Sdílet prostřednictvím


Konfigurace nastavení brány VPN pro službu Azure Stack Hub

Brána VPN je typ brány virtuální sítě, která odesílá šifrovaný provoz mezi vaší virtuální sítí ve službě Azure Stack Hub a vzdálenou bránou VPN. Vzdálená brána VPN může být v Azure, zařízení ve vašem datacentru nebo zařízení na jiné lokalitě. Pokud mezi těmito dvěma koncovými body existuje síťové připojení, můžete mezi těmito dvěma sítěmi vytvořit zabezpečené připojení VPN typu Site-to-Site (S2S).

Brána VPN Gateway spoléhá na konfiguraci více prostředků, z nichž každá obsahuje konfigurovatelná nastavení. Tento článek popisuje prostředky a nastavení související s bránou VPN pro virtuální síť, kterou vytvoříte v modelu nasazení Resource Manager. Popisy a diagramy topologie pro každé řešení připojení najdete v části Vytváření bran VPN pro Azure Stack Hub.

Nastavení brány VPN

Typy bran

Každá virtuální síť Azure Stack Hub podporuje jednu bránu virtuální sítě, která musí být typu Vpn. Tato podpora se liší od Azure, která podporuje další typy.

Při vytváření brány virtuální sítě se musíte ujistit, že je typ brány pro vaši konfiguraci správný. Brána VPN vyžaduje -GatewayType Vpn příznak, například:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
   -VpnType RouteBased

Skladové položky brány bez povolené rychlé cesty VPN

Při vytváření brány virtuální sítě musíte zadat skladovou položku, kterou chcete použít. Vyberte skladové položky, které splňují vaše požadavky na základě typů úloh, propustnosti, funkcí a smluv SLA.

Před dosažením maximální kapacity můžete mít 10 vysoce výkonných bran nebo 20 základních a standardních.

Azure Stack Hub nabízí skladové položky brány VPN uvedené v následující tabulce:

Skladová jednotka (SKU) Maximální propustnost připojení VPN Maximální počet připojení na aktivní virtuální počítač GW Maximální počet připojení VPN na kolek
Basic 100 Mb/s Tx/Rx 10 20
Standard 100 Mb/s Tx/Rx 10 20
Vysoký výkon 200 Mb/s Tx/Rx 5 10

Skladové položky brány s povolenou rychlou cestou VPN

Azure Stack Hub ve verzi Public Preview ve verzi Public Path vpn podporuje tři nové skladové položky s vyšší propustností.

Po povolení rychlé cesty VPN na razítku služby Azure Stack budou povoleny nové limity a propustnost.

Azure Stack Hub nabízí skladové položky brány VPN uvedené v následující tabulce:

Skladová jednotka (SKU) Maximální propustnost připojení VPN Maximální počet připojení na aktivní virtuální počítač GW Maximální počet připojení VPN na kolek
Basic 100 Mb/s Tx/Rx 25 50
Standard 100 Mb/s Tx/Rx 25 50
Vysoký výkon 200 Mb/s Tx/Rx 12 24
VPNGw1 650 Mb/s Tx/Rx 3 6
VPNGw2 1000 Mb/s Tx/Rx 2 4
VPNGw3 1250 Mb/s Tx/Rx 2 4

Změna velikosti skladových položek bran virtuální sítě

Azure Stack Hub nepodporuje změnu velikosti z podporované starší skladové položky (Basic, Standard a HighPerformance) na novější skladovou položku podporovanou Azure (VpnGw1, VpnGw2 a VpnGw3).

Aby bylo možné používat nové skladové položky povolené službou VPN Fast Path, je nutné vytvořit nové brány virtuální sítě a připojení.

Konfigurace skladové položky brány virtuální sítě

Portál služby Azure Stack Hub

Pokud k vytvoření brány virtuální sítě použijete portál služby Azure Stack Hub, můžete skladovou položku vybrat pomocí rozevíracího seznamu. Nové skladové položky VPN Fast Path (VpnGw1, VpnGw2, VpnGw3) se zobrazí jenom po přidání parametru dotazu "?azurestacknewvpnskus=true" na adresu URL a aktualizaci.

Následující příklad adresy URL zpřístupní nové skladové položky brány virtuální sítě na uživatelském portálu Azure Stack Hub:

https://portal.local.azurestack.local/?azurestacknewvpnskus=true

Před vytvořením těchto prostředků musí operátor povolit rychlou cestu VPN na razítku služby Azure Stack Hub. Další informace naleznete v tématu Vpn Fast Path pro operátory.

Nové skladové položky Azure VNG

PowerShell

Následující příklad PowerShellu -GatewaySku určuje parametr jako Standard:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
   -GatewayType Vpn -VpnType RouteBased

Typy připojení

V modelu nasazení Resource Manager vyžaduje každá konfigurace konkrétní typ připojení brány virtuální sítě. Dostupné hodnoty PowerShellu Resource Manageru jsou -ConnectionType IPsec.

V následujícím příkladu PowerShellu se vytvoří připojení S2S, které vyžaduje typ připojení IPsec:

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
   -Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
   -ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

Typy sítě VPN

Při vytváření brány virtuální sítě pro konfiguraci brány VPN musíte zadat typ sítě VPN. Typ sítě VPN, který zvolíte, závisí na topologii připojení, kterou chcete vytvořit. Typ sítě VPN může záviset také na hardwaru, který používáte. Konfigurace S2S vyžadují zařízení VPN. Některá zařízení VPN podporují jenom určitý typ sítě VPN.

Důležité

Azure Stack Hub v současné době podporuje pouze typ sítě VPN založený na směrování. Pokud vaše zařízení podporuje jenom sítě VPN založené na zásadách, připojení k těmto zařízením ze služby Azure Stack Hub se nepodporují.

Kromě toho Služba Azure Stack Hub v tuto chvíli nepodporuje selektory provozu založené na zásadách pro brány založené na trasách, protože Azure Stack Hub nepodporuje selektory provozu založené na zásadách, i když jsou podporované v Azure.

  • PolicyBased: Sítě VPN založené na zásadách šifrují a směrují pakety prostřednictvím tunelů IPsec na základě zásad IPsec, které jsou nakonfigurované pomocí kombinací předpon adres mezi vaší místní sítí a virtuální sítí služby Azure Stack Hub. Zásady nebo selektor provozu jsou obvykle přístupovým seznamem v konfiguraci zařízení VPN.

    Poznámka:

    PolicyBased se podporuje v Azure, ale ne ve službě Azure Stack Hub.

  • RouteBased: Sítě VPN založené na směrování používají trasy nakonfigurované v předávací nebo směrovací tabulce IP, aby směrovaly pakety do odpovídajících tunelových rozhraní. Rozhraní tunelového propojení potom šifrují nebo dešifrují pakety směřující do tunelových propojení nebo z nich. Zásady nebo selektor provozu pro sítě VPN RouteBased se konfigurují jako any-to-any (nebo používají zástupné znaky). Ve výchozím nastavení je nelze změnit. Hodnota typu RouteBased VPN je RouteBased.

Následující příklad PowerShellu -VpnType určuje jako RouteBased. Při vytváření brány se musíte ujistit, že -VpnType je správná pro vaši konfiguraci.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig `
   -GatewayType Vpn -VpnType RouteBased

Brány virtuální sítě podporují konfigurace, když není povolená rychlá cesta VPN

Skladová jednotka (SKU) Typ sítě VPN Connection type Podpora aktivního směrování (BGP) Vzdálený koncový bod s povoleným překladem adres (NAT-T)
Základní skladová položka VNG Síť VPN založená na směrování Předsdílený klíč PROTOKOLU IPSec Nepodporuje se Nepovinné
Standardní skladová položka VNG Síť VPN založená na směrování Předsdílený klíč PROTOKOLU IPSec Podporováno až 150 tras Nepovinné
Vysoce výkonná skladová položka VNG Síť VPN založená na směrování Předsdílený klíč PROTOKOLU IPSec Podporováno až 150 tras Nepovinné

Brány virtuální sítě podporují konfigurace, když je povolená rychlá cesta VPN.

Skladová jednotka (SKU) Typ sítě VPN Connection type Podpora aktivního směrování (BGP) Vzdálený koncový bod s povoleným překladem adres (NAT-T)
Základní skladová položka VNG Síť VPN založená na směrování Předsdílený klíč PROTOKOLU IPSec Nepodporuje se Požaduje se
Standardní skladová položka VNG Síť VPN založená na směrování Předsdílený klíč PROTOKOLU IPSec Podporováno až 150 tras Požaduje se
Vysoce výkonná skladová položka VNG Síť VPN založená na směrování Předsdílený klíč PROTOKOLU IPSec Podporováno až 150 tras Požaduje se
VPNGw1 VNG SKU Síť VPN založená na směrování Předsdílený klíč PROTOKOLU IPSec Podporováno až 150 tras Požaduje se
VPNGw2 VNG SKU Síť VPN založená na směrování Předsdílený klíč PROTOKOLU IPSec Podporováno až 150 tras Požaduje se
VPNGw2 VNG SKU Síť VPN založená na směrování Předsdílený klíč PROTOKOLU IPSec Podporováno až 150 tras Požaduje se

Podsíť brány

Před vytvořením brány VPN musíte vytvořit podsíť brány. Podsíť brány má IP adresy, které používají virtuální počítače a služby brány virtuální sítě. Když vytvoříte bránu virtuální sítě a připojení, virtuální počítač brány, který toto připojení vlastní, bude propojený s podsítí brány a bude nakonfigurovaný s požadovaným nastavením brány VPN. Do podsítě brány nenasazujte nic jiného (například další virtuální počítače).

Důležité

Pro správné fungování podsítě brány je nutné, aby měla název GatewaySubnet. Azure Stack Hub používá tento název k identifikaci podsítě, do které se mají nasadit virtuální počítače a služby brány virtuální sítě.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. IP adresy v podsíti brány se přidělují virtuálním počítačům brány a službám brány. Některé konfigurace vyžadují víc IP adres než jiné. Projděte si pokyny pro konfiguraci, kterou chcete vytvořit, a ověřte, že podsíť brány, kterou chcete vytvořit, splňuje tyto požadavky.

Kromě toho byste měli zajistit, aby podsíť brány měla dostatek IP adres pro zpracování dalších budoucích konfigurací. I když můžete vytvořit podsíť brány tak malá jako /29, doporučujeme vytvořit podsíť brány /28 nebo větší (/28, /27, /26 atd.). Pokud tedy v budoucnu přidáte funkce, nemusíte bránu rušit, pak odstraňte a znovu vytvořte podsíť brány, abyste umožnili více IP adres.

Následující příklad PowerShellu Resource Manageru ukazuje podsíť brány s názvem GatewaySubnet. Zápis CIDR určuje /27, což umožňuje dostatek IP adres pro většinu aktuálně existujících konfigurací.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Důležité

Při práci s podsítěmi brány nepřidružujte skupinu zabezpečení sítě (NSG) k podsíti brány. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána VPN přestane fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v tématu Co je skupina zabezpečení sítě?.

Brány místní sítě

Při vytváření konfigurace brány VPN v Azure brána místní sítě často představuje vaše místní umístění. Ve službě Azure Stack Hub představuje jakékoli vzdálené zařízení VPN, které se nachází mimo službu Azure Stack Hub. Toto zařízení může být zařízení VPN ve vašem datacentru (nebo ve vzdáleném datacentru) nebo bráně VPN v Azure.

Bránu místní sítě pojmenujete, veřejnou IP adresu vzdáleného zařízení VPN a zadáte předpony adres, které jsou v místním umístění. Azure Stack Hub se podívá na předpony cílových adres pro síťový provoz, zkontroluje konfiguraci, kterou jste zadali pro bránu místní sítě, a odpovídajícím způsobem směruje pakety.

Tento příklad PowerShellu vytvoří novou bránu místní sítě:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
   -Location 'West US' -GatewayIpAddress '198.51.100.101' -AddressPrefix '10.5.51.0/24'

Někdy potřebujete upravit nastavení brány místní sítě; Když například přidáte nebo upravíte rozsah adres nebo pokud se ZMĚNÍ IP adresa zařízení VPN. Další informace najdete v tématu Úprava nastavení brány místní sítě pomocí PowerShellu.

Parametry protokolu IPsec/IKE

Když nastavíte připojení VPN ve službě Azure Stack Hub, musíte nakonfigurovat připojení na obou koncích. Pokud konfigurujete připojení VPN mezi službou Azure Stack Hub a hardwarovým zařízením, jako je přepínač nebo směrovač, který funguje jako brána VPN, může vás toto zařízení požádat o další nastavení.

Na rozdíl od Azure, který podporuje více nabídek jako iniciátor i respondér, azure Stack Hub ve výchozím nastavení podporuje pouze jednu nabídku. Pokud potřebujete pro práci se zařízením VPN použít různá nastavení PROTOKOLU IPSec/IKE, máte k dispozici další nastavení pro ruční konfiguraci připojení. Další informace najdete v tématu Konfigurace zásad IPsec/IKE pro připojení VPN typu site-to-site.

Důležité

Při použití tunelu S2S se pakety dále zapouzdřují dalšími hlavičkami, což zvyšuje celkovou velikost paketu. V těchto scénářích musíte uchytit TCP MSS na 1350. Nebo pokud vaše zařízení VPN nepodporují upnutí MSS, můžete alternativně nastavit MTU na rozhraní tunelu na 1400 bajtů. Další informace naleznete v tématu Ladění výkonu TCPIP virtuální sítě.

Parametry protokolu IKE fáze 1 (hlavní režim)

Vlastnost Hodnota
Verze IKE IKEv2
Diffie-Hellman Group* ECP384
Metoda ověřování Předsdílený klíč
Šifrovací a hashovací algoritmy* AES256, SHA384
Životnost SA (čas) 28 800 sekund

Parametry protokolu IKE fáze 2 (rychlý režim)

Vlastnost Hodnota
Verze IKE IKEv2
Šifrovací a hashovací algoritmy (šifrování) GCMAES256
Šifrovací a hashovací algoritmy (ověřování) GCMAES256
Životnost SA (čas) 27 000 sekund
Životnost SA (Kilobajtů) 33,553,408
Perfect Forward Secrecy (PFS)* ECP384
Detekce mrtvých partnerských zařízení Podporováno

* Nový nebo změněný parametr.

Další kroky