Připojení bránu VPN k několika místním zařízením VPN založeným na zásadách

Tento článek vám pomůže nakonfigurovat bránu VPN založenou na směrování Azure tak, aby se připojila k několika místním zařízením VPN založeným na zásadách využívajících vlastní zásady IPsec/IKE u připojení VPN typu S2S. Kroky v tomto článku používají Azure PowerShell.

Informace o branách VPN založených na zásadách a trasách

Zařízení VPN založená na zásadách a zařízení VPN založená na směrování se liší v tom, jak jsou selektory provozu protokolu IPsec nastavené v připojení:

• Zařízení VPN založená na zásadách používají kombinace předpon z obou sítí k definování způsobu šifrování a dešifrování provozu prostřednictvím tunelů IPsec. Obvykle je postavená na zařízeních brány firewall, která provádějí filtrování paketů. Šifrování a dešifrování tunelů IPsec se přidává do modulu filtrování a zpracování paketů.
• Zařízení VPN založená na směrování používají selektory provozu typu any-to-any (wildcard) a umožňují směrovat a směrovat tabulky směrovat provoz do různých tunelů IPsec. Obvykle je postaven na platformách směrovačů, kde se každý tunel IPsec modeluje jako síťové rozhraní nebo VTI (virtuální tunelové rozhraní).

Následující diagramy zvýrazňují dva modely:

Příklad sítě VPN založené na zásadách

Příklad sítě VPN založené na směrování

podpora Azure pro síť VPN založenou na zásadách

V současné době podpora Azure oba režimy bran VPN: brány VPN založené na směrování a brány VPN založené na zásadách. Jsou postavené na různých interních platformách, což vede k různým specifikacím. Další informace o branách, propustnosti a připojeních najdete v tématu o nastavení služby VPN Gateway.

Typ sítě VPN brány	Skladová položka brány	Podporované verze IKE
Brána založená na zásadách	Basic	IKEv1
Brána založená na směrování	Basic	IKEv2
Brána založená na směrování	VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5	IKEv1 a IKEv2
Brána založená na směrování	VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ	IKEv1 a IKEv2

Dříve jste při práci s sítěmi VPN založenými na zásadách byli omezeni na použití základní skladové položky brány VPN založené na zásadách a mohli se připojit pouze k 1 místnímu zařízení VPN nebo bráně firewall. Teď pomocí vlastních zásad IPsec/IKE můžete použít bránu VPN založenou na směrování a připojit se k několika zařízením VPN/firewall založeným na zásadách. Pokud chcete vytvořit připojení VPN založené na zásadách pomocí brány VPN založené na směrování, nakonfigurujte bránu VPN založenou na směrování tak, aby používala selektory provozu založené na předponách s možností PolicyBasedTrafficSelectors.

Důležité informace

• Aby bylo možné toto připojení povolit, musí vaše místní zařízení VPN založená na zásadách podporovat protokol IKEv2 , aby se mohla připojit k branám VPN založeným na směrování Azure. Zkontrolujte specifikace zařízení VPN.

• Místní sítě připojující se prostřednictvím zařízení VPN založených na zásadách s tímto mechanismem se můžou připojit pouze k virtuální síti Azure; nemůžou přenášet do jiných místních sítí nebo virtuálních sítí přes stejnou bránu Azure VPN Gateway.

• Možnost konfigurace je součástí vlastních zásad připojení IPsec/IKE. Pokud povolíte možnost selektoru provozu založeného na zásadách, musíte zadat úplnou zásadu (algoritmy šifrování IPsec/IKE a algoritmy integrity, silné stránky klíčů a životnosti přidružení zabezpečení).

Následující diagram ukazuje, proč směrování přenosu přes bránu VPN nefunguje s možností založenou na zásadách:

Jak je znázorněno v diagramu, brána Azure VPN gateway má selektory provozu z virtuální sítě do každé z předpon místní sítě, ale ne předpony křížového připojení. Například místní lokalita 2, lokalita 3 a lokalita 4 můžou komunikovat s virtuální sítí 1, ale nemůžou se vzájemně připojovat přes bránu Azure VPN. Diagram znázorňuje selektory provozu křížového připojení, které nejsou v bráně Azure VPN v této konfiguraci dostupné.

Workflow

Pokyny v tomto článku se řídí stejným příkladem, jak je popsáno v tématu Konfigurace zásad IPsec/IKE pro připojení typu S2S nebo VNet-to-VNet k navázání připojení VPN typu S2S. Toto je znázorněno v následujícím diagramu:

Pokud chcete povolit připojení, použijte následující pracovní postup:

1. Vytvořte virtuální síť, bránu VPN a bránu místní sítě pro vaše připojení mezi místními sítěmi.
2. Vytvořte zásadu IPsec/IKE.
3. Tuto zásadu použijte při vytváření připojení typu S2S nebo VNet-to-VNet a povolte selektory provozu na základě zásad v připojení.
4. Pokud je připojení již vytvořené, můžete zásadu použít nebo aktualizovat na existující připojení.

Povolení selektorů provozu na základě zásad

V této části se dozvíte, jak u připojení povolit selektory provozu založené na zásadách. Ujistěte se, že jste dokončili část 3 článku Konfigurace zásad IPsec/IKE. Kroky v tomto článku používají stejné parametry.

Vytvoření virtuální sítě, brány VPN a brány místní sítě

1. Připojte se ke svému předplatnému. Pokud používáte PowerShell místně na počítači, přihlaste se pomocí rutiny Připojení-AzAccount. Nebo místo toho použijte Azure Cloud Shell v prohlížeči.

2. Deklarujte proměnné. V tomto cvičení používáme následující proměnné:

   $Sub1          = "<YourSubscriptionName>"
   $RG1           = "TestPolicyRG1"
   $Location1     = "East US 2"
   $VNetName1     = "TestVNet1"
   $FESubName1    = "FrontEnd"
   $BESubName1    = "Backend"
   $GWSubName1    = "GatewaySubnet"
   $VNetPrefix11  = "10.11.0.0/16"
   $VNetPrefix12  = "10.12.0.0/16"
   $FESubPrefix1  = "10.11.0.0/24"
   $BESubPrefix1  = "10.12.0.0/24"
   $GWSubPrefix1  = "10.12.255.0/27"
   $DNS1          = "8.8.8.8"
   $GWName1       = "VNet1GW"
   $GW1IPName1    = "VNet1GWIP1"
   $GW1IPconf1    = "gw1ipconf1"
   $Connection16  = "VNet1toSite6"
   $LNGName6      = "Site6"
   $LNGPrefix61   = "10.61.0.0/16"
   $LNGPrefix62   = "10.62.0.0/16"
   $LNGIP6        = "131.107.72.22"
   

3. Vytvořte skupinu prostředků.

   New-AzResourceGroup -Name $RG1 -Location $Location1
   

4. Pomocí následujícího příkladu vytvořte virtuální síť TestVNet1 se třemi podsítěmi a bránou VPN. Pokud chcete nahradit hodnoty, je důležité vždy pojmenovat podsíť brány konkrétně GatewaySubnet. Pokud použijete jiný název, vytvoření brány se nezdaří.

   $fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
   $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
   $gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
   
   New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
   
   $gw1pip1    = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
   $vnet1      = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
   $subnet1    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
   $gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1
   
   New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1
   
   New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62
   

Vytvoření připojení VPN S2S pomocí zásad IPsec/IKE

1. Vytvořte zásadu IPsec/IKE.

   Důležité

   Abyste u připojení povolili možnost UsePolicyBasedTrafficSelectors, musíte vytvořit zásadu IPsec/IKE.

   Následující příklad vytvoří zásadu IPsec/IKE s těmito algoritmy a parametry:

   • IKEv2: AES256, SHA384, DHGroup24
   • IPsec: AES256, SHA256, PFS None, SA Lifetime 14400 sekund & 102400000KB

   $ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
   

2. Vytvořte připojení S2S VPN pomocí selektorů provozu založených na zásadách a zásad IPsec/IKE a použijte zásadu IPsec/IKE vytvořenou v předchozím kroku. Mějte na paměti další parametr -UsePolicyBasedTrafficSelectors $True", který umožňuje selektory provozu založené na zásadách na připojení.

   $vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
   $lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1
   
   New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -UsePolicyBasedTrafficSelectors $True -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'
   

3. Po dokončení kroků bude připojení VPN typu S2S používat definované zásady IPsec/IKE a povolit selektory provozu založené na zásadách v připojení. Stejným postupem můžete přidat další připojení k dalším místním zařízením VPN založeným na zásadách ze stejné brány Azure VPN.

Aktualizace selektorů provozu založených na zásadách

V této části se dozvíte, jak aktualizovat možnost selektorů provozu založených na zásadách pro stávající připojení VPN typu S2S.

1. Získejte prostředek připojení.

   $RG1          = "TestPolicyRG1"
   $Connection16 = "VNet1toSite6"
   $connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
   

2. Umožňuje zobrazit možnost selektorů provozu na základě zásad. Následující řádek ukazuje, jestli se pro připojení používají selektory provozu založené na zásadách:

   $connection6.UsePolicyBasedTrafficSelectors
   

   Pokud řádek vrátí hodnotu True, pak se pro připojení konfigurují selektory provozu založené na zásadách, jinak vrátí hodnotu False.

3. Jakmile získáte prostředek připojení, můžete u připojení povolit nebo zakázat selektory provozu založené na zásadách.

   • Povolení

     Následující příklad umožňuje selektory provozu založené na zásadách, ale ponechá zásady IPsec/IKE beze změny:

     $RG1          = "TestPolicyRG1"
     $Connection16 = "VNet1toSite6"
     $connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
     
     Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True
     

   • Zakázání

     Následující příklad zakáže možnost selektorů provozu založených na zásadách, ale ponechá zásady IPsec/IKE beze změny:

     $RG1          = "TestPolicyRG1"
     $Connection16 = "VNet1toSite6"
     $connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
     
     Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $False
     

Další kroky

Po dokončení připojení můžete do virtuálních sítí přidávat virtuální počítače. Kroky jsou uvedeny v tématu Vytvoření virtuálního počítače.

Další podrobnosti o vlastních zásadách IPsec/IKE pro připojení S2S VPN nebo VNet-to-VNet najdete také v tématu Konfigurace zásad IPsec/IKE.