Vpn ağ geçidini birden çok şirket içi ilke tabanlı VPN cihazına bağlama
Makale
Bu makale, S2S VPN bağlantılarında özel IPsec/IKE ilkelerinden yararlanan birden çok şirket içi ilke tabanlı VPN cihazına bağlanmak için Azure rota tabanlı bir VPN ağ geçidi yapılandırmanıza yardımcı olur. Bu makaledeki adımlarda Azure PowerShell kullanılır.
İlke tabanlı ve rota tabanlı VPN ağ geçitleri hakkında
İlke tabanlı ve rota tabanlı VPN cihazları, IPsec trafik seçicilerinin bir bağlantıda nasıl ayarlandığına göre farklılık gösterir:
İlke tabanlı VPN cihazları, trafiğin IPsec tünelleri aracılığıyla nasıl şifreleneceğini/şifresinin çözüleceğini tanımlamak için her iki ağdan alınan ön eklerin birleşimlerini kullanır. Genellikle paket filtreleme gerçekleştiren güvenlik duvarı cihazlarında oluşturulur. Paket filtreleme ve işleme altyapısına IPsec tünel şifreleme ve şifre çözme özellikleri eklenir.
Yol tabanlı VPN cihazları herhangi bir ağdan herhangi bir ağa (joker) trafik seçicileri kullanır ve yönlendirme/iletme tablolarının trafiği farklı IPsec tünellerine iletmesini sağlar. Genellikle her IPSec tünelinin bir ağ arabirimi ya da VTI (sanal tünel arabirimi) olarak modellendiği yönlendirici platformlarında oluşturulur.
Aşağıdaki diyagramlarda iki model vurgulanır:
İlke tabanlı VPN örneği
Rota tabanlı VPN örneği
İlke tabanlı VPN için Azure desteği
Şu anda her iki VPN ağ geçidi modu da Azure desteği: rota tabanlı VPN ağ geçitleri ve ilke tabanlı VPN ağ geçitleri. Bunlar farklı iç platformlar üzerine kurulur ve bu da farklı belirtimlerle sonuçlanır. Ağ geçitleri, aktarım hızı ve bağlantılar hakkında daha fazla bilgi için bkz . VPN Gateway ayarları hakkında.
Ağ geçidi VPN türü
Ağ Geçidi SKU’su
Desteklenen IKE sürümleri
İlke tabanlı ağ geçidi
Temel
IKEv1
Rota tabanlı ağ geçidi
Temel
IKEv2
Rota tabanlı ağ geçidi
VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5
IKEv1 ve IKEv2
Rota tabanlı ağ geçidi
VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ
IKEv1 ve IKEv2
Daha önce, ilke tabanlı VPN'lerle çalışırken, ilke tabanlı VPN ağ geçidi Temel SKU'su kullanmakla sınırlıydınız ve yalnızca 1 şirket içi VPN/güvenlik duvarı cihazına bağlanabiliyordunuz. Artık özel IPsec/IKE ilkesi kullanarak rota tabanlı vpn ağ geçidi kullanabilir ve birden çok ilke tabanlı VPN/güvenlik duvarı cihazına bağlanabilirsiniz. Rota tabanlı VPN ağ geçidi kullanarak ilke tabanlı VPN bağlantısı oluşturmak için, yol tabanlı VPN ağ geçidini "PolicyBasedTrafficSelectors" seçeneğiyle ön ek tabanlı trafik seçicilerini kullanacak şekilde yapılandırın.
Dikkat edilmesi gerekenler
Bu bağlantıyı etkinleştirmek için şirket içi ilke tabanlı VPN cihazlarınızın Azure rota tabanlı VPN ağ geçitlerine bağlanmak için IKEv2'yi desteklemesi gerekir. VPN cihaz belirtimlerinizi denetleyin.
Bu mekanizmayla ilke tabanlı VPN cihazları aracılığıyla bağlanan şirket içi ağlar yalnızca Azure sanal ağına bağlanabilir; aynı Azure VPN ağ geçidi üzerinden diğer şirket içi ağlara veya sanal ağlara geçiş yapamazlar.
Yapılandırma seçeneği, özel IPsec/IKE bağlantı ilkesinin bir parçasıdır. İlke tabanlı trafik seçici seçeneğini etkinleştirirseniz, ilkenin tamamını (IPsec/IKE şifreleme ve bütünlük algoritmaları, anahtar güçlü yönleri ve SA yaşam süreleri) belirtmeniz gerekir.
Aşağıdaki diyagramda, VPN ağ geçidi üzerinden aktarım yönlendirmesinin ilke tabanlı seçenekle neden çalışmadığı gösterilmektedir:
Diyagramda gösterildiği gibi, Azure VPN ağ geçidinde sanal ağdan şirket içi ağ ön eklerinin her birine trafik seçicileri vardır, ancak çapraz bağlantı ön eklerine sahip değildir. Örneğin, şirket içi site 2, site 3 ve site 4 sırasıyla VNet1 ile iletişim kurabilir, ancak Azure VPN ağ geçidi üzerinden birbirine bağlanamaz. Diyagramda, bu yapılandırma altındaki Azure VPN ağ geçidinde bulunmayan çapraz bağlantı trafik seçicileri gösterilir.
İş Akışı
Bu makaledeki yönergeler, S2S VPN bağlantısı kurmak için S2S veya Sanal Ağdan Sanal Ağa bağlantılar için IPsec/IKE ilkesini yapılandırma başlığında açıklanan örnekle aynıdır. Bu, aşağıdaki diyagramda gösterilmiştir:
Bağlantıyı etkinleştirmek için aşağıdaki iş akışını kullanın:
Şirket içi bağlantınız için sanal ağ, VPN ağ geçidi ve yerel ağ geçidi oluşturun.
Bir IPsec/IKE ilkesi oluşturun.
S2S veya sanal ağdan sanal ağa bağlantı oluştururken ilkeyi uygulayın ve bağlantıda ilke tabanlı trafik seçicilerini etkinleştirin.
Bağlantı zaten oluşturulduysa, ilkeyi mevcut bir bağlantıya uygulayabilir veya güncelleştirebilirsiniz.
İlke tabanlı trafik seçicilerini etkinleştirme
Bu bölümde, bir bağlantıda ilke tabanlı trafik seçicilerinin nasıl etkinleştirileceği gösterilir. IPsec/IKE ilkesi yapılandırma makalesinin 3. bölümünü tamamladığınızdan emin olun. Bu makaledeki adımlarda aynı parametreler kullanılır.
Sanal ağ, VPN ağ geçidi ve yerel ağ geçidi oluşturma
Aboneliğinize bağlanın. PowerShell'i bilgisayarınızda yerel olarak çalıştırıyorsanız Connect-AzAccount cmdlet'ini kullanarak oturum açın. Bunun yerine tarayıcınızda Azure Cloud Shell'i de kullanabilirsiniz.
Değişkenlerinizi bildirin. Bu alıştırmada aşağıdaki değişkenleri kullanacağız:
Üç alt ağa ve VPN ağ geçidine sahip TestVNet1 sanal ağını oluşturmak için aşağıdaki örneği kullanın. Değerleri değiştirmek istiyorsanız, ağ geçidi alt ağınızı her zaman özellikle 'GatewaySubnet' olarak adlandırmanız önemlidir. Başka bir ad kullanırsanız ağ geçidi oluşturma işleminiz başarısız olur.
İlke tabanlı trafik seçicileri ve IPsec/IKE ilkesiyle S2S VPN bağlantısını oluşturun ve önceki adımda oluşturulan IPsec/IKE ilkesini uygulayın. Bağlantıda ilke tabanlı trafik seçicileri etkinleştiren ek "-UsePolicyBasedTrafficSelectors $True" parametresine dikkat edin.
Adımları tamamladıktan sonra, S2S VPN bağlantısı tanımlanan IPsec/IKE ilkesini kullanır ve bağlantıda ilke tabanlı trafik seçicilerini etkinleştirir. Aynı Azure VPN ağ geçidinden ek şirket içi ilke tabanlı VPN cihazlarına daha fazla bağlantı eklemek için aynı adımları yineleyebilirsiniz.
İlke tabanlı trafik seçicilerini güncelleştirmek için
Bu bölümde, mevcut bir S2S VPN bağlantısı için ilke tabanlı trafik seçicileri seçeneğini nasıl güncelleştirdiğiniz gösterilir.
Azure'daki sanal özel ağ (VPN) ağ geçidi seçeneklerini ve VPN'nin kullanıldığı tipik senaryoları öğrenin. Siteleri Azure'a güvenle bağlamak için VPN'leri oluşturun ve test edin.
Siteden Siteye şirket içi bağlantılar için VPN cihazları ve IPsec parametreleri hakkında bilgi edinin. Yapılandırma yönergeleri ve örnekler için bağlantılar verilmektedir.