Over configuratie-instellingen voor VPN Gateway
De vpn-gatewayverbindingsarchitectuur is afhankelijk van de configuratie van meerdere resources, die elk configureerbare instellingen bevatten. In de secties in dit artikel worden de resources en instellingen besproken die betrekking hebben op een VPN-gateway voor een virtueel netwerk. U vindt beschrijvingen en topologiediagrammen voor elke verbindingsoplossing in het artikel over de VPN Gateway-topologie en het ontwerp .
De waarden in dit artikel zijn specifiek van toepassing op VPN-gateways (virtuele netwerkgateways die gebruikmaken van -GatewayType Vpn). Als u op zoek bent naar informatie over de volgende typen gateways, raadpleegt u de volgende artikelen:
- Zie Virtuele netwerkgateways voor ExpressRoute voor waarden die van toepassing zijn op -GatewayType 'ExpressRoute'.
- Zie Over zone-redundante gateways voor zone-redundante gateways.
- Zie Over Virtual WAN voor Virtual WAN-gateways.
Gateways en gatewaytypen
Een virtuele netwerkgateway bestaat uit twee of meer door Azure beheerde VM's die automatisch worden geconfigureerd en geïmplementeerd in een specifiek subnet dat u het gatewaysubnet maakt. De gateway-VM's bevatten routeringstabellen en voeren specifieke gatewayservices uit. Wanneer u een virtuele netwerkgateway maakt, worden de gateway-VM's automatisch geïmplementeerd in het gatewaysubnet (altijd GatewaySubnet genoemd) en geconfigureerd met de instellingen die u hebt opgegeven. Het proces kan 45 minuten of langer duren, afhankelijk van de gateway-SKU die u hebt geselecteerd.
Een van de instellingen die u opgeeft bij het maken van een virtuele netwerkgateway is het gatewaytype. Het gatewaytype bepaalt hoe de gateway van het virtuele netwerk wordt gebruikt en welke acties de gateway uitvoert. Een virtueel netwerk kan twee virtuele netwerkgateways hebben: één VPN-gateway en één ExpressRoute-gateway. Het -GatewayType Vpn geeft aan dat het type virtuele netwerkgateway dat is gemaakt een VPN-gateway is. Dit onderscheidt deze van een ExpressRoute-gateway.
Gateway-SKU's en -prestaties
Zie het artikel Over gateway-SKU's voor de meest recente informatie over gateway-SKU's , prestaties en ondersteunde functies.
VPN-typen
ondersteuning voor Azure twee verschillende VPN-typen voor VPN-gateways: op beleid gebaseerd en op route gebaseerd. Op route gebaseerde VPN-gateways zijn gebouwd op een ander platform dan op beleid gebaseerde VPN-gateways. Dit resulteert in verschillende gatewayspecificaties. In de volgende tabel ziet u de gateway-SKU's die ondersteuning bieden voor elk van de VPN-typen en de bijbehorende ondersteunde IKE-versies.
VPN-type gateway | Gateway-SKU | ONDERSTEUNDE IKE-versies |
---|---|---|
Gateway op basis van beleid | Basis | IKEv1 |
Gateway op basis van route | Basis | IKEv2 |
Gateway op basis van route | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 en IKEv2 |
Gateway op basis van route | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 en IKEv2 |
In de meeste gevallen maakt u een op route gebaseerde VPN-gateway. Voorheen bieden de oudere gateway-SKU's geen ondersteuning voor IKEv1 voor op route gebaseerde gateways. De meeste huidige gateway-SKU's ondersteunen nu zowel IKEv1 als IKEv2.
Vanaf 1 oktober 2023 kunnen op beleid gebaseerde gateways alleen worden geconfigureerd met behulp van PowerShell of CLI en zijn ze niet beschikbaar in Azure Portal. Als u een op beleid gebaseerde gateway wilt maken, raadpleegt u Een Basic SKU VPN-gateway maken met behulp van PowerShell.
Als u al een op beleid gebaseerde gateway hebt, hoeft u uw gateway niet te wijzigen in op route gebaseerd, tenzij u een configuratie wilt gebruiken waarvoor een op route gebaseerde gateway is vereist, zoals punt-naar-site.
U kunt een op beleid gebaseerde gateway niet converteren naar op route gebaseerd. U moet de bestaande gateway verwijderen en vervolgens een nieuwe gateway maken als op route gebaseerd.
Gateways in de actieve modus
Azure VPN-gateways kunnen worden geconfigureerd als actief-stand-by of actief-actief. In een actief-actief-configuratie brengen beide exemplaren van de gateway-VM's site-naar-site VPN-tunnels tot stand op uw on-premises VPN-apparaat. Gateways in de actieve modus zijn een belangrijk onderdeel van het ontwerp van maximaal beschikbare gatewayconnectiviteit. Raadpleeg voor meer informatie de volgende artikelen:
- Over actief-actief-gateways
- Maximaal beschikbare gatewayconnectiviteit ontwerpen voor cross-premises en VNet-naar-VNet-verbindingen
Privé-IP-adressen van gateways
Deze instelling wordt gebruikt voor bepaalde configuraties voor persoonlijke ExpressRoute-peering. Zie Een site-naar-site-VPN-verbinding configureren via persoonlijke ExpressRoute-peering voor meer informatie.
Verbindingstypen
Voor elke verbinding is een specifiek verbindingstype voor de virtuele netwerkgateway vereist. De beschikbare PowerShell-waarden voor New-AzVirtualNetworkGatewayConnection -Connection Type
zijn: IPsec, Vnet2Vnet, ExpressRoute, VPNClient.
Verbindingsmodi
De eigenschap Verbindingsmodus is alleen van toepassing op op route gebaseerde VPN-gateways die IKEv2-verbindingen gebruiken. Verbindingsmodi definiëren de richting van de verbindingsinitiatie en zijn alleen van toepassing op de eerste IKE-verbindingsinstelling. Elke partij kan opnieuw versleutelen en verdere berichten initiëren. InitiatorOnly betekent dat de verbinding moet worden gestart door Azure. ResponderOnly betekent dat de verbinding moet worden gestart door het on-premises apparaat. Het standaardgedrag is om te accepteren en te kiezen welke verbinding eerst wordt gemaakt.
Gatewaysubnet
Voordat u een VPN-gateway maakt, moet u een gatewaysubnet maken. Het gatewaysubnet bevat de IP-adressen die de virtuele netwerkgateway-VM's en -services gebruiken. Wanneer u uw virtuele netwerkgateway maakt, worden gateway-VM's geïmplementeerd in het gatewaysubnet en geconfigureerd met de vereiste VPN-gatewayinstellingen. Implementeer nooit iets anders (bijvoorbeeld meer VM's) naar het gatewaysubnet. Het gatewaysubnet moet de naam GatewaySubnet hebben om goed te kunnen werken. Als u het gatewaysubnet 'GatewaySubnet' noemt, weet Azure dat dit het subnet is waarnaar de virtuele netwerkgateway-VM's en -services moeten worden geïmplementeerd.
Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. De IP-adressen in het gatewaysubnet worden toegewezen aan de gateway-VM's en gatewayservices. Sommige configuraties vereisen meer IP-adressen dan andere.
Wanneer u de grootte van uw gatewaysubnet plant, raadpleegt u de documentatie voor de configuratie die u wilt maken. De co-existentieconfiguratie voor ExpressRoute/VPN Gateway vereist bijvoorbeeld een groter gatewaysubnet dan de meeste andere configuraties. Hoewel het mogelijk is om een gatewaysubnet te maken dat zo klein is als /29 (alleen van toepassing op de Basic-SKU), vereisen alle andere SKU's een gatewaysubnet van grootte /27 of groter (/27, /26, /25 enzovoort). Mogelijk wilt u een gatewaysubnet maken dat groter is dan /27, zodat het subnet voldoende IP-adressen heeft voor mogelijke toekomstige configuraties.
In het volgende PowerShell-voorbeeld ziet u een gatewaysubnet met de naam GatewaySubnet. U kunt zien dat de CIDR-notatie een /27 opgeeft, waardoor er voldoende IP-adressen zijn voor de meeste configuraties die momenteel bestaan.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Overwegingen:
Door gebruikers gedefinieerde routes met de bestemming 0.0.0.0.0/0 en NSG's in het GatewaySubnet worden niet ondersteund. Gateways met deze configuratie mogen niet worden gemaakt. Gateways vereisen toegang tot de management controllers om correct te kunnen funcioneren. Doorgifte van BGP-routes moet worden ingesteld op Ingeschakeld op gatewaysubnet om de beschikbaarheid van de gateway te garanderen. Als de doorgifte van BGP-routes is uitgeschakeld, werkt de gateway niet.
Diagnostiek, gegevenspad en controlepad kunnen worden beïnvloed als een door de gebruiker gedefinieerde route overlapt met het gateway-subnetbereik of het openbare IP-bereik van de gateway.
Lokale netwerkgateways
Een lokale netwerkgateway verschilt van een virtuele netwerkgateway. Wanneer u met een site-naar-site-architectuur van een VPN-gateway werkt, vertegenwoordigt de lokale netwerkgateway meestal uw on-premises netwerk en het bijbehorende VPN-apparaat.
Wanneer u een lokale netwerkgateway configureert, geeft u de naam, het openbare IP-adres of de FQDN (Fully Qualified Domain Name) van het on-premises VPN-apparaat en de adresvoorvoegsels op die zich op de on-premises locatie bevinden. Azure bekijkt de voorvoegsels van het doeladres voor netwerkverkeer, raadpleegt de configuratie die u hebt opgegeven voor uw lokale netwerkgateway en routeert pakketten dienovereenkomstig. Als u Border Gateway Protocol (BGP) op uw VPN-apparaat gebruikt, geeft u het BGP-peer-IP-adres van uw VPN-apparaat en het autonome systeemnummer (ASN) van uw on-premises netwerk op. U geeft ook lokale netwerkgateways op voor VNet-naar-VNet-configuraties die gebruikmaken van een VPN-gatewayverbinding.
In het volgende PowerShell-voorbeeld wordt een nieuwe lokale netwerkgateway gemaakt:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Soms moet u de instellingen van de lokale netwerkgateway wijzigen. Wanneer u bijvoorbeeld het adresbereik toevoegt of wijzigt, of als het IP-adres van het VPN-apparaat wordt gewijzigd. Zie Instellingen voor lokale netwerkgateway wijzigen voor meer informatie.
REST API's, PowerShell-cmdlets en CLI
Zie de volgende pagina's voor technische resources en specifieke syntaxisvereisten bij het gebruik van REST API's, PowerShell-cmdlets of Azure CLI voor VPN Gateway-configuraties:
Volgende stappen
Zie Over VPN Gateway voor meer informatie over beschikbare verbindingsconfiguraties.