Over VPN Gateway configuratie-instellingen
Een VPN-gateway is een type virtuele netwerkgateway die versleuteld verkeer verzendt tussen uw virtuele netwerk en uw on-premises locatie via een openbare verbinding. U kunt ook een VPN-gateway gebruiken om verkeer te verzenden tussen virtuele netwerken via de Azure-backbone.
Een VPN-gatewayverbinding is afhankelijk van de configuratie van meerdere resources, die elk configureerbare instellingen bevatten. In de secties in dit artikel worden de resources en instellingen besproken die betrekking hebben op een VPN-gateway voor een virtueel netwerk dat is gemaakt in Resource Manager implementatiemodel. U vindt beschrijvingen en topologiediagrammen voor elke verbindingsoplossing in het artikel Over VPN Gateway.
De waarden in dit artikel zijn van toepassing op VPN-gateways (virtuele netwerkgateways die gebruikmaken van -GatewayType Vpn). In dit artikel worden niet alle gatewaytypen of zone-redundante gateways behandeld.
Zie Virtual Network Gateways voor ExpressRoute voor waarden die van toepassing zijn op -GatewayType 'ExpressRoute'.
Zie Over zone-redundante gateways voor zone-redundante gateways.
Zie Over maximaal beschikbare connectiviteit voor actief-actief-gateways.
Zie Info over Virtual WAN voor Virtual WAN.
Gatewaytypen
Elk virtueel netwerk kan slechts één virtuele netwerkgateway van elk type hebben. Wanneer u een virtuele netwerkgateway maakt, moet u ervoor zorgen dat het gatewaytype juist is voor uw configuratie.
De beschikbare waarden voor -GatewayType zijn:
- VPN
- ExpressRoute
Voor een VPN-gateway is vpn-GatewayType
vereist.
Voorbeeld:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Gateway-SKU's
Wanneer u een virtuele netwerkgateway maakt, moet u de gewenste gateway-SKU opgeven. Selecteer de SKU die voldoet aan uw vereisten op basis van de typen workloads, doorvoer, functies en SLA's. Raadpleeg Gateway-SKU's van Azure-beschikbaarheidszones voor virtuele netwerkgateway-SKU's in Azure-beschikbaarheidszones.
Gateway-SKU's per tunnel, verbinding en doorvoer
VPN Gateway Generatie |
SKU | S2S/VNet-naar-VNet Tunnels |
P2S SSTP-verbindingen |
P2S IKEv2/OpenVPN-verbindingen |
Samenvoegen Doorvoerbenchmark |
BGP | Zone-redundant |
---|---|---|---|---|---|---|---|
Generatie1 | Basic | Met maximaal 10 | Met maximaal 128 | Niet ondersteund | 100 Mbps | Niet ondersteund | Nee |
Generatie1 | VpnGw1 | Met maximaal 30 | Met maximaal 128 | Met maximaal 250 | 650 Mbps | Ondersteund | Nee |
Generatie1 | VpnGw2 | Met maximaal 30 | Met maximaal 128 | Met maximaal 500 | 1 Gbps | Ondersteund | Nee |
Generatie1 | VpnGw3 | Met maximaal 30 | Met maximaal 128 | Met maximaal 1000 | 1,25 Gbps | Ondersteund | Nee |
Generatie1 | VpnGw1AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 250 | 650 Mbps | Ondersteund | Ja |
Generatie1 | VpnGw2AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 500 | 1 Gbps | Ondersteund | Ja |
Generatie1 | VpnGw3AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 1000 | 1,25 Gbps | Ondersteund | Ja |
Generatie2 | VpnGw2 | Met maximaal 30 | Met maximaal 128 | Met maximaal 500 | 1,25 Gbps | Ondersteund | Nee |
Generatie2 | VpnGw3 | Met maximaal 30 | Met maximaal 128 | Met maximaal 1000 | 2,5 Gbps | Ondersteund | Nee |
Generatie2 | VpnGw4 | Met maximaal 100* | Met maximaal 128 | Met maximaal 5000 | 5 Gbps | Ondersteund | Nee |
Generatie2 | VpnGw5 | Met maximaal 100* | Met maximaal 128 | Met maximaal 10.000 | 10 Gbps | Ondersteund | Nee |
Generatie2 | VpnGw2AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 500 | 1,25 Gbps | Ondersteund | Ja |
Generatie2 | VpnGw3AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 1000 | 2,5 Gbps | Ondersteund | Ja |
Generatie2 | VpnGw4AZ | Met maximaal 100* | Met maximaal 128 | Met maximaal 5000 | 5 Gbps | Ondersteund | Ja |
Generatie2 | VpnGw5AZ | Met maximaal 100* | Met maximaal 128 | Met maximaal 10.000 | 10 Gbps | Ondersteund | Ja |
(*) Gebruik Virtual WAN als u meer dan 100 S2S VPN-tunnels nodig hebt.
Het wijzigen van de grootte van VpnGw-SKU's is toegestaan binnen dezelfde generatie, behalve het wijzigen van de grootte van de Basic-SKU. De Basic-SKU is een verouderde SKU waarvoor beperkingen in de functionaliteit gelden. Als u wilt overstappen van Basic naar een andere SKU, moet u de BASIC SKU VPN-gateway verwijderen en een nieuwe gateway maken met de gewenste combinatie van generatie en SKU-grootte. (zie Werken met verouderde SKU's).
Er gelden afzonderlijke verbindingslimieten. U kunt bijvoorbeeld 128 SSTP-verbindingen en ook 250 IKEv2-verbindingen hebben in een SKU van het type VpnGw1.
Prijsinformatie vindt u op de pagina Prijzen.
Gegevens over de SLA (Service Level Agreement) vindt u op de pagina SLA.
Als u veel P2S-verbindingen hebt, kan dit een negatieve invloed hebben op uw S2S-verbindingen. De benchmarks voor geaggregeerde doorvoer zijn getest door een combinatie van S2S- en P2S-verbindingen te maximaliseren. Een enkele P2S- of S2S-verbinding kan een veel lagere doorvoer hebben.
Houd er rekening mee dat niet alle benchmarks worden gegarandeerd vanwege de omstandigheden van internetverkeer en het gedrag van uw toepassing
Om onze klanten inzicht te geven in de relatieve prestaties van SKU's met behulp van verschillende algoritmen, hebben we openbaar beschikbare iPerf- en CTSTraffic-hulpprogramma's gebruikt om prestaties voor site-naar-site-verbindingen te meten. De onderstaande tabel bevat de resultaten van prestatietests voor VpnGw-SKU's. Zoals u kunt zien, worden de beste prestaties gerealiseerd bij gebruik van het GCMAES256-algoritme voor zowel IPsec-versleuteling als integriteit. Gemiddelde prestaties worden gerealiseerd bij gebruik van AES256 voor IPsec-versleuteling en SHA256 voor integriteit. De minst goede prestaties worden gerealiseerd bij gebruik van DES3 voor IPsec-versleuteling en SHA256 voor integriteit.
Een VPN-tunnel maakt verbinding met een VPN-gatewayexemplaren. Elke exemplaardoorvoer wordt vermeld in de bovenstaande doorvoertabel en is geaggregeerd beschikbaar in alle tunnels die verbinding maken met dat exemplaar.
In de onderstaande tabel ziet u de waargenomen bandbreedte en de doorvoer van pakketten per seconde per tunnel voor de verschillende gateway-SKU's. Alle tests zijn uitgevoerd tussen gateways (eindpunten) binnen Azure in verschillende regio's met 100 verbindingen en onder standaardbelastingsomstandigheden.
Generatie | SKU | Algoritmen Gebruikt |
Doorvoer waargenomen per tunnel |
Pakketten per seconde per tunnel Waargenomen |
---|---|---|---|---|
Generatie1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
Generatie1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gbps 650 Mbps 140 Mbps |
100.000 61,000 13,000 |
Generatie1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
Generatie1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
Generatie1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gbps 650 Mbps 140 Mbps |
110,000 61,000 13,000 |
Generatie1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
Generatie2 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12,000 |
Generatie2 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
Generatie2 | VpnGw4 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
Generatie2 | VpnGw5 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
Generatie2 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12,000 |
Generatie2 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
Generatie2 | VpnGw4AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
Generatie2 | VpnGw5AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
Notitie
VpnGw-SKU's (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5 en VpnGw5AZ) worden alleen ondersteund voor het Resource Manager-implementatiemodel. Voor klassieke virtuele netwerken moeten de oude (verouderde) SKU's nog altijd worden gebruikt.
- Raadpleeg Werken met VPN-gateway-SKU's (verouderde SKU's) voor informatie over het werken met de verouderde gateway-SKU's (Basic, Standard en HighPerformance).
- Raadpleeg Virtuel Network Gateways voor ExpressRoute voor ExpressRoute-gateway-SKU's.
Gateway-SKU's per functieset
De nieuwe VPN-gateway-SKU's stroomlijnen de functiesets die worden aangeboden op de gateways:
SKU | Functies |
---|---|
Basic (**) | VPN op basis van route: 10 tunnels voor S2S/verbindingen; geen RADIUS-verificatie voor P2S; geen IKEv2 voor P2S VPN op basis van beleid: (IKEv1): 1 S2S/verbindingstunnel; geen P2S |
Alle Generation1- en Generation2-SKU's, behalve Basic | VPN op basis van route: maximaal 100 tunnels (*), P2S, BGP, actief-actief, aangepast IPsec-/IKE-beleid, ExpressRoute/VPN-co-existentie |
(*) U kunt "PolicyBasedTrafficSelectors" configureren om een op route gebaseerde VPN-gateway te verbinden met meerdere on-premises, op beleid gebaseerde firewallapparaten. Raadpleeg Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (VPN-gateways verbinden met meerdere on-premises,op beleid gebaseerde VPN-apparaten met behulp van PowerShell) voor meer informatie.
(**) De Basic-SKU wordt beschouwd als een verouderde SKU. Deze SKU kent bepaalde functiebeperkingen. U kunt het formaat van een gateway die gebruikmaakt van een Basic-SKU niet wijzigen in een andere SKU. In plaats daarvan moet u overschakelen naar een nieuwe SKU. Hiervoor moet u uw VPN-gateway verwijderen en opnieuw maken. U kunt geen Basic-SKU implementeren in een VNet dat gebruikmaakt van IPv6-adresruimte.
Gateway-SKU's - Productie versus werkbelastingen voor ontwikkelen en testen
Vanwege de verschillen in SLA's en functiesets, raden we de volgende SKU's aan voor productie vs. ontwikkelen en testen:
Workload | SKU's |
---|---|
Productie, kritieke werkbelastingen | Alle Generation1- en Generation2-SKU's, behalve Basic |
Ontwikkelen en testen of conceptontwerpen | Basic (**) |
(**) De Basic-SKU wordt beschouwd als een verouderde SKU en heeft functiebeperkingen. Controleer of de functie die u nodig hebt, wordt ondersteund voordat u kiest voor de Basic-SKU.
Als u de oude SKU's (verouderd) gebruikt, zijn de aanbevelingen voor de productie-SKU Standard en HighPerformance. Raadpleeg Gateway-SKU's (verouderd) voor meer informatie en instructies voor oude SKU's.
Een gateway-SKU configureren
Azure-portal
Als u de Azure Portal gebruikt om een Resource Manager virtuele netwerkgateway te maken, kunt u de gateway-SKU selecteren met behulp van de vervolgkeuzelijst. De opties die u te zien krijgt, komen overeen met het gatewaytype en vpn-type dat u selecteert.
PowerShell
In het volgende PowerShell-voorbeeld wordt de -GatewaySku
opgegeven als VpnGw1. Wanneer u PowerShell gebruikt om een gateway te maken, moet u eerst de IP-configuratie maken en vervolgens een variabele gebruiken om ernaar te verwijzen. In dit voorbeeld wordt de configuratievariabele $gwipconfig.
New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased
Azure-CLI
az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait
Het formaat van een SKU wijzigen of het formaat van een SKU wijzigen
Als u een VPN-gateway hebt en u een andere gateway-SKU wilt gebruiken, kunt u de grootte van de gateway-SKU wijzigen of wijzigen in een andere SKU. Wanneer u overstapt op een andere gateway-SKU, verwijdert u de bestaande gateway volledig en bouwt u een nieuwe. Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU. Ter vergelijking: wanneer u de grootte van een gateway-SKU wijzigt, is er niet veel downtime omdat u de gateway niet hoeft te verwijderen en opnieuw te bouwen. Als u de mogelijkheid hebt om de grootte van uw gateway-SKU te wijzigen in plaats van deze te wijzigen, kunt u dat beter doen. Er zijn echter regels met betrekking tot het wijzigen van het formaat:
- Met uitzondering van de Basic-SKU kunt u de grootte van een VPN-gateway-SKU wijzigen in een andere VPN-gateway-SKU binnen dezelfde generatie (Generation1 of Generation2). Het formaat van VpnGw1 van Generation1 kan bijvoorbeeld worden gewijzigd in VpnGw2 van generatie1, maar niet in VpnGw2 van Generatie2.
- Wanneer u met de oude gateway-SKU's werkt, kunt u het formaat wijzigen tussen Standard- en HighPerformance-SKU's.
- U kunt het formaat niet wijzigen van Basic/Standard/HighPerformance-SKU's naar VpnGw-SKU's. U moet in plaats daarvan overstappen op de nieuwe SKU's.
Het formaat van een gateway wijzigen
Azure-portal
Ga naar de pagina Configuratie voor uw virtuele netwerkgateway.
Klik aan de rechterkant van de pagina op de vervolgkeuzepijl om de beschikbare gateway-SKU's weer te geven.
Selecteer de SKU in de vervolgkeuzelijst.
PowerShell
U kunt de Resize-AzVirtualNetworkGateway
PowerShell-cmdlet gebruiken om een Generation1- of Generation2-SKU te upgraden of te downgraden (alle VpnGw-SKU's kunnen worden gewijzigd, behalve de Basic-SKU's). Als u de basis-gateway-SKU gebruikt, kunt u deze instructies gebruiken in plaats het formaat van uw gateway te wijzigen.
In het volgende Powershell-voor beeld ziet u een gateway-SKU waarvan de grootte wordt gewijzigd in VpnGw2.
$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2
Wijzigen van een oude (verouderde) SKU naar een nieuwe SKU
Als u werkt met het Resource Manager-implementatiemodel, kunt u overschakelen naar de nieuwe gateway-SKU's. Wanneer u overstapt van een verouderde gateway-SKU naar een nieuwe SKU, verwijdert u de bestaande VPN-gateway en maakt u een nieuwe VPN-gateway.
Workflow:
- Verwijder verbindingen van de gateway voor het virtuele netwerk.
- Verwijder de oude VPN-gateway.
- Maak de nieuwe VPN-gateway.
- Werk uw on-premises VPN-apparaten bij met het nieuwe IP-adres van de VPN-gateway (voor site-naar-site-verbindingen).
- Werk de waarde van het IP-adres voor de gateway bij voor alle lokale VNet-naar-VNet-netwerkgateways die verbinding met deze gateway maken.
- Download nieuwe client-VPN-configuratiepakketten voor P2S-clients die verbinding maken met het virtuele netwerk via deze VPN-gateway.
- Herstel de verbindingen met de gateway voor het virtuele netwerk.
Overwegingen:
- Als u wilt overstappen op de nieuwe SKU's, moet uw VPN-gateway zich in het Resource Manager-implementatiemodel bevinden.
- Als u een klassieke VPN-gateway hebt, moet u de veroudere SKU's voor die gateway blijven gebruiken, maar u kunt het formaat van de veroudere SKU's echter aanpassen. U kunt niet overschakelen naar de nieuwe SKU's.
- Er zal connectiviteitsdowntime optreden wanneer u overschakelt van een verouderde SKU naar een nieuwe SKU.
- Wanneer u overstapt naar een nieuwe gateway-SKU, wordt het openbare IP-adres voor uw VPN-gateway gewijzigd. Dit gebeurt ook als u hetzelfde openbare IP-adresobject opgeeft dat u eerder hebt gebruikt.
Verbindingstypen
In het Resource Manager-implementatiemodel vereist elke configuratie een specifiek verbindingstype voor de gateway van het virtuele netwerk. De beschikbare Resource Manager PowerShell-waarden voor -ConnectionType
zijn:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
In het volgende PowerShell-voorbeeld maken we een S2S-verbinding waarvoor het verbindingstype IPsec is vereist.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
VPN-typen
Wanneer u de virtuele netwerkgateway voor een VPN-gatewayconfiguratie maakt, moet u een VPN-type opgeven. Het VPN-type dat u kiest, is afhankelijk van de verbindingstopologie die u wilt maken. Voor een P2S-verbinding is bijvoorbeeld het VPN-type RouteBased vereist. Een VPN-type kan ook afhankelijk zijn van de hardware die u gebruikt. Voor S2S-configuraties is een VPN-apparaat vereist. Sommige VPN-apparaten ondersteunen alleen een bepaald VPN-type.
Het VPN-type dat u selecteert, moet voldoen aan alle verbindingsvereisten voor de oplossing die u wilt maken. Als u bijvoorbeeld een S2S VPN-gatewayverbinding en een P2S VPN-gatewayverbinding voor hetzelfde virtuele netwerk wilt maken, gebruikt u vpn-type RouteBased omdat P2S een Op Route gebaseerd VPN-type vereist. U moet ook controleren of uw VPN-apparaat een RouteBased VPN-verbinding ondersteunt.
Zodra een virtuele netwerkgateway is gemaakt, kunt u het VPN-type niet meer wijzigen. U moet de virtuele netwerkgateway verwijderen en een nieuwe maken. Er zijn twee VPN-typen:
Op beleid gebaseerd: op beleid gebaseerde VPN-verbindingen werden voorheen statische routeringsgateways genoemd in het klassieke implementatiemodel. VPN-verbindingen op basis van beleid versleutelen pakketten en sturen deze via IPsec-tunnels op basis van het IPsec-beleid dat is geconfigureerd met de combinaties van adresvoorvoegsels tussen uw lokale netwerk en het Azure VNET. Het beleid (of de verkeersselector) wordt gewoonlijk gedefinieerd als een toegangslijst in de configuratie van het VPN-apparaat. De waarde voor een op beleid gebaseerd VPN-type is PolicyBased. Houd bij het gebruik van een op beleid gebaseerde VPN rekening met de volgende beperkingen:
- Op beleid gebaseerde VPN's kunnen alleen worden gebruikt met de Basic-gateway-SKU. Dit VPN-type is niet compatibel met andere gateway-SKU's.
- U kunt slechts één tunnel gebruiken wanneer u een op beleid gebaseerde VPN-verbinding gebruikt.
- U kunt op beleid gebaseerde VPN's alleen gebruiken voor S2S-verbindingen en alleen voor bepaalde configuraties. De meeste VPN Gateway-configuraties vereisen een op route gebaseerde VPN.
Op route gebaseerd: op route gebaseerde VPN-verbindingen werden voorheen dynamische routeringsgateways genoemd in het klassieke implementatiemodel. Op route gebaseerde VPN's gebruiken 'routes' in de IP-doorstuurtabel of routeringstabel om pakketten naar de bijbehorende tunnelinterfaces te sturen. De tunnelinterfaces versleutelen of ontsleutelen de pakketten vervolgens naar en vanuit de tunnels. Het beleid (of de verkeersselector) voor op route gebaseerde VPN's is geconfigureerd als alles-naar-alles (of jokertekens). De waarde voor een op route gebaseerd VPN-type is RouteBased.
In het volgende PowerShell-voorbeeld wordt de -VpnType
als RouteBased opgegeven. Wanneer u een gateway maakt, moet u ervoor zorgen dat -VpnType juist is voor uw configuratie.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Gatewaysubnet
Voordat u een VPN-gateway maakt, moet u een gatewaysubnet maken. Het gatewaysubnet bevat de IP-adressen die de virtuele netwerkgateway-VM's en -services gebruiken. Wanneer u uw virtuele netwerkgateway maakt, worden gateway-VM's geïmplementeerd in het gatewaysubnet en geconfigureerd met de vereiste VPN-gateway-instellingen. Implementeer nooit iets anders (bijvoorbeeld extra VM's) in het gatewaysubnet. Het gatewaysubnet moet de naam GatewaySubnet hebben om goed te kunnen werken. Als u het gatewaysubnet 'GatewaySubnet' noemt, weet Azure dat dit het subnet is waarop de virtuele netwerkgateway-VM's en -services moeten worden geïmplementeerd.
Notitie
Door gebruikers gedefinieerde routes met de bestemming 0.0.0.0.0/0 en NSG's in het GatewaySubnet worden niet ondersteund. Gateways die gemaakt zijn met deze configuratie, worden geblokkeerd en kunnen niet worden gemaakt. Gateways vereisen toegang tot de management controllers om correct te kunnen funcioneren. Doorgifte van BGP-route moet worden ingesteld op 'Ingeschakeld' in het GatewaySubnet om voor de beschikbaarheid van de gateway te zorgen. Als deze optie is uitgeschakeld, functioneert de gateway niet.
Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. De IP-adressen in het gatewaysubnet worden toegewezen aan de gateway-VM's en gatewayservices. Sommige configuraties vereisen meer IP-adressen dan andere.
Wanneer u de grootte van uw gatewaysubnet plant, raadpleegt u de documentatie voor de configuratie die u van plan bent te maken. De ExpressRoute/VPN Gateway co-existente configuratie vereist bijvoorbeeld een groter gatewaysubnet dan de meeste andere configuraties. Daarnaast kunt u ervoor zorgen dat uw gatewaysubnet voldoende IP-adressen bevat voor mogelijke toekomstige aanvullende configuraties. Hoewel u een gatewaysubnet kunt maken dat zo klein is als /29 (alleen van toepassing op de Basic-SKU), raden we u aan een gatewaysubnet van /27 of groter (/27, /26 enzovoort) te maken. Dit is geschikt voor de meeste configuraties.
In het volgende Resource Manager PowerShell-voorbeeld ziet u een gatewaysubnet met de naam GatewaySubnet. U kunt zien dat de CIDR-notatie een /27 opgeeft, waarmee voldoende IP-adressen zijn toegestaan voor de meeste configuraties die momenteel bestaan.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Belangrijk
Als u met gatewaysubnetten werkt, vermijd dan om een netwerkbeveiligingsgroep (NSG) te koppelen aan het gatewaysubnet. Het koppelen van een netwerkbeveiligingsgroep aan dit subnet kan ertoe leiden dat uw virtuele netwerkgateway (VPN- en ExpressRoute-gateways) niet meer werkt zoals verwacht. Zie Wat is een netwerkbeveiligingsgroep? voor meer informatie over netwerkbeveiligingsgroepen.
Lokale netwerkgateways
Een lokale netwerkgateway is anders dan een virtuele netwerkgateway. Bij het maken van een VPN-gatewayconfiguratie vertegenwoordigt de lokale netwerkgateway meestal uw on-premises netwerk en het bijbehorende VPN-apparaat. In het klassieke implementatiemodel werd de lokale gateway een lokale site genoemd.
U geeft de lokale netwerkgateway een naam, het openbare IP-adres of de FQDN (Fully Qualified Domain Name) van het on-premises VPN-apparaat en geeft de adresvoorvoegsels op die zich op de on-premises locatie bevinden. Azure bekijkt de doeladresvoorvoegsels voor netwerkverkeer, raadpleegt de configuratie die u hebt opgegeven voor uw lokale netwerkgateway en routeert pakketten dienovereenkomstig. Als u Border Gateway Protocol (BGP) op uw VPN-apparaat gebruikt, geeft u het IP-adres van de BGP-peer van uw VPN-apparaat en het autonome systeemnummer (ASN) van uw on-premises netwerk op. U geeft ook lokale netwerkgateways op voor VNet-naar-VNet-configuraties die gebruikmaken van een VPN-gatewayverbinding.
In het volgende PowerShell-voorbeeld wordt een nieuwe lokale netwerkgateway gemaakt:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Soms moet u de instellingen voor de lokale netwerkgateway wijzigen. Bijvoorbeeld wanneer u het adresbereik toevoegt of wijzigt, of als het IP-adres van het VPN-apparaat wordt gewijzigd. Zie Instellingen voor lokale netwerkgateway wijzigen met behulp van PowerShell.
REST API's, PowerShell-cmdlets en CLI
Zie de volgende pagina's voor aanvullende technische resources en specifieke syntaxisvereisten bij het gebruik van REST API's, PowerShell-cmdlets of Azure CLI voor VPN Gateway configuraties:
Klassieke | Resource Manager |
---|---|
PowerShell | PowerShell |
REST API | REST API |
Niet ondersteund | Azure-CLI |
Volgende stappen
Zie Over VPN Gateway voor meer informatie over beschikbare verbindingsconfiguraties.