Om konfigurationsinställningar för VPN Gateway
Vpn Gateway-anslutningsarkitekturen förlitar sig på konfigurationen av flera resurser, som var och en innehåller konfigurerbara inställningar. I avsnitten i den här artikeln beskrivs de resurser och inställningar som är relaterade till en VPN-gateway för ett virtuellt nätverk som skapats i Resource Manager-distributionsmodellen. Du hittar beskrivningar och topologidiagram för varje anslutningslösning i artikeln OM VPN Gateway-topologi och design .
Värdena i den här artikeln gäller specifikt för VPN-gatewayer (virtuella nätverksgatewayer som använder -GatewayType Vpn). Om du letar efter information om följande typer av gatewayer kan du läsa följande artiklar:
- Värden som gäller för -GatewayType ExpressRoute finns i Virtuella nätverksgatewayer för ExpressRoute.
- För zonredundanta gatewayer, se Om zonredundanta gatewayer.
- För aktiva-aktiva gatewayer, se Om anslutning med hög tillgänglighet.
- Information om Virtual WAN-gatewayer finns i Om Virtual WAN.
Gatewayer och gatewaytyper
En virtuell nätverksgateway består av två eller flera Azure-hanterade virtuella datorer som konfigureras och distribueras automatiskt till ett specifikt undernät som du skapar som kallas gateway-undernätet. De virtuella gatewaydatorerna innehåller routningstabeller och kör specifika gatewaytjänster.
När du skapar en virtuell nätverksgateway distribueras de virtuella gatewaydatorerna automatiskt till gatewayundernätet (alltid med namnet GatwaySubnet) och konfigureras med de inställningar som du har angett. Den här processen kan ta 45 minuter eller mer att slutföra, beroende på vilken gateway-SKU du har valt.
En av de inställningar som du anger när du skapar en virtuell nätverksgateway är gatewaytypen. Gatewaytypen avgör hur den virtuella nätverksgatewayen används och vilka åtgärder som gatewayen vidtar. Ett virtuellt nätverk kan ha två virtuella nätverksgatewayer. en VPN-gateway och en ExpressRoute-gateway. Gatewaytypen "Vpn" anger att den typ av virtuell nätverksgateway som skapas är en VPN-gateway. Detta skiljer den från en ExpressRoute-gateway, som använder en annan gatewaytyp.
När du skapar en virtuell nätverksgateway måste du se till att gatewaytypen är korrekt för din konfiguration. Tillgängliga värden för -GatewayType är:
- Vpn
- ExpressRoute
En VPN-gateway kräver -GatewayTypeVPN.
Exempel:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Gateway-SKU:er och prestanda
I artikeln Om gateway-SKU:er finns den senaste informationen om gateway-SKU:er, prestanda och funktioner som stöds.
VPN-typer
Azure stöder två olika VPN-typer för VPN-gatewayer: principbaserade och routningsbaserade. Routningsbaserade VPN-gatewayer bygger på en annan plattform än principbaserade VPN-gatewayer. Detta resulterar i olika gatewayspecifikationer.
I de flesta fall skapar du en routningsbaserad VPN-gateway. Tidigare hade de äldre gateway-SKU:erna inte stöd för IKEv1 för routningsbaserade gatewayer. Nu har de flesta av de aktuella gateway-SKU:erna stöd för både IKEv1 och IKEv2. Om du redan har en principbaserad gateway behöver du inte uppgradera din gateway till routningsbaserad.
Om du vill skapa en principbaserad gateway använder du PowerShell eller CLI. Från och med den 1 oktober 2023 kan du inte skapa en principbaserad VPN-gateway via Azure-portalen. Endast routningsbaserade gatewayer är tillgängliga.
| Gateway-VPN-typ | Gateway-SKU | IKE-versioner som stöds |
|---|---|---|
| Principbaserad gateway | Grundläggande | IKEv1 |
| Routningsbaserad gateway | Grundläggande | IKEv2 |
| Routningsbaserad gateway | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 och IKEv2 |
| Routningsbaserad gateway | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 och IKEv2 |
Anslutningstyper
I Resource Manager-distributionsmodellen kräver varje konfiguration en specifik anslutningstyp för virtuell nätverksgateway. Tillgängliga PowerShell-värden i Resource Manager för -ConnectionType är:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
I följande PowerShell-exempel skapar vi en S2S-anslutning som kräver anslutningstypen IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
Anslut ionslägen
Egenskapen Anslut ion Mode gäller endast för routningsbaserade VPN-gatewayer som använder IKEv2-anslutningar. Anslut ionslägen definierar initieringsriktningen för anslutningen och gäller endast för den första IKE-anslutningsanläggningen. Alla parter kan initiera nycklar och ytterligare meddelanden. InitiatorOnly innebär att anslutningen måste initieras av Azure. ResponderOnly innebär att anslutningen måste initieras av den lokala enheten. Standardbeteendet är att acceptera och ringa upp beroende på vilket som ansluter först.
Gateway-undernät
Innan du skapar en VPN-gateway måste du skapa ett gatewayundernät. Gateway-undernätet innehåller DE IP-adresser som virtuella nätverksgatewaydatorer och -tjänster använder. När du skapar din virtuella nätverksgateway distribueras virtuella gatewaydatorer till gatewayundernätet och konfigureras med nödvändiga VPN-gatewayinställningar. Distribuera aldrig något annat (till exempel fler virtuella datorer) till gatewayundernätet. Gateway-undernätet måste ha namnet "GatewaySubnet" för att fungera korrekt. Genom att namnge gatewayundernätet "GatewaySubnet" vet Azure att det här är det undernät som det ska distribuera virtuella nätverksgatewaydatorer och -tjänster till.
När du skapar gatewayundernätet anger du det antal IP-adresser som undernätet innehåller. IP-adresserna i gatewayundernätet allokeras till de virtuella gatewaydatorerna och gatewaytjänsterna. Vissa konfigurationer kräver fler IP-adresser än andra.
När du planerar din gateway-undernätsstorlek läser du dokumentationen för den konfiguration som du planerar att skapa. ExpressRoute/VPN Gateway-samexistenskonfigurationen kräver till exempel ett större gateway-undernät än de flesta andra konfigurationer. Även om det är möjligt att skapa ett gateway-undernät så litet som /29 (gäller endast basic-SKU:n), kräver alla andra SKU:er ett gatewayundernät med storleken /27 eller större (/27, /26, /25 osv.). Du kanske vill skapa ett gateway-undernät som är större än /27 så att undernätet har tillräckligt med IP-adresser för att hantera eventuella framtida konfigurationer.
Följande Resource Manager PowerShell-exempel visar ett gatewayundernät med namnet GatewaySubnet. Du kan se att CIDR-notationen anger en /27, som tillåter tillräckligt med IP-adresser för de flesta konfigurationer som för närvarande finns.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Överväganden:
Användardefinierade vägar med ett 0.0.0.0/0-mål och NSG:er på GatewaySubnet stöds inte. Gatewayer med den här konfigurationen blockeras från att skapas. Gatewayer behöver åtkomst till hanteringsstyrenheterna för att kunna fungera korrekt. BGP-vägspridning bör anges till "Aktiverad" i GatewaySubnet för att säkerställa tillgängligheten för gatewayen. Om spridning av BGP-vägar är inställd på inaktiverad fungerar inte gatewayen.
Diagnostik, datasökväg och kontrollsökväg kan påverkas om en användardefinierad väg överlappar intervallet för gatewayundernät eller gatewayens offentliga IP-intervall.
Lokala nätverksgatewayer
En lokal nätverksgateway skiljer sig från en virtuell nätverksgateway. När du arbetar med en VPN-gateways plats-till-plats-arkitektur representerar den lokala nätverksgatewayen vanligtvis ditt lokala nätverk och motsvarande VPN-enhet. I den klassiska distributionsmodellen kallas den lokala nätverksgatewayen för en lokal plats.
När du konfigurerar en lokal nätverksgateway anger du namnet, den offentliga IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för den lokala VPN-enheten och adressprefixen som finns på den lokala platsen. Azure tittar på måladressprefixen för nätverkstrafik, läser konfigurationen som du angav för din lokala nätverksgateway och dirigerar paketen därefter. Om du använder BGP (Border Gateway Protocol) på VPN-enheten anger du BGP-peer-IP-adressen för vpn-enheten och det autonoma systemnumret (ASN) för ditt lokala nätverk. Du kan också ange lokala nätverksgatewayer för VNet-till-VNet-konfigurationer som använder en VPN-gatewayanslutning.
I följande PowerShell-exempel skapas en ny lokal nätverksgateway:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Ibland behöver du ändra inställningarna för den lokala nätverksgatewayen. När du till exempel lägger till eller ändrar adressintervallet eller om VPN-enhetens IP-adress ändras. Mer information finns i Ändra inställningar för lokal nätverksgateway.
REST-API:er, PowerShell-cmdletar och CLI
Tekniska resurser och specifika syntaxkrav när du använder REST-API:er, PowerShell-cmdletar eller Azure CLI för VPN Gateway-konfigurationer finns på följande sidor:
| Klassisk | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST-API | REST-API |
| Stöds inte | Azure CLI |
Nästa steg
Mer information om tillgängliga anslutningskonfigurationer finns i Om VPN Gateway.