Konfigurera VPN-gatewayinställningar för Azure Stack Hub
En VPN-gateway är en typ av virtuell nätverksgateway som skickar krypterad trafik mellan ditt virtuella nätverk i Azure Stack Hub och en fjärr-VPN-gateway. Fjärr-VPN-gatewayen kan finnas i Azure, en enhet i ditt datacenter eller en enhet på en annan plats. Om det finns nätverksanslutning mellan de två slutpunkterna kan du upprätta en säker VPN-anslutning från plats till plats (S2S) mellan de två nätverken.
En VPN-gateway förlitar sig på konfigurationen av flera resurser, som var och en innehåller konfigurerbara inställningar. I den här artikeln beskrivs de resurser och inställningar som är relaterade till en VPN-gateway för ett virtuellt nätverk som du skapar i Resource Manager-distributionsmodellen. Du hittar beskrivningar och topologidiagram för varje anslutningslösning i Skapa VPN-gatewayer för Azure Stack Hub.
VPN-gatewayinställningar
Gateway-typer
Varje virtuellt Azure Stack Hub-nätverk stöder en enda virtuell nätverksgateway, som måste vara av typen Vpn. Det här stödet skiljer sig från Azure, som stöder ytterligare typer.
När du skapar en virtuell nätverksgateway måste du se till att gatewaytypen är korrekt för din konfiguration. En VPN-gateway kräver -GatewayType Vpn flaggan, till exempel:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Gateway-SKU:er utan aktiverad VPN-snabbsökväg
När du skapar en virtuell nätverksgateway måste du ange den SKU som du vill använda. Välj de SKU:er som uppfyller dina krav baserat på typerna av arbetsbelastningar, dataflöde, funktioner och serviceavtal.
Du kan ha 10 gatewayer med höga prestanda eller 20 grundläggande och standard innan du når den maximala kapaciteten.
Azure Stack Hub erbjuder DE VPN-gateway-SKU:er som visas i följande tabell:
| SKU | Maximalt VPN-anslutningsdataflöde | Maximalt antal anslutningar per aktiv GW VM | Max antal VPN-anslutningar per stämpel |
|---|---|---|---|
| Grundläggande | 100 Mbit/s Tx/Rx | 10 | 20 |
| Standard | 100 Mbit/s Tx/Rx | 10 | 20 |
| Höga prestanda | 200 Mbit/s Tx/Rx | 5 | 10 |
Gateway-SKU:er med vpn-snabbsökväg aktiverad
Med lanseringen av den offentliga förhandsversionen av VPN Fast Path stöder Azure Stack Hub tre nya SKU:er med högre dataflöde.
Nya gränser och dataflöde aktiveras när DEN snabba VPN-sökvägen är aktiverad på din Azure Stack-stämpel.
Azure Stack Hub erbjuder DE VPN-gateway-SKU:er som visas i följande tabell:
| SKU | Maximalt VPN-anslutningsdataflöde | Maximalt antal anslutningar per aktiv GW VM | Max antal VPN-anslutningar per stämpel |
|---|---|---|---|
| Grundläggande | 100 Mbit/s Tx/Rx | 25 | 50 |
| Standard | 100 Mbit/s Tx/Rx | 25 | 50 |
| Höga prestanda | 200 Mbit/s Tx/Rx | 12 | 24 |
| VPNGw1 | 650 Mbit/s Tx/Rx | 3 | 6 |
| VPNGw2 | 1 000 Mbit/s Tx/Rx | 2 | 4 |
| VPNGw3 | 1 250 Mbit/s Tx/Rx | 2 | 4 |
Ändra storlek på SKU:er för virtuella nätverksgatewayer
Azure Stack Hub stöder inte en storleksändring från en äldre SKU som stöds (Basic, Standard och HighPerformance) till en nyare SKU som stöds av Azure (VpnGw1, VpnGw2 och VpnGw3).
Nya virtuella nätverksgatewayer och anslutningar måste skapas för att kunna använda de nya SKU:erna som aktiveras av VPN Fast Path.
Konfigurera SKU:n för den virtuella nätverksgatewayen
Azure Stack Hub-portalen
Om du använder Azure Stack Hub-portalen för att skapa en virtuell nätverksgateway kan du välja SKU:n med listrutan. De nya SKU:erna för vpn-snabbsökväg (VpnGw1, VpnGw2, VpnGw3) visas bara när du har lagt till frågeparametern "?azurestacknewvpnskus=true" i URL:en och uppdaterat.
Följande URL-exempel gör de nya SKU:erna för virtuell nätverksgateway synliga i Azure Stack Hub-användarportalen:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Innan du skapar dessa resurser måste operatorn ha aktiverat SNABB VPN-sökväg på Azure Stack Hub-stämpeln. Mer information finns i VPN-snabbsökväg för operatorer.
PowerShell
I följande PowerShell-exempel anges parametern -GatewaySku som Standard:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Anslutningstyper
I Resource Manager-distributionsmodellen kräver varje konfiguration en specifik anslutningstyp för virtuell nätverksgateway. Tillgängliga Resource Manager PowerShell-värden för -ConnectionType är IPsec.
I följande PowerShell-exempel skapas en S2S-anslutning som kräver IPsec-anslutningstypen:
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
VPN-typer
När du skapar den virtuella nätverksgatewayen för en VPN-gatewaykonfiguration måste du ange en VPN-typ. Vilken VPN-typ du väljer beror på vilken anslutningstopologi du vill skapa. En VPN-typ kan också bero på vilken maskinvara du använder. S2S-konfigurationer kräver en VPN-enhet. Vissa VPN-enheter stöder endast en viss VPN-typ.
Viktigt!
För närvarande stöder Azure Stack Hub endast den routningsbaserade VPN-typen. Om enheten bara stöder principbaserade VPN:er stöds inte anslutningar till dessa enheter från Azure Stack Hub.
Dessutom har Azure Stack Hub inte stöd för att använda principbaserade trafikväljare för routningsbaserade gatewayer just nu, eftersom Azure Stack Hub inte stöder principbaserade trafikväljare, även om de stöds i Azure.
PolicyBased: Principbaserade VPN:er krypterar och dirigerar paket via IPsec-tunnlar baserat på IPsec-principer som har konfigurerats med kombinationerna av adressprefix mellan ditt lokala nätverk och det virtuella Azure Stack Hub-nätverket. Principen, eller trafikväljaren, är vanligtvis en åtkomstlista i VPN-enhetskonfigurationen.
Kommentar
PolicyBased stöds i Azure, men inte i Azure Stack Hub.
RouteBased: Routningsbaserade VPN:er använder vägar som konfigureras i tabellen IP-vidarebefordran eller routning för att dirigera paket till motsvarande tunnelgränssnitt. Tunnelgränssnitten krypterar eller dekrypterar sedan paketen in och ut från tunnlarna. Principen, eller trafikväljaren, för Routningsbaserade VPN:er konfigureras som valfri (eller använder jokertecken). Som standard kan de inte ändras. Värdet för en RouteBased VPN-typ är RouteBased.
Följande PowerShell-exempel anger -VpnType som RouteBased. När du skapar en gateway måste du se till att -VpnType är korrekt för din konfiguration.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Konfigurationer som stöds av virtuella nätverksgatewayer när den snabba VPN-sökvägen inte är aktiverad
| SKU | VPN-typ | Connection type | Stöd för aktiv routning (BGP) | Nat-T-aktiverad fjärrslutpunkt |
|---|---|---|---|---|
| Grundläggande VNG SKU | Routningsbaserad VPN | I förväg delad IPSec-nyckel | Stöds inte | Krävs inte |
| Standard VNG SKU | Routningsbaserad VPN | I förväg delad IPSec-nyckel | Upp till 150 vägar som stöds | Krävs inte |
| Högpresterande VNG SKU | Routningsbaserad VPN | I förväg delad IPSec-nyckel | Upp till 150 vägar som stöds | Krävs inte |
Konfigurationer som stöds av virtuella nätverksgatewayer när snabb vpn-sökväg är aktiverad
| SKU | VPN-typ | Connection type | Stöd för aktiv routning (BGP) | Nat-T-aktiverad fjärrslutpunkt |
|---|---|---|---|---|
| Grundläggande VNG SKU | Routningsbaserad VPN | I förväg delad IPSec-nyckel | Stöds inte | Obligatoriskt |
| Standard VNG SKU | Routningsbaserad VPN | I förväg delad IPSec-nyckel | Upp till 150 vägar som stöds | Obligatoriskt |
| Högpresterande VNG SKU | Routningsbaserad VPN | I förväg delad IPSec-nyckel | Upp till 150 vägar som stöds | Obligatoriskt |
| VPNGw1 VNG SKU | Routningsbaserad VPN | I förväg delad IPSec-nyckel | Upp till 150 vägar som stöds | Obligatoriskt |
| VPNGw2 VNG SKU | Routningsbaserad VPN | I förväg delad IPSec-nyckel | Upp till 150 vägar som stöds | Obligatoriskt |
| VPNGw2 VNG SKU | Routningsbaserad VPN | I förväg delad IPSec-nyckel | Upp till 150 vägar som stöds | Obligatoriskt |
Gateway-undernät
Innan du skapar en VPN-gateway måste du skapa ett gatewayundernät. Gateway-undernätet har DE IP-adresser som virtuella nätverksgatewaydatorer och -tjänster använder. När du skapar din virtuella nätverksgateway och anslutningen länkas den virtuella gatewaydatorn som äger anslutningen till gatewayundernätet och konfigureras med nödvändiga VPN-gatewayinställningar. Distribuera inte något annat (till exempel ytterligare virtuella datorer) till gatewayundernätet.
Viktigt!
Gateway-undernätet måste ha namnet GatewaySubnet för att fungera korrekt. Azure Stack Hub använder det här namnet för att identifiera det undernät som virtuella nätverksgatewayens virtuella datorer och tjänster ska distribueras till.
När du skapar gatewayundernätet anger du det antal IP-adresser som undernätet innehåller. IP-adresserna i gatewayundernätet allokeras till de virtuella gatewaydatorerna och gatewaytjänsterna. Vissa konfigurationer kräver fler IP-adresser än andra. Titta på anvisningarna för den konfiguration som du vill skapa och kontrollera att gatewayundernätet som du vill skapa uppfyller dessa krav.
Dessutom bör du se till att gatewayundernätet har tillräckligt med IP-adresser för att hantera ytterligare framtida konfigurationer. Även om du kan skapa ett gatewayundernät så litet som /29 rekommenderar vi att du skapar ett gateway-undernät på /28 eller större (/28, /27, /26 och så vidare.) På så sätt, om du lägger till funktioner i framtiden, behöver du inte riva din gateway och sedan ta bort och återskapa gateway-undernätet för att tillåta fler IP-adresser.
Följande Resource Manager PowerShell-exempel visar ett gatewayundernät med namnet GatewaySubnet. Du kan se att CIDR-notationen anger en /27, som tillåter tillräckligt med IP-adresser för de flesta konfigurationer som för närvarande finns.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Viktigt!
När du arbetar med gateway-undernät, bör du undvika att associera en nätverkssäkerhetsgrupp (NSG) till gateway-undernätet. Om du kopplar en nätverkssäkerhetsgrupp till det här undernätet kan vpn-gatewayen sluta fungera som förväntat. Mer information om nätverkssäkerhetsgrupper finns i Vad är en nätverkssäkerhetsgrupp?.
Lokala nätverksgatewayer
När du skapar en VPN-gatewaykonfiguration i Azure representerar den lokala nätverksgatewayen ofta din lokala plats. I Azure Stack Hub representerar den alla fjärr-VPN-enheter som finns utanför Azure Stack Hub. Den här enheten kan vara en VPN-enhet i ditt datacenter (eller ett fjärranslutet datacenter) eller en VPN-gateway i Azure.
Du ger den lokala nätverksgatewayen ett namn, den offentliga IP-adressen för den fjärranslutna VPN-enheten och anger adressprefixen som finns på den lokala platsen. Azure Stack Hub tittar på måladressprefixen för nätverkstrafik, läser konfigurationen som du har angett för din lokala nätverksgateway och dirigerar paketen därefter.
Det här PowerShell-exemplet skapar en ny lokal nätverksgateway:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '198.51.100.101' -AddressPrefix '10.5.51.0/24'
Ibland behöver du ändra inställningarna för den lokala nätverksgatewayen. Till exempel när du lägger till eller ändrar adressintervallet, eller om VPN-enhetens IP-adress ändras. Mer information finns i Ändra inställningar för lokal nätverksgateway med PowerShell.
IPsec-/IKE-parametrar
När du konfigurerar en VPN-anslutning i Azure Stack Hub måste du konfigurera anslutningen i båda ändar. Om du konfigurerar en VPN-anslutning mellan Azure Stack Hub och en maskinvaruenhet, till exempel en växel eller router som fungerar som en VPN-gateway, kan den enheten be dig om ytterligare inställningar.
Till skillnad från Azure, som stöder flera erbjudanden som både initierare och svarare, stöder Azure Stack Hub endast ett erbjudande som standard. Om du behöver använda olika IPSec/IKE-inställningar för att arbeta med din VPN-enhet finns det fler inställningar som du kan använda för att konfigurera anslutningen manuellt. Mer information finns i Konfigurera IPsec/IKE-princip för plats-till-plats-VPN-anslutningar.
Viktigt!
När du använder S2S-tunneln kapslas paketen in ytterligare med ytterligare rubriker som ökar paketets totala storlek. I dessa scenarier måste du fästa TCP MSS på 1350. Om vpn-enheterna inte stöder MSS-klämning kan du också ange MTU :t i tunnelgränssnittet till 1 400 byte i stället. Mer information finns i Prestandajustering för Virutal Network TCPIP.
Parametrar för IKE fas 1 (huvudläge)
| Property | Värde |
|---|---|
| IKE-version | IKEv2 |
| Diffie-Hellman Group* | ECP384 |
| Autentiseringsmetod | I förväg delad nyckel |
| Krypterings- och hashalgoritmer* | AES256, SHA384 |
| SA-livstid (tid) | 28 800 sekunder |
Parametrar för IKE fas 2 (snabbläge)
| Property | Värde |
|---|---|
| IKE-version | IKEv2 |
| Krypterings- och hashalgoritmer (kryptering) | GCMAES256 |
| Krypterings- och hashalgoritmer (autentisering) | GCMAES256 |
| SA-livstid (tid) | 27 000 sekunder |
| SA-livslängd (kilobyte) | 33,553,408 |
| Pfs (Perfect Forward Secrecy) * | ECP384 |
| Utebliven peer-identifiering | Stöds |
* Ny eller ändrad parameter.