导出 (0) 打印
全部展开

在管理门户中配置虚拟网络网关

更新时间: 2014年11月

创建安全的跨界连接需要虚拟网络网关。创建虚拟网络后,请使用以下步骤来配置虚拟网络网关和收集配置 VPN 设备所需的信息。

  1. 启动虚拟网络网关

  2. 为 VPN 设备配置收集信息

  3. 配置 VPN 设备

  4. 验证本地网络范围和网关 IP 地址

  1. “网络”页上,验证虚拟网络的“状态”列是否为“已创建”

  2. “名称”列中,单击你的虚拟网络的名称。

  3. “仪表板”页上,请注意此 VNet 尚未配置网关。当你完成配置网关的步骤时,你将会看到此状态。

    未创建网关
  4. 在页面底部,单击“创建网关”。你可以选择“静态路由”或“动态路由”。

    你选择的路由类型取决于多个因素。例如,你的 VPN 设备将支持什么内容,以及你是否需要支持点到站点连接。查看关于用于虚拟网络的 VPN 设备以确认所需的路由类型。网关创建完成后,除非删除并重新创建网关,否则无法更改网关类型。系统提示你确认要创建网关时,单击“是”

    网关类型

  5. 正在创建网关时,请注意页面上的网关图形将更改为黄色,并显示Creating Gateway。创建网关最多可能需要 15 分钟。你必须等到网关创建完成,然后才能继续其他配置设置。

    网关连接
  6. 当网关更改为Connecting时,你可以收集 VPN 设备所需的信息。

    网关连接

创建网关后,请为 VPN 设备配置收集信息。以下信息位于虚拟网络的“仪表板”页上:

  1. 网关 IP 地址 - 可在“仪表板”页上找到此 IP 地址。在完成网关创建之前,你将看不到它。

  2. 共享密钥 - 单击屏幕底部的“管理密钥”。单击密钥旁边的图标以便将其复制到剪贴板,然后粘贴并保存此密钥。

    管理密钥
  3. VPN 配置脚本模板 - 在“仪表板”页的“速览”下,单击“下载 VPN 设备脚本”。在“下载 VPN 设备配置脚本”对话框中,选择贵公司 VPN 设备的供应商、平台和操作系统。单击复选标记按钮,保存文件。如果在下拉列表中看不到你的 VPN 设备,请参见 MSDN 库中的关于用于虚拟网络的 VPN 设备查看更多脚本模板。如果你将使用 RRAS 作为 VPN 设备,请参阅使用 Windows Server 2012 路由和远程访问服务 (RRAS) 配置站点到站点 VPN,以获取关于使用 PowerShell 脚本的详细信息。

    此时还应确保创建了正确的网关类型(动态或静态路由)。

    VPN 设备模板

完成以上步骤之后,你或你的网络管理员将需要配置 VPN 设备以创建连接。有关 VPN 设备的详细信息,请参阅关于用于虚拟网络的 VPN 设备

配置完 VPN 设备后,你可以在 VNet 的“仪表板”页上查看已更新的连接信息。

你还可以运行以下命令之一来测试连接:

 

  Cisco ASA Cisco ISR/ASR Juniper SSG/ISG Juniper SRX/J

检查主模式 SA

show crypto isakmp sa

show crypto isakmp sa

get ike cookie

show security ike security-association

检查快速模式 SA

show crypto ipsec sa

show crypto ipsec sa

get sa

show security ipsec security-association

为使网关正确连接,必须针对为跨界配置指定的本地网络正确配置 VPN 设备的 IP 地址。通常,这在站点到站点配置过程中配置。然而,如果你以前将该本地网络与其他设备一起使用,或者已更改该本地网络的 IP 地址,则最好编辑设置以指定正确的网关 IP 地址。

  1. 要验证你的网关 IP 地址,请单击左门户窗格上的“网络”,然后在该页顶部选择“本地网络”。你将看到已经创建的每个本地网络的 VPN 网关地址。要编辑该 IP 地址,请选择 VNet,然后单击页底部的“编辑”

  2. “指定你的本地网络详细信息”页中,编辑 IP 地址,然后单击页底部的下一步箭头。

  3. “指定地址空间”页上,单击右下角的复选标记以保存设置。

为了使正确的流量流经网关到达你本地位置,你还需要验证是否已列出要包括在本地网络配置中的每个 IP 地址范围。根据你本地位置的网络配置,该任务可能有点大,因为每个范围都必须在 Azure“本地网络”配置中列出。然后,将通过虚拟网络网关发送包含在所列范围内的 IP 地址所绑定的流量。你列出的 IP 地址范围不必是专用范围,尽管你要验证本地配置是否可以接收入站流量。

要添加或编辑本地网络的范围,请遵循以下过程。

  1. 要编辑本地网络的 IP 地址范围,请单击左门户窗格上的“网络”,然后在该页顶部选择“本地网络”。在该门户中,查看已列出服务的最简单方法是使用“编辑”页面。要查看范围,请选择 VNet,然后单击页底部的“编辑”

  2. “指定你的本地网络详细信息”页中,请勿进行任何更改。单击页底部的下一步箭头。

  3. “指定地址空间”页上,更改网络地址空间。然后,单击复选标记以保存配置。

你可以从虚拟网络“操作面板”页面查看网关和网关流量。

“操作面板”页面上,您可以查看以下内容:

  • 流经(流入和流出)网关的数据量。

  • 为您的虚拟网络指定的 DNS 服务器的名称。

  • 在您的网关与 VPN 设备之间的连接。

  • 用于配置网关与 VPN 设备间连接的共享密钥。

另请参阅

显示:
© 2015 Microsoft