Směrování VPN typu Point-to-Site
Tento článek vám pomůže pochopit, jak se chová směrování VPN typu Point-to-Site v Azure. Chování směrování sítě VPN typu P2S závisí na operačním systému klienta, na protokolu používaném pro připojení VPN a na tom, jak jsou virtuální sítě vzájemně propojeny. Další informace o síti VPN typu point-to-site, včetně podporovaných protokolů, najdete v tématu Informace o síti VPN typu point-to-site.
Pokud provedete změnu topologie sítě a máte klienty VPN s Windows, musí být balíček klienta VPN pro klienty s Windows stažen a nainstalován znovu, aby se změny použily na klienta.
Poznámka
Tento článek se týká jenom IKEv2 a OpenVPN.
Informace o diagramech
V tomto článku je několik různých diagramů. Každý oddíl zobrazuje jinou topologii nebo konfiguraci. Pro účely tohoto článku fungují připojení site-to-site (S2S) a VNet-to-VNet stejným způsobem, protože obě jsou tunely IPsec. Všechny brány VPN v tomto článku jsou založené na trasách.
Jedna izolovaná virtuální síť
Připojení brány VPN typu point-to-site v tomto příkladu je pro virtuální síť, která není připojená nebo není v partnerském vztahu s žádnou jinou virtuální sítí (VNet1). V tomto příkladu můžou klienti přistupovat k síti VNet1.
Adresní prostor
- VNet1: 10.1.0.0/16
Přidané trasy
Trasy přidané do klientů s Windows: 10.1.0.0/16, 192.168.0.0/24
Trasy přidané do klientů jiných než Windows: 10.1.0.0/16, 192.168.0.0/24
Access
Klienti Windows mají přístup k virtuální síti 1
Klienti jiných systémů než Windows mají přístup k virtuální síti VNet1
Více partnerských virtuálních sítí
V tomto příkladu je připojení brány VPN typu point-to-site pro virtuální síť VNet1. Virtuální síť 1 je v partnerském vztahu s virtuální sítí VNet2. Virtuální síť 2 je v partnerském vztahu s virtuální sítí VNet3. Virtuální síť 1 je v partnerském vztahu s virtuální sítí VNet4. Mezi virtuální sítí VNet1 a VNet3 neexistuje žádný přímý partnerský vztah. Virtuální síť VNet1 má možnost Povolit průchod bránou a virtuální sítě VNet2 a VNet4 mají povolenou možnost Používat vzdálené brány.
Klienti používající Windows mají přístup přímo k virtuálním sítím v partnerském vztahu, ale pokud dojde k nějakým změnám partnerského vztahu virtuálních sítí nebo síťové topologie, musí se klient VPN znovu stáhnout. Klienti jiných systémů než Windows mají přístup k virtuálním sítím přímo v partnerském vztahu. Přístup není tranzitivní a omezuje se pouze na virtuální sítě v přímém partnerském vztahu.
Adresní prostor:
VNet1: 10.1.0.0/16
VNet2: 10.2.0.0/16
VNet3: 10.3.0.0/16
VNet4: 10.4.0.0/16
Přidané trasy
Trasy přidané do klientů s Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24
Trasy přidané ke klientům bez Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24
Access
Klienti s Windows mají přístup k virtuálním sítím VNet1, VNet2 a VNet4, ale aby se změny topologie projevily, musí být klient VPN znovu stažen.
Klienti bez Windows mají přístup k virtuálním sítím VNet1, VNet2 a VNet4.
Několik virtuálních sítí připojených pomocí sítě VPN S2S
V tomto příkladu je připojení brány VPN typu point-to-site pro virtuální síť VNet1. Virtuální síť VNet1 je připojená k síti VNet2 pomocí připojení VPN typu Site-to-Site. Virtuální síť VNet2 je připojená k síti VNet3 pomocí připojení VPN typu Site-to-Site. Mezi virtuální sítí VNet1 a VNet3 neexistuje žádný přímý partnerský vztah ani připojení VPN typu Site-to-Site. Všechna připojení typu Site-to-Site nepoužívají protokol BGP pro směrování.
Klienti, kteří používají Windows nebo jiný podporovaný operační systém, mají přístup jenom k síti VNet1. Pro přístup k dalším virtuálním sítím je nutné použít protokol BGP.
Adresní prostor
VNet1: 10.1.0.0/16
VNet2: 10.2.0.0/16
VNet3: 10.3.0.0/16
Přidané trasy
Trasy přidané do klientů s Windows: 10.1.0.0/16, 192.168.0.0/24
Trasy přidané ke klientům bez Windows: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24
Access
Klienti s Windows mají přístup jenom k virtuální síti VNet1
Klienti, kteří nejsou windows, mají přístup jenom k virtuální síti VNet1
Několik virtuálních sítí připojených pomocí S2S VPN (BGP)
V tomto příkladu je připojení brány VPN typu point-to-site pro virtuální síť VNet1. Virtuální síť VNet1 je připojená k síti VNet2 pomocí připojení VPN typu Site-to-Site. Virtuální síť VNet2 je připojená k síti VNet3 pomocí připojení VPN typu Site-to-Site. Mezi virtuální sítí VNet1 a VNet3 neexistuje žádný přímý partnerský vztah ani připojení VPN typu Site-to-Site. Všechna připojení typu Site-to-Site používají protokol BGP pro směrování.
Klienti používající Systém Windows nebo jiný podporovaný operační systém mají přístup ke všem virtuálním sítím, které jsou připojené pomocí připojení VPN typu Site-to-Site, ale trasy do připojených virtuálních sítí musí být ručně přidány do klientů s Windows.
Adresní prostor
VNet1: 10.1.0.0/16
VNet2: 10.2.0.0/16
VNet3: 10.3.0.0/16
Přidané trasy
Trasy přidané do klientů s Windows: 10.1.0.0/16, 192.168.0.0/24
Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24
Access
Klienti s Windows mají přístup k virtuálním sítím VNet1, VNet2 a VNet3, ale trasy do sítí VNet2 a VNet3 bude potřeba přidat ručně.
Klienti, kteří nejsou windows, mají přístup k virtuálním sítím VNet1, VNet2 a VNet3
Jedna virtuální síť a pobočka
V tomto příkladu je připojení brány VPN typu point-to-site pro virtuální síť VNet1. Virtuální síť VNet1 není připojená nebo v partnerském vztahu s žádnou jinou virtuální sítí, ale je připojená k místní lokalitě prostřednictvím připojení SITE-to-Site VPN, na kterém není spuštěn protokol BGP.
Klienti s Windows a ne windows mají přístup jenom k virtuální síti VNet1.
Adresní prostor
VNet1: 10.1.0.0/16
Web1: 10.101.0.0/16
Přidané trasy
Trasy přidané do klientů s Windows: 10.1.0.0/16, 192.168.0.0/24
Trasy přidané ke klientům bez Windows: 10.1.0.0/16, 192.168.0.0/24
Access
Klienti s Windows mají přístup pouze k virtuální síti 1.
Klienti, kteří nejsou windows, mají přístup jenom k virtuální síti VNet1
Jedna virtuální síť a pobočka (BGP)
V tomto příkladu je připojení brány VPN typu Point-to-Site pro síť VNet1. Síť VNet1 není připojená ani v partnerském vztahu s žádnou jinou virtuální sítí, ale je připojená k místní lokalitě (Site1) prostřednictvím připojení VPN typu Site-to-Site s protokolem BGP.
Klienti Systému Windows mají přístup k virtuální síti a pobočce (Lokalita1), ale trasy do lokality Site1 musí být do klienta přidány ručně. Klienti jiných systémů než Windows mají přístup k virtuální síti a k místní pobočce.
Adresní prostor
VNet1: 10.1.0.0/16
Web1: 10.101.0.0/16
Přidané trasy
Trasy přidané do klientů windows: 10.1.0.0/16, 192.168.0.0/24
Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24
Access
Klienti Windows mají přístup k virtuálním sítím VNet1 a Site1, ale trasy do lokality Site1 bude potřeba přidat ručně.
Klienti jiných systémů než Windows mají přístup k sítím VNet1 a Site1.
Několik virtuálních sítí připojených pomocí S2S a pobočky
V tomto příkladu je připojení brány VPN typu Point-to-Site pro síť VNet1. Síť VNet1 je připojená k síti VNet2 pomocí připojení VPN typu Site-to-Site. Síť VNet2 je připojená k síti VNet3 pomocí připojení VPN typu Site-to-Site. Mezi sítěmi VNet1 a VNet3 neexistuje žádný přímý partnerský vztah ani tunel VPN typu Site-to-Site. Síť VNet3 je připojená k pobočce (Lokalita1) pomocí připojení VPN typu Site-to-Site. Všechna připojení VPN nepoužívají protokol BGP.
Všichni klienti mají přístup pouze k síti VNet1.
Adresní prostor
VNet1: 10.1.0.0/16
VNet2: 10.2.0.0/16
VNet3: 10.3.0.0/16
Web1: 10.101.0.0/16
Přidané trasy
Trasy přidané do klientů windows: 10.1.0.0/16, 192.168.0.0/24
Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24
Access
Klienti Windows mají přístup jenom k síti VNet1.
Klienti jiných systémů než Windows mají přístup pouze k síti VNet1
Několik virtuálních sítí připojených pomocí S2S a pobočky (BGP)
V tomto příkladu je připojení brány VPN typu Point-to-Site pro síť VNet1. Síť VNet1 je připojená k síti VNet2 pomocí připojení VPN typu Site-to-Site. Síť VNet2 je připojená k síti VNet3 pomocí připojení VPN typu Site-to-Site. Mezi sítěmi VNet1 a VNet3 neexistuje žádný přímý partnerský vztah ani tunel VPN typu Site-to-Site. Síť VNet3 je připojená k pobočce (Lokalita1) pomocí připojení VPN typu Site-to-Site. Všechna připojení VPN používají protokol BGP.
Klienti používající Windows mají přístup k virtuálním sítím a lokalitám, které jsou připojené pomocí připojení SITE-to-Site VPN, ale trasy do sítí VNet2, VNet3 a Site1 musí být do klienta přidány ručně. Klienti jiných systémů než Windows mají přístup k virtuálním sítím a lokalitám připojeným pomocí připojení VPN typu Site-to-Site bez jakéhokoli ručního zásahu. Přístup je tranzitivní a klienti mají přístup k prostředkům ve všech připojených virtuálních sítích a lokalitách (v místním prostředí).
Adresní prostor
VNet1: 10.1.0.0/16
VNet2: 10.2.0.0/16
VNet3: 10.3.0.0/16
Web1: 10.101.0.0/16
Přidané trasy
Trasy přidané do klientů windows: 10.1.0.0/16, 192.168.0.0/24
Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24
Access
Klienti Windows mají přístup k sítím VNet1, VNet2, VNet3 a Site1, ale trasy do sítí VNet2, VNet3 a Site1 je potřeba do klienta přidat ručně.
Klienti jiných systémů než Windows mají přístup k sítím VNet1, VNet2, VNet3 a Site1.
Další kroky
Pokud chcete začít vytvářet P2S VPN, přečtěte si téma Vytvoření P2S VPN pomocí Azure Portal.