Směrování VPN typu Point-to-Site
Tento článek vám pomůže pochopit, jak se chová směrování VPN typu Point-to-Site v Azure. Chování směrování P2S VPN závisí na klientském operačním systému, protokolu používaném pro připojení VPN a na tom, jak jsou virtuální sítě vzájemně propojené. Další informace o síti VPN typu Point-to-Site, včetně podporovaných protokolů, najdete v tématu Informace o síti VPN typu Point-to-Site.
Pokud provedete změnu topologie sítě a máte klienty VPN systému Windows, musí se balíček klienta VPN pro klienty Windows stáhnout a nainstalovat znovu, aby se změny použily u klienta.
Poznámka:
Tento článek se týká jenom IKEv2 a OpenVPN.
O diagramech
V tomto článku je několik různých diagramů. Každá část zobrazuje jinou topologii nebo konfiguraci. Pro účely tohoto článku fungují připojení typu Site-to-Site (S2S) a VNet-to-VNet stejným způsobem jako oba tunely IPsec. Všechny brány VPN v tomto článku jsou založené na směrování.
Jedna izolovaná virtuální síť
Připojení brány VPN typu Point-to-Site v tomto příkladu je určené pro virtuální síť, která není připojená nebo propojená s žádnou jinou virtuální sítí (VNet1). V tomto příkladu mají klienti přístup k virtuální síti VNet1.
Adresní prostor
- Virtuální síť 1: 10.1.0.0/16
Přidané trasy
Trasy přidané do klientů Windows: 10.1.0.0/16, 192.168.0.0/24
Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 192.168.0.0/24
Access
Klienti Windows mají přístup k virtuální síti VNet1
Klienti mimo Windows mají přístup k virtuální síti VNet1
Několik partnerských virtuálních sítí
V tomto příkladu je připojení brány VPN typu Point-to-Site pro virtuální síť VNet1. VNet1 je v partnerském vztahu s virtuální sítí 2. VNet 2 je v partnerském vztahu s virtuální sítí VNet3. VNet1 je v partnerském vztahu s virtuální sítí 4. Mezi virtuální sítí VNet1 a VNet3 neexistuje žádný přímý partnerský vztah. VNet1 má povolenou možnost Povolit průchod bránou a virtuální síť VNet2 a VNet4 mají povolenou možnost Použít vzdálené brány.
Klienti používající Windows mají přístup k virtuálním sítím přímo v partnerském vztahu, ale pokud dojde k nějakým změnám partnerského vztahu virtuálních sítí nebo topologie sítě, musí se klient VPN stáhnout znovu. Klienti mimo Windows mají přístup k přímo partnerským virtuálním sítím. Přístup není tranzitivní a omezuje se jenom na přímo partnerské virtuální sítě.
Adresní prostor:
Virtuální síť 1: 10.1.0.0/16
Virtuální síť 2: 10.2.0.0/16
Virtuální síť 3: 10.3.0.0/16
VNet4: 10.4.0.0/16
Přidané trasy
Trasy přidané klientům Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24
Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24
Access
Klienti Windows mají přístup k virtuální síti VNet1, VNet2 a VNet4, ale klient VPN se musí stáhnout znovu, aby se projevily změny topologie.
Klienti mimo Windows mají přístup k virtuální síti VNet1, VNet2 a VNet4.
Několik virtuálních sítí připojených pomocí sítě VPN typu S2S
V tomto příkladu je připojení brány VPN typu Point-to-Site pro virtuální síť VNet1. Síť VNet1 je připojená k virtuální síti VNet2 pomocí připojení VPN typu Site-to-Site. Síť VNet2 je připojená k virtuální síti VNet3 pomocí připojení VPN typu Site-to-Site. Mezi virtuální sítí VNet1 a VNet3 neexistuje přímé partnerské vztahy ani připojení VPN typu Site-to-Site. Pro směrování nejsou spuštěná všechna připojení typu Site-to-Site protokol BGP.
Klienti používající Windows nebo jiný podporovaný operační systém mají přístup pouze k virtuální síti VNet1. Pro přístup k dalším virtuálním sítím je potřeba použít protokol BGP.
Adresní prostor
Virtuální síť 1: 10.1.0.0/16
Virtuální síť 2: 10.2.0.0/16
Virtuální síť 3: 10.3.0.0/16
Přidané trasy
Trasy přidané do klientů Windows: 10.1.0.0/16, 192.168.0.0/24
Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24
Access
Klienti Windows mají přístup pouze k virtuální síti VNet1
Klienti mimo Windows mají přístup pouze k virtuální síti VNet1.
Několik virtuálních sítí připojených pomocí S2S VPN (BGP)
V tomto příkladu je připojení brány VPN typu Point-to-Site pro virtuální síť VNet1. Síť VNet1 je připojená k virtuální síti VNet2 pomocí připojení VPN typu Site-to-Site. Síť VNet2 je připojená k virtuální síti VNet3 pomocí připojení VPN typu Site-to-Site. Mezi virtuální sítí VNet1 a VNet3 neexistuje přímé partnerské vztahy ani připojení VPN typu Site-to-Site. Pro směrování běží všechna připojení typu Site-to-Site protokol BGP.
Klienti používající Systém Windows nebo jiný podporovaný operační systém mají přístup ke všem virtuálním sítím připojeným pomocí připojení VPN typu Site-to-Site, ale trasy do připojených virtuálních sítí je potřeba do klientů Windows přidat ručně.
Adresní prostor
Virtuální síť 1: 10.1.0.0/16
Virtuální síť 2: 10.2.0.0/16
Virtuální síť 3: 10.3.0.0/16
Přidané trasy
Trasy přidané do klientů Windows: 10.1.0.0/16, 192.168.0.0/24
Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24
Access
Klienti Windows mají přístup k virtuální síti VNet1, VNet2 a VNet3, ale trasy do virtuální sítě VNet2 a VNet3 se budou muset přidat ručně.
Klienti mimo Windows mají přístup k virtuální síti VNet1, VNet2 a VNet3.
Jedna virtuální síť a pobočka
V tomto příkladu je připojení brány VPN typu Point-to-Site pro virtuální síť VNet1. Síť VNet1 není připojená nebo propojená s žádnou jinou virtuální sítí, ale je připojená k místní lokalitě prostřednictvím připojení VPN typu Site-to-Site, které nepoužívá protokol BGP.
Klienti Windows a jiných systémů než Windows mají přístup pouze k virtuální síti VNet1.
Adresní prostor
Virtuální síť 1: 10.1.0.0/16
Web1: 10.101.0.0/16
Přidané trasy
Trasy přidané do klientů Windows: 10.1.0.0/16, 192.168.0.0/24
Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 192.168.0.0/24
Access
Klienti Windows mají přístup pouze k virtuální síti VNet1.
Klienti mimo Windows mají přístup pouze k virtuální síti VNet1.
Jedna virtuální síť a pobočka (BGP)
V tomto příkladu je připojení brány VPN typu Point-to-Site pro virtuální síť VNet1. Síť VNet1 není připojená nebo propojená s žádnou jinou virtuální sítí, ale je připojená k místní lokalitě (Site1) prostřednictvím připojení VPN typu Site-to-Site se spuštěným protokolem BGP.
Klienti Windows mají přístup k virtuální síti a pobočce (Site1), ale trasy na Site1 musí být do klienta přidány ručně. Klienti mimo Windows mají přístup k virtuální síti a místní pobočce.
Adresní prostor
Virtuální síť 1: 10.1.0.0/16
Web1: 10.101.0.0/16
Přidané trasy
Trasy přidané do klientů Windows: 10.1.0.0/16, 192.168.0.0/24
Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24
Access
Klienti Windows mají přístup k virtuální síti VNet1 a Site1, ale trasy do site1 se budou muset přidat ručně.
Klienti mimo Windows mají přístup k virtuální síti VNet1 a Site1.
Více virtuálních sítí připojených pomocí S2S a pobočky
V tomto příkladu je připojení brány VPN typu Point-to-Site pro virtuální síť VNet1. Síť VNet1 je připojená k virtuální síti VNet2 pomocí připojení VPN typu Site-to-Site. Síť VNet2 je připojená k virtuální síti VNet3 pomocí připojení VPN typu Site-to-Site. Mezi sítěmi VNet1 a VNet3 neexistuje přímý partnerský vztah ani tunel VPN typu Site-to-Site. Síť VNet3 je připojená k pobočce (Site1) pomocí připojení VPN typu Site-to-Site. Všechna připojení VPN nepoužívají protokol BGP.
Všichni klienti mají přístup pouze k virtuální síti VNet1.
Adresní prostor
Virtuální síť 1: 10.1.0.0/16
Virtuální síť 2: 10.2.0.0/16
Virtuální síť 3: 10.3.0.0/16
Web1: 10.101.0.0/16
Přidané trasy
Trasy přidané do klientů Windows: 10.1.0.0/16, 192.168.0.0/24
Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24
Access
Klienti Windows mají přístup pouze k virtuální síti VNet1.
Klienti mimo Windows mají přístup pouze k virtuální síti VNet1.
Více virtuálních sítí připojených pomocí S2S a pobočky (BGP)
V tomto příkladu je připojení brány VPN typu Point-to-Site pro virtuální síť VNet1. Síť VNet1 je připojená k virtuální síti VNet2 pomocí připojení VPN typu Site-to-Site. Síť VNet2 je připojená k virtuální síti VNet3 pomocí připojení VPN typu Site-to-Site. Mezi sítěmi VNet1 a VNet3 neexistuje přímý partnerský vztah ani tunel VPN typu Site-to-Site. Síť VNet3 je připojená k pobočce (Site1) pomocí připojení VPN typu Site-to-Site. Všechna připojení VPN používají protokol BGP.
Klienti používající Windows mají přístup k virtuálním sítím a lokalitám připojeným pomocí připojení VPN typu Site-to-Site, ale trasy do virtuální sítě VNet2, VNet3 a Site1 musí být do klienta přidány ručně. Klienti bez Windows mají přístup k virtuálním sítím a lokalitám připojeným pomocí připojení VPN typu Site-to-Site bez jakéhokoli ručního zásahu. Přístup je přechodný a klienti mají přístup k prostředkům ve všech připojených virtuálních sítích a lokalitách (místně).
Adresní prostor
Virtuální síť 1: 10.1.0.0/16
Virtuální síť 2: 10.2.0.0/16
Virtuální síť 3: 10.3.0.0/16
Web1: 10.101.0.0/16
Přidané trasy
Trasy přidané do klientů Windows: 10.1.0.0/16, 192.168.0.0/24
Trasy přidané do klientů jiných systémů než Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24
Access
Klienti Windows mají přístup k virtuální síti VNet1, VNet2, VNet3 a Site1, ale trasy do virtuální sítě VNet2, VNet3 a Site1 musí být do klienta přidány ručně.
Klienti mimo Windows mají přístup k virtuální síti VNet1, VNet2, VNet3 a Site1.
Další kroky
Pokud chcete začít vytvářet síť VPN typu P2S, přečtěte si téma Vytvoření sítě VPN typu point-to-site pomocí webu Azure Portal .