Azure VPN-gateways verbinden met meerdere on-premises, op beleid gebaseerde VPN-apparaten met behulp van PowerShell

  • Artikel
  • 7 minuten om te lezen

Dit artikel helpt u bij het configureren van een op route gebaseerde VPN-gateway van Azure om verbinding te maken met meerdere on-premises, op beleid gebaseerde VPN-apparaten met behulp van aangepast IPsec-/IKE-beleid voor S2S VPN-verbindingen.

Over OP beleid en route gebaseerde VPN-gateways

Op beleid gebaseerde en op route gebaseerde VPN-apparaten verschillen in de wijze waarop de IPsec-verkeersselectors zijn ingesteld voor een verbinding:

  • Op beleid gebaseerd VPN-apparaten gebruiken de combinaties van voorvoegsels van beide netwerken om te definiëren hoe verkeer wordt versleuteld/ontsleuteld via IPsec-tunnels. Het is doorgaans gebouwd op firewallapparaten die pakketfiltering uitvoeren. IPsec-tunnelversleuteling en -ontsleuteling worden toegevoegd aan de engine voor pakketfiltering en verwerking.
  • Op route gebaseerd VPN-apparaten maken gebruik van any-to-any-verkeerkiezers (jokertekens) en kunnen routerings-/doorstuurtabellen verkeer omleiden naar verschillende IPsec-tunnels. Het is doorgaans gebouwd op routerplatforms waar elke IPsec-tunnel is gemodelleerd als een netwerkinterface of VTI (virtuele tunnelinterface).

In de volgende diagrammen worden de twee modellen gemarkeerd:

Vpn-voorbeeld op basis van beleid

op beleid gebaseerd

Vpn-voorbeeld op basis van route

op route gebaseerd

ondersteuning voor Azure voor vpn op basis van beleid

Momenteel ondersteunt Azure beide modi van VPN-gateways: op route gebaseerde VPN-gateways en op beleid gebaseerde VPN-gateways. Ze zijn gebouwd op verschillende interne platforms, wat resulteert in verschillende specificaties:

Categorie Op beleid gebaseerde VPN Gateway Op route gebaseerde VPN Gateway Op route gebaseerde VPN Gateway Op route gebaseerde VPN Gateway
Azure Gateway-SKU Basic Basic VpnGw1, VpnGw2, VpnGw3, VpnGw1AZ, VpnGw2AZ, VpnGw3AZ VpnGw4, VpnGw5, VpnGw4AZ, VpnGw5AZ
IKE-versie IKEv1 IKEv2 IKEv1 en IKEv2 IKEv1 en IKEv2
Met maximaal S2S-verbindingen 1 10 30 100

Voorheen was u bij het werken met op beleid gebaseerde VPN's beperkt tot het gebruik van de op beleid gebaseerde VPN Gateway Basic-SKU en kon u slechts verbinding maken met 1 on-premises VPN-/firewallapparaat. Met behulp van aangepast IPsec-/IKE-beleid kunt u nu een op route gebaseerde VPN-gateway gebruiken en verbinding maken met meerdere op beleid gebaseerde VPN-/firewallapparaten. Als u een op beleid gebaseerde VPN-verbinding wilt maken met behulp van een op route gebaseerde VPN-gateway, configureert u de op route gebaseerde VPN-gateway voor het gebruik van op voorvoegsels gebaseerde verkeerskiezers met de optie 'PolicyBasedTrafficSelectors'.

Belangrijk

  1. Als u deze connectiviteit wilt inschakelen, moeten uw on-premises, op beleid gebaseerde VPN-apparaten IKEv2 ondersteunen om verbinding te maken met de op route gebaseerde VPN-gateways van Azure. Controleer de specificaties van uw VPN-apparaat.
  2. De on-premises netwerken die verbinding maken via op beleid gebaseerde VPN-apparaten met dit mechanisme, kunnen alleen verbinding maken met het virtuele Azure-netwerk; ze kunnen niet worden overgedragen naar andere on-premises netwerken of virtuele netwerken via dezelfde Azure VPN-gateway.
  3. De configuratieoptie maakt deel uit van het aangepaste IPsec-/IKE-verbindingsbeleid. Als u de optie op basis van beleid voor verkeersselector inschakelt, moet u het volledige beleid opgeven (IPsec-/IKE-versleutelings- en integriteitsalgoritmen, belangrijke sterke punten en SA-levensduur).

In het volgende diagram ziet u waarom transitroutering via Azure VPN Gateway niet werkt met de optie op basis van beleid:

doorvoer op basis van beleid

Zoals weergegeven in het diagram, heeft de Azure VPN-gateway verkeersselectors van het virtuele netwerk naar elk van de on-premises netwerkvoorvoegsels, maar niet de voorvoegsels voor meerdere verbindingen. On-premises site 2, site 3 en site 4 kunnen bijvoorbeeld elk communiceren met respectievelijk VNet1, maar kunnen niet via de Azure VPN-gateway met elkaar worden verbonden. Het diagram toont de verkeerskiezers voor meerdere verbindingen die niet beschikbaar zijn in de Azure VPN-gateway onder deze configuratie.

Werkstroom

De instructies in dit artikel volgen hetzelfde voorbeeld als beschreven in IPsec-/IKE-beleid configureren voor S2S- of VNet-naar-VNet-verbindingen om een S2S VPN-verbinding tot stand te brengen. Dit wordt weergegeven in het volgende diagram:

s2s-policy

De werkstroom voor het inschakelen van deze connectiviteit:

  1. Maak het virtuele netwerk, de VPN-gateway en de lokale netwerkgateway voor uw cross-premises verbinding.
  2. Een IPsec-/IKE-beleid maken.
  3. Pas het beleid toe wanneer u een S2S- of VNet-naar-VNet-verbinding maakt en de op beleid gebaseerde verkeerskiezers voor de verbinding inschakelt.
  4. Als de verbinding al is gemaakt, kunt u het beleid toepassen of bijwerken naar een bestaande verbinding.

Voordat u begint

  • Controleer of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.

  • In dit artikel worden PowerShell-cmdlets gebruikt. U kunt Azure Cloud Shell gebruiken om de cmdlets uit te voeren. Cloud Shell is een gratis interactieve shell die u kunt gebruiken om de stappen in dit artikel uit te voeren. In deze shell zijn algemene Azure-hulpprogramma's vooraf geïnstalleerd en geconfigureerd voor gebruik met uw account.

    Als u Cloud Shell wilt openen, selecteert u Proberen in de rechterbovenhoek van een codeblok. U kunt Cloud Shell ook openen op een afzonderlijk browsertabblad door naar te https://shell.azure.com/powershellgaan. Selecteer Kopiëren om de codeblokken te kopiëren, plak ze in Cloud Shell en selecteer Enter om ze uit te voeren.

    U kunt de Azure PowerShell cmdlets ook lokaal op uw computer installeren en uitvoeren. PowerShell-cmdlets worden regelmatig bijgewerkt. Als u de nieuwste versie niet hebt geïnstalleerd, kunnen de waarden die in de instructies zijn opgegeven, mislukken. Gebruik Get-Module -ListAvailable Az de cmdlet om de versies van Azure PowerShell die op uw computer zijn geïnstalleerd te vinden. Zie De Azure PowerShell-module installeren als u de module Azure PowerShell wilt installeren of bijwerken.

Op beleid gebaseerde verkeersselectors inschakelen

In deze sectie wordt beschreven hoe u op beleid gebaseerde verkeerskiezers inschakelt voor een verbinding. Zorg ervoor dat u deel 3 van het artikel IPsec-/IKE-beleid configureren hebt voltooid. In de stappen in dit artikel worden dezelfde parameters gebruikt.

Stap 1: het virtuele netwerk, de VPN-gateway en de lokale netwerkgateway maken

Verbinding maken met uw abonnement en uw variabelen declareren

  1. Als u PowerShell lokaal op uw computer uitvoert, meldt u zich aan met de cmdlet Connect-AzAccount . Of gebruik in plaats daarvan Azure Cloud Shell in uw browser.

  2. Declareer uw variabelen. Voor deze oefening gebruiken we de volgende variabelen:

    $Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

Het virtuele netwerk, de VPN-gateway en de lokale netwerkgateway maken

  1. Maak een resourcegroep.

    New-AzResourceGroup -Name $RG1 -Location $Location1

  2. Gebruik het volgende voorbeeld om het virtuele netwerk TestVNet1 met drie subnetten en de VPN-gateway te maken. Als u waarden wilt vervangen, is het belangrijk dat u uw gatewaysubnet altijd specifiek 'GatewaySubnet' noemt. Als u een andere naam kiest, mislukt het maken van de gateway.

    $fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

Stap 2: een S2S VPN-verbinding maken met een IPsec-/IKE-beleid

  1. Een IPsec-/IKE-beleid maken.

    Belangrijk

    U moet een IPsec-/IKE-beleid maken om de optie UsePolicyBasedTrafficSelectors in te schakelen voor de verbinding.

    In het volgende voorbeeld wordt een IPsec-/IKE-beleid gemaakt met deze algoritmen en parameters:

    • IKEv2: AES256, SHA384, DHGroup24
    • IPsec: AES256, SHA256, PFS Geen, SA-levensduur 14400 seconden & 102400000 kB
    $ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

  2. Maak de S2S VPN-verbinding met op beleid gebaseerde verkeerskiezers en IPsec/IKE-beleid en pas het IPsec/IKE-beleid toe dat in de vorige stap is gemaakt. Houd rekening met de aanvullende parameter '-UsePolicyBasedTrafficSelectors $True', waarmee op beleid gebaseerde verkeersselectors voor de verbinding worden ingeschakeld.

    $vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -UsePolicyBasedTrafficSelectors $True -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

  3. Na het voltooien van de stappen gebruikt de S2S VPN-verbinding het gedefinieerde IPsec/IKE-beleid en schakelt de op beleid gebaseerde verkeersselectors voor de verbinding in. U kunt dezelfde stappen herhalen om meer verbindingen toe te voegen aan extra on-premises, op beleid gebaseerde VPN-apparaten vanuit dezelfde Azure VPN-gateway.

Op beleid gebaseerde verkeersselectors bijwerken

In deze sectie wordt beschreven hoe u de optie verkeerskiezers op basis van beleid bijwerkt voor een bestaande S2S VPN-verbinding.

  1. Haal de verbindingsresource op.

    $RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

  2. Bekijk de optie op beleid gebaseerde verkeerskiezers. De volgende regel laat zien of de op beleid gebaseerde verkeersselectors worden gebruikt voor de verbinding:

    $connection6.UsePolicyBasedTrafficSelectors

    Als de regel 'Waar' retourneert, worden op beleid gebaseerde verkeersselectors geconfigureerd voor de verbinding; anders wordt 'False' geretourneerd.

  3. Zodra u de verbindingsresource hebt verkregen, kunt u de op beleid gebaseerde verkeersselectors voor een verbinding in- of uitschakelen.

    • Inschakelen

      In het volgende voorbeeld wordt de optie op beleid gebaseerde verkeersselectors ingeschakeld, maar blijft het IPsec-/IKE-beleid ongewijzigd:

      $RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True

    • Uitschakelen

      In het volgende voorbeeld wordt de optie verkeerkiezers op basis van beleid uitgeschakeld, maar blijft het IPsec-/IKE-beleid ongewijzigd:

      $RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $False

Volgende stappen

Wanneer de verbinding is voltooid, kunt u virtuele machines aan uw virtuele netwerken toevoegen. Zie Een virtuele machine maken voor de stappen.

Raadpleeg ook IPsec-/IKE-beleid configureren voor S2S VPN- of VNet-naar-VNet-verbindingen voor meer informatie over aangepast IPsec-/IKE-beleid.