Informacje o ustawieniach konfiguracji usługi VPN Gateway
Architektura połączenia bramy sieci VPN opiera się na konfiguracji wielu zasobów, z których każda zawiera konfigurowalne ustawienia. W sekcjach w tym artykule omówiono zasoby i ustawienia związane z bramą sieci VPN dla sieci wirtualnej utworzonej w modelu wdrażania usługi Resource Manager. Opisy i diagramy topologii dla każdego rozwiązania połączenia można znaleźć w artykule Topologia i projektowanie usługi VPN Gateway.
Wartości w tym artykule dotyczą konkretnie bram sieci VPN (bram sieci wirtualnej używających sieci VPN -GatewayType). Jeśli szukasz informacji o następujących typach bram, zobacz następujące artykuły:
- Aby uzyskać wartości dotyczące parametru -GatewayType "ExpressRoute", zobacz Bramy sieci wirtualnej dla usługi ExpressRoute.
- Aby uzyskać informacje o bramach strefowo nadmiarowych, zobacz About zone-redundant gateways (Informacje o bramach strefowo nadmiarowych).
- W przypadku bram aktywnych-aktywnych zobacz About highly available connectivity (Informacje o łączności o wysokiej dostępności).
- Aby uzyskać informacje o bramach usługi Virtual WAN, zobacz About Virtual WAN (Informacje o usłudze Virtual WAN).
Bramy i typy bram
Brama sieci wirtualnej składa się z co najmniej dwóch maszyn wirtualnych zarządzanych przez platformę Azure, które są automatycznie konfigurowane i wdrażane w określonej podsieci utworzonej jako podsieć bramy. Maszyny wirtualne bramy zawierają tabele routingu i uruchamiają określone usługi bramy.
Podczas tworzenia bramy sieci wirtualnej maszyny wirtualne bramy są automatycznie wdrażane w podsieci bramy (zawsze o nazwie GatwaySubnet) i skonfigurowane przy użyciu określonych ustawień. Wykonanie tego procesu może potrwać co najmniej 45 minut w zależności od wybranej jednostki SKU bramy.
Jednym z ustawień, które określisz podczas tworzenia bramy sieci wirtualnej, jest typ bramy. Typ bramy określa sposób użycia bramy sieci wirtualnej i akcji, które wykonuje brama. Sieć wirtualna może mieć dwie bramy sieci wirtualnej; jedna brama sieci VPN i jedna brama usługi ExpressRoute. Typ bramy "Vpn" określa, że typ utworzonej bramy sieci wirtualnej to brama sieci VPN. To odróżnia ją od bramy usługi ExpressRoute, która używa innego typu bramy.
Podczas tworzenia bramy sieci wirtualnej należy upewnić się, że typ bramy jest poprawny dla twojej konfiguracji. Dostępne wartości parametru -GatewayType to:
- Vpn
- ExpressRoute
Brama sieci VPN wymaga sieci -GatewayTypeVPN.
Przykład:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Jednostki SKU bramy i wydajność
Zobacz artykuł About Gateway SKUs (Informacje o jednostkach SKU bramy), aby uzyskać najnowsze informacje o jednostkach SKU bramy, wydajności i obsługiwanych funkcjach.
Typy sieci VPN
pomoc techniczna platformy Azure dwa różne typy sieci VPN dla bram sieci VPN: oparte na zasadach i oparte na trasach. Bramy sieci VPN oparte na trasach są oparte na innej platformie niż bramy sieci VPN oparte na zasadach. Powoduje to różne specyfikacje bramy.
W większości przypadków utworzysz bramę sieci VPN opartą na trasach. Wcześniej starsze jednostki SKU bramy nie obsługiwały protokołu IKEv1 dla bram opartych na trasach. Obecnie większość bieżących jednostek SKU bramy obsługuje zarówno protokół IKEv1, jak i protokół IKEv2. Jeśli masz już bramę opartą na zasadach, nie musisz uaktualniać bramy do opartej na trasach.
Jeśli chcesz utworzyć bramę opartą na zasadach, użyj programu PowerShell lub interfejsu wiersza polecenia. Od 1 października 2023 r. nie można utworzyć bramy sieci VPN opartej na zasadach za pośrednictwem witryny Azure Portal. Dostępne są tylko bramy oparte na trasach.
| Typ sieci VPN bramy | Jednostka SKU bramy | Obsługiwane wersje protokołu IKE |
|---|---|---|
| Brama oparta na zasadach | Podstawowy | IKEv1 |
| Brama oparta na trasach | Podstawowy | IKEv2 |
| Brama oparta na trasach | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 i IKEv2 |
| Brama oparta na trasach | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 i IKEv2 |
Typy połączeń
W modelu wdrażania usługi Resource Manager każda konfiguracja wymaga określonego typu połączenia bramy sieci wirtualnej. Dostępne wartości opcji -ConnectionType w programie PowerShell w usłudze Resource Manager to:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
W poniższym przykładzie programu PowerShell utworzymy połączenie typu lokacja-lokacja, które wymaga protokołu IPsec typu połączenia.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
Tryby Połączenie ion
Właściwość tryb Połączenie ion dotyczy tylko bram sieci VPN opartych na trasach korzystających z połączeń IKEv2. tryby Połączenie ion definiują kierunek inicjowania połączenia i mają zastosowanie tylko do początkowego ustanowienia połączenia IKE. Każda strona może zainicjować ponowne klucze i dalsze komunikaty. InicjatorOnly oznacza, że połączenie musi być inicjowane przez platformę Azure. Funkcja responderOnly oznacza, że połączenie musi zostać zainicjowane przez urządzenie lokalne. Domyślne zachowanie polega na akceptowaniu i wybieraniu numerów, w zależności od tego, która z nich łączy się jako pierwsza.
Podsieć bramy
Przed utworzeniem bramy sieci VPN należy utworzyć podsieć bramy. Podsieć bramy zawiera adresy IP używane przez maszyny wirtualne i usługi bramy sieci wirtualnej. Podczas tworzenia bramy sieci wirtualnej maszyny wirtualne bramy są wdrażane w podsieci bramy i konfigurowane przy użyciu wymaganych ustawień bramy sieci VPN. Nigdy nie należy wdrażać żadnych innych maszyn wirtualnych (na przykład większej liczby maszyn wirtualnych) w podsieci bramy. Aby podsieć bramy działała prawidłowo, musi mieć nazwę "GatewaySubnet". Nazewnictwo podsieci bramy "GatewaySubnet" informuje platformę Azure, że jest to podsieć, w której powinna wdrożyć maszyny wirtualne i usługi bramy sieci wirtualnej.
Podczas tworzenia podsieci bramy należy określić liczbę zawartych w niej adresów IP. Adresy IP w podsieci bramy są przydzielane do maszyn wirtualnych bramy i usług bramy. Niektóre konfiguracje wymagają większej liczby adresów IP niż inne.
Podczas planowania rozmiaru podsieci bramy zapoznaj się z dokumentacją konfiguracji, którą planujesz utworzyć. Na przykład współistniena konfiguracja bramy ExpressRoute/VPN Gateway wymaga większej podsieci bramy niż większość innych konfiguracji. Chociaż istnieje możliwość utworzenia podsieci bramy tak małej jak /29 (dotyczy tylko jednostki SKU w warstwie Podstawowa), wszystkie inne jednostki SKU wymagają podsieci bramy o rozmiarze /27 lub większym (/27, /26, /25 itp.). Możesz utworzyć podsieć bramy większą niż /27, aby podsieć ma wystarczającą liczbę adresów IP, aby uwzględnić możliwe przyszłe konfiguracje.
Poniższy przykład programu PowerShell usługi Resource Manager przedstawia podsieć bramy o nazwie GatewaySubnet. Można zobaczyć notację CIDR określa /27, co pozwala na wystarczającą liczbę adresów IP dla większości obecnie istniejących konfiguracji.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Zagadnienia do rozważenia:
Trasy zdefiniowane przez użytkownika z lokalizacją docelową 0.0.0.0/0 i sieciowymi grupami zabezpieczeń w podsieci GatewaySubnet nie są obsługiwane. Bramy z tą konfiguracją nie mogą być tworzone. Bramy wymagają dostępu do kontrolerów zarządzania, aby funkcjonowały prawidłowo. Propagacja tras protokołu BGP powinna być ustawiona na wartość "Włączone" w podsieci GatewaySubnet, aby zapewnić dostępność bramy. Jeśli propagacja trasy protokołu BGP jest wyłączona, brama nie będzie działać.
Może to mieć wpływ na diagnostykę, ścieżkę danych i ścieżkę sterowania, jeśli trasa zdefiniowana przez użytkownika nakłada się na zakres podsieci bramy lub zakres publicznych adresów IP bramy.
Bramy sieci lokalnej
Brama sieci lokalnej różni się od bramy sieci wirtualnej. Podczas pracy z architekturą lokacja-lokacja bramy sieci VPN brama sieci lokalnej zwykle reprezentuje sieć lokalną i odpowiednie urządzenie sieci VPN. W klasycznym modelu wdrażania brama sieci lokalnej jest nazywana lokacją lokalną.
Podczas konfigurowania bramy sieci lokalnej należy określić nazwę, publiczny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) lokalnego urządzenia sieci VPN oraz prefiksy adresów, które znajdują się w lokalizacji lokalnej. Platforma Azure analizuje prefiksy adresów docelowych dla ruchu sieciowego, sprawdza konfigurację określoną dla bramy sieci lokalnej i odpowiednio kieruje pakiety. Jeśli używasz protokołu BGP (Border Gateway Protocol) na urządzeniu sieci VPN, podaj adres IP elementu równorzędnego BGP urządzenia sieci VPN i numer systemu autonomicznego (ASN) sieci lokalnej. Należy również określić bramy sieci lokalnej dla konfiguracji między sieciami wirtualnymi, które używają połączenia bramy sieci VPN.
Poniższy przykład programu PowerShell tworzy nową bramę sieci lokalnej:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Czasami należy zmodyfikować ustawienia bramy sieci lokalnej. Na przykład podczas dodawania lub modyfikowania zakresu adresów lub zmiany adresu IP urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Modyfikowanie ustawień bramy sieci lokalnej.
Interfejsy API REST, polecenia cmdlet programu PowerShell i interfejs wiersza polecenia
Aby uzyskać informacje o zasobach technicznych i określonych wymaganiach dotyczących składni podczas korzystania z interfejsów API REST, poleceń cmdlet programu PowerShell lub interfejsu wiersza polecenia platformy Azure dla konfiguracji usługi VPN Gateway, zobacz następujące strony:
| Klasyczny | Resource Manager |
|---|---|
| Program PowerShell | Program PowerShell |
| Interfejs API REST | Interfejs API REST |
| Nieobsługiwane | Interfejs wiersza polecenia platformy Azure |
Następne kroki
Aby uzyskać więcej informacji na temat dostępnych konfiguracji połączeń, zobacz About VPN Gateway (Informacje o bramie sieci VPN).