Сведения о параметрах конфигурации VPN-шлюза
Архитектура подключения VPN-шлюза зависит от конфигурации нескольких ресурсов, каждая из которых содержит настраиваемые параметры. В разделах этой статьи рассматриваются ресурсы и параметры, связанные с VPN-шлюзом для виртуальной сети. Описания и схемы топологии для каждого решения подключения можно найти в статье о топологии и проектировании VPN-шлюз.
Значения, приведенные в этой статье, относятся к VPN-шлюзам (шлюзам виртуальной сети, используюющим VPN -GatewayType). Если вы ищете сведения о следующих типах шлюзов, ознакомьтесь со следующими статьями:
- Значения, применяемые к -GatewayType ExpressRoute, см. в статье "Шлюзы виртуальной сети" для ExpressRoute.
- Сведения об избыточных в пределах зоны шлюзах см. в разделе Избыточные в пределах зоны шлюзы.
- Сведения о шлюзах Виртуальная глобальная сеть см. в разделе "О Виртуальная глобальная сеть".
Шлюзы и типы шлюзов
Шлюз виртуальной сети состоит из двух или более виртуальных машин, управляемых Azure, которые автоматически настраиваются и развертываются в определенной подсети, создаваемой подсетью шлюза. Виртуальные машины шлюза содержат таблицы маршрутизации и запускают определенные службы шлюза. При создании шлюза виртуальной сети виртуальные машины шлюза автоматически развертываются в подсети шлюза (всегда именованный GatewaySubnet) и настраиваются с заданными параметрами. Процесс может занять 45 минут или больше, в зависимости от выбранного номера SKU шлюза.
Одним из параметров, заданных при создании шлюза виртуальной сети, является тип шлюза. Тип шлюза определяет, как используется шлюз виртуальной сети, а также действия, которые принимает шлюз. Виртуальная сеть может иметь два шлюза виртуальной сети: один VPN-шлюз и один шлюз ExpressRoute. Тип -GatewayType "VPN" указывает, что созданный тип шлюза виртуальной сети является VPN-шлюзом. Это отличает его от шлюза ExpressRoute.
Номера SKU и производительность шлюза
Дополнительные сведения о номерах SKU шлюза, производительности и поддерживаемых функциях см . в статье об номерах SKU шлюза.
Типы VPN
поддержка Azure два разных типа VPN для VPN-шлюзов: на основе политик и на основе маршрутов. VPN-шлюзы на основе маршрутов основаны на другой платформе, отличной от VPN-шлюзов на основе политик. Это приводит к различным спецификациям шлюза. В следующей таблице показаны номера SKU шлюза, поддерживающие каждый из типов VPN и связанные поддерживаемые версии IKE.
| Тип VPN шлюза. | Gateway SKU | Поддерживаемые версии IKE |
|---|---|---|
| Шлюз на основе политик | Базовая | IKEv1 |
| Шлюз на основе маршрутов | Базовая | IKEv2 |
| Шлюз на основе маршрутов | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 и IKEv2 |
| Шлюз на основе маршрутов | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 и IKEv2 |
В большинстве случаев вы создадите VPN-шлюз на основе маршрутов. Ранее старые номера SKU шлюза не поддерживали IKEv1 для шлюзов на основе маршрутов. Теперь большинство текущих номеров SKU шлюза поддерживают IKEv1 и IKEv2.
По состоянию на 1 октября 2023 г. шлюзы на основе политик можно настроить только с помощью PowerShell или CLI и недоступны в портал Azure. Сведения о создании шлюза на основе политик см. в статье "Создание VPN-шлюза SKU уровня "Базовый" с помощью PowerShell.
Если у вас уже есть шлюз на основе политик, вам не нужно изменять шлюз на основе маршрутов, если вы не хотите использовать конфигурацию, требующую шлюза на основе маршрутов, например "точка — сеть".
Невозможно преобразовать шлюз на основе политик в маршрутизацию. Необходимо удалить существующий шлюз, а затем создать новый шлюз в качестве маршрута.
Шлюзы режима "активный— активный"
VPN-шлюзы Azure можно настроить как активные и резервные или активные. В конфигурации "активный— активный" оба экземпляра виртуальных машин шлюза устанавливают vpn-туннели типа "сеть — сеть" на локальном VPN-устройстве. Шлюзы режима "активный— активный" являются ключевой частью проектирования подключения шлюза с высоким уровнем доступности. Дополнительные сведения см. в следующих статьях:
- Сведения о шлюзах active-active
- Проектирование подключения шлюза с высоким уровнем доступности для подключений между локальными и виртуальными сетями
Частные IP-адреса шлюза
Этот параметр используется для определенных конфигураций частного пиринга ExpressRoute. Дополнительные сведения см. в разделе "Настройка VPN-подключения типа "сеть — сеть" через частный пиринг ExpressRoute.
Типы подключений
Для каждого подключения требуется определенный тип подключения шлюза виртуальной сети. Доступные значения PowerShell для New-AzVirtualNetworkGatewayConnection-Connection Type: IPsec, Vnet2Vnet, ExpressRoute, VPNClient.
Режимы подключения
Свойство режима подключения применяется только к VPN-шлюзам на основе маршрутов, используюющим подключения IKEv2. Режимы подключения определяют направление запуска подключения и применяются только к первоначальному созданию подключения IKE. Любая сторона может инициировать повторы и дальнейшие сообщения. ИнициаторOnly означает, что подключение должно быть инициировано Azure. ResponderOnly означает, что подключение должно быть инициировано локальным устройством. Поведение по умолчанию заключается в принятии и вызове, который сначала подключается.
Подсеть шлюза
Прежде чем создать VPN-шлюз, необходимо создать подсеть для него. Подсеть шлюза содержит IP-адреса, которые используют виртуальные машины и службы шлюза виртуальной сети. При создании шлюза виртуальной сети его виртуальные машины развертываются в подсети шлюза и на них настраиваются необходимые параметры VPN-шлюза. Никогда не развертывать ничего другого (например, больше виртуальных машин) в подсети шлюза. Чтобы подсеть шлюза работала правильно, ее нужно назвать GatewaySubnet. Именование подсети шлюза GatewaySubnet позволяет Azure знать, что это подсеть, в которую она должна развернуть виртуальные машины и службы шлюза виртуальной сети.
При создании подсети шлюза указывается количество IP-адресов, которое содержит подсеть. IP-адреса в подсети шлюза выделяются виртуальным машинам и службам шлюза. Некоторым конфигурациям требуется больше IP-адресов, чем прочим.
При планировании размера подсети шлюза обратитесь к документации по конфигурации, которую собираетесь создать. Например, для конфигурации с сосуществованием ExpressRoute и VPN-шлюза требуется более крупная подсеть шлюза, чем для большинства других конфигураций. Хотя можно создать подсеть шлюза меньше /29 (применимо только к номеру SKU "Базовый"), для всех остальных номеров SKU требуется подсеть шлюза размера /27 или больше (/27, /26, /25 и т. д.). Возможно, потребуется создать подсеть шлюза, превышающую /27, чтобы подсеть была достаточно IP-адресов для размещения возможных будущих конфигураций.
В следующем примере PowerShell показана подсеть шлюза с именем GatewaySubnet. Здесь приведена нотация CIDR, указывающая размер /27, при котором можно использовать достаточно IP-адресов для большинства существующих конфигураций.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Рекомендации:
Определяемые пользователем маршруты с назначением 0.0.0.0/0 и группы NSG в GatewaySubnet не поддерживаются. Шлюзы с такой конфигурацией блокируются и не могут быть созданы. Для правильной работы шлюзов нужен доступ к контроллерам управления. Распространение маршрутов BGP должно иметь значение "Включено" в ШлюзеSubnet, чтобы обеспечить доступность шлюза. Если для распространения маршрутов BGP установлено "Отключено", шлюз функционировать не будет.
Диагностика, путь к данным и путь управления могут быть затронуты, если определенный пользователем маршрут совпадает с диапазоном подсети шлюза или диапазоном общедоступных IP-адресов шлюза.
Шлюзы локальной сети
Локальный сетевой шлюз отличается от шлюза виртуальной сети. При работе с архитектурой VPN-шлюза типа "сеть — сеть" шлюз локальной сети обычно представляет локальную сеть и соответствующее VPN-устройство.
При настройке шлюза локальной сети укажите имя, общедоступный IP-адрес или полное доменное имя (FQDN) локального VPN-устройства, а также префиксы адресов, расположенные в локальном расположении. Azure рассматривает префиксы адреса назначения для сетевого трафика, просматривает конфигурацию, указанную для шлюза локальной сети, и маршрутизирует пакеты соответствующим образом. Если вы используете протокол BGP на VPN-устройстве, укажите IP-адрес однорангового vpn-устройства BGP и номер автономной системы (ASN) локальной сети. Можно также указать шлюзы локальной сети для конфигураций типа "виртуальная сеть — виртуальная сеть", использующих подключение к VPN-шлюзу.
Следующий пример PowerShell создает шлюз локальной сети.
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Иногда возникает необходимость изменить параметры локального сетевого шлюза. Например, при добавлении или изменении диапазона адресов, либо при изменении IP-адреса VPN-устройства. Дополнительные сведения см. в разделе "Изменение параметров шлюза локальной сети".
Интерфейсы REST API, командлеты PowerShell и CLI
Технические ресурсы и определенные требования к синтаксису при использовании REST API, командлетов PowerShell или Azure CLI для VPN-шлюз конфигураций см. на следующих страницах:
Следующие шаги
Дополнительные сведения о доступных конфигурациях подключений см. в статье Основные сведения о VPN-шлюзах Azure.