教程:使用 Azure 虚拟 WAN 创建站点到站点连接

本教程介绍如何使用虚拟 WAN 通过 IPsec/IKE(IKEv1 和 IKEv2)VPN 连接来与 Azure 中的资源建立连接。 此类型的连接要求位于本地的 VPN 设备分配有一个面向外部的公共 IP 地址。 有关虚拟 WAN 的详细信息,请参阅虚拟 WAN 概述

本教程介绍如何执行下列操作:

  • 创建虚拟 WAN
  • 创建中心
  • 创建站点
  • 将站点连接到中心
  • 将 VPN 站点连接到中心
  • 将 VNet 连接到中心
  • 下载配置文件
  • 配置 VPN 网关

备注

如果你有多个站点,则通常会使用虚拟 WAN 合作伙伴来创建此配置。 但是,如果你熟悉网络技术并能够熟练配置自己的 VPN 设备,则可以自行创建此配置。

屏幕截图显示虚拟 WAN 的网络关系图。

先决条件

在开始配置之前,请验证你是否符合以下条件:

  • 你拥有一个要连接到的虚拟网络。 确认本地网络的任何子网都不会与要连接到的虚拟网络重叠。 若要在 Azure 门户中创建虚拟网络,请参阅快速入门

  • 虚拟网络不包含任何虚拟网络网关。 如果虚拟网络包含网关(VPN 或 ExpressRoute),则必须删除所有网关。 此配置要求将虚拟网络改为连接到虚拟 WAN 中心网关。

  • 获取中心区域的 IP 地址范围。 该中心是虚拟 WAN 创建和使用的虚拟网络。 为中心指定的地址范围不能与要连接到的任何现有虚拟网络重叠。 此外,它也不能与本地连接到的地址范围重叠。 如果不熟悉本地网络配置中的 IP 地址范围,则咨询能够提供此类详细信息的人员。

  • 如果没有 Azure 订阅,请创建一个试用版订阅

创建虚拟 WAN

从浏览器导航到 Azure 门户并使用 Azure 帐户登录。

  1. 在门户中,选择“+ 创建资源”。 在搜索框中键入“虚拟 WAN”,然后选择“Enter” 。

  2. 从结果中选择“虚拟 WAN”。 在“虚拟 WAN”页上,选择“创建”以打开“创建 WAN”页。

  3. 在“创建 WAN”页的“基本信息”选项卡上,填写以下字段 :

    屏幕截图显示已选择“基本”选项卡的“创建 WAN”窗格。

    • 订阅 - 选择要使用的订阅。
    • 资源组 - 新建资源组或使用现有的资源组。
    • 资源组位置 - 从下拉列表中选择资源位置。 WAN 是一个全局资源,不会驻留在某个特定区域。 但是,必须选择一个区域才能管理和查找所创建的 WAN 资源。
    • 名称 - 键入要用于称呼 WAN 的名称。
    • 类型 - 免费、基本或标准。 选择“标准”。 如果选择基本 VWAN,请了解基本 VWAN 只能包含基本中心,这会将连接类型限制为站点到站点。
  4. 填写完字段后,单击“审阅 + 创建”。

  5. 验证通过后,选择“创建”以创建虚拟 WAN。

创建中心

中心是一种虚拟网络,可包含适用于站点到站点、ExpressRoute 或点到站点功能的网关。 创建中心后,即使你没有附加任何站点,也会对该中心收取费用。

  1. 找到创建的虚拟 WAN。 在虚拟 WAN 页上的“连接”部分下,选择“中心” 。

  2. 在“中心”页上,选择“+ 新建中心”以打开“创建虚拟中心”页 。

    基础知识

  3. 在“创建虚拟中心”页上的“基本”选项卡上,请填写以下字段 :

    项目详细信息

    • 区域(之前称为位置)
    • 名称
    • 中心专用地址空间。 用于创建中心的最小地址空间是 /24,这表示在创建过程中从 /25 到 /32 的任何范围都将产生错误。 Azure 虚拟 WAN 是一项 Azure 托管服务,它在虚拟中心为不同的网关/服务(如 VPN 网关、ExpressRoute 网关、用户 VPN/点到站点网关、防火墙、路由等)创建相应的子网。 用户无需在虚拟中心内为各项服务显式规划子网地址空间,因为 Azure 会将其作为服务的一部分完成。
  4. 在完成时选择“下一步:站点到站点”。

    站点到站点

  5. 在“站点到站点”选项卡上填写以下字段:

    • 选择“是”以创建站点到站点 VPN。
    • 暂时无法在虚拟中心编辑“AS 编号”字段。
    • 从下拉列表中选择“网关缩放单元”。 缩放单元允许选择在虚拟中心内创建的、要将站点连接到的 VPN 网关的聚合吞吐量。 如果选择 1 个 500 Mbps 的缩放单元,则表示会创建两个实例以实现冗余,每个实例的最大吞吐量为 500 Mbps。 例如,如果你有 5 个分支,每个分支执行 10 Mbps 的 IO,则前端的聚合吞吐量需要达到 50 Mbps。 应在评估支持中心的分支数量所需的容量后,再规划 Azure VPN 网关的聚合容量。
  6. 选择“查看 + 创建”以进行验证。

  7. 选择“创建”以创建中心。 30 分钟后,“刷新”以在“中心”页上查看该中心 。 选择“转到资源”导航到资源。

创建站点

在本部分,你将创建站点。 站点对应于你的物理位置。 请根据需要创建任意数量的站点。 例如,如果你在纽约、伦敦和洛杉矶各有一个分支机构,请创建三个独立的站点。 这些站点包含本地 VPN 设备终结点。 在虚拟 WAN 中,每个虚拟中心最多可创建 1000 个站点。 如果有多个中心,则可以为每个中心创建 1000 个站点。 如果你有虚拟 WAN 合作伙伴 CPE 设备,请咨询这些合作伙伴以了解他们对 Azure 进行的自动化。 通常,自动化意味着只需执行简单的单击操作即可将大规模分支信息导出到 Azure 中,并设置从 CPE 到 Azure 虚拟 WAN VPN 网关的连接。 有关详细信息,请参阅从 Azure 到 CPE 合作伙伴的自动化指南

  1. 在虚拟 WAN 的“门户”页上,选择“连接”部分中的“VPN 站点”以开打“VPN 站点”页 。

  2. 在“VPN 站点”页上,单击“+创建站点”。

    屏幕截图显示“创建 VPN 站点”窗格处于打开状态的“VPN 站点到站点”窗口。

  3. 在“创建 VPN 站点”页的“基本信息”选项卡上,填写以下字段 :

    • 区域 - 之前称为位置。 这是要在其中创建此站点资源的位置。

    • 名称 - 本地站点的名称。

    • 设备供应商 - VPN 设备供应商的名称(例如:Citrix、Cisco、Barracuda)。 这有助于 Azure 团队更好地了解你的环境,以便将来添加更多的可用优化选项,或帮助你进行故障排除。

    • 边界网关协议 - 启用意味着来自站点的所有连接都将启用 BGP。 最后将从“链路”部分的 VPN 站点设置每条链路的 BGP 信息。 在虚拟 WAN 上配置 BGP 就等同于在 Azure 虚拟网络网关 VPN 上配置 BGP。 本地 BGP 对等节点地址不能与 VPN 到设备的公共 IP 地址或 VPN 站点的 VNet 地址空间相同。 在 VPN 设备上对 BGP 对等节点 IP 使用不同的 IP 地址。 它可以是分配给该设备上环回接口的地址。在表示该位置的相应 VPN 站点中指定此地址。 有关 BGP 先决条件,请参阅关于 Azure VPN 网关的 BGP。 启用 VPN 站点 BGP 设置后,始终可以编辑 VPN 连接以更新其 BGP 参数(链路上的对等互连 IP 和 AS 编号)。

    • 专用地址空间 - 位于本地站点的 IP 地址空间。 发往此地址空间的流量将路由到本地站点。 如果没有为站点启用 BGP,则必需填写此字段。

      备注

      如果在创建站点后编辑地址空间(例如,添加额外的地址空间),则在重新创建组件时,可能需要 8-10 分钟来更新有效路由。

    • 中心 - 希望站点连接到的中心。 站点只能连接到具有 VPN 网关的中心。 如果看不到中心,请先在相应的中心内创建 VPN 网关。

  4. 选择“链路”以在分支添加物理链路的信息。 如果有虚拟 WAN 合作伙伴 CPE 设备,请检查该设备,查看是否将此信息作为从其系统设置的分支信息上传的一部分与 Azure 进行交换。

    屏幕截图显示已选择“链接”选项卡的“创建 VPN 站点”窗格。

    • 链路名称 - 要在 VPN 站点为物理链路提供的名称。 例如:mylink1。

    • 提供程序名称 - 物理链路在 VPN 站点的的名称。 示例:ATT、Verizon。

    • 速度 - 这是 VPN 设备在分支位置的速度。 示例:50 表示 VPN 设备在分支站点的速度为 50 Mbps。

    • IP 地址/FQDN - 使用此链路的本地设备的公共 IP 地址。 可以根据需要提供 ExpressRoute 后的本地 VPN 设备的专用 IP 地址。 你还可包括完全限定的域名。 例如 something.contoso.com。 应可从 VPN 网关解析 FQDN。 如果可通过 Internet 访问托管此 FQDN 的 DNS 服务器,此操作则是可行的。 如果同时指定了 IP 地址和 FQDN,将优先采用 IP 地址。

      备注

      • 每个 FQDN 支持一个 IPv4 地址。 如果 FQDN 要被解析为多个 IP 地址,VPN 网关将从列表中选取第一个 IP4 地址。 目前不支持 IPv6 地址。
      • VPN 网关维护一个 DNS 缓存,该缓存每 5 分钟刷新一次。 此网关仅尝试解析已断开连接的隧道的 FQDN。 重置网关或配置更改也可触发 FQDN 解析。
  5. 可以使用复选框删除或添加其他链路。 支持每个 VPN 站点四条链路。 例如,如果在分支位置有四个 ISP(Internet 服务提供商),则可以创建四条链路。 每个 ISP 一条链路,并为每条链路提供信息。

  6. 填写完这些字段后,选择“查看 + 创建”来验证和创建站点。

  7. 在“VPN 站点”页查看状态。 站点将转到“所需的连接”,因为该站点尚未连接到中心。

将 VPN 站点连接到中心

此步骤将 VPN 站点连接到中心。

  1. 选择“连接 VPN 站点”来打开“连接站点”页 。

    屏幕截图显示“虚拟中心”的“连接站点”窗格,已准备好预共享密钥和相关设置。

    完成以下字段:

    • 输入预共享密钥。 如果未输入密钥,Azure 会自动生成一个。
    • 选择“协议”和“IPsec 设置”。 有关详细信息,请参阅默认/自定义 IPsec
    • 选择适合“传播默认路由”的选项 。 “启用”选项允许虚拟中心将获知的默认路由传播到此连接 。 只有当虚拟 WAN 中心由于在中心部署防火墙而获知默认路由或另一个连接的站点已启用强制隧道时,此标志才会将默认路由传播到连接。 默认路由不源自虚拟 WAN 中心。
  2. 选择“连接” 。

  3. 几分钟后,该站点将显示连接和连接状态。

    屏幕截图显示“VPN 站点到站点”连接和连接状态。

    连接状态: 这是将 VPN 站点连接到 Azure 中心 VPN 网关的连接的 Azure 资源状态。 控制平面操作成功后,Azure VPN 网关和本地 VPN 设备将继续建立连接。

    连接状态: 这是中心和 VPN 站点中 Azure VPN 网关之间的实际连接(数据路径)状态。 可以显示以下任一状态:

    • 未知 :如果后端系统正在转换到另一状态,则通常会显示此状态。
    • 连接 :Azure VPN 网关正在尝试连接实际的本地 VPN 站点。
    • 已连接 :Azure VPN 网关和本地 VPN 站点之间已建立连接。
    • 断开连接 :如果(在本地或 Azure 中)出于任何原因连接断开,则会显示此状态。
  4. 在中心 VPN 站点内,还可以根据情况执行以下操作:

    • 编辑或删除 VPN 连接。
    • 在 Azure 门户中删除站点。
    • 使用站点旁的上下文 (…) 菜单下载特定于分支的配置以获取有关 Azure 端的详细信息。 如果要为中心内所有连接的站点下载配置,请在顶部菜单选择“下载 VPN 配置” 。

将 VNet 连接到中心

本部分将在中心与 VNet 之间创建连接。

此步骤在中心与 VNet 之间创建互连。 针对要连接的每个 VNet 重复这些步骤。

  1. 在虚拟 WAN 的页面上,选择“虚拟网络连接”。

  2. 在虚拟网络连接页上,选择“+ 添加连接”。

  3. 在“添加连接”页上填写以下字段:

    • 连接名称 - 为连接命名。
    • 中心 - 选择要与此连接关联的中心。
    • 订阅 - 验证订阅。
    • 虚拟网络 - 选择要连接到此中心的虚拟网络。 此虚拟网络不能包含现有的虚拟网络网关。
  4. 单击“确定”以创建连接。

下载 VPN 配置

使用 VPN 设备配置来配置本地 VPN 设备。

  1. 在虚拟 WAN 的页面上,单击“概述”。
  2. 在“中心 ->VPNSite”页的顶部,单击“下载 VPN 配置”。Azure 会在资源组“microsoft-network-[location]”中创建一个存储帐户,其中,location 是 WAN 的位置。 将配置应用到 VPN 设备后,可以删除此存储帐户。
  3. 完成创建文件后,可以单击相应的链接下载该文件。
  4. 将配置应用到本地 VPN 设备。

关于 VPN 设备配置文件

设备配置文件包含配置本地 VPN 设备时要使用的设置。 查看此文件时,请留意以下信息:

  • vpnSiteConfiguration - 此部分表示当站点连接到虚拟 WAN 时设置的设备详细信息。 它包含分支设备的名称和公共 IP 地址。

  • vpnSiteConnections - 此部分提供以下设置的信息:

    • 虚拟中心 VNet 的地址空间 。
      示例:

      "AddressSpace":"10.1.0.0/24"
      
    • 已连接到中心的 VNet 的地址空间 。
      示例:

      "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
      
    • 虚拟中心 vpngateway 的 IP 地址。 由于 vpngateway 的每个连接由采用主动 - 主动配置的 2 个隧道构成,因此,此文件中列出了这两个 IP 地址。 在此示例中,可以看到为每个站点指定了“Instance0”和“Instance1”。
      示例:

      "Instance0":"104.45.18.186"
      "Instance1":"104.45.13.195"
      
    • Vpngateway 连接配置详细信息,例如 BGP、预共享密钥等。PSK 是自动生成的预共享密钥。 始终可以在“概述”页中为自定义 PSK 编辑连接。

示例设备配置文件

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"China East 2",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"China East 2"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"China East 2"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

配置 VPN 设备

备注

如果正在使用虚拟 WAN 合作伙伴解决方案,则会自动进行 VPN 设备配置。 设备控制器将从 Azure 获取配置文件并应用于设备以设置与 Azure 的连接。 这意味着,无需知道如何手动配置 VPN 设备。

如需有关如何配置设备的说明,可以使用 VPN 设备配置脚本页中的说明,并注意以下事项:

  • VPN 设备页上的说明不是针对虚拟 WAN 编写的,但你可以使用配置文件中的虚拟 WAN 值来手动配置 VPN 设备。
  • 适用于 VPN 网关的可下载设备配置脚本并不适用于虚拟 WAN,因为配置不同。
  • 新的虚拟 WAN 可以同时支持 IKEv1 和 IKEv2。
  • 虚拟 WAN 可以使用基于策略和基于路由的 VPN 设备和设备说明。

配置 VPN 网关

你可以随时选择“查看/配置”来查看和配置 VPN 网关设置。

显示“VPN (站点到站点)”页的屏幕截图,其中箭头指向“查看/配置”操作。

在“编辑 VPN 网关”页上,可以看到以下设置:

  • VPN 网关公共 IP 地址(由 Azure 分配)

  • VPN 网关专用 IP 地址(由 Azure 分配)

  • VPN 网关默认 BGP IP 地址(由 Azure 分配)

  • 自定义 BGP IP 地址的配置选项:此字段保留给 APIPA(自动专用 IP 地址)。 Azure 支持 169.254.21.* 至 169.254.22.* 范围内的 BGP IP。 Azure 接受这些范围内的 BGP 连接,但会使用默认的 BGP IP 拨号连接。

    查看配置

清理资源

如果不再需要这些资源,可以使用 Remove-AzureRmResourceGroup 删除资源组及其包含的所有资源。 将“myResourceGroup”替换为资源组的名称,并运行以下 PowerShell 命令:

Remove-AzResourceGroup -Name myResourceGroup -Force

后续步骤

接下来,若要详细了解虚拟 WAN,请参阅: