添加或删除 VPN 网关站点到站点连接

本文有助于你添加或删除 VPN 网关的站点到站点 (S2S) 连接。 还可将 S2S 连接添加到已具有 S2S 连接、点到站点连接或 VNet 到 VNet 连接的 VPN 网关。 添加连接时,请注意一些限制。 在开始配置之前,请查看本文的先决条件部分以进行验证。

站点到站点 VPN 网关与多个站点的跨界连接示意图。

关于 ExpressRoute/站点到站点共存连接

  • 可以使用本文中的步骤将新的 VPN 连接添加到现有的 ExpressRoute/站点到站点共存连接。
  • 无法使用本文中的步骤配置新的 ExpressRoute/站点到站点共存连接。 要创建新的共同连接,请参阅 ExpressRoute/S2S 共存连接

先决条件

确认以下各项:

  • 你没有配置新的 ExpressRoute 和 VPN 网关站点到站点共存连接。
  • 有一个通过现有连接使用资源管理器部署模型创建的虚拟网络。
  • 虚拟网络的虚拟网络网关是 RouteBased 类型。 如果使用 PolicyBased VPN 网关,必须先删除虚拟网络网关,然后创建新的 RouteBased VPN 网关。
  • 此虚拟网络连接到的任何虚拟网络都不存在地址范围重叠的情况。
  • 有一台兼容的 VPN 设备,并且可对其进行配置。 请参阅 关于 VPN 设备。 如果不熟悉 VPN 设备的配置,或者不熟悉本地网络配置中的 IP 地址范围,则需咨询能够提供此类详细信息的人员。
  • VPN 设备有一个面向外部的公共 IP 地址。

创建本地网络网关

本地网络网关是部署到 Azure 的特定对象,该对象代表用于路由的本地位置(站点)。 可以为站点提供一个名称供 Azure 引用,并指定本地 VPN 设备的 IP 地址,以便创建一个连接来连接到该设备。 此外还可指定 IP 地址前缀,以便通过 VPN 网关将其路由到 VPN 设备。 指定的地址前缀是位于本地网络的前缀。 如果之后本地网络发生了更改,或需要更改 VPN 设备的公共 IP 地址,可轻松更新这些值。

使用以下示例值创建本地网络网关:

  • 名称: Site1
  • 资源组: TestRG1
  • 位置:中国东部 2

配置注意事项:

  • VPN 网关支持一个 FQDN 只使用一个 IPv4 地址。 如果域名解析为多个 IP 地址,VPN 网关会使用 DNS 服务器返回的第一个 IP 地址。 为了消除这种不确定性,建议你的 FQDN 始终解析为一个 IPv4 地址。 不支持 IPv6。
  • VPN 网关维护一个 DNS 缓存,该缓存每 5 分钟刷新一次。 此网关仅尝试解析已断开连接的隧道的 FQDN。 重置网关也触发 FQDN 解析。
  • 尽管 VPN 网关支持使用不同的 FQDN 多次连接到不同的本地网关,但所有 FQDN 都必须解析为不同的 IP 地址。
  1. 在门户中,转到“本地网络网关”,打开“创建本地网关”页

  2. 基本信息选项卡上,指定本地网络网关的值。

    显示创建一个具有 IP 地址的本地网关的屏幕截图。

    • 订阅:确保显示正确的订阅。
    • 资源组:选择要使用的资源组。 可以创建新的资源组或选择已创建的资源组。
    • 区域:选择此对象所在的区域。 可选择虚拟网络所在的位置,但这不是必须的。
    • 名称: 指定本地网络网关对象的名称。
    • 终结点:为本地 VPN 设备选择“IP 地址”或“FQDN (完全限定的域名)”作为终结点类型
      • IP 地址:如果你的 Internet 服务提供商 (ISP) 向你分配了可用于 VPN 设备的静态公共 IP 地址,那么请选择“IP 地址”选项。 填写示例所示的 IP 地址。 此地址是 Azure VPN 网关要连接的 VPN 设备的公共 IP 地址。 如果目前没有 IP 地址,可以使用示例中显示的值。 稍后必须返回来,将占位符 IP 地址替换为 VPN 设备的公共 IP 地址。 否则,Azure 无法进行连接。
      • FQDN:如果你有动态公共 IP 地址,且该地址可能会在某段时间(通常由你的 ISP 决定)后发生变化,那么你可对动态 DNS 服务使用常量 DNS 名称来指向你的 VPN 设备的当前公共 IP 地址。 你的 Azure VPN 网关会解析 FQDN 来确定要连接到的公共 IP 地址。
    • 地址空间:地址空间指的是此本地网络所代表的网络的地址范围。 可以添加多个地址空间范围。 请确保此处所指定的范围没有与要连接到的其他网络的范围相重叠。 Azure 会将你指定的地址范围路由到本地 VPN 设备 IP 地址。 如果需要连接到本地站点,请在此处使用自己的值,而不是示例中显示的值。
  3. 在“高级”选项卡上,可以根据需要配置 BGP 设置

  4. 指定值后,选择页面底部的“查看 + 创建”以验证页面

  5. 选择“创建”以创建本地网络网关对象。

配置 VPN 设备

通过站点到站点连接连接到本地网络需要 VPN 设备。 在此步骤中,请配置 VPN 设备。 配置 VPN 设备时,需要以下值:

  • 共享密钥。 此共享密钥就是在创建站点到站点 VPN 连接时指定的共享密钥。 在示例中,我们使用基本的共享密钥。 建议生成更复杂的可用密钥。
  • 虚拟网络网关的公共 IP 地址。 可以通过 Azure 门户、PowerShell 或 CLI 查看公共 IP 地址。 要使用 Azure 门户查找你的 VPN 网关的公共 IP 地址,请转到“虚拟网络网关”,然后选择你的网关的名称。

根据所用的 VPN 设备,有时可以下载 VPN 设备配置脚本。 有关详细信息,请参阅下载 VPN 设备配置脚本

有关更多配置信息,请参阅以下链接:

配置连接

在虚拟网关和本地 VPN 设备之间创建站点到站点 VPN 连接。 在本部分中,我们使用以下示例值:

  • 本地网络网关名称: Site1
  • 连接名称: VNet1toSite1
  • 共享密钥:在此示例中,我们将使用 abc123。 但是,你可以使用与 VPN 硬件兼容的任何密钥。 重要的是连接两端的值要匹配。
  1. 在门户中,转到虚拟网络网关并将其打开。

  2. 在网关的页面上,选择“连接”。

  3. 在“连接”页的顶部,选择“+添加”打开“创建连接”页。

    显示“基本”页面的屏幕截图。

  4. 在“创建连接”页的“基本信息”选项卡上,配置连接的各个值

    • 在“项目详细信息”下,选择订阅和资源所在的资源组

    • 在“实例详细信息”下,配置以下设置

      • 连接类型: 选择“站点到站点(IPsec)”。
      • 名称: 命名连接。
      • 区域:选择此连接所在的区域。
  5. 选择“设置”选项卡,配置以下值

    显示“设置”页的屏幕截图。

    • 虚拟网络网关:从下拉列表中选择虚拟网络网关
    • 本地网络网关:从下拉列表中选择本地网络网关
    • 共享密钥:此处的值必须与用于本地 VPN 设备的值匹配。 如果此字段未显示在门户页上,或者想要稍后更新此密钥,可以在创建连接对象后执行此操作。 转到创建的连接对象(示例名称:VNet1toSite1),并在“身份验证”页上更新密钥。
    • IKE 协议:选择“IKEv2”
    • 使用 Azure 专用 IP 地址:不选
    • 启用 BGP:不选
    • FastPath:不选
    • IPsec/IKE 策略:选择“默认”
    • 使用基于策略的流量选择器:选择“禁用”
    • DPD 超时(秒):选择“45”
    • 连接模式:选择“默认”。 此设置用于指定哪个网关可以启动连接。 有关详细信息,请参阅 VPN 网关设置 - 连接模式
  6. 对于“NAT 规则关联”,请将“流入量”和“流出量”保留为“已选 0”

  7. 选择“查看 + 创建”,确认连接设置。

  8. 选择“创建”以创建连接。

  9. 部署完成后,可在虚拟网络网关的“连接”页上查看连接。 “状态”会从“未知”更改为“正在连接”,再更改为“成功”

查看并验证 VPN 连接

在 Azure 门户中,可通过转到连接来查看 VPN 网关的连接状态。 以下步骤演示转到连接并进行验证的一种方法。

  1. Azure 门户菜单上选择“所有资源”,或从任何页面搜索并选择“所有资源”
  2. 选择虚拟网络网关。
  3. 在虚拟网络网关的窗格上,选择“连接”。 可查看每个连接的状态。
  4. 选择想要验证的连接的名称,打开“概要”。 在“概要”窗格上,可以查看有关连接的详细信息。 成功连接后,状态将为“成功”和“已连接”。

删除连接

  1. 在门户中,转到 VPN 网关“连接”页面
  2. 单击要删除的连接。 这会打开连接的页面。
  3. 单击“删除”以删除连接

后续步骤

有关站点到站点 VPN 网关配置的详细信息,请参阅教程:配置站点到站点 VPN 网关配置