Partage via

Passerelle du serveur d’accès à distance

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Avec la passerelle RAS, les fournisseurs de services cloud (CSP) et les entreprises peuvent activer le routage du trafic réseau sur le cloud et les centres de données entre des réseaux aussi bien virtuels que physiques, notamment Internet.

Notes

La passerelle RAS prend en charge IPv4 et IPv6, notamment le transfert IPv4 et IPv6. Quand vous configurez la passerelle RAS avec la traduction d’adresses réseau (NAT), seul NAT44 est pris en charge.

À qui la passerelle RAS s’adresse-t-elle ?

Si vous êtes administrateur système, architecte réseau ou tout autre professionnel de l’informatique, la passerelle RAS peut vous intéresser dans un ou plusieurs des cas suivants :

  • Vous concevez ou prenez en charge une infrastructure informatique qui utilise ou utilisera Hyper-V pour le déploiement de machines virtuelles sur des réseaux virtuels.

  • Vous concevez ou prenez en charge une infrastructure informatique pour une organisation qui a déployé ou prévoit de déployer des technologies cloud.

  • Vous voulez fournir une connexion entre les réseaux physiques et les réseaux virtuels.

  • Vous voulez fournir aux clients de votre organisation un accès à leurs réseaux virtuels sur Internet.

  • Vous souhaitez connecter des bureaux à différents emplacements physiques sur Internet.

Cette rubrique, qui s’adresse aux professionnels de l’informatique, présente des informations sur la passerelle du serveur d’accès à distance (RAS), notamment les modes et fonctionnalités de déploiement de la passerelle RAS.

Cette rubrique contient les sections suivantes :

Modes de déploiement de la passerelle RAS

La passerelle RAS comprend les modes de déploiement suivants :

Mode locataire unique

Il est recommandé de ne pas déployer la passerelle RAS en mode locataire unique. Pour les scénarios en mode locataire unique, consultez Locataire unique.

Mode multilocataire

Si votre organisation est un fournisseur de services cloud (CSP) ou une entreprise avec plusieurs locataires, vous pouvez déployer la passerelle RAS en mode multilocataire pour fournir le routage du trafic réseau à destination et en provenance de réseaux virtuels et physiques.

Une architecture multilocataire désigne la possibilité pour une infrastructure cloud de prendre en charge les charges de travail des machines virtuelles de plusieurs locataires. Bien qu’isolées les unes des autres, les charges sont exécutées dans la même infrastructure. Les multiples charges de travail d’un locataire seul peuvent être interconnectées et être gérées à distance mais ces systèmes n’offrent aucune interconnexion avec les charges de travail d’autres locataires et ces derniers ne peuvent pas eux-mêmes les gérer à distance.

Par exemple, une entreprise peut disposer de plusieurs sous-réseaux virtuels, chacun étant dédié à un service spécifique, par exemple Recherche et développement ou Comptabilité. Autre exemple : un CSP avec plusieurs clients qui utilisent des sous-réseaux virtuels isolés au sein du même centre de données physique. Dans les deux cas, la passerelle RAS peut router le trafic à destination et ne provenance de chaque locataire tout en maintenant l’isolation de chaque locataire. La passerelle RAS prend donc en charge plusieurs locataires.

Les réseaux virtuels sont créés à l’aide de la virtualisation de réseau Hyper-V. La passerelle RAS est intégrée à la virtualisation de réseau Hyper-V, et est en mesure de router le trafic réseau efficacement dans des scénarios à plusieurs clients (locataires) qui utilisent des réseaux virtuels isolés dans le même centre de données.

La virtualisation de réseau Hyper-V vous permet de déployer un réseau de machines virtuelles qui est indépendant du réseau physique sous-jacent. Avec les réseaux de machines virtuelles, qui sont constitués d’un ou de plusieurs sous-réseaux virtuels, l’emplacement physique exact d’un sous-réseau IP est dissocié de la topologie réseau virtuelle. C’est pourquoi vous pouvez facilement déplacer vos sous-réseaux locaux vers le cloud, tout en conservant vos adresses IP existantes et la topologie dans le cloud. Cette capacité à conserver l’infrastructure permet aux services existants de continuer à fonctionner, sans se préoccuper de l’emplacement physique des sous-réseaux. Autrement dit, la virtualisation de réseau Hyper-V permet de créer un cloud hybride transparent.

Notes

La virtualisation de réseau Hyper-V est une technologie de superposition de réseau qui utilise NVGRE (Network Virtualization Generic Routing Encapsulation), qui permet aux locataires d’utiliser leur propre espace d’adressage et offre aux CSP une meilleure extensibilité que ce qui est possible en utilisant des réseaux locaux virtuels pour l’isolation des locataires.

Dans Windows Server, la passerelle RAS route le trafic réseau entre le réseau physique et les ressources réseau de machine virtuelle, où que se trouvent les ressources. Vous pouvez utiliser la passerelle RAS pour router le trafic réseau entre des réseaux virtuels et des réseaux physiques se trouvant dans le même emplacement physique ou entre plusieurs emplacements physiques.

Par exemple, si vous avez un réseau physique et un réseau virtuel dans le même emplacement physique, vous pouvez déployer un ordinateur exécutant Hyper-V configuré avec une machine virtuelle de passerelle RAS pour jouer le rôle de passerelle de transfert et router le trafic entre les réseaux virtuels et physiques.

Autre exemple : Si vos réseaux virtuels existent dans le cloud, votre CSP peut déployer une passerelle RAS afin que vous puissiez créer une connexion VPN site à site entre votre serveur VPN et la passerelle RAS du CSP. Quand cette liaison est établie, vous pouvez vous connecter à vos ressources virtuelles dans le cloud via la connexion VPN.

Pour plus d’informations, consultez Haute disponibilité de la passerelle RAS.

Clustering de la passerelle RAS pour la haute disponibilité

La passerelle RAS est déployée sur un ordinateur dédié qui exécute Hyper-V et qui est configuré avec une machine virtuelle. La machine virtuelle est ensuite configurée en tant que passerelle RAS.

Pour une haute disponibilité des ressources réseau, vous pouvez déployer la passerelle RAS avec un basculement en utilisant deux serveurs hôtes physiques qui exécutent Hyper-V et une machine virtuelle configurée en tant que passerelle. Les ordinateurs virtuels passerelle sont ensuite configurés en cluster pour fournir la protection de basculement contre les pannes réseau et matérielles.

Par exemple, si votre organisation est une entreprise avec un déploiement de cloud privé, vous n’aurez peut-être besoin que de deux machines virtuelles de passerelle RAS, chacune étant installée sur un ordinateur différent exécutant Hyper-V. Dans ce scénario, les machines virtuelles de passerelle RAS sont ajoutées à un cluster pour fournir une haute disponibilité.

Dans un autre exemple, , si votre organisation est un fournisseur de services cloud (CSP) avec deux cents locataires dans votre centre de données, vous pouvez utiliser huit machines virtuelles de passerelle RAS, chaque paire de machines virtuelles de passerelle RAS en cluster fournissant des services de routage à cinquante locataires. Dans ce scénario, deux ordinateurs exécutant Hyper-V ont chacun quatre machines virtuelles configurées en tant que passerelles RAS. Vous configurez ensuite quatre clusters de machines virtuelles de passerelle RAS, chaque cluster contenant une machine virtuelle de chaque ordinateur exécutant Hyper-V.

Quand vous déployez la passerelle RAS, les serveurs hôtes qui exécutent Hyper-V et les ordinateurs virtuels que vous configurez en passerelle doivent exécuter Windows Server.

Fonctionnalités de la passerelle RAS

La passerelle RAS inclut les fonctionnalités suivantes :

  • VPN de site à site. Cette fonctionnalité de la passerelle RAS vous permet de connecter deux réseaux à des emplacements physiques différents sur Internet à l’aide d’une connexion VPN site à site. Si vous avez un bureau principal et plusieurs succursales, vous pouvez déployer une passerelle RAS de périphérie à chaque emplacement et créer des connexions site à site pour fournir un flux de trafic réseau entre les emplacements. Pour les CSP qui hébergent de nombreux locataires dans leur centre de données, la passerelle RAS fournit une solution de passerelle multilocataire qui permet à vos locataires d’accéder à leurs ressources et de les gérer sur des connexions VPN site à site à partir de sites distants, et qui autorise le flux de trafic réseau entre les ressources virtuelles de votre centre de données et leur réseau physique.

  • VPN point à site. Cette fonctionnalité de passerelle RAS permet aux employés ou administrateurs de l’organisation de se connecter au réseau de votre organisation à partir d’emplacements distants. Pour les déploiements à locataire unique de la passerelle RAS, les employés distants peuvent se connecter au réseau de votre organisation à l’aide d’une connexion VPN. Cette connexion leur permet d’utiliser des ressources réseau internes, telles que des sites web intranet et des serveurs de fichiers. Pour les déploiements multilocataires, les administrateurs réseau locataires peuvent utiliser des connexions VPN point à site pour accéder aux ressources de réseau virtuel se trouvant dans le centre de données du CSP.

  • Routage dynamique avec le protocole BGP (Border Gateway Protocol). Le protocole BGP réduit le besoin de configuration manuelle de routage sur les routeurs, car il s’agit d’un protocole de routage dynamique qui, de plus, découvre automatiquement les itinéraires entre les sites qui sont connectés via des connexions VPN de site à site. Si votre organisation a plusieurs sites qui sont connectés à l’aide de routeurs compatibles avec le protocole BGP, comme la passerelle RAS, le protocole BGP permet aux routeurs de calculer et d’utiliser automatiquement des routes valides entre eux en cas d’interruption ou de défaillance du réseau. Pour plus d’informations, consultez la RFC 4271.

  • Traduction d’adresses réseau (NAT). La traduction d’adresses réseau (NAT) vous permet de partager une connexion à l’Internet public via une interface unique avec une seule adresse IP publique. Les ordinateurs sur le réseau privé utilisent des adresses privées non routables. La traduction d’adresses réseau (NAT) mappe les adresses privées à l’adresse publique. Cette fonctionnalité de passerelle RAS permet aux employés de l’organisation avec des déploiements à locataire unique d’accéder à des ressources Internet se trouvant derrière la passerelle. Pour les CSP, cette fonctionnalité permet aux applications qui s’exécutent sur des machines virtuelles locataires d’accéder à Internet. Par exemple, une machine virtuelle locataire configurée en tant que serveur web peut contacter des ressources financières externes pour traiter des transactions par carte de crédit.

Scénarios de déploiement de la passerelle RAS

Les scénarios de déploiement recommandés pour la passerelle RAS sont les suivants :

  • Périphérie d’entreprise - Déploiement à locataire unique. Avec le déploiement d’entreprise à locataire unique, vous pouvez connecter un emplacement physique à plusieurs autres emplacements physiques sur Internet en utilisant la fonctionnalité VPN site à site, et le protocole BGP (Border Gateway Protocol) vous permet d’utiliser le routage dynamique. Vous pouvez également fournir aux employés distants l’accès au réseau de votre organisation avec des connexions VPN point à site et des connexions DirectAccess. (Les connexions DirectAccess sont toujours activées, et offrent également l’avantage de pouvoir gérer facilement les ordinateurs qui sont connectés à l’aide de DirectAccess, car ils sont connectés chaque fois qu’ils sont sous tension et connectés à Internet.) Vous pouvez également configurer des passerelles RAS d’entreprise à locataire unique avec NAT, afin que les ordinateurs de votre intranet puissent facilement communiquer avec Internet.

  • Périphérie du fournisseur de services cloud - Déploiement multilocataire. Le déploiement multilocataire de la passerelle RAS pour les fournisseurs de services cloud vous permet d’offrir à vos locataires toutes les fonctionnalités disponibles avec le déploiement à locataire unique de périphérie d’entreprise. Les connexions VPN site à site entre les réseaux virtuels de locataire dans votre centre de données et les emplacements réseau de locataire sur Internet signifient que les locataires ont tout le temps un accès continu à leurs ressources cloud. L’accès VPN point à site pour les locataires signifie que les administrateurs de locataires peuvent toujours se connecter à leurs réseaux virtuels dans votre centre de données pour gérer leurs ressources. Le protocole BGP fournit un routage dynamique et maintient les locataires connectés à leurs ressources, même lorsque des problèmes réseau se produisent sur Internet ou ailleurs. Et NAT permet aux machines virtuelles locataires de se connecter à des ressources sur Internet, telles que des ressources de traitement des cartes de crédit.

Outils de gestion de la passerelle RAS

Les outils de gestion pour la passerelle RAS sont les suivants :

  • Dans Windows Server 2016, pour déployer un routeur de passerelle RAS, vous devez utiliser des commandes Windows PowerShell. Pour plus d’informations, consultez Applets de commande d’accès à distance pour Windows Server et Windows 11.

  • Dans System Center Virtual Machine Manager (VMM), la passerelle RAS est nommée Passerelle Windows Server. Seules certaines options de configuration du protocole BGP (Border Gateway Protocol) sont disponibles dans l’interface logicielle VMM, notamment les valeurs Adresse IP BGP locale, Numéros de système autonomes (ASN, Autonomous System Numbers), Liste des adresses IP de pairs BGP et ASN. Cependant, vous pouvez utiliser les commandes BGP Windows PowerShell d’accès à distance pour configurer toutes les autres fonctionnalités de la passerelle Windows Server. Pour plus d’informations, consultez Virtual Machine Manager (VMM) et Applets de commande d’accès à distance pour Windows Server et le client Windows.