Sdílet prostřednictvím


Informace o nastavení konfigurace služby VPN Gateway

Architektura připojení brány VPN spoléhá na konfiguraci více prostředků, z nichž každá obsahuje konfigurovatelná nastavení. Oddíly v tomto článku diskutují o prostředcích a nastaveních, které se týkají brány VPN pro virtuální síť vytvořenou v modelu nasazení Resource Manager. Popisy a diagramy topologie pro každé řešení připojení najdete v článku o topologii a návrhu služby VPN Gateway.

Hodnoty v tomto článku se konkrétně vztahují na brány VPN (brány virtuální sítě, které používají -GatewayType Vpn). Pokud hledáte informace o následujících typech bran, projděte si následující články:

Brány a typy bran

Brána virtuální sítě se skládá ze dvou nebo více virtuálních počítačů spravovaných Azure, které jsou automaticky nakonfigurované a nasazené do konkrétní podsítě, kterou vytvoříte, která se nazývá podsíť brány. Virtuální počítače brány obsahují směrovací tabulky a spouštějí konkrétní služby brány.

Když vytvoříte bránu virtuální sítě, virtuální počítače brány se automaticky nasadí do podsítě brány (vždy s názvem GatwaySubnet) a nakonfigurují se s nastavením, která jste zadali. Dokončení tohoto procesu může trvat 45 minut nebo déle v závislosti na vybrané skladové po straně brány.

Jedním z nastavení, která zadáte při vytváření brány virtuální sítě, je typ brány. Typ brány určuje, jak se brána virtuální sítě používá, a akce, které brána provede. Virtuální síť může mít dvě brány virtuální sítě; jednu bránu VPN a jednu bránu ExpressRoute. Typ brány Vpn určuje, že typ vytvořené brány virtuální sítě je brána VPN. Tím se liší od brány ExpressRoute, která používá jiný typ brány.

Při vytváření brány virtuální sítě se musíte ujistit, že je typ brány pro vaši konfiguraci správný. Dostupné hodnoty pro -GatewayType jsou:

  • Vpn
  • ExpressRoute

Brána VPN vyžaduje -GatewayTypevpn.

Příklad:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

Skladové položky brány a výkon

Nejnovější informace o SKU brány, výkonu a podporovaných funkcích najdete v článku o skladových pocích brány.

Typy sítě VPN

podpora Azure dva různé typy sítě VPN pro brány VPN: založené na zásadách a směrování. Brány VPN založené na směrování jsou založené na jiné platformě než brány VPN založené na zásadách. Výsledkem jsou různé specifikace brány. Ve většině případů vytvoříte bránu VPN založenou na směrování.

Starší skladové položky brány dříve nepodporují IKEv1 pro brány založené na trasách. Většina aktuálních skladových položek brány teď podporuje IKEv1 i IKEv2. Od 1. října 2023 nemůžete vytvořit bránu VPN založenou na zásadách prostřednictvím webu Azure Portal, k dispozici jsou pouze brány založené na směrování. Pokud chcete vytvořit bránu založenou na zásadách, použijte PowerShell nebo rozhraní příkazového řádku.

Pokud už máte bránu založenou na zásadách, nemusíte bránu měnit na směrování, pokud nechcete použít konfiguraci, která vyžaduje bránu založenou na směrování, například point-to-site. Bránu založenou na zásadách nemůžete převést na směrování. Musíte odstranit existující bránu a pak vytvořit novou bránu jako založenou na směrování.

Typ sítě VPN brány Skladová položka brány Podporované verze IKE
Brána založená na zásadách Basic IKEv1
Brána založená na směrování Basic IKEv2
Brána založená na směrování VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 a IKEv2
Brána založená na směrování VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 a IKEv2

Typy připojení

V modelu nasazení Resource Manager vyžaduje každá konfigurace konkrétní typ připojení brány virtuální sítě. Dostupné hodnoty prostředí PowerShell v Resource Manageru pro -ConnectionType jsou:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

V následujícím příkladu PowerShellu vytvoříme připojení S2S, které vyžaduje typ připojení IPsec.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'

Režimy připojení

Vlastnost Režim připojení se vztahuje pouze na brány VPN založené na směrování, které používají připojení IKEv2. Režimy připojení definují směr inicializace připojení a vztahují se pouze na počáteční navázání připojení IKE. Každá strana může zahájit opětovné klíče a další zprávy. IniciátorOnly znamená, že připojení musí iniciovat Azure. ResponderOnly znamená, že připojení musí být inicializováno místním zařízením. Výchozí chování je přijmout a vytočit, podle toho, co se připojí jako první.

Podsíť brány

Před vytvořením brány VPN musíte vytvořit podsíť brány. Podsíť brány obsahuje IP adresy, které používají virtuální počítače a služby brány virtuální sítě. Při vytváření brány virtuální sítě se virtuální počítače brány nasadí do podsítě brány a nakonfigurují se s požadovaným nastavením brány VPN. Nikdy do podsítě brány nenasazujte nic jiného (například více virtuálních počítačů). Aby podsíť brány správně fungovala, musí mít název GatewaySubnet. Pojmenování podsítě brány GatewaySubnet informuje Azure, že se jedná o podsíť, do které by měla nasadit virtuální počítače a služby brány virtuální sítě.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. IP adresy v podsíti brány se přidělují virtuálním počítačům brány a službám brány. Některé konfigurace vyžadují víc IP adres než jiné.

Při plánování velikosti podsítě brány si projděte dokumentaci ke konfiguraci, kterou plánujete vytvořit. Například existující konfigurace ExpressRoute/VPN Gateway vyžaduje větší podsíť brány než většina ostatních konfigurací. I když je možné vytvořit podsíť brány tak malou jako /29 (platí jenom pro skladovou položku Basic), všechny ostatní skladové položky vyžadují podsíť brány s velikostí /27 nebo větší (/27, /26, /25 atd.). Můžete chtít vytvořit podsíť brány větší než /27, aby podsíť byla dostatek IP adres, aby vyhovovala možným budoucím konfiguracím.

Následující příklad PowerShellu Resource Manageru ukazuje podsíť brány s názvem GatewaySubnet. Zápis CIDR určuje /27, což umožňuje dostatek IP adres pro většinu aktuálně existujících konfigurací.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Požadavky:

  • Trasy definované uživatelem s cílem 0.0.0.0/0 a skupinami zabezpečení sítě v podsítě GatewaySubnet se nepodporují. Vytváření bran s touto konfigurací je blokováno. Brány ke správnému fungování vyžadují přístup k řadičům pro správu. Šíření tras protokolu BGP by mělo být v podsítě brány nastaveno na Povoleno, aby se zajistila dostupnost brány. Pokud je šíření tras protokolu BGP v nastavení zakázáno, brána nebude fungovat.

  • Pokud se trasa definovaná uživatelem překrývá s rozsahem podsítě brány nebo rozsahem veřejných IP adres brány, může to mít vliv na diagnostiku, cestu k datům a cestu správy.

Brány místní sítě

Brána místní sítě se liší od brány virtuální sítě. Při práci s architekturou site-to-site brány VPN představuje brána místní sítě obvykle vaši místní síť a odpovídající zařízení VPN. V modelu nasazení Classic se brána místní sítě označuje jako místní lokalita.

Při konfiguraci brány místní sítě zadáte název, veřejnou IP adresu nebo plně kvalifikovaný název domény (FQDN) místního zařízení VPN a předpony adres, které se nacházejí v místním umístění. Azure se podívá na předpony cílových adres pro síťový provoz, zkontroluje konfiguraci, kterou jste zadali pro bránu místní sítě, a odpovídajícím způsobem směruje pakety. Pokud na zařízení VPN používáte protokol BGP (Border Gateway Protocol), zadáte IP adresu partnerského uzlu protokolu BGP vašeho zařízení VPN a číslo autonomního systému (ASN) místní sítě. Také zadáte brány místní sítě pro konfigurace typu VNet-to-VNet, které používají připojení brány VPN.

Následující příklad PowerShellu vytvoří novou bránu místní sítě:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Někdy potřebujete upravit nastavení brány místní sítě. Když například přidáte nebo upravíte rozsah adres nebo když se ZMĚNÍ IP adresa zařízení VPN. Další informace najdete v tématu Úprava nastavení brány místní sítě.

Rozhraní REST API, rutiny PowerShellu a rozhraní příkazového řádku

Technické prostředky a specifické požadavky na syntaxi při používání rozhraní REST API, rutin PowerShellu nebo Azure CLI pro konfigurace služby VPN Gateway najdete na následujících stránkách:

Klasické Resource Manager
PowerShell PowerShell
REST API REST API
Nepodporováno Azure CLI

Další kroky

Další informace o dostupných konfiguracích připojení najdete v tématu o službě VPN Gateway.