Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Azure VPN ağ geçitlerine bağlanmak için şirket içi VPN cihazlarını yapılandırmaya genel bir bakış sağlanır. Aynı parametreleri kullanarak farklı şirket içi VPN cihazı yapılandırmalarına nasıl bağlanabileceğinizi göstermek için örnek bir Azure sanal ağı ve VPN ağ geçidi kurulumu kullanılır.
Cihaz gereksinimleri
Azure VPN ağ geçitleri, siteden siteye (S2S) VPN tünelleri için standart IPsec/IKE protokol paketlerini kullanır. Azure VPN ağ geçitleri için IPsec/IKE parametrelerinin ve şifreleme algoritmalarının listesi için bkz. VPN cihazları hakkında. Ayrıca, Yaklaşık şifreleme gereksinimleri bölümünde açıklandığı gibi belirli bir bağlantı için tam algoritmaları ve anahtar güçlü yanlarını belirtebilirsiniz.
Tek VPN tüneli
Örnekteki ilk yapılandırma, Azure VPN ağ geçidi ile şirket içi VPN cihazı arasında tek bir S2S VPN tünelinden oluşur. İsteğe bağlı olarak VPN tüneli boyunca Sınır Ağ Geçidi Protokolü'ne (BGP) yapılandırabilirsiniz.
Tek bir VPN tüneli ayarlamaya yönelik adım adım yönergeler için bkz. Siteden siteye bağlantı yapılandırma. Aşağıdaki bölümlerde örnek yapılandırma için bağlantı parametreleri belirtilir ve başlamanıza yardımcı olacak bir PowerShell betiği sağlanır.
Bağlantı parametreleri
Bu bölümde, önceki bölümlerde açıklanan örneklerin parametreleri listelenir.
| Parametre | Değer |
|---|---|
| Sanal ağ adresi ön ekleri | 10.11.0.0/16 10.12.0.0/16 |
| Azure VPN ağ geçidi IP'si | Azure VPN Gateway IP'si |
| Şirket içi adres ön ekleri | 10.51.0.0/16 10.52.0.0/16 |
| Şirket içi VPN cihazı IP'si | Şirket içi VPN cihazı IP'si |
| * Sanal ağ BGP ASN | 65010 |
| * Azure BGP eş değer IP | 10.12.255.30 |
| * Şirket içi BGP ASN | 65050 |
| * Yerinde BGP eş IP adresi | 10.52.255.254 |
* Yalnızca BGP için isteğe bağlı parametre.
Örnek PowerShell betiği
Bu bölümde, başlamanıza yardımcı olacak örnek bir betik sağlanır. Ayrıntılı yönergeler için bkz. PowerShell kullanarak S2S VPN bağlantısı oluşturma.
# Declare your variables
$Sub1 = "Replace_With_Your_Subscription_Name"
$RG1 = "TestRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$VNet1ASN = 65010
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GWIPName1 = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15 = "VNet1toSite5"
$LNGName5 = "Site5"
$LNGPrefix50 = "10.52.255.254/32"
$LNGPrefix51 = "10.51.0.0/16"
$LNGPrefix52 = "10.52.0.0/16"
$LNGIP5 = "Your_VPN_Device_IP"
$LNGASN5 = 65050
$BGPPeerIP5 = "10.52.255.254"
# Connect to your subscription and create a new resource group
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
# Create virtual network
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
# Create VPN gateway
$gwpip1 = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN
# Create local network gateway
New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
# Create the S2S VPN connection
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng5gw = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False
(İsteğe bağlı) UsePolicyBasedTrafficSelectors ile özel IPsec/IKE ilkesi kullanma
VPN cihazlarınız rota tabanlı veya VTI tabanlı yapılandırmalar gibi herhangi bir trafik seçiciyi desteklemiyorsa UsePolicyBasedTrafficSelectors seçeneğiyle özel bir IPsec/IKE ilkesi oluşturun.
Önemli
Bağlantıda UsePolicyBasedTrafficSelectors seçeneğini etkinleştirmek için bir IPsec/IKE ilkesi oluşturmanız gerekir.
Örnek betik, aşağıdaki algoritmalara ve parametrelere sahip bir IPsec/IKE ilkesi oluşturur:
- IKEv2: AES256, SHA384, DHGroup24
- IPsec: AES256, SHA1, PFS24, SA Yaşam Süresi 7.200 saniye ve 20.480.000 KB (20 GB)
Betik IPsec/IKE ilkesini uygular ve bağlantıda UsePolicyBasedTrafficSelectors seçeneğini etkinleştirir.
$ipsecpolicy5 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng5gw = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True
(İsteğe bağlı) S2S VPN bağlantısında BGP kullanma
S2S VPN bağlantısını oluşturduğunuzda, isteğe bağlı olarak VPN ağ geçidi için BGP kullanabilirsiniz. Bu yaklaşımın iki farkı vardır:
Şirket içi adres ön ekleri tek bir konak adresi olabilir. Şirket içi BGP eş IP adresi aşağıdaki gibi belirtilir:
New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5Bağlantıyı oluştururken -EnableBGP seçeneğini $True olarak ayarlamanız gerekir:
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
Sonraki adımlar
Etkin-etkin VPN ağ geçitlerini ayarlamaya yönelik adım adım yönergeler için bkz. Şirket içi ve sanal ağdan sanal ağa bağlantılar için etkin-etkin VPN ağ geçitlerini yapılandırma.