Konfigurace nastavení brány VPN pro službu Azure Stack Hub
Brána VPN Gateway je typ brány virtuální sítě, která odesílá šifrovaný provoz mezi virtuální sítí ve službě Azure Stack Hub a vzdálenou bránou VPN. Vzdálená brána VPN může být v Azure, zařízení ve vašem datacentru nebo zařízení v jiné lokalitě. Pokud mezi těmito dvěma koncovými body existuje síťové připojení, můžete mezi těmito dvěma sítěmi vytvořit zabezpečené připojení SITE-to-Site (S2S) VPN.
Brána VPN Gateway spoléhá na konfiguraci více prostředků, z nichž každý obsahuje konfigurovatelná nastavení. Tento článek popisuje prostředky a nastavení související s bránou VPN pro virtuální síť, kterou vytvoříte v modelu nasazení Resource Manager. Popisy a diagramy topologie pro jednotlivá řešení připojení najdete v tématu Vytváření bran VPN pro Službu Azure Stack Hub.
Nastavení brány VPN Gateway
Typy bran
Každá virtuální síť Azure Stack Hub podporuje jednu bránu virtuální sítě, která musí být typu VPN. Tato podpora se liší od Azure, která podporuje další typy.
Při vytváření brány virtuální sítě se musíte ujistit, že typ brány odpovídá vaší konfiguraci. Brána VPN Gateway vyžaduje příznak -GatewayType Vpn
, například:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Skladové položky brány bez povolené cesty VPN Fast Path
Při vytváření brány virtuální sítě musíte zadat skladovou položku, kterou chcete použít. Vyberte skladové položky, které splňují vaše požadavky na základě typů úloh, propustnosti, funkcí a smluv SLA.
Před dosažením maximální kapacity můžete mít 10 vysoce výkonných bran nebo 20 bran Basic a Standard.
Azure Stack Hub nabízí skladové položky brány VPN uvedené v následující tabulce:
Skladová jednotka (SKU) | Maximální propustnost připojení VPN | Maximální počet připojení na aktivní virtuální počítač GW | Maximální počet připojení VPN na razítko |
---|---|---|---|
Basic | 100 Mb/s Tx/Rx | 10 | 20 |
Standard | 100 Mb/s Tx/Rx | 10 | 20 |
High Performance | 200 Mb/s Tx/Rx | 5 | 10 |
Skladové položky brány s povolenou cestou VPN Fast
Ve verzi Public Preview služby VPN Fast Path podporuje Azure Stack Hub tři nové skladové položky s vyšší propustností.
Nová omezení a propustnost se povolí, jakmile bude v razítku služby Azure Stack povolená rychlá cesta VPN.
Azure Stack Hub nabízí skladové položky brány VPN uvedené v následující tabulce:
Skladová jednotka (SKU) | Maximální propustnost připojení VPN | Maximální počet připojení na aktivní virtuální počítač GW | Maximální počet připojení VPN na razítko |
---|---|---|---|
Basic | 100 Mb/s Tx/Rx | 25 | 50 |
Standard | 100 Mb/s Tx/Rx | 25 | 50 |
High Performance | 200 Mb/s Tx/Rx | 12 | 24 |
VPNGw1 | 650 Mb/s Tx/Rx | 3 | 6 |
VPNGw2 | 1000 Mb/s Tx/Rx | 2 | 4 |
VPNGw3 | 1250 Mb/s Tx/Rx | 2 | 4 |
Změna velikosti skladových položek bran virtuální sítě
Azure Stack Hub nepodporuje změnu velikosti z podporované starší skladové položky (Basic, Standard a HighPerformance) na novější skladovou položku podporovanou Azure (VpnGw1, VpnGw2 a VpnGw3).
Aby bylo možné používat nové skladové položky povolené rychlou cestou SÍTĚ VPN, musí se vytvořit nové brány virtuální sítě a připojení.
Konfigurace skladové položky brány virtuální sítě
Portál Azure Stack Hub
Pokud k vytvoření brány virtuální sítě použijete portál Azure Stack Hub, můžete skladovou položku vybrat pomocí rozevíracího seznamu. Nové skladové položky VPN Fast Path (VpnGw1, VpnGw2, VpnGw3) budou viditelné až po přidání parametru dotazu "?azurestacknewvpnskus=true" do adresy URL a aktualizaci.
Následující příklad adresy URL zviditelní nové skladové položky brány virtuální sítě na uživatelském portálu služby Azure Stack Hub:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Před vytvořením těchto prostředků musí operátor povolit rychlou cestu VPN na razítku služby Azure Stack Hub. Další informace najdete v tématu Rychlá cesta VPN pro operátory.
PowerShell
Následující příklad PowerShellu -GatewaySku
určuje parametr jako Standard:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Typy připojení
V modelu nasazení Resource Manager vyžaduje každá konfigurace konkrétní typ připojení brány virtuální sítě. Dostupné Resource Manager hodnoty PowerShellu pro -ConnectionType
jsou IPsec.
V následujícím příkladu PowerShellu se vytvoří připojení S2S, které vyžaduje připojení typu IPsec:
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
Typy sítě VPN
Při vytváření brány virtuální sítě pro konfiguraci brány VPN musíte zadat typ sítě VPN. Zvolený typ sítě VPN závisí na topologii připojení, kterou chcete vytvořit. Typ sítě VPN může také záviset na hardwaru, který používáte. Konfigurace S2S vyžadují zařízení VPN. Některá zařízení VPN podporují jenom určitý typ sítě VPN.
Důležité
Azure Stack Hub v současné době podporuje pouze typ sítě VPN založené na trasách. Pokud vaše zařízení podporuje jenom sítě VPN založené na zásadách, připojení k těmto zařízením ze služby Azure Stack Hub se nepodporují.
Azure Stack Hub navíc v současnosti nepodporuje použití selektorů provozu založených na zásadách pro brány založené na směrování, protože Azure Stack Hub nepodporuje selektory provozu založené na zásadách, i když jsou v Azure podporované.
PolicyBased: Sítě VPN založené na zásadách šifrují a směrují pakety prostřednictvím tunelů IPsec na základě zásad IPsec nakonfigurovaných pomocí kombinací předpon adres mezi vaší místní sítí a virtuální sítí Azure Stack Hub. Zásada neboli selektor provozu je obvykle přístupový seznam v konfiguraci zařízení VPN.
Poznámka
PolicyBased se podporuje v Azure, ale ne ve službě Azure Stack Hub.
RouteBased: Sítě VPN založené na směrování používají trasy nakonfigurované v tabulce předávání IP nebo směrovací tabulce ke směrování paketů do příslušných rozhraní tunelového propojení. Rozhraní tunelového propojení potom šifrují nebo dešifrují pakety směřující do tunelových propojení nebo z nich. Zásady nebo selektor provozu pro sítě VPN RouteBased jsou nakonfigurované jako any-to-any (nebo použijte zástupné znaky). Ve výchozím nastavení je nelze změnit. Hodnota typu Sítě VPN RouteBased je RouteBased.
Následující příklad PowerShellu -VpnType
určuje jako RouteBased. Při vytváření brány se musíte ujistit, že -VpnType
je správná pro vaši konfiguraci.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Podporované konfigurace bran virtuální sítě, když není povolená rychlá cesta VPN
Typ sítě VPN | Typ připojení | Podpora aktivního směrování (BGP) | NaT-T vzdáleného koncového bodu povoleno | |
---|---|---|---|---|
Skladová položka VNG Basic | Síť VPN založená na směrování | Předsdílený klíč PROTOKOLU IPSec | Nepodporuje se | Nevyžadováno |
Skladová položka virtuálníchng úrovně Standard | Síť VPN založená na směrování | Předsdílený klíč PROTOKOLU IPSec | Podporováno, až 150 tras | Nevyžadováno |
High-Performance SKU VNG | Síť VPN založená na směrování | Předsdílený klíč PROTOKOLU IPSec | Podporováno, až 150 tras | Nevyžadováno |
Podporované konfigurace bran virtuální sítě, pokud je povolená rychlá cesta VPN
Typ sítě VPN | Typ připojení | Podpora aktivního směrování (BGP) | NaT-T vzdáleného koncového bodu povoleno | |
---|---|---|---|---|
Skladová položka VNG Basic | Síť VPN založená na směrování | Předsdílený klíč PROTOKOLU IPSec | Nepodporuje se | Vyžadováno |
Skladová položka virtuálníchng úrovně Standard | Síť VPN založená na směrování | Předsdílený klíč PROTOKOLU IPSec | Podporováno, až 150 tras | Vyžadováno |
High-Performance SKU VNG | Síť VPN založená na směrování | Předsdílený klíč PROTOKOLU IPSec | Podporováno, až 150 tras | Vyžadováno |
VPNGw1 VNG SKU | Síť VPN založená na směrování | Předsdílený klíč PROTOKOLU IPSec | Podporováno, až 150 tras | Vyžadováno |
VPNGw2 VNG SKU | Síť VPN založená na směrování | Předsdílený klíč PROTOKOLU IPSec | Podporováno, až 150 tras | Vyžadováno |
VPNGw2 VNG SKU | Síť VPN založená na směrování | Předsdílený klíč PROTOKOLU IPSec | Podporováno, až 150 tras | Vyžadováno |
Podsíť brány
Před vytvořením brány VPN je nutné vytvořit podsíť brány. Podsíť brány má IP adresy, které používají virtuální počítače a služby brány virtuální sítě. Když vytvoříte bránu virtuální sítě a připojení, virtuální počítač brány, který je vlastníkem připojení, bude propojený s podsítí brány a nakonfiguruje se s požadovaným nastavením brány VPN. Do podsítě brány nenasazujte nic jiného (například další virtuální počítače).
Důležité
Pro správné fungování podsítě brány je nutné, aby měla název GatewaySubnet. Azure Stack Hub používá tento název k identifikaci podsítě, do které se nasazují virtuální počítače a služby brány virtuální sítě.
Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. IP adresy v podsíti brány se přidělují virtuálním počítačům a službám brány. Některé konfigurace vyžadují víc IP adres než jiné. Projděte si pokyny ke konfiguraci, kterou chcete vytvořit, a ověřte, že podsíť brány, kterou chcete vytvořit, splňuje tyto požadavky.
Kromě toho byste měli zajistit, aby podsíť vaší brány měla dostatek IP adres pro zpracování dalších budoucích konfigurací. I když můžete vytvořit podsíť brány tak malou jako /29, doporučujeme vytvořit podsíť brány o hodnotě /28 nebo větší (/28, /27, /26 atd.) Pokud tak v budoucnu přidáte funkce, nebudete muset bránu odstraňovat a pak odstranit a znovu vytvořit podsíť brány, aby bylo možné používat více IP adres.
Následující příklad Resource Manager PowerShellu ukazuje podsíť brány s názvem GatewaySubnet. Můžete vidět, že zápis CIDR určuje /27, který umožňuje dostatek IP adres pro většinu konfigurací, které v současnosti existují.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Důležité
Při práci s podsítěmi brány nepřidružujte skupinu zabezpečení sítě (NSG) k podsíti brány. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána VPN přestane fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v tématu Co je skupina zabezpečení sítě?.
Brány místní sítě
Při vytváření konfigurace brány VPN v Azure často brána místní sítě představuje vaše místní umístění. Ve službě Azure Stack Hub představuje všechna vzdálená zařízení VPN, která se nachází mimo službu Azure Stack Hub. Toto zařízení může být zařízení VPN ve vašem datacentru (nebo vzdálené datové centrum) nebo brána VPN v Azure.
Bráně místní sítě zadáte název, veřejnou IP adresu vzdáleného zařízení VPN a zadáte předpony adres, které jsou v místním umístění. Azure Stack Hub zkontroluje předpony cílových adres pro síťový provoz, zkontroluje konfiguraci, kterou jste zadali pro bránu místní sítě, a odpovídajícím způsobem směruje pakety.
Tento příklad PowerShellu vytvoří novou bránu místní sítě:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Někdy je potřeba upravit nastavení brány místní sítě; Například když přidáte nebo upravíte rozsah adres nebo pokud se změní IP adresa zařízení VPN. Další informace najdete v tématu Úprava nastavení brány místní sítě pomocí PowerShellu.
Parametry protokolu IPsec/IKE
Při nastavování připojení VPN ve službě Azure Stack Hub musíte nakonfigurovat připojení na obou koncích. Pokud konfigurujete připojení VPN mezi službou Azure Stack Hub a hardwarovým zařízením, jako je přepínač nebo směrovač, které funguje jako brána VPN, může vás toto zařízení požádat o další nastavení.
Na rozdíl od Azure, která podporuje více nabídek jako iniciátor i respondér, azure Stack Hub ve výchozím nastavení podporuje jenom jednu nabídku. Pokud pro práci se zařízením VPN potřebujete použít různá nastavení protokolu IPSec/IKE, máte k dispozici další nastavení, abyste mohli nakonfigurovat připojení ručně. Další informace najdete v tématu Konfigurace zásad IPsec/IKE pro připojení site-to-site VPN.
Důležité
Při použití tunelu S2S jsou pakety dále zapouzdřeny dalšími hlavičkami, které zvětšují celkovou velikost paketu. V těchto scénářích je nutné uchytit protokol TCP MSS na 1350. Nebo pokud vaše zařízení VPN nepodporují uchycení MSS, můžete místo toho nastavit MTU na tunelovém rozhraní na 1400 bajtů. Další informace najdete v tématu Ladění výkonu PROTOKOLU TCPIP virtuální sítě.
Parametry protokolu IKE fáze 1 (hlavní režim)
Vlastnost | Hodnota |
---|---|
Verze IKE | IKEv2 |
skupina Diffie-Hellman* | ECP384 |
Metoda ověřování | Předsdílený klíč |
Algoritmy šifrování & hash* | AES256, SHA384 |
Životnost SA (čas) | 28 800 sekund |
Parametry protokolu IKE fáze 2 (rychlý režim)
Vlastnost | Hodnota |
---|---|
Verze IKE | IKEv2 |
Šifrovací & hashovací algoritmy (šifrování) | GCMAES256 |
Šifrování & algoritmy hashování (ověřování) | GCMAES256 |
Životnost SA (čas) | 27 000 sekund |
Životnost SA (kilobajtů) | 33,553,408 |
PfS (Perfect Forward Secrecy)* | ECP384 |
Detekce mrtvých partnerských zařízení | Podporuje se |
* Nový nebo změněný parametr.