Bu tarayıcı artık desteklenmiyor.
En son özelliklerden, güvenlik güncelleştirmelerinden ve teknik destekten faydalanmak için Microsoft Edge’e yükseltin.
Bu makalede, Azure VPN ağ geçitlerine bağlanmak için şirket içi VPN cihazlarını yapılandırmaya genel bir bakış sağlanır. Aynı parametreleri kullanarak farklı şirket içi VPN cihazı yapılandırmalarına nasıl bağlanabileceğinizi göstermek için örnek bir Azure sanal ağı ve VPN ağ geçidi kurulumu kullanılır.
Azure VPN ağ geçitleri, siteden siteye (S2S) VPN tünelleri için standart IPsec/IKE protokol paketlerini kullanır. Azure VPN ağ geçitleri için IPsec/IKE parametrelerinin ve şifreleme algoritmalarının listesi için bkz. VPN cihazları hakkında. Ayrıca, Şifreleme gereksinimleri hakkında bölümünde açıklandığı gibi belirli bir bağlantı için tam algoritmaları ve anahtar güçlü yanlarını belirtebilirsiniz.
Örnekteki ilk yapılandırma, Azure VPN ağ geçidi ile şirket içi VPN cihazı arasında tek bir S2S VPN tünelinden oluşur. İsteğe bağlı olarak VPN tüneli boyunca Sınır Ağ Geçidi Protokolü'ni (BGP) yapılandırabilirsiniz.
Tek bir VPN tüneli ayarlamaya yönelik adım adım yönergeler için bkz. Siteden siteye bağlantı yapılandırma. Aşağıdaki bölümlerde örnek yapılandırma için bağlantı parametreleri belirtilir ve başlamanıza yardımcı olacak bir PowerShell betiği sağlanır.
Bu bölümde, önceki bölümlerde açıklanan örneklerin parametreleri listelenir.
| Parametre | Değer |
|---|---|
| Sanal ağ adresi ön ekleri | 10.11.0.0/16 10.12.0.0/16 |
| Azure VPN ağ geçidi IP'si | Azure VPN Gateway IP |
| Şirket içi adres ön ekleri | 10.51.0.0/16 10.52.0.0/16 |
| Şirket içi VPN cihazı IP adresi | Şirket içi VPN cihazı IP adresi |
| * Sanal ağ BGP ASN | 65010 |
| * Azure BGP eş IP | 10.12.255.30 |
| * Şirket içi BGP ASN | 65050 |
| * Şirket içi BGP eş IP | 10.52.255.254 |
* Yalnızca BGP için isteğe bağlı parametre.
Bu bölümde, başlamanız için örnek bir betik sağlanır. Ayrıntılı yönergeler için bkz. PowerShell kullanarak S2S VPN bağlantısı oluşturma.
# Declare your variables
$Sub1 = "Replace_With_Your_Subscription_Name"
$RG1 = "TestRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$VNet1ASN = 65010
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GWIPName1 = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15 = "VNet1toSite5"
$LNGName5 = "Site5"
$LNGPrefix50 = "10.52.255.254/32"
$LNGPrefix51 = "10.51.0.0/16"
$LNGPrefix52 = "10.52.0.0/16"
$LNGIP5 = "Your_VPN_Device_IP"
$LNGASN5 = 65050
$BGPPeerIP5 = "10.52.255.254"
# Connect to your subscription and create a new resource group
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
# Create virtual network
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
# Create VPN gateway
$gwpip1 = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN
# Create local network gateway
New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
# Create the S2S VPN connection
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng5gw = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False
VPN cihazlarınız rota tabanlı veya VTI tabanlı yapılandırmalar gibi herhangi bir trafik seçiciyi desteklemiyorsa UsePolicyBasedTrafficSelectors seçeneğiyle özel bir IPsec/IKE ilkesi oluşturun.
Önemli
Bağlantıda UsePolicyBasedTrafficSelectors seçeneğini etkinleştirmek için bir IPsec/IKE ilkesi oluşturmanız gerekir.
Örnek betik, aşağıdaki algoritmalar ve parametrelerle bir IPsec/IKE ilkesi oluşturur:
Betik, IPsec/IKE ilkesini uygular ve bağlantıda UsePolicyBasedTrafficSelectors seçeneğini etkinleştirir.
$ipsecpolicy5 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng5gw = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True
S2S VPN bağlantısını oluşturduğunuzda, isteğe bağlı olarak VPN ağ geçidi için BGP kullanabilirsiniz. Bu yaklaşımın iki farkı vardır:
Şirket içi adres ön ekleri tek bir ana bilgisayar adresi olabilir. Şirket içi BGP eş IP adresi aşağıdaki gibi belirtilir:
New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
Bağlantıyı oluştururken -EnableBGP seçeneğini $True olarak ayarlamanız gerekir:
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
Etkin-etkin VPN ağ geçitlerini ayarlamaya yönelik adım adım yönergeler için bkz. Şirket içi ve sanal ağlar arası bağlantılar için etkin-etkin VPN ağ geçitlerini yapılandırma.
Eğitim
Modül
Şirket içi ağınızı VPN Ağ Geçidi ile Azure'a bağlama - Training
Azure'daki sanal özel ağ (VPN) ağ geçidi seçeneklerini ve VPN'nin kullanıldığı tipik senaryoları öğrenin. Siteleri Azure'a güvenle bağlamak için VPN'leri oluşturun ve test edin.
Sertifikasyon
Microsoft Sertifikalı: Azure Ağ Mühendisi İş Ortağı - Certifications
Azure ağ altyapısının tasarımını, uygulamasını ve bakımını, yük dengeleme trafiğini, ağ yönlendirmesini ve daha fazlasını gösterin.
Belgeler
S2S VPN bağlantıları için VPN cihazı yapılandırma betiklerini indirme - Azure VPN Gateway
Azure VPN Gateways ile S2S VPN bağlantıları için VPN cihazı yapılandırma betiklerini indirmeyi öğrenin.
Bağlantılar için VPN cihazları hakkında - Azure VPN Gateway
Siteden Siteye şirket içi bağlantılar için VPN cihazları ve IPsec parametreleri hakkında bilgi edinin. Yapılandırma yönergeleri ve örnekler için bağlantılar verilmektedir.
Siteden siteye yapılandırmalar için VPN Gateway sunucu ayarlarını yapılandırmayı öğrenin - sertifika kimlik doğrulaması.