Tudnivalók a VPN Gateway konfigurációs beállításairól
A VPN Gateway kapcsolati architektúrája több erőforrás konfigurálására támaszkodik, amelyek mindegyike konfigurálható beállításokat tartalmaz. A cikk szakaszai a Resource Manager-alapú üzemi modellben létrehozott virtuális hálózat VPN-átjáróihoz kapcsolódó erőforrásokat és beállításokat ismertetik. A VPN Gateway topológiájában és tervezési cikkében megtalálja az egyes kapcsolati megoldások leírását és topológiai diagramjait.
A cikkben szereplő értékek kifejezetten a VPN-átjárókra (a -GatewayType VPN-t használó virtuális hálózati átjárókra) vonatkoznak. Ha az alábbi átjárótípusokról szeretne információt keresni, tekintse meg az alábbi cikkeket:
- Az -GatewayType "ExpressRoute" értékeivel kapcsolatban lásd az ExpressRoute virtuális hálózati átjáróit.
- A zónaredundáns átjárókról lásd a zónaredundáns átjárókról szóló témakört.
- Az aktív-aktív átjárókról a magas rendelkezésre állású kapcsolatokról szóló cikkben olvashat.
- A Virtual WAN-átjárók esetében lásd a Virtual WAN-ról szóló témakört.
Átjárók és átjárótípusok
A virtuális hálózati átjáró két vagy több Azure-beli felügyelt virtuális gépből áll, amelyek automatikusan konfigurálva és üzembe helyezve vannak az átjáró alhálózatának nevezett adott alhálózaton. Az átjáró virtuális gépei útválasztási táblákat tartalmaznak, és meghatározott átjárószolgáltatásokat futtatnak.
Virtuális hálózati átjáró létrehozásakor az átjáró virtuális gépei automatikusan üzembe lesznek helyezve az átjáró alhálózatán (mindig GatwaySubnet néven), és a megadott beállításokkal vannak konfigurálva. Ez a folyamat a kiválasztott átjáró termékváltozatától függően akár 45 percet is igénybe vehet.
A virtuális hálózati átjáró létrehozásakor megadott beállítások egyike az átjáró típusa. Az átjáró típusa határozza meg a virtuális hálózati átjáró használatát és az átjáró által végrehajtott műveleteket. Egy virtuális hálózat két virtuális hálózati átjáróval rendelkezhet; egy VPN-átjáró és egy ExpressRoute-átjáró. A "Vpn" átjárótípus azt határozza meg, hogy a létrehozott virtuális hálózati átjáró típusa VPN-átjáró. Ez megkülönbözteti az ExpressRoute-átjárótól, amely más átjárótípust használ.
Virtuális hálózati átjáró létrehozásakor meg kell győződnie arról, hogy az átjáró típusa helyes a konfigurációhoz. A -GatewayType elérhető értékei a következők:
- Vpn
- ExpressRoute
A VPN-átjárókhoz vpn -GatewayTypeszükséges.
Példa:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Átjáró termékváltozatai és teljesítménye
Az átjáró-termékváltozatokról, a teljesítményről és a támogatott funkciókról az Átjáró termékváltozatairól szóló cikk nyújt tájékoztatást.
VPN-típusok
Azure-támogatás VPN-átjárókhoz két különböző VPN-típust biztosít: szabályzatalapú és útvonalalapú. Az útvonalalapú VPN-átjárók a szabályzatalapú VPN-átjáróktól eltérő platformra épülnek. Ez különböző átjáró-specifikációkat eredményez.
A legtöbb esetben egy útvonalalapú VPN-átjárót fog létrehozni. Korábban a régebbi átjáró-termékváltozatok nem támogatták az IKEv1-et az útvonalalapú átjárók esetében. A jelenlegi átjáró-termékváltozatok többsége támogatja az IKEv1 és az IKEv2 szolgáltatást is. Ha már rendelkezik szabályzatalapú átjáróval, az átjárót nem kell útvonalalapúra frissítenie.
Ha szabályzatalapú átjárót szeretne létrehozni, használja a PowerShellt vagy a parancssori felületet. 2023. október 1-étől nem hozhat létre szabályzatalapú VPN-átjárót az Azure Portalon keresztül, csak útvonalalapú átjárók érhetők el.
| Átjáró VPN-típusa | Átjáró termékváltozata | Támogatott IKE-verziók |
|---|---|---|
| Szabályzatalapú átjáró | Alap | IKEv1 |
| Útvonalalapú átjáró | Alap | IKEv2 |
| Útvonalalapú átjáró | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 és IKEv2 |
| Útvonalalapú átjáró | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 és IKEv2 |
Kapcsolattípusok
A Resource Manager-alapú üzemi modellben minden konfigurációhoz szükség van egy adott virtuális hálózati átjáró kapcsolattípusára. A -ConnectionType lehetséges Resource Manager PowerShell-értékei a következők:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
A következő PowerShell-példában létrehozunk egy S2S-kapcsolatot, amely az IPsec kapcsolattípust igényli.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
Csatlakozás ion mód
A Csatlakozás ion mód tulajdonság csak az IKEv2 kapcsolatokat használó útvonalalapú VPN-átjárókra vonatkozik. Csatlakozás ion módok határozzák meg a kapcsolat kezdeményezési irányát, és csak a kezdeti IKE-kapcsolatlétesítésre vonatkoznak. Bármelyik fél kezdeményezhet újrakulcsokat és további üzeneteket. A InitiateorOnly azt jelenti, hogy a kapcsolatot az Azure-nak kell kezdeményeznie. A ResponderOnly azt jelenti, hogy a kapcsolatot a helyszíni eszköznek kell kezdeményeznie. Az alapértelmezett viselkedés az elfogadás és a tárcsázás, amelyik először csatlakozik.
Átjáró alhálózata
VPN-átjáró létrehozása előtt létre kell hoznia egy átjáróalhálózatot. Az átjáró alhálózata tartalmazza a virtuális hálózati átjáró virtuális gépei és szolgáltatásai által használt IP-címeket. A virtuális hálózati átjáró létrehozásakor az átjáró virtuális gépei üzembe lesznek helyezve az átjáró alhálózatán, és a szükséges VPN-átjáró-beállításokkal vannak konfigurálva. Soha ne helyezzen üzembe semmi mást (például több virtuális gépet) az átjáró alhálózatán. Az átjáró alhálózatának "GatewaySubnet" néven kell lennie a megfelelő működéshez. Az átjáró "GatewaySubnet" alhálózatának elnevezése tudatja az Azure-sal, hogy ez az alhálózat, amelyre telepítenie kell a virtuális hálózati átjáró virtuális gépeit és szolgáltatásait.
Az átjáróalhálózat létrehozásakor meg kell adnia, hogy hány IP-címet tartalmaz az alhálózat. Az átjáró alhálózatának IP-címei az átjáró virtuális gépeihez és átjárószolgáltatásaihoz vannak lefoglalva. Egyes konfigurációknak a többinél nagyobb számú IP-címre van szükségük.
Amikor az átjáró alhálózatának méretét tervezi, tekintse meg a létrehozni kívánt konfiguráció dokumentációját. Az ExpressRoute/VPN Gateway egyidejű konfigurációja például nagyobb átjáróalhálózatot igényel, mint a legtöbb más konfiguráció. Bár az átjáró alhálózata akár /29-es méretű is lehet (csak az alapszintű termékváltozatra alkalmazható), minden más termékváltozathoz szükség van egy /27 vagy nagyobb méretű átjáróalhálózatra (/27, /26, /25 stb.). Érdemes lehet létrehozni egy /27-nél nagyobb átjáróalhálózatot, hogy az alhálózat elegendő IP-címmel rendelkezik a lehetséges jövőbeli konfigurációkhoz.
Az alábbi Resource Manager PowerShell-példa egy GatewaySubnet nevű átjáróalhálózatot mutat be. Láthatja, hogy a CIDR-jelölés egy /27-et ad meg, amely elegendő IP-címet biztosít a legtöbb jelenleg létező konfigurációhoz.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Szempontok:
A 0.0.0.0/0 célhellyel és a GatewaySubnet NSG-jével rendelkező, felhasználó által megadott útvonalak nem támogatottak. Az ilyen konfigurációjú átjárók létrehozása blokkolva van. Az átjáróknak a megfelelő működéshez hozzáférésre van szükségük a kezelővezérlőkhöz. Az átjáró rendelkezésre állásának biztosításához a BGP-útvonalak propagálását "Engedélyezve" értékre kell állítani a GatewaySubneten. Ha a BGP útvonal-terjesztés le van tiltva, az átjáró nem fog működni.
A diagnosztikát, az adatútvonalat és a vezérlési útvonalat befolyásolhatja, ha egy felhasználó által definiált útvonal átfedésben van az átjáró alhálózati tartományával vagy az átjáró nyilvános IP-tartományával.
Helyi hálózati átjárók
A helyi hálózati átjáró eltér a virtuális hálózati átjáróktól. Ha vpn-átjáró helyek közötti architektúrával dolgozik, a helyi hálózati átjáró általában a helyszíni hálózatot és a megfelelő VPN-eszközt jelöli. A klasszikus üzemi modellben a helyi hálózati átjárót helyi helynek nevezzük.
Helyi hálózati átjáró konfigurálásakor meg kell adnia a helyszíni VPN-eszköz nevét, nyilvános IP-címét vagy teljes tartománynevét (FQDN), valamint a helyszíni helyen található címelőtagokat. Az Azure megvizsgálja a hálózati forgalom célcímelőtagjait, áttekinti a helyi hálózati átjáróhoz megadott konfigurációt, és ennek megfelelően irányítja a csomagokat. Ha a VPN-eszközön a Border Gateway Protocol (BGP) protokollt használja, meg kell adnia a VPN-eszköz BGP-társ IP-címét és a helyszíni hálózat autonóm rendszerszámát (ASN). Helyi hálózati átjárókat is megadhat a VPN-átjárókapcsolatot használó virtuális hálózatok közötti konfigurációkhoz.
Az alábbi PowerShell-példa egy új helyi hálózati átjárót hoz létre:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Néha módosítania kell a helyi hálózati átjáró beállításait. Például a címtartomány hozzáadásakor vagy módosításakor, vagy ha a VPN-eszköz IP-címe megváltozik. További információ: A helyi hálózati átjáró beállításainak módosítása.
REST API-k, PowerShell-parancsmagok és parancssori felület
A REST API-k, a PowerShell-parancsmagok vagy az Azure CLI VPN Gateway-konfigurációkhoz való használatakor a következő oldalakon talál technikai erőforrásokat és konkrét szintaxisi követelményeket:
| Klasszikus | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| Nem támogatott | Azure CLI |
Következő lépések
Az elérhető kapcsolatkonfigurációkról további információt a VPN Gatewayről szóló cikkben talál.