Hoe Azure VPN Gateway werkt

5 minuten

U kunt slechts één VPN-gateway implementeren in elk virtueel Azure-netwerk. Hoewel u beperkt bent tot één VPN-gateway, kunt u deze gateway configureren om verbinding te maken met meerdere locaties, waaronder andere virtuele Azure-netwerken of on-premises datacenters.

Notitie

Een virtuele netwerkgateway bestaat uit twee of meer speciale VM's die zijn geïmplementeerd in een specifiek subnet dat het gatewaysubnet wordt genoemd. Virtuele netwerkgateway-VM's host routeringstabellen en voeren specifieke gatewayservices uit. Deze VM's die de gateway vormen, worden gemaakt wanneer u de virtuele netwerkgateway maakt en automatisch worden beheerd door Azure en vereisen geen administratieve aandacht.

VPN-gatewaytypen

Wanneer u een virtuele netwerkgateway configureert, selecteert u een instelling waarmee het gatewaytype wordt opgegeven. Het gatewaytype bepaalt hoe de gateway van het virtuele netwerk wordt gebruikt en welke acties de gateway gaat uitvoeren. Het gatewaytype Vpn geeft aan dat het type virtuele netwerkgateway dat is gemaakt, een VPN gateway. Dit onderscheidt het van een ExpressRoute-gateway, die gebruikmaakt van een ander type gateway. Een virtueel Azure-netwerk kan twee virtuele netwerkgateways hebben: één VPN-gateway en één ExpressRoute-gateway.

Er zijn twee typen Azure VPN-gateways:

Op beleid gebaseerde VPN-gateway
Op route gebaseerde VPN-gateway

Op beleid gebaseerde VPN-gateways

Vpn-gateways op basis van beleid vereisen dat u een vaste set IP-adressen opgeeft van pakketten die via elke tunnel moeten worden versleuteld. Dit type apparaat evalueert elk gegevenspakket op basis van die vaste sets IP-adressen en kiest vervolgens de tunnel waarmee dat verkeer wordt verzonden.

De belangrijkste kenmerken van op beleid gebaseerde VPN-gateways in Azure zijn:

Alleen ondersteuning voor IKEv1
Gebruik van statische routering

De bron en het doel van de getunnelde netwerken worden gedeclareerd in het VPN-beleid en hoeven niet te worden gedeclareerd in routeringstabellen. Gebruik op beleid gebaseerde VPN's alleen in specifieke scenario's waarvoor ze nodig zijn, zoals voor compatibiliteit met verouderde on-premises VPN-apparaten.

Op route gebaseerde VPN-gateways

Met op route gebaseerde Azure VPN-gateways fungeert een IPsec-tunnel als een netwerkinterface of virtuele tunnelinterface (VTI). IP-routering (statische routes of dynamische routeringsprotocollen) bepaalt welke tunnelinterfaces elk pakket verzenden. Op route gebaseerde VPN's zijn de voorkeursmethode voor verbindingen voor on-premises apparaten, omdat ze toleranter zijn voor topologiewijzigingen, zoals het maken van nieuwe subnetten. Een op route gebaseerde VPN is veel geschikter voor Adatum, omdat hiermee verbindingen kunnen worden gemaakt met Azure IaaS-resources op virtuele netwerken als er nieuwe subnetten worden toegevoegd zonder de Azure VPN-gateway opnieuw te hoeven configureren.

Gebruik een op route gebaseerde VPN Gateway als u een van de volgende typen connectiviteit nodig hebt:

Verbindingen tussen virtuele netwerken
Punt-naar-site-verbindingen
Multi-site-verbindingen
Co-existentie met een Azure ExpressRoute-gateway

De belangrijkste kenmerken van op route gebaseerde VPN-gateways in Azure zijn:

Biedt ondersteuning voor IKEv2
Maakt gebruik van any-to-any-verkeerselectors (jokertekens)
Kan dynamische routeringsprotocollen gebruiken, waarbij routerings-/doorstuurtabellen verkeer naar verschillende IPsec-tunnels leiden

Wanneer deze is geconfigureerd voor het gebruik van dynamische routering, worden de bron- en doelnetwerken niet statisch gedefinieerd omdat ze zich in op beleid gebaseerde VPN's of zelfs in op route gebaseerde VPN's met statische routering bevinden. In plaats daarvan worden gegevenspakketten versleuteld op basis van netwerkrouteringstabellen die dynamisch worden gemaakt met behulp van routeringsprotocollen, zoals BGP (Border Gateway Protocol).

Azure VPN-gateways ondersteunen alleen de vooraf gedeelde sleutelmethode voor verificatie. Zowel op route gebaseerde als op beleid gebaseerde typen zijn ook afhankelijk van Internet Key Exchange (IKE) in versie 1 of versie 2 en IPsec (Internet Protocol Security). IKE wordt gebruikt om een beveiligingskoppeling (een overeenkomst van de codering) in te stellen tussen de twee eindpunten. Deze koppeling wordt vervolgens doorgegeven aan de IPsec-suite, die gegevenspakketten versleutelt en ontsleutelt die zijn ingekapseld in de VPN-tunnel.

Azure VPN-gatewaygrootten

Wanneer u een virtuele netwerkgateway maakt, moet u een gateway-SKU opgeven. U moet een SKU selecteren die voldoet aan uw vereisten op basis van de typen workloads, doorvoer, functies en SLA's.

Gateway-SKU's - Generatie1	Maximum aantal site-naar-site VPN-tunnels	Geaggregeerde doorvoer	BGP-ondersteuning
Basis	10	100 Mbps	Niet ondersteund
VpnGw1/Az	30	650 Mbps	Ondersteund
VpnGw2/Az	30	1 Gbps	Ondersteund
VpnGw3/Az	30	1,25 Gbps	Ondersteund

In deze tabel ziet u Generation1-SKU's. Wanneer u met Generation1-SKU's werkt, kunt u indien nodig migreren tussen de VPNGw1-, VpnGw2- en VpnGw3-SKU's. U kunt niet migreren vanuit de Basic-SKU zonder de VPN-gateway te verwijderen en opnieuw te implementeren. U kunt ook VPN-gateways maken met SKU's van de tweede generatie. Raadpleeg de koppelingen in de sectie Samenvatting van deze module voor de meest recente informatie over SKU's, doorvoer en ondersteunde functies.

Vereisten voor VPN-gateway

De volgende Azure-resources moeten aanwezig zijn voordat u een operationele VPN-gateway kunt implementeren:

Virtueel netwerk: een virtueel Azure-netwerk met voldoende adresruimte voor het extra subnet dat u nodig hebt voor de VPN-gateway. De adresruimte voor dit virtuele netwerk mag niet overlappen met het on-premises netwerk waarmee u verbinding maakt.
GatewaySubnet: een subnet met de naam GatewaySubnet voor de VPN-gateway. Vereist ten minste een /27-adresmasker. Dit subnet kan niet worden gebruikt voor andere services.
Openbaar IP-adres: een dynamisch openbaar IP-adres basic-SKU als u een niet-zonebewuste gateway gebruikt. Dit adres biedt een openbaar routeerbaar IP-adres dat als doel dient voor uw on-premises VPN-apparaat. Dit IP-adres is dynamisch maar verandert niet, tenzij u de VPN Gateway verwijdert en opnieuw maakt.
Lokale netwerkgateway: maak een lokale netwerkgateway om de configuratie van het on-premises netwerk te definiëren: waar de VPN-gateway verbinding maakt en waarmee verbinding wordt gemaakt. Deze configuratie bevat het openbare IPv4-adres van het on-premises VPN-apparaat en de routeerbare on-premises netwerken. Deze informatie wordt door de VPN-gateway gebruikt om pakketten te routeren die zijn bestemd voor on-premises netwerken via de IPsec-tunnel.

Wanneer deze vereiste onderdelen aanwezig zijn, kunt u de gateway van het virtuele netwerk maken om verkeer tussen het virtuele netwerk en het on-premises datacenter of andere virtuele netwerken te routeren. Nadat de virtuele netwerkgateway is geïmplementeerd, kunt u vervolgens een verbindingsresource maken om een logische verbinding te maken tussen de VPN-gateway en de lokale netwerkgateway:

De verbinding wordt gemaakt met het IPv4-adres van het on-premises VPN-apparaat zoals gedefinieerd door de lokale netwerkgateway.
De verbinding wordt gemaakt vanaf de virtuele netwerkgateway en het bijbehorende openbare IP-adres.

U kunt voor elke Azure VPN-gateway meerdere verbindingen configureren, tot de limiet die is gedefinieerd door de SKU.

Hoge beschikbaarheid

Hoewel u slechts één VPN-gatewayresource in Azure ziet, worden VPN-gateways geïmplementeerd als twee exemplaren van beheerde virtuele machines in een actieve/stand-byconfiguratie. Wanneer gepland onderhoud of ongeplande onderbreking van invloed is op het actieve exemplaar, neemt het stand-by-exemplaar automatisch de verantwoordelijkheid op voor verbindingen zonder tussenkomst van de gebruiker of beheerder. Verbindingen worden tijdens deze failover onderbroken, maar deze worden in het geval van gepland onderhoud meestal binnen een paar seconden hersteld en in het geval van niet-geplande onderbrekingen binnen 90 seconden.

Azure VPN-gateways ondersteunen het BGP-routeringsprotocol, waarmee u ook VPN-gateways in een actieve/actieve configuratie kunt implementeren. In deze configuratie wijst u een uniek openbaar IP-adres toe aan elk exemplaar. Vervolgens maakt u afzonderlijke tunnels vanaf het on-premises apparaat naar elk IP-adres. U kunt de hoge beschikbaarheid uitbreiden door een ander VPN-apparaat on-premises te implementeren.