Udostępnij za pośrednictwem

Routing sieci VPN typu punkt-lokacja — informacje

  • Artykuł

Ten artykuł pomaga zrozumieć, jak działa routing sieci VPN typu punkt-lokacja platformy Azure. Zachowanie routingu sieci VPN punkt-lokacja jest zależne od systemu operacyjnego klienta, protokołu używanego do połączenia sieci VPN oraz sposobu połączenia sieci wirtualnych ze sobą. Aby uzyskać więcej informacji na temat sieci VPN typu punkt-lokacja, w tym obsługiwanych protokołów, zobacz About Point-to-Site VPN (Informacje o sieci VPN typu punkt-lokacja).

Jeśli wprowadzisz zmianę w topologii sieci i masz klientów sieci VPN z systemem Windows, pakiet klienta sieci VPN dla klientów z systemem Windows musi zostać pobrany i zainstalowany ponownie, aby zmiany zostały zastosowane do klienta.

Uwaga

Ten artykuł dotyczy tylko protokołów IKEv2 i OpenVPN.

Informacje o diagramach

W tym artykule znajduje się wiele różnych diagramów. Każda sekcja zawiera inną topologię lub konfigurację. Na potrzeby tego artykułu połączenia lokacja-lokacja (S2S) i połączenia między sieciami wirtualnymi działają w taki sam sposób, jak oba tunele IPsec. Wszystkie bramy sieci VPN w tym artykule są oparte na trasach.

Jedna izolowana sieć wirtualna

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci wirtualnej, która nie jest połączona ani połączona za pomocą komunikacji równorzędnej z żadną inną siecią wirtualną (VNet1). W tym przykładzie klienci mogą uzyskiwać dostęp do sieci VNet1.

Routing izolowanej sieci wirtualnej

Przestrzeń adresowa

  • Sieć wirtualna 1: 10.1.0.0/16

Dodane trasy

  • Trasy dodane do klientów systemu Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp do sieci VNet1

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp do sieci VNet1

Wiele równorzędnych sieci wirtualnych

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci VNet1. Sieć VNet1 jest równorzędna z siecią VNet2. Sieć wirtualna 2 jest równorzędna z siecią VNet3. Sieć VNet1 jest równorzędna z siecią VNet4. Nie ma bezpośredniej komunikacji równorzędnej między sieciami VNet1 i VNet3. Sieć VNet1 ma włączoną opcję "Zezwalaj na tranzyt bramy", a sieci VNet2 i VNet4 mają włączoną opcję "Użyj bram zdalnych".

Klienci korzystający z systemu Windows mogą uzyskiwać dostęp do bezpośrednio równorzędnych sieci wirtualnych, ale klient sieci VPN musi zostać pobrany ponownie, jeśli zostaną wprowadzone jakiekolwiek zmiany w komunikacji równorzędnej sieci wirtualnych lub topologii sieci. Klienci z systemem innym niż Windows mogą uzyskiwać dostęp do bezpośrednio równorzędnych sieci wirtualnych. Dostęp nie jest przechodniy i jest ograniczony tylko do bezpośrednio równorzędnych sieci wirtualnych.

Wiele równorzędnych sieci wirtualnych

Przestrzeń adresowa:

  • Sieć wirtualna 1: 10.1.0.0/16

  • Sieć wirtualna 2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Sieć wirtualna 4: 10.4.0.0/16

Dodane trasy

  • Trasy dodane do klientów systemu Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp do sieci VNet1, VNet2 i VNet4, ale aby zmiany topologii zaczęły obowiązywać, należy pobrać ponownie klienta sieci VPN.

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp do sieci VNet1, VNet2 i VNet4

Wiele sieci wirtualnych połączonych przy użyciu sieci VPN S2S

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci VNet1. Sieć VNet1 jest połączona z siecią wirtualną VNet2 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Sieć VNet2 jest połączona z siecią VNet3 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Nie ma bezpośredniego połączenia komunikacji równorzędnej ani sieci VPN typu lokacja-lokacja między sieciami VNet1 i VNet3. Wszystkie połączenia typu lokacja-lokacja nie uruchamiają protokołu BGP na potrzeby routingu.

Klienci korzystający z systemu Windows lub innego obsługiwanego systemu operacyjnego mogą uzyskiwać dostęp tylko do sieci VNet1. Aby uzyskać dostęp do dodatkowych sieci wirtualnych, należy użyć protokołu BGP.

Wiele sieci wirtualnych i lokacji S2S

Przestrzeń adresowa

  • Sieć wirtualna 1: 10.1.0.0/16

  • Sieć wirtualna 2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Dodane trasy

  • Trasy dodane do klientów systemu Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp tylko do sieci VNet1

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp tylko do sieci VNet1

Wiele sieci wirtualnych połączonych przy użyciu sieci VPN S2S (BGP)

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci VNet1. Sieć VNet1 jest połączona z siecią wirtualną VNet2 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Sieć VNet2 jest połączona z siecią VNet3 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Nie ma bezpośredniego połączenia komunikacji równorzędnej ani sieci VPN typu lokacja-lokacja między sieciami VNet1 i VNet3. Wszystkie połączenia typu lokacja-lokacja uruchamiają protokół BGP na potrzeby routingu.

Klienci korzystający z systemu Windows lub innego obsługiwanego systemu operacyjnego mogą uzyskiwać dostęp do wszystkich sieci wirtualnych połączonych przy użyciu połączenia sieci VPN typu lokacja-lokacja, ale trasy do połączonych sieci wirtualnych muszą zostać ręcznie dodane do klientów systemu Windows.

Wiele sieci wirtualnych i S2S (BGP)

Przestrzeń adresowa

  • Sieć wirtualna 1: 10.1.0.0/16

  • Sieć wirtualna 2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Dodane trasy

  • Trasy dodane do klientów systemu Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp do sieci VNet1, VNet2 i VNet3, ale trasy do sieci VNet2 i VNet3 będą musiały zostać dodane ręcznie.

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp do sieci VNet1, VNet2 i VNet3

Jedna sieć wirtualna i oddział

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci VNet1. Sieć VNet1 nie jest połączona/połączona za pomocą komunikacji równorzędnej z żadną inną siecią wirtualną, ale jest połączona z lokacją lokalną za pośrednictwem połączenia sieci VPN typu lokacja-lokacja, które nie korzysta z protokołu BGP.

Klienci z systemem Windows i innych niż Windows mogą uzyskiwać dostęp tylko do sieci VNet1.

Routing z siecią wirtualną i oddziałem

Przestrzeń adresowa

  • Sieć wirtualna 1: 10.1.0.0/16

  • Witryna 1: 10.101.0.0/16

Dodane trasy

  • Trasy dodane do klientów systemu Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp tylko do sieci VNet1

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp tylko do sieci VNet1

Jedna sieć wirtualna i oddział (BGP)

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci VNet1. Sieć VNet1 nie jest połączona ani połączona za pomocą komunikacji równorzędnej z żadną inną siecią wirtualną, ale jest połączona z lokacją lokalną (lokacja1) za pośrednictwem połączenia sieci VPN typu lokacja-lokacja z uruchomionym protokołem BGP.

Klienci systemu Windows mogą uzyskiwać dostęp do sieci wirtualnej i biura oddziału (Site1), ale trasy do lokacji Site1 muszą zostać ręcznie dodane do klienta. Klienci spoza systemu Windows mogą uzyskiwać dostęp do sieci wirtualnej i lokalnego oddziału.

Routing z siecią wirtualną i oddziałem — BGP

Przestrzeń adresowa

  • Sieć wirtualna 1: 10.1.0.0/16

  • Witryna 1: 10.101.0.0/16

Dodane trasy

  • Trasy dodane do klientów systemu Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp do sieci VNet1 i Site1, ale trasy do lokacji Site1 muszą zostać dodane ręcznie.

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp do sieci VNet1 i Site1.

Wiele sieci wirtualnych połączonych przy użyciu połączenia S2S i biura oddziału

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci VNet1. Sieć VNet1 jest połączona z siecią wirtualną VNet2 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Sieć VNet2 jest połączona z siecią VNet3 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Między sieciami VNet1 i VNet3 nie ma bezpośredniej komunikacji równorzędnej ani tunelu sieci VPN typu lokacja-lokacja. Sieć VNet3 jest połączona z oddziałem (Site1) przy użyciu połączenia sieci VPN typu lokacja-lokacja. Wszystkie połączenia sieci VPN nie korzystają z protokołu BGP.

Wszyscy klienci mogą uzyskiwać dostęp tylko do sieci VNet1.

Diagram przedstawiający sieć S2S z wieloma sieciami wirtualnymi i oddziałem

Przestrzeń adresowa

  • Sieć wirtualna 1: 10.1.0.0/16

  • Sieć wirtualna 2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Witryna 1: 10.101.0.0/16

Dodane trasy

  • Trasy dodane do klientów systemu Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp tylko do sieci VNet1

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp tylko do sieci VNet1

Wiele sieci wirtualnych połączonych przy użyciu połączenia S2S i biura oddziału (BGP)

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci VNet1. Sieć VNet1 jest połączona z siecią wirtualną VNet2 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Sieć VNet2 jest połączona z siecią VNet3 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Między sieciami VNet1 i VNet3 nie ma bezpośredniej komunikacji równorzędnej ani tunelu sieci VPN typu lokacja-lokacja. Sieć VNet3 jest połączona z oddziałem (Site1) przy użyciu połączenia sieci VPN typu lokacja-lokacja. Wszystkie połączenia sieci VPN są uruchomione przy użyciu protokołu BGP.

Klienci korzystający z systemu Windows mogą uzyskiwać dostęp do sieci wirtualnych i lokacji połączonych przy użyciu połączenia sieci VPN typu lokacja-lokacja, ale trasy do sieci VNet2, VNet3 i Site1 muszą zostać ręcznie dodane do klienta. Klienci z systemem innym niż Windows mogą uzyskiwać dostęp do sieci wirtualnych i lokacji połączonych przy użyciu połączenia sieci VPN typu lokacja-lokacja bez żadnej interwencji ręcznej. Dostęp jest przechodniy, a klienci mogą uzyskiwać dostęp do zasobów we wszystkich połączonych sieciach wirtualnych i lokacjach (lokalnie).

multi-VNet S2S i oddział

Przestrzeń adresowa

  • Sieć wirtualna 1: 10.1.0.0/16

  • Sieć wirtualna 2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Witryna 1: 10.101.0.0/16

Dodane trasy

  • Trasy dodane do klientów systemu Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp do sieci VNet1, VNet2, VNet3 i Site1, ale trasy do sieci VNet2, VNet3 i Site1 muszą zostać ręcznie dodane do klienta.

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp do sieci VNet1, Vnet2, VNet3 i Site1.

Następne kroki

Zobacz Tworzenie sieci VPN punkt-lokacja przy użyciu witryny Azure Portal , aby rozpocząć tworzenie sieci VPN P2S.