Dela via


Om konfigurationsinställningar för VPN Gateway

Vpn Gateway-anslutningsarkitekturen förlitar sig på konfigurationen av flera resurser, som var och en innehåller konfigurerbara inställningar. I avsnitten i den här artikeln beskrivs de resurser och inställningar som är relaterade till en VPN-gateway för ett virtuellt nätverk. Du hittar beskrivningar och topologidiagram för varje anslutningslösning i artikeln OM VPN Gateway-topologi och design .

Värdena i den här artikeln gäller specifikt för VPN-gatewayer (virtuella nätverksgatewayer som använder -GatewayType Vpn). Om du letar efter information om följande typer av gatewayer kan du läsa följande artiklar:

Gatewayer och gatewaytyper

En virtuell nätverksgateway består av två eller flera Azure-hanterade virtuella datorer som konfigureras och distribueras automatiskt till ett specifikt undernät som du skapar som kallas gateway-undernätet. De virtuella gatewaydatorerna innehåller routningstabeller och kör specifika gatewaytjänster. När du skapar en virtuell nätverksgateway distribueras de virtuella gatewaydatorerna automatiskt till gatewayundernätet (alltid med namnet GatewaySubnet) och konfigureras med de inställningar som du har angett. Processen kan ta 45 minuter eller mer att slutföra, beroende på vilken gateway-SKU du har valt.

En av de inställningar som du anger när du skapar en virtuell nätverksgateway är gatewaytypen. Gatewaytypen avgör hur den virtuella nätverksgatewayen används och vilka åtgärder som gatewayen vidtar. Ett virtuellt nätverk kan ha två virtuella nätverksgatewayer. en VPN-gateway och en ExpressRoute-gateway. Vpn -GatewayType anger att den typ av virtuell nätverksgateway som skapas är en VPN-gateway. Detta skiljer den från en ExpressRoute-gateway.

Gateway-SKU:er och prestanda

I artikeln Om gateway-SKU:er finns den senaste informationen om gateway-SKU:er, prestanda och funktioner som stöds.

VPN-typer

Azure Support två olika VPN-typer för VPN-gatewayer: principbaserade och routningsbaserade. Routningsbaserade VPN-gatewayer bygger på en annan plattform än principbaserade VPN-gatewayer. Detta resulterar i olika gatewayspecifikationer. I följande tabell visas de gateway-SKU:er som stöder var och en av VPN-typerna och tillhörande IKE-versioner som stöds.

Gateway-VPN-typ Gateway-SKU IKE-versioner som stöds
Principbaserad gateway Grundläggande IKEv1
Routningsbaserad gateway Grundläggande IKEv2
Routningsbaserad gateway VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 och IKEv2
Routningsbaserad gateway VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 och IKEv2

I de flesta fall skapar du en routningsbaserad VPN-gateway. Tidigare hade de äldre gateway-SKU:erna inte stöd för IKEv1 för routningsbaserade gatewayer. Nu har de flesta av de aktuella gateway-SKU:erna stöd för både IKEv1 och IKEv2.

  • Från och med den 1 oktober 2023 kan principbaserade gatewayer endast konfigureras med PowerShell eller CLI och är inte tillgängliga i Azure Portal. Information om hur du skapar en principbaserad gateway finns i Skapa en grundläggande SKU VPN-gateway med Hjälp av PowerShell.

  • Om du redan har en principbaserad gateway behöver du inte ändra gatewayen till routningsbaserad om du inte vill använda en konfiguration som kräver en routningsbaserad gateway, till exempel punkt-till-plats.

  • Du kan inte konvertera en principbaserad gateway till routningsbaserad. Du måste ta bort den befintliga gatewayen och sedan skapa en ny gateway som routningsbaserad.

Gatewayer för aktivt aktivt läge

Azure VPN-gatewayer kan konfigureras som aktiv vänteläge eller aktiv-aktiv. I en aktiv-aktiv konfiguration upprättar båda instanserna av de virtuella gatewaydatorerna vpn-tunnlar från plats till plats till din lokala VPN-enhet. Gatewayer i aktivt aktivt läge är en viktig del av gatewayanslutningsdesignen med hög tillgänglighet. Mer information finns i följande artiklar:

Privata IP-adresser för gateway

Den här inställningen används för vissa privata ExpressRoute-peeringkonfigurationer. Mer information finns i Konfigurera en plats-till-plats-VPN-anslutning via privat ExpressRoute-peering.

Anslutningstyper

Varje anslutning kräver en specifik anslutningstyp för virtuell nätverksgateway. Tillgängliga PowerShell-värden för New-AzVirtualNetworkGatewayConnection -Connection Type är: IPsec, Vnet2Vnet, ExpressRoute, VPNClient.

Anslutningslägen

Egenskapen Anslutningsläge gäller endast för routningsbaserade VPN-gatewayer som använder IKEv2-anslutningar. Anslutningslägen definierar initieringsriktningen för anslutningen och gäller endast för den inledande IKE-anslutningsetableringen. Alla parter kan initiera nycklar och ytterligare meddelanden. InitiatorOnly innebär att anslutningen måste initieras av Azure. ResponderOnly innebär att anslutningen måste initieras av den lokala enheten. Standardbeteendet är att acceptera och ringa upp beroende på vilket som ansluter först.

Gateway-undernät

Innan du skapar en VPN-gateway måste du skapa ett gatewayundernät. Gateway-undernätet innehåller DE IP-adresser som virtuella nätverksgatewaydatorer och -tjänster använder. När du skapar din virtuella nätverksgateway distribueras virtuella gatewaydatorer till gatewayundernätet och konfigureras med nödvändiga VPN-gatewayinställningar. Distribuera aldrig något annat (till exempel fler virtuella datorer) till gatewayundernätet. Gateway-undernätet måste ha namnet "GatewaySubnet" för att fungera korrekt. Genom att namnge gatewayundernätet "GatewaySubnet" vet Azure att det här är det undernät som det ska distribuera virtuella nätverksgatewaydatorer och -tjänster till.

När du skapar gatewayundernätet anger du det antal IP-adresser som undernätet innehåller. IP-adresserna i gatewayundernätet allokeras till de virtuella gatewaydatorerna och gatewaytjänsterna. Vissa konfigurationer kräver fler IP-adresser än andra.

När du planerar din gateway-undernätsstorlek läser du dokumentationen för den konfiguration som du planerar att skapa. ExpressRoute/VPN Gateway-samexistenskonfigurationen kräver till exempel ett större gateway-undernät än de flesta andra konfigurationer. Även om det är möjligt att skapa ett gateway-undernät så litet som /29 (gäller endast basic-SKU:n), kräver alla andra SKU:er ett gatewayundernät med storleken /27 eller större (/27, /26, /25 osv.). Du kanske vill skapa ett gateway-undernät som är större än /27 så att undernätet har tillräckligt med IP-adresser för att hantera eventuella framtida konfigurationer.

I följande PowerShell-exempel visas ett gatewayundernät med namnet GatewaySubnet. Du kan se att CIDR-notationen anger en /27, som tillåter tillräckligt med IP-adresser för de flesta konfigurationer som för närvarande finns.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Överväganden:

  • Användardefinierade vägar med ett 0.0.0.0/0-mål och NSG:er på GatewaySubnet stöds inte. Gatewayer med den här konfigurationen blockeras från att skapas. Gatewayer behöver åtkomst till hanteringsstyrenheterna för att kunna fungera korrekt. BGP-vägspridning bör anges till "Aktiverad" i GatewaySubnet för att säkerställa tillgängligheten för gatewayen. Om spridning av BGP-vägar är inställd på inaktiverad fungerar inte gatewayen.

  • Diagnostik, datasökväg och kontrollsökväg kan påverkas om en användardefinierad väg överlappar intervallet för gatewayundernät eller gatewayens offentliga IP-intervall.

Lokala nätverksgatewayer

En lokal nätverksgateway skiljer sig från en virtuell nätverksgateway. När du arbetar med en VPN-gateways plats-till-plats-arkitektur representerar den lokala nätverksgatewayen vanligtvis ditt lokala nätverk och motsvarande VPN-enhet.

När du konfigurerar en lokal nätverksgateway anger du namnet, den offentliga IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för den lokala VPN-enheten och adressprefixen som finns på den lokala platsen. Azure tittar på måladressprefixen för nätverkstrafik, läser konfigurationen som du angav för din lokala nätverksgateway och dirigerar paketen därefter. Om du använder BGP (Border Gateway Protocol) på VPN-enheten anger du BGP-peer-IP-adressen för vpn-enheten och det autonoma systemnumret (ASN) för ditt lokala nätverk. Du kan också ange lokala nätverksgatewayer för VNet-till-VNet-konfigurationer som använder en VPN-gatewayanslutning.

I följande PowerShell-exempel skapas en ny lokal nätverksgateway:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Ibland behöver du ändra inställningarna för den lokala nätverksgatewayen. När du till exempel lägger till eller ändrar adressintervallet eller om VPN-enhetens IP-adress ändras. Mer information finns i Ändra inställningar för lokal nätverksgateway.

REST-API:er, PowerShell-cmdletar och CLI

Tekniska resurser och specifika syntaxkrav när du använder REST-API:er, PowerShell-cmdletar eller Azure CLI för VPN Gateway-konfigurationer finns på följande sidor:

Nästa steg

Mer information om tillgängliga anslutningskonfigurationer finns i Om VPN Gateway.