Informacje o ustawieniach konfiguracji usługi VPN Gateway
Architektura połączenia bramy sieci VPN opiera się na konfiguracji wielu zasobów, z których każda zawiera konfigurowalne ustawienia. W sekcjach w tym artykule omówiono zasoby i ustawienia związane z bramą sieci VPN dla sieci wirtualnej. Opisy i diagramy topologii dla każdego rozwiązania połączenia można znaleźć w artykule Topologia i projektowanie usługi VPN Gateway.
Wartości w tym artykule dotyczą konkretnie bram sieci VPN (bram sieci wirtualnej używających sieci VPN -GatewayType). Jeśli szukasz informacji o następujących typach bram, zobacz następujące artykuły:
- Aby uzyskać wartości dotyczące parametru -GatewayType "ExpressRoute", zobacz Bramy sieci wirtualnej dla usługi ExpressRoute.
- Aby uzyskać informacje o bramach strefowo nadmiarowych, zobacz About zone-redundant gateways (Informacje o bramach strefowo nadmiarowych).
- Aby uzyskać informacje o bramach usługi Virtual WAN, zobacz About Virtual WAN (Informacje o usłudze Virtual WAN).
Bramy i typy bram
Brama sieci wirtualnej składa się z co najmniej dwóch maszyn wirtualnych zarządzanych przez platformę Azure, które są automatycznie konfigurowane i wdrażane w określonej podsieci utworzonej jako podsieć bramy. Maszyny wirtualne bramy zawierają tabele routingu i uruchamiają określone usługi bramy. Podczas tworzenia bramy sieci wirtualnej maszyny wirtualne bramy są automatycznie wdrażane w podsieci bramy (zawsze o nazwie GatewaySubnet) i skonfigurowane przy użyciu określonych ustawień. Proces może potrwać 45 minut lub więcej, w zależności od wybranej jednostki SKU bramy.
Jednym z ustawień, które określisz podczas tworzenia bramy sieci wirtualnej, jest typ bramy. Typ bramy określa sposób użycia bramy sieci wirtualnej i akcji, które wykonuje brama. Sieć wirtualna może mieć dwie bramy sieci wirtualnej; jedna brama sieci VPN i jedna brama usługi ExpressRoute. Parametr -GatewayType "Vpn" określa, że typ utworzonej bramy sieci wirtualnej to brama sieci VPN. To odróżnia ją od bramy usługi ExpressRoute.
Jednostki SKU bramy i wydajność
Zobacz artykuł About Gateway SKUs (Informacje o jednostkach SKU bramy), aby uzyskać najnowsze informacje o jednostkach SKU bramy, wydajności i obsługiwanych funkcjach.
Typy sieci VPN
pomoc techniczna platformy Azure dwa różne typy sieci VPN dla bram sieci VPN: oparte na zasadach i oparte na trasach. Bramy sieci VPN oparte na trasach są oparte na innej platformie niż bramy sieci VPN oparte na zasadach. Powoduje to różne specyfikacje bramy. W poniższej tabeli przedstawiono jednostki SKU bramy, które obsługują poszczególne typy sieci VPN i skojarzone obsługiwane wersje protokołu IKE.
| Typ sieci VPN bramy | Jednostka SKU bramy | Obsługiwane wersje protokołu IKE |
|---|---|---|
| Brama oparta na zasadach | Podstawowy | IKEv1 |
| Brama oparta na trasach | Podstawowy | IKEv2 |
| Brama oparta na trasach | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 i IKEv2 |
| Brama oparta na trasach | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 i IKEv2 |
W większości przypadków utworzysz bramę sieci VPN opartą na trasach. Wcześniej starsze jednostki SKU bramy nie obsługiwały protokołu IKEv1 dla bram opartych na trasach. Obecnie większość bieżących jednostek SKU bramy obsługuje zarówno protokół IKEv1, jak i protokół IKEv2.
Od 1 października 2023 r. bramy oparte na zasadach można skonfigurować tylko przy użyciu programu PowerShell lub interfejsu wiersza polecenia i nie są dostępne w witrynie Azure Portal. Aby utworzyć bramę opartą na zasadach, zobacz Tworzenie podstawowej bramy sieci VPN jednostki SKU przy użyciu programu PowerShell.
Jeśli masz już bramę opartą na zasadach, nie musisz zmieniać bramy na opartej na trasach, chyba że chcesz użyć konfiguracji wymagającej bramy opartej na trasach, takiej jak punkt-lokacja.
Nie można przekonwertować bramy opartej na zasadach na opartą na trasach. Musisz usunąć istniejącą bramę, a następnie utworzyć nową bramę jako opartą na trasach.
Bramy w trybie aktywny-aktywny
Bramy sieci VPN platformy Azure można skonfigurować jako aktywne-wstrzymanie lub aktywne-aktywne. W konfiguracji aktywne-aktywne obie wystąpienia maszyn wirtualnych bramy ustanawiają tunele vpn typu lokacja-lokacja na lokalnym urządzeniu sieci VPN. Bramy trybu aktywne-aktywne są kluczowym elementem projektu łączności bramy o wysokiej dostępności. Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Informacje o bramach aktywnych-aktywnych
- Projektowanie łączności bramy o wysokiej dostępności dla połączeń między lokalizacjami i sieciami wirtualnymi
Prywatne adresy IP bramy
To ustawienie jest używane w przypadku niektórych konfiguracji prywatnej komunikacji równorzędnej usługi ExpressRoute. Aby uzyskać więcej informacji, zobacz Konfigurowanie połączenia sieci VPN typu lokacja-lokacja za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.
Typy połączeń
Każde połączenie wymaga określonego typu połączenia bramy sieci wirtualnej. Dostępne wartości programu PowerShell dla polecenia New-AzVirtualNetworkGatewayConnection -Connection Type to: IPsec, Vnet2Vnet, ExpressRoute, VPNClient.
Tryby połączenia
Właściwość Tryb połączenia dotyczy tylko bram sieci VPN opartych na trasach korzystających z połączeń IKEv2. Tryby połączenia definiują kierunek inicjowania połączenia i mają zastosowanie tylko do początkowego ustanowienia połączenia IKE. Każda strona może zainicjować ponowne klucze i dalsze komunikaty. InicjatorOnly oznacza, że połączenie musi być inicjowane przez platformę Azure. Funkcja responderOnly oznacza, że połączenie musi zostać zainicjowane przez urządzenie lokalne. Domyślne zachowanie polega na akceptowaniu i wybieraniu numerów, w zależności od tego, która z nich łączy się jako pierwsza.
Podsieć bramy
Przed utworzeniem bramy sieci VPN należy utworzyć podsieć bramy. Podsieć bramy zawiera adresy IP używane przez maszyny wirtualne i usługi bramy sieci wirtualnej. Podczas tworzenia bramy sieci wirtualnej maszyny wirtualne bramy są wdrażane w podsieci bramy i konfigurowane przy użyciu wymaganych ustawień bramy sieci VPN. Nigdy nie należy wdrażać żadnych innych maszyn wirtualnych (na przykład większej liczby maszyn wirtualnych) w podsieci bramy. Aby podsieć bramy działała prawidłowo, musi mieć nazwę "GatewaySubnet". Nazewnictwo podsieci bramy "GatewaySubnet" informuje platformę Azure, że jest to podsieć, w której powinna wdrożyć maszyny wirtualne i usługi bramy sieci wirtualnej.
Podczas tworzenia podsieci bramy należy określić liczbę zawartych w niej adresów IP. Adresy IP w podsieci bramy są przydzielane do maszyn wirtualnych bramy i usług bramy. Niektóre konfiguracje wymagają większej liczby adresów IP niż inne.
Podczas planowania rozmiaru podsieci bramy zapoznaj się z dokumentacją konfiguracji, którą planujesz utworzyć. Na przykład współistniena konfiguracja bramy ExpressRoute/VPN Gateway wymaga większej podsieci bramy niż większość innych konfiguracji. Chociaż istnieje możliwość utworzenia podsieci bramy tak małej jak /29 (dotyczy tylko jednostki SKU w warstwie Podstawowa), wszystkie inne jednostki SKU wymagają podsieci bramy o rozmiarze /27 lub większym (/27, /26, /25 itp.). Możesz utworzyć podsieć bramy większą niż /27, aby podsieć ma wystarczającą liczbę adresów IP, aby uwzględnić możliwe przyszłe konfiguracje.
Poniższy przykład programu PowerShell przedstawia podsieć bramy o nazwie GatewaySubnet. Można zobaczyć notację CIDR określa /27, co pozwala na wystarczającą liczbę adresów IP dla większości obecnie istniejących konfiguracji.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Zagadnienia do rozważenia:
Trasy zdefiniowane przez użytkownika z lokalizacją docelową 0.0.0.0/0 i sieciowymi grupami zabezpieczeń w podsieci GatewaySubnet nie są obsługiwane. Bramy z tą konfiguracją nie mogą być tworzone. Bramy wymagają dostępu do kontrolerów zarządzania, aby funkcjonowały prawidłowo. Propagacja tras protokołu BGP powinna być ustawiona na wartość "Włączone" w podsieci GatewaySubnet, aby zapewnić dostępność bramy. Jeśli propagacja trasy protokołu BGP jest wyłączona, brama nie będzie działać.
Może to mieć wpływ na diagnostykę, ścieżkę danych i ścieżkę sterowania, jeśli trasa zdefiniowana przez użytkownika nakłada się na zakres podsieci bramy lub zakres publicznych adresów IP bramy.
Bramy sieci lokalnej
Brama sieci lokalnej różni się od bramy sieci wirtualnej. Podczas pracy z architekturą lokacja-lokacja bramy sieci VPN brama sieci lokalnej zwykle reprezentuje sieć lokalną i odpowiednie urządzenie sieci VPN.
Podczas konfigurowania bramy sieci lokalnej należy określić nazwę, publiczny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) lokalnego urządzenia sieci VPN oraz prefiksy adresów, które znajdują się w lokalizacji lokalnej. Platforma Azure analizuje prefiksy adresów docelowych dla ruchu sieciowego, sprawdza konfigurację określoną dla bramy sieci lokalnej i odpowiednio kieruje pakiety. Jeśli używasz protokołu BGP (Border Gateway Protocol) na urządzeniu sieci VPN, podaj adres IP elementu równorzędnego BGP urządzenia sieci VPN i numer systemu autonomicznego (ASN) sieci lokalnej. Należy również określić bramy sieci lokalnej dla konfiguracji między sieciami wirtualnymi, które używają połączenia bramy sieci VPN.
Poniższy przykład programu PowerShell tworzy nową bramę sieci lokalnej:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Czasami należy zmodyfikować ustawienia bramy sieci lokalnej. Na przykład podczas dodawania lub modyfikowania zakresu adresów lub zmiany adresu IP urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Modyfikowanie ustawień bramy sieci lokalnej.
Interfejsy API REST, polecenia cmdlet programu PowerShell i interfejs wiersza polecenia
Aby uzyskać informacje o zasobach technicznych i określonych wymaganiach dotyczących składni podczas korzystania z interfejsów API REST, poleceń cmdlet programu PowerShell lub interfejsu wiersza polecenia platformy Azure dla konfiguracji usługi VPN Gateway, zobacz następujące strony:
Następne kroki
Aby uzyskać więcej informacji na temat dostępnych konfiguracji połączeń, zobacz About VPN Gateway (Informacje o bramie sieci VPN).