Сведения о маршрутизации VPN-подключений "точка — сеть"

Эта статья поможет вам понять, как функционирует маршрутизация VPN-подключений типа "точка — сеть". Режим маршрутизации VPN-подключений типа "точка — сеть" зависит от клиентской ОС, протокола, используемого для VPN-подключения, а также способа подключения виртуальных сетей между собой Дополнительные сведения о VPN-подключении типа "точка — сеть" и поддерживаемых протоколах см. в статье Сведения о VPN-подключении типа "точка — сеть".

Если вы внесли изменения в топологию сети и используете VPN-клиенты Windows, необходимо повторно скачать и установить пакет VPN-клиента для клиентов Windows, чтобы изменения были применены к клиентам.

Примечание

Эта статья относится только к IKEv2 и OpenVPN.

Сведения о схемах

В этой статье представлен ряд различных схем. В ее разделах показаны различные топологии или конфигурации. В целях этой статьи подключения типа "сеть — сеть" и подключения типа "виртуальная сеть — виртуальная сеть" работают так, как будто являются туннелями IPsec. Все VPN-шлюзы в этой статье основаны на маршрутах.

Одна изолированная виртуальная сеть

Vpn-шлюз типа "точка — сеть" в этом примере предназначен для виртуальной сети, которая не подключена к другой виртуальной сети (VNet1). В этом примере клиенты могут получить доступ к VNet1.

Маршрутизация изолированной виртуальной сети

Пространство адресов

  • VNet1: 10.1.0.0/16.

Добавленные маршруты

  • Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 192.168.0.0/24.

  • Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 192.168.0.0/24.

Access

  • Клиенты Windows могут подключаться к сети VNet1.

  • Клиенты не под управлением Windows могут подключаться к сети VNet1.

Несколько пиринговых виртуальных сетей

В этом примере подключение VPN-шлюза типа "точка — сеть" предназначено для VNet1. VNet1 участвует в пиринге с VNet2. VNet2 участвует в пиринге с VNet3. VNet1 участвует в пиринге с VNet4. Прямой пиринг между VNet1 и VNet3 отсутствует. В VNet1 включен параметр "Разрешить транзит через шлюз", а в VNet2 и VNet4 включен параметр "Использовать удаленные шлюзы".

Клиенты, использующие Windows, имеют доступ к виртуальным сетям с прямым пирингом, но при внесении каких-либо изменений в пиринг виртуальных сетей или топологию сети требуется повторно скачать пакет VPN-клиента. Клиенты не под управлением Windows имеют доступ к виртуальным сетям с прямым пирингом. Доступ не является транзитивным и ограничен только виртуальными сетями с прямым пирингом.

Несколько пиринговых виртуальных сетей

Диапазон адресов:

  • VNet1: 10.1.0.0/16.

  • VNet2: 10.2.0.0/16.

  • VNet3: 10.3.0.0/16.

  • VNet4: 10.4.0.0/16.

Добавленные маршруты

  • Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24.

  • Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24.

Access

  • Клиенты Windows имеют доступ к сетям VNet1, VNet2 и VNet4, но чтобы какие-либо изменения топологии вступили в силу, нужно повторно скачать VPN-клиент.

  • Клиенты не под управлением Windows имеют доступ к сетям VNet1, VNet2 и VNet4.

Несколько виртуальных сетей, соединенных с помощью VPN-подключений типа "сеть — сеть"

В этом примере подключение VPN-шлюза типа "точка — сеть" предназначено для VNet1. Сеть VNet1 подключена к сети VNet2 с помощью VPN-подключения типа "сеть — сеть". Сеть VNet2 подключена к VNet3 с помощью VPN-подключения типа "сеть — сеть". Между сетями VNet1 и VNet3 отсутствует прямой пиринг или VPN-подключение типа "сеть — сеть". Для всех подключений типа "сеть — сеть" для маршрутизации не выполняется протокол BGP.

Клиентам, использующим Windows или другую поддерживаемую операционную систему, доступна только сеть VNet1. Для обеспечения доступа к дополнительным виртуальным сетям необходимо использовать протокол BGP.

Несколько виртуальных сетей и S2S

Пространство адресов

  • VNet1: 10.1.0.0/16.

  • VNet2: 10.2.0.0/16.

  • VNet3: 10.3.0.0/16.

Добавленные маршруты

  • Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 192.168.0.0/24.

  • Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24.

Access

  • Клиенты Windows могут подключаться только к сети VNet1.

  • Клиенты не под управлением Windows могут подключаться только к сети VNet1.

Несколько виртуальных сетей, соединенных с помощью VPN-подключений типа "сеть — сеть" (BGP)

В этом примере подключение VPN-шлюза типа "точка — сеть" предназначено для VNet1. Сеть VNet1 подключена к сети VNet2 с помощью VPN-подключения типа "сеть — сеть". Сеть VNet2 подключена к VNet3 с помощью VPN-подключения типа "сеть — сеть". Между сетями VNet1 и VNet3 отсутствует прямой пиринг или VPN-подключение типа "сеть — сеть". Все подключения типа "сеть — сеть" используют BGP для маршрутизации.

Клиенты, использующие Windows или другую поддерживаемую операционную систему, имеют доступ ко всех виртуальным сетям, подключенных посредством VPN-подключения типа "сеть — сеть", но маршруты для подключенных виртуальных сетей нужно добавлять в клиенты Windows вручную.

Несколько виртуальных сетей и S2S (BGP)

Пространство адресов

  • VNet1: 10.1.0.0/16.

  • VNet2: 10.2.0.0/16.

  • VNet3: 10.3.0.0/16.

Добавленные маршруты

  • Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 192.168.0.0/24.

  • Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24.

Access

  • Клиенты Windows имеют доступ к сетям VNet1, VNet2 и VNet3, но маршруты к сетям VNet2 и VNet3 необходимо добавить вручную.

  • Клиенты не под управлением Windows имеют доступ к сетям VNet1, VNet2 и VNet3.

Одна виртуальная сеть и филиал

В этом примере подключение VPN-шлюза типа "точка — сеть" предназначено для VNet1. VNet1 не подключена к другой виртуальной сети, но подключена к локальному сайту через VPN-подключение типа "сеть — сеть", на котором не выполняется протокол BGP.

Клиенты под управлением Windows и других ОС могут осуществлять доступ только к VNet1.

Маршрутизация с виртуальной сетью и филиалом

Пространство адресов

  • VNet1: 10.1.0.0/16.

  • Site1: 10.101.0.0/16.

Добавленные маршруты

  • Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 192.168.0.0/24.

  • Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 192.168.0.0/24.

Access

  • Клиенты Windows могут подключаться только к сети VNet1.

  • Клиенты не под управлением Windows могут подключаться только к сети VNet1.

Одна виртуальная сеть и филиал (BGP)

В этом примере подключение VPN-шлюза типа "точка — сеть" предназначено для VNet1. VNet1 не подключена к любой другой виртуальной сети или не имеет пиринговой связи с другой виртуальной сетью, но подключена к локальному сайту (Site1) через VPN-подключение типа "сеть — сеть" под управлением BGP.

Клиенты Windows имеют доступ к сети VNet1 и филиалу (Site1), но маршруты к сайту Site1 необходимо добавить в клиент вручную. Клиенты, не относящиеся к Windows, могут получить доступ к виртуальной сети и локальному филиалу.

Маршрутизация с виртуальной сетью и филиалом — BGP

Пространство адресов

  • VNet1: 10.1.0.0/16.

  • Site1: 10.101.0.0/16.

Добавленные маршруты

  • Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 192.168.0.0/24.

  • Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24.

Access

  • Клиенты Windows имеют доступ к сети VNet1 и сайту Site1, но маршруты к сайту Site1 необходимо добавить вручную.

  • Клиенты не под управлением Windows имеют доступ к сети VNet1 и сайту Site1.

Несколько виртуальных сетей, соединенных с помощью подключений типа "сеть — сеть", и филиал

В этом примере подключение VPN-шлюза типа "точка — сеть" предназначено для VNet1. Сеть VNet1 подключена к сети VNet2 с помощью VPN-подключения типа "сеть — сеть". Сеть VNet2 подключена к VNet3 с помощью VPN-подключения типа "сеть — сеть". Между сетями VNet1 и VNet3 отсутствует прямой пиринг или VPN-тоннель типа "сеть — сеть". Сеть VNet3 подключена к филиалу (Site1) с помощью VPN-подключения типа "сеть — сеть". Ни одно VPN-подключение не использует протокол BGP.

Все клиенты могут подключаться только к сети VNet1.

Схема, показывающая S2S с несколькими виртуальными сетями и филиал

Пространство адресов

  • VNet1: 10.1.0.0/16.

  • VNet2: 10.2.0.0/16.

  • VNet3: 10.3.0.0/16.

  • Site1: 10.101.0.0/16.

Добавленные маршруты

  • Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 192.168.0.0/24.

  • Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24.

Access

  • Клиенты Windows могут подключаться только к сети VNet1.

  • Клиенты не под управлением Windows могут подключаться только к сети VNet1.

Несколько виртуальных сетей, соединенных с помощью подключений типа "сеть — сеть", и филиал (BGP)

В этом примере подключение VPN-шлюза типа "точка — сеть" предназначено для VNet1. Сеть VNet1 подключена к сети VNet2 с помощью VPN-подключения типа "сеть — сеть". Сеть VNet2 подключена к VNet3 с помощью VPN-подключения типа "сеть — сеть". Между сетями VNet1 и VNet3 отсутствует прямой пиринг или VPN-тоннель типа "сеть — сеть". Сеть VNet3 подключена к филиалу (Site1) с помощью VPN-подключения типа "сеть — сеть". Все VPN-подключения используют протокол BGP.

Клиенты Windows имеют доступ к виртуальным сетям и сайтам, подключенным с помощью VPN-подключений типа "сеть — сеть", но маршруты к сетям VNet2, VNet3 и сайту Site1 необходимо добавить в клиент вручную. Клиенты не под управлением Windows имеют доступ к виртуальным сетям и сайтам, подключенным с помощью VPN-подключений типа "сеть — сеть", и какая-либо дополнительная настройка не требуется. Такой доступ является транзитивным, и клиенты могут обращаться к ресурсам во всех подключенных виртуальных сетях и на всех подключенных сайтах (локальных).

S2S с несколькими виртуальными сетями и филиал

Пространство адресов

  • VNet1: 10.1.0.0/16.

  • VNet2: 10.2.0.0/16.

  • VNet3: 10.3.0.0/16.

  • Site1: 10.101.0.0/16.

Добавленные маршруты

  • Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 192.168.0.0/24.

  • Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24.

Access

  • Клиенты Windows имеют доступ к сетям VNet1, VNet2, VNet3 и сайту Site1, но маршруты к сетям VNet2, VNet3 и сайту Site1 необходимо добавить в клиент вручную.

  • Клиенты не под управлением Windows имеют доступ к сетям VNet1, VNet2, VNet3 и сайту Site1.

Дальнейшие действия

Раздел Настройка подключения "точка — сеть" к виртуальной сети с использованием собственной аутентификации Azure на основе сертификата и портала Azure поможет приступить к созданию VPN-подключения типа "точка — сеть".