VPN Gateway yapılandırma ayarları hakkında

VPN ağ geçidi, bir genel bağlantı üzerinden sanal ağınızla şirket içi konumunuz arasında şifrelenmiş trafik gönderen bir sanal ağ geçidi türüdür. Azure omurgası genelinde sanal ağlar arasında trafik göndermek için bir VPN ağ geçidi de kullanabilirsiniz.

VPN ağ geçidi bağlantısı, her biri yapılandırılabilir ayarlar içeren birden çok kaynağın yapılandırmasına dayanır. Bu makaledeki bölümlerde, Resource Manager dağıtım modelinde oluşturulan bir sanal ağ için VPN ağ geçidiyle ilgili kaynaklar ve ayarlar ele alınmıştır. Her bağlantı çözümü için açıklamaları ve topoloji diyagramlarını Hakkında VPN Gateway makalesinde bulabilirsiniz.

Bu makaledeki değerler VPN ağ geçitlerini (-GatewayType Vpn kullanan sanal ağ geçitleri) uygular. Bu makale tüm ağ geçidi türlerini veya alanlar arası yedekli ağ geçitlerini kapsamaz.

Ağ geçidi türleri

Her sanal ağ, her türden yalnızca bir sanal ağ geçidine sahip olabilir. Sanal ağ geçidi oluştururken ağ geçidi türünün yapılandırmanız için doğru olduğundan emin olmanız gerekir.

-GatewayType için kullanılabilir değerler şunlardır:

  • VPN
  • ExpressRoute

VPN ağ geçidi için Vpn gerekir-GatewayType.

Örnek:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

Ağ Geçidi SKU’ları

Bir sanal ağ geçidi oluşturduğunuzda, kullanmak istediğiniz ağ geçidi SKU’sunu belirtmeniz gerekir. İş yükü türlerine, aktarım hızına, özelliklere ve SLA'lara göre gereksinimlerinizi karşılayan SKU'yu seçin. Azure Kullanılabilirlik Alanları'da sanal ağ geçidi SKU'ları için bkz. Azure Kullanılabilirlik Alanları ağ geçidi SKU'ları.

Tünele, bağlantıya ve performansa göre Ağ Geçidi SKU’ları

VPN
Ağ geçidi
Nesil
SKU S2S/Sanal Ağdan Sanal Ağa
Tünel
P2S
SSTP Bağlantıları
P2S
IKEv2/OpenVPN Bağlantıları
Toplama
Aktarım Hızı Karşılaştırması
BGP Alanlar arası yedekli
Nesil1 Temel En çok, 10 En çok, 128 Desteklenmiyor 100 Mbps Desteklenmiyor No
Nesil1 VpnGw1 En çok, 30 En çok, 128 En çok, 250 650 Mb/sn Desteklenir No
Nesil1 VpnGw2 En çok, 30 En çok, 128 En çok, 500 1 Gb/sn Desteklenir No
Nesil1 VpnGw3 En çok, 30 En çok, 128 En çok, 1000 1,25 Gb/sn Desteklenir No
Nesil1 VpnGw1AZ En çok, 30 En çok, 128 En çok, 250 650 Mb/sn Desteklenir Yes
Nesil1 VpnGw2AZ En çok, 30 En çok, 128 En çok, 500 1 Gb/sn Desteklenir Yes
Nesil1 VpnGw3AZ En çok, 30 En çok, 128 En çok, 1000 1,25 Gb/sn Desteklenir Yes
Nesil2 VpnGw2 En çok, 30 En çok, 128 En çok, 500 1,25 Gb/sn Desteklenir No
Nesil2 VpnGw3 En çok, 30 En çok, 128 En çok, 1000 2,5 Gb/sn Desteklenir No
Nesil2 VpnGw4 En çok, 100* En çok, 128 En çok, 5000 5 Gbps Desteklenir No
Nesil2 VpnGw5 En çok, 100* En çok, 128 En çok, 10000 10 Gbps Desteklenir No
Nesil2 VpnGw2AZ En çok, 30 En çok, 128 En çok, 500 1,25 Gb/sn Desteklenir Yes
Nesil2 VpnGw3AZ En çok, 30 En çok, 128 En çok, 1000 2,5 Gb/sn Desteklenir Yes
Nesil2 VpnGw4AZ En çok, 100* En çok, 128 En çok, 5000 5 Gbps Desteklenir Yes
Nesil2 VpnGw5AZ En çok, 100* En çok, 128 En çok, 10000 10 Gbps Desteklenir Yes

(*) 100'den fazla S2S VPN tüneline ihtiyacınız varsa Sanal WAN kullanın.

  • VpnGw SKU'larının yeniden boyutlandırılıyor olması, Temel SKU'nun yeniden boyutlandırılıyor olması dışında aynı nesilde izin verilir. Temel SKU eski bir SKU'dur ve özellik sınırlamaları vardır. Temel'den başka bir SKU'ya geçmek için Temel SKU VPN ağ geçidini silmeniz ve istenen Oluşturma ve SKU boyut bileşimiyle yeni bir ağ geçidi oluşturmanız gerekir. (bkz . Eski SKU'larla çalışma).

  • Bu bağlantı sınırları ayrıdır. Örneğin, bir VpnGw1 SKU’sunda 128 SSTP bağlantısına ek olarak 250 IKEv2 bağlantısına sahip olabilirsiniz.

  • Fiyatlandırma bilgileri Fiyatlandırma sayfasında bulunabilir.

  • SLA (Hizmet Düzeyi Sözleşmesi) bilgilerine SLA sayfasından ulaşılabilir.

  • Çok fazla P2S bağlantınız varsa bu, S2S bağlantılarınızı olumsuz etkileyebilir. Toplam Aktarım Hızı Karşılaştırmaları, S2S ve P2S bağlantılarının birleşimi en üst düzeye çıkarılarak test edilmiştir. Tek bir P2S veya S2S bağlantısı çok daha düşük aktarım hızına sahip olabilir.

  • İnternet trafiği koşulları ve uygulama davranışlarınız nedeniyle tüm kıyaslamaların garantilenmediğini unutmayın

Müşterilerimizin farklı algoritmalar kullanarak SKU'ların göreli performansını anlamasına yardımcı olmak için, siteden siteye bağlantıların performanslarını ölçmek için genel kullanıma açık iPerf ve CTSTraffic araçlarını kullandık. Aşağıdaki tabloda VpnGw SKU'ları için performans testlerinin sonuçları listelenmiştir. Gördüğünüz gibi, hem IPsec Şifrelemesi hem de Bütünlüğü için GCMAES256 algoritmasını kullandığımızda en iyi performans elde edilir. IPsec Şifrelemesi için AES256 ve Bütünlük için SHA256 kullanırken ortalama performans elde ettik. IPsec Şifrelemesi için DES3 ve Bütünlük için SHA256 kullandığımızda en düşük performansı aldık.

VPN tüneli bir VPN ağ geçidi örneğine bağlanır. Her örnek aktarım hızı yukarıdaki aktarım hızı tablosunda belirtilmiştir ve bu örneğe bağlanan tüm tünellerde toplanabilir.

Aşağıdaki tabloda, farklı ağ geçidi SKU'ları için tünel başına gözlemlenen bant genişliği ve saniye başına paket aktarım hızı gösterilmektedir. Tüm testler, 100 bağlantısı olan farklı bölgelerde ve standart yük koşulları altında Azure içindeki ağ geçitleri (uç noktalar) arasında gerçekleştirildi.

Nesil SKU Algoritmalar
Kullanılan
Aktarım hızı
tünel başına gözlemlenen
Tünel başına saniye başına paket sayısı
Gözlenen
Nesil1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mb/sn
500 Mbps
130 Mb/sn
62,000
47,000
12.000
Nesil1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gb/sn
650 Mb/sn
140 Mb/sn
100.000
61,000
13,000
Nesil1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/sn
700 Mb/sn
140 Mb/sn
120,000
66,000
13,000
Nesil1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mb/sn
500 Mbps
130 Mb/sn
62,000
47,000
12.000
Nesil1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gb/sn
650 Mb/sn
140 Mb/sn
110,000
61,000
13,000
Nesil1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/sn
700 Mb/sn
140 Mb/sn
120,000
66,000
13,000
Nesil2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/sn
550 Mb/sn
130 Mb/sn
120,000
52,000
12.000
Nesil2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gb/sn
700 Mb/sn
140 Mb/sn
140,000
66,000
13,000
Nesil2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/sn
700 Mb/sn
140 Mb/sn
220,000
66,000
13,000
Nesil2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/sn
700 Mb/sn
140 Mb/sn
220,000
66,000
13,000
Nesil2 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/sn
550 Mb/sn
130 Mb/sn
120,000
52,000
12.000
Nesil2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gb/sn
700 Mb/sn
140 Mb/sn
140,000
66,000
13,000
Nesil2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/sn
700 Mb/sn
140 Mb/sn
220,000
66,000
13,000
Nesil2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/sn
700 Mb/sn
140 Mb/sn
220,000
66,000
13,000

Not

VpnGw SKU'ları (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5 ve VpnGw5AZ) yalnızca Resource Manager dağıtım modeli için desteklenir. Klasik sanal ağlar eski (eski) SKU'ları kullanmaya devam etmelidir.

Özellik kümesine göre ağ geçidi SKU'ları

Yeni VPN ağ geçidi SKU'ları, ağ geçitlerinde sunulan özellik kümelerini kolaylaştırır:

SKU Özellikler
Temel (**) Rota tabanlı VPN: S2S/bağlantılar için 10 tünel; P2S için RADIUS kimlik doğrulaması yok; P2S için IKEv2 yok
İlke tabanlı VPN: (IKEv1): 1 S2S/bağlantı tüneli; P2S yok
Temel Dışındaki Tüm Nesil1 ve Nesil2 SKU'ları Rota tabanlı VPN: en fazla 100 tünel (*), P2S, BGP, etkin-etkin, özel IPsec/IKE ilkesi, ExpressRoute/VPN birlikte bulunma

(*) Rota tabanlı VPN ağ geçidini şirket içi ilke tabanlı birden çok güvenlik duvarı cihazına bağlamak için "PolicyBasedTrafficSelectors" yapılandırabilirsiniz. Ayrıntılı bilgi için bkz. PowerShell kullanarak VPN ağ geçitlerini şirket içi ilke tabanlı birden fazla VPN cihazına bağlama.

(**) Temel SKU eski bir SKU olarak kabul edilir. Temel SKU'nun belirli özellik sınırlamaları vardır. Temel SKU kullanan bir ağ geçidini başka bir SKU'ya yeniden boyutlandıramazsınız; bunun yerine, VPN ağ geçidinizi silmeyi ve yeniden oluşturmayı içeren yeni bir SKU'ya değiştirmeniz gerekir. Temel SKU'yu IPv6 adres alanı kullanan bir sanal ağa dağıtamazsınız.

Ağ Geçidi SKU'ları - Üretim ve Dev-Test İş Yükleri

SLA'lardaki ve özellik kümelerindeki farklılıklar nedeniyle üretim ve geliştirme-test iş yükleri için aşağıdaki farklı SKU'ları öneririz:

İş yükü SKU'lar
Üretim, kritik iş yükleri Temel Dışındaki Tüm Nesil1 ve Nesil2 SKU'ları
Geliştirme-test veya kavram kanıtı Temel (**)

(**) Temel SKU eski bir SKU olarak kabul edilir ve özellik sınırlamaları vardır. Temel SKU'yu kullanmadan önce ihtiyacınız olan özelliğin desteklendiğini doğrulayın.

Eski SKU'ları (eski) kullanıyorsanız üretim SKU'su önerileri Standart ve Yüksek Performans'tır. Eski SKU'lar hakkında bilgi ve yönergeler için bkz . Ağ geçidi SKU'ları (eski).

Ağ geçidi SKU'su yapılandırma

Azure portalı

Resource Manager sanal ağ geçidi oluşturmak için Azure portal kullanırsanız, açılan listeyi kullanarak ağ geçidi SKU'sunu seçebilirsiniz. Size sunulan seçenekler, seçtiğiniz Ağ Geçidi türüne ve VPN türüne karşılık gelir.

PowerShell

Aşağıdaki PowerShell örneği VpnGw1 olarak belirtir -GatewaySku . Ağ geçidi oluşturmak için PowerShell kullanırken önce IP yapılandırmasını oluşturmanız, ardından buna başvurmak için bir değişken kullanmanız gerekir. Bu örnekte yapılandırma değişkeni $gwipconfig.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

Azure CLI

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

SKU'yu yeniden boyutlandırma veya değiştirme

VPN ağ geçidiniz varsa ve farklı bir ağ geçidi SKU'su kullanmak istiyorsanız, seçenekleriniz ağ geçidi SKU'nuzu yeniden boyutlandırmak veya başka bir SKU'ya geçmektir. Başka bir ağ geçidi SKU'sunu değiştirdiğinizde, mevcut ağ geçidini tamamen siler ve yeni bir ağ geçidi oluşturursunuz. Bir ağ geçidinin oluşturulması, seçili ağ geçidi SKU’suna bağlı olarak 45 dakika veya daha uzun sürebilir. Buna karşılık, bir ağ geçidi SKU'sunu yeniden boyutlandırdığınızda, ağ geçidini silmeniz ve yeniden oluşturmanız gerekmediğinden çok fazla kapalı kalma süresi yoktur. Ağ geçidi SKU'nuzu değiştirmek yerine yeniden boyutlandırma seçeneğiniz varsa bunu yapmak istersiniz. Ancak, yeniden boyutlandırmayla ilgili kurallar vardır:

  1. Temel SKU dışında, bir VPN ağ geçidi SKU'sunu aynı nesil (Nesil1 veya Nesil2) içinde başka bir VPN ağ geçidi SKU'su olarak yeniden boyutlandırabilirsiniz. Örneğin, Nesil1'in VpnGw1'i, Nesil1'in VpnGw2'sine yeniden boyutlandırılabilir, ancak 2. Nesil'in VpnGw2'sine yeniden boyutlandırılamaz.
  2. Eski ağ geçidi SKU'larıyla çalışırken, Standart ve HighPerformance SKU'ları arasında yeniden boyutlandırabilirsiniz.
  3. Temel/Standart/Yüksek Performans SKU'larından VpnGw SKU'larına yeniden boyutlandıramazsınız . Bunun yerine yeni SKU'lara geçmek gerekir.

Ağ geçidini yeniden boyutlandırmak için

Azure portalı

  1. Sanal ağ geçidinizin Yapılandırma sayfasına gidin.

  2. Kullanılabilir ağ geçidi SKU'larını göstermek için sayfanın sağ tarafında açılan oka tıklayın.

    Ağ geçidini yeniden boyutlandırmayı gösteren ekran görüntüsü.

  3. Açılan listeden SKU'yu seçin.

PowerShell

Bir Generation1 veya Generation2 SKU'yu yükseltmek veya düşürmek için PowerShell cmdlet'ini kullanabilirsiniz Resize-AzVirtualNetworkGateway (Temel SKU'lar dışında tüm VpnGw SKU'ları yeniden boyutlandırılabilir). Temel ağ geçidi SKU'su kullanıyorsanız, ağ geçidinizi yeniden boyutlandırmak için bunun yerine bu yönergeleri kullanın .

Aşağıdaki PowerShell örneğinde VpnGw2 olarak yeniden boyutlandırılan bir ağ geçidi SKU'su gösterilmektedir.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

Eski (eski) SKU'dan yeni bir SKU'ya geçmek için

Resource Manager dağıtım modeliyle çalışıyorsanız yeni ağ geçidi SKU'larına geçiş yapabilirsiniz. Eski bir ağ geçidi SKU'sundan yeni bir SKU'ya geçiş yaptığınızda mevcut VPN ağ geçidini siler ve yeni bir VPN ağ geçidi oluşturursunuz.

Iş akışı:

  1. Sanal ağ geçidine ilişkin tüm bağlantıları kesin.
  2. Eski VPN ağ geçidini silin.
  3. Yeni VPN ağ geçidini oluşturun.
  4. Şirket içi VPN cihazlarınızdaki VPN ağ geçidi IP adresini (Siteden Siteye bağlantılar için) yenisi ile güncelleştirin.
  5. Bu ağ geçidine bağlanacak tüm VNet-VNet yerel ağ geçitleri için ağ geçidi IP adresi değerini güncelleştirin.
  6. Bu VPN ağ geçidi yoluyla sanal ağa bağlanan P2S istemcileri için yeni istemci VPN yapılandırma paketlerini indirin.
  7. Sanal ağ geçidine ilişkin tüm bağlantıları yeniden oluşturun.

Dikkat edilmesi gerekenler:

  • Yeni SKU'lara geçmek için VPN ağ geçidinizin Resource Manager dağıtım modelinde olması gerekir.
  • Klasik bir VPN ağ geçidiniz varsa, bu ağ geçidi için eski eski SKU'ları kullanmaya devam etmeniz gerekir, ancak eski SKU'lar arasında yeniden boyutlandırabilirsiniz. Yeni SKU'lara değiştiremezsiniz.
  • Eski bir SKU'dan yeni bir SKU'ya geçiş yaptığınızda bağlantı kapalı kalma süresine sahip olursunuz.
  • Yeni bir ağ geçidi SKU'sunu değiştirirken, VPN ağ geçidinizin genel IP adresi değişir. Daha önce kullandığınız aynı genel IP adresi nesnesini belirtseniz bile bu durum ortaya çıkar.

Bağlantı türleri

Resource Manager dağıtım modelinde her yapılandırma belirli bir sanal ağ geçidi bağlantı türü gerektirir. -ConnectionType için kullanılabilir Resource Manager PowerShell değerleri şunlardır:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

Aşağıdaki PowerShell örneğinde, bağlantı türü IPsec gerektiren bir S2S bağlantısı oluşturuyoruz.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

VPN türleri

Vpn ağ geçidi yapılandırması için sanal ağ geçidi oluştururken bir VPN türü belirtmeniz gerekir. Seçtiğiniz VPN türü, oluşturmak istediğiniz bağlantı topolojisine bağlıdır. Örneğin, P2S bağlantısı için RouteBased VPN türü gerekir. VPN türü, kullandığınız donanıma da bağlı olabilir. S2S yapılandırmaları bir VPN cihazı gerektirir. Bazı VPN cihazları yalnızca belirli bir VPN türünü destekler.

Seçtiğiniz VPN türü, oluşturmak istediğiniz çözüm için tüm bağlantı gereksinimlerini karşılamalıdır. Örneğin, aynı sanal ağ için bir S2S VPN ağ geçidi bağlantısı ve P2S VPN ağ geçidi bağlantısı oluşturmak istiyorsanız, P2S için RouteBased VPN türü gerektirdiğinden RouteBased VPN türünü kullanabilirsiniz. Vpn cihazınızın RouteBased VPN bağlantısını desteklediğini de doğrulamanız gerekir.

Sanal ağ geçidi oluşturulduktan sonra VPN türünü değiştiremezsiniz. Sanal ağ geçidini silmeniz ve yeni bir ağ geçidi oluşturmanız gerekir. İki tür VPN vardır:

  • PolicyBased: PolicyBased VPN'ler daha önce klasik dağıtım modelinde statik yönlendirme ağ geçitleri olarak adlandırılıyordu. İlke tabanlı VPN'ler, şirket içi ağınızla Azure sanal ağı arasındaki adres ön eklerinin birleşimleriyle yapılandırılmış IPsec ilkelerine göre paketleri IPsec tünelleri aracılığıyla şifreler ve yönlendirir. İlke (veya trafik seçici) çoğunlukla VPN cihazı yapılandırmasında bir erişim listesi olarak tanımlanır. PolicyBased VPN türünün değeri PolicyBased değeridir. PolicyBased VPN kullanırken aşağıdaki sınırlamaları göz önünde bulundurun:

    • PolicyBased VPN'ler yalnızca Temel ağ geçidi SKU'su üzerinde kullanılabilir. Bu VPN türü diğer ağ geçidi SKU'larıyla uyumlu değildir.
    • PolicyBased VPN kullanırken yalnızca 1 tüneliniz olabilir.
    • PolicyBased VPN'lerini yalnızca S2S bağlantıları ve yalnızca belirli yapılandırmalar için kullanabilirsiniz. Çoğu VPN Gateway yapılandırması için RouteBased VPN gerekir.
  • RouteBased: RouteBased VPN'leri daha önce klasik dağıtım modelinde dinamik yönlendirme ağ geçitleri olarak adlandırılıyordu. RouteBased VPN'leri, paketleri ilgili tünel arabirimlerine yönlendirmek için IP iletme veya yönlendirme tablosundaki "yolları" kullanır. Bundan sonra tünel arabirimleri, paketleri tünellerin içinde veya dışında şifreler veya şifrelerini çözer. RouteBased VPN'leri için ilke (veya trafik seçici) herhangi bir noktadan herhangi birine (veya joker karakterler) olarak yapılandırılır. RouteBased VPN türünün değeri RouteBased'dir.

Aşağıdaki PowerShell örneği RouteBased olarak belirtir-VpnType. Ağ geçidi oluştururken yapılandırmanız için -VpnType değerinin doğru olduğundan emin olmanız gerekir.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Ağ geçidi alt ağı

VPN ağ geçidi oluşturmadan önce bir ağ geçidi alt ağı oluşturmanız gerekir. Ağ geçidi alt ağı, sanal ağ geçidi VM'lerinin ve hizmetlerinin kullandığı IP adreslerini içerir. Sanal ağ geçidinizi oluşturduğunuzda, ağ geçidi VM'leri ağ geçidi alt ağına dağıtılır ve gerekli VPN ağ geçidi ayarlarıyla yapılandırılır. Ağ geçidi alt asına hiçbir zaman başka bir şey (örneğin, ek VM'ler) dağıtmayın. Düzgün çalışması için ağ geçidi alt ağı 'GatewaySubnet' olarak adlandırılmalıdır. Ağ geçidi alt ağını 'GatewaySubnet' olarak adlandırmak, Azure'a bunun sanal ağ geçidi VM'lerinin ve hizmetlerinin dağıtılacağı alt ağ olduğunu bildirir.

Not

GatewaySubnet'te 0.0.0.0/0 hedefine ve NSG'lere sahip kullanıcı tanımlı yollar desteklenmez. Bu yapılandırmayla oluşturulan ağ geçitlerinin oluşturulması engellenir. Ağ geçitlerinin düzgün çalışması için yönetim denetleyicilerine erişim gerekir. Ağ geçidinin kullanılabilirliğini sağlamak için BGP Rota Yayma özelliği GatewaySubnet'te "Etkin" olarak ayarlanmalıdır. Devre dışı olarak ayarlandıysa ağ geçidi çalışmaz.

Ağ geçidi alt ağı oluştururken, alt ağın içerdiği IP adresi sayısını belirtirsiniz. Ağ geçidi alt ağındaki IP adresleri, ağ geçidi VM'lerine ve ağ geçidi hizmetlerine ayrılır. Bazı yapılandırmalar için diğerlerinden daha fazla IP adresi gerekir.

Ağ geçidi alt ağınızın boyutunu planlarken, oluşturmayı planladığınız yapılandırmanın belgelerine bakın. Örneğin, ExpressRoute/VPN Gateway birlikte var olan yapılandırma, diğer yapılandırmaların çoğundan daha büyük bir ağ geçidi alt ağı gerektirir. Ayrıca, ağ geçidi alt ağınızın gelecekteki olası ek yapılandırmaları karşılamak için yeterli IP adresi içerdiğini de bilmek isteyebilirsiniz. /29 kadar küçük bir ağ geçidi alt ağı oluşturabilirsiniz ancak bunu yapmak için kullanılabilir adres alanınız varsa /27 veya daha büyük (/27, /26 vb.) bir ağ geçidi alt ağı oluşturmanızı öneririz. Bu, çoğu yapılandırmayı barındıracaktır.

Aşağıdaki Resource Manager PowerShell örneğinde GatewaySubnet adlı bir ağ geçidi alt ağı gösterilmektedir. CIDR gösteriminin bir /27 belirtdiğini görebilirsiniz. Bu, şu anda mevcut olan yapılandırmaların çoğu için yeterli IP adresi sağlar.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Önemli

Ağ geçidi alt ağlarıyla çalışırken, ağ güvenlik grubunu (NSG) ağ geçidi alt ağıyla ilişkilendirmekten kaçının. Bir ağ güvenlik grubunu bu alt ağ ile ilişkilendirmek, sanal ağ geçidinizin (VPN ve Express Route ağ geçitleri) beklendiği gibi çalışmayı durdurmasına neden olabilir. Ağ güvenlik grupları hakkında daha fazla bilgi için bkz. Ağ güvenlik grubu nedir?.

Yerel ağ geçidi geçitleri

Yerel ağ geçidi, sanal ağ geçidinden farklıdır. VPN ağ geçidi yapılandırması oluştururken, yerel ağ geçidi genellikle şirket içi ağınızı ve buna karşılık gelen VPN cihazını temsil eder. Klasik dağıtım modelinde, yerel ağ geçidi için Yerel Site olara ifade edilir.

Yerel ağ geçidine bir ad, genel IP adresi veya şirket içi VPN cihazının tam etki alanı adını (FQDN) verir ve şirket içi konumda bulunan adres ön eklerini belirtirsiniz. Azure, ağ trafiği için hedef adres ön eklerine bakar, yerel ağ geçidiniz için belirttiğiniz yapılandırmaya başvurur ve paketleri buna göre yönlendirir. VPN cihazınızda Sınır Ağ Geçidi Protokolü (BGP) kullanıyorsanız VPN cihazınızın BGP eş IP adresini ve şirket içi ağınızın otonom sistem numarasını (ASN) sağlarsınız. Vpn ağ geçidi bağlantısı kullanan sanal ağdan sanal ağa yapılandırmalar için yerel ağ geçitlerini de belirtirsiniz.

Aşağıdaki PowerShell örneği yeni bir yerel ağ geçidi oluşturur:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Bazen yerel ağ geçidi ayarlarını değiştirmeniz gerekir. Örneğin, adres aralığını eklediğinizde veya değiştirdiğinizde ya da VPN cihazının IP adresi değiştiğinde. Bkz . PowerShell kullanarak yerel ağ geçidi ayarlarını değiştirme.

REST API'leri, PowerShell cmdlet'leri ve CLI

REST API'leri, PowerShell cmdlet'leri veya VPN Gateway yapılandırmaları için Azure CLI kullanırken ek teknik kaynaklar ve belirli söz dizimi gereksinimleri için aşağıdaki sayfalara bakın:

Klasik Resource Manager
PowerShell PowerShell
REST API REST API
Desteklenmez Azure CLI

Sonraki adımlar

Kullanılabilir bağlantı yapılandırmaları hakkında daha fazla bilgi için bkz. VPN Gateway Hakkında.