Směrování VPN typu Point-to-Site

  • Článek

Tento článek vám pomůže pochopit, jak se chová směrování VPN typu Point-to-Site v Azure. Chování směrování sítě VPN typu P2S závisí na operačním systému klienta, na protokolu používaném pro připojení VPN a na tom, jak jsou virtuální sítě vzájemně propojeny. Další informace o síti VPN typu point-to-site, včetně podporovaných protokolů, najdete v tématu Informace o síti VPN typu point-to-site.

Pokud provedete změnu topologie sítě a máte klienty VPN s Windows, musí být balíček klienta VPN pro klienty s Windows stažen a nainstalován znovu, aby se změny použily na klienta.

Poznámka

Tento článek se týká jenom IKEv2 a OpenVPN.

Informace o diagramech

V tomto článku je několik různých diagramů. Každý oddíl zobrazuje jinou topologii nebo konfiguraci. Pro účely tohoto článku fungují připojení site-to-site (S2S) a VNet-to-VNet stejným způsobem, protože obě jsou tunely IPsec. Všechny brány VPN v tomto článku jsou založené na trasách.

Jedna izolovaná virtuální síť

Připojení brány VPN typu point-to-site v tomto příkladu je pro virtuální síť, která není připojená nebo není v partnerském vztahu s žádnou jinou virtuální sítí (VNet1). V tomto příkladu můžou klienti přistupovat k síti VNet1.

Směrování izolované virtuální sítě

Adresní prostor

  • VNet1: 10.1.0.0/16

Přidané trasy

  • Trasy přidané do klientů s Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy přidané do klientů jiných než Windows: 10.1.0.0/16, 192.168.0.0/24

Access

  • Klienti Windows mají přístup k virtuální síti 1

  • Klienti jiných systémů než Windows mají přístup k virtuální síti VNet1

Více partnerských virtuálních sítí

V tomto příkladu je připojení brány VPN typu point-to-site pro virtuální síť VNet1. Virtuální síť 1 je v partnerském vztahu s virtuální sítí VNet2. Virtuální síť 2 je v partnerském vztahu s virtuální sítí VNet3. Virtuální síť 1 je v partnerském vztahu s virtuální sítí VNet4. Mezi virtuální sítí VNet1 a VNet3 neexistuje žádný přímý partnerský vztah. Virtuální síť VNet1 má možnost Povolit průchod bránou a virtuální sítě VNet2 a VNet4 mají povolenou možnost Používat vzdálené brány.

Klienti používající Windows mají přístup přímo k virtuálním sítím v partnerském vztahu, ale pokud dojde k nějakým změnám partnerského vztahu virtuálních sítí nebo síťové topologie, musí se klient VPN znovu stáhnout. Klienti jiných systémů než Windows mají přístup k virtuálním sítím přímo v partnerském vztahu. Přístup není tranzitivní a omezuje se pouze na virtuální sítě v přímém partnerském vztahu.

Více partnerských virtuálních sítí

Adresní prostor:

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • VNet4: 10.4.0.0/16

Přidané trasy

  • Trasy přidané do klientů s Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

  • Trasy přidané ke klientům bez Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

Access

  • Klienti s Windows mají přístup k virtuálním sítím VNet1, VNet2 a VNet4, ale aby se změny topologie projevily, musí být klient VPN znovu stažen.

  • Klienti bez Windows mají přístup k virtuálním sítím VNet1, VNet2 a VNet4.

Několik virtuálních sítí připojených pomocí sítě VPN S2S

V tomto příkladu je připojení brány VPN typu point-to-site pro virtuální síť VNet1. Virtuální síť VNet1 je připojená k síti VNet2 pomocí připojení VPN typu Site-to-Site. Virtuální síť VNet2 je připojená k síti VNet3 pomocí připojení VPN typu Site-to-Site. Mezi virtuální sítí VNet1 a VNet3 neexistuje žádný přímý partnerský vztah ani připojení VPN typu Site-to-Site. Všechna připojení typu Site-to-Site nepoužívají protokol BGP pro směrování.

Klienti, kteří používají Windows nebo jiný podporovaný operační systém, mají přístup jenom k síti VNet1. Pro přístup k dalším virtuálním sítím je nutné použít protokol BGP.

Více virtuálních sítí a S2S

Adresní prostor

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Přidané trasy

  • Trasy přidané do klientů s Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy přidané ke klientům bez Windows: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24

Access

  • Klienti s Windows mají přístup jenom k virtuální síti VNet1

  • Klienti, kteří nejsou windows, mají přístup jenom k virtuální síti VNet1

Několik virtuálních sítí připojených pomocí S2S VPN (BGP)

V tomto příkladu je připojení brány VPN typu point-to-site pro virtuální síť VNet1. Virtuální síť VNet1 je připojená k síti VNet2 pomocí připojení VPN typu Site-to-Site. Virtuální síť VNet2 je připojená k síti VNet3 pomocí připojení VPN typu Site-to-Site. Mezi virtuální sítí VNet1 a VNet3 neexistuje žádný přímý partnerský vztah ani připojení VPN typu Site-to-Site. Všechna připojení typu Site-to-Site používají protokol BGP pro směrování.

Klienti používající Systém Windows nebo jiný podporovaný operační systém mají přístup ke všem virtuálním sítím, které jsou připojené pomocí připojení VPN typu Site-to-Site, ale trasy do připojených virtuálních sítí musí být ručně přidány do klientů s Windows.

Více virtuálních sítí a S2S (BGP)

Adresní prostor

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Přidané trasy

  • Trasy přidané do klientů s Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24

Access

  • Klienti s Windows mají přístup k virtuálním sítím VNet1, VNet2 a VNet3, ale trasy do sítí VNet2 a VNet3 bude potřeba přidat ručně.

  • Klienti, kteří nejsou windows, mají přístup k virtuálním sítím VNet1, VNet2 a VNet3

Jedna virtuální síť a pobočka

V tomto příkladu je připojení brány VPN typu point-to-site pro virtuální síť VNet1. Virtuální síť VNet1 není připojená nebo v partnerském vztahu s žádnou jinou virtuální sítí, ale je připojená k místní lokalitě prostřednictvím připojení SITE-to-Site VPN, na kterém není spuštěn protokol BGP.

Klienti s Windows a ne windows mají přístup jenom k virtuální síti VNet1.

Směrování s využitím virtuální sítě a pobočky

Adresní prostor

  • VNet1: 10.1.0.0/16

  • Web1: 10.101.0.0/16

Přidané trasy

  • Trasy přidané do klientů s Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy přidané ke klientům bez Windows: 10.1.0.0/16, 192.168.0.0/24

Access

  • Klienti s Windows mají přístup pouze k virtuální síti 1.

  • Klienti, kteří nejsou windows, mají přístup jenom k virtuální síti VNet1

Jedna virtuální síť a pobočka (BGP)

V tomto příkladu je připojení brány VPN typu Point-to-Site pro síť VNet1. Síť VNet1 není připojená ani v partnerském vztahu s žádnou jinou virtuální sítí, ale je připojená k místní lokalitě (Site1) prostřednictvím připojení VPN typu Site-to-Site s protokolem BGP.

Klienti Systému Windows mají přístup k virtuální síti a pobočce (Lokalita1), ale trasy do lokality Site1 musí být do klienta přidány ručně. Klienti jiných systémů než Windows mají přístup k virtuální síti a k místní pobočce.

Směrování s využitím virtuální sítě a pobočky – BGP

Adresní prostor

  • VNet1: 10.1.0.0/16

  • Web1: 10.101.0.0/16

Přidané trasy

  • Trasy přidané do klientů windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Klienti Windows mají přístup k virtuálním sítím VNet1 a Site1, ale trasy do lokality Site1 bude potřeba přidat ručně.

  • Klienti jiných systémů než Windows mají přístup k sítím VNet1 a Site1.

Několik virtuálních sítí připojených pomocí S2S a pobočky

V tomto příkladu je připojení brány VPN typu Point-to-Site pro síť VNet1. Síť VNet1 je připojená k síti VNet2 pomocí připojení VPN typu Site-to-Site. Síť VNet2 je připojená k síti VNet3 pomocí připojení VPN typu Site-to-Site. Mezi sítěmi VNet1 a VNet3 neexistuje žádný přímý partnerský vztah ani tunel VPN typu Site-to-Site. Síť VNet3 je připojená k pobočce (Lokalita1) pomocí připojení VPN typu Site-to-Site. Všechna připojení VPN nepoužívají protokol BGP.

Všichni klienti mají přístup pouze k síti VNet1.

Diagram znázorňující službu S2S pro více virtuálních sítí a firemní pobočku

Adresní prostor

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Web1: 10.101.0.0/16

Přidané trasy

  • Trasy přidané do klientů windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Klienti Windows mají přístup jenom k síti VNet1.

  • Klienti jiných systémů než Windows mají přístup pouze k síti VNet1

Několik virtuálních sítí připojených pomocí S2S a pobočky (BGP)

V tomto příkladu je připojení brány VPN typu Point-to-Site pro síť VNet1. Síť VNet1 je připojená k síti VNet2 pomocí připojení VPN typu Site-to-Site. Síť VNet2 je připojená k síti VNet3 pomocí připojení VPN typu Site-to-Site. Mezi sítěmi VNet1 a VNet3 neexistuje žádný přímý partnerský vztah ani tunel VPN typu Site-to-Site. Síť VNet3 je připojená k pobočce (Lokalita1) pomocí připojení VPN typu Site-to-Site. Všechna připojení VPN používají protokol BGP.

Klienti používající Windows mají přístup k virtuálním sítím a lokalitám, které jsou připojené pomocí připojení SITE-to-Site VPN, ale trasy do sítí VNet2, VNet3 a Site1 musí být do klienta přidány ručně. Klienti jiných systémů než Windows mají přístup k virtuálním sítím a lokalitám připojeným pomocí připojení VPN typu Site-to-Site bez jakéhokoli ručního zásahu. Přístup je tranzitivní a klienti mají přístup k prostředkům ve všech připojených virtuálních sítích a lokalitách (v místním prostředí).

S2S pro více virtuálních sítí a firemní pobočky

Adresní prostor

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Web1: 10.101.0.0/16

Přidané trasy

  • Trasy přidané do klientů windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Klienti Windows mají přístup k sítím VNet1, VNet2, VNet3 a Site1, ale trasy do sítí VNet2, VNet3 a Site1 je potřeba do klienta přidat ručně.

  • Klienti jiných systémů než Windows mají přístup k sítím VNet1, VNet2, VNet3 a Site1.

Další kroky

Pokud chcete začít vytvářet P2S VPN, přečtěte si téma Vytvoření P2S VPN pomocí Azure Portal.