 WAN 中心相同。

2. 检查设置，然后创建本地网络网关。 本地网络网关应类似于以下示例。

   

3. 重复上述步骤以创建另一个本地网络网关，但这一次请使用配置文件中的“Instance1”值而不是“Instance0”值。

   

6. 创建连接

在本部分，你将在 VPN 网关本地网络网关与虚拟网络网关之间创建连接。 有关如何创建 VPN 网关连接的步骤，请参阅配置连接。

1. 在门户中，转到你的虚拟网络网关并选择“连接”。 在“连接”页的顶部，选择“+添加”打开“添加连接”页。

2. 在“添加连接”页上，为你的连接配置以下值：

   • 名称： 命名连接。
   • 连接类型： 选择“站点到站点(IPSec)”
   • “虚拟网络网关”：由于要从此网关连接，因此该值是固定的。
   • 本地网络网关： 此连接会将虚拟网络网关连接到本地网络网关。 选择前面创建的本地网络网关之一。
   • 共享密钥：输入前面记下的共享密钥。
   • IKE 协议： 选择 IKE 协议。

3. 选择“确定”以创建连接。

4. 可在虚拟网络网关的“连接”页中查看连接。

5. 重复上述步骤创建第二个连接。 对于第二个连接，请选择已创建的另一个本地网络网关。

6. 如果连接是通过 BGP 建立的，请在创建连接后，转到某个连接并选择“配置”。 在“配置”页上，对于“BGP”，请选择“已弃用” 。 然后选择“保存”。

7. 对第二个连接重复该操作。

7. 测试连接

可通过以下方式测试连接：创建两个虚拟机（一个位于 VPN 网关虚拟网络网关端，另一个位于虚拟 WAN 的虚拟网络中），然后 ping 这两个虚拟机。

1. 在 Azure VPN 网关 (Test1-VNG) 的虚拟网络 (Test1-VNet) 中创建一个虚拟机。 不要在 GatewaySubnet 中创建虚拟机。

2. 创建另一个虚拟网络以连接到虚拟 WAN。 在此虚拟网络的子网中创建一个虚拟机。 此虚拟网络不能包含任何虚拟网络网关。 可以使用站点到站点连接一文中的 PowerShell 步骤快速创建虚拟网络。 在运行 cmdlet 之前，请务必更改值。

3. 将 VNet 连接到虚拟 WAN 中心。 在虚拟 WAN 的页面上，依次选择“虚拟网络连接”、“+添加连接”。 在“添加连接”页上填写以下字段：

   • 连接名称 - 为连接命名。
   • 中心 - 选择要与此连接关联的中心。
   • 订阅 - 验证订阅。
   • 虚拟网络 - 选择要连接到此中心的虚拟网络。 此虚拟网络不能包含现有的虚拟网络网关。

4. 选择“确定”以创建虚拟网络连接。

5. 现已在 VM 之间设置了连接。 应该可以从一个 VM ping 另一个 VM，除非有任何防火墙或其他策略阻止了通信。

后续步骤

• 有关虚拟 WAN 站点到站点 VPN 的详细信息，请参阅教程：虚拟 WAN 站点到站点 VPN。
• 有关 VPN 网关主动-主动网关设置的详细信息，请参阅 VPN 网关主动-主动配置。