Реализация параметров VPN Azure

  • 13 мин

Центры обработки данных Contoso поддерживают удаленное подключение, что дает пользователям возможность работать удаленно. Кроме того, некоторые филиалы подключаются к центру обработки данных в головном офисе через VPN-соединение типа "сеть-сеть". Как системный инженер вы должны реализовать решение VPN, которое обеспечивает постоянную поддержку текущих сценариев использования.

Структура VPN-шлюза

С помощью шлюза Azure можно реализовать следующие типы VPN-подключений для удовлетворения потребностей организации.

  • S2S
  • Подключение нескольких сетей
  • Подключение "точка — сеть"
  • Подключение типа "виртуальная сеть — виртуальная сеть"

Подключение типа сайт — сайт

Вы реализуете подключение S2S по протоколу IPsec/IKE. Для поддержки распределенных и гибридных конфигураций используются подключения S2S. Чтобы реализовать подключение S2S, требуется VPN-устройство с общедоступным IP-адресом, как показано на следующей схеме.

Схема стандартной конфигурации VPN S2S. Виртуальная сеть (IP: 10.10.0.0/16) с меткой VNet1 подключается через шлюз VPN (IP: 131.1.1.) через VPN-туннель по протоколу IPsec/IKE к VPN-устройству (IP: 33.2.1.5) в сети LocalSite1 в головном офисе.

Подключение нескольких сетей

Многосайтовое подключение является одним из вариантом подключения S2S. Такой тип подключения позволяет создать несколько VPN-подключений из шлюза виртуальной сети. При реализации многосайтовых подключений необходимо использовать VPN-соединение типа RouteBased.

Как явствует из названия, этот тип подключения обычно используется для подключения к нескольким локальным сайтам, как показано на следующей схеме.

Схема стандартной конфигурации VPN с несколькими сайтами. Виртуальная сеть VNet1 в регионе

Совет

Виртуальная сеть может содержать только один VPN-шлюз, поэтому все подключения используют пропускную способность совместно.

Точка-сеть

P2S VPN-подключение позволяет пользователям подключаться к вашей организации из удаленной сети, например, с домашней или общедоступной точки доступа Wi-Fi. Пользователи обычно инициируют соединения P2S, как показано на следующей схеме. На этой схеме два пользователя инициируют соединение по протоколу SSTP, а третий использует протокол IKEV2. В отличие от подключений S2S, для реализации подключений P2S не требуется локальный общедоступный IP-адрес или VPN-устройство.

Схема стандартной конфигурации P2S. Виртуальная сеть VNet1 в регионе

Совет

Подключения P2S можно использовать вместе с подключениями S2S через один и тот же VPN-шлюз.

Подключение типа "виртуальная сеть — виртуальная сеть"

В некоторых случаях соединения между виртуальными сетями аналогична реализованы аналогично подключению одной виртуальной сети к расположению локального сайта (S2S). В обоих сценариях для реализации туннеля IPsec/IKE используется VPN-шлюз.

Примечание.

При реализации подключения между виртуальными сетями через VPN-шлюз виртуальные сети не обязательно должны находиться в одном и том же регионе Azure или подписке.

Совет

Можно также использовать пиринг для подключения виртуальных сетей независимо от их расположения или подписки. Такой подход может быть более быстрым и эффективным.

Схема стандартного подключения между виртуальными сетями. Виртуальная сеть VNet1 в регионе

Подключения ExpressRoute

Можно использовать подключения Azure ExpressRoute для обеспечения частного подключения из локальных сетей к Microsoft Cloud или другим сайтам в организации. Учитывая, что сетевое подключение является частным, оно более надежно и безопасно, а также дает значительные преимущества в плане повышения производительности. Подключение ExpressRoute настраивается с помощью шлюза виртуальной сети. Однако с помощью подключения ExpressRoute вы настраиваете шлюз виртуальной сети с типом шлюза ExpressRoute, а не VPN.

Совет

Хотя трафик, передаваемый по каналу ExpressRoute, не шифруется по умолчанию, можно настроить подключение для отправки зашифрованного трафика.

Можно также комбинировать подключения ExpressRoute и S2S, как показано на следующей схеме. Например, можно настроить VPN-соединение типа S2S:

  • в качестве пути отработки отказа для ExpressRoute;
  • для подключения к сайтам, которые не входят в вашу сеть, но подключены посредством ExpressRoute.

Схема двойного подключения из виртуальной сети VNet1 (регион

Реализация VPN-шлюза

При настройке VPN-шлюза необходимо выбрать и настроить ряд параметров. Во-первых, необходимо решить, следует ли реализовать конфигурацию на основе политик или маршрутов.

Конфигурация на основе политики

Если вы решили реализовать шлюзы на основе политик (на основе статической маршрутизации), необходимо определить наборы IP-адресов, которые шлюз использует для определения назначений пакетов. Шлюз оценивает каждый пакет, сопоставляя его с этими наборами IP-адресов, чтобы определить, через какой туннель шифруется и маршрутизируется пакет.

На основе маршрута

Шлюзы на основе маршрутов используются, чтобы можно было не определять, какие IP-адреса находятся за каждым туннелем. При использовании шлюзов на основе маршрутов IP-маршрутизация определяет, через какой из интерфейсов туннеля будет отправляться каждый пакет.

Совет

Необходимо выбрать VPN-соединения на основе маршрутов для локальных устройств, поскольку они более устойчивы к изменениям топологии — например, при создании новых подсетей в виртуальной сети.

Для следующих типов подключения следует всегда выбирать VPN-шлюз на основе маршрутов.

  • подключение между виртуальными сетями;
  • Подключения типа "точка — сеть"
  • многосайтовые подключения;
  • сосуществование со шлюзом Azure ExpressRoute.

Дополнительные параметры

Кроме того, необходимо определить следующие параметры для реализации VPN-шлюза.

  • VPN или ExpressRoute. Выберите основной тип подключения.
  • Диапазон адресов подсети шлюза. Указывает диапазон частных IP-адресов, связанный с VPN-шлюзом.
  • Общедоступный IP-адрес. Этот параметр задает объект общедоступного IP-адреса, который связывается с VPN-шлюзом.

Создание виртуальной сети

Для реализации VPN-шлюза необходима виртуальная сеть. Ее можно создать до или во время настройки VPN-шлюза. Мы создадим ее до того. Для этого откройте портал Azure и выполните следующую процедуру.

  1. Выберите Создать ресурс, а затем найдите и выберите Виртуальная сеть.

  2. В области Виртуальная сеть выберите Создать

  3. Создайте виртуальную сеть, указав соответствующие свойства: Подписка, Группа ресурсов, Имя и Регион.

    Снимок экрана: страница

  4. Выберите Далее: IP-адреса >.

  5. Настройте подсеть, которую нужно связать с виртуальной сетью. Для этого примите параметры по умолчанию или настройте собственные параметры.

  6. Выберите Проверить и создать, а затем выберите Создать.

Создание шлюза

После создания соответствующей виртуальной сети необходимо создать VPN-шлюз. Например, чтобы создать VPN-шлюз на основе маршрутов с помощью портала Azure, выполните следующую процедуру.

  1. На портале Azure найдите и выберите Шлюз виртуальной сети.

  2. В области Шлюз виртуальной сети выберите Создать.

  3. В области Создание шлюза виртуальной сети создайте шлюз, указав соответствующие свойства: Подписка, Имя и Регион.

  4. Затем укажите, будет ли реализовано подключение VPN или ExpressRoute.

  5. Для VPN выберите свойство На основе маршрута или На основе политики.

    Снимок экрана страницы

  6. Откройте созданную ранее виртуальную сеть.

  7. Настройте Диапазон адресов подсети шлюза и параметры Общедоступный IP-адрес.

    Снимок экрана: страница

  8. Выберите Проверить и создать, а затем выберите Создать.

Попробуйте

Если вы хотите работать с VPN-подключением Azure, попробуйте выполнить эти лабораторные занятия. Упражнения выполняются в "песочнице" и не требуют оформления подписки Azure: