Dela via


Om VPN-routning från punkt till plats

Den här artikeln hjälper dig att förstå hur Azure Point-to-Site VPN-routning fungerar. P2S VPN-routningsbeteendet är beroende av klientoperativsystemet, vilket protokoll som används för VPN-anslutningen och hur de virtuella nätverken (VNet) är anslutna till varandra. Mer information om punkt-till-plats-VPN, inklusive protokoll som stöds, finns i Om punkt-till-plats-VPN.

Om du ändrar topologin för nätverket och har Windows VPN-klienter måste VPN-klientpaketet för Windows-klienter laddas ned och installeras igen för att ändringarna ska tillämpas på klienten.

Kommentar

Den här artikeln gäller endast för IKEv2 och OpenVPN.

Om diagrammen

Det finns ett antal olika diagram i den här artikeln. Varje avsnitt visar en annan topologi eller konfiguration. I den här artikeln fungerar anslutningar från plats till plats (S2S) och VNet-till-VNet på samma sätt, eftersom båda är IPsec-tunnlar. Alla VPN-gatewayer i den här artikeln är routningsbaserade.

Ett isolerat virtuellt nätverk

Vpn-gatewayanslutningen punkt-till-plats i det här exemplet är för ett virtuellt nätverk som inte är anslutet eller peerkopplat med något annat virtuellt nätverk (VNet1). I det här exemplet kan klienter komma åt VNet1.

Isolerad VNet-routning

Adressutrymme

  • VNet1: 10.1.0.0/16

Vägar har lagts till

  • Vägar som lagts till i Windows-klienter: 10.1.0.0/16, 192.168.0.0/24

  • Vägar som lagts till för icke-Windows-klienter: 10.1.0.0/16, 192.168.0.0/24

Access

  • Windows-klienter kan komma åt VNet1

  • Icke-Windows-klienter kan komma åt VNet1

Flera peer-kopplade virtuella nätverk

I det här exemplet är vpn-gatewayanslutningen punkt-till-plats för VNet1. VNet1 är peerkopplat med VNet2. VNet 2 är peerkopplat med VNet3. VNet1 är peerkopplat med VNet4. Det finns ingen direkt peering mellan VNet1 och VNet3. VNet1 har "Tillåt gatewayöverföring" och VNet2 och VNet4 har "Använd fjärrgatewayer" aktiverat.

Klienter som använder Windows kan komma åt direkt peerkopplade virtuella nätverk, men VPN-klienten måste laddas ned igen om några ändringar görs i VNet-peering eller nätverkstopologin. Icke-Windows-klienter kan komma åt direkt peerkopplade virtuella nätverk. Åtkomsten är inte transitiv och är begränsad till endast direkt peerkopplade virtuella nätverk.

Flera peer-kopplade virtuella nätverk

Adressutrymme:

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • VNet4: 10.4.0.0/16

Vägar har lagts till

  • Vägar som lagts till i Windows-klienter: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

  • Vägar som lagts till för icke-Windows-klienter: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

Access

  • Windows-klienter kan komma åt VNet1, VNet2 och VNet4, men VPN-klienten måste laddas ned igen för att eventuella topologiändringar ska börja gälla.

  • Icke-Windows-klienter kan komma åt VNet1, VNet2 och VNet4

Flera virtuella nätverk anslutna med en S2S VPN

I det här exemplet är vpn-gatewayanslutningen punkt-till-plats för VNet1. VNet1 är anslutet till VNet2 med hjälp av en PLATS-till-plats-VPN-anslutning. VNet2 är anslutet till VNet3 med hjälp av en VPN-anslutning från plats till plats. Det finns ingen direkt peering- eller plats-till-plats-VPN-anslutning mellan VNet1 och VNet3. Alla plats-till-plats-anslutningar kör inte BGP för routning.

Klienter som använder Windows, eller ett annat operativsystem som stöds, kan bara komma åt VNet1. För att få åtkomst till ytterligare virtuella nätverk måste BGP användas.

Flera virtuella nätverk och S2S

Adressutrymme

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Vägar har lagts till

  • Vägar som lagts till i Windows-klienter: 10.1.0.0/16, 192.168.0.0/24

  • Vägar som lagts till för icke-Windows-klienter: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24

Access

  • Windows-klienter kan bara komma åt VNet1

  • Icke-Windows-klienter kan endast komma åt VNet1

Flera virtuella nätverk anslutna med en S2S VPN (BGP)

I det här exemplet är vpn-gatewayanslutningen punkt-till-plats för VNet1. VNet1 är anslutet till VNet2 med hjälp av en PLATS-till-plats-VPN-anslutning. VNet2 är anslutet till VNet3 med hjälp av en VPN-anslutning från plats till plats. Det finns ingen direkt peering- eller plats-till-plats-VPN-anslutning mellan VNet1 och VNet3. Alla plats-till-plats-anslutningar kör BGP för routning.

Klienter som använder Windows, eller ett annat operativsystem som stöds, kan komma åt alla virtuella nätverk som är anslutna med en PLATS-till-plats-VPN-anslutning, men vägar till anslutna virtuella nätverk måste läggas till manuellt i Windows-klienterna.

Flera virtuella nätverk och S2S (BGP)

Adressutrymme

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Vägar har lagts till

  • Vägar som lagts till i Windows-klienter: 10.1.0.0/16, 192.168.0.0/24

  • Vägar som lagts till för icke-Windows-klienter: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24

Access

  • Windows-klienter kan komma åt VNet1, VNet2 och VNet3, men vägar till VNet2 och VNet3 måste läggas till manuellt.

  • Icke-Windows-klienter kan komma åt VNet1, VNet2 och VNet3

Ett virtuellt nätverk och ett avdelningskontor

I det här exemplet är vpn-gatewayanslutningen punkt-till-plats för VNet1. VNet1 är inte anslutet/peerkopplat med något annat virtuellt nätverk, men är anslutet till en lokal plats via en plats-till-plats-VPN-anslutning som inte kör BGP.

Windows- och icke-Windows-klienter kan bara komma åt VNet1.

Routning med ett virtuellt nätverk och ett avdelningskontor

Adressutrymme

  • VNet1: 10.1.0.0/16

  • Webbplats1: 10.101.0.0/16

Vägar har lagts till

  • Vägar som lagts till i Windows-klienter: 10.1.0.0/16, 192.168.0.0/24

  • Vägar som lagts till för icke-Windows-klienter: 10.1.0.0/16, 192.168.0.0/24

Access

  • Windows-klienter kan bara komma åt VNet1

  • Icke-Windows-klienter kan endast komma åt VNet1

Ett virtuellt nätverk och ett avdelningskontor (BGP)

I det här exemplet är vpn-gatewayanslutningen punkt-till-plats för VNet1. VNet1 är inte anslutet eller peerkopplat med något annat virtuellt nätverk, men är anslutet till en lokal plats (Plats1) via en PLATS-till-plats-VPN-anslutning som kör BGP.

Windows-klienter kan komma åt det virtuella nätverket och avdelningskontoret (Site1), men vägarna till Site1 måste läggas till manuellt i klienten. Icke-Windows-klienter kan komma åt det virtuella nätverket och det lokala avdelningskontoret.

Routning med ett VNet och ett avdelningskontor – BGP

Adressutrymme

  • VNet1: 10.1.0.0/16

  • Webbplats1: 10.101.0.0/16

Vägar har lagts till

  • Vägar som lagts till i Windows-klienter: 10.1.0.0/16, 192.168.0.0/24

  • Vägar som lagts till för icke-Windows-klienter: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Windows-klienter kan komma åt VNet1 och Site1, men vägar till Site1 måste läggas till manuellt.

  • Icke-Windows-klienter kan komma åt VNet1 och Site1.

Flera virtuella nätverk anslutna med S2S och ett avdelningskontor

I det här exemplet är vpn-gatewayanslutningen punkt-till-plats för VNet1. VNet1 är anslutet till VNet2 med hjälp av en PLATS-till-plats-VPN-anslutning. VNet2 är anslutet till VNet3 med hjälp av en VPN-anslutning från plats till plats. Det finns ingen direkt peering- eller plats-till-plats-VPN-tunnel mellan VNet1- och VNet3-nätverken. VNet3 är anslutet till ett avdelningskontor (Plats1) med hjälp av en VPN-anslutning från plats till plats. Alla VPN-anslutningar kör inte BGP.

Alla klienter kan endast komma åt VNet1.

Diagram som visar ett S2S för flera virtuella nätverk och ett avdelningskontor

Adressutrymme

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Webbplats1: 10.101.0.0/16

Vägar har lagts till

  • Vägar som lagts till i Windows-klienter: 10.1.0.0/16, 192.168.0.0/24

  • Vägar som lagts till för icke-Windows-klienter: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Windows-klienterna kan endast komma åt VNet1

  • Icke-Windows-klienter kan endast komma åt VNet1

Flera virtuella nätverk anslutna med S2S och ett avdelningskontor (BGP)

I det här exemplet är vpn-gatewayanslutningen punkt-till-plats för VNet1. VNet1 är anslutet till VNet2 med hjälp av en PLATS-till-plats-VPN-anslutning. VNet2 är anslutet till VNet3 med hjälp av en VPN-anslutning från plats till plats. Det finns ingen direkt peering- eller plats-till-plats-VPN-tunnel mellan VNet1- och VNet3-nätverken. VNet3 är anslutet till ett avdelningskontor (Plats1) med hjälp av en VPN-anslutning från plats till plats. Alla VPN-anslutningar kör BGP.

Klienter som använder Windows kan komma åt virtuella nätverk och platser som är anslutna med en VPN-anslutning från plats till plats, men vägarna till VNet2, VNet3 och Site1 måste läggas till manuellt i klienten. Icke-Windows-klienter kan komma åt virtuella nätverk och webbplatser som är anslutna med en PLATS-till-plats-VPN-anslutning utan manuella åtgärder. Åtkomsten är transitiv och klienterna kan komma åt resurser i alla anslutna virtuella nätverk och platser (lokalt).

multi-VNet S2S och avdelningskontor

Adressutrymme

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Webbplats1: 10.101.0.0/16

Vägar har lagts till

  • Vägar som lagts till i Windows-klienter: 10.1.0.0/16, 192.168.0.0/24

  • Vägar som lagts till för icke-Windows-klienter: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Windows-klienterna kan komma åt VNet1, VNet2, VNet3 och Site1, men vägar till VNet2, VNet3 och Site1 måste läggas till manuellt i klienten.

  • Icke-Windows-klienter kan komma åt VNet1, Vnet2, VNet3 och Site1.

Nästa steg

Se Skapa ett P2S VPN med hjälp av Azure Portal för att börja skapa din P2S VPN.