Hoe Azure VPN Gateway werkt

Voltooid

U kunt slechts één VPN-gateway implementeren in elk virtueel Azure-netwerk. Hoewel u beperkt bent tot één VPN-gateway, kunt u deze gateway configureren om verbinding te maken met meerdere locaties, waaronder andere virtuele Azure-netwerken of on-premises datacenters.

Notitie

Een virtuele netwerkgateway bestaat uit twee of meer speciale VM's die zijn geïmplementeerd in een specifiek subnet dat het gatewaysubnet wordt genoemd. Virtuele netwerkgateway-VM's hosten routeringstabellen en voeren specifieke gatewayservices uit. Deze VM's die de gateway vormen, worden gemaakt wanneer u de virtuele netwerkgateway maakt en automatisch worden beheerd door Azure en hebben geen administratieve aandacht nodig.

VPN-gatewaytypen

Wanneer u een virtuele netwerkgateway configureert, selecteert u een instelling waarmee het gatewaytype wordt opgegeven. Het type gateway bepaalt hoe de virtuele netwerkgateway wordt gebruikt en welke acties worden uitgevoerd door de gateway. Het gatewaytype Vpn geeft aan dat het type virtuele netwerkgateway dat is gemaakt een VPN gateway. Dit onderscheidt het van een ExpressRoute-gateway, die gebruikmaakt van een ander type gateway. Een virtueel Azure-netwerk kan twee virtuele netwerkgateways hebben: één VPN-gateway en één ExpressRoute-gateway.

Er zijn twee typen Azure VPN-gateways:

  • Op beleid gebaseerde VPN-gateway
  • Op route gebaseerde VPN-gateway

OP beleid gebaseerde VPN-gateways

Voor VPN-gateways op basis van beleid moet u een vaste set IP-adressen opgeven van pakketten die via elke tunnel moeten worden versleuteld. Dit type apparaat evalueert elk gegevenspakket op basis van die vaste sets IP-adressen en kiest vervolgens de tunnel waarmee dat verkeer wordt verzonden.

De belangrijkste kenmerken van op beleid gebaseerde VPN-gateways in Azure zijn:

  • Alleen ondersteuning voor IKEv1.
  • Gebruik van statische routering.

De bron en het doel van de getunnelde netwerken worden gedeclareerd in het VPN-beleid en hoeven niet te worden gedeclareerd in routeringstabellen. Gebruik op beleid gebaseerde VPN's alleen in specifieke scenario's waarvoor ze nodig zijn, zoals voor compatibiliteit met verouderde on-premises VPN-apparaten.

Op route gebaseerde VPN-gateways

Met op route gebaseerde Azure VPN-gateways functioneert een IPsec-tunnel als een netwerkinterface of virtuele tunnelinterface (VTI). IP-routering (statische routes of dynamische routeringsprotocollen) bepaalt welke tunnelinterfaces elk pakket verzenden. Op route gebaseerde VPN's zijn de voorkeursmethode om verbinding te maken met on-premises apparaten, omdat deze beter omgaan met wijzigingen in de topologie, zoals bijvoorbeeld het maken van nieuwe subnetten. Een op route gebaseerde VPN is veel geschikter voor Adatum, omdat hiermee verbindingen kunnen worden gemaakt met Azure IaaS-resources op virtuele netwerken als er nieuwe subnetten worden toegevoegd zonder de Azure VPN-gateway opnieuw te hoeven configureren.

Gebruik een op route gebaseerde VPN-gateway als u een van de volgende typen connectiviteit nodig hebt:

  • Verbindingen tussen virtuele netwerken.
  • Punt-naar-site-verbindingen.
  • Verbindingen met meerdere locaties.
  • Co-existentie met een Azure ExpressRoute-gateway.

De belangrijkste kenmerken van op route gebaseerde VPN-gateways in Azure zijn:

  • Biedt ondersteuning voor IKEv2.
  • Maakt gebruik van any-to-any-verkeerselectors (jokertekens).
  • Kan dynamische routeringsprotocollen gebruiken, waarbij routerings-/doorstuurtabellen verkeer doorsturen naar verschillende IPsec-tunnels.

Wanneer deze zijn geconfigureerd voor het gebruik van dynamische routering, worden de bron- en doelnetwerken niet statisch gedefinieerd omdat ze zich in op beleid gebaseerde VPN's bevinden of zelfs in op route gebaseerde VPN's met statische routering. In plaats daarvan worden gegevenspakketten versleuteld op basis van netwerkrouteringstabellen die dynamisch worden gemaakt met behulp van routeringsprotocollen, zoals BGP (Border Gateway Protocol).

Azure VPN-gateways ondersteunen alleen de vooraf gedeelde sleutelmethode voor verificatie. Zowel op route gebaseerde als op beleid gebaseerde typen zijn ook afhankelijk van Internet Key Exchange (IKE) in versie 1 of versie 2 en IPsec (Internet Protocol Security). IKE wordt gebruikt om een beveiligingskoppeling (een overeenkomst van de codering) in te stellen tussen de twee eindpunten. Deze koppeling wordt vervolgens doorgegeven aan de IPsec-suite, die gegevenspakketten versleutelt en ontsleutelt die zijn ingekapseld in de VPN-tunnel.

Azure VPN-gatewaygrootten

Wanneer u een virtuele netwerkgateway maakt, moet u een gateway-SKU opgeven. U moet een SKU selecteren die voldoet aan uw vereisten op basis van de typen workloads, doorvoer, functies en SLA's.

Gateway-SKU's - Generation1 Maximum aantal site-naar-site VPN-tunnels Geaggregeerde doorvoer BGP-ondersteuning
Basic 10 100 Mbps Niet ondersteund
VpnGw1/Az 30 650 Mbps Ondersteund
VpnGw2/Az 30 1 Gbps Ondersteund
VpnGw3/Az 30 1,25 Gbps Ondersteund

In deze tabel ziet u Generation1 SKU's. Wanneer u met Generation1-SKU's werkt, kunt u zo nodig migreren tussen de VpnGw1-, VpnGw2- en VpnGw3-SKU's. U kunt niet migreren vanuit de Basic-SKU zonder de VPN-gateway te verwijderen en opnieuw te implementeren. U kunt ook VPN-gateways maken met SKU's van de tweede generatie. Zie de koppelingen aan het einde van deze module voor de meest recente informatie over SKU's, doorvoer en ondersteunde functies.

Vereisten voor VPN-gateway

De volgende Azure-resources moeten aanwezig zijn voordat u een operationele VPN-gateway kunt implementeren:

  • Virtueel netwerk. Een virtueel Azure-netwerk met voldoende adresruimte voor het extra subnet dat u nodig hebt voor de VPN-gateway. De adresruimte voor dit virtuele netwerk mag niet overlappen met het on-premises netwerk waarmee u verbinding maakt.
  • GatewaySubnet. Een subnet met de naam GatewaySubnet voor de VPN-gateway. Vereist ten minste een /27-adresmasker. Dit subnet kan niet worden gebruikt voor andere services.
  • Openbaar IP-adres. Een dynamisch openbaar IP-adres van basic-SKU als u een niet-zonebewuste gateway gebruikt. Dit adres biedt een openbaar routeerbaar IP-adres dat als doel dient voor uw on-premises VPN-apparaat. Dit IP-adres is dynamisch maar verandert niet, tenzij u de VPN Gateway verwijdert en opnieuw maakt.
  • Lokale netwerkgateway. Maak een lokale netwerkgateway om de configuratie van het on-premises netwerk te definiëren: waar de VPN Gateway verbinding gaat maken en met wat het verbinding gaat maken. Deze configuratie bevat het openbare IPv4-adres van het on-premises VPN-apparaat en de routeerbare on-premises netwerken. Deze informatie wordt door de VPN-gateway gebruikt om pakketten te routeren die bestemd zijn voor on-premises netwerken via de IPsec-tunnel.

Wanneer deze vereiste onderdelen aanwezig zijn, kunt u de gateway van het virtuele netwerk maken om verkeer tussen het virtuele netwerk en het on-premises datacenter of andere virtuele netwerken te routeren. Nadat de virtuele netwerkgateway is geïmplementeerd, kunt u vervolgens een verbindingsresource maken om een logische verbinding te maken tussen de VPN-gateway en de lokale netwerkgateway:

  1. De verbinding wordt gemaakt met het IPv4-adres van het on-premises VPN-apparaat zoals gedefinieerd door de lokale netwerkgateway.
  2. De verbinding wordt gemaakt vanaf de virtuele netwerkgateway en het bijbehorende openbare IP-adres.

U kunt meerdere verbindingen configureren, tot de limiet die is gedefinieerd door de SKU, voor elke Azure VPN-gateway.

Hoge beschikbaarheid

Hoewel u slechts één VPN-gatewayresource in Azure ziet, worden VPN-gateways geïmplementeerd als twee exemplaren van beheerde virtuele machines in een actieve/stand-by-configuratie. Wanneer gepland onderhoud of niet-geplande onderbreking van invloed is op het actieve exemplaar, neemt het stand-byexemplaren automatisch verantwoordelijkheid voor verbindingen zonder tussenkomst van de gebruiker of beheerder. Verbindingen worden tijdens deze failover onderbroken, maar deze worden in het geval van gepland onderhoud meestal binnen een paar seconden hersteld en in het geval van niet-geplande onderbrekingen binnen 90 seconden.

Azure VPN-gateways ondersteunen het BGP-routeringsprotocol, waarmee u ook VPN-gateways kunt implementeren in een actieve/actieve configuratie. In deze configuratie wijst u een uniek openbaar IP-adres toe aan elk exemplaar. Vervolgens maakt u afzonderlijke tunnels vanaf het on-premises apparaat naar elk IP-adres. U kunt de hoge beschikbaarheid uitbreiden door een on-premises VPN-apparaat te implementeren.

Notitie

Veel organisaties met ExpressRoute-verbindingen hebben ook site-naar-site VPN-verbindingen geïmplementeerd voor een extra redundantielaag.