Een site-naar-site-verbinding toevoegen aan een VNet met een bestaande VPN-gatewayverbinding (klassiek)

  • Artikel

Dit artikel begeleidt u bij het gebruik van PowerShell om site-naar-site-verbindingen (S2S) toe te voegen aan een VPN-gateway die een bestaande verbinding heeft met het klassieke (verouderde) implementatiemodel. Dit type verbinding wordt soms aangeduid als een configuratie met meerdere sites. Deze stappen zijn niet van toepassing op gelijktijdige verbindingsconfiguraties voor ExpressRoute/site-naar-site.

De stappen in dit artikel zijn van toepassing op het klassieke (verouderde) implementatiemodel en zijn niet van toepassing op het huidige implementatiemodel, Resource Manager. Tenzij u specifiek in het klassieke implementatiemodel wilt werken, raden we u aan de Resource Manager-versie van dit artikel te gebruiken.

Notitie

Dit artikel is geschreven voor het klassieke (verouderde) implementatiemodel. U wordt aangeraden in plaats daarvan het meest recente Azure-implementatiemodel te gebruiken. Het Resource Manager-implementatiemodel is het nieuwste implementatiemodel en biedt meer opties en functiecompatibiliteit dan het klassieke implementatiemodel. Zie Implementatiemodellen en de status van uw resources begrijpen om inzicht te krijgen in het verschil tussen deze twee implementatiemodellen.

Als u een andere versie van dit artikel wilt gebruiken, gebruikt u de inhoudsopgave in het linkerdeelvenster.

Verbinding maken

U kunt meerdere on-premises sites verbinden met één virtueel netwerk. Dit is vooral aantrekkelijk voor het bouwen van hybride cloudoplossingen. Het maken van een multi-siteverbinding met uw virtuele Azure-netwerkgateway is vergelijkbaar met het maken van andere site-naar-site-verbindingen. U kunt zelfs een bestaande Azure VPN-gateway gebruiken, zolang de gateway dynamisch is (op route gebaseerd).

Als u al een statische gateway hebt verbonden met uw virtuele netwerk, kunt u het gatewaytype dynamisch wijzigen zonder dat u het virtuele netwerk opnieuw hoeft op te bouwen om ruimte te bieden aan meerdere sites. Voordat u het routeringstype wijzigt, moet u ervoor zorgen dat uw on-premises VPN-gateway op route gebaseerde VPN-configuraties ondersteunt.

Diagram showing classic multi-site connection architecture.

Punten om in overweging te nemen

U kunt de portal niet gebruiken om wijzigingen aan te brengen in dit virtuele netwerk. U moet wijzigingen aanbrengen in het netwerkconfiguratiebestand in plaats van de portal te gebruiken. Als u wijzigingen aanbrengt in de portal, worden uw referentie-instellingen voor meerdere sites voor dit virtuele netwerk overschreven.

Het is handig om het netwerkconfiguratiebestand te gebruiken op het moment dat u de procedure voor meerdere sites hebt voltooid. Als u echter meerdere personen hebt die aan uw netwerkconfiguratie werken, moet u ervoor zorgen dat iedereen over deze beperking weet. Dit betekent niet dat u de portal helemaal niet kunt gebruiken. U kunt het gebruiken voor alles anders, behalve het aanbrengen van configuratiewijzigingen in dit specifieke virtuele netwerk.

Voordat u begint

Controleer voordat u begint met de configuratie of u het volgende hebt:

  • Compatibele VPN-hardware voor elke on-premises locatie. Controleer over VPN-apparaten voor virtuele netwerken Verbinding maken iviteit om te controleren of het apparaat dat u wilt gebruiken iets is dat bekend is dat compatibel is.
  • Een extern gericht openbaar IPv4-IP-adres voor elk VPN-apparaat. Het IP-adres kan zich niet achter een NAT bevinden. Dit is een vereiste.
  • Iemand die bedreven is in het configureren van uw VPN-hardware. U moet een goed begrip hebben van het configureren van uw VPN-apparaat of met iemand die dat doet.
  • De IP-adresbereiken die u wilt gebruiken voor uw virtuele netwerk (als u er nog geen hebt gemaakt).
  • De IP-adresbereiken voor elk van de lokale netwerksites waarmee u verbinding maakt. U moet ervoor zorgen dat de IP-adresbereiken voor elk van de lokale netwerksites waarmee u verbinding wilt maken, niet overlappen. Anders weigert de portal of de REST API de configuratie die wordt geüpload.
    Als u bijvoorbeeld twee lokale netwerksites hebt die beide het IP-adresbereik 10.2.3.0/24 bevatten en u een pakket met een doeladres 10.2.3.3 hebt, weet Azure niet naar welke site u het pakket wilt verzenden omdat de adresbereiken overlappen. Om routeringsproblemen te voorkomen, kunt u in Azure geen configuratiebestand met overlappende bereiken uploaden.

Werken met Azure PowerShell

Wanneer u met het klassieke implementatiemodel werkt, kunt u Azure Cloud Shell niet gebruiken. In plaats daarvan moet u de nieuwste versie van de PowerShell-cmdlets van Azure Service Management (SM) lokaal op uw computer installeren. Deze cmdlets verschillen van de AzureRM- of Az-cmdlets. Zie Service Management-cmdlets installeren om de SM-cmdlets te installeren. Zie de Documentatie voor Azure PowerShell voor meer informatie over Azure PowerShell in het algemeen.

1. Een site-naar-site-VPN maken

Als u al een site-naar-site-VPN hebt met een dynamische routeringsgateway, geweldig! U kunt doorgaan met het exporteren van de configuratie-instellingen voor het virtuele netwerk. Ga als volgt te werk als dat niet het volgende is:

Als u al een virtueel site-naar-site-netwerk hebt, maar wel een statische (op beleid gebaseerde) routeringsgateway heeft:

  1. Wijzig uw gatewaytype in dynamische routering. Een VPN met meerdere sites vereist een dynamische routeringsgateway (ook wel routegebaseerde gateway genoemd). Als u het gatewaytype wilt wijzigen, moet u eerst de bestaande gateway verwijderen en vervolgens een nieuw gateway maken.
  2. Configureer uw nieuwe gateway en maak uw VPN-tunnel. Zie De SKU en het VPN-type opgeven voor instructies. Zorg ervoor dat u het routeringstype opgeeft als Dynamisch.

Als u geen virtueel site-naar-site-netwerk hebt:

  1. Maak uw virtuele site-naar-site-netwerk met behulp van deze instructies: Maak een virtueel netwerk met een site-naar-site-VPN-Verbinding maken ion.
  2. Configureer een dynamische routeringsgateway met behulp van deze instructies: Een VPN-gateway configureren. Zorg ervoor dat u dynamische routering selecteert voor uw gatewaytype.

2. Het netwerkconfiguratiebestand exporteren

Open uw PowerShell-console met verhoogde rechten. Gebruik deze opdracht om over te schakelen naar servicebeheer:

azure config mode asm

Maak verbinding met uw account. Gebruik het volgende voorbeeld als hulp bij het maken van de verbinding:

Add-AzureAccount

Exporteer uw Azure-netwerkconfiguratiebestand door de volgende opdracht uit te voeren. U kunt de locatie van het bestand zo nodig wijzigen om naar een andere locatie te exporteren.

Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

3. Open het netwerkconfiguratiebestand

Open het netwerkconfiguratiebestand dat u in de laatste stap hebt gedownload. Gebruik een XML-editor die u wilt gebruiken. Het bestand moet er ongeveer als volgt uitzien:

<NetworkConfiguration xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
  <VirtualNetworkConfiguration>
    <LocalNetworkSites>
      <LocalNetworkSite name="Site1">
        <AddressSpace>
          <AddressPrefix>10.0.0.0/16</AddressPrefix>
          <AddressPrefix>10.1.0.0/16</AddressPrefix>
        </AddressSpace>
        <VPNGatewayAddress>131.2.3.4</VPNGatewayAddress>
      </LocalNetworkSite>
      <LocalNetworkSite name="Site2">
        <AddressSpace>
          <AddressPrefix>10.2.0.0/16</AddressPrefix>
          <AddressPrefix>10.3.0.0/16</AddressPrefix>
        </AddressSpace>
        <VPNGatewayAddress>131.4.5.6</VPNGatewayAddress>
      </LocalNetworkSite>
    </LocalNetworkSites>
    <VirtualNetworkSites>
      <VirtualNetworkSite name="VNet1" AffinityGroup="USWest">
        <AddressSpace>
          <AddressPrefix>10.20.0.0/16</AddressPrefix>
          <AddressPrefix>10.21.0.0/16</AddressPrefix>
        </AddressSpace>
        <Subnets>
          <Subnet name="FE">
            <AddressPrefix>10.20.0.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="BE">
            <AddressPrefix>10.20.1.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="GatewaySubnet">
            <AddressPrefix>10.20.2.0/29</AddressPrefix>
          </Subnet>
        </Subnets>
        <Gateway>
          <ConnectionsToLocalNetwork>
            <LocalNetworkSiteRef name="Site1">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
          </ConnectionsToLocalNetwork>
        </Gateway>
      </VirtualNetworkSite>
    </VirtualNetworkSites>
  </VirtualNetworkConfiguration>
</NetworkConfiguration>

4. Meerdere siteverwijzingen toevoegen

Wanneer u siteverwijzingsgegevens toevoegt of verwijdert, moet u configuratiewijzigingen aanbrengen in de Verbinding maken ionsToLocalNetwork/LocalNetworkSiteRef. Door een nieuwe lokale sitereferentie toe te voegen, wordt Azure geactiveerd om een nieuwe tunnel te maken. In het onderstaande voorbeeld is de netwerkconfiguratie bedoeld voor een verbinding met één site. Sla het bestand op zodra u klaar bent met het aanbrengen van uw wijzigingen.

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

Als u aanvullende siteverwijzingen wilt toevoegen (een configuratie voor meerdere sites wilt maken), voegt u gewoon extra regels 'LocalNetworkSiteRef' toe, zoals wordt weergegeven in het onderstaande voorbeeld:

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
      <LocalNetworkSiteRef name="Site2"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

5. Importeer het netwerkconfiguratiebestand

Importeer het netwerkconfiguratiebestand. Wanneer u dit bestand importeert met de wijzigingen, worden de nieuwe tunnels toegevoegd. De tunnels gebruiken de dynamische gateway die u eerder hebt gemaakt. U kunt PowerShell gebruiken om het bestand te importeren.

6. Sleutels downloaden

Zodra uw nieuwe tunnels zijn toegevoegd, gebruikt u de PowerShell-cmdlet Get-AzureVNetGatewayKey om de vooraf gedeelde IPsec-/IKE-sleutels voor elke tunnel op te halen.

Bijvoorbeeld:

Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site1"
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site2"

Als u wilt, kunt u ook de REST API voor gedeelde sleutel ophalen van virtuele netwerkgateway gebruiken om de vooraf gedeelde sleutels op te halen.

7. Controleer uw verbindingen

Controleer de tunnelstatus voor meerdere sites. Nadat u de sleutels voor elke tunnel hebt gedownload, wilt u de verbindingen controleren. Gebruik 'Get-AzureVnet Verbinding maken ion' om een lijst met virtuele netwerktunnels op te halen, zoals wordt weergegeven in het volgende voorbeeld. VNet1 is de naam van het VNet.

Get-AzureVnetConnection -VNetName VNET1

Voorbeeld van retournering:

    ConnectivityState         : Connected
    EgressBytesTransferred    : 661530
    IngressBytesTransferred   : 519207
    LastConnectionEstablished : 5/2/2014 2:51:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site1' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site1
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7f68a8e6-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

    ConnectivityState         : Connected
    EgressBytesTransferred    : 789398
    IngressBytesTransferred   : 143908
    LastConnectionEstablished : 5/2/2014 3:20:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site2' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site2
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7893b329-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

Volgende stappen

Zie Over VPN Gateways voor meer informatie over VPN Gateways.