Tentang pengaturan konfigurasi VPN Gateway
Arsitektur koneksi gateway VPN bergantung pada konfigurasi beberapa sumber daya, yang masing-masing berisi pengaturan yang dapat dikonfigurasi. Bagian dalam artikel ini membahas sumber daya dan pengaturan yang terkait dengan gateway VPN untuk jaringan virtual. Anda dapat menemukan deskripsi dan diagram topologi untuk setiap solusi koneksi di artikel topologi dan desain VPN Gateway.
Nilai dalam artikel ini secara khusus berlaku untuk gateway VPN (gateway jaringan virtual yang menggunakan Vpn -GatewayType). Jika Anda mencari informasi tentang tipe gateway berikut ini, lihat artikel berikut ini:
- Untuk nilai yang berlaku untuk -GatewayType 'ExpressRoute', lihat Gateway jaringan virtual untuk ExpressRoute.
- Untuk gateway zone-redundant, lihat Tentang gateway zone-redundant.
- Untuk gateway Virtual WAN, lihat Tentang Virtual WAN.
Gateway dan jenis gateway
Gateway jaringan virtual terdiri dari dua atau beberapa VM yang dikelola Azure yang secara otomatis dikonfigurasi dan disebarkan ke subnet tertentu yang Anda buat yang disebut subnet gateway. Gateway mesin virtual berisi tabel perutean dan menjalankan layanan gateway tertentu. Saat Anda membuat gateway jaringan virtual, gateway VM secara otomatis disebarkan ke subnet gateway (selalu bernama GatewaySubnet), dan dikonfigurasi dengan pengaturan yang Anda tentukan. Proses ini dapat memakan waktu 45 menit atau lebih untuk diselesaikan, tergantung pada SKU gateway yang Anda pilih.
Salah satu pengaturan yang Anda tentukan saat membuat gateway jaringan virtual adalah jenis gateway. Jenis gateway menentukan bagaimana gateway jaringan virtual digunakan dan tindakan yang dilakukan gateway. Satu jaringan virtual dapat memiliki dua gateway jaringan virtual; satu gateway VPN dan satu gateway ExpressRoute. -GatewayType 'Vpn' menentukan bahwa jenis gateway jaringan virtual yang dibuat adalah gateway VPN. Ini membedakannya dari gateway ExpressRoute.
SKU dan performa Gateway
Lihat Artikel Tentang SKU Gateway untuk informasi terbaru tentang SKU gateway, performa, dan fitur yang didukung.
Jenis VPN
Azure mendukung dua jenis VPN yang berbeda untuk gateway VPN: berbasis kebijakan dan berbasis rute. Gateway VPN berbasis rute dibangun di platform yang berbeda dari gateway VPN berbasis kebijakan. Ini menghasilkan spesifikasi gateway yang berbeda. Tabel berikut ini memperlihatkan SKU gateway yang mendukung setiap jenis VPN, dan versi IKE terkait yang didukung.
Jenis VPN Gateway | SKU Gateway | Versi IKE didukung |
---|---|---|
Gateway berbasis kebijakan | Dasar | IKEv1 |
Gateway berbasis rute | Dasar | IKEv2 |
Gateway berbasis rute | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 dan IKEv2 |
Gateway berbasis rute | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 dan IKEv2 |
Dalam kebanyakan kasus, Anda akan membuat gateway VPN berbasis rute. Sebelumnya, SKU gateway yang lebih lama tidak mendukung IKEv1 untuk gateway berbasis rute. Sekarang, sebagian besar SKU gateway saat ini mendukung IKEv1 dan IKEv2.
Mulai 1 Okt 2023, gateway berbasis kebijakan hanya dapat dikonfigurasi menggunakan PowerShell atau CLI, dan tidak tersedia di portal Azure. Untuk membuat gateway berbasis kebijakan, lihat Membuat gateway VPN SKU Dasar menggunakan PowerShell.
Jika Anda sudah memiliki gateway berbasis kebijakan, Anda tidak diharuskan mengubah gateway Anda menjadi berbasis rute kecuali Anda ingin menggunakan konfigurasi yang memerlukan gateway berbasis rute, seperti titik-ke-situs.
Anda tidak dapat mengonversi gateway berbasis kebijakan menjadi berbasis rute. Anda harus menghapus gateway yang sudah ada, lalu membuat gateway baru sebagai berbasis rute.
Gateway mode aktif-aktif
Gateway VPN Azure dapat dikonfigurasi sebagai aktif-siaga atau aktif-aktif. Dalam konfigurasi aktif-aktif, kedua instans VM gateway membuat terowongan VPN situs-ke-situs ke perangkat VPN lokal Anda. Gateway mode aktif-aktif adalah bagian utama dari desain konektivitas gateway yang sangat tersedia. Untuk informasi lebih lanjut, baca artikel berikut:
- Tentang gateway aktif-aktif
- Merancang konektivitas gateway yang sangat tersedia untuk koneksi lintas lokasi dan VNet-ke-VNet
IP Privat Gateway
Pengaturan ini digunakan untuk konfigurasi peering privat ExpressRoute tertentu. Untuk informasi selengkapnya, lihat Mengonfigurasi koneksi VPN Situs-ke-Situs melalui peering privat ExpressRoute.
Jenis koneksi
Setiap koneksi memerlukan jenis koneksi gateway jaringan virtual tertentu. Nilai PowerShell yang tersedia untuk New-AzVirtualNetworkGatewayConnection -Connection Type
adalah: IPsec, Vnet2Vnet, ExpressRoute, VPNClient.
Mode koneksi
Properti Mode Koneksi hanya berlaku untuk gateway VPN berbasis rute yang menggunakan koneksi IKEv2. Mode koneksi menentukan arah inisiasi koneksi dan hanya berlaku untuk pembentukan koneksi IKE awal. Setiap pihak dapat memulai pengulangan dan pesan lebih lanjut. InisiatorOnly berarti koneksi perlu dimulai oleh Azure. ResponderOnly berarti koneksi perlu dimulai oleh perangkat lokal. Perilaku Default adalah menerima dan melakukan dial mana saja yang tersambung terlebih dahulu.
Subnet gateway
Sebelum membuat VPN gateway, Anda harus membuat subnet gateway. Subnet gateway berisi alamat IP yang digunakan layanan dan komputer virtual gateway jaringan virtual. Saat Anda membuat gateway jaringan virtual, gateway VM disebarkan ke subnet gateway dan dikonfigurasi dengan pengaturan VPN gateway yang diperlukan. Jangan pernah menyebarkan hal lain (misalnya, lebih banyak VM) ke subnet gateway. Semua subnet gateway harus diberi nama 'GatewaySubnet' agar berfungsi dengan baik. Penamaan subnet gateway 'GatewaySubnet' memberi tahu Azure bahwa ini adalah subnet yang harus digunakan untuk menyebarkan VM dan layanan gateway jaringan virtual.
Saat Anda membuat subnet gateway, Anda menentukan jumlah alamat IP yang ditampung subnet. Alamat IP di subnet gateway dialokasikan ke gateway VM dan layanan gateway. Beberapa konfigurasi memerlukan lebih banyak alamat IP daripada yang lain.
Saat Anda merencanakan ukuran subnet gateway, lihat dokumentasi untuk konfigurasi yang ingin Anda buat. Misalnya, konfigurasi berdampingan ExpressRoute/VPN Gateway memerlukan subnet gateway yang lebih besar daripada kebanyakan konfigurasi lainnya. Meskipun dimungkinkan untuk membuat subnet gateway sekurang /29 (berlaku untuk SKU Dasar saja), semua SKU lainnya memerlukan subnet gateway berukuran /27 atau lebih besar (/27, /26, /25 dll.). Anda mungkin ingin membuat subnet gateway yang lebih besar dari /27 sehingga subnet memiliki alamat IP yang cukup untuk mengakomodasi kemungkinan konfigurasi di masa mendatang.
Contoh PowerShell berikut ini memperlihatkan subnet gateway bernama GatewaySubnet. Seperti yang Anda lihat, notasi CIDR menetapkan /27, sehingga alamat IP cukup untuk sebagian besar konfigurasi yang saat ini sudah ada.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Pertimbangan:
Rute yang ditentukan pengguna dengan tujuan 0.0.0.0/0 dan NSGs di GatewaySubnet tidak didukung. Gateway dengan konfigurasi ini diblokir agar tidak dibuat. Gateway memerlukan akses ke pengontrol manajemen agar berfungsi dengan baik. Penyebaran rute BGP harus diatur ke "Diaktifkan" di GatewaySubnet untuk memastikan ketersediaan gateway. Jika propagasi rute BGP diatur ke nonaktif, gateway tidak akan berfungsi.
Diagnostik, jalur data, dan jalur kontrol dapat terpengaruh jika rute yang ditentukan pengguna tumpang tindih dengan rentang subnet Gateway atau rentang IP publik gateway.
Gateway jaringan lokal
Gateway jaringan lokal berbeda dari gateway jaringan virtual. Saat Anda bekerja dengan arsitektur situs-ke-situs gateway VPN, gateway jaringan lokal biasanya mewakili jaringan lokal Anda dan perangkat VPN yang sesuai.
Saat mengonfigurasi gateway jaringan lokal, Anda menentukan nama, alamat IP publik, atau nama domain yang sepenuhnya memenuhi syarat (FQDN) perangkat VPN lokal, dan awalan alamat yang terletak di lokasi lokal. Azure melihat awalan alamat tujuan untuk lalu lintas jaringan, berkonsultasi dengan konfigurasi yang Anda tentukan untuk gateway jaringan lokal Anda, dan merutekan paket yang sesuai. Jika Anda menggunakan Border Gateway Protocol (BGP) di perangkat VPN, Anda menyediakan alamat IP serekan BGP perangkat VPN Anda dan nomor sistem otonom (ASN) jaringan lokal Anda. Anda juga menentukan gateway jaringan lokal untuk konfigurasi VNet-to-VNet yang menggunakan koneksi gateway VPN.
Contoh PowerShell berikut ini membuat gateway jaringan lokal baru:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Terkadang Anda perlu mengubah pengaturan gateway jaringan lokal. Misalnya, saat Anda menambahkan atau mengubah rentang alamat, atau jika alamat IP perangkat VPN berubah. Untuk informasi selengkapnya, lihat Mengubah pengaturan gateway jaringan lokal.
REST API, PowerShell cmdlets, dan CLI
Untuk sumber daya teknis dan persyaratan sintaksis tertentu saat menggunakan REST API, cmdlet PowerShell, atau Azure CLI untuk konfigurasi VPN Gateway, lihat halaman berikut ini:
Langkah berikutnya
Untuk informasi selengkapnya tentang konfigurasi koneksi yang tersedia, lihat Tentang VPN Gateway.