教程:使用 Azure 虚拟 WAN 创建站点到站点连接
本教程介绍如何使用虚拟 WAN 通过 IPsec/IKE(IKEv1 和 IKEv2)VPN 连接来与 Azure 中的资源建立连接。 此类型的连接要求位于本地的 VPN 设备分配有一个面向外部的公共 IP 地址。 有关虚拟 WAN 的详细信息,请参阅虚拟 WAN 概述。
本教程介绍如何执行下列操作:
- 创建虚拟 WAN
- 配置虚拟中心基本设置
- 配置站点到站点 VPN 网关设置
- 创建站点
- 将站点连接到虚拟中心
- 将 VPN 站点连接到虚拟中心
- 将 VNet 连接到虚拟中心
- 下载配置文件
- 查看或编辑 VPN 网关
注意
如果你有多个站点,则通常会使用虚拟 WAN 合作伙伴来创建此配置。 但是,如果你熟悉网络技术并能够熟练配置自己的 VPN 设备,则可以自行创建此配置。
先决条件
在开始配置之前,请验证你是否符合以下条件:
你有一个 Azure 订阅。 如果没有 Azure 订阅,请创建一个试用版版订阅。
有一个要连接到的虚拟网络。
- 确认本地网络的任何子网都不会与要连接到的虚拟网络重叠。
- 若要在 Azure 门户中创建虚拟网络,请参阅快速入门一文。
虚拟网络不能包含任何现有虚拟网络网关。
- 如果虚拟网络已有网关(VPN 或 ExpressRoute),必须先删除所有网关再继续。
- 此配置要求虚拟网络仅连接到虚拟 WAN 中心网关。
确定要用于虚拟中心专用地址空间的 IP 地址范围。 配置虚拟中心时,将使用此信息。 虚拟中心是虚拟 WAN 创建和使用的虚拟网络。 这是区域中虚拟 WAN 网络的核心。 地址空间范围必须符合某些规则:
- 为中心指定的地址范围不能与连接到的任何现有虚拟网络重叠。
- 地址范围不能与连接到的本地地址范围重叠。
- 如果不熟悉本地网络配置中的 IP 地址范围,请咨询能够提供此类详细信息的人员。
创建虚拟 WAN
在门户中的“搜索资源”栏中,在搜索框中键入“虚拟 WAN”,然后选择 Enter 。
从结果中选择“虚拟 WAN”。 在“虚拟 WAN”页面上,选择“+ 创建”以打开“创建 WAN”页面 。
在“创建 WAN”页的“基本信息”选项卡上,填写以下字段 。 修改示例值以应用于你的环境。
- 订阅:选择要使用的订阅。
- 资源组:新建资源组或使用现有的资源组。
- 资源组位置:从下拉列表中选择资源位置。 WAN 是一个全局资源,不会驻留在某个特定区域。 但是,必须选择一个区域才能管理和查找所创建的 WAN 资源。
- 名称:键入要用于称呼虚拟 WAN 的名称。
- 类型:基本或标准。 选择“标准”。 如果选择“基本”,请了解基本虚拟 WAN 只能包含基本中心。 基本中心只能用于站点到站点连接。
填写完字段后,在页面底部,选择“查看 + 创建”。
验证通过后,单击“创建”以创建虚拟 WAN。
配置虚拟中心设置
虚拟中心是一种虚拟网络,可包含适用于站点到站点、ExpressRoute 或点到站点功能的网关。 在本教程中,首先填写虚拟中心的“基本信息”选项卡,然后在下一个部分中继续填写站点到站点选项卡。 也可以创建空的虚拟中心(不包含任何网关的虚拟中心),然后在将来添加网关(S2S、P2S、ExpressRoute 等)。 创建虚拟中心后,即使你没有在虚拟中心内附加任何站点或创建任何网关,也会对该虚拟中心收取费用。
转到你创建的虚拟 WAN。 在虚拟 WAN 页左侧窗格上的“连接性”下,选择“中心”。
在“中心”页上,选择“+ 新建中心”以打开“创建虚拟中心”页 。
在“创建虚拟中心”页上的“基本”选项卡上,请填写以下字段 :
- 区域:选择要在其中部署虚拟中心的区域。
- 名称:想要用于称呼虚拟中心的名称。
- 中心专用地址空间:用 CIDR 表示法来表示的中心地址范围。 用于创建中心的最小地址空间为 /24。
- 虚拟中心容量:从下拉列表中选择。 有关详细信息,请参阅虚拟中心设置。
尚未创建虚拟中心。 继续学习下一部分以配置更多设置。
配置站点到站点网关
在本部分中,你会配置站点到站点连接设置,然后创建虚拟中心和站点到站点 VPN 网关。 创建虚拟中心和网关可能需要花费大约 30 分钟。
在“创建虚拟中心”页上,单击“站点到站点”以打开“站点到站点”选项卡。
在“站点到站点”选项卡上填写以下字段:
选择“是”以创建站点到站点 VPN。
AS 编号:“AS 编号”字段不可编辑。
网关缩放单元:从下拉列表中选择“网关缩放单元”值 。 缩放单元允许选择在虚拟中心内创建的、要将站点连接到的 VPN 网关的聚合吞吐量。
如果选择 1 个 500 Mbps 的缩放单元,则表示会创建两个实例以实现冗余,每个实例的最大吞吐量为 500 Mbps。 例如,如果你有 5 个分支,每个分支执行 10 Mbps 的 IO,则前端的聚合吞吐量需要达到 50 Mbps。 应在评估支持中心的分支数量所需的容量后,再规划 Azure VPN 网关的聚合容量。
选择“查看 + 创建”以进行验证。
选择“创建”以创建中心和网关。 此步骤可能最多需要 30 分钟。 30 分钟后,“刷新”以在“中心”页上查看该中心 。 选择“转到资源”导航到资源。
创建站点
在本部分,你将创建站点。 站点对应于你的物理位置。 请根据需要创建任意数量的站点。 例如,如果你在北京、上海和 LA 各有一个分支机构,请创建三个独立的站点。 这些站点包含本地 VPN 设备终结点。 在虚拟 WAN 中,每个虚拟中心最多可创建 1000 个站点。 如果有多个虚拟中心,则可以为每个虚拟中心创建 1000 个站点。 如果你有虚拟 WAN 合作伙伴 CPE 设备,请咨询这些合作伙伴以了解他们对 Azure 进行的自动化。 通常,自动化意味着只需执行简单的单击操作即可将大规模分支信息导出到 Azure 中,并设置从 CPE 到 Azure 虚拟 WAN VPN 网关的连接。 有关详细信息,请参阅从 Azure 到 CPE 合作伙伴的自动化指南。
导航到“虚拟 WAN”->“VPN 站点”以打开“VPN 站点”页面。
在“VPN 站点”页上,单击“+创建站点”。
在“创建 VPN 站点”页的“基本信息”选项卡上,填写以下字段:
区域:以前称为位置。 这是要在其中创建此站点资源的位置。
名称:要用于指代本地站点的名称。
设备供应商:VPN 设备供应商的名称(例如:Citrix、Cisco、Barracuda)。 添加设备供应商有助于 Azure 团队更好地了解你的环境,以便将来添加更多的可用优化选项,或帮助你进行故障排除。
专用地址空间:位于本地站点的 IP 地址空间。 发往此地址空间的流量将路由到本地站点。 如果没有为站点启用 BGP,则必须填写此字段。
注意
如果在创建站点后编辑地址空间(例如,添加额外的地址空间),则在重新创建组件时,可能需要 8-10 分钟来更新有效路由。
选择“链路”以在分支添加物理链路的信息。 如果有虚拟 WAN 合作伙伴 CPE 设备,请检查该设备,查看是否将此信息作为从其系统设置的分支信息上传的一部分与 Azure 进行交换。
链路名称:要在 VPN 站点为物理链路提供的名称。 例如:mylink1。
速度:这是 VPN 设备在分支位置的速度。 示例:50 表示 VPN 设备在分支站点的速度为 50 Mbps。
链路提供程序名称:物理链路在 VPN 站点的名称。 示例:ATT、Verizon。
链路 IP 地址/FQDN:使用此链路的本地设备的公共 IP 地址。 可以根据需要提供 ExpressRoute 后的本地 VPN 设备的专用 IP 地址。 你还可包括完全限定的域名。 例如 something.contoso.com。 应可从 VPN 网关解析 FQDN。 如果可通过 Internet 访问托管此 FQDN 的 DNS 服务器,此操作则是可行的。 如果同时指定了 IP 地址和 FQDN,将优先采用 IP 地址。
注意
每个 FQDN 支持一个 IPv4 地址。 如果 FQDN 要被解析为多个 IP 地址,VPN 网关将从列表中选取第一个 IP4 地址。 目前不支持 IPv6 地址。
VPN 网关维护一个 DNS 缓存,该缓存每 5 分钟刷新一次。 此网关仅尝试解析已断开连接的隧道的 FQDN。 重置网关或配置更改也可触发 FQDN 解析。
链路边界网关协议:在虚拟 WAN 链路上配置 BGP 等同于在 Azure 虚拟网络网关 VPN 上配置 BGP。 本地 BGP 对等节点地址不能与 VPN 到设备的公共 IP 地址或 VPN 站点的 VNet 地址空间相同。 在 VPN 设备上对 BGP 对等节点 IP 使用不同的 IP 地址。 它可以是分配给该设备上环回接口的地址。 在表示该位置的相应 VPN 站点中指定此地址。 有关 BGP 先决条件,请参阅关于 Azure VPN 网关的 BGP。 可随时编辑 VPN 链路连接来更新其 BGP 参数(链路上的对等互连 IP 和 AS 编号)。
可添加或删除更多链路。 支持每个 VPN 站点四条链路。 例如,如果在分支位置有四个 ISP(Internet 服务提供商),则可以创建四个链接。每个 ISP 一个链接,并为每个链接提供信息。
填写完这些字段后,选择“查看 + 创建”进行验证。 单击“创建”以创建站点。
转到“虚拟 WAN”。 在“VPN 站点”页上,应该能够看到创建的站点。 如果看不到站点,则需要调整筛选器。 单击“中心关联:”气泡中的“X”以清除筛选器。
清除筛选器后,即可查看站点。
将 VPN 站点连接到虚拟中心
在本部分中,你会将 VPN 站点连接到虚拟中心。
在“虚拟 WAN”页上,转到“中心”。
在“中心”页上,单击创建的中心。
在所创建中心的页面上的左窗格的“连接性”下,单击“VPN (站点到站点)”以打开“VPN 站点到站点”页。
在“VPN (站点到站点)”页上,应会看到你的站点。 如果没有看到,可能需要单击“中心关联:x”气泡以清除筛选器并查看站点。
选中站点名称旁边的复选框(不要直接单击站点名称),然后单击“连接 VPN 站点”。
在“连接站点”页上,配置设置。
预共享密钥 (PSK):输入 VPN 设备使用的预共享密钥。 如果未输入密钥,Azure 会自动生成一个。 随后在配置 VPN 设备时会使用该密钥。
协议和 IPsec:可以保留协议的默认设置 (IKEv2) 和 IPsec 的默认设置(默认值),也可以配置自定义设置。 有关详细信息,请参阅默认/自定义 IPsec。
传播默认路由:仅当知道要传播默认路由时,才将此设置更改为“启用”。 否则,请将其保留为“禁用”。 始终可以在以后修改此设置。
“启用”选项允许虚拟中心将获知的默认路由传播到此连接 。 只有当虚拟 WAN 中心由于在中心部署防火墙而获知默认路由或另一个连接的站点已启用强制隧道时,此标志才会将默认路由传播到连接。 默认路由不源自虚拟 WAN 中心。
使用基于策略的流量选择器:将此设置保留为“禁用”,除非配置与使用此设置的设备的连接。
配置流量选择器:保留默认值。 始终可以在以后修改此设置。
连接模式:保留默认值。 此设置用于决定哪个网关可以启动连接。
在页面底部,选择“连接”。
选择“连接”后,连接状态会显示“正在更新”。 在更新完成之后,站点会显示连接和连接状态。
连接预配状态:这是将 VPN 站点连接到 Azure 中心 VPN 网关的连接的 Azure 资源状态。 控制平面操作成功后,Azure VPN 网关和本地 VPN 设备将继续建立连接。
连接状态:这是中心和 VPN 站点中 Azure VPN 网关之间的实际连接(数据路径)状态。 更新完成后,它可以显示以下任何状态:
- 未知:如果后端系统正在转换到另一状态,则通常会显示此状态。
- 正在连接:Azure VPN 网关正在尝试连接实际的本地 VPN 站点。
- 已连接:VPN 网关和本地 VPN 站点之间已建立连接。
- 未连接:未建立连接。
- 断开连接:如果(在本地或 Azure 中)出于任何原因连接断开,则会显示此状态。
如果要更改站点,请选中站点名称旁边的复选框(不要直接单击站点名称),然后单击“...”上下文菜单。
在此页中,可以执行以下操作:
- 编辑指向此中心的 VPN 连接。
- 删除指向此中心的 VPN 连接。
- 下载特定于此站点的 VPN 配置文件。 如果你转而想要下载连接到此中心的站点的配置文件,请从页面顶部的菜单中选择“下载 VPN 配置”。
将 VNet 连接到虚拟中心
在本部分中,你将在虚拟中心与虚拟网络之间创建连接。
在 Azure 门户中,转到“虚拟 WAN”,在左侧窗格中,选择“虚拟网络连接”。
在“虚拟网络连接”页上,选择“+ 添加连接”。
在“添加连接”页上,配置连接设置。 有关路由设置的信息,请参阅关于路由。
- 连接名称:为连接命名。
- 中心:选择要与此连接关联的中心。
- 订阅:验证订阅。
- 资源组:选择包含要连接的虚拟网络的资源组。
- 虚拟网络:选择要连接到此中心的虚拟网络。 选择的虚拟网络不能包含现有的虚拟网络网关。
- 不传播到任何内容:默认设置为“否”。 将开关更改为“是”会使“传播到路由表”和“传播到标签”的配置选项对配置不可用 。
- 关联路由表:从下拉列表中,可以选择要关联的路由表。
- 传播到标签:标签是路由表的逻辑组。 对于此设置,请从下拉列表中选择。
- 静态路由:如有必要,请配置静态路由。 为网络虚拟设备配置静态路由(如果适用)。 对于虚拟网络连接中的静态路由,虚拟 WAN 支持单个下一跃点 IP。 例如,如果你有一个单独的虚拟设备用于入口和出口流量,则最好将虚拟设备置于单独的 VNet 中,并将 VNet 连接到虚拟中心。
- 绕过此 VNet 中的工作负载的下一个跃点 IP:此设置允许将 NVA 和其他工作负载部署到同一个 VNet 中,而无需强制所有流量通过 NVA。 只有在配置新连接时,才能配置此设置。 如果要将此设置用于已创建的连接,请删除该连接,然后添加新连接。
完成要配置的设置后,单击“创建”以创建连接。
下载 VPN 配置
使用 VPN 设备配置文件来配置本地 VPN 设备。 下面是基本步骤:
从“虚拟 WAN”页转到“中心”-> 你的虚拟中心 ->“VPN (站点到站点)”页。
在“VPN (站点到站点)”页面顶部,单击“下载 VPN 配置”。你会看到一系列消息,因为 Azure 会在资源组“microsoft-network-[location]”中新建一个存储帐户,其中,location 是 WAN 的位置。 还可以通过单击“使用现有”并添加启用了写入权限的有效 SAS URL 来添加现有存储帐户。 若要详细了解如何创建新的 SAS URL,请参阅生成 SAS URL。
创建完文件后,请单击相应的链接以下载该文件。 这会在提供的 SAS url 位置新建一个具有 VPN 配置的文件。 若要了解该文件的内容,请参阅本部分中的关于 VPN 设备服务配置文件。
将配置应用到本地 VPN 设备。 有关详细信息,请参阅本部分中的 VPN 设备配置。
将配置应用于 VPN 设备之后,你无需保留你已创建的存储帐户。
关于 VPN 设备配置文件
设备配置文件包含配置本地 VPN 设备时要使用的设置。 查看此文件时,请留意以下信息:
vpnSiteConfiguration - 此部分表示当站点连接到虚拟 WAN 时设置的设备详细信息。 其中包括分支设备的名称和公共 IP 地址。
vpnSiteConnections - 此部分提供以下设置的信息:
虚拟中心的虚拟网络的地址空间。
示例:"AddressSpace":"10.1.0.0/24"
连接到虚拟中心的虚拟网络的地址空间。
示例:"ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
虚拟中心 vpngateway 的 IP 地址。 由于每个 vpngateway 连接由采用主动 - 主动配置的 2 个隧道构成,因此,此文件中列出了这两个 IP 地址。 在此示例中,可以看到为每个站点指定了“Instance0”和“Instance1”。
示例:"Instance0":"104.45.18.186" "Instance1":"104.45.13.195"
Vpngateway 连接配置详细信息,例如 BGP、预共享密钥等。PSK 是自动生成的预共享密钥。 始终可以在“概述”页中为自定义 PSK 编辑连接。
示例设备配置文件
{
"configurationVersion":{
"LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
"Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
},
"vpnSiteConfiguration":{
"Name":"testsite1",
"IPAddress":"73.239.3.208"
},
"vpnSiteConnections":[
{
"hubConfiguration":{
"AddressSpace":"10.1.0.0/24",
"Region":"China East 2",
"ConnectedSubnets":[
"10.2.0.0/16",
"10.3.0.0/16"
]
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"203.0.113.186",
"Instance1":"203.0.113.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
"IPsecParameters":{
"SADataSizeInKilobytes":102400000,
"SALifeTimeInSeconds":3600
}
}
}
]
},
{
"configurationVersion":{
"LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
"Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
},
"vpnSiteConfiguration":{
"Name":" testsite2",
"IPAddress":"198.51.100.122"
},
"vpnSiteConnections":[
{
"hubConfiguration":{
"AddressSpace":"10.1.0.0/24",
"Region":"China East 2"
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"203.0.113.186",
"Instance1":"203.0.113.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
"IPsecParameters":{
"SADataSizeInKilobytes":102400000,
"SALifeTimeInSeconds":3600
}
}
}
]
},
{
"configurationVersion":{
"LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
"Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
},
"vpnSiteConfiguration":{
"Name":" testsite3",
"IPAddress":"192.0.2.228"
},
"vpnSiteConnections":[
{
"hubConfiguration":{
"AddressSpace":"10.1.0.0/24",
"Region":"China East 2"
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"203.0.113.186",
"Instance1":"203.0.113.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
"IPsecParameters":{
"SADataSizeInKilobytes":102400000,
"SALifeTimeInSeconds":3600
}
}
}
]
}
配置 VPN 设备
注意
如果正在使用虚拟 WAN 合作伙伴解决方案,则会自动进行 VPN 设备配置。 设备控制器将从 Azure 获取配置文件并应用于设备以设置与 Azure 的连接。 这意味着,无需知道如何手动配置 VPN 设备。
如需有关如何配置设备的说明,可以使用 VPN 设备配置脚本页中的说明,并注意以下事项:
VPN 设备页上的说明不是针对虚拟 WAN 编写的,但你可以使用配置文件中的虚拟 WAN 值来手动配置 VPN 设备。
适用于 VPN 网关的可下载设备配置脚本并不适用于虚拟 WAN,因为配置不同。
新的虚拟 WAN 可以同时支持 IKEv1 和 IKEv2。
虚拟 WAN 可以使用基于策略和基于路由的 VPN 设备和设备说明。
查看或编辑网关设置
可以随时查看和编辑 VPN 网关设置。 转到“虚拟中心”->VPN (站点到站点)”,然后单击“网关配置”。
在“编辑 VPN 网关”页上,可以看到以下设置:
公共 IP 地址:由 Azure 分配。
专用 IP 地址:由 Azure 分配。
默认 BGP IP 地址:由 Azure 分配。
自定义 BGP IP 地址:此字段保留给 APIPA(自动专用 IP 寻址)。 Azure 支持介于 169.254.21.* 与 169.254.22.* 范围之间的 BGP IP。 Azure 接受这些范围内的 BGP 连接,但会使用默认的 BGP IP 拨号连接。 用户可以为每个实例指定多个自定义 BGP IP 地址。 不应对这两个实例使用相同的自定义 BGP IP 地址。
清理资源
当不再需要所创建的资源时,请将其删除。 由于存在依赖关系,必须按特定顺序删除某些虚拟 WAN 资源。 大约需要 30 分钟才能完成删除。
Remove-AzResourceGroup -Name myResourceGroup -Force
后续步骤
接下来,若要详细了解虚拟 WAN,请参阅: