Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A VPN Gateway kapcsolati architektúrája több erőforrás konfigurálására támaszkodik, amelyek mindegyike konfigurálható beállításokat tartalmaz. A cikk szakaszai a virtuális hálózatok VPN-átjáróihoz kapcsolódó erőforrásokat és beállításokat ismertetik. A VPN Gateway topológiájában és tervezési cikkében megtalálja az egyes kapcsolati megoldások leírását és topológiai diagramjait.
A cikkben szereplő értékek kifejezetten a VPN-átjárókra (a -GatewayType VPN-t használó virtuális hálózati átjárókra) vonatkoznak. Ha az alábbi átjárótípusokról szeretne információt keresni, tekintse meg az alábbi cikkeket:
- Az -GatewayType "ExpressRoute" értékeivel kapcsolatban lásd az ExpressRoute virtuális hálózati átjáróit.
- A zónaredundáns átjárókról lásd a zónaredundáns átjárókról szóló témakört.
- A Virtual WAN-átjárók esetében lásd a Virtual WAN-ról szóló témakört.
Átjárók és átjárótípusok
A virtuális hálózati átjáró két vagy több Azure-beli felügyelt virtuális gépből áll, amelyek automatikusan konfigurálva és üzembe helyezve vannak az átjáró alhálózatának nevezett adott alhálózaton. Az átjáró virtuális gépei útválasztási táblákat tartalmaznak, és meghatározott átjárószolgáltatásokat futtatnak. Virtuális hálózati átjáró létrehozásakor az átjáró virtuális gépei automatikusan üzembe lesznek helyezve az átjáró alhálózatán (mindig GatewaySubnet néven), és a megadott beállításokkal vannak konfigurálva. A folyamat a kiválasztott átjáró termékváltozatától függően akár 45 percet is igénybe vehet.
A virtuális hálózati átjáró létrehozásakor megadott beállítások egyike az átjáró típusa. Az átjáró típusa határozza meg a virtuális hálózati átjáró használatát és az átjáró által végrehajtott műveleteket. Egy virtuális hálózat két virtuális hálózati átjáróval rendelkezhet; egy VPN-átjáró és egy ExpressRoute-átjáró. A -GatewayType "Vpn" azt határozza meg, hogy a létrehozott virtuális hálózati átjáró típusa VPN-átjáró. Ez megkülönbözteti az ExpressRoute-átjárótól.
Átjáró termékváltozatai és teljesítménye
Az átjáró-termékváltozatokról, a teljesítményről és a támogatott funkciókról az Átjáró termékváltozatairól szóló cikk nyújt tájékoztatást.
VPN-típusok
Azure-támogatás két különböző VPN-típust biztosít a VPN-átjárókhoz: szabályzatalapú és útvonalalapú. Az útvonalalapú VPN-átjárók a szabályzatalapú VPN-átjáróktól eltérő platformra épülnek. Ez különböző átjáró-specifikációkat eredményez. Az alábbi táblázat az egyes VPN-típusokat támogató átjáró-termékváltozatokat és a társított támogatott IKE-verziókat mutatja be.
| Átjáró VPN-típusa | Átjáró termékváltozata | Támogatott IKE-verziók |
|---|---|---|
| Szabályzatalapú átjáró | Alapszintű | IKEv1 |
| Útvonalalapú átjáró | Alapszintű | IKEv2 |
| Útvonalalapú átjáró | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 és IKEv2 |
| Útvonalalapú átjáró | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 és IKEv2 |
A legtöbb esetben egy útvonalalapú VPN-átjárót fog létrehozni. Korábban a régebbi átjáró-termékváltozatok nem támogatták az IKEv1-et az útvonalalapú átjárók esetében. A jelenlegi átjáró-termékváltozatok többsége támogatja az IKEv1 és az IKEv2 szolgáltatást is.
2023. október 1-étől a szabályzatalapú átjárók csak PowerShell vagy CLI használatával konfigurálhatók, és nem érhetők el az Azure Portalon. Szabályzatalapú átjáró létrehozásához lásd : Alapszintű termékváltozatú VPN-átjáró létrehozása a PowerShell használatával.
Ha már rendelkezik szabályzatalapú átjáróval, akkor nem kell útvonalalapúra módosítania az átjárót, kivéve, ha olyan konfigurációt szeretne használni, amely útvonalalapú átjárót, például pont–hely alapú átjárót igényel.
Szabályzatalapú átjárót nem alakíthat át útvonalalapúvá. Törölnie kell a meglévő átjárót, majd létre kell hoznia egy új átjárót útvonalalapúként.
Aktív-aktív módú átjárók
Az Azure VPN-átjárók konfigurálhatók aktív-készenléti vagy aktív-aktívként. Aktív-aktív konfiguráció esetén az átjáró virtuális gépek mindkét példánya helyek közötti VPN-alagutakat hoz létre a helyszíni VPN-eszközre. Az aktív-aktív módú átjárók a magas rendelkezésre állású átjárókapcsolatok kialakításának kulcsfontosságú részét képezik. További információért tekintse át az alábbi cikkeket:
- Az aktív-aktív átjárók ismertetése
- Magas rendelkezésre állású átjárókapcsolat tervezése helyszíni és virtuális hálózatok közötti kapcsolatokhoz
Átjáró privát IP-címei
Ez a beállítás bizonyos ExpressRoute privát társviszony-létesítési konfigurációkhoz használatos. További információ: Helyek közötti VPN-kapcsolat konfigurálása ExpressRoute-beli privát társviszony-létesítésen keresztül.
Kapcsolattípusok
Minden kapcsolathoz egy adott virtuális hálózati átjáró-kapcsolattípus szükséges. A New-AzVirtualNetworkGatewayConnectiona következők: IPsec, Vnet2Vnet, ExpressRoute, VPNClient.
Kapcsolati módok
A Kapcsolat mód tulajdonság csak az IKEv2-kapcsolatokat használó útvonalalapú VPN-átjárókra vonatkozik. A csatlakozási módok határozzák meg a kapcsolat kezdeményezési irányát, és csak a kezdeti IKE-kapcsolatlétesítésre vonatkoznak. Bármelyik fél kezdeményezhet újrakulcsokat és további üzeneteket. A InitiateorOnly azt jelenti, hogy a kapcsolatot az Azure-nak kell kezdeményeznie. A ResponderOnly azt jelenti, hogy a kapcsolatot a helyszíni eszköznek kell kezdeményeznie. Az alapértelmezett viselkedés az elfogadás és a tárcsázás, amelyik először csatlakozik.
Átjáró alhálózata
VPN-átjáró létrehozása előtt létre kell hoznia egy átjáróalhálózatot. Az átjáró alhálózata tartalmazza a virtuális hálózati átjáró virtuális gépei és szolgáltatásai által használt IP-címeket. A virtuális hálózati átjáró létrehozásakor az átjáró virtuális gépei üzembe lesznek helyezve az átjáró alhálózatán, és a szükséges VPN-átjáró-beállításokkal vannak konfigurálva. Soha ne helyezzen üzembe semmi mást (például több virtuális gépet) az átjáró alhálózatán. Az átjáró alhálózatának "GatewaySubnet" néven kell lennie a megfelelő működéshez. Az átjáró "GatewaySubnet" alhálózatának elnevezése tudatja az Azure-sal, hogy ez az alhálózat, amelyre telepítenie kell a virtuális hálózati átjáró virtuális gépeit és szolgáltatásait.
Az átjáróalhálózat létrehozásakor meg kell adnia, hogy hány IP-címet tartalmaz az alhálózat. Az átjáró alhálózatának IP-címei az átjáró virtuális gépeihez és átjárószolgáltatásaihoz vannak lefoglalva. Egyes konfigurációknak a többinél nagyobb számú IP-címre van szükségük.
Amikor az átjáró alhálózatának méretét tervezi, tekintse meg a létrehozni kívánt konfiguráció dokumentációját. Az ExpressRoute/VPN Gateway egyidejű konfigurációja például nagyobb átjáróalhálózatot igényel, mint a legtöbb más konfiguráció. Bár az átjáró alhálózata akár /29-es méretű is lehet (csak az alapszintű termékváltozatra alkalmazható), minden más termékváltozathoz szükség van egy /27 vagy nagyobb méretű átjáróalhálózatra (/27, /26, /25 stb.). Érdemes lehet létrehozni egy /27-nél nagyobb átjáróalhálózatot, hogy az alhálózat elegendő IP-címmel rendelkezik a lehetséges jövőbeli konfigurációkhoz.
Az alábbi PowerShell-példa egy GatewaySubnet nevű átjáróalhálózatot mutat be. Láthatja, hogy a CIDR-jelölés egy /27-et ad meg, amely elegendő IP-címet biztosít a legtöbb jelenleg létező konfigurációhoz.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Szempontok:
Az átjáró alhálózatán a 0.0.0.0/0 cél- és hálózati biztonsági csoportokkal (NSG-kkel) rendelkező felhasználó által megadott útvonalak nem támogatottak. A GatewaySubnet címteret tartalmazó, felhasználó által definiált útvonalak, amelyeknél a következő ugrás nincs, vagy az NVA -ra van beállítva a következő ugrás (amelynek a forgalom elvetésére vonatkozó szabályzata van) nem támogatott. Az ilyen konfigurációjú átjárók létrehozása blokkolva van. Az átjáróknak a megfelelő működéshez hozzáférésre van szükségük a kezelővezérlőkhöz. A Border Gateway Protocol (BGP) útvonalpropagálását engedélyezni kell az átjáró alhálózatán az átjáró rendelkezésre állásának biztosítása érdekében. Ha a BGP-útvonal propagálása le van tiltva, az átjáró nem fog működni.
A diagnosztikát, az adatútvonalat és a vezérlési útvonalat befolyásolhatja, ha egy felhasználó által meghatározott útvonal átfedésben van az átjáró alhálózati tartományával vagy az átjáró nyilvános IP-tartományával.
Helyi hálózati átjárók
A helyi hálózati átjáró eltér a virtuális hálózati átjáróktól. Ha vpn-átjáró helyek közötti architektúrával dolgozik, a helyi hálózati átjáró általában a helyszíni hálózatot és a megfelelő VPN-eszközt jelöli.
Helyi hálózati átjáró konfigurálásakor meg kell adnia a helyszíni VPN-eszköz nevét, nyilvános IP-címét vagy teljes tartománynevét (FQDN), valamint a helyszíni helyen található címelőtagokat. Az Azure megvizsgálja a hálózati forgalom célcímelőtagjait, áttekinti a helyi hálózati átjáróhoz megadott konfigurációt, és ennek megfelelően irányítja a csomagokat. Ha a VPN-eszközön a Border Gateway Protocol (BGP) protokollt használja, meg kell adnia a VPN-eszköz BGP-társ IP-címét és a helyszíni hálózat autonóm rendszerszámát (ASN). Helyi hálózati átjárókat is megadhat a VPN-átjárókapcsolatot használó virtuális hálózatok közötti konfigurációkhoz.
Az alábbi PowerShell-példa egy új helyi hálózati átjárót hoz létre:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Néha módosítania kell a helyi hálózati átjáró beállításait. Például a címtartomány hozzáadásakor vagy módosításakor, vagy ha a VPN-eszköz IP-címe megváltozik. További információ: A helyi hálózati átjáró beállításainak módosítása.
REST API-k, PowerShell-parancsmagok és parancssori felület
A REST API-k, a PowerShell-parancsmagok vagy az Azure CLI VPN Gateway-konfigurációkhoz való használatakor a következő oldalakon talál technikai erőforrásokat és konkrét szintaxisi követelményeket:
Következő lépések
Az elérhető kapcsolatkonfigurációkról további információt a VPN Gatewayről szóló cikkben talál.