Az Azure VPN Gateway működése

5 perc

Mindegyik Azure-beli virtuális hálózaton csak egy VPN-átjárót helyezhet üzembe. Annak ellenére, hogy egyetlen VPN-átjáróra van korlátozva, konfigurálhatja ezt az átjárót úgy, hogy több helyre csatlakozzon, beleértve más Azure-beli virtuális hálózatokat vagy helyszíni adatközpontokat is.

Megjegyzés:

A virtuális hálózati átjáró két vagy több speciális virtuális gépből áll, amelyek egy adott alhálózaton, az átjáró alhálózatán vannak üzembe helyezve. A virtuális hálózati átjáró virtuális gépei útválasztási táblákat üzemeltetnek, és meghatározott átjárószolgáltatásokat futtatnak. Ezek az átjárót alkotó virtuális gépek a virtuális hálózati átjáró létrehozásakor jönnek létre, és az Azure automatikusan felügyeli őket, és nem igényelnek rendszergazdai figyelmet.

VPN-átjárótípusok

Virtuális hálózati átjáró konfigurálásakor kiválaszt egy beállítást, amely meghatározza az átjáró típusát. Az átjáró típusa határozza meg a virtuális hálózati átjáró használatát és az átjáró által végrehajtandó műveleteket. Az átjáró típusa Vpn azt határozza meg, hogy a létrehozott virtuális hálózati átjáró típusa egy VPN gateway. Ez megkülönbözteti az ExpressRoute-átjárótól, amely más átjárótípust használ. Egy Azure-beli virtuális hálózat két virtuális hálózati átjáróval rendelkezhet: egy VPN-átjáróval és egy ExpressRoute-átjáróval.

Az Azure VPN-átjáróknak két típusa van:

Szabályzatalapú VPN-átjáró
Útvonalalapú VPN-átjáró

Szabályzatalapú VPN-átjárók

A szabályzatalapú VPN-átjárók megkövetelik, hogy az egyes alagutakon keresztül titkosítandó csomagok IP-címeinek rögzített készletét adja meg. Ez az eszköz minden adatcsomagot kiértékel a rögzített IP-címek alapján, majd kiválasztja azt az alagutat, amelyen keresztül elküldi a forgalmat.

Az Azure-beli szabályzatalapú VPN-átjárók legfontosabb funkciói a következők:

Csak az IKEv1 támogatása
Statikus útválasztás használata

Az bújtatott hálózatok forrását és célját a VPN-szabályzat deklarálja, és nem kell útválasztási táblákban deklarálni. Szabályzatalapú VPN-eket csak olyan helyzetekben használjon, amelyek megkövetelik őket, például az örökölt helyszíni VPN-eszközökkel való kompatibilitás érdekében.

Útvonalalapú VPN-átjárók

Útvonalalapú Azure VPN-átjárók esetén az IPsec-alagút hálózati adapterként vagy virtuális alagút-interfészként (VTI) működik. Az IP-útválasztás (statikus útvonalak vagy dinamikus útválasztási protokollok) határozza meg, hogy mely alagút-adapterek továbbítják az egyes csomagokat. Az útvonalalapú VPN-ek a helyszíni eszközök előnyben részesített csatlakozási módszerei, mivel ellenállóbbak a topológia változásaival, például az új alhálózatok létrehozásával szemben. Az útvonalalapú VPN sokkal alkalmasabb az Adatum számára, mivel lehetővé teszi az Azure IaaS-erőforrásokhoz való csatlakozást a virtuális hálózatokon, ha új alhálózatokat adnak hozzá az Azure VPN-átjáró újrakonfigurálása nélkül.

Használjon útvonalalapú VPN-átjárót, ha az alábbi kapcsolódási típusok valamelyikére van szükség:

Virtuális hálózatok közötti kapcsolatok
Pont-hely típusú kapcsolatok
Többhelyes kapcsolatok
Azure ExpressRoute-átjáróval való együttes használat esetén

Az Azure-beli útvonalalapú VPN-átjárók legfontosabb funkciói a következők:

Támogatja az IKEv2 protokollt
Bármely elemek közötti (helyettesítő) forgalomválasztókat használ
Dinamikus útválasztási protokollokat használhat, ahol az útválasztási/továbbítási táblák különböző IPsec-alagutakba irányítják a forgalmat

Ha dinamikus útválasztás használatára van konfigurálva, a forrás- és célhálózatok nincsenek statikusan definiálva, mert szabályzatalapú VPN-ekben, vagy akár statikus útválasztással rendelkező, útvonalalapú VPN-ekben vannak. Ehelyett az adatcsomagok titkosítása az útválasztási protokollok, például a Border Gateway Protocol (BGP) használatával dinamikusan létrehozott hálózati útvonaltáblák alapján történik.

Az Azure VPN-átjárók csak az előre megosztott kulcsú hitelesítési módszert támogatják. Mind az útvonalalapú, mind a szabályzatalapú típusok az 1-es vagy a 2-es verzióban, valamint az Internet Protocol Security (IPsec) verzióban is az Internet Key Exchange (IKE) szolgáltatásra támaszkodnak. Az IKE rendeltetése egy biztonsági társítás (a titkosításra vonatkozó megállapodás) kialakítása a két végpont között. Ez a társítás ezután az IPsec-csomagnak lesz átadva, amely titkosítja és visszafejti a VPN-alagútba ágyazott adatcsomagokat.

Az Azure VPN Gateway méretei

Virtuális hálózati átjáró létrehozásakor meg kell adnia egy átjáró termékváltozatát. Olyan termékváltozatot kell választania, amely megfelel a követelményeknek a számítási feladatok típusai, az átviteli sebesség, a funkciók és az SLA-k alapján.

Átjáró termékváltozatai – 1. generáció	Helyek közötti VPN-alagutak maximális száma	Összesített átviteli sebesség	BGP-támogatás
Alap	10	100 Mbps	Nem támogatott
VpnGw1/Az	30	650 Mbps	Támogatott
VpnGw2/Az	30	1 Gbps	Támogatott
VpnGw3/Az	30	1,25 Gbps	Támogatott

Ez a táblázat az 1. generációs termékváltozatokat mutatja be. Az 1. generációs termékváltozatok használatakor szükség szerint migrálhat a VpnGw1, a VpnGw2 és a VpnGw3 termékváltozatok között. Az alapszintű termékváltozatból nem migrálhat a VPN-átjáró eltávolítása és ismételt üzembe helyezése nélkül. A 2. generációs termékváltozatok használatával VPN-átjárókat is létrehozhat. Az SKU-kkal, az átviteli sebességgel és a támogatott funkciókkal kapcsolatos legfrissebb információkért tekintse meg a modul Összefoglalás szakaszának hivatkozásait.

A VPN-átjáró követelményei

A működési VPN-átjáró üzembe helyezése előtt a következő Azure-erőforrásoknak kell jelen lenniük:

Virtuális hálózat: Olyan Azure-beli virtuális hálózat, amely elegendő címtérrel rendelkezik a VPN-átjáróhoz szükséges további alhálózathoz. A virtuális hálózat címtere nem lehet átfedésben azzal a helyszíni hálózattal, amelyhez csatlakozni fog.
GatewaySubnet: Egy GatewaySubnet nevű alhálózat a VPN-átjáróhoz. Legalább /27 címmaszkot igényel. Ez az alhálózat más szolgáltatásokhoz nem használható.
Nyilvános IP-cím: Alapszintű termékváltozatú dinamikus nyilvános IP-cím, ha nem zónaérzékeny átjárót használ. Ez a nyilvános irányítható IP-cím szolgál majd célként a helyszíni VPN-eszköz számára. Bár ez az IP-cím dinamikus, csak a VPN-átjáró törlése vagy ismételt létrehozása esetén fog módosulni.
Helyi hálózati átjáró: Hozzon létre egy helyi hálózati átjárót a helyszíni hálózat konfigurációjának meghatározásához: hogy hol csatlakozik a VPN-átjáró, és hogy mihez csatlakozik. Ez a konfiguráció tartalmazza a helyszíni VPN-eszköz nyilvános IPv4-címét, és a helyszíni irányítható hálózatokat. Ezeket az információkat a VPN-átjáró használja a helyszíni hálózatokra szánt csomagok IPsec-alagúton keresztüli átirányítására.

Ha ezek az előfeltétel-összetevők jelen vannak, létrehozhatja a virtuális hálózati átjárót a virtuális hálózat és a helyszíni adatközpont vagy más virtuális hálózatok közötti forgalom irányításához. A virtuális hálózati átjáró üzembe helyezése után létrehozhat egy kapcsolati erőforrást a VPN-átjáró és a helyi hálózati átjáró közötti logikai kapcsolat létrehozásához:

A kapcsolat a helyszíni VPN-eszköznek a helyi hálózati átjáró által meghatározott IPv4-címén lesz létrehozva.
A kapcsolat a virtuális hálózati átjáróból és az ahhoz társított nyilvános IP-címből lesz létrehozva.

Az egyes Azure VPN-átjárókhoz több kapcsolatot is konfigurálhat az SKU által meghatározott korlátig.

Magas szintű rendelkezésre állás

Annak ellenére, hogy csak egy VPN Gateway-erőforrást lát az Azure-ban, a VPN-átjárók a felügyelt virtuális gépek két példányaként vannak üzembe helyezve aktív/készenléti konfigurációban. Ha a tervezett karbantartás vagy a nem tervezett fennakadás hatással van az aktív példányra, a készenléti példány automatikusan felelősséget vállal a felhasználói vagy rendszergazdai beavatkozás nélküli kapcsolatokért. A feladat átvételekor a kapcsolatok megszakadnak, de tervezett karbantartás esetén általában néhány másodpercen belül, váratlan kimaradás esetén pedig 90 másodpercen belül helyreállnak.

Az Azure VPN-átjárók támogatják a BGP útválasztási protokollt, amely lehetővé teszi a VPN-átjárók aktív/aktív konfigurációban való üzembe helyezését is. Ebben a konfigurációban mindegyik példányhoz egyedi nyilvános IP-címet rendel. A helyszíni eszközről külön alagút van létrehozva az egyes IP-címekhez. A magas rendelkezésre állást egy másik helyszíni VPN-eszköz üzembe helyezésével bővítheti.