Säker VPN-anslutning, inklusive punkt-till-plats och plats-till-plats

  • 7 minuter

Det är viktigt att känna till att det finns olika konfigurationer för VPN-gatewayanslutningar. Du måste bestämma vilken konfiguration som passar bäst för dina behov. I avsnitten nedan kan du visa designinformation och topologidiagram om följande VPN-gatewayanslutningar. Använd diagrammen och beskrivningarna för att välja den anslutningstopologi som passar dina behov. Diagrammen visar huvudtopologierna för baslinjen, men det går att skapa mer komplexa konfigurationer med hjälp av diagrammen som riktlinjer.

Plats-till-plats-VPN

En VPN-gatewayanslutning från plats till plats (S2S) är en anslutning via VPN-tunneln IPsec/IKE (IKEv1 eller IKEv2). S2S-anslutningar kan användas för konfigurationer mellan platser och för hybridkonfigurationer. En S2S-anslutning kräver en VPN-enhet som finns lokalt och som har en offentlig IP-adress tilldelad till sig.

Diagram som visar ett exempel på en plats-till-plats-anslutning för virtuell privat nätverksgateway via en säker tunnel för Internetprotokoll.

VPN Gateway kan konfigureras i aktivt vänteläge med en offentlig IP-adress eller i aktivt-aktivt läge med två offentliga IP-adresser. I aktivt vänteläge är en IPsec-tunnel aktiv och den andra tunneln är i vänteläge. I den här konfigurationen flödar trafiken genom den aktiva tunneln, och om något problem uppstår med den här tunneln växlar trafiken över till väntelägestunneln. Konfigurera VPN Gateway i aktivt-aktivt läge rekommenderas där båda IPsec-tunnlarna är samtidigt aktiva, med data som flödar genom båda tunnlarna samtidigt. En ytterligare fördel med aktivt-aktivt läge är att kunderna upplever högre dataflöden.

Du kan skapa mer än en VPN-anslutning från din virtuella nätverksgateway, vanligtvis ansluta till flera lokala platser. När du arbetar med flera anslutningar måste du använda en RouteBased VPN-typ (kallas även en ”dynamisk gateway” för klassiska virtuella nätverk). Eftersom varje virtuellt nätverk bara kan ha en VPN-gateway delar alla anslutningar via gatewayen på den tillgängliga bandbredden. Den här typen av anslutning kallas ibland för en "anslutning med flera platser".

Diagram som visar ett exempel på en punkt till flera platser virtuell privat nätverksanslutning.

Punkt-till-plats Virtuellt privat nätverk

Med en punkt-till-plats-VPN-gatewayanslutning (P2S) kan du skapa en säker anslutning till ditt virtuella nätverk från en enskild klientdator. En P2S-anslutning upprättas genom att du startar den från klientdatorn. Den här lösningen är praktisk för distansarbetare som behöver ansluta till virtuella Azure-nätverk från en fjärransluten plats, t.ex. hemifrån eller från en konferens. VPN för punkt-till-plats är också ett bra alternativ till VPN för plats-till-plats om du bara har ett fåtal klienter som behöver ansluta till ett virtuellt nätverk.

Till skillnad från S2S-anslutningar kräver P2S-anslutningar inte någon lokal offentlig IP-adress eller en VPN-enhet. P2S-anslutningar kan användas tillsammans med S2S-anslutningar via samma VPN-gateway, under förutsättning att alla konfigurationskrav för båda anslutningarna är kompatibla.

Diagram som visar ett exempel på en punkt-till-plats-anslutning för virtuellt privat nätverk.

VNet-till-VNet-anslutningar (Internet Protocol Secure/Internet Key Exchange Virtual Private Network Tunnel)

Du ansluter ett virtuellt nätverk till ett annat virtuellt nätverk (VNet-till-VNet) på nästan samma sätt som du ansluter ett VNet till en lokal plats. Båda typerna av anslutning använder en VPN-gateway för att få en säker tunnel med IPsec/IKE. Du kan till och med kombinera VNet-till-VNet-kommunikation med anslutningskonfigurationer för flera platser. Det innebär att du kan etablera nätverkstopologier som kombinerar anslutningen för flera platser med en intern virtuell nätverksanslutning.

De virtuella nätverk som du ansluter kan finnas:

  • i samma eller olika regioner
  • i samma eller olika prenumerationer
  • i samma eller olika distributionsmodeller

Diagram som visar hur anslutning av ett virtuellt nätverk till ett annat virtuellt nätverk liknar att ansluta ett virtuellt nätverk till en lokal plats.

Anslutningar mellan distributionsmodeller

Azure har för närvarande två distributionsmodeller: klassisk och Resource Manager. Om du har använt Azure ett tag har du förmodligen virtuella Azure-datorer och instansroller som kör i ett klassiskt VNet. Dina nyare virtuella datorer och rollinstanser kanske körs i ett VNet som skapats i Resource Manager. Du kan skapa en anslutning mellan virtuella nätverk så att resurserna i ett VNet kan kommunicera direkt med resurserna i ett annat.

VNet-peering

Du kan använda VNet-peering för att skapa anslutningen, förutsatt att ditt virtuella nätverk uppfyller vissa krav. VNet-peering använder inte en virtuell nätverksgateway.

Anslutningar för samexistens mellan plats-till-plats och ExpressRoute

ExpressRoute är en direkt, privat anslutning från ditt WAN (inte över offentliga internet) till Microsoft-tjänster, däribland Azure. VPN-trafik från plats till plats överförs krypterad via det offentliga Internet. Att kunna konfigurera VPN-anslutningar från plats till plats och ExpressRoute för samma virtuella nätverk har flera fördelar.

Du kan konfigurera ett plats-till-plats-VPN som en säker redundanssökväg för ExpressRoute, eller använda plats-till-plats-VPN för att ansluta till platser som inte ingår i nätverket, men som är anslutna via ExpressRoute. Observera att den här konfigurationen kräver två virtuella nätverksgatewayer för samma virtuella nätverk, en med gatewaytypen Vpn och den andra med gatewaytypen ExpressRoute.