VPN Gateway-topologi och design
Det finns många olika alternativ för virtuella nätverksanslutningar. Om du vill hjälpa dig att välja en vpn-gatewayanslutningstopologi som uppfyller dina krav använder du diagrammen och beskrivningarna i följande avsnitt. Diagrammen visar huvudtopologierna för baslinjen, men det går att skapa mer komplexa konfigurationer med hjälp av diagrammen som riktlinjer.
Plats-till-plats-VPN
En VPN-gatewayanslutning från plats till plats (S2S) är en anslutning via IPsec/IKE-tunneln (IKEv1 eller IKEv2). Plats-till-plats-anslutningar kan användas för flera platser och hybridkonfigurationer. En plats-till-plats-anslutning kräver en VPN-enhet som finns lokalt och som har en offentlig IP-adress tilldelad till sig.
Du kan skapa mer än en VPN-anslutning från din virtuella nätverksgateway, vanligtvis ansluta till flera lokala platser. När du arbetar med flera anslutningar måste du använda en RouteBased VPN-typ. Eftersom varje virtuellt nätverk bara kan ha en VPN-gateway delar alla anslutningar via gatewayen på den tillgängliga bandbredden. Den här typen av anslutningsdesign kallas ibland för flera platser.
Om du vill skapa en design för gatewayanslutning med hög tillgänglighet kan du konfigurera gatewayen så att den är i aktivt-aktivt läge. Med det här läget kan du konfigurera två aktiva tunnlar (en från varje instans av en virtuell gatewaydator) till samma VPN-enhet för att skapa anslutningar med hög tillgänglighet. Förutom att vara en anslutningsdesign med hög tillgänglighet är en annan fördel med aktivt-aktivt läge att kunderna upplever högre dataflöden.
- Om du vill ha information om att välja en VPN-enhet kan du läsa vanliga frågor och svar om VPN Gateway – VPN-enheter.
- Information om anslutningar med hög tillgänglighet finns i Designa anslutningar med hög tillgänglighet.
- Information om aktivt-aktivt läge finns i Om gatewayer för aktivt-aktivt läge.
Distributionsmetoder för S2S
| Autentiseringsmetod | Artikel |
|---|---|
| I förväg delad nyckel | Portal PowerShell CLI |
| Certifikat | Portal |
Punkt-till-plats-VPN
Med en punkt-till-plats-VPN-gatewayanslutning (P2S) kan du skapa en säker anslutning till ditt virtuella nätverk från en enskild klientdator. En punkt-till-plats-anslutning upprättas genom att den startas från klientdatorn. Den här lösningen är praktisk för distansarbetare som behöver ansluta till virtuella Azure-nätverk från en fjärransluten plats, t.ex. hemifrån eller från en konferens. Punkt-till-plats-VPN är också en användbar lösning att använda i stället för plats-till-plats-VPN när du bara har ett fåtal klienter som behöver ansluta till ett virtuellt nätverk.
Till skillnad från plats-till-plats-anslutningar kräver punkt-till-plats-anslutningar inte någon lokal offentlig IP-adress eller en VPN-enhet. Punkt-till-plats-anslutningar kan användas med plats-till-plats-anslutningar via samma VPN-gateway, så länge alla konfigurationskrav för båda anslutningarna är kompatibla. Mer information om punkt-till-plats-anslutningar finns i Om punkt-till-plats-VPN.
Distributionsmetoder för P2S
| Autentiseringsmetod | Artikel |
|---|---|
| Certifikat | Portal PowerShell |
| Microsoft Entra ID | Microsoft-registrerat klientapp-ID Manuellt registrerat klientapp-ID |
| RADIUS | Portal PowerShell |
P2S VPN-klientkonfiguration
| Autentiseringsmetod | Tunneltyp | Klientens operativsystem | VPN-klient |
|---|---|---|---|
| Certifikat | |||
| IKEv2, SSTP | Windows | Intern VPN-klient | |
| IKEv2 | macOS | Intern VPN-klient | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN-klient OpenVPN-klientversion 2.x OpenVPN-klientversion 3.x |
|
| OpenVPN | macOS | OpenVPN-klient | |
| OpenVPN | iOS | OpenVPN-klient | |
| OpenVPN | Linux | Azure VPN-klient OpenVPN-klient |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN-klient | |
| OpenVPN | macOS | Azure VPN-klient | |
| OpenVPN | Linux | Azure VPN-klient |
Anslutningar mellan virtuella nätverk (IPsec/IKE VPN-tunnel)
Att ansluta ett virtuellt nätverk till ett annat virtuellt nätverk (VNet-till-VNet) liknar att ansluta ett virtuellt nätverk till en lokal plats. Båda typerna av anslutning använder en VPN-gateway för att få en säker tunnel med IPsec/IKE. Du kan till och med kombinera VNet-till-VNet-kommunikation med anslutningskonfigurationer för flera platser. Det innebär att du kan etablera nätverkstopologier som kombinerar anslutningen för flera platser med en intern virtuell nätverksanslutning.
De virtuella nätverk som du ansluter kan vara:
- i samma eller olika regioner
- i samma eller olika prenumerationer
Distributionsmetoder för VNet-till-VNet
| Connection | Artikel |
|---|---|
| VNet-till-VNet | Portal + PowerShell CLI |
(+) Anger att den här distributionsmetoden endast är tillgänglig för virtuella nätverk i samma prenumeration.
I vissa fall kanske du vill använda peering för virtuella nätverk i stället för VNet-till-VNet för att ansluta dina virtuella nätverk. Peering för virtuella nätverk använder inte en virtuell nätverksgateway. Mer information finns i Peering för virtuella nätverk.
Anslutningar för samexistens mellan plats-till-plats och ExpressRoute
ExpressRoute är en direkt, privat anslutning från ditt WAN (inte via det offentliga Internet) till Microsoft Services, inklusive Azure. VPN-trafik från plats till plats överförs krypterad via det offentliga Internet. Att kunna konfigurera VPN-anslutningar från plats till plats och ExpressRoute för samma virtuella nätverk har flera fördelar.
Du kan konfigurera ett plats-till-plats-VPN som en säker redundanssökväg för ExpressRoute, eller använda plats-till-plats-VPN för att ansluta till platser som inte ingår i nätverket, men som är anslutna via ExpressRoute. Observera att den här konfigurationen kräver två virtuella nätverksgatewayer för samma virtuella nätverk, en med gatewaytypen Vpn och den andra med gatewaytypen ExpressRoute.
Distributionsmetoder för samexisterande S2S- och ExpressRoute-anslutningar
| Connection | Artikel |
|---|---|
| Samexisterande anslutningar | Portal PowerShell |
Anslutningar med hög tillgänglighet
Information om hur du planerar och utformar anslutningar med hög tillgänglighet, inklusive konfigurationer för aktivt-aktivt läge, finns i Designa gatewayanslutningar med hög tillgänglighet för anslutningar mellan platser och VNet-till-VNet.
Nästa steg
Mer information finns i avsnittet Vanliga frågor och svar om VPN Gateway.
Läs mer om konfigurationsinställningar för VPN Gateway.
Mer information om BGP-överväganden för VPN Gateway finns i Om BGP.
Information om peering för virtuella nätverk finns i Peering för virtuellt nätverk.
Lär dig mer om de andra viktiga nätverksfunktionerna i Azure.