Udostępnij za pośrednictwem


Informacje o ustawieniach konfiguracji usługi VPN Gateway

Architektura połączenia bramy sieci VPN opiera się na konfiguracji wielu zasobów, z których każda zawiera konfigurowalne ustawienia. W sekcjach w tym artykule omówiono zasoby i ustawienia związane z bramą sieci VPN dla sieci wirtualnej. Opisy i diagramy topologii dla każdego rozwiązania połączenia można znaleźć w artykule Topologia i projektowanie usługi VPN Gateway.

Wartości w tym artykule dotyczą konkretnie bram sieci VPN (wirtualnych bram sieciowych, które używają -GatewayType Vpn). Jeśli szukasz informacji o następujących typach bram, zobacz następujące artykuły:

Bramy i typy bram

Brama sieci wirtualnej składa się z co najmniej dwóch maszyn wirtualnych zarządzanych przez platformę Azure, które są automatycznie konfigurowane i wdrażane w określonej podsieci utworzonej jako podsieć bramy. Maszyny wirtualne zawierające bramy posiadają tabele routingu i uruchamiają specyficzne usługi bramowe. Kiedy tworzysz bramę sieci wirtualnej, maszyny wirtualne bramy są automatycznie wdrażane w podsieci bramy (zawsze o nazwie GatewaySubnet) i skonfigurowane za pomocą ustawień, które określiłeś. Proces może zająć 45 minut lub więcej, w zależności od wybranego modelu bramy (SKU).

Jednym z ustawień, które określisz podczas tworzenia bramy sieci wirtualnej, jest typ bramy. Typ bramy określa sposób użycia bramy sieci wirtualnej i akcji, które wykonuje brama. Sieć wirtualna może mieć dwie bramy sieci wirtualnej; jedna brama sieci VPN i jedna brama usługi ExpressRoute. Parametr -GatewayType "Vpn" określa, że typ utworzonej bramy sieci wirtualnej to brama sieci VPN. To odróżnia ją od bramy usługi ExpressRoute.

Jednostki SKU gateway i parametry wydajności

Zobacz artykuł O jednostkach SKU bramy, aby uzyskać najnowsze informacje o jednostkach SKU bramy, ich wydajności i obsługiwanych funkcjach.

Typy sieci VPN

Azure obsługuje dwa różne typy sieci VPN dla bram sieci VPN: oparte na zasadach i oparte na trasach. Bramy sieci VPN oparte na trasach są zbudowane na innej platformie niż te oparte na zasadach. Powoduje to różne specyfikacje bramy. W poniższej tabeli przedstawiono SKU bram, które obsługują poszczególne typy VPN i powiązane obsługiwane wersje protokołu IKE.

Typ bramy VPN SKU bramy wejściowej Obsługiwane wersje protokołu IKE
Brama oparta na zasadach Podstawowy IKEv1
Brama trasowa Podstawowy IKEv2
Bramka oparta na trasach VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 i IKEv2
Brama oparta na trasach VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 i IKEv2

W większości przypadków utworzysz bramę sieci VPN opartą na trasach. Wcześniej starsze SKU bramy nie obsługiwały protokołu IKEv1 dla bram opartych na routingu. Obecnie większość obecnie dostępnych modeli SKU bram obsługuje zarówno protokoły IKEv1, jak i IKEv2.

  • Od 1 października 2023 r. bramy oparte na zasadach można skonfigurować tylko przy użyciu programu PowerShell lub interfejsu wiersza polecenia i nie są dostępne w witrynie Azure Portal. Aby utworzyć bramę opartą na zasadach, zobacz Tworzenie podstawowej bramy sieci VPN jednostki SKU przy użyciu programu PowerShell.

  • Jeśli masz już bramę opartą na zasadach, nie musisz zmieniać bramy na opartą na trasach, chyba że chcesz użyć konfiguracji wymagającej bramy opartej na trasach, takiej jak punkt-do-sieci.

  • Nie można przekonwertować bramy sieciowej opartej na zasadach na sieciową opartą na trasach. Musisz usunąć istniejącą bramę, a następnie utworzyć nową bramę opartą na trasach.

Bramy w trybie aktywnym-aktywnym

Bramki sieci VPN na platformie Microsoft Azure można skonfigurować jako aktywny-oczekujący lub aktywny-aktywny. W konfiguracji aktywnej-aktywnej obie maszyny wirtualne bramy tworzą tunele VPN typu lokalizacja-lokalizacja do waszego lokalnego urządzenia sieci VPN. Bramy w trybie aktywne-aktywne są kluczowym elementem projektowania łączności z bramą o wysokiej dostępności. Aby uzyskać więcej informacji, zobacz następujące artykuły:

Prywatne adresy IP bramy

To ustawienie jest używane w przypadku niektórych konfiguracji prywatnego peeringu w usłudze ExpressRoute. Aby uzyskać więcej informacji, zobacz Konfigurowanie połączenia sieci VPN typu lokacja-lokacja za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.

Typy połączeń

Każde połączenie wymaga określonego typu połączenia bramy sieci wirtualnej. Dostępne wartości programu PowerShell dla polecenia New-AzVirtualNetworkGatewayConnection-Connection Type to: IPsec, Vnet2Vnet, ExpressRoute, VPNClient.

Tryby połączenia

Właściwość Tryb połączenia dotyczy tylko bram sieci VPN opartych na trasach korzystających z połączeń IKEv2. Tryby połączenia definiują kierunek inicjowania połączenia i mają zastosowanie tylko do początkowego ustanowienia połączenia IKE. Każda strona może zainicjować ponowne klucze i dalsze komunikaty. InicjatorOnly oznacza, że połączenie musi być inicjowane przez platformę Azure. Funkcja responderOnly oznacza, że połączenie musi zostać zainicjowane przez urządzenie lokalne. Domyślne zachowanie polega na akceptowaniu i wybieraniu numerów, w zależności od tego, która z nich łączy się jako pierwsza.

Podsieć bramy

Zanim utworzysz bramę VPN, musisz najpierw utworzyć podsieć bramy. Podsieć bramy zawiera adresy IP używane przez maszyny wirtualne i usługi bramy sieci wirtualnej. Podczas tworzenia bramy sieci wirtualnej maszyny wirtualne bramy są wdrażane w podsieci bramy i konfigurowane przy użyciu wymaganych ustawień bramy sieci VPN. Nigdy nie należy wdrażać żadnych innych maszyn wirtualnych (na przykład większej liczby maszyn wirtualnych) w podsieci bramy. Aby podsieć bramy działała prawidłowo, musi mieć nazwę "GatewaySubnet". Nazwanie podsieci bramy "GatewaySubnet" informuje platformę Azure, że jest to podsieć, na której powinna wdrożyć maszyny wirtualne i usługi bramy sieci wirtualnej.

Podczas tworzenia podsieci bramy należy określić liczbę zawartych w niej adresów IP. Adresy IP w podsieci bramy są przydzielane do maszyn wirtualnych bramy i usług bramy. Niektóre konfiguracje wymagają większej liczby adresów IP niż inne.

Podczas planowania rozmiaru podsieci bramy zapoznaj się z dokumentacją dotyczącą konfiguracji, którą zamierzasz utworzyć. Na przykład współistniena konfiguracja bramy ExpressRoute/VPN Gateway wymaga większej podsieci bramy niż większość innych konfiguracji. Chociaż istnieje możliwość utworzenia podsieci bramy tak małej jak /29 (dotyczy tylko jednostki SKU w warstwie Podstawowa), wszystkie inne jednostki SKU wymagają podsieci bramy o rozmiarze /27 lub większym (/27, /26, /25 itp.). Możesz utworzyć podsieć bramy większą niż /27, aby miała wystarczającą liczbę adresów IP do uwzględnienia możliwych przyszłych konfiguracji.

Poniższy przykład programu PowerShell przedstawia podsieć bramy o nazwie GatewaySubnet. Widać, że notacja CIDR określa przedrostek /27, co pozwala na wystarczającą liczbę adresów IP dla większości obecnie istniejących konfiguracji.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Zagadnienia do rozważenia:

  • Trasy zdefiniowane przez użytkownika z miejscem docelowym 0.0.0.0/0 i sieciowe grupy zabezpieczeń na podsieci bramy nie są obsługiwane. Bramy z tą konfiguracją nie mogą być tworzone. Bramy wymagają dostępu do kontrolerów zarządzania, aby funkcjonowały prawidłowo. Propagacja tras protokołu BGP (Border Gateway Protocol) powinna być włączona w podsieci bramy, aby zapewnić dostępność bramy. Jeśli propagacja tras protokołu BGP jest wyłączona, brama nie będzie działać.

  • Może to mieć wpływ na diagnostykę, ścieżkę danych i ścieżkę sterowania, jeśli trasa zdefiniowana przez użytkownika nakłada się na zakres podsieci bramy lub zakres publicznych adresów IP bramy.

Bramy sieci lokalnej

Brama sieci lokalnej różni się od bramy sieci wirtualnej. Podczas pracy z architekturą site-to-site bramy sieci VPN, brama sieci lokalnej zwykle reprezentuje sieć na miejscu i odpowiednie urządzenie sieci VPN.

Podczas konfigurowania bramy sieci lokalnej należy określić nazwę, publiczny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) lokalnego urządzenia sieci VPN oraz prefiksy adresów, które znajdują się w lokalizacji lokalnej. Platforma Azure analizuje prefiksy adresów docelowych dla ruchu sieciowego, sprawdza konfigurację określoną dla bramy sieci lokalnej i odpowiednio kieruje pakiety. Jeśli używasz protokołu BGP (Border Gateway Protocol) na urządzeniu sieci VPN, podaj adres IP elementu równorzędnego BGP urządzenia sieci VPN i numer systemu autonomicznego (ASN) sieci lokalnej. Należy również określić bramy sieci lokalnej dla konfiguracji VNet-do-VNet, które używają połączenia bramy sieci VPN.

Poniższy przykład programu PowerShell tworzy nową bramę sieci lokalnej:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Czasami należy zmodyfikować ustawienia bramy sieci lokalnej. Na przykład podczas dodawania lub modyfikowania zakresu adresów lub zmiany adresu IP urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Modyfikowanie ustawień bramy sieci lokalnej.

Interfejsy API REST, polecenia cmdlet PowerShell i CLI

Aby uzyskać informacje o zasobach technicznych i określonych wymaganiach dotyczących składni podczas korzystania z interfejsów API REST, poleceń cmdlet programu PowerShell lub interfejsu wiersza polecenia platformy Azure dla konfiguracji usługi VPN Gateway, zobacz następujące strony:

Następne kroki

Aby uzyskać więcej informacji na temat dostępnych konfiguracji połączeń, zobacz About VPN Gateway (Informacje o bramie sieci VPN).