VPN Gateway yapılandırma ayarları hakkında

VPN ağ geçidi bağlantı mimarisi, her biri yapılandırılabilir ayarlar içeren birden çok kaynağın yapılandırmasına dayanır. Bu makaledeki bölümlerde, Resource Manager dağıtım modelinde oluşturulan bir sanal ağ için VPN ağ geçidiyle ilgili kaynaklar ve ayarlar ele alınmıştır. Vpn Gateway topolojisi ve tasarım makalesinde her bağlantı çözümü için açıklamalar ve topoloji diyagramları bulabilirsiniz.

Bu makaledeki değerler özellikle VPN ağ geçitleri (-GatewayType Vpn kullanan sanal ağ geçitleri) için geçerlidir. Aşağıdaki ağ geçidi türleri hakkında bilgi arıyorsanız aşağıdaki makalelere bakın:

Ağ geçitleri ve ağ geçidi türleri

Sanal ağ geçidi, otomatik olarak yapılandırılan ve ağ geçidi alt ağı olarak adlandırılan belirli bir alt ağa dağıtılan iki veya daha fazla Azure tarafından yönetilen VM'den oluşur. Ağ geçidi VM'leri yönlendirme tabloları içerir ve belirli ağ geçidi hizmetlerini çalıştırır.

Sanal ağ geçidi oluşturduğunuzda, ağ geçidi VM'leri otomatik olarak ağ geçidi alt ağına dağıtılır (her zaman GatwaySubnet olarak adlandırılır) ve belirttiğiniz ayarlarla yapılandırılır. Seçtiğiniz ağ geçidi SKU'sunun bağlı olarak bu işlemin tamamlanması 45 dakika veya daha uzun sürebilir.

Sanal ağ geçidi oluştururken belirttiğiniz ayarlardan biri ağ geçidi türüdür. Ağ geçidi türü, sanal ağ geçidinin nasıl kullanıldığını ve ağ geçidinin gerçekleştireceği eylemleri belirler. Bir sanal ağın iki sanal ağ geçidi olabilir; bir VPN ağ geçidi ve bir ExpressRoute ağ geçidi. 'Vpn' ağ geçidi türü, oluşturulan sanal ağ geçidi türünün bir VPN ağ geçidi olduğunu belirtir. Bu, bunu farklı bir ağ geçidi türü kullanan ExpressRoute ağ geçidinden ayırır.

Sanal ağ geçidi oluştururken, yapılandırmanız için ağ geçidi türünün doğru olduğundan emin olmanız gerekir. -GatewayType için kullanılabilir değerler şunlardır:

  • VPN
  • ExpressRoute

VPN ağ geçidi vpn gerektirir-GatewayType.

Örnek:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

Ağ geçidi SKU'ları ve performansı

Ağ geçidi SKU'ları, performans ve desteklenen özellikler hakkında en son bilgiler için Ağ Geçidi SKU'ları hakkında makalesine bakın.

VPN türleri

Azure desteği VPN ağ geçitleri için iki farklı VPN türü vardır: ilke tabanlı ve rota tabanlı. Rota tabanlı VPN ağ geçitleri, ilke tabanlı VPN ağ geçitlerinden farklı bir platformda oluşturulur. Bu, farklı ağ geçidi belirtimlerine neden olur.

Çoğu durumda rota tabanlı bir VPN ağ geçidi oluşturursunuz. Daha önce, eski ağ geçidi SKU'ları yol tabanlı ağ geçitleri için IKEv1'i desteklemiyordu. Artık geçerli ağ geçidi SKU'larının çoğu hem IKEv1 hem de IKEv2'yi destekliyor. zaten ilke tabanlı bir ağ geçidiniz varsa, ağ geçidinizi rota tabanlı olarak yükseltmeniz gerekmez.

İlke tabanlı bir ağ geçidi oluşturmak istiyorsanız PowerShell veya CLI kullanın. 1 Ekim 2023 itibarıyla Azure portalı aracılığıyla ilke tabanlı VPN ağ geçidi oluşturamazsınız, yalnızca rota tabanlı ağ geçitleri kullanılabilir.

Ağ geçidi VPN türü Ağ Geçidi SKU’su Desteklenen IKE sürümleri
İlke tabanlı ağ geçidi Temel IKEv1
Rota tabanlı ağ geçidi Temel IKEv2
Rota tabanlı ağ geçidi VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 ve IKEv2
Rota tabanlı ağ geçidi VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 ve IKEv2

Bağlantı türleri

Resource Manager dağıtım modelinde her yapılandırma belirli bir sanal ağ geçidi bağlantı türü gerektirir. -ConnectionType için kullanılabilir Resource Manager PowerShell değerleri şunlardır:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

Aşağıdaki PowerShell örneğinde, IPsec bağlantı türünü gerektiren bir S2S bağlantısı oluşturuyoruz.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'

Bağlan ion modları

Bağlan ion Modu özelliği yalnızca IKEv2 bağlantılarını kullanan yol tabanlı VPN ağ geçitleri için geçerlidir. Bağlan modları bağlantı başlatma yönünü tanımlar ve yalnızca ilk IKE bağlantısı kurulumuna uygulanır. Herhangi bir taraf yeniden anahtarlar ve daha fazla ileti başlatabilir. InitiatorOnly , bağlantının Azure tarafından başlatılması gerektiği anlamına gelir. ResponderOnly , bağlantının şirket içi cihaz tarafından başlatılması gerektiği anlamına gelir. Varsayılan davranış, ilk bağlananı kabul etmek ve çevirmektir.

Ağ geçidi alt ağı

VPN ağ geçidi oluşturmadan önce bir ağ geçidi alt ağı oluşturmanız gerekir. Ağ geçidi alt ağı, sanal ağ geçidi VM'lerinin ve hizmetlerinin kullandığı IP adreslerini içerir. Sanal ağ geçidinizi oluşturduğunuzda, ağ geçidi VM'leri ağ geçidi alt ağına dağıtılır ve gerekli VPN ağ geçidi ayarlarıyla yapılandırılır. Ağ geçidi alt asına hiçbir zaman başka bir şey (örneğin, daha fazla VM) dağıtmayın. Düzgün çalışması için ağ geçidi alt ağı 'GatewaySubnet' olarak adlandırılmalıdır. Ağ geçidi alt ağını 'GatewaySubnet' olarak adlandırmak, Azure'a bunun sanal ağ geçidi VM'lerini ve hizmetlerini dağıtması gereken alt ağ olduğunu bildirir.

Ağ geçidi alt ağı oluştururken, alt ağın içerdiği IP adresi sayısını belirtirsiniz. Ağ geçidi alt ağındaki IP adresleri, ağ geçidi VM'lerine ve ağ geçidi hizmetlerine ayrılır. Bazı yapılandırmalar için diğerlerinden daha fazla IP adresi gerekir.

Ağ geçidi alt ağınızın boyutunu planlarken, oluşturmayı planladığınız yapılandırmanın belgelerine bakın. Örneğin, ExpressRoute/VPN Gateway birlikte var olan yapılandırması, diğer yapılandırmaların çoğundan daha büyük bir ağ geçidi alt ağı gerektirir. /29 kadar küçük bir ağ geçidi alt ağı oluşturmak mümkün olsa da (yalnızca Temel SKU için geçerlidir), diğer tüm SKU'lar /27 veya daha büyük bir ağ geçidi alt ağı gerektirir (/27, /26, /25 vb.). Alt ağın gelecekteki olası yapılandırmaları karşılamak için yeterli IP adresine sahip olması için /27'den büyük bir ağ geçidi alt ağı oluşturmak isteyebilirsiniz.

Aşağıdaki Resource Manager PowerShell örneğinde GatewaySubnet adlı bir ağ geçidi alt ağı gösterilmektedir. CIDR gösteriminin /27 değerini belirttiğini görebilirsiniz. Bu, şu anda mevcut olan yapılandırmaların çoğu için yeterli IP adresi sağlar.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Dikkat edilmesi gerekenler:

  • GatewaySubnet üzerinde 0.0.0.0/0 hedefine ve NSG'lere sahip kullanıcı tanımlı yollar desteklenmez. Bu yapılandırmaya sahip ağ geçitlerinin oluşturulması engellenir. Ağ geçitlerinin düzgün çalışması için yönetim denetleyicilerine erişim gerekir. Ağ geçidinin kullanılabilir olduğundan emin olmak için BGP yol yayma , GatewaySubnet üzerinde "Etkin" olarak ayarlanmalıdır. BGP yol yayma devre dışı olarak ayarlanırsa ağ geçidi çalışmaz.

  • Kullanıcı tanımlı bir yol, ağ geçidi alt ağ aralığı veya ağ geçidi genel IP aralığıyla çakışıyorsa tanılama, veri yolu ve denetim yolu etkilenebilir.

Yerel ağ geçidi geçitleri

Yerel ağ geçidi, sanal ağ geçidinden farklıdır. VPN ağ geçidi siteden siteye mimarisiyle çalışırken, yerel ağ geçidi genellikle şirket içi ağınızı ve buna karşılık gelen VPN cihazını temsil eder. Klasik dağıtım modelinde yerel ağ geçidi, Yerel Site olarak adlandırılır.

Yerel ağ geçidi yapılandırırken, şirket içi VPN cihazının adını, genel IP adresini veya tam etki alanı adını (FQDN) ve şirket içi konumda bulunan adres ön eklerini belirtirsiniz. Azure, ağ trafiği için hedef adres ön eklerine bakar, yerel ağ geçidiniz için belirttiğiniz yapılandırmaya başvurur ve paketleri buna göre yönlendirir. VPN cihazınızda Sınır Ağ Geçidi Protokolü (BGP) kullanıyorsanız VPN cihazınızın BGP eş IP adresini ve şirket içi ağınızın otonom sistem numarasını (ASN) sağlarsınız. Vpn ağ geçidi bağlantısı kullanan sanal ağdan sanal ağa yapılandırmalar için yerel ağ geçitleri de belirtirsiniz.

Aşağıdaki PowerShell örneği yeni bir yerel ağ geçidi oluşturur:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Bazen yerel ağ geçidi ayarlarını değiştirmeniz gerekir. Örneğin, adres aralığını eklediğinizde veya değiştirdiğinizde veya VPN cihazının IP adresi değiştiğinde. Daha fazla bilgi için bkz . Yerel ağ geçidi ayarlarını değiştirme.

REST API'leri, PowerShell cmdlet'leri ve CLI

REST API'leri, PowerShell cmdlet'leri veya VPN Gateway yapılandırmaları için Azure CLI kullanırken teknik kaynaklar ve belirli söz dizimi gereksinimleri için aşağıdaki sayfalara bakın:

Klasik Resource Manager
PowerShell PowerShell
REST API REST API
Desteklenmez Azure CLI

Sonraki adımlar

Kullanılabilir bağlantı yapılandırmaları hakkında daha fazla bilgi için bkz . VPN Gateway hakkında.