Сведения о параметрах конфигурации VPN-шлюза
Архитектура подключения VPN-шлюза зависит от конфигурации нескольких ресурсов, каждая из которых содержит настраиваемые параметры. В разделах этой статьи рассматриваются ресурсы и параметры, относящиеся к VPN-шлюзу для виртуальной сети, созданной на основе модели развертывания с помощью Resource Manager. Описания и схемы топологии для каждого решения подключения можно найти в статье о топологии и проектировании VPN-шлюз.
Значения, приведенные в этой статье, относятся к VPN-шлюзам (шлюзам виртуальной сети, используюющим VPN -GatewayType). Если вы ищете сведения о следующих типах шлюзов, ознакомьтесь со следующими статьями:
- Значения, применяемые к -GatewayType ExpressRoute, см. в статье "Шлюзы виртуальной сети" для ExpressRoute.
- Сведения об избыточных в пределах зоны шлюзах см. в разделе Избыточные в пределах зоны шлюзы.
- Сведения о шлюзах Виртуальная глобальная сеть см. в разделе "О Виртуальная глобальная сеть".
Шлюзы и типы шлюзов
Шлюз виртуальной сети состоит из двух или более виртуальных машин, управляемых Azure, которые автоматически настраиваются и развертываются в определенной подсети, создаваемой подсетью шлюза. Виртуальные машины шлюза содержат таблицы маршрутизации и запускают определенные службы шлюза.
При создании шлюза виртуальной сети виртуальные машины шлюза автоматически развертываются в подсети шлюза (всегда с именем GatwaySubnet) и настраиваются с указанными параметрами. Этот процесс может занять 45 минут и более в зависимости от выбранного номера SKU шлюза.
Одним из параметров, заданных при создании шлюза виртуальной сети, является тип шлюза. Тип шлюза определяет, как используется шлюз виртуальной сети, а также действия, которые принимает шлюз. Виртуальная сеть может иметь два шлюза виртуальной сети: один VPN-шлюз и один шлюз ExpressRoute. Тип шлюза "VPN" указывает, что созданный тип шлюза виртуальной сети является VPN-шлюзом. Этим он отличается от шлюза ExpressRoute, который использует другой тип шлюза.
При создании шлюза виртуальной сети необходимо убедиться, что в конфигурации указан правильный тип шлюза. Для -GatewayType доступны приведенные ниже значения.
- VPN
- ExpressRoute
Для VPN-шлюза требуется -GatewayType
VPN.
Пример:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Номера SKU и производительность шлюза
Дополнительные сведения о номерах SKU шлюза, производительности и поддерживаемых функциях см . в статье об номерах SKU шлюза.
Типы VPN
поддержка Azure два разных типа VPN для VPN-шлюзов: на основе политик и на основе маршрутов. VPN-шлюзы на основе маршрутов основаны на другой платформе, отличной от VPN-шлюзов на основе политик. Это приводит к различным спецификациям шлюза. В большинстве случаев вы создадите VPN-шлюз на основе маршрутов.
Ранее старые номера SKU шлюза не поддерживали IKEv1 для шлюзов на основе маршрутов. Теперь большинство текущих номеров SKU шлюза поддерживают IKEv1 и IKEv2. По состоянию на 1 октября 2023 г. vpn-шлюз на основе политик нельзя создать через портал Azure, доступны только шлюзы на основе маршрутов. Если вы хотите создать шлюз на основе политик, используйте PowerShell или CLI.
Если у вас уже есть шлюз на основе политик, вам не нужно изменять шлюз на основе маршрутов, если вы не хотите использовать конфигурацию, требующую шлюза на основе маршрутов, например "точка — сеть". Невозможно преобразовать шлюз на основе политик в маршрутизацию. Необходимо удалить существующий шлюз, а затем создать новый шлюз в качестве маршрута.
Тип VPN шлюза. | Gateway SKU | Поддерживаемые версии IKE |
---|---|---|
Шлюз на основе политик | Базовая | IKEv1 |
Шлюз на основе маршрутов | Базовая | IKEv2 |
Шлюз на основе маршрутов | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 и IKEv2 |
Шлюз на основе маршрутов | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 и IKEv2 |
VPN-шлюзы по схеме "активный — активный"
Vpn-шлюз Azure можно создать в конфигурации active-active, где оба экземпляра виртуальных машин шлюза устанавливают vpn-туннели S2S на локальном VPN-устройстве.
В этой конфигурации каждый экземпляр шлюза Azure имеет уникальный общедоступный IP-адрес, и каждый из них устанавливает VPN-туннель IPsec/IKE S2S на локальное VPN-устройство, указанное в шлюзе локальной сети и подключении. Оба VPN-туннеля на самом деле являются частью одного соединения. Вам по-прежнему потребуется настроить локальное VPN-устройство, чтобы принять или установить два VPN-туннеля S2S для этих двух общедоступных IP-адресов VPN-шлюза Azure.
Так как экземпляры шлюза Azure находятся в активной конфигурации, трафик из виртуальной сети Azure в локальную сеть будет перенаправлен по обоим туннелям одновременно, даже если локальное VPN-устройство может использовать один туннель через другой. Для одного потока TCP или UDP Azure пытается использовать один и тот же туннель при отправке пакетов в локальную сеть. Однако локальная сеть для отправки пакетов в Azure может использовать другой туннель.
При запланированном обслуживании одного из экземпляров шлюза или его сбое IPsec-туннель между таким экземпляром и локальным VPN-устройством будет закрыт. Связанные с VPN-устройствами маршруты следует удалить (это может произойти автоматически), чтобы перенаправить трафик в другой активный IPsec-туннель. На стороне Azure переключение между неактивным и активным экземплярами выполняется автоматически.
Сведения об использовании шлюзов active-active в сценарии с высоким уровнем доступности см. в разделе "Сведения об высокодоступном подключении".
Типы подключений
В модели развертывания с помощью Resource Manager каждой конфигурации необходим определенный тип подключения шлюза виртуальной сети. Для -ConnectionType
в PowerShell можно указать такие значения (развертывание Resource Manager):
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
В следующем примере PowerShell создается подключение типа "сеть — сеть", для которого требуется тип IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
Режимы подключения
Свойство режима подключения применяется только к VPN-шлюзам на основе маршрутов, используюющим подключения IKEv2. Режимы подключения определяют направление запуска подключения и применяются только к первоначальному созданию подключения IKE. Любая сторона может инициировать повторы и дальнейшие сообщения. ИнициаторOnly означает, что подключение должно быть инициировано Azure. ResponderOnly означает, что подключение должно быть инициировано локальным устройством. Поведение по умолчанию заключается в принятии и вызове, который сначала подключается.
Подсеть шлюза
Прежде чем создать VPN-шлюз, необходимо создать подсеть для него. Подсеть шлюза содержит IP-адреса, которые используют виртуальные машины и службы шлюза виртуальной сети. При создании шлюза виртуальной сети его виртуальные машины развертываются в подсети шлюза и на них настраиваются необходимые параметры VPN-шлюза. Никогда не развертывать ничего другого (например, больше виртуальных машин) в подсети шлюза. Чтобы подсеть шлюза работала правильно, ее нужно назвать GatewaySubnet. Именование подсети шлюза GatewaySubnet позволяет Azure знать, что это подсеть, в которую она должна развернуть виртуальные машины и службы шлюза виртуальной сети.
При создании подсети шлюза указывается количество IP-адресов, которое содержит подсеть. IP-адреса в подсети шлюза выделяются виртуальным машинам и службам шлюза. Некоторым конфигурациям требуется больше IP-адресов, чем прочим.
При планировании размера подсети шлюза обратитесь к документации по конфигурации, которую собираетесь создать. Например, для конфигурации с сосуществованием ExpressRoute и VPN-шлюза требуется более крупная подсеть шлюза, чем для большинства других конфигураций. Хотя можно создать подсеть шлюза меньше /29 (применимо только к номеру SKU "Базовый"), для всех остальных номеров SKU требуется подсеть шлюза размера /27 или больше (/27, /26, /25 и т. д.). Возможно, потребуется создать подсеть шлюза, превышающую /27, чтобы подсеть была достаточно IP-адресов для размещения возможных будущих конфигураций.
В примере PowerShell для Resource Manager ниже показана подсеть шлюза GatewaySubnet. Здесь приведена нотация CIDR, указывающая размер /27, при котором можно использовать достаточно IP-адресов для большинства существующих конфигураций.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Рекомендации:
Определяемые пользователем маршруты с назначением 0.0.0.0/0 и группы NSG в GatewaySubnet не поддерживаются. Шлюзы с такой конфигурацией блокируются и не могут быть созданы. Для правильной работы шлюзов нужен доступ к контроллерам управления. Распространение маршрутов BGP должно иметь значение "Включено" в ШлюзеSubnet, чтобы обеспечить доступность шлюза. Если для распространения маршрутов BGP установлено "Отключено", шлюз функционировать не будет.
Диагностика, путь к данным и путь управления могут быть затронуты, если определенный пользователем маршрут совпадает с диапазоном подсети шлюза или диапазоном общедоступных IP-адресов шлюза.
Шлюзы локальной сети
Локальный сетевой шлюз отличается от шлюза виртуальной сети. При работе с архитектурой VPN-шлюза типа "сеть — сеть" шлюз локальной сети обычно представляет локальную сеть и соответствующее VPN-устройство. В классической модели развертывания шлюз локальной сети называется локальным сайтом.
При настройке шлюза локальной сети укажите имя, общедоступный IP-адрес или полное доменное имя (FQDN) локального VPN-устройства, а также префиксы адресов, расположенные в локальном расположении. Azure рассматривает префиксы адреса назначения для сетевого трафика, просматривает конфигурацию, указанную для шлюза локальной сети, и маршрутизирует пакеты соответствующим образом. Если вы используете протокол BGP на VPN-устройстве, укажите IP-адрес однорангового vpn-устройства BGP и номер автономной системы (ASN) локальной сети. Можно также указать шлюзы локальной сети для конфигураций типа "виртуальная сеть — виртуальная сеть", использующих подключение к VPN-шлюзу.
Следующий пример PowerShell создает шлюз локальной сети.
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Иногда возникает необходимость изменить параметры локального сетевого шлюза. Например, при добавлении или изменении диапазона адресов, либо при изменении IP-адреса VPN-устройства. Дополнительные сведения см. в разделе "Изменение параметров шлюза локальной сети".
Интерфейсы REST API, командлеты PowerShell и CLI
Технические ресурсы и определенные требования к синтаксису при использовании REST API, командлетов PowerShell или Azure CLI для VPN-шлюз конфигураций см. на следующих страницах:
Классическое | Resource Manager |
---|---|
PowerShell | PowerShell |
REST API | REST API |
Не поддерживается | Azure CLI |
Следующие шаги
Дополнительные сведения о доступных конфигурациях подключений см. в статье Основные сведения о VPN-шлюзах Azure.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по