Acerca do encaminhamento VPN de Ponto a Site
Este artigo ajuda-o a compreender o comportamento do encaminhamento de VPN Ponto a Site do Azure. O comportamento de encaminhamento de VPN P2S depende do SO cliente, do protocolo utilizado para a ligação VPN e da forma como as redes virtuais (VNets) estão ligadas entre si. Para obter mais informações sobre a VPN Ponto a Site, incluindo protocolos suportados, veja About Point-to-Site VPN (Acerca da VPN Ponto a Site).
Se fizer uma alteração à topologia da sua rede e tiver clientes VPN do Windows, o pacote de cliente VPN para clientes Windows tem de ser transferido e instalado novamente para que as alterações sejam aplicadas ao cliente.
Nota
Este artigo aplica-se apenas a IKEv2 e OpenVPN.
Acerca dos diagramas
Existem vários diagramas diferentes neste artigo. Cada secção mostra uma topologia ou configuração diferente. Para efeitos deste artigo, as ligações Site a Site (S2S) e VNet a VNet funcionam da mesma forma, tal como ambos são túneis IPsec. Todos os gateways de VPN neste artigo são baseados em rotas.
Uma VNet isolada
A ligação de gateway de VPN Ponto a Site neste exemplo destina-se a uma VNet que não está ligada ou em modo de peering com qualquer outra rede virtual (VNet1). Neste exemplo, os clientes podem aceder à VNet1.
Espaço de endereços
- VNet1: 10.1.0.0/16
Rotas adicionadas
Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24
Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 192.168.0.0/24
Access
Os clientes Windows podem aceder à VNet1
Os clientes não Windows podem aceder à VNet1
Várias VNets em modo de peering
Neste exemplo, a ligação do gateway de VPN Ponto a Site destina-se à VNet1. A VNet1 está em modo de peering com a VNet2. A VNet 2 está em modo de peering com a VNet3. A VNet1 está em modo de peering com a VNet4. Não existe um peering direto entre a VNet1 e a VNet3. A VNet1 tem "Permitir trânsito de gateway" e a VNet2 e a VNet4 têm "Utilizar gateways remotos" ativados.
Os clientes que utilizam o Windows podem aceder diretamente a VNets em modo de peering, mas o cliente VPN tem de ser transferido novamente se forem efetuadas alterações ao VNet Peering ou à topologia de rede. Os clientes não Windows podem aceder diretamente a VNets em modo de peering. O Acesso não é transitivo e está limitado apenas a VNets diretamente em modo de peering.
Espaço de endereços:
VNet1: 10.1.0.0/16
VNet2: 10.2.0.0/16
VNet3: 10.3.0.0/16
VNet4: 10.4.0.0/16
Rotas adicionadas
Rotas adicionadas aos clientes Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24
Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24
Access
Os clientes Windows podem aceder à VNet1, VNet2 e VNet4, mas o cliente VPN tem de ser transferido novamente para que quaisquer alterações de topologia entrem em vigor.
Os clientes não Windows podem aceder à VNet1, VNet2 e VNet4
Várias VNets ligadas com uma VPN S2S
Neste exemplo, a ligação do gateway de VPN Ponto a Site destina-se à VNet1. A VNet1 está ligada à VNet2 com uma ligação de Rede de VPNs. A VNet2 está ligada à VNet3 através de uma ligação de Rede de VPNs. Não existe um peering direto ou uma ligação de Rede de VPNs entre a VNet1 e a VNet3. Todas as ligações Site a Site não estão a executar o BGP para encaminhamento.
Os clientes que utilizam o Windows ou outro SO suportado só podem aceder à VNet1. Para aceder a VNets adicionais, tem de ser utilizado o BGP.
Espaço de endereços
VNet1: 10.1.0.0/16
VNet2: 10.2.0.0/16
VNet3: 10.3.0.0/16
Rotas adicionadas
Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24
Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24
Access
Os clientes Windows só podem aceder à VNet1
Os clientes não Windows só podem aceder à VNet1
Várias VNets ligadas com uma VPN S2S (BGP)
Neste exemplo, a ligação do gateway de VPN Ponto a Site destina-se à VNet1. A VNet1 está ligada à VNet2 com uma ligação de Rede de VPNs. A VNet2 está ligada à VNet3 através de uma ligação de Rede de VPNs. Não existe um peering direto ou uma ligação de Rede de VPNs entre a VNet1 e a VNet3. Todas as ligações Site a Site estão a executar o BGP para encaminhamento.
Os clientes que utilizam o Windows, ou outro SO suportado, podem aceder a todas as VNets ligadas através de uma ligação VPN Site a Site, mas as rotas para VNets ligadas têm de ser adicionadas manualmente aos clientes Windows.
Espaço de endereços
VNet1: 10.1.0.0/16
VNet2: 10.2.0.0/16
VNet3: 10.3.0.0/16
Rotas adicionadas
Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24
Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24
Access
Os clientes Windows podem aceder à VNet1, VNet2 e VNet3, mas as rotas para vNet2 e VNet3 terão de ser adicionadas manualmente.
Os clientes não Windows podem aceder à VNet1, VNet2 e VNet3
Uma VNet e uma sucursal
Neste exemplo, a ligação do gateway de VPN Ponto a Site destina-se à VNet1. A VNet1 não está ligada/em modo de peering com qualquer outra rede virtual, mas está ligada a um site no local através de uma ligação de Rede de VPNs que não está a executar o BGP.
Os clientes Windows e não Windows só podem aceder à VNet1.
Espaço de endereços
VNet1: 10.1.0.0/16
Site1: 10.101.0.0/16
Rotas adicionadas
Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24
Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 192.168.0.0/24
Access
Os clientes Windows só podem aceder à VNet1
Os clientes não Windows só podem aceder à VNet1
Uma VNet e uma sucursal (BGP)
Neste exemplo, a ligação do gateway de VPN Ponto a Site destina-se à VNet1. A VNet1 não está ligada ou em modo de peering com qualquer outra rede virtual, mas está ligada a um site no local (Site1) através de uma ligação de Rede de VPNs com o BGP.
Os clientes Windows podem aceder à VNet e à sucursal (Site1), mas as rotas para o Site1 têm de ser adicionadas manualmente ao cliente. Os clientes não Windows podem aceder à VNet e à sucursal no local.
Espaço de endereços
VNet1: 10.1.0.0/16
Site1: 10.101.0.0/16
Rotas adicionadas
Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24
Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24
Access
Os clientes Windows podem aceder à VNet1 e ao Site1, mas as rotas para o Site1 terão de ser adicionadas manualmente.
Os clientes não Windows podem aceder à VNet1 e ao Site1.
Várias VNets ligadas através do S2S e de uma sucursal
Neste exemplo, a ligação do gateway de VPN Ponto a Site destina-se à VNet1. A VNet1 está ligada à VNet2 com uma ligação de Rede de VPNs. A VNet2 está ligada à VNet3 através de uma ligação de Rede de VPNs. Não existe um peering direto ou um túnel de Rede de VPNs entre as redes VNet1 e VNet3. A VNet3 está ligada a uma sucursal (Site1) através de uma ligação de Rede de VPNs. Todas as ligações VPN não estão a executar o BGP.
Todos os clientes só podem aceder à VNet1.
Espaço de endereços
VNet1: 10.1.0.0/16
VNet2: 10.2.0.0/16
VNet3: 10.3.0.0/16
Site1: 10.101.0.0/16
Rotas adicionadas
Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24
Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24
Access
Os clientes Windows só podem aceder à VNet1
Os clientes não Windows só podem aceder à VNet1
Várias VNets ligadas através de S2S e de uma sucursal (BGP)
Neste exemplo, a ligação do gateway de VPN Ponto a Site destina-se à VNet1. A VNet1 está ligada à VNet2 com uma ligação de Rede de VPNs. A VNet2 está ligada à VNet3 através de uma ligação de Rede de VPNs. Não existe um peering direto ou um túnel de Rede de VPNs entre as redes VNet1 e VNet3. A VNet3 está ligada a uma sucursal (Site1) através de uma ligação de Rede de VPNs. Todas as ligações VPN estão a executar o BGP.
Os clientes que utilizam o Windows podem aceder a VNets e sites ligados através de uma ligação VPN Site a Site, mas as rotas para VNet2, VNet3 e Site1 têm de ser adicionadas manualmente ao cliente. Os clientes não Windows podem aceder a VNets e sites ligados através de uma ligação VPN Site a Site sem qualquer intervenção manual. O acesso é transitivo e os clientes podem aceder a recursos em todas as VNets e sites ligados (no local).
Espaço de endereços
VNet1: 10.1.0.0/16
VNet2: 10.2.0.0/16
VNet3: 10.3.0.0/16
Site1: 10.101.0.0/16
Rotas adicionadas
Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24
Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24
Access
Os clientes Windows podem aceder à VNet1, VNet2, VNet3 e Site1, mas as rotas para VNet2, VNet3 e Site1 têm de ser adicionadas manualmente ao cliente.
Os clientes não Windows podem aceder à VNet1, Vnet2, VNet3 e Site1.
Passos seguintes
Veja Criar uma VPN P2S com a portal do Azure para começar a criar a VPN P2S.