Konfigurowanie ustawień bramy sieci VPN dla usługi Azure Stack Hub
Brama sieci VPN to typ bramy sieci wirtualnej, która wysyła zaszyfrowany ruch między siecią wirtualną w usłudze Azure Stack Hub i zdalną bramą sieci VPN. Zdalna brama sieci VPN może znajdować się na platformie Azure, urządzeniu w centrum danych lub urządzeniu w innej lokacji. Jeśli istnieje łączność sieciowa między dwoma punktami końcowymi, możesz ustanowić bezpieczne połączenie sieci VPN typu lokacja-lokacja (S2S) między dwiema sieciami.
Brama sieci VPN opiera się na konfiguracji wielu zasobów, z których każda zawiera konfigurowalne ustawienia. W tym artykule opisano zasoby i ustawienia związane z bramą sieci VPN dla sieci wirtualnej utworzonej w modelu wdrażania usługi Resource Manager. Opisy i diagramy topologii dla każdego rozwiązania połączenia można znaleźć w temacie Tworzenie bram sieci VPN dla usługi Azure Stack Hub.
Ustawienia bramy sieci VPN
Typy bram
Każda sieć wirtualna usługi Azure Stack Hub obsługuje jedną bramę sieci wirtualnej, która musi być typu Vpn. Ta obsługa różni się od platformy Azure, która obsługuje dodatkowe typy.
Podczas tworzenia bramy sieci wirtualnej należy upewnić się, że typ bramy jest poprawny dla konfiguracji. Brama sieci VPN wymaga flagi -GatewayType Vpn , na przykład:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Jednostki SKU bramy bez włączonej szybkiej ścieżki sieci VPN
Podczas tworzenia bramy sieci wirtualnej należy określić jednostkę SKU, której chcesz użyć. Wybierz jednostki SKU spełniające wymagania na podstawie typów obciążeń, przepływności, funkcji i umów SLA.
Przed osiągnięciem maksymalnej pojemności można mieć 10 bram o wysokiej wydajności lub 20 bram podstawowych i standardowych.
Usługa Azure Stack Hub oferuje jednostki SKU bramy sieci VPN przedstawione w poniższej tabeli:
| SKU | Maksymalna przepływność połączenia sieci VPN | Maksymalna liczba połączeń na aktywną maszynę wirtualną bramy | Maksymalna liczba połączeń sieci VPN na sygnaturę |
|---|---|---|---|
| Podstawowa | 100 Mb/s Tx/Rx | 10 | 20 |
| Standardowa | 100 Mb/s Tx/Rx | 10 | 20 |
| Wysoka wydajność | 200 Mb/s Tx/Rx | 5 | 10 |
Jednostki SKU bramy z włączoną szybką ścieżką sieci VPN
Wraz z wydaniem publicznej publicznej ścieżki sieci VPN usługa Azure Stack Hub obsługuje trzy nowe jednostki SKU z wyższą przepływnością.
Nowe limity i przepływność zostaną włączone po włączeniu szybkiej ścieżki sieci VPN na sygnaturze usługi Azure Stack.
Usługa Azure Stack Hub oferuje jednostki SKU bramy sieci VPN przedstawione w poniższej tabeli:
| SKU | Maksymalna przepływność połączenia sieci VPN | Maksymalna liczba połączeń na aktywną maszynę wirtualną bramy | Maksymalna liczba połączeń sieci VPN na sygnaturę |
|---|---|---|---|
| Podstawowa | 100 Mb/s Tx/Rx | 25 | 50 |
| Standardowa | 100 Mb/s Tx/Rx | 25 | 50 |
| Wysoka wydajność | 200 Mb/s Tx/Rx | 12 | 24 |
| VPNGw1 | 650 Mb/s Tx/Rx | 3 | 6 |
| VPNGw2 | 1000 Mb/s Tx/Rx | 2 | 4 |
| VPNGw3 | 1250 Mb/s Tx/Rx | 2 | 4 |
Zmiana rozmiaru jednostek SKU bram sieci wirtualnej
Usługa Azure Stack Hub nie obsługuje zmiany rozmiaru z obsługiwanej starszej jednostki SKU (Podstawowa, Standardowa i HighPerformance) na nowszą jednostkę SKU obsługiwaną przez platformę Azure (VpnGw1, VpnGw2 i VpnGw3).
Nowe bramy i połączenia sieci wirtualnej muszą zostać utworzone w celu korzystania z nowych jednostek SKU włączonych przez szybką ścieżkę sieci VPN.
Konfigurowanie jednostki SKU bramy sieci wirtualnej
Portal usługi Azure Stack Hub
Jeśli używasz portalu usługi Azure Stack Hub do utworzenia bramy sieci wirtualnej, jednostkę SKU można wybrać przy użyciu listy rozwijanej. Nowe jednostki SKU szybkiej ścieżki sieci VPN (VpnGw1, VpnGw2, VpnGw3) będą widoczne tylko po dodaniu parametru zapytania "?azurestacknewvpnskus=true" do adresu URL i odświeżania.
Poniższy przykład adresu URL sprawia, że nowe jednostki SKU bramy sieci wirtualnej są widoczne w portalu użytkowników usługi Azure Stack Hub:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Przed utworzeniem tych zasobów operator musi mieć włączoną szybką ścieżkę sieci VPN na sygnaturze usługi Azure Stack Hub. Aby uzyskać więcej informacji, zobacz Szybka ścieżka sieci VPN dla operatorów.
PowerShell
Poniższy przykład programu PowerShell określa -GatewaySku parametr jako Standardowy:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Typy połączeń
W modelu wdrażania usługi Resource Manager każda konfiguracja wymaga określonego typu połączenia bramy sieci wirtualnej. Dostępne wartości -ConnectionType programu PowerShell usługi Resource Manager to protokół IPsec.
W poniższym przykładzie programu PowerShell jest tworzone połączenie typu lokacja-lokacja, które wymaga typu połączenia IPsec:
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
Typy sieci VPN
Podczas tworzenia bramy sieci wirtualnej dla konfiguracji bramy sieci VPN należy określić typ sieci VPN. Wybrany typ sieci VPN zależy od topologii połączenia, którą chcesz utworzyć. Typ sieci VPN może również zależeć od używanego sprzętu. Konfiguracje S2S wymagają urządzenia sieci VPN. Niektóre urządzenia sieci VPN obsługują tylko określony typ sieci VPN.
Ważne
Obecnie usługa Azure Stack Hub obsługuje tylko typ sieci VPN oparty na trasach. Jeśli urządzenie obsługuje tylko sieci VPN oparte na zasadach, połączenia z tymi urządzeniami z usługi Azure Stack Hub nie są obsługiwane.
Ponadto usługa Azure Stack Hub nie obsługuje obecnie używania selektorów ruchu opartego na zasadach dla bram opartych na trasach, ponieważ usługa Azure Stack Hub nie obsługuje selektorów ruchu opartych na zasadach, chociaż są one obsługiwane na platformie Azure.
PolicyBased: sieci VPN oparte na zasadach szyfrują i kierują pakiety za pośrednictwem tuneli IPsec na podstawie zasad protokołu IPsec skonfigurowanych przy użyciu kombinacji prefiksów adresów między siecią lokalną a siecią wirtualną usługi Azure Stack Hub. Zasady lub selektor ruchu są zwykle listą dostępu w konfiguracji urządzenia sieci VPN.
Uwaga
Usługa PolicyBased jest obsługiwana na platformie Azure, ale nie w usłudze Azure Stack Hub.
RouteBased: sieci VPN oparte na trasach używają tras skonfigurowanych w tabeli przesyłania dalej ip lub routingu w celu kierowania pakietów do odpowiednich interfejsów tunelu. W dalszej kolejności interfejsy tuneli szyfrują lub odszyfrowują pakiety wchodzące do tuneli lub wychodzące z nich. Zasady lub selektor ruchu dla sieci VPN RouteBased są skonfigurowane jako dowolne-dowolne (lub użyj symboli wieloznacznych). Domyślnie nie można ich zmienić. Wartość typu sieci VPN RouteBased to RouteBased.
Poniższy przykład programu PowerShell określa parametr -VpnType RouteBased. Podczas tworzenia bramy należy upewnić się, że -VpnType konfiguracja jest poprawna.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Bramy sieci wirtualnej obsługują konfiguracje, gdy szybka ścieżka sieci VPN nie jest włączona
| SKU | Typ sieci VPN | Connection type | Obsługa routingu aktywnego (BGP) | Włączono translator adresów sieciowych zdalnego punktu końcowego |
|---|---|---|---|---|
| Podstawowa jednostka SKU sieci wirtualnej | Sieć VPN oparta na trasach | Klucz wstępny protokołu IPSec | Nieobsługiwany | Niewymagane |
| Standardowa jednostka SKU VNG | Sieć VPN oparta na trasach | Klucz wstępny protokołu IPSec | Obsługiwane, maksymalnie 150 tras | Niewymagane |
| Jednostka SKU VNG o wysokiej wydajności | Sieć VPN oparta na trasach | Klucz wstępny protokołu IPSec | Obsługiwane, maksymalnie 150 tras | Niewymagane |
Bramy sieci wirtualnej obsługują konfiguracje po włączeniu szybkiej ścieżki sieci VPN
| SKU | Typ sieci VPN | Connection type | Aktywna obsługa routingu (BGP) | Włączono translator adresów sieciowych zdalnego punktu końcowego |
|---|---|---|---|---|
| Podstawowa jednostka SKU sieci wirtualnej | Sieć VPN oparta na trasach | Klucz wstępny protokołu IPSec | Nieobsługiwany | Wymagania |
| Standardowa jednostka SKU VNG | Sieć VPN oparta na trasach | Klucz wstępny protokołu IPSec | Obsługiwane, maksymalnie 150 tras | Wymagania |
| Jednostka SKU VNG o wysokiej wydajności | Sieć VPN oparta na trasach | Klucz wstępny protokołu IPSec | Obsługiwane, maksymalnie 150 tras | Wymagania |
| VPNGw1 VNG SKU | Sieć VPN oparta na trasach | Klucz wstępny protokołu IPSec | Obsługiwane, maksymalnie 150 tras | Wymagania |
| VPNGw2 VNG SKU | Sieć VPN oparta na trasach | Klucz wstępny protokołu IPSec | Obsługiwane, maksymalnie 150 tras | Wymagania |
| VPNGw2 VNG SKU | Sieć VPN oparta na trasach | Klucz wstępny protokołu IPSec | Obsługiwane, maksymalnie 150 tras | Wymagania |
Podsieć bramy
Przed utworzeniem bramy sieci VPN należy utworzyć podsieć bramy. Podsieć bramy ma adresy IP używane przez maszyny wirtualne i usługi bramy sieci wirtualnej. Podczas tworzenia bramy sieci wirtualnej i połączenia maszyna wirtualna bramy będąca właścicielem połączenia zostanie połączona z podsiecią bramy i zostanie skonfigurowana przy użyciu wymaganych ustawień bramy sieci VPN. Nie wdrażaj żadnych innych (na przykład dodatkowych maszyn wirtualnych) w podsieci bramy.
Ważne
Aby podsieć bramy działała prawidłowo, musi nosić nazwę GatewaySubnet. Usługa Azure Stack Hub używa tej nazwy do identyfikowania podsieci, do której mają zostać wdrożone maszyny wirtualne i usługi bramy sieci wirtualnej.
Podczas tworzenia podsieci bramy należy określić liczbę zawartych w niej adresów IP. Adresy IP w podsieci bramy są przydzielane do maszyn wirtualnych bramy i usług bramy. Niektóre konfiguracje wymagają większej liczby adresów IP niż inne. Zapoznaj się z instrukcjami dotyczącymi konfiguracji, którą chcesz utworzyć, i sprawdź, czy podsieć bramy, którą chcesz utworzyć, spełnia te wymagania.
Ponadto należy upewnić się, że podsieć bramy ma wystarczającą liczbę adresów IP, aby obsłużyć dodatkowe przyszłe konfiguracje. Mimo że można utworzyć podsieć bramy tak małą jak /29, zalecamy utworzenie podsieci bramy /28 lub większej (/28, /27, /26 itd.). W ten sposób, jeśli w przyszłości dodasz funkcje, nie trzeba usuwać bramy, a następnie usuwać i ponownie utworzyć podsieć bramy, aby umożliwić korzystanie z większej liczby adresów IP.
Poniższy przykład programu PowerShell usługi Resource Manager przedstawia podsieć bramy o nazwie GatewaySubnet. Można zobaczyć notację CIDR określa /27, co pozwala na wystarczającą liczbę adresów IP dla większości obecnie istniejących konfiguracji.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Ważne
Podczas pracy z podsieciami bramy należy unikać kojarzenia sieciowej grupy zabezpieczeń (NSG, Network Security Group) z podsiecią bramy. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci VPN przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz Co to jest sieciowa grupa zabezpieczeń?.
Bramy sieci lokalnej
Podczas tworzenia konfiguracji bramy sieci VPN na platformie Azure brama sieci lokalnej często reprezentuje lokalizację lokalną. W usłudze Azure Stack Hub reprezentuje ono dowolne zdalne urządzenie sieci VPN, które znajduje się poza usługą Azure Stack Hub. To urządzenie może być urządzeniem sieci VPN w centrum danych (lub zdalnym centrum danych) lub bramą sieci VPN na platformie Azure.
Należy nadać bramie sieci lokalnej nazwę, publiczny adres IP zdalnego urządzenia sieci VPN i określić prefiksy adresów, które znajdują się w lokalizacji lokalnej. Usługa Azure Stack Hub analizuje prefiksy adresów docelowych dla ruchu sieciowego, sprawdza konfigurację określoną dla bramy sieci lokalnej i odpowiednio kieruje pakiety.
Ten przykład programu PowerShell tworzy nową bramę sieci lokalnej:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '198.51.100.101' -AddressPrefix '10.5.51.0/24'
Czasami należy zmodyfikować ustawienia bramy sieci lokalnej; na przykład podczas dodawania lub modyfikowania zakresu adresów albo zmiany adresu IP urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Modyfikowanie ustawień bramy sieci lokalnej przy użyciu programu PowerShell.
Parametry protokołu IPsec/IKE
Podczas konfigurowania połączenia sieci VPN w usłudze Azure Stack Hub należy skonfigurować połączenie na obu końcach. Jeśli konfigurujesz połączenie sieci VPN między usługą Azure Stack Hub i urządzeniem sprzętowym, takim jak przełącznik lub router działający jako brama sieci VPN, urządzenie może poprosić o dodatkowe ustawienia.
W przeciwieństwie do platformy Azure, która obsługuje wiele ofert zarówno jako inicjator, jak i osoba odpowiadająca, usługa Azure Stack Hub domyślnie obsługuje tylko jedną ofertę. Jeśli chcesz użyć różnych ustawień protokołu IPSec/IKE do pracy z urządzeniem sieci VPN, dostępnych jest więcej ustawień, które można skonfigurować ręcznie. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad protokołu IPsec/IKE dla połączeń sieci VPN typu lokacja-lokacja.
Ważne
W przypadku korzystania z tunelu S2S pakiety są dodatkowo hermetyzowane dodatkowymi nagłówkami, co zwiększa całkowity rozmiar pakietu. W tych scenariuszach należy zacisać protokół TCP MSS na 1350. Lub jeśli urządzenia sieci VPN nie obsługują zaciskania MSS, możesz też ustawić jednostki MTU w interfejsie tunelu na 1400 bajtów. Aby uzyskać więcej informacji, zobacz Virutal Network TCPIP performance tuning (Dostrajanie wydajności protokołu TCPIP dla sieci virutal).
Parametry protokołu IKE — faza 1 (tryb główny)
| Właściwości | Wartość |
|---|---|
| Wersja IKE | IKEv2 |
| Diffie-Hellman Group* | ECP384 |
| Metoda uwierzytelniania | Klucz wstępny |
| Algorytmy szyfrowania i tworzenia skrótów* | AES256, SHA384 |
| Okres istnienia skojarzeń zabezpieczeń (czas) | 28 800 sekund |
Parametry protokołu IKE — faza 2 (tryb szybki)
| Właściwości | Wartość |
|---|---|
| Wersja IKE | IKEv2 |
| Algorytmy szyfrowania i tworzenia skrótów (szyfrowanie) | GCMAES256 |
| Algorytmy szyfrowania i tworzenia skrótów (uwierzytelnianie) | GCMAES256 |
| Okres istnienia skojarzeń zabezpieczeń (czas) | 27 000 sekund |
| Okres istnienia sa (kilobajty) | 33,553,408 |
| Idealna tajemnica przesyłania dalej (PFS)* | ECP384 |
| Wykrywanie nieaktywnych elementów równorzędnych | Obsługiwane |
* Nowy lub zmieniony parametr.