VPN Gateway — często zadawane pytania

Artykuł
03/26/2024

Łączenie z sieciami wirtualnymi

Czy można połączyć sieci wirtualne z różnych regionów świadczenia usługi Azure?

Tak. Nie ma ograniczenia regionu. Jedna sieć wirtualna może nawiązać połączenie z inną siecią wirtualną w tym samym lub w innym regionie świadczenia usługi Azure.

Czy można połączyć sieci wirtualne należące do różnych subskrypcji?

Tak.

Czy mogę określić prywatne serwery DNS w sieci wirtualnej podczas konfigurowania bramy sieci VPN?

Jeśli podczas tworzenia sieci wirtualnej określono serwer DNS lub serwery, usługa VPN Gateway używa określonych serwerów DNS. Jeśli określisz serwer DNS, sprawdź, czy serwer DNS może rozpoznać nazwy domen wymagane dla platformy Azure.

Czy można łączyć się z wieloma lokalizacjami z jednej sieci wirtualnej?

Można nawiązać połączenie z wieloma lokalizacjami za pomocą programu Windows PowerShell oraz interfejsów API REST Azure. Zobacz sekcję często zadawanych pytań dotyczących połączeń obejmujących wiele lokacji i połączeń między sieciami wirtualnymi.

Czy istnieje dodatkowy koszt konfigurowania bramy sieci VPN jako aktywne-aktywne?

L.p. Jednak opłaty za dodatkowe publiczne adresy IP będą naliczane odpowiednio. Zobacz Cennik adresów IP.

Jakie są dostępne możliwości połączeń obejmujących wiele lokalizacji?

Obsługiwane są następujące połączenia między lokalnymi bramami sieci wirtualnej:

Lokacja-lokacja: połączenie sieci VPN za pośrednictwem protokołu IPsec (IKE w wersji 1 i IKE w wersji 2). Ten typ połączenia wymaga urządzenia VPN lub usługi RRAS. Aby uzyskać więcej informacji, zobacz Lokacja-lokacja.
Punkt-lokacja: połączenie sieci VPN za pośrednictwem protokołu SSTP (Secure Socket Tunneling Protocol) lub IKE w wersji 2. To połączenie nie wymaga urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Punkt-lokacja.
Sieć wirtualna-sieć wirtualna: ten typ połączenia jest taki sam jak konfiguracja lokacja-lokacja. Połączenie typu sieć wirtualna-sieć wirtualna to połączenie sieci VPN nawiązywane za pośrednictwem protokołu IPsec (IKE v1 i IKE v2). Nie wymaga urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Sieć wirtualna-sieć wirtualna.
ExpressRoute: Usługa ExpressRoute to prywatne połączenie z platformą Azure z sieci WAN, a nie połączenie sieci VPN za pośrednictwem publicznego Internetu. Więcej informacji zawierają tematy ExpressRoute — opis techniczny i Usługa ExpressRoute — często zadawane pytania.

Aby uzyskać więcej informacji na temat połączeń usługi VPN Gateway, zobacz About VPN Gateway (Informacje o usłudze VPN Gateway).

Jaka jest różnica między połączeniem typu lokacja-lokacja i połączeniem punkt-lokacja?

Konfiguracje tunelu VPN typu lokacja-lokacja (tunel IPsec/IKE) znajdują się między lokalizacją lokalną a platformą Azure. Oznacza to, że z poziomu dowolnego lokalnego komputera możesz połączyć się z dowolną maszyną wirtualną lub wystąpieniem roli w ramach sieci wirtualnej, w zależności od wybranej konfiguracji routingu i uprawnień. Jest to świetna opcja dla zawsze dostępnego połączenia obejmującego wiele lokalizacji i jest odpowiednia dla konfiguracji hybrydowych. Ten typ połączenia jest oparty na urządzeniu VPN (sprzętowym lub programowym) z protokołem IPsec, które musi zostać wdrożone na granicy sieci. Aby utworzyć ten typ połączenia, musisz mieć zewnętrzny adres IPv4.

Konfiguracje typu punkt-lokacja (VPN za pośrednictwem protokołu SSTP) umożliwiają nawiązywanie połączenia z jednego komputera z dowolnego miejsca do dowolnego miejsca znajdującego się w sieci wirtualnej. Korzystają z wewnętrznego klienta VPN systemu Windows. W ramach konfiguracji punkt-lokacja należy zainstalować certyfikat i pakiet konfiguracji klienta sieci VPN, który zawiera ustawienia, które umożliwiają komputerowi łączenie się z dowolną maszyną wirtualną lub wystąpieniem roli w sieci wirtualnej. Doskonale sprawdzają się podczas nawiązywania połączenia z siecią wirtualną spoza obszaru organizacji. Jest to również dobra opcja, jeśli nie masz dostępu do sprzętu sieci VPN ani zewnętrznego adresu IPv4, z których oba są wymagane do połączenia lokacja-lokacja.

Sieć wirtualną można skonfigurować pod kątem jednoczesnego używania połączenia lokacja-lokacja i połączenia typu punkt-lokacja, o ile połączenie lokacja-lokacja jest tworzone przy użyciu typu sieci VPN opartego na trasach dla bramy. Typy bramy sieci VPN oparte na trasach są w klasycznym modelu wdrażania nazywane bramami dynamicznymi.

Prywatność

Czy usługa sieci VPN przechowuje lub przetwarza dane klienta?

L.p.

Bramy sieci wirtualnej

Czy brama sieci VPN jest bramą sieci wirtualnej?

Brama sieci VPN to typ bramy sieci wirtualnej. Brama sieci VPN przesyła zaszyfrowany ruch sieciowy między siecią wirtualną a lokalizacją lokalną za pośrednictwem połączenia publicznego. Za pomocą bramy sieci VPN można również przesyłać ruch sieciowy między sieciami wirtualnymi. Po utworzeniu bramy sieci VPN dla opcji -GatewayType należy używać wartości „Vpn”. Aby uzyskać więcej informacji, zobacz temat About VPN Gateway configuration settings (Informacje o ustawieniach konfiguracji bramy VPN Gateway).

Dlaczego nie mogę określić typów sieci VPN opartych na zasadach i opartych na trasach?

Od 1 października 2023 r. nie można utworzyć bramy sieci VPN opartej na zasadach za pośrednictwem witryny Azure Portal. Wszystkie nowe bramy sieci VPN zostaną automatycznie utworzone jako oparte na trasach. Jeśli masz już bramę opartą na zasadach, nie musisz uaktualniać bramy do opartej na trasach. Aby utworzyć bramy oparte na zasadach, można użyć programu PowerShell/interfejsu wiersza polecenia.

Wcześniej starsze jednostki SKU bramy nie obsługiwały protokołu IKEv1 dla bram opartych na trasach. Obecnie większość bieżących jednostek SKU bramy obsługuje zarówno protokół IKEv1, jak i protokół IKEv2.

Typ sieci VPN bramy	Jednostka SKU bramy	Obsługiwane wersje protokołu IKE
Brama oparta na zasadach	Podstawowy	IKEv1
Brama oparta na trasach	Podstawowy	IKEv2
Brama oparta na trasach	VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5	IKEv1 i IKEv2
Brama oparta na trasach	VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ	IKEv1 i IKEv2

Czy mogę zaktualizować bramę sieci VPN opartą na zasadach do opartej na trasach?

L.p. Nie można zmienić typu bramy z opartego na zasadach na opartego na trasach ani z opartego na trasach na oparte na zasadach. Aby zmienić typ bramy, brama musi zostać usunięta i utworzona ponownie. Ten proces trwa około 60 minut. Podczas tworzenia nowej bramy nie można zachować adresu IP oryginalnej bramy.

Usuń wszystkie połączenia skojarzone z bramą.
Usuń bramę przy użyciu jednego z następujących artykułów:
Utwórz nową bramę przy użyciu żądanego typu bramy, a następnie ukończ konfigurację sieci VPN. Aby uzyskać instrukcje, zobacz samouczek lokacja-lokacja.

Czy mogę określić własne selektory ruchu oparte na zasadach?

Tak, selektory ruchu można zdefiniować za pośrednictwem atrybutu trafficSelectorPolicies w połączeniu za pośrednictwem polecenia New-AzIpsecTrafficSelectorPolicy programu PowerShell. Aby określony selektor ruchu zaczęły obowiązywać, upewnij się, że opcja Użyj selektorów ruchu opartego na zasadach jest włączona.

Niestandardowe skonfigurowane selektory ruchu będą proponowane tylko wtedy, gdy brama sieci VPN platformy Azure inicjuje połączenie. Brama sieci VPN akceptuje wszystkie selektory ruchu proponowane przez bramę zdalną (lokalne urządzenie sieci VPN). To zachowanie jest spójne między wszystkimi trybami połączenia (Default, InitiatorOnly i ResponderOnly).

Czy potrzebuję podsieci „GatewaySubnet”?

Tak. Podsieć bramy zawiera adresy IP używane przez usługi bramy sieci wirtualnej. Należy utworzyć podsieć bramy dla sieci wirtualnej, aby skonfigurować bramę sieci wirtualnej. Aby podsieć bramy działała prawidłowo, musi nosić nazwę „GatewaySubnet”. Nie należy nadawać podsieci bramy innej nazwy. Nie należy także wdrażać maszyn wirtualnych ani innych elementów w ramach podsieci bramy.

Podczas tworzenia podsieci bramy należy określić liczbę zawartych w niej adresów IP. Adresy IP w podsieci bramy są przydzielone do usługi bramy. Niektóre konfiguracje wymagają przydzielenia większej liczby adresów IP do usług bramy niż inne. Warto się upewnić, że podsieć bramy zawiera wystarczającą liczbę adresów IP na potrzeby przyszłego rozwoju i możliwe dodatkowe, nowe konfiguracje połączeń. Dlatego, chociaż można utworzyć małą podsieć bramy o rozmiarze /29, zaleca się tworzenie podsieci bramy /27 i większych (/27, /26, /25 itp.). Zapoznaj się z wymaganiami konfiguracji, którą chcesz utworzyć, i sprawdź, czy Twoja brama podsieci je spełni.

Czy można wdrożyć maszyny wirtualne lub wystąpienia roli w ramach podsieci bramy?

L.p.

Czy można użyć adresu IP bramy sieci VPN przed jej utworzeniem?

Zasoby publicznego adresu IP jednostki SKU platformy Azure w warstwie Standardowa muszą używać metody alokacji statycznej. W związku z tym będziesz mieć publiczny adres IP bramy sieci VPN, gdy tylko utworzysz zasób publicznego adresu IP jednostki SKU w warstwie Standardowa, którego zamierzasz użyć.

Czy mogę zażądać statycznego publicznego adresu IP dla bramy sieci VPN?

Zasoby publicznego adresu IP jednostki SKU w warstwie Standardowa używają metody alokacji statycznej. W przyszłości należy użyć publicznego adresu IP jednostki SKU w warstwie Standardowa podczas tworzenia nowej bramy sieci VPN. Dotyczy to wszystkich jednostek SKU bramy z wyjątkiem jednostki SKU w warstwie Podstawowa. Jednostka SKU bramy Podstawowa obsługuje obecnie tylko publiczne adresy IP jednostki SKU w warstwie Podstawowa. Wkrótce dodamy obsługę publicznych adresów IP jednostki SKU w warstwie Standardowa dla jednostek SKU bramy w warstwie Podstawowa.

W przypadku bram innych niż strefowo nadmiarowe i nienależące do stref, które zostały wcześniej utworzone (jednostki SKU bramy, które nie mają modułu AZ w nazwie), dynamiczne przypisanie adresu IP jest obsługiwane, ale jest wycofywane. W przypadku korzystania z dynamicznego adresu IP adres IP nie zmienia się po przypisaniu go do bramy sieci VPN. Jedyną zmianą adresu IP bramy sieci VPN jest usunięcie bramy, a następnie jej ponowne utworzenie. Publiczny adres IP bramy sieci VPN nie zmienia się po zmianie rozmiaru, zresetowaniu ani zakończeniu innej wewnętrznej konserwacji i uaktualnień bramy sieci VPN.

Jak wycofanie podstawowej jednostki SKU adresu IP wpływa na moje bramy sieci VPN?

Podejmujemy działania w celu zapewnienia ciągłej operacji wdrożonych bram sieci VPN korzystających z publicznych adresów IP jednostki SKU w warstwie Podstawowa. Jeśli masz już bramy sieci VPN z publicznymi adresami IP podstawowej jednostki SKU, nie musisz podejmować żadnych działań.

Należy jednak pamiętać, że publiczne adresy IP jednostki SKU w warstwie Podstawowa są wycofywane. W przyszłości podczas tworzenia nowej bramy sieci VPN należy użyć publicznego adresu IP jednostki SKU w warstwie Standardowa. Więcej szczegółowych informacji na temat wycofywania publicznych adresów IP jednostek SKU w warstwie Podstawowa można znaleźć tutaj.

W jaki sposób następuje uwierzytelnienie tunelu VPN?

Sieć VPN platformy Azure używa uwierzytelniania PSK (klucza wstępnego). Podczas tworzenia tunelu VPN generowany jest klucz wstępny (PSK). Automatycznie wygenerowany klucz psK można zmienić na własny za pomocą polecenia cmdlet Set Pre-Shared Key programu PowerShell lub interfejsu API REST.

Czy za pomocą interfejsu API i polecenia cmdlet Set Pre-Shared Key można skonfigurować własną bramę sieci VPN opartą na zasadach (o routingu statycznym)?

Tak, interfejs API i polecenie cmdlet Set Pre-Shared Key programu PowerShell pozwalają konfigurować sieci wirtualne platformy Azure oparte na zasadach (o statycznym routingu) i na trasach (o dynamicznym routingu).

Czy są dostępne inne opcje uwierzytelniania?

Do uwierzytelniania ograniczamy się do używania kluczy wstępnych (PSK).

Jak określić, który ruch danych przechodzi przez bramę sieci VPN?

Model wdrażania usługi Resource Manager

Środowisko PowerShell: użyj elementu „AddressPrefix”, aby określić ruch dla lokalnej bramy sieci.
Witryna Azure Portal: przejdź do obszaru Adres > konfiguracji bramy > sieci lokalnej.

Klasyczny model wdrażania

Witryna Azure Portal: przejdź do klasycznych połączeń > sieci VPN sieci > wirtualnej Połączenia > vpn typu lokacja-lokacja Połączenia sieci VPN Lokalna nazwa > lokacji lokalnej Przestrzeń adresowa klienta lokacji > lokalnej.

Czy mogę używać translatora adresów sieciOWYCH w połączeniach sieci VPN?

Tak, przechodzenie translatora adresów sieciowych (NAT-T) jest obsługiwane. Usługa Azure VPN Gateway nie będzie wykonywać żadnych funkcji podobnych do translatora adresów sieciowych w pakietach wewnętrznych do/z tuneli IPsec. W tej konfiguracji upewnij się, że urządzenie lokalne inicjuje tunel IPSec.

Czy można wdrożyć własny serwer sieci VPN na platformie Azure i używać go do nawiązywania połączenia z siecią lokalną?

Tak, można wdrożyć własne bramy lub serwery sieci VPN na platformie Azure, korzystając z portalu Azure Marketplace lub tworząc własne routery sieci VPN. Należy skonfigurować trasy zdefiniowane przez użytkownika w sieci wirtualnej, aby upewnić się, że ruch jest prawidłowo kierowany między sieciami lokalnymi a podsieciami sieci wirtualnej.

Dlaczego niektóre porty są otwierane w bramie sieci wirtualnej?

Są one wymagane do komunikacji z infrastrukturą platformy Azure. Są one chronione (zablokowane) przez certyfikaty platformy Azure. Bez odpowiednich certyfikatów jednostki zewnętrzne, w tym klienci tych bram, nie będą mogły spowodować żadnego wpływu na te punkty końcowe.

Brama sieci wirtualnej to zasadniczo urządzenie z wieloma domami z jedną kartą sieciową korzystającą z sieci prywatnej klienta i jedną kartą sieciową mającą dostęp do sieci publicznej. Jednostki infrastruktury platformy Azure nie mogą korzystać z sieci prywatnych klientów ze względów zgodności, dlatego muszą korzystać z publicznych punktów końcowych na potrzeby komunikacji infrastruktury. Publiczne punkty końcowe są okresowo skanowane w ramach inspekcji zabezpieczeń platformy Azure.

Czy mogę utworzyć bramę sieci VPN przy użyciu jednostki SKU bramy Podstawowej w portalu?

L.p. Podstawowa jednostka SKU nie jest dostępna w portalu. Bramę sieci VPN podstawowej jednostki SKU można utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure lub programu PowerShell.

Gdzie można znaleźć informacje o typach bramy, wymaganiach i przepływności?

Odwiedź następujące artykuły:

Wycofanie jednostki SKU dla starszych jednostek SKU

30 września 2025 r. jednostki SKU standardowe i o wysokiej wydajności zostaną wycofane. Ogłoszenie można wyświetlić tutaj. Zespół produktu udostępni ścieżkę migracji dla tych jednostek SKU do 30 listopada 2024 r. Aby uzyskać więcej informacji, zobacz artykuł Dotyczący starszych jednostek SKU usługi VPN Gateway. Obecnie nie ma żadnej akcji, którą należy wykonać.

Czy mogę utworzyć nową jednostkę SKU o standardowej/wysokiej wydajności po ogłoszeniu o wycofaniu 30 listopada 2023 r.?

L.p. Od 1 grudnia 2023 r. nie można tworzyć nowych bram z jednostkami SKU o standardowej lub wysokiej wydajności. Nowe bramy można utworzyć przy użyciu wartości VpnGw1 i VpnGw2 dla tej samej ceny co jednostki SKU standardowe i o wysokiej wydajności wymienione odpowiednio na naszej stronie cennika.

Jak długo będą obsługiwane istniejące bramy w jednostkach SKU o standardowej/wysokiej wydajności?

Wszystkie istniejące bramy korzystające ze standardowych lub wysokiej wydajności jednostek SKU będą obsługiwane do 30 września 2025 r.

Czy muszę teraz przeprowadzić migrację jednostek SKU bramy w warstwie Standardowa/Wysokiej wydajności?

Nie, obecnie nie jest wymagana żadna akcja. Od grudnia 2024 r. będzie można migrować jednostki SKU. Wyślemy komunikację ze szczegółową dokumentacją dotyczącą kroków migracji.

Do której jednostki SKU mogę przeprowadzić migrację bramy?

Gdy migracja jednostki SKU bramy stanie się dostępna, jednostki SKU można migrować w następujący sposób:

Standardowa —> VpnGw1
Wysoka wydajność —> VpnGw2

Co zrobić, jeśli chcę przeprowadzić migrację do jednostki SKU az?

Nie można migrować starszej jednostki SKU do jednostki SKU az. Należy jednak pamiętać, że wszystkie bramy, które nadal używają jednostek SKU standardowej lub wysokiej wydajności po 30 września 2025 r., zostaną zmigrowane i uaktualnione automatycznie do następujących jednostek SKU:

Standardowa —> VpnGw1AZ
Wysoka wydajność —> VpnGw2AZ

Za pomocą tej strategii można automatycznie migrować i uaktualniać jednostki SKU az do jednostki SKU az. W razie potrzeby możesz zmienić rozmiar jednostki SKU w ramach tej rodziny jednostek SKU. Zobacz naszą stronę cennika dotyczącą cennika jednostki SKU modułu AZ. Aby uzyskać informacje o przepływności według jednostki SKU, zobacz Informacje o jednostkach SKU bramy.

Czy po migracji będą występować różnice cenowe bram?

W przypadku migracji jednostek SKU do 30 września 2025 r. nie będzie żadnych różnic cenowych. Jednostki SKU VpnGw1 i VpnGw2 są oferowane odpowiednio w tej samej cenie co jednostki SKU standardowe i o wysokiej wydajności. Jeśli nie przeprowadzisz migracji do tej daty, jednostki SKU zostaną automatycznie zmigrowane i uaktualnione do jednostek SKU AZ. W takim przypadku istnieje różnica cenowa.

Czy w przypadku tej migracji będzie jakikolwiek wpływ na wydajność bram?

Tak, uzyskujesz lepszą wydajność dzięki sieci VpnGw1 i VpnGw2. Obecnie vpnGw1 na 650 Mb/s zapewnia odpowiednio 6,5 x i VpnGw2 na 1 Gb/s zapewnia 5-krotną poprawę wydajności w tej samej cenie co starsze bramy Standard i High Performance. Aby uzyskać więcej informacji o przepływności jednostki SKU, zobacz Informacje o jednostkach SKU bramy.

Co się stanie, jeśli nie zmigruję jednostek SKU do 30 września 2025 r.?

Wszystkie bramy, które nadal korzystają ze standardowych lub wysokowydajnych jednostek SKU, zostaną automatycznie zmigrowane i uaktualnione do następujących jednostek SKU AZ:

Standardowa —> VpnGw1AZ
Wysoka wydajność —> VpnGw2AZ

Ostateczna komunikacja zostanie wysłana przed zainicjowaniem migracji na wszystkich bramach.

Czy podstawowa jednostka SKU usługi VPN Gateway również jest wycofywalna?

Nie, podstawowa jednostka SKU usługi VPN Gateway jest tutaj, aby pozostać. Bramę sieci VPN można utworzyć przy użyciu jednostki SKU bramy Podstawowej za pośrednictwem programu PowerShell lub interfejsu wiersza polecenia. Obecnie jednostki SKU bramy sieci VPN Gateway w warstwie Podstawowa obsługują tylko zasób publicznego adresu IP jednostki SKU w warstwie Podstawowa (który znajduje się na ścieżce do wycofania). Pracujemy nad dodaniem obsługi jednostki SKU bramy vpn Gateway w warstwie Podstawowa dla zasobu publicznego adresu IP jednostki SKU w warstwie Standardowa.

Połączenia typu lokacja-lokacja i urządzenia sieci VPN

Co należy wziąć pod uwagę przy wyborze urządzenia sieci VPN?

Zweryfikowaliśmy zestaw standardowych urządzeń sieci VPN typu lokacja-lokacja we współpracy z dostawcami urządzeń. Listę znanych zgodnych urządzeń sieci VPN, odpowiednie instrukcje konfiguracji lub przykłady oraz dane techniczne urządzeń można znaleźć w artykule Informacje na temat urządzeń sieci VPN. Wszystkie urządzenia z rodzin wymienionych jako rodziny o znanej zgodności powinny współpracować z siecią wirtualną. Aby skonfigurować urządzenie sieci VPN, zapoznaj się z przykładową konfiguracją urządzenia lub łączem odpowiadającym odpowiedniej rodzinie urządzeń.

Gdzie można znaleźć ustawienia konfiguracji urządzenia sieci VPN?

Aby pobrać skrypty konfiguracji urządzenia sieci VPN:

W zależności od używanego urządzenia sieci VPN, może być możliwe pobranie skryptu konfiguracji urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Pobieranie skryptów konfiguracji urządzenia sieci VPN.

Zobacz poniższe linki, aby uzyskać dodatkowe informacje o konfiguracji:

Aby uzyskać informacje o zgodnych urządzeniach sieci VPN, zobacz Urządzenia sieci VPN.
Przed skonfigurowaniem urządzenia sieci VPN, którego zamierzasz użyć, sprawdź, czy istnieją dla niego znane problemy dotyczące zgodności urządzeń.
Aby uzyskać linki do ustawień konfiguracji urządzeń, zobacz Zweryfikowane urządzenia sieci VPN. Linki do ustawień konfiguracji urządzeń zostały podane na zasadzie największej staranności. Zawsze najlepiej jest skontaktować się z producentem urządzenia, aby uzyskać najnowsze informacje o konfiguracji. Na liście pokazano wersje, które przetestowaliśmy. Jeśli Twój system operacyjny nie znajduje się na tej liście, dana wersja nadal może być zgodna. Skontaktuj się z producentem urządzenia, aby sprawdzić, czy wersja systemu operacyjnego urządzenia sieci VPN jest zgodna.
Aby zapoznać się z omówieniem konfiguracji urządzenia sieci VPN, zobacz Omówienie konfiguracji urządzenia sieci VPN.
Aby uzyskać informacje na temat edytowania przykładów konfiguracji urządzeń, zobacz Edytowanie przykładów.
Aby poznać wymagania w zakresie usług kryptograficznych, zobacz artykuł About cryptographic requirements and Azure VPN gateways (Informacje dotyczące wymagań w zakresie usług kryptograficznych oraz bram VPN platformy Azure).
Aby zapoznać się z informacjami dotyczącymi parametrów protokołu IPsec/IKE, zobacz artykuł Informacje na temat urządzeń sieci VPN i parametrów protokołu IPsec/IKE dla połączeń bramy VPN typu lokacja-lokacja. Ten link umożliwia wyświetlenie informacji o wersji protokołu IKE, grupie Diffie’ego-Hellmana, metodzie uwierzytelniania, algorytmach szyfrowania i wyznaczania wartości skrótu, okresie istnienia skojarzeń zabezpieczeń, doskonałym utajnieniu przekazywania i wykrywaniu nieaktywnych elementów równorzędnych, a także innych informacji o parametrach, które są wymagane do ukończenia konfiguracji.
Aby zapoznać się z krokami konfiguracji zasad protokołu IPsec/IKE, zobacz artykuł Configure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections (Konfigurowanie zasad IPsec/IKE dla połączeń S2S VPN lub VNet-to-VNet).
Aby połączyć wiele urządzeń sieci VPN opartej na zasadach, zobacz Connect Azure VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Łączenie bram usługi Azure VPN Gateway z wieloma lokalnymi urządzeniami sieci VPN opartej na zasadach przy użyciu programu PowerShell).

Jak edytować przykłady konfiguracji urządzenia sieci VPN?

Aby uzyskać informacje na temat edytowania przykładów konfiguracji urządzeń, zobacz Edytowanie przykładów.

Gdzie można znaleźć parametry protokołów IPsec i IKE?

Aby zapoznać się z parametrami protokołów IPsec/IKE, zobacz Parametry.

Dlaczego mój oparty na zasadach tunel VPN przestaje działać, gdy ruch jest w stanie bezczynności?

Jest to oczekiwane zachowanie bram sieci VPN opartych na zasadach (znanych także jako bramy o routingu statycznym). Gdy ruch przez tunel jest bezczynny przez ponad 5 minut, tunel zostanie zburzony. Gdy ruch zacznie przepływać w obu kierunkach, tunel zostanie natychmiast ponownie opublikowany.

Czy można użyć oprogramowania pełniącego rolę sieci VPN do nawiązania połączenia z usługą Azure?

Obsługujemy serwery routingu i dostępu zdalnego (RRAS) systemu Windows Server 2012 na potrzeby konfiguracji obejmującej wiele lokalizacji.

Inne rozwiązania o charakterze oprogramowania pełniącego rolę sieci VPN powinny współpracować z bramą, o ile są one zgodne ze standardowymi implementacjami protokołu IPsec stosowanymi w branży. W celu uzyskania pomocy technicznej oraz instrukcji konfiguracji należy skontaktować się z dostawcą oprogramowania.

Czy mogę nawiązać połączenie z bramą sieci VPN za pośrednictwem połączenia typu punkt-lokacja, gdy znajduje się w lokacji z aktywnym połączeniem typu lokacja-lokacja?

Tak, ale publiczny adres IP klienta typu punkt-lokacja musi być inny niż publiczny adres IP używany przez urządzenie sieci VPN typu lokacja-lokacja lub inne połączenie punkt-lokacja nie będzie działać. Połączenia typu punkt-lokacja z protokołem IKEv2 nie mogą być inicjowane z tego samego publicznego adresu IP, w którym połączenie sieci VPN typu lokacja-lokacja jest skonfigurowane w tej samej bramie sieci VPN platformy Azure.

Punkt-lokacja — uwierzytelnianie certyfikatu

Ta sekcja dotyczy modelu wdrażania przy użyciu usługi Resource Manager.

Ile punktów końcowych klienta sieci VPN można mieć w konfiguracji punkt-lokacja?

To zależy od jednostki SKU bramy. Aby uzyskać więcej informacji o liczbie obsługiwanych połączeń, zobacz Jednostki SKU bramy.

Jakich systemów operacyjnych klienta można używać z punkt-lokacja?

Obsługiwane są następujące systemy operacyjne klientów:

Windows Server 2008 R2 (tylko 64-bitowy)
Windows 8.1 (32-bitowy i 64-bitowy)
Windows Server 2012 (tylko 64-bitowy)
Windows Server 2012 R2 (tylko 64-bitowy)
Windows Server 2016 (tylko 64-bitowy)
Windows Server 2019 (tylko 64-bitowy)
Windows Server 2022 (tylko 64-bitowy)
Windows 10
Windows 11
System macOS w wersji 10.11 lub nowszej
Linux (StrongSwan)
iOS

Czy można przechodzić przez serwery proxy i zapory przy użyciu funkcji punkt-lokacja?

Platforma Azure obsługuje trzy typy połączeń punkt-lokacja w sieci VPN:

Protokół Secure Socket Tunneling Protocol (SSTP). Protokół SSTP jest własnym rozwiązaniem firmy Microsoft bazującym na protokole SSL. Może przechodzić przez zapory, ponieważ większość zapór otwiera wychodzący port TCP 443, z którego korzysta protokół SSL.
OpenVPN. OpenVPN to rozwiązanie bazujące na protokole SSL. Może przechodzić przez zapory, ponieważ większość zapór otwiera port TCP 443, z którego korzysta protokół SSL.
Sieć VPN z protokołem IKEv2. Sieć VPN IKEv2 to oparte na standardach rozwiązanie sieci VPN IPsec, które używa wychodzących portów UDP 500 i 4500 i protokołu IP nr 50. Zapory nie zawsze otwierają te porty, więc istnieje możliwość, że sieć VPN IKEv2 nie może przejść przez serwery proxy i zapory.

Jeśli ponownie uruchomię komputer kliencki skonfigurowany dla połączenia typu punkt-lokacja, czy sieć VPN zostanie automatycznie ponownie nawiązana?

Automatyczne ponowne łączenie jest funkcją używanego klienta. System Windows obsługuje automatyczne ponowne nawiązywanie połączenia, konfigurując funkcję klienta zawsze włączonej sieci VPN .

Czy punkt-lokacja obsługuje sieci DDNS na klientach sieci VPN?

Sieci DDNS nie są obecnie obsługiwane w sieci VPN typu punkt-lokacja.

Czy można mieć współistnienie konfiguracji lokacja-lokacja i punkt-lokacja dla tej samej sieci wirtualnej?

Tak. W przypadku modelu wdrażania przy użyciu usługi Resource Manager dla bramy trzeba mieć sieć VPN opartą na trasach. W przypadku klasycznego modelu wdrażania należy użyć bramy dynamicznej. Nie obsługujemy punkt-lokacja dla bram sieci VPN routingu statycznego ani bram sieci VPN Opartych na zasadach.

Czy można skonfigurować klienta typu punkt-lokacja w celu nawiązania połączenia z wieloma bramami sieci wirtualnej w tym samym czasie?

W zależności od używanego oprogramowania klienckiego sieci VPN może być możliwe nawiązanie połączenia z wieloma bramami sieci wirtualnej, pod warunkiem, że połączone sieci wirtualne nie mają konfliktowych przestrzeni adresowych między nimi lub sieć z klienta nawiązuje połączenie. Klient sieci VPN platformy Azure obsługuje wiele połączeń sieci VPN, ale w danym momencie może być połączone tylko jedno połączenie.

Czy można skonfigurować klienta typu punkt-lokacja w celu nawiązania połączenia z wieloma sieciami wirtualnymi w tym samym czasie?

Tak, połączenia klienta typu punkt-lokacja z bramą sieci wirtualnej wdrożonej w sieci wirtualnej równorzędnej z innymi sieciami wirtualnymi mogą mieć dostęp do innych równorzędnych sieci wirtualnych. Klienci typu punkt-lokacja będą mogli łączyć się z równorzędnymi sieciami wirtualnymi, o ile równorzędne sieci wirtualne korzystają z funkcji UseRemoteGateway/AllowGatewayTransit. Aby uzyskać więcej informacji, zobacz About point-to-site routing (Informacje o routingu punkt-lokacja).

Ile przepływności można oczekiwać za pośrednictwem połączeń typu lokacja-lokacja lub połączenia typu punkt-lokacja?

Trudno jest utrzymać dokładną przepływność tuneli VPN. Protokoły IPsec i SSTP należą do niejawnie ciężkich protokołów sieci VPN. Przepływność ograniczają również opóźnienia i przepustowość między lokalizacjami lokalnymi i Internetem. W przypadku bramy sieci VPN z tylko połączeniami sieci VPN typu punkt-lokacja IKEv2 całkowita przepływność, której można oczekiwać, zależy od jednostki SKU bramy. Aby uzyskać więcej informacji o przepływności, zobacz Gateway SKUs (Jednostki SKU bramy).

Czy mogę użyć dowolnego oprogramowania klienta sieci VPN dla typu punkt-lokacja, który obsługuje protokół SSTP i/lub IKEv2?

L.p. Możesz używać wyłącznie natywnego klienta sieci VPN w systemie Windows dla protokołu SSTP i natywnego klienta sieci VPN na komputerach Mac dla protokołu IKEv2. Możesz jednak nawiązać połączenie za pośrednictwem protokołu OpenVPN, używając klienta OpenVPN na wszystkich platformach. Zapoznaj się z listą obsługiwanych systemów operacyjnych klienta.

Czy mogę zmienić typ uwierzytelniania połączenia typu punkt-lokacja?

Tak. W portalu przejdź do strony bramy sieci VPN —> punkt-lokacja . W polu Typ uwierzytelniania wybierz typy uwierzytelniania, których chcesz użyć. Pamiętaj, że po wprowadzeniu zmiany typu uwierzytelniania bieżący klienci mogą nie być w stanie nawiązać połączenia, dopóki nowy profil konfiguracji klienta sieci VPN nie zostanie wygenerowany, pobrany i zastosowany do każdego klienta sieci VPN.

Czy platforma Azure obsługuje sieć VPN z protokołem IKEv2 w systemie Windows?

Protokół IKEv2 jest obsługiwany w systemach Windows 10 i Server 2016. Aby jednak używać protokołu IKEv2 w niektórych wersjach systemu operacyjnego, należy zainstalować aktualizacje i ustawić lokalnie wartość klucza rejestru. Wersje systemu operacyjnego wcześniejsze niż Windows 10 nie są obsługiwane i mogą używać tylko protokołu SSTP lub OpenVPN®.

Uwaga

System operacyjny Windows tworzy nowsze wersje niż Windows 10 w wersji 1709 i Windows Server 2016 w wersji 1607 nie wymagają tych kroków.

Aby przygotowywać system Windows 10 lub Server 2016 pod kątem protokołu IKEv2:

Zainstaluj aktualizację na podstawie wersji systemu operacyjnego:

Wersja systemu operacyjnego	Data	Numer/link
Windows Server 2016 Windows 10 w wersji 1607	17 stycznia 2018 r.	KB4057142
Windows 10 w wersji 1703	17 stycznia 2018 r.	KB4057144
Windows 10 w wersji 1709	22 marca 2018 r.	KB4089848

Ustaw wartość klucza rejestru. Utwórz lub ustaw klucz rejestru REG_DWORD „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload”na wartość 1.

Jaki jest limit selektora ruchu IKEv2 dla połączeń punkt-lokacja?

System Windows 10 w wersji 2004 (wydany we wrześniu 2021 r.) zwiększył limit selektora ruchu do 255. Wersje systemu Windows starsze niż limit selektora ruchu wynosi 25.

Limit selektorów ruchu w systemie Windows określa maksymalną liczbę przestrzeni adresowych w sieci wirtualnej oraz maksymalną sumę sieci lokalnych, połączeń między sieciami wirtualnymi i równorzędnymi sieciami wirtualnymi połączonymi z bramą. Klienci punkt-lokacja systemu Windows nie będą mogli nawiązać połączenia za pośrednictwem protokołu IKEv2, jeśli przekroczą ten limit.

Co się stanie po jednoczesnym skonfigurowaniu protokołów SSTP i IKEv2 dla połączeń sieci VPN P2S?

Podczas konfigurowania protokołu SSTP i IKEv2 w środowisku mieszanym (składającym się z urządzeń z systemami Windows i Mac) klient sieci VPN systemu Windows zawsze spróbuje najpierw tunel IKEv2, ale wróci do protokołu SSTP, jeśli połączenie IKEv2 nie powiedzie się. Klienci z systemem MacOSX będą łączyć się tylko za pomocą protokołu IKEv2.

W przypadku włączenia zarówno protokołu SSTP, jak i IKEv2 w bramie pula adresów punkt-lokacja zostanie statycznie podzielona między te dwa, więc klienci używający różnych protokołów będą przypisywani adresy IP z dowolnego podzakresu. Należy pamiętać, że maksymalna liczba klientów SSTP jest zawsze 128, nawet jeśli zakres adresów jest większy niż /24, co powoduje większą liczbę adresów dostępnych dla klientów IKEv2. W przypadku mniejszych zakresów pula będzie równie o połowę zmniejszona. Selektory ruchu używane przez bramę mogą nie zawierać trasy CIDR zakresu adresów punkt-lokacja, ale dwóch reguł CIDR zakresu podrzędnego.

Jakie platformy, oprócz systemów Windows i Mac, platforma Azure obsługuje dla sieci VPN P2S?

pomoc techniczna platformy Azure systemu Windows, Mac i Linux dla sieci VPN P2S.

Mam już wdrożoną usługę Azure VPN Gateway. Czy mogę w niej włączyć sieć VPN z protokołem RADIUS i/lub IKEv2?

Tak, jeśli używana jednostka SKU bramy obsługuje protokół RADIUS i/lub IKEv2, możesz włączyć te funkcje w bramach, które zostały już wdrożone przy użyciu programu PowerShell lub witryny Azure Portal. Podstawowa jednostka SKU nie obsługuje protokołu RADIUS ani IKEv2.

Jak mogę usunąć konfigurację połączenia P2S?

Konfigurację P2S można usunąć przy użyciu następujących poleceń interfejsu wiersza polecenia platformy Azure i programu PowerShell:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Interfejs wiersza polecenia platformy Azure

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Co zrobić, jeśli otrzymuję niezgodność certyfikatu podczas nawiązywania połączenia przy użyciu uwierzytelniania certyfikatu?

Usuń zaznaczenie pola wyboru "Zweryfikuj tożsamość serwera, weryfikując certyfikat", lub dodaj nazwę FQDN serwera wraz z certyfikatem podczas ręcznego tworzenia profilu. Możesz to zrobić, uruchamiając rasphone z wiersza polecenia i wybierając profil z listy rozwijanej.

Pomijanie weryfikacji tożsamości serwera nie jest ogólnie zalecane, ale w przypadku uwierzytelniania certyfikatu platformy Azure ten sam certyfikat jest używany do walidacji serwera w protokole tunelowania sieci VPN (IKEv2/SSTP) i protokołu EAP. Ponieważ certyfikat serwera i nazwa FQDN są już weryfikowane przez protokół tunelowania sieci VPN, jest ono nadmiarowe, aby zweryfikować to samo ponownie w protokole EAP.

Uwierzytelnianie typu punkt-lokacja

Czy mogę użyć własnego wewnętrznego głównego urzędu certyfikacji PKI do generowania certyfikatów dla łączności punkt-lokacja?

Tak. Wcześniej można było używać tylko certyfikatów głównych z podpisem własnym. Nadal można przesłać 20 certyfikatów głównych.

Czy mogę używać certyfikatów z usługi Azure Key Vault?

L.p.

Jakie narzędzia umożliwiają tworzenie certyfikatów?

Możesz użyć rozwiązania infrastruktury kluczy publicznych przedsiębiorstwa (wewnętrznej infrastruktury kluczy publicznych), programu Azure PowerShell, narzędzia MakeCert lub protokołu OpenSSL.

Czy są dostępne instrukcje dotyczące ustawień i parametrów certyfikatów?

Wewnętrzne rozwiązanie infrastruktury kluczy publicznych/rozwiązanie infrastruktury kluczy publicznych w przedsiębiorstwie: zobacz procedurę generowania certyfikatów.
Azure PowerShell: procedurę można znaleźć w artykule dotyczącym programu Azure PowerShell.
MakeCert: procedurę można znaleźć w artykule dotyczącym narzędzia MakeCert.
OpenSSL:
- W przypadku eksportowania certyfikatów należy przekonwertować certyfikat główny na format Base64.
- Certyfikat klienta:
  - W przypadku tworzenia klucza prywatnego należy określić długość równą 4096.
  - W przypadku tworzenia certyfikatu dla parametru -extensions należy określić wartość usr_cert.

Punkt-lokacja — uwierzytelnianie usługi RADIUS

Ta sekcja dotyczy modelu wdrażania przy użyciu usługi Resource Manager.

Ile punktów końcowych klienta sieci VPN można mieć w konfiguracji punkt-lokacja?

To zależy od jednostki SKU bramy. Aby uzyskać więcej informacji o liczbie obsługiwanych połączeń, zobacz Jednostki SKU bramy.

Jakich systemów operacyjnych klienta można używać z punkt-lokacja?

Obsługiwane są następujące systemy operacyjne klientów:

Windows Server 2008 R2 (tylko 64-bitowy)
Windows 8.1 (32-bitowy i 64-bitowy)
Windows Server 2012 (tylko 64-bitowy)
Windows Server 2012 R2 (tylko 64-bitowy)
Windows Server 2016 (tylko 64-bitowy)
Windows Server 2019 (tylko 64-bitowy)
Windows Server 2022 (tylko 64-bitowy)
Windows 10
Windows 11
System macOS w wersji 10.11 lub nowszej
Linux (StrongSwan)
iOS

Czy można przechodzić przez serwery proxy i zapory przy użyciu funkcji punkt-lokacja?

Platforma Azure obsługuje trzy typy połączeń punkt-lokacja w sieci VPN:

Protokół Secure Socket Tunneling Protocol (SSTP). Protokół SSTP jest własnym rozwiązaniem firmy Microsoft bazującym na protokole SSL. Może przechodzić przez zapory, ponieważ większość zapór otwiera wychodzący port TCP 443, z którego korzysta protokół SSL.
OpenVPN. OpenVPN to rozwiązanie bazujące na protokole SSL. Może przechodzić przez zapory, ponieważ większość zapór otwiera port TCP 443, z którego korzysta protokół SSL.
Sieć VPN z protokołem IKEv2. Sieć VPN IKEv2 to oparte na standardach rozwiązanie sieci VPN IPsec, które używa wychodzących portów UDP 500 i 4500 i protokołu IP nr 50. Zapory nie zawsze otwierają te porty, więc istnieje możliwość, że sieć VPN IKEv2 nie może przejść przez serwery proxy i zapory.

Jeśli ponownie uruchomię komputer kliencki skonfigurowany dla połączenia typu punkt-lokacja, czy sieć VPN zostanie automatycznie ponownie nawiązana?

Czy punkt-lokacja obsługuje sieci DDNS na klientach sieci VPN?

Sieci DDNS nie są obecnie obsługiwane w sieci VPN typu punkt-lokacja.

Czy można mieć współistnienie konfiguracji lokacja-lokacja i punkt-lokacja dla tej samej sieci wirtualnej?

Czy można skonfigurować klienta typu punkt-lokacja w celu nawiązania połączenia z wieloma bramami sieci wirtualnej w tym samym czasie?

Czy można skonfigurować klienta typu punkt-lokacja w celu nawiązania połączenia z wieloma sieciami wirtualnymi w tym samym czasie?

Ile przepływności można oczekiwać za pośrednictwem połączeń typu lokacja-lokacja lub połączenia typu punkt-lokacja?

Czy mogę użyć dowolnego oprogramowania klienta sieci VPN dla typu punkt-lokacja, który obsługuje protokół SSTP i/lub IKEv2?

Czy mogę zmienić typ uwierzytelniania połączenia typu punkt-lokacja?

Czy platforma Azure obsługuje sieć VPN z protokołem IKEv2 w systemie Windows?

Uwaga

System operacyjny Windows tworzy nowsze wersje niż Windows 10 w wersji 1709 i Windows Server 2016 w wersji 1607 nie wymagają tych kroków.

Aby przygotowywać system Windows 10 lub Server 2016 pod kątem protokołu IKEv2:

Zainstaluj aktualizację na podstawie wersji systemu operacyjnego:

Wersja systemu operacyjnego	Data	Numer/link
Windows Server 2016 Windows 10 w wersji 1607	17 stycznia 2018 r.	KB4057142
Windows 10 w wersji 1703	17 stycznia 2018 r.	KB4057144
Windows 10 w wersji 1709	22 marca 2018 r.	KB4089848

Ustaw wartość klucza rejestru. Utwórz lub ustaw klucz rejestru REG_DWORD „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload”na wartość 1.

Jaki jest limit selektora ruchu IKEv2 dla połączeń punkt-lokacja?

System Windows 10 w wersji 2004 (wydany we wrześniu 2021 r.) zwiększył limit selektora ruchu do 255. Wersje systemu Windows starsze niż limit selektora ruchu wynosi 25.

Co się stanie po jednoczesnym skonfigurowaniu protokołów SSTP i IKEv2 dla połączeń sieci VPN P2S?

Jakie platformy, oprócz systemów Windows i Mac, platforma Azure obsługuje dla sieci VPN P2S?

pomoc techniczna platformy Azure systemu Windows, Mac i Linux dla sieci VPN P2S.

Mam już wdrożoną usługę Azure VPN Gateway. Czy mogę w niej włączyć sieć VPN z protokołem RADIUS i/lub IKEv2?

Jak mogę usunąć konfigurację połączenia P2S?

Konfigurację P2S można usunąć przy użyciu następujących poleceń interfejsu wiersza polecenia platformy Azure i programu PowerShell:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Interfejs wiersza polecenia platformy Azure

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Czy uwierzytelnianie za pomocą protokołu RADIUS jest obsługiwane na wszystkich jednostkach SKU bramy Azure VPN Gateway?

Uwierzytelnianie usługi RADIUS jest obsługiwane dla wszystkich jednostek SKU z wyjątkiem jednostki SKU w warstwie Podstawowa.

W przypadku starszych jednostek SKU uwierzytelnianie usługi RADIUS jest obsługiwane w jednostkach SKU o standardowej i wysokiej wydajności. Nie jest obsługiwana w jednostce SKU bramy podstawowej.

Czy uwierzytelnianie za pomocą protokołu RADIUS jest obsługiwane dla klasycznego modelu wdrażania ?

L.p. Uwierzytelnianie usługi RADIUS nie jest obsługiwane w przypadku klasycznego modelu wdrażania.

Jaki jest limit czasu dla żądań usługi RADIUS wysyłanych do serwera RADIUS?

Żądania usługi RADIUS są ustawiane na limit czasu po 30 sekundach. Wartości limitu czasu zdefiniowane przez użytkownika nie są obecnie obsługiwane.

Czy są obsługiwane serwery RADIUS innych firm?

Tak, serwery RADIUS innych firm są obsługiwane.

Jakie wymagania w zakresie łączności należy spełnić, aby mieć pewność, że brama platformy Azure może komunikować się z lokalnym serwerem RADIUS?

Wymagane jest połączenie sieci VPN typu lokacja-lokacja z lokacją lokalną z skonfigurowanymi odpowiednimi trasami.

Czy ruch sieciowy do lokalnego serwera RADIUS (z bramy Azure VPN Gateway) może być kierowany przez połączenie usługi ExpressRoute?

L.p. Można ją kierować tylko za pośrednictwem połączenia lokacja-lokacja.

Czy liczba połączeń SSTP obsługiwanych z użyciem uwierzytelniania za pomocą protokołu RADIUS uległa zmianie? Jaka jest maksymalna liczba obsługiwanych połączeń SSTP i IKEv2?

Nie ma żadnych zmian w maksymalnej liczbie połączeń SSTP obsługiwanych w bramie z uwierzytelnianiem usługi RADIUS. Pozostaje 128 dla protokołu SSTP, ale zależy od jednostki SKU bramy dla protokołu IKEv2. Aby uzyskać więcej informacji o liczbie obsługiwanych połączeń, zobacz Jednostki SKU bramy.

Jaka jest różnica między uwierzytelnianiem certyfikatu przy użyciu serwera RADIUS a użyciem uwierzytelniania certyfikatu natywnego platformy Azure (przez przekazanie zaufanego certyfikatu na platformę Azure)?

W przypadku uwierzytelniania certyfikatu za pomocą protokołu RADIUS żądanie uwierzytelnienia jest przekazywane do serwera RADIUS, który obsługuje faktyczną weryfikację certyfikatu. Ta opcja jest przydatna, gdy chce się przeprowadzić integrację za pośrednictwem protokołu RADIUS z już posiadaną infrastrukturą uwierzytelniania certyfikatów.

Gdy do uwierzytelniania certyfikatów używana jest platforma Azure, weryfikację certyfikatu przeprowadza brama Azure VPN Gateway. Swój klucz publiczny certyfikatu trzeba przekazać do bramy. Można również określić listy odwołanych certyfikatów, dla których nie powinno być zgody na nawiązywanie połączenia.

Czy uwierzytelnianie za pomocą protokołu RADIUS działa z sieciami VPN z protokołem IKEv2 i SSTP?

Tak, uwierzytelnianie za pomocą protokołu RADIUS jest obsługiwane dla sieci z protokołem IKEv2 i protokołem SSTP.

Czy uwierzytelnianie usługi RADIUS działa z klientem OpenVPN?

Uwierzytelnianie usługi RADIUS jest obsługiwane w przypadku protokołu OpenVPN.

Połączenia między sieciami wirtualnymi i połączenia obejmujące wiele lokacji

Często zadawane pytania dotyczące sieci wirtualnej dotyczą połączeń bramy sieci VPN. Aby uzyskać informacje na temat komunikacji równorzędnej sieci wirtualnych, zobacz Komunikacja równorzędna sieci wirtualnych.

Czy w ramach platformy Azure są naliczane opłaty za ruch danych między sieciami wirtualnymi?

Ruch między sieciami wirtualnymi w tym samym regionie jest bezpłatny w obu kierunkach podczas korzystania z połączenia bramy sieci VPN. Opłaty za ruch wychodzący między sieciami wirtualnymi między regionami są naliczane opłaty za transfer danych wychodzących między sieciami wirtualnymi na podstawie regionów źródłowych. Aby uzyskać więcej informacji, zobacz stronę cennika usługi VPN Gateway. Jeśli łączysz sieci wirtualne przy użyciu komunikacji równorzędnej sieci wirtualnych zamiast bramy sieci VPN, zobacz Cennik sieci wirtualnej.

Czy ruch sieciowy między sieciami wirtualnymi jest przesyłany przez Internet?

L.p. Ruch między sieciami wirtualnymi jest przesyłany przez sieć szkieletową platformy Microsoft Azure, a nie przez Internet.

Czy mogę ustanowić połączenie między sieciami wirtualnymi w dzierżawach firmy Microsoft Entra?

Tak, połączenia między sieciami wirtualnymi korzystające z bram sieci VPN platformy Azure działają w dzierżawach firmy Microsoft Entra.

Czy ruch sieciowy w ramach połączenia między sieciami wirtualnymi jest bezpieczny?

Tak, jest on chroniony przez szyfrowanie IPsec/IKE.

Czy do połączenia sieci wirtualnych jest potrzebne urządzenie sieci VPN?

L.p. Łączenie wielu sieci wirtualnych platformy Azure nie wymaga urządzenia sieci VPN, chyba że jest wymagana łączność między wieloma lokalizacjami.

Czy sieci wirtualne muszą znajdować się w tym samym regionie?

L.p. Sieci wirtualne mogą znajdować się w tym samym regionie lub w różnych regionach (lokalizacjach) świadczenia usługi Azure.

Jeśli sieci wirtualne nie są w tej samej subskrypcji, czy subskrypcje muszą być skojarzone z tą samą dzierżawą usługi Active Directory?

L.p.

Czy połączenia między sieciami wirtualnymi można używać do łączenia sieci wirtualnych między osobnymi wystąpieniami platformy Azure?

L.p. Połączenie między sieciami wirtualnymi obsługuje łączenie sieci wirtualnych w tym samym wystąpieniu platformy Azure. Na przykład nie można utworzyć połączenia między globalnymi wystąpieniami platformy Azure a wystąpieniami platformy Azure w języku chińskim/niemieckim/amerykańskim/rządowym USA. Rozważ użycie połączenia sieci VPN typu lokacja-lokacja w tych scenariuszach.

Czy połączenia między sieciami wirtualnymi można używać wraz z połączeniami obejmującymi wiele lokacji?

Tak. Połączenie sieci wirtualnej może być używane równocześnie z sieciami VPN obejmującymi wiele lokacji.

Z iloma lokacjami lokalnymi i sieciami wirtualnymi może połączyć się jedna sieć wirtualna?

Zobacz tabelę Wymagań bramy.

Czy za pomocą połączenia między sieciami wirtualnymi można łączyć się z maszynami wirtualnymi lub usługami w chmurze znajdującymi się poza siecią wirtualną?

L.p. Połączenie między sieciami wirtualnymi obsługuje sieci wirtualne. Nie obsługuje ona łączenia maszyn wirtualnych ani usług w chmurze, które nie znajdują się w sieci wirtualnej.

Czy usługa w chmurze lub punkt końcowy równoważenia obciążenia może obejmować sieci wirtualne?

L.p. Usługa w chmurze lub punkt końcowy równoważenia obciążenia nie może obejmować sieci wirtualnych, nawet jeśli są połączone ze sobą.

Czy można użyć typu sieci VPN PolicyBased dla połączeń między sieciami wirtualnymi lub wieloma lokacjami?

L.p. Połączenia między sieciami wirtualnymi i wieloma lokacjami wymagają bram sieci VPN platformy Azure z typami sieci VPN RouteBased (wcześniej nazywanymi routingiem dynamicznym).

Czy można połączyć sieć wirtualną VPN opartą na trasach z inną siecią wirtualną VPN opartą na zasadach?

Nie, obie sieci wirtualne MUSZĄ używać sieci VPN opartych na trasach (wcześniej nazywanych routingiem dynamicznym).

Tak. Wszystkie tunele VPN sieci wirtualnej współdzielą dostępną przepustowość bramy VPN Azure i są wspólnie objęte umową SLA dotyczącą danej bramy na platformie Azure.

Czy nadmiarowe tunele są obsługiwane?

Nadmiarowe tunele między dwiema sieciami wirtualnymi są obsługiwane, jeśli jedna brama sieci wirtualnej jest w konfiguracji aktywne-aktywne.

Czy w konfiguracjach połączeń między sieciami wirtualnymi mogą występować nakładające się przestrzenie adresowe?

L.p. Nakładające się przestrzenie adresowe nie są dopuszczalne.

Czy wśród połączonych sieci wirtualnych i lokacji lokalnych mogą występować nakładające się przestrzenie adresowe?

L.p. Nakładające się przestrzenie adresowe nie są dopuszczalne.

Jak mogę włączyć routing między połączeniem sieci VPN typu lokacja-lokacja i usługą ExpressRoute?

Jeśli chcesz włączyć routing między gałęzią połączoną z usługą ExpressRoute i gałęzią połączoną z połączeniem sieci VPN typu lokacja-lokacja, musisz skonfigurować usługę Azure Route Server.

Czy można używać bramy Azure VPN do przekazywania ruchu między lokacjami lokalnymi lub do innej sieci wirtualnej?

Model wdrażania usługi Resource Manager
Tak. Więcej informacji zawiera sekcja BGP.

Klasyczny model wdrażania
Przekazywanie ruchu za pośrednictwem bramy sieci VPN platformy Azure przy użyciu klasycznego modelu wdrażania jest możliwe, ale zależy od statycznie zdefiniowanych przestrzeni adresowych w pliku konfiguracyjnym sieci. Protokół BGP nie jest jeszcze obsługiwany w przypadku sieci wirtualnych platformy Azure i bram sieci VPN przy użyciu klasycznego modelu wdrażania. Niezastosowanie protokołu BGP powoduje bardzo wysokie ryzyko błędów ręcznego definiowania przestrzeni adresowych przesyłania i nie jest zalecane.

Czy platforma Azure generuje taki sam klucz wstępny protokołu IPsec/IKE dla wszystkich połączeń sieci VPN dla danej sieci wirtualnej?

Nie. Platforma Azure domyślnie generuje różne klucze wstępne dla różnych połączeń sieci VPN. Możesz jednak użyć interfejsu Set VPN Gateway Key API REST lub polecenia cmdlet programu PowerShell, aby ustawić preferowaną wartość klucza. Klucz MUSI zawierać tylko drukowalne znaki ASCII, z wyjątkiem spacji, łącznika (-) lub tyldy (~).

Czy mam większą przepustowość przy użyciu większej liczby sieci VPN typu lokacja-lokacja niż w przypadku pojedynczej sieci wirtualnej?

Nie, wszystkie tunele sieci VPN, w tym sieci VPN typu punkt-lokacja, współdzielą tę samą bramę sieci VPN platformy Azure i dostępną przepustowość.

Czy można skonfigurować wiele tuneli między siecią wirtualną i lokalną lokacją z użyciem sieci VPN obejmującej wiele lokacji?

Tak, ale należy skonfigurować protokół BGP w obu tunelach do tej samej lokalizacji.

Czy usługa Azure VPN Gateway honoruje wstępną ścieżkę AS, aby mieć wpływ na decyzje dotyczące routingu między wieloma połączeniami z lokacjami lokalnymi?

Tak, brama sieci VPN platformy Azure honoruje dołączanie ścieżki AS, aby ułatwić podejmowanie decyzji dotyczących routingu po włączeniu protokołu BGP. W obszarze wyboru ścieżki BGP preferowana jest krótsza ścieżka AS.

Czy mogę użyć właściwości RoutingWeight podczas tworzenia nowego połączenia vpn VirtualNetworkGateway?

Nie, takie ustawienie jest zarezerwowane dla połączeń bramy usługi ExpressRoute. Jeśli chcesz wpływać na decyzje dotyczące routingu między wieloma połączeniami, musisz użyć prependingu ścieżki AS.

Czy można używać sieci VPN typu punkt-lokacja z siecią wirtualną z wieloma tunelami sieci VPN?

Tak, sieci VPN typu punkt-lokacja (P2S) mogą być używane z bramami sieci VPN łączącymi się z wieloma lokacjami lokalnymi i innymi sieciami wirtualnymi.

Czy można połączyć sieć wirtualną z sieciami VPN wykorzystującymi protokół IPsec z obwodem ExpressRoute?

Tak, takie rozwiązanie jest obsługiwane. Aby uzyskać więcej informacji, zobacz Configure ExpressRoute and site-to-site VPN connections that coexist (Konfigurowanie współistniejących połączeń sieci VPN typu lokacja-lokacja).

Zasady protokołu IPsec/IKE

Czy niestandardowe zasady protokołu IPsec/IKE są obsługiwane na wszystkich jednostkach SKU bramy sieci VPN platformy Azure?

Niestandardowe zasady protokołu IPsec/IKE są obsługiwane we wszystkich jednostkach SKU platformy Azure z wyjątkiem podstawowej jednostki SKU.

Ile zasad można określić dla połączenia?

Można określić tylko jedną kombinację zasad dla danego połączenia.

Czy można określić dla połączenia zasady częściowe (np. tylko algorytmy IKE, ale nie IPsec)

Nie, należy określić wszystkie algorytmy i parametry zarówno dla protokołu IKE (tryb główny), jak i protokołu IPsec (tryb szybki). Specyfikacja zasad częściowych nie jest dozwolona.

Jakie algorytmy i siły klucza są obsługiwane w zasadach niestandardowych?

W poniższej tabeli wymieniono obsługiwane algorytmy kryptograficzne i mocne strony klucza, które można skonfigurować. Należy wybrać jedną opcję dla każdego pola.

IPsec/IKEv2	Opcje
Szyfrowanie IKEv2	GCMAES256, GCMAES128, AES256, AES192, AES128
Integralność IKEv2	SHA384, SHA256, SHA1, MD5
Grupa DH	DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
Szyfrowanie IPsec	GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Brak
Integralność IPsec	GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Grupa PFS	PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Brak
Okres istnienia skojarzeń zabezpieczeń QM	(Opcjonalnie: wartości domyślne są używane, jeśli nie zostaną określone) Sekundy (liczba całkowita; min. 300/wartość domyślna 27 000 sekund) KB (liczba całkowita; min. 1024/wartość domyślna to 102 400 000 KB)
Selektor ruchu	UsePolicyBasedTrafficSelectors ($True/$False; Opcjonalne**, domyślne $False, jeśli nie określono)
Limit czasu usługi DPD	Sekundy (liczba całkowita: minimalna 9/maksymalna. 3600; domyślna 45 sekund)

Konfiguracja lokalnego urządzenia sieci VPN musi być zgodna z następującymi algorytmami (lub je zawierać) oraz z następującymi parametrami określonymi w zasadach protokołu IPsec/IKE platformy Azure (lub je zawierać):
- Algorytm szyfrowania IKE (tryb główny/faza 1)
- Algorytm integralności IKE (tryb główny/faza 1)
- Grupa DH (tryb główny / faza 1)
- Algorytm szyfrowania IPsec (tryb szybki/faza 2)
- Algorytm integralności IPsec (tryb szybki/faza 2)
- Grupa PFS (tryb szybki/faza 2)
- Selektor ruchu (jeśli jest używana funkcja UsePolicyBasedTrafficSelectors)
- Okresy istnienia sa są tylko specyfikacjami lokalnymi i nie muszą być zgodne.
Jeśli GCMAES jest używany jako algorytm szyfrowania IPsec, musisz wybrać ten sam algorytm GCMAES i długość klucza dla integralności IPsec; na przykład użycie GCMAES128 dla obu.
W tabeli Algorytmy i klucze:
- IKE odpowiada trybowi głównemu lub fazie 1.
- Protokół IPsec odpowiada trybowi szybkiemu lub 2.
- Grupa DH określa grupę Diffie-Hellman używaną w trybie głównym lub 1.
- Grupa PFS określiła grupę Diffie-Hellman używaną w trybie szybkim lub 2.
Okres istnienia skojarzenia zabezpieczeń trybu głównego IKE jest stały na poziomie 28 800 sekund w bramach sieci VPN platformy Azure.
Parametr "UsePolicyBasedTrafficSelectors" jest opcjonalnym parametrem połączenia. Jeśli ustawisz opcję UsePolicyBasedTrafficSelectors na $True na połączeniu, skonfiguruje bramę sieci VPN platformy Azure w celu nawiązania połączenia z lokalną zaporą sieci VPN opartą na zasadach. Jeśli włączysz usługę PolicyBasedTrafficSelectors, musisz upewnić się, że urządzenie sieci VPN ma zgodne selektory ruchu zdefiniowane ze wszystkimi kombinacjami prefiksów sieci lokalnej (bramy sieci lokalnej) do/z prefiksów sieci wirtualnej platformy Azure, a nie z prefiksów sieci wirtualnej platformy Azure. Brama sieci VPN platformy Azure akceptuje dowolny selektor ruchu proponowany przez zdalną bramę sieci VPN niezależnie od tego, co zostało skonfigurowane w bramie sieci VPN platformy Azure.

Na przykład jeśli prefiksy sieci lokalnej to 10.1.0.0/16 i 10.2.0.0/16, a prefiksy sieci wirtualnej to 192.168.0.0/16 i 172.16.0.0/16, trzeba określić następujące selektory ruchu:
- 10.1.0.0/16 <=*> 192.168.0.0/16
- 10.1.0.0/16 <=*> 172.16.0.0/16
- 10.2.0.0/16 <=*> 192.168.0.0/16
- 10.2.0.0/16 <=*> 172.16.0.0/16
Aby uzyskać więcej informacji na temat selektorów ruchu opartych na zasadach, zobacz Połączenie wielu lokalnych urządzeń sieci VPN opartych na zasadach.
Limit czasu usługi DPD — wartość domyślna to 45 sekund w bramach sieci VPN platformy Azure. Ustawienie limitu czasu na krótsze okresy spowoduje, że funkcja IKE zmieni klucz bardziej agresywnie, co powoduje, że połączenie wydaje się być rozłączone w niektórych przypadkach. Może to nie być pożądane, jeśli lokalizacje lokalne są dalej od regionu świadczenia usługi Azure, w którym znajduje się brama sieci VPN, lub stan połączenia fizycznego może spowodować utratę pakietów. Ogólne zalecenie polega na ustawieniu limitu czasu z zakresu od 30 do 45 sekund.

Aby uzyskać więcej informacji, zobacz Connect multiple on-premises policy-based VPN devices (Łączenie wielu lokalnych urządzeń sieci VPN opartych na zasadach).

Które grupy Diffie'ego-Hellmana są obsługiwane?

W poniższej tabeli wymieniono odpowiednie grupy Diffie-Hellman obsługiwane przez zasady niestandardowe:

Grupa Diffie’ego-Hellmana	DHGroup	PFSGroup	Długość klucza
1	DHGroup1	PFS1	MODP, 768-bitowy
2	DHGroup2	PFS2	MODP, 1024-bitowy
14	DHGroup14 DHGroup2048	PFS2048	MODP, 2048-bitowy
19	ECP256	ECP256	ECP, 256-bitowy
20	ECP384	ECP384	ECP, 384-bitowy
24	DHGroup24	PFS24	MODP, 2048-bitowy

Więcej informacji można znaleźć w artykułach RFC3526 i RFC5114.

Czy zasady niestandardowe zastępują domyślne zestawy zasad protokołu IPsec/IKE dla bram sieci VPN platformy Azure?

Tak, po określeniu zasad niestandardowych dla połączenia brama sieci VPN platformy Azure będzie korzystać tylko z zasad połączenia — zarówno jako inicjator IKE, jak i obiekt odpowiadający IKE.

Czy jeśli usunę niestandardowe zasady protokołu IPsec/IKE, połączenie stanie się niechronione?

Nie, połączenie będzie nadal chronione przez protokół IPsec/IKE. Po usunięciu zasad niestandardowych z połączenia brama Azure VPN Gateway jest przywracana do domyślnej listy propozycji protokołu IPsec/IKE i jest ponownie uruchomiane uzgadnianie IKE za pomocą lokalnego urządzenia sieci VPN.

Czy dodanie lub aktualizacja zasad protokołu IPsec/IKE zakłóci moje połączenie sieci VPN?

Tak, może to spowodować niewielkie zakłócenie (trwające kilka sekund), ponieważ brama Azure VPN Gateway usuwa istniejące połączenie i uruchamia ponownie uzgadnianie IKE, aby ponownie ustanowić tunel IPsec za pomocą nowych algorytmów kryptograficznych i parametrów. Pamiętaj, aby również skonfigurować swoje lokalne urządzenie sieci VPN za pomocą pasujących algorytmów i sił klucza, aby zminimalizować zakłócenie.

Czy można użyć różnych zasad dla różnych połączeń?

Tak. Dla poszczególnych połączeń są stosowane zasady niestandardowe. Można utworzyć i zastosować różne zasady protokołu IPsec/IKE dla różnych połączeń. Można również zastosować zasady niestandardowe dla podzestawu połączeń. Pozostałe połączenia korzystają z domyślnych zestawów zasad protokołu IPsec/IKE platformy Azure.

Czy można używać zasad niestandardowych również dla połączenia między sieciami wirtualnymi?

Tak, można stosować zasady niestandardowe zarówno dla połączeń obejmujących wiele lokalizacji protokołu IPsec, jak i połączeń między sieciami wirtualnymi.

Czy trzeba określić te same zasady dla obu zasobów połączenia między sieciami wirtualnymi?

Tak. Tunel połączenia między sieciami wirtualnymi zawiera dwa zasoby połączenia na platformie Azure, po jednym dla każdego kierunku. Upewnij się, że oba zasoby połączenia mają te same zasady. W przeciwnym razie połączenie między sieciami wirtualnymi nie zostanie ustanowione.

Jaka jest domyślna wartość limitu czasu usługi DPD? Czy mogę określić inny limit czasu usługi DPD?

Domyślny limit czasu dpd wynosi 45 sekund. Dla każdego połączenia IPsec lub VNet-to-VNet można określić inną wartość limitu czasu dpD z zakresu od 9 sekund do 3600 sekund.

Uwaga

Wartość domyślna to 45 sekund w bramach sieci VPN platformy Azure. Ustawienie limitu czasu na krótsze okresy spowoduje, że funkcja IKE zmieni klucz bardziej agresywnie, co powoduje, że połączenie wydaje się być rozłączone w niektórych przypadkach. Może to nie być pożądane, jeśli lokalizacje lokalne są dalej od regionu świadczenia usługi Azure, w którym znajduje się brama sieci VPN, lub gdy stan połączenia fizycznego może spowodować utratę pakietów. Ogólną rekomendacją jest ustawienie limitu czasu z zakresu od 30 do 45 sekund.

Czy niestandardowe zasady protokołu IPsec/IKE działają dla połączenia ExpressRoute?

L.p. Zasady protokołu IPsec/IKE działają tylko dla połączeń sieci VPN S2S i połączeń między sieciami wirtualnymi za pośrednictwem bram sieci VPN platformy Azure.

Jak mogę utworzyć połączenia z typem protokołu IKEv1 lub IKEv2?

Połączenia IKEv1 można utworzyć na wszystkich jednostkach SKU typu sieci VPN typu RouteBased, z wyjątkiem jednostek SKU w warstwie Podstawowa, Jednostka SKU w warstwie Standardowa i innych starszych jednostek SKU. Podczas tworzenia połączeń można określić typ protokołu połączenia IKEv1 lub IKEv2. Jeśli nie określisz typu protokołu połączenia, protokół IKEv2 jest używany jako opcja domyślna, jeśli ma to zastosowanie. Aby uzyskać więcej informacji, zobacz dokumentację poleceń cmdlet programu PowerShell. Aby uzyskać informacje o typach jednostek SKU i obsłudze protokołu IKEv1/IKEv2, zobacz Połączenie bramy do urządzeń sieci VPN opartych na zasadach.

Czy tranzyt między połączeniami IKEv1 i IKEv2 jest dozwolony?

Tak. Tranzyt między połączeniami IKEv1 i IKEv2 jest obsługiwany.

Czy mogę mieć połączenia typu lokacja-lokacja protokołu IKEv1 w podstawowych jednostkach SKU sieci VPN typu RouteBased?

L.p. Podstawowa jednostka SKU nie obsługuje tego.

Czy mogę zmienić typ protokołu połączenia po utworzeniu połączenia (IKEv1 na IKEv2 i odwrotnie)?

L.p. Po utworzeniu połączenia nie można zmienić protokołów IKEv1/IKEv2. Musisz usunąć i ponownie utworzyć nowe połączenie z żądanym typem protokołu.

Dlaczego moje połączenie IKEv1 jest często ponownie połączone?

Jeśli połączenie IKEv1 oparte na routingu statycznym lub trasie jest rozłączane w rutynowych odstępach czasu, prawdopodobnie jest to spowodowane tym, że bramy sieci VPN nie obsługują kluczy w miejscu. Gdy tryb główny jest zmieniany, tunele IKEv1 rozłączą się i potrwają do 5 sekund, aby ponownie nawiązać połączenie. Wartość limitu czasu negocjacji trybu głównego określa częstotliwość ponownego tworzenia kluczy. Aby zapobiec ponownym połączeniom, możesz przełączyć się na użycie protokołu IKEv2, który obsługuje w miejscu ponowne klucza.

Jeśli połączenie jest ponownie połączone w losowych godzinach, postępuj zgodnie z naszym przewodnikiem rozwiązywania problemów.

Gdzie można znaleźć informacje o konfiguracji i kroki?

Aby uzyskać więcej informacji i kroków konfiguracji, zobacz następujące artykuły.

Protokół BGP i routing

Czy protokół BGP jest obsługiwany na wszystkich jednostkach SKU bramy sieci VPN platformy Azure?

Protokół BGP jest obsługiwany we wszystkich jednostkach SKU usługi Azure VPN Gateway z wyjątkiem podstawowej jednostki SKU.

Czy mogę używać protokołu BGP z bramami sieci VPN usługi Azure Policy?

Nie, protokół BGP jest obsługiwany tylko w bramach sieci VPN opartych na trasach.

Jakich numerów ASN (numerów systemu autonomicznego) można używać?

Możesz użyć własnych publicznych lub prywatnych numerów ASN dla sieci lokalnych i sieci wirtualnych platformy Azure. Nie można używać zakresów zarezerwowanych przez platformę Azure lub IANA.

Następujące sieci ASN są zarezerwowane przez platformę Azure lub IANA:

Numery ASN zarezerwowane przez platformę Azure:
- Publiczne numery ASN: 8074, 8075, 12076
- Prywatne numery ASN: 65515, 65517, 65518, 65519, 65520
Sieci ASN zarezerwowane przez IANA:
- 23456, 64496-64511, 65535–65551 i 429496729

Nie można określić tych numerów ASN dla lokalnych urządzeń sieci VPN podczas nawiązywania połączenia z bramami sieci VPN platformy Azure.

Czy mogę używać 32-bitowych (4-bajtowych) nazw ASN?

Tak, usługa VPN Gateway obsługuje teraz 32-bitowe sieci ASN (4-bajtowe). Aby skonfigurować przy użyciu usługi ASN w formacie dziesiętowym, użyj programu PowerShell, interfejsu wiersza polecenia platformy Azure lub zestawu Azure SDK.

Jakich prywatnych numerów ASN mogę używać?

Zakresy możliwych do użycia prywatnych numerów ASN to:

64512-65514 i 65521-65534

Te sieci ASN nie są zarezerwowane przez usługę IANA ani platformę Azure do użycia i dlatego mogą służyć do przypisywania do bramy sieci VPN platformy Azure.

Jakiego adresu używa usługa VPN Gateway dla adresu IP elementu równorzędnego protokołu BGP?

Domyślnie usługa VPN Gateway przydziela pojedynczy adres IP z zakresu bram podsieci dla bram sieci VPN typu aktywne-rezerwowe lub dwa adresy IP dla bram sieci VPN aktywne-aktywne. Te adresy są przydzielane automatycznie podczas tworzenia bramy sieci VPN. Rzeczywisty adres IP protokołu BGP można uzyskać przy użyciu programu PowerShell lub lokalizując go w witrynie Azure Portal. W programie PowerShell użyj polecenia Get-AzVirtualNetworkGateway i poszukaj właściwości bgpPeeringAddress . W witrynie Azure Portal na stronie Konfiguracja bramy sprawdź właściwość Configure BGP ASN (Konfigurowanie nazwy ASN protokołu BGP).

Jeśli lokalne routery sieci VPN używają adresów IP protokołu APIPA (169.254.x.x) jako adresów IP protokołu BGP, należy określić co najmniej jeden adres IP protokołu BGP usługi Azure APIPA w bramie sieci VPN platformy Azure. Usługa Azure VPN Gateway wybiera adresy APIPA do użycia z lokalnym elementem równorzędnym BGP apiPA określonym w bramie sieci lokalnej lub prywatnym adresem IP dla elementu równorzędnego BGP innego niż APIPA, lokalnego elementu równorzędnego protokołu BGP. Aby uzyskać więcej informacji, zobacz Konfigurowanie protokołu BGP.

Jakie są wymagania dotyczące adresów IP równorzędnych protokołu BGP na urządzeniu sieci VPN?

Lokalny adres równorzędny protokołu BGP nie może być taki sam jak publiczny adres IP urządzenia sieci VPN lub przestrzeń adresowa sieci wirtualnej bramy sieci VPN. Na urządzeniu sieci VPN należy użyć innego adresu IP dla adresu IP elementu równorzędnego protokołu BGP. Może to być adres przypisany do interfejsu sprzężenia zwrotnego na urządzeniu (zwykły adres IP lub adres APIPA). Jeśli urządzenie używa adresu APIPA dla protokołu BGP, należy określić co najmniej jeden adres IP protokołu BGP protokołu APIPA w bramie sieci VPN platformy Azure, zgodnie z opisem w temacie Konfigurowanie protokołu BGP. Określ te adresy w odpowiedniej bramie sieci lokalnej reprezentującej lokalizację.

Co należy określić jako prefiksy adresów dla bramy sieci lokalnej, gdy używam protokołu BGP?

Ważne

Jest to zmiana z wcześniej udokumentowanego wymagania. Jeśli używasz protokołu BGP dla połączenia, pozostaw pole Przestrzeń adresowa puste dla odpowiedniego zasobu bramy sieci lokalnej. Usługa Azure VPN Gateway dodaje trasę hosta wewnętrznie do lokalnego adresu IP elementu równorzędnego protokołu BGP za pośrednictwem tunelu IPsec. Nie dodawaj trasy /32 w polu Przestrzeń adresowa . Jest on nadmiarowy i jeśli używasz adresu APIPA jako lokalnego adresu IP protokołu BGP urządzenia sieci VPN, nie można go dodać do tego pola. Jeśli dodasz inne prefiksy w polu Przestrzeń adresowa, zostaną one dodane jako trasy statyczne w bramie sieci VPN platformy Azure, oprócz tras poznanych za pośrednictwem protokołu BGP.

Czy mogę użyć tej samej nazwy ASN zarówno dla lokalnych sieci VPN, jak i sieci wirtualnych platformy Azure?

Nie, należy przypisać różne sieci ASN między sieciami lokalnymi i sieciami wirtualnymi platformy Azure, jeśli łączysz je z użyciem protokołu BGP. Bramy sieci VPN platformy Azure mają przypisaną domyślną nazwę ASN 65515, niezależnie od tego, czy protokół BGP jest włączony, czy nie dla łączności między lokalizacjami. Tę wartość domyślną można zastąpić, przypisując inną nazwę ASN podczas tworzenia bramy sieci VPN lub możesz zmienić numer ASN po utworzeniu bramy. Musisz przypisać lokalne sieci ASN do odpowiednich bram sieci lokalnej platformy Azure.

Jakie prefiksy adresów będą anonsowane do użytkownika przez bramy sieci VPN platformy Azure?

Bramy anonsują następujące trasy do lokalnych urządzeń BGP:

Prefiksy adresów sieci wirtualnej.
Prefiksy adresów dla każdej bramy sieci lokalnej połączonej z bramą sieci VPN platformy Azure.
Trasy poznane na podstawie innych sesji komunikacji równorzędnej BGP połączonych z bramą sieci VPN platformy Azure, z wyjątkiem trasy domyślnej lub tras nakładających się na dowolny prefiks sieci wirtualnej.

Ile prefiksów można anonsować do usługi Azure VPN Gateway?

Usługa Azure VPN Gateway obsługuje maksymalnie 4000 prefiksów. Sesja protokołu BGP zostanie przerwana, jeśli liczba prefiksów przekroczy limit.

Czy można anonsować trasę domyślną (0.0.0.0/0) do bram sieci VPN platformy Azure?

Tak. Należy pamiętać, że wymusza to cały ruch wychodzący sieci wirtualnej do lokacji lokalnej. Uniemożliwia to również maszynom wirtualnym sieci wirtualnej akceptowanie publicznej komunikacji z Internetu bezpośrednio, takich jak protokół RDP lub SSH z Internetu do maszyn wirtualnych.

Czy mogę anonsować dokładne prefiksy jako prefiksy sieci wirtualnej?

Nie, reklamowanie tych samych prefiksów co jeden z prefiksów adresów sieci wirtualnej będzie blokowane lub filtrowane przez platformę Azure. Można jednak anonsować prefiks, który jest nadzbiorem tego, co znajduje się w sieci wirtualnej.

Jeśli na przykład sieć wirtualna użyła przestrzeni adresowej 10.0.0.0/16, możesz anonsować 10.0.0.0/8. Ale nie można anonsować 10.0.0.0/16 lub 10.0.0.0/24.

Czy mogę używać protokołu BGP z połączeniami między sieciami wirtualnymi?

Tak, można użyć protokołu BGP zarówno dla połączeń obejmujących wiele lokalizacji, jak i połączeń między sieciami wirtualnymi.

Czy można mieszać połączenia BGP z połączeniami protokołów innych niż BGP dla bram sieci VPN użytkownika platformy Azure?

Tak, dla tej samej bramy sieci VPN platformy Azure można łączyć zarówno połączenia protokołu BGP, jak i połączenia innych protokołów.

Czy usługa Azure VPN Gateway obsługuje routing tranzytowy protokołu BGP?

Tak, routing tranzytowy protokołu BGP jest obsługiwany, z wyjątkiem, że bramy sieci VPN platformy Azure nie anonsują domyślnych tras do innych elementów równorzędnych protokołu BGP. Aby włączyć routing tranzytowy w wielu bramach sieci VPN platformy Azure, należy włączyć protokół BGP na wszystkich połączeniach pośrednich między sieciami wirtualnymi. Aby uzyskać więcej informacji, zobacz About BGP (Informacje o protokołu BGP).

Czy mogę mieć więcej niż jeden tunel między bramą sieci VPN platformy Azure i siecią lokalną?

Tak, możesz ustanowić więcej niż jeden tunel vpn typu lokacja-lokacja (S2S) między bramą sieci VPN platformy Azure i siecią lokalną. Należy pamiętać, że wszystkie te tunele są liczone względem łącznej liczby tuneli dla bram sieci VPN platformy Azure i należy włączyć protokół BGP w obu tunelach.

Jeśli na przykład masz dwa nadmiarowe tunele między bramą sieci VPN platformy Azure i jedną z sieci lokalnych, zużywają one 2 tunele z całkowitego limitu przydziału bramy sieci VPN platformy Azure.

Czy mogę mieć wiele tuneli między dwiema sieciami wirtualnymi platformy Azure z protokołem BGP?

Tak, ale co najmniej jedna z bram sieci wirtualnej musi mieć konfigurację aktywne-aktywne.

Czy mogę używać protokołu BGP dla sieci VPN S2S w konfiguracji współistnienia między usługami Azure ExpressRoute i S2S sieci VPN?

Tak.

Co należy dodać do lokalnego urządzenia sieci VPN dla sesji połączenia równorzędnego protokołu BGP?

Dodaj trasę hosta adresu IP elementu równorzędnego BGP platformy Azure na urządzeniu sieci VPN. Ta trasa wskazuje tunel sieci VPN protokołu IPsec S2S. Jeśli na przykład adres IP elementu równorzędnego sieci VPN platformy Azure to 10.12.255.30, należy dodać trasę hosta dla adresu 10.12.255.30 z interfejsem następnego przeskoku pasującego interfejsu tunelu IPsec na urządzeniu sieci VPN.

Czy brama sieci wirtualnej obsługuje protokół BFD dla połączeń S2S z protokołem BGP?

L.p. Dwukierunkowe wykrywanie przekazywania (BFD) to protokół, którego można używać z protokołem BGP do szybszego wykrywania przestojów sąsiadów niż w przypadku standardowego protokołu BGP "keepalives". System BFD używa podsekundowych czasomierzy przeznaczonych do pracy w środowiskach SIECI LAN, ale nie w ramach publicznych połączeń internetowych lub sieci rozległej.

W przypadku połączeń przez publiczny Internet niektóre pakiety opóźnione lub nawet porzucone nie są niezwykłe, więc wprowadzenie tych agresywnych czasomierzy może zwiększyć niestabilność. Ta niestabilność może spowodować tłumienie tras przez protokół BGP. Alternatywnie możesz skonfigurować urządzenie lokalne przy użyciu czasomierzy niższych niż domyślny, 60-sekundowy interwał "keepalive" i czasomierz 180-sekundowy czasomierz wstrzymania. Skutkuje to szybszym czasem zbieżności. Jednak czasomierze poniżej domyślnego 60-sekundowego interwału "keepalive" lub poniżej domyślnego 180-sekundowego czasomierza wstrzymania nie są niezawodne. Zaleca się zachowanie czasomierzy z wartościami domyślnymi lub wyższymi.

Czy bramy sieci VPN platformy Azure inicjują sesje lub połączenia komunikacji równorzędnej BGP?

Brama inicjuje sesje komunikacji równorzędnej BGP z lokalnymi adresami IP równorzędnych protokołu BGP określonymi w zasobach bramy sieci lokalnej przy użyciu prywatnych adresów IP w bramach sieci VPN. Jest to niezależnie od tego, czy lokalne adresy IP protokołu BGP znajdują się w zakresie APIPA, czy zwykłymi prywatnymi adresami IP. Jeśli lokalne urządzenia sieci VPN używają adresów APIPA jako adresu IP protokołu BGP, należy skonfigurować głośnik BGP w celu zainicjowania połączeń.

Czy mogę skonfigurować wymuszone tunelowanie?

Tak. Zobacz artykuł Configure forced tunneling (Konfiguracja wymuszonego tunelowania).

NAT

Czy translator adresów sieciowych jest obsługiwany we wszystkich jednostkach SKU usługi Azure VPN Gateway?

Translator adresów sieciowych jest obsługiwany w sieci VpnGw2~5 i VpnGw2AZ~5AZ.

Czy można używać translatora adresów sieciowych w połączeniach typu sieć wirtualna-sieć wirtualna lub połączenia typu punkt-lokacja?

L.p.

Ile reguł translatora adresów sieciowych można używać w bramie sieci VPN?

W bramie sieci VPN można utworzyć maksymalnie 100 reguł NAT (reguły ruchu przychodzącego i ruchu wychodzącego).

Czy mogę użyć /w nazwie reguły translatora adresów sieciowych?

L.p. Zostanie wyświetlony błąd.

Czy translator adresów sieciowych jest stosowany do wszystkich połączeń w bramie sieci VPN?

Translator adresów sieciowych jest stosowany do połączeń z regułami translatora adresów sieciowych. Jeśli połączenie nie ma reguły translatora adresów sieciowych, translator adresów sieciowych nie będzie mieć wpływu na to połączenie. W tej samej bramie sieci VPN można mieć niektóre połączenia z translatorem adresów sieciowych i inne połączenia bez współpracy translatora adresów sieciowych.

Jakie typy translatora adresów sieciowych są obsługiwane w bramach sieci VPN platformy Azure?

Obsługiwane są tylko statyczne translatory adresów sieciowych 1:1 i dynamiczny translator adresów sieciowych. NAT64 nie jest obsługiwany.

Czy translator adresów sieciowych działa na bramach sieci VPN aktywne-aktywne?

Tak. Translator adresów sieciowych działa zarówno na bramach sieci VPN active-active-active-standby. Każda reguła translatora adresów sieciowych jest stosowana do pojedynczego wystąpienia bramy sieci VPN. W bramach active-active utwórz oddzielną regułę translatora adresów sieciowych dla każdego wystąpienia bramy za pomocą pola "Identyfikator konfiguracji adresu IP".

Czy translator adresów sieciowych działa z połączeniami BGP?

Tak, możesz użyć protokołu BGP z translatorem adresów sieciowych. Oto kilka ważnych zagadnień:

Wybierz pozycję Włącz translowanie tras protokołu BGP na stronie konfiguracji reguł NAT, aby upewnić się, że poznane trasy i anonsowane trasy są tłumaczone na prefiksy adresów post-NAT (mapowania zewnętrzne) na podstawie reguł NAT skojarzonych z połączeniami. Należy upewnić się, że lokalne routery protokołu BGP anonsują dokładne prefiksy zgodnie z definicją w regułach IngressSNAT.
Jeśli lokalny router sieci VPN używa zwykłego, innego niż ADRES APIPA i koliduje z przestrzenią adresową sieci wirtualnej lub innymi lokalnymi przestrzeniami sieciowymi, upewnij się, że reguła IngressSNAT przetłumaczy adres IP elementu równorzędnego protokołu BGP na unikatowy, nienakładony adres i umieści adres post-NAT w polu adres IP równorzędnego adresu IP protokołu BGP bramy sieci lokalnej.
Translator adresów sieciowych nie jest obsługiwany w przypadku adresów APIPA protokołu BGP.

Czy muszę utworzyć pasujące reguły DNAT dla reguły SNAT?

L.p. Pojedyncza reguła SNAT definiuje tłumaczenie dla obu kierunków określonej sieci:

Reguła IngressSNAT definiuje tłumaczenie źródłowych adresów IP przychodzących do bramy sieci VPN platformy Azure z sieci lokalnej. Obsługuje również tłumaczenie docelowych adresów IP wychodzących z sieci wirtualnej do tej samej sieci lokalnej.
Reguła EgressSNAT definiuje tłumaczenie źródłowych adresów IP sieci wirtualnej, pozostawiając bramę sieci VPN platformy Azure do sieci lokalnych. Obsługuje również tłumaczenie docelowych adresów IP dla pakietów przychodzących do sieci wirtualnej za pośrednictwem tych połączeń z regułą EgressSNAT.
W obu przypadkach nie są potrzebne żadne reguły DNAT .

Co zrobić, jeśli przestrzeń adresowa bramy sieci wirtualnej lub sieci lokalnej ma co najmniej dwa prefiksy? Czy mogę zastosować translator adresów sieciowych do wszystkich z nich? Czy tylko podzbiór?

Należy utworzyć jedną regułę translatora adresów sieciowych dla każdego prefiksu translatora adresów sieciowych, ponieważ każda reguła NAT może zawierać tylko jeden prefiks adresu dla translatora adresów sieciowych. Jeśli na przykład przestrzeń adresowa bramy sieci lokalnej składa się z 10.0.1.0/24 i 10.0.2.0/25, możesz utworzyć dwie reguły, jak pokazano poniżej:

Reguła IngressSNAT 1: Mapa 10.0.1.0/24 do 100.0.1.0/24
Reguła IngressSNAT 2: Mapa 10.0.2.0/25 do 100.0.2.0/25

Dwie reguły muszą odpowiadać długości prefiksów odpowiednich prefiksów adresów. To samo dotyczy reguł EgressSNAT dla przestrzeni adresowej sieci wirtualnej.

Ważne

Jeśli połączysz tylko jedną regułę z powyższym połączeniem, druga przestrzeń adresowa NIE zostanie przetłumaczona.

Jakich zakresów adresów IP można używać do mapowania zewnętrznego?

Możesz użyć dowolnego odpowiedniego zakresu adresów IP dla mapowania zewnętrznego, w tym publicznych i prywatnych adresów IP.

Czy mogę użyć różnych reguł EgressSNAT, aby przetłumaczyć przestrzeń adresową sieci wirtualnej na różne prefiksy do różnych sieci lokalnych?

Tak, można utworzyć wiele reguł EgressSNAT dla tej samej przestrzeni adresowej sieci wirtualnej i zastosować reguły EgressSNAT do różnych połączeń.

Czy mogę użyć tej samej reguły IngressSNAT w różnych połączeniach?

Tak, jest to zwykle używane, gdy połączenia są dla tej samej sieci lokalnej w celu zapewnienia nadmiarowości. Nie można użyć tej samej reguły ruchu przychodzącego, jeśli połączenia dotyczą różnych sieci lokalnych.

Czy potrzebuję zarówno reguł ruchu przychodzącego, jak i wychodzącego w połączeniu nat?

Potrzebujesz zarówno reguł ruchu przychodzącego, jak i wychodzącego w tym samym połączeniu, gdy przestrzeń adresowa sieci lokalnej nakłada się na przestrzeń adresową sieci wirtualnej. Jeśli przestrzeń adresowa sieci wirtualnej jest unikatowa we wszystkich połączonych sieciach, nie potrzebujesz reguły EgressSNAT dla tych połączeń. Reguły ruchu przychodzącego umożliwiają uniknięcie nakładania się adresów między sieciami lokalnymi.

Co mogę wybrać jako "identyfikator konfiguracji adresu IP"?

"Identyfikator konfiguracji adresu IP" to po prostu nazwa obiektu konfiguracji adresu IP, który ma być używany przez regułę translatora adresów sieciowych. W przypadku tego ustawienia wystarczy wybrać publiczny adres IP bramy, który ma zastosowanie do reguły translatora adresów sieciowych. Jeśli w czasie tworzenia bramy nie określono żadnej niestandardowej nazwy, podstawowy adres IP bramy zostanie przypisany do konfiguracji IP "default", a pomocniczy adres IP zostanie przypisany do konfiguracji IP "activeActive".

Połączenia obejmujące wiele lokalizacji a maszyny wirtualne

W jaki sposób należy połączyć się z maszyną wirtualną w przypadku, gdy należy ona do sieci wirtualnej, a dysponuję połączeniem obejmującym wiele lokalizacji?

Jest kilka możliwości. Jeśli masz włączony protokół RDP dla swojej maszyny wirtualnej, możesz się z nią łączyć, korzystając z prywatnego adresu IP. W takim przypadku należy określić prywatny adres IP i numer portu, z którym ma zostać nawiązane połączenie (zwykle 3389). Należy skonfigurować port maszyny wirtualnej pod kątem ruchu danych.

Z maszyną wirtualną można także nawiązać połączenie z poziomu innej maszyny wirtualnej, która znajduje się w tej samej sieci wirtualnej, korzystając z prywatnego adresu IP. Nie można nawiązać połączenia RDP z maszyną wirtualną przy użyciu prywatnego adresu IP, jeśli łączysz się z lokalizacji spoza sieci wirtualnej. Jeśli na przykład masz skonfigurowaną sieć wirtualną typu punkt-lokacja i nie nawiązujesz połączenia z komputera, nie możesz nawiązać połączenia z maszyną wirtualną za pomocą prywatnego adresu IP.

Czy jeśli maszyna wirtualna należy do sieci wirtualnej z funkcją łączności obejmującą wiele lokalizacji, to cały ruch z niej będzie przekazywany za pośrednictwem tego połączenia?

L.p. Przez bramę sieci wirtualnej przechodzi tylko ruch, którego docelowy adres IP należy do określonych zakresów adresów IP sieci lokalnej w ramach sieci wirtualnej. Ruch, którego docelowy adres IP należy do sieci wirtualnej, pozostaje w obrębie sieci wirtualnej. Inny ruch jest wysyłany do sieci publicznej za pośrednictwem usługi równoważenia obciążenia lub, w przypadku użycia wymuszonego tunelowania, wysłany przez bramę sieci VPN platformy Azure.

Jak rozwiązywać problemy z połączeniem RDP z maszyną wirtualną

Jeśli masz problemy z nawiązaniem połączenia z maszyną wirtualną za pośrednictwem połączenia sieci VPN, sprawdź następujące elementy:

Sprawdź, czy połączenie sieci VPN zostało pomyślnie nawiązane.
Sprawdź, czy łączysz się z prywatnym adresem IP maszyny wirtualnej.
Jeśli możesz połączyć się z maszyną wirtualną za pomocą prywatnego adresu IP, ale nie za pomocą nazwy komputera, sprawdź, czy usługa DNS została prawidłowo skonfigurowana. Aby uzyskać więcej informacji na temat tego, jak działa rozpoznawanie nazw dla maszyn wirtualnych, zobacz Name Resolution for VMs (Rozpoznawanie nazw dla maszyn wirtualnych).

Jeśli łączysz się przy użyciu polecenia punkt-lokacja, sprawdź jeszcze te dodatkowe rzeczy:

Użyj polecenia "ipconfig", aby sprawdzić adres IPv4 przypisany do karty Ethernet na komputerze, z którego nawiązujesz połączenie. Jeśli adres IP znajduje się w zakresie adresów sieci wirtualnej, z którą nawiązujesz połączenie, lub w zakresie adresów puli VPNClientAddressPool, jest to nazywane nakładającą się przestrzenią adresową. Kiedy przestrzeń adresowa nakłada się w ten sposób, ruch sieciowy nie dociera do platformy Azure, tylko pozostaje w sieci lokalnej.
Sprawdź, czy pakiet konfiguracji klienta sieci VPN został wygenerowany po określeniu adresów IP serwera DNS dla sieci wirtualnej. Jeśli adresy IP serwera DNS zostały zaktualizowane, wygeneruj i zainstaluj nowy pakiet konfiguracji klienta sieci VPN.

Aby uzyskać więcej informacji na temat rozwiązywania problemów z połączeniem pulpitu zdalnego, zobacz Rozwiązywanie problemów z połączeniami pulpitu zdalnego z maszyną wirtualną.

Konserwacja bramy kontrolowanej przez klienta

Które usługi znajdują się w zakresie konfiguracji konserwacji bram sieciowych?

Zakres bram sieciowych obejmuje zasoby bramy w usługach sieciowych. W zakresie bram sieciowych istnieją cztery typy zasobów:

Brama sieci wirtualnej w usłudze ExpressRoute.
Brama sieci wirtualnej w usłudze VPN Gateway.
Brama sieci VPN (lokacja-lokacja) w usłudze Virtual WAN.
Brama usługi ExpressRoute w usłudze Virtual WAN.

Która konserwacja jest obsługiwana lub nie jest obsługiwana przez konserwację kontrolowaną przez klienta?

Usługi platformy Azure przechodzą okresowe aktualizacje konserwacji w celu zwiększenia funkcjonalności, niezawodności, wydajności i zabezpieczeń. Po skonfigurowaniu okna obsługi zasobów w tym oknie są wykonywane konserwacje systemu operacyjnego gościa i usługi. Aktualizacje hosta, poza aktualizacjami hosta (TOR, Power itp.) i krytycznymi aktualizacjami zabezpieczeń, nie są objęte konserwacją kontrolowaną przez klienta.

Czy mogę uzyskać zaawansowane powiadomienie o konserwacji?

Obecnie nie można włączyć zaawansowanego powiadomienia na potrzeby konserwacji zasobów bramy sieci.

Czy mogę skonfigurować okno obsługi krótsze niż pięć godzin?

W tej chwili należy skonfigurować co najmniej pięć godzin okna w preferowanej strefie czasowej.

Czy mogę skonfigurować okno obsługi inne niż dzienny harmonogram?

W tej chwili należy skonfigurować codzienne okno obsługi.

Czy istnieją przypadki, w których nie mogę kontrolować niektórych aktualizacji?

Konserwacja kontrolowana przez klienta obsługuje aktualizacje systemu operacyjnego gościa i usługi. Te aktualizacje stanowią większość elementów konserwacji, które powodują obawy klientów. Niektóre inne typy aktualizacji, w tym aktualizacje hosta, wykraczają poza zakres konserwacji kontrolowanej przez klienta.

Ponadto jeśli występuje problem z zabezpieczeniami o wysokiej ważności, który może zagrozić naszym klientom, platforma Azure może wymagać zastąpienia kontroli klienta okna obsługi i wypchnięcia zmiany. Są to rzadkie wystąpienia, które byłyby używane tylko w skrajnych przypadkach.

Czy zasoby konfiguracji konserwacji muszą znajdować się w tym samym regionie co zasób bramy?

Tak

Które jednostki SKU bramy można skonfigurować do korzystania z konserwacji kontrolowanej przez klienta?

Wszystkie jednostki SKU bramy (z wyjątkiem podstawowej jednostki SKU dla bramy sieci VPN) można skonfigurować do korzystania z konserwacji kontrolowanej przez klienta.

Jak długo trwa, aby zasady konfiguracji konserwacji zaczęły obowiązywać po przypisaniu ich do zasobu bramy?

Wykonanie harmonogramu konserwacji przez bramy sieci może potrwać do 24 godzin po skojarzeniu zasad konserwacji z zasobem bramy.

Czy istnieją ograniczenia dotyczące korzystania z konserwacji kontrolowanej przez klienta na podstawie publicznego adresu IP jednostki SKU w warstwie Podstawowa?

Tak. Zasoby bramy korzystające z publicznego adresu IP jednostki SKU w warstwie Podstawowa będą mogły mieć aktualizacje usługi tylko zgodnie z harmonogramem konserwacji kontrolowanej przez klienta. W przypadku tych bram konserwacja systemu operacyjnego gościa nie jest przestrzegana zgodnie z harmonogramem konserwacji kontrolowanej przez klienta z powodu ograniczeń infrastruktury.

Jak planować okna obsługi podczas korzystania z sieci VPN i usługi ExpressRoute w scenariuszu współistnienia?

Podczas pracy z siecią VPN i usługą ExpressRoute w scenariuszu współistnienia lub gdy masz zasoby działające jako kopie zapasowe, zalecamy skonfigurowanie oddzielnych okien obsługi. Takie podejście zapewnia, że konserwacja nie ma wpływu na zasoby kopii zapasowej w tym samym czasie.

Zaplanowano okno obsługi dla przyszłej daty dla jednego z moich zasobów. Czy działania konserwacyjne zostaną wstrzymane w tym zasobie do tego czasu?

Nie, działania konserwacyjne nie zostaną wstrzymane w zasobie w okresie przed zaplanowanym oknem obsługi. W przypadku dni, które nie zostały uwzględnione w harmonogramie konserwacji, konserwacja jest kontynuowana jak zwykle w zasobie.

Jak mogę dowiedzieć się więcej na temat konserwacji bramy kontrolowanej przez klienta?

Aby uzyskać więcej informacji, zobacz artykuł Konserwacja bramy kontrolowanej przez klienta w usłudze VPN Gateway.

Następne kroki

Więcej informacji o usłudze VPN Gateway można znaleźć w artykule VPN Gateway — informacje.
Aby uzyskać więcej informacji o ustawieniach konfiguracji bramy VPN Gateway, zobacz temat About VPN Gateway configuration settings (Informacje o ustawieniach konfiguracji bramy VPN Gateway).

"OpenVPN" jest znakiem towarowym OpenVPN Inc.