Siteden siteye bağlantılar için Varsayılan Site'yi kullanarak zorlamalı tünel yapılandırma
Bu makaledeki adımlar, Varsayılan Site belirterek siteden siteye (S2S) IPsec bağlantıları için zorlamalı tünel yapılandırmanıza yardımcı olur. BGP aracılığıyla zorlamalı tünel yapılandırma da dahil olmak üzere zorlamalı tünel yapılandırma yöntemleri hakkında bilgi için bkz . VPN Gateway için zorlamalı tünel oluşturma hakkında.
Varsayılan olarak, VM'lerinizden İnternet'e bağlı trafik doğrudan İnternet'e gider. VPN ağ geçidi üzerinden İnternet'e bağlı tüm trafiği denetleme ve denetim için şirket içi siteye zorlamak istiyorsanız, zorlamalı tünel yapılandırarak bunu yapabilirsiniz. Zorlamalı tüneli yapılandırdıktan sonra, isterseniz özel kullanıcı tanımlı yolları (UDR) kullanarak İnternet'e bağlı trafiği belirtilen alt ağlar için doğrudan İnternet'e yönlendirebilirsiniz.
Aşağıdaki adımlar, Varsayılan Site belirterek zorlamalı tünel senaryolarını yapılandırmanıza yardımcı olur. İsteğe bağlı olarak, özel UDR kullanarak, Ön uç alt ağından İnternet'e bağlı trafiğin şirket içi site yerine doğrudan İnternet'e gittiğini belirterek trafiği yönlendirebilirsiniz.
- Oluşturduğunuz sanal ağın üç alt ağı vardır: Ön uç, Orta katman ve Dört şirket arası bağlantısı olan Arka Uç: DefaultSiteHQ ve üç dal.
- Tüm İnternet trafiğini şirket içi konuma geri zorlayan PowerShell kullanarak VPN ağ geçidiniz için Varsayılan Site'yi belirtirsiniz. Varsayılan Site, Azure portalı kullanılarak yapılandırılamaz.
- Ön uç alt ağını, VPN ağ geçidini atlayarak İnternet trafiğini doğrudan İnternet'e göndermek için bir UDR atanır. Diğer trafik normal şekilde yönlendirilir.
- Orta katman ve Arka uç alt ağlarında, Varsayılan Site belirtildiğinden İnternet trafiği, VPN ağ geçidi üzerinden şirket içi siteye geri tünel açmaya devam eder.
Sanal ağ ve alt ağlar oluşturma
İlk olarak test ortamını oluşturun. Azure Cloud Shell'i kullanabilir veya PowerShell'i yerel olarak çalıştırabilirsiniz. Daha fazla bilgi için bkz. Azure PowerShell’i yükleme ve yapılandırma.
Dekont
"Bu cmdlet'in çıkış nesne türü gelecek bir sürümde değiştirilecek" uyarılarını görebilirsiniz. Bu beklenen bir davranıştır ve bu uyarıları güvenle yoksayabilirsiniz.
New-AzResourceGroup kullanarak bir kaynak grubu oluşturun.
New-AzResourceGroup -Name "TestRG1" -Location "EastUS"New-AzVirtualNetwork komutunu kullanarak sanal ağı oluşturun.
$vnet = New-AzVirtualNetwork ` -ResourceGroupName "TestRG1" ` -Location "EastUS" ` -Name "VNet1" ` -AddressPrefix 10.1.0.0/16New-AzVirtualNetworkSubnetConfig komutunu kullanarak alt ağlar oluşturun. Ön Uç, Orta katman ve Arka uç alt ağları ve bir ağ geçidi alt ağı (GatewaySubnet olarak adlandırılmalıdır) oluşturun.
$subnetConfigFrontend = Add-AzVirtualNetworkSubnetConfig ` -Name Frontend ` -AddressPrefix 10.1.0.0/24 ` -VirtualNetwork $vnet $subnetConfigMid-tier = Add-AzVirtualNetworkSubnetConfig ` -Name Mid-tier ` -AddressPrefix 10.1.1.0/24 ` -VirtualNetwork $vnet $subnetConfigBackend = Add-AzVirtualNetworkSubnetConfig ` -Name Backend ` -AddressPrefix 10.1.2.0/24 ` -VirtualNetwork $vnet $subnetConfigGW = Add-AzVirtualNetworkSubnetConfig ` -Name GatewaySubnet ` -AddressPrefix 10.1.200.0/27 ` -VirtualNetwork $vnetAlt ağ yapılandırmalarını, sanal ağda alt ağları oluşturan Set-AzVirtualNetwork ile sanal ağa yazın:
$vnet | Set-AzVirtualNetwork
Yerel ağ geçitleri oluşturma
Bu bölümde, New-AzLocalNetworkGateway komutunu kullanarak siteler için yerel ağ geçitlerini oluşturun. Her yerel ağ geçidi oluşturulurken her komut arasında küçük bir duraklama vardır. Bu örnekte, -GatewayIpAddress değerler yer tutuculardır. Bağlantı oluşturmak için bu değerleri daha sonra ilgili şirket içi VPN cihazlarının genel IP adresleriyle değiştirmeniz gerekir.
$lng1 = New-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.111" -AddressPrefix "192.168.1.0/24"
$lng2 = New-AzLocalNetworkGateway -Name "Branch1" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.112" -AddressPrefix "192.168.2.0/24"
$lng3 = New-AzLocalNetworkGateway -Name "Branch2" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.113" -AddressPrefix "192.168.3.0/24"
$lng4 = New-AzLocalNetworkGateway -Name "Branch3" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.114" -AddressPrefix "192.168.4.0/24"
VPN ağ geçidi oluşturma
Bu bölümde genel IP adresi istemeniz ve genel IP adresi nesnesiyle ilişkili bir VPN ağ geçidi oluşturmanız gerekir. Genel IP adresi, şirket içi veya dış VPN cihazını şirket içi bağlantılar için VPN ağ geçidine bağladığınızda kullanılır.
New-AzPublicIpAddress komutunu kullanarak VPN ağ geçidiniz için bir genel IP adresi isteyin.
$gwpip = New-AzPublicIpAddress -Name "GatewayIP" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku StandardNew-AzVirtualNetworkGatewayIpConfig komutunu kullanarak ağ geçidi IP adresi yapılandırmasını oluşturun. VPN ağ geçidini oluşturduğunuzda bu yapılandırmaya başvurulur.
$vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1" $gwsubnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $gwsubnet.Id -PublicIpAddressId $gwpip.IdNew-AzVirtualNetworkGateway komutunu kullanarak "Vpn" ağ geçidi türüyle sanal ağ geçidi oluşturun. Ağ geçidi oluşturmak, seçtiğiniz ağ geçidi SKU'sunun seçimine bağlı olarak 45 dakika veya daha uzun sürebilir.
Bu örnekte VpnGw2, 2. Nesil SKU'su kullanılır. GatewaySKU değeriyle ilgili ValidateSet hataları görürseniz PowerShell cmdlet'lerinin en son sürümünü yüklediğinizi doğrulayın. En son sürüm, en son Ağ Geçidi SKU'ları için yeni doğrulanmış değerleri içerir.
New-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1" -Location "EastUS" -IpConfigurations $gwipconfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2"
Zorlamalı tüneli yapılandırma - Varsayılan Site
Sanal ağ geçidine Varsayılan Site atayarak zorlamalı tünel oluşturmayı yapılandırın. Varsayılan Site belirtmezseniz, İnternet trafiği VPN ağ geçidi üzerinden zorlanmaz ve bunun yerine tüm alt ağlar için (varsayılan olarak) doğrudan İnternet'e geçer.
Ağ geçidi için Varsayılan Site atamak için -GatewayDefaultSite parametresini kullanırsınız. Bunu düzgün atadığınızdan emin olun.
İlk olarak, Varsayılan Site için sanal ağ geçidi bilgilerini ve yerel ağ geçidini belirten değişkenleri (bu örnekte DefaultSiteHQ) bildirin.
$LocalGateway = Get-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "TestRG1" $VirtualGateway = Get-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1"Ardından Set-AzVirtualNetworkGatewayDefaultSite komutunu kullanarak sanal ağ geçidi Varsayılan Sitesini ayarlayın.
Set-AzVirtualNetworkGatewayDefaultSite -GatewayDefaultSite $LocalGateway -VirtualNetworkGateway $VirtualGateway
Bu noktada, tüm İnternet'e bağlı trafik artık DefaultSiteHQ'ye zorlamalı tünel oluşturacak şekilde yapılandırılmıştır. Şirket içi VPN cihazı, trafik seçici olarak 0.0.0.0/0 kullanılarak yapılandırılmalıdır.
- Yalnızca zorlamalı tünel yapılandırmak ve İnternet trafiğini belirli alt ağlar için doğrudan İnternet'e yönlendirmek istemiyorsanız, bağlantılarınızı oluşturmak için bu makalenin Bağlan ions oluşturma bölümüne atlayabilirsiniz.
- Belirli alt ağların İnternet'e bağlı trafiği doğrudan İnternet'e göndermesini istiyorsanız, özel UDF'leri yapılandırmak ve yolları atamak için sonraki bölümlerle devam edin.
Belirli alt ağlar için İnternet'e bağlı trafiği yönlendirme
Seçenek olarak, İnternet'e bağlı trafiğin belirli alt ağlar için (şirket içi ağınız yerine) doğrudan İnternet'e gönderilmesini istiyorsanız aşağıdaki adımları kullanın. Bu adımlar, Varsayılan Site belirtilerek yapılandırılan veya BGP aracılığıyla yapılandırılmış zorlamalı tünel için geçerlidir.
Yol tabloları ve yollar oluşturma
İnternet'e bağlı trafiğin doğrudan İnternet'e gitmesi gerektiğini belirtmek için gerekli yol tablosunu ve yolunu oluşturun. Daha sonra yol tablosunu Ön uç alt asına atayacaksınız.
New-AzRouteTable kullanarak yol tablolarını oluşturun.
$routeTable1 = New-AzRouteTable ` -Name 'RouteTable1' ` -ResourceGroupName "TestRG1" ` -location "EastUS"Aşağıdaki cmdlet'leri kullanarak yollar oluşturun: GetAzRouteTable, Add-AzRouteConfig ve Set-AzRouteConfig. RouteTable1'de sonraki atlama türü "Internet" için yolu oluşturun. Bu yol daha sonra Ön uç alt asına atanır.
Get-AzRouteTable ` -ResourceGroupName "TestRG1" ` -Name "RouteTable1" ` | Add-AzRouteConfig ` -Name "ToInternet" ` -AddressPrefix 0.0.0.0/0 ` -NextHopType "Internet" ` | Set-AzRouteTable
Yolları atama
Bu bölümde, aşağıdaki PowerShell komutlarını kullanarak yol tablosunu ve yolları Ön uç alt asına atarsınız: GetAzRouteTable, Set-AzRouteConfig ve Set-AzVirtualNetwork.
Frontend alt akını RouteTable1'e atayın ve "ToInternet" yolunun sonraki atlama İnterneti ile 0.0.0.0/0 olduğunu belirtin.
$vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1" $routeTable1 = Get-AzRouteTable ` -ResourceGroupName "TestRG1" ` -Name "RouteTable1" Set-AzVirtualNetworkSubnetConfig ` -VirtualNetwork $vnet ` -Name 'Frontend' ` -AddressPrefix 10.1.0.0/24 ` -RouteTable $routeTable1 | ` Set-AzVirtualNetwork
S2S VPN bağlantıları kurma
S2S bağlantılarını kurmak için New-AzVirtualNetworkGateway Bağlan ion kullanın.
Değişkenlerinizi bildirin.
$gateway = Get-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1" $lng1 = Get-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "TestRG1" $lng2 = Get-AzLocalNetworkGateway -Name "Branch1" -ResourceGroupName "TestRG1" $lng3 = Get-AzLocalNetworkGateway -Name "Branch2" -ResourceGroupName "TestRG1" $lng4 = Get-AzLocalNetworkGateway -Name "Branch3" -ResourceGroupName "TestRG1"Bağlantıları oluşturun.
New-AzVirtualNetworkGatewayConnection -Name "Connection1" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng1 -ConnectionType IPsec -SharedKey "preSharedKey" New-AzVirtualNetworkGatewayConnection -Name "Connection2" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng2 -ConnectionType IPsec -SharedKey "preSharedKey" New-AzVirtualNetworkGatewayConnection -Name "Connection3" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng3 -ConnectionType IPsec -SharedKey "preSharedKey" New-AzVirtualNetworkGatewayConnection -Name "Connection4" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng4 -ConnectionType IPsec -SharedKey "preSharedKey"Bağlantıyı görüntülemek için aşağıdaki örneği kullanın. Görüntülemek istediğiniz bağlantıyı belirtmek için gerekli değerleri değiştirin.
Get-AzVirtualNetworkGatewayConnection -Name "Connection1" -ResourceGroupName "TestRG1"
Sonraki adımlar
VPN Gateway hakkında daha fazla bilgi için bkz . VPN Gateway SSS.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin