VPN Gateway-topologi och design
Det finns många olika konfigurationsalternativ för VPN Gateway-anslutningar. Om du vill hjälpa dig att välja den anslutningstopologi som uppfyller dina krav använder du diagrammen och beskrivningarna i följande avsnitt. Diagrammen visar huvudtopologierna för baslinjen, men det går att skapa mer komplexa konfigurationer med hjälp av diagrammen som riktlinjer.
Plats-till-plats-VPN
En VPN-gatewayanslutning från plats till plats (S2S) är en anslutning via IPsec/IKE-tunneln (IKEv1 eller IKEv2). Plats-till-plats-anslutningar kan användas för flera platser och hybridkonfigurationer. En plats-till-plats-anslutning kräver en VPN-enhet som finns lokalt och som har en offentlig IP-adress tilldelad till sig.
Du kan skapa mer än en VPN-anslutning från din virtuella nätverksgateway, vanligtvis ansluta till flera lokala platser. När du arbetar med flera anslutningar måste du använda en RouteBased VPN-typ. Eftersom varje virtuellt nätverk bara kan ha en VPN-gateway delar alla anslutningar via gatewayen på den tillgängliga bandbredden. Den här typen av anslutningsdesign kallas ibland för flera platser.
Om du vill skapa en design för gatewayanslutning med hög tillgänglighet kan du konfigurera gatewayen så att den är i aktivt-aktivt läge. Med det här läget kan du konfigurera två aktiva tunnlar (en från varje instans av en virtuell gatewaydator) till samma VPN-enhet för att skapa anslutningar med hög tillgänglighet. Förutom att vara en anslutningsdesign med hög tillgänglighet är en annan fördel med aktivt-aktivt läge att kunderna upplever högre dataflöden.
- Om du vill ha information om att välja en VPN-enhet kan du läsa vanliga frågor och svar om VPN Gateway – VPN-enheter.
- Information om anslutningar med hög tillgänglighet finns i Designa anslutningar med hög tillgänglighet.
- Information om aktivt-aktivt läge finns i Om gatewayer för aktivt-aktivt läge.
Distributionsmodeller och -metoder för S2S
| Distributionsmodell | Azure Portal | PowerShell | Azure CLI |
|---|---|---|---|
| Resource Manager | Självstudie | Självstudie | Självstudie |
Punkt-till-plats-VPN
Med en punkt-till-plats-VPN-gatewayanslutning (P2S) kan du skapa en säker anslutning till ditt virtuella nätverk från en enskild klientdator. En punkt-till-plats-anslutning upprättas genom att den startas från klientdatorn. Den här lösningen är praktisk för distansarbetare som behöver ansluta till virtuella Azure-nätverk från en fjärransluten plats, t.ex. hemifrån eller från en konferens. Punkt-till-plats-VPN är också en användbar lösning att använda i stället för plats-till-plats-VPN när du bara har ett fåtal klienter som behöver ansluta till ett virtuellt nätverk.
Till skillnad från plats-till-plats-anslutningar kräver punkt-till-plats-anslutningar inte någon lokal offentlig IP-adress eller en VPN-enhet. Punkt-till-plats-anslutningar kan användas med plats-till-plats-anslutningar via samma VPN-gateway, så länge alla konfigurationskrav för båda anslutningarna är kompatibla. Mer information om punkt-till-plats-anslutningar finns i Om punkt-till-plats-VPN.
Distributionsmodeller och -metoder för P2S
| Autentiseringsmetod | Artikel |
|---|---|
| Certifikat | Självstudie Anvisningar |
| Microsoft Entra ID | Anvisningar |
| RADIUS | Anvisningar |
P2S VPN-klientkonfiguration
| Autentisering | Tunneltyp | Klientens operativsystem | VPN-klient |
|---|---|---|---|
| Certifikat | |||
| IKEv2, SSTP | Windows | Intern VPN-klient | |
| IKEv2 | macOS | Intern VPN-klient | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN-klient OpenVPN-klientversion 2.x OpenVPN-klientversion 3.x |
|
| OpenVPN | macOS | OpenVPN-klient | |
| OpenVPN | iOS | OpenVPN-klient | |
| OpenVPN | Linux | Azure VPN-klient OpenVPN-klient |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN-klient | |
| OpenVPN | macOS | Azure VPN-klient | |
| OpenVPN | Linux | Azure VPN-klient |
Anslutningar mellan virtuella nätverk (IPsec/IKE VPN-tunnel)
Att ansluta ett virtuellt nätverk till ett annat virtuellt nätverk (VNet-till-VNet) liknar att ansluta ett virtuellt nätverk till en lokal plats. Båda typerna av anslutning använder en VPN-gateway för att få en säker tunnel med IPsec/IKE. Du kan till och med kombinera VNet-till-VNet-kommunikation med anslutningskonfigurationer för flera platser. Det innebär att du kan etablera nätverkstopologier som kombinerar anslutningen för flera platser med en intern virtuell nätverksanslutning.
De virtuella nätverk som du ansluter kan vara:
- i samma eller olika regioner
- i samma eller olika prenumerationer
- i samma eller olika distributionsmodeller
Distributionsmodeller och metoder för VNet-till-VNet
| Distributionsmodell | Azure Portal | PowerShell | Azure CLI |
|---|---|---|---|
| Resource Manager | Självstudie+ | Självstudie | Självstudie |
(+) Anger att den här distributionsmetoden endast är tillgänglig för virtuella nätverk i samma prenumeration.
I vissa fall kanske du vill använda peering för virtuella nätverk i stället för VNet-till-VNet för att ansluta dina virtuella nätverk. Peering för virtuella nätverk använder inte en virtuell nätverksgateway. Mer information finns i Peering för virtuella nätverk.
Anslutningar för samexistens mellan plats-till-plats och ExpressRoute
ExpressRoute är en direkt, privat anslutning från ditt WAN (inte via det offentliga Internet) till Microsoft Services, inklusive Azure. VPN-trafik från plats till plats överförs krypterad via det offentliga Internet. Att kunna konfigurera VPN-anslutningar från plats till plats och ExpressRoute för samma virtuella nätverk har flera fördelar.
Du kan konfigurera ett plats-till-plats-VPN som en säker redundanssökväg för ExpressRoute, eller använda plats-till-plats-VPN för att ansluta till platser som inte ingår i nätverket, men som är anslutna via ExpressRoute. Observera att den här konfigurationen kräver två virtuella nätverksgatewayer för samma virtuella nätverk, en med gatewaytypen Vpn och den andra med gatewaytypen ExpressRoute.
Distributionsmodeller och metoder för samexisterande S2S- och ExpressRoute-anslutningar
| Distributionsmodell | Azure Portal | PowerShell |
|---|---|---|
| Resource Manager | Självstudie | Självstudie |
Anslutningar med hög tillgänglighet
Information om hur du planerar och utformar anslutningar med hög tillgänglighet, inklusive konfigurationer för aktivt-aktivt läge, finns i Designa gatewayanslutningar med hög tillgänglighet för anslutningar mellan platser och VNet-till-VNet.
Nästa steg
Mer information finns i avsnittet Vanliga frågor och svar om VPN Gateway.
Läs mer om konfigurationsinställningar för VPN Gateway.
Mer information om BGP-överväganden för VPN Gateway finns i Om BGP.
Lär dig mer om de andra viktiga nätverksfunktionerna i Azure.