Over VPN Gateway configuratie-instellingen

Een VPN-gateway is een type virtuele netwerkgateway die versleuteld verkeer verzendt tussen uw virtuele netwerk en uw on-premises locatie via een openbare verbinding. U kunt ook een VPN-gateway gebruiken om verkeer te verzenden tussen virtuele netwerken via de Azure-backbone.

Een VPN-gatewayverbinding is afhankelijk van de configuratie van meerdere resources, die elk configureerbare instellingen bevatten. In de secties in dit artikel worden de resources en instellingen besproken die betrekking hebben op een VPN-gateway voor een virtueel netwerk dat is gemaakt in Resource Manager implementatiemodel. U vindt beschrijvingen en topologiediagrammen voor elke verbindingsoplossing in het artikel Over VPN Gateway.

De waarden in dit artikel zijn van toepassing op VPN-gateways (virtuele netwerkgateways die gebruikmaken van -GatewayType Vpn). In dit artikel worden niet alle gatewaytypen of zone-redundante gateways behandeld.

Gatewaytypen

Elk virtueel netwerk kan slechts één virtuele netwerkgateway van elk type hebben. Wanneer u een virtuele netwerkgateway maakt, moet u ervoor zorgen dat het gatewaytype juist is voor uw configuratie.

De beschikbare waarden voor -GatewayType zijn:

  • VPN
  • ExpressRoute

Voor een VPN-gateway is vpn-GatewayType vereist.

Voorbeeld:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

Gateway-SKU's

Wanneer u een virtuele netwerkgateway maakt, moet u de gewenste gateway-SKU opgeven. Selecteer de SKU die voldoet aan uw vereisten op basis van de typen workloads, doorvoer, functies en SLA's. Raadpleeg Gateway-SKU's van Azure-beschikbaarheidszones voor virtuele netwerkgateway-SKU's in Azure-beschikbaarheidszones.

Gateway-SKU's per tunnel, verbinding en doorvoer

VPN
Gateway
Generatie
SKU S2S/VNet-naar-VNet
Tunnels
P2S
SSTP-verbindingen
P2S
IKEv2/OpenVPN-verbindingen
Samenvoegen
Doorvoerbenchmark
BGP Zone-redundant
Generatie1 Basic Met maximaal 10 Met maximaal 128 Niet ondersteund 100 Mbps Niet ondersteund Nee
Generatie1 VpnGw1 Met maximaal 30 Met maximaal 128 Met maximaal 250 650 Mbps Ondersteund Nee
Generatie1 VpnGw2 Met maximaal 30 Met maximaal 128 Met maximaal 500 1 Gbps Ondersteund Nee
Generatie1 VpnGw3 Met maximaal 30 Met maximaal 128 Met maximaal 1000 1,25 Gbps Ondersteund Nee
Generatie1 VpnGw1AZ Met maximaal 30 Met maximaal 128 Met maximaal 250 650 Mbps Ondersteund Ja
Generatie1 VpnGw2AZ Met maximaal 30 Met maximaal 128 Met maximaal 500 1 Gbps Ondersteund Ja
Generatie1 VpnGw3AZ Met maximaal 30 Met maximaal 128 Met maximaal 1000 1,25 Gbps Ondersteund Ja
Generatie2 VpnGw2 Met maximaal 30 Met maximaal 128 Met maximaal 500 1,25 Gbps Ondersteund Nee
Generatie2 VpnGw3 Met maximaal 30 Met maximaal 128 Met maximaal 1000 2,5 Gbps Ondersteund Nee
Generatie2 VpnGw4 Met maximaal 100* Met maximaal 128 Met maximaal 5000 5 Gbps Ondersteund Nee
Generatie2 VpnGw5 Met maximaal 100* Met maximaal 128 Met maximaal 10.000 10 Gbps Ondersteund Nee
Generatie2 VpnGw2AZ Met maximaal 30 Met maximaal 128 Met maximaal 500 1,25 Gbps Ondersteund Ja
Generatie2 VpnGw3AZ Met maximaal 30 Met maximaal 128 Met maximaal 1000 2,5 Gbps Ondersteund Ja
Generatie2 VpnGw4AZ Met maximaal 100* Met maximaal 128 Met maximaal 5000 5 Gbps Ondersteund Ja
Generatie2 VpnGw5AZ Met maximaal 100* Met maximaal 128 Met maximaal 10.000 10 Gbps Ondersteund Ja

(*) Gebruik Virtual WAN als u meer dan 100 S2S VPN-tunnels nodig hebt.

  • Het wijzigen van de grootte van VpnGw-SKU's is toegestaan binnen dezelfde generatie, behalve het wijzigen van de grootte van de Basic-SKU. De Basic-SKU is een verouderde SKU waarvoor beperkingen in de functionaliteit gelden. Als u wilt overstappen van Basic naar een andere SKU, moet u de BASIC SKU VPN-gateway verwijderen en een nieuwe gateway maken met de gewenste combinatie van generatie en SKU-grootte. (zie Werken met verouderde SKU's).

  • Er gelden afzonderlijke verbindingslimieten. U kunt bijvoorbeeld 128 SSTP-verbindingen en ook 250 IKEv2-verbindingen hebben in een SKU van het type VpnGw1.

  • Prijsinformatie vindt u op de pagina Prijzen.

  • Gegevens over de SLA (Service Level Agreement) vindt u op de pagina SLA.

  • Als u veel P2S-verbindingen hebt, kan dit een negatieve invloed hebben op uw S2S-verbindingen. De benchmarks voor geaggregeerde doorvoer zijn getest door een combinatie van S2S- en P2S-verbindingen te maximaliseren. Een enkele P2S- of S2S-verbinding kan een veel lagere doorvoer hebben.

  • Houd er rekening mee dat niet alle benchmarks worden gegarandeerd vanwege de omstandigheden van internetverkeer en het gedrag van uw toepassing

Om onze klanten inzicht te geven in de relatieve prestaties van SKU's met behulp van verschillende algoritmen, hebben we openbaar beschikbare iPerf- en CTSTraffic-hulpprogramma's gebruikt om prestaties voor site-naar-site-verbindingen te meten. De onderstaande tabel bevat de resultaten van prestatietests voor VpnGw-SKU's. Zoals u kunt zien, worden de beste prestaties gerealiseerd bij gebruik van het GCMAES256-algoritme voor zowel IPsec-versleuteling als integriteit. Gemiddelde prestaties worden gerealiseerd bij gebruik van AES256 voor IPsec-versleuteling en SHA256 voor integriteit. De minst goede prestaties worden gerealiseerd bij gebruik van DES3 voor IPsec-versleuteling en SHA256 voor integriteit.

Een VPN-tunnel maakt verbinding met een VPN-gatewayexemplaren. Elke exemplaardoorvoer wordt vermeld in de bovenstaande doorvoertabel en is geaggregeerd beschikbaar in alle tunnels die verbinding maken met dat exemplaar.

In de onderstaande tabel ziet u de waargenomen bandbreedte en de doorvoer van pakketten per seconde per tunnel voor de verschillende gateway-SKU's. Alle tests zijn uitgevoerd tussen gateways (eindpunten) binnen Azure in verschillende regio's met 100 verbindingen en onder standaardbelastingsomstandigheden.

Generatie SKU Algoritmen
Gebruikt
Doorvoer
waargenomen per tunnel
Pakketten per seconde per tunnel
Waargenomen
Generatie1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
Generatie1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
100.000
61,000
13,000
Generatie1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
Generatie1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
Generatie1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
110,000
61,000
13,000
Generatie1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
Generatie2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
Generatie2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Generatie2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generatie2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generatie2 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
Generatie2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Generatie2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generatie2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000

Notitie

VpnGw-SKU's (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5 en VpnGw5AZ) worden alleen ondersteund voor het Resource Manager-implementatiemodel. Voor klassieke virtuele netwerken moeten de oude (verouderde) SKU's nog altijd worden gebruikt.

Gateway-SKU's per functieset

De nieuwe VPN-gateway-SKU's stroomlijnen de functiesets die worden aangeboden op de gateways:

SKU Functies
Basic (**) VPN op basis van route: 10 tunnels voor S2S/verbindingen; geen RADIUS-verificatie voor P2S; geen IKEv2 voor P2S
VPN op basis van beleid: (IKEv1): 1 S2S/verbindingstunnel; geen P2S
Alle Generation1- en Generation2-SKU's, behalve Basic VPN op basis van route: maximaal 100 tunnels (*), P2S, BGP, actief-actief, aangepast IPsec-/IKE-beleid, ExpressRoute/VPN-co-existentie

(*) U kunt "PolicyBasedTrafficSelectors" configureren om een op route gebaseerde VPN-gateway te verbinden met meerdere on-premises, op beleid gebaseerde firewallapparaten. Raadpleeg Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (VPN-gateways verbinden met meerdere on-premises,op beleid gebaseerde VPN-apparaten met behulp van PowerShell) voor meer informatie.

(**) De Basic-SKU wordt beschouwd als een verouderde SKU. Deze SKU kent bepaalde functiebeperkingen. U kunt het formaat van een gateway die gebruikmaakt van een Basic-SKU niet wijzigen in een andere SKU. In plaats daarvan moet u overschakelen naar een nieuwe SKU. Hiervoor moet u uw VPN-gateway verwijderen en opnieuw maken. U kunt geen Basic-SKU implementeren in een VNet dat gebruikmaakt van IPv6-adresruimte.

Gateway-SKU's - Productie versus werkbelastingen voor ontwikkelen en testen

Vanwege de verschillen in SLA's en functiesets, raden we de volgende SKU's aan voor productie vs. ontwikkelen en testen:

Workload SKU's
Productie, kritieke werkbelastingen Alle Generation1- en Generation2-SKU's, behalve Basic
Ontwikkelen en testen of conceptontwerpen Basic (**)

(**) De Basic-SKU wordt beschouwd als een verouderde SKU en heeft functiebeperkingen. Controleer of de functie die u nodig hebt, wordt ondersteund voordat u kiest voor de Basic-SKU.

Als u de oude SKU's (verouderd) gebruikt, zijn de aanbevelingen voor de productie-SKU Standard en HighPerformance. Raadpleeg Gateway-SKU's (verouderd) voor meer informatie en instructies voor oude SKU's.

Een gateway-SKU configureren

Azure-portal

Als u de Azure Portal gebruikt om een Resource Manager virtuele netwerkgateway te maken, kunt u de gateway-SKU selecteren met behulp van de vervolgkeuzelijst. De opties die u te zien krijgt, komen overeen met het gatewaytype en vpn-type dat u selecteert.

PowerShell

In het volgende PowerShell-voorbeeld wordt de -GatewaySku opgegeven als VpnGw1. Wanneer u PowerShell gebruikt om een gateway te maken, moet u eerst de IP-configuratie maken en vervolgens een variabele gebruiken om ernaar te verwijzen. In dit voorbeeld wordt de configuratievariabele $gwipconfig.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

Azure-CLI

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

Het formaat van een SKU wijzigen of het formaat van een SKU wijzigen

Als u een VPN-gateway hebt en u een andere gateway-SKU wilt gebruiken, kunt u de grootte van de gateway-SKU wijzigen of wijzigen in een andere SKU. Wanneer u overstapt op een andere gateway-SKU, verwijdert u de bestaande gateway volledig en bouwt u een nieuwe. Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU. Ter vergelijking: wanneer u de grootte van een gateway-SKU wijzigt, is er niet veel downtime omdat u de gateway niet hoeft te verwijderen en opnieuw te bouwen. Als u de mogelijkheid hebt om de grootte van uw gateway-SKU te wijzigen in plaats van deze te wijzigen, kunt u dat beter doen. Er zijn echter regels met betrekking tot het wijzigen van het formaat:

  1. Met uitzondering van de Basic-SKU kunt u de grootte van een VPN-gateway-SKU wijzigen in een andere VPN-gateway-SKU binnen dezelfde generatie (Generation1 of Generation2). Het formaat van VpnGw1 van Generation1 kan bijvoorbeeld worden gewijzigd in VpnGw2 van generatie1, maar niet in VpnGw2 van Generatie2.
  2. Wanneer u met de oude gateway-SKU's werkt, kunt u het formaat wijzigen tussen Standard- en HighPerformance-SKU's.
  3. U kunt het formaat niet wijzigen van Basic/Standard/HighPerformance-SKU's naar VpnGw-SKU's. U moet in plaats daarvan overstappen op de nieuwe SKU's.

Het formaat van een gateway wijzigen

Azure-portal

  1. Ga naar de pagina Configuratie voor uw virtuele netwerkgateway.

  2. Klik aan de rechterkant van de pagina op de vervolgkeuzepijl om de beschikbare gateway-SKU's weer te geven.

    Schermopname van het wijzigen van de grootte van de gateway.

  3. Selecteer de SKU in de vervolgkeuzelijst.

PowerShell

U kunt de Resize-AzVirtualNetworkGatewayPowerShell-cmdlet gebruiken om een Generation1- of Generation2-SKU te upgraden of te downgraden (alle VpnGw-SKU's kunnen worden gewijzigd, behalve de Basic-SKU's). Als u de basis-gateway-SKU gebruikt, kunt u deze instructies gebruiken in plaats het formaat van uw gateway te wijzigen.

In het volgende Powershell-voor beeld ziet u een gateway-SKU waarvan de grootte wordt gewijzigd in VpnGw2.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

Wijzigen van een oude (verouderde) SKU naar een nieuwe SKU

Als u werkt met het Resource Manager-implementatiemodel, kunt u overschakelen naar de nieuwe gateway-SKU's. Wanneer u overstapt van een verouderde gateway-SKU naar een nieuwe SKU, verwijdert u de bestaande VPN-gateway en maakt u een nieuwe VPN-gateway.

Workflow:

  1. Verwijder verbindingen van de gateway voor het virtuele netwerk.
  2. Verwijder de oude VPN-gateway.
  3. Maak de nieuwe VPN-gateway.
  4. Werk uw on-premises VPN-apparaten bij met het nieuwe IP-adres van de VPN-gateway (voor site-naar-site-verbindingen).
  5. Werk de waarde van het IP-adres voor de gateway bij voor alle lokale VNet-naar-VNet-netwerkgateways die verbinding met deze gateway maken.
  6. Download nieuwe client-VPN-configuratiepakketten voor P2S-clients die verbinding maken met het virtuele netwerk via deze VPN-gateway.
  7. Herstel de verbindingen met de gateway voor het virtuele netwerk.

Overwegingen:

  • Als u wilt overstappen op de nieuwe SKU's, moet uw VPN-gateway zich in het Resource Manager-implementatiemodel bevinden.
  • Als u een klassieke VPN-gateway hebt, moet u de veroudere SKU's voor die gateway blijven gebruiken, maar u kunt het formaat van de veroudere SKU's echter aanpassen. U kunt niet overschakelen naar de nieuwe SKU's.
  • Er zal connectiviteitsdowntime optreden wanneer u overschakelt van een verouderde SKU naar een nieuwe SKU.
  • Wanneer u overstapt naar een nieuwe gateway-SKU, wordt het openbare IP-adres voor uw VPN-gateway gewijzigd. Dit gebeurt ook als u hetzelfde openbare IP-adresobject opgeeft dat u eerder hebt gebruikt.

Verbindingstypen

In het Resource Manager-implementatiemodel vereist elke configuratie een specifiek verbindingstype voor de gateway van het virtuele netwerk. De beschikbare Resource Manager PowerShell-waarden voor -ConnectionType zijn:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

In het volgende PowerShell-voorbeeld maken we een S2S-verbinding waarvoor het verbindingstype IPsec is vereist.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

VPN-typen

Wanneer u de virtuele netwerkgateway voor een VPN-gatewayconfiguratie maakt, moet u een VPN-type opgeven. Het VPN-type dat u kiest, is afhankelijk van de verbindingstopologie die u wilt maken. Voor een P2S-verbinding is bijvoorbeeld het VPN-type RouteBased vereist. Een VPN-type kan ook afhankelijk zijn van de hardware die u gebruikt. Voor S2S-configuraties is een VPN-apparaat vereist. Sommige VPN-apparaten ondersteunen alleen een bepaald VPN-type.

Het VPN-type dat u selecteert, moet voldoen aan alle verbindingsvereisten voor de oplossing die u wilt maken. Als u bijvoorbeeld een S2S VPN-gatewayverbinding en een P2S VPN-gatewayverbinding voor hetzelfde virtuele netwerk wilt maken, gebruikt u vpn-type RouteBased omdat P2S een Op Route gebaseerd VPN-type vereist. U moet ook controleren of uw VPN-apparaat een RouteBased VPN-verbinding ondersteunt.

Zodra een virtuele netwerkgateway is gemaakt, kunt u het VPN-type niet meer wijzigen. U moet de virtuele netwerkgateway verwijderen en een nieuwe maken. Er zijn twee VPN-typen:

  • Op beleid gebaseerd: op beleid gebaseerde VPN-verbindingen werden voorheen statische routeringsgateways genoemd in het klassieke implementatiemodel. VPN-verbindingen op basis van beleid versleutelen pakketten en sturen deze via IPsec-tunnels op basis van het IPsec-beleid dat is geconfigureerd met de combinaties van adresvoorvoegsels tussen uw lokale netwerk en het Azure VNET. Het beleid (of de verkeersselector) wordt gewoonlijk gedefinieerd als een toegangslijst in de configuratie van het VPN-apparaat. De waarde voor een op beleid gebaseerd VPN-type is PolicyBased. Houd bij het gebruik van een op beleid gebaseerde VPN rekening met de volgende beperkingen:

    • Op beleid gebaseerde VPN's kunnen alleen worden gebruikt met de Basic-gateway-SKU. Dit VPN-type is niet compatibel met andere gateway-SKU's.
    • U kunt slechts één tunnel gebruiken wanneer u een op beleid gebaseerde VPN-verbinding gebruikt.
    • U kunt op beleid gebaseerde VPN's alleen gebruiken voor S2S-verbindingen en alleen voor bepaalde configuraties. De meeste VPN Gateway-configuraties vereisen een op route gebaseerde VPN.
  • Op route gebaseerd: op route gebaseerde VPN-verbindingen werden voorheen dynamische routeringsgateways genoemd in het klassieke implementatiemodel. Op route gebaseerde VPN's gebruiken 'routes' in de IP-doorstuurtabel of routeringstabel om pakketten naar de bijbehorende tunnelinterfaces te sturen. De tunnelinterfaces versleutelen of ontsleutelen de pakketten vervolgens naar en vanuit de tunnels. Het beleid (of de verkeersselector) voor op route gebaseerde VPN's is geconfigureerd als alles-naar-alles (of jokertekens). De waarde voor een op route gebaseerd VPN-type is RouteBased.

In het volgende PowerShell-voorbeeld wordt de -VpnType als RouteBased opgegeven. Wanneer u een gateway maakt, moet u ervoor zorgen dat -VpnType juist is voor uw configuratie.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Gatewaysubnet

Voordat u een VPN-gateway maakt, moet u een gatewaysubnet maken. Het gatewaysubnet bevat de IP-adressen die de virtuele netwerkgateway-VM's en -services gebruiken. Wanneer u uw virtuele netwerkgateway maakt, worden gateway-VM's geïmplementeerd in het gatewaysubnet en geconfigureerd met de vereiste VPN-gateway-instellingen. Implementeer nooit iets anders (bijvoorbeeld extra VM's) in het gatewaysubnet. Het gatewaysubnet moet de naam GatewaySubnet hebben om goed te kunnen werken. Als u het gatewaysubnet 'GatewaySubnet' noemt, weet Azure dat dit het subnet is waarop de virtuele netwerkgateway-VM's en -services moeten worden geïmplementeerd.

Notitie

Door gebruikers gedefinieerde routes met de bestemming 0.0.0.0.0/0 en NSG's in het GatewaySubnet worden niet ondersteund. Gateways die gemaakt zijn met deze configuratie, worden geblokkeerd en kunnen niet worden gemaakt. Gateways vereisen toegang tot de management controllers om correct te kunnen funcioneren. Doorgifte van BGP-route moet worden ingesteld op 'Ingeschakeld' in het GatewaySubnet om voor de beschikbaarheid van de gateway te zorgen. Als deze optie is uitgeschakeld, functioneert de gateway niet.

Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. De IP-adressen in het gatewaysubnet worden toegewezen aan de gateway-VM's en gatewayservices. Sommige configuraties vereisen meer IP-adressen dan andere.

Wanneer u de grootte van uw gatewaysubnet plant, raadpleegt u de documentatie voor de configuratie die u van plan bent te maken. De ExpressRoute/VPN Gateway co-existente configuratie vereist bijvoorbeeld een groter gatewaysubnet dan de meeste andere configuraties. Daarnaast kunt u ervoor zorgen dat uw gatewaysubnet voldoende IP-adressen bevat voor mogelijke toekomstige aanvullende configuraties. Hoewel u een gatewaysubnet kunt maken dat zo klein is als /29 (alleen van toepassing op de Basic-SKU), raden we u aan een gatewaysubnet van /27 of groter (/27, /26 enzovoort) te maken. Dit is geschikt voor de meeste configuraties.

In het volgende Resource Manager PowerShell-voorbeeld ziet u een gatewaysubnet met de naam GatewaySubnet. U kunt zien dat de CIDR-notatie een /27 opgeeft, waarmee voldoende IP-adressen zijn toegestaan voor de meeste configuraties die momenteel bestaan.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Belangrijk

Als u met gatewaysubnetten werkt, vermijd dan om een netwerkbeveiligingsgroep (NSG) te koppelen aan het gatewaysubnet. Het koppelen van een netwerkbeveiligingsgroep aan dit subnet kan ertoe leiden dat uw virtuele netwerkgateway (VPN- en ExpressRoute-gateways) niet meer werkt zoals verwacht. Zie Wat is een netwerkbeveiligingsgroep? voor meer informatie over netwerkbeveiligingsgroepen.

Lokale netwerkgateways

Een lokale netwerkgateway is anders dan een virtuele netwerkgateway. Bij het maken van een VPN-gatewayconfiguratie vertegenwoordigt de lokale netwerkgateway meestal uw on-premises netwerk en het bijbehorende VPN-apparaat. In het klassieke implementatiemodel werd de lokale gateway een lokale site genoemd.

U geeft de lokale netwerkgateway een naam, het openbare IP-adres of de FQDN (Fully Qualified Domain Name) van het on-premises VPN-apparaat en geeft de adresvoorvoegsels op die zich op de on-premises locatie bevinden. Azure bekijkt de doeladresvoorvoegsels voor netwerkverkeer, raadpleegt de configuratie die u hebt opgegeven voor uw lokale netwerkgateway en routeert pakketten dienovereenkomstig. Als u Border Gateway Protocol (BGP) op uw VPN-apparaat gebruikt, geeft u het IP-adres van de BGP-peer van uw VPN-apparaat en het autonome systeemnummer (ASN) van uw on-premises netwerk op. U geeft ook lokale netwerkgateways op voor VNet-naar-VNet-configuraties die gebruikmaken van een VPN-gatewayverbinding.

In het volgende PowerShell-voorbeeld wordt een nieuwe lokale netwerkgateway gemaakt:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Soms moet u de instellingen voor de lokale netwerkgateway wijzigen. Bijvoorbeeld wanneer u het adresbereik toevoegt of wijzigt, of als het IP-adres van het VPN-apparaat wordt gewijzigd. Zie Instellingen voor lokale netwerkgateway wijzigen met behulp van PowerShell.

REST API's, PowerShell-cmdlets en CLI

Zie de volgende pagina's voor aanvullende technische resources en specifieke syntaxisvereisten bij het gebruik van REST API's, PowerShell-cmdlets of Azure CLI voor VPN Gateway configuraties:

Klassieke Resource Manager
PowerShell PowerShell
REST API REST API
Niet ondersteund Azure-CLI

Volgende stappen

Zie Over VPN Gateway voor meer informatie over beschikbare verbindingsconfiguraties.