Konfigurace nastavení brány VPN pro službu Azure Stack Hub

Brána sítě VPN je typem brány virtuální sítě, která odesílá šifrovaný provoz mezi vaší virtuální sítí v centru Azure Stack a vzdálenou bránou VPN. Vzdálená brána VPN se může nacházet v Azure, v zařízení v datovém centru nebo v zařízení na jiné lokalitě. Pokud je mezi dvěma koncovými body síťové připojení, můžete mezi těmito dvěma sítěmi vytvořit zabezpečené připojení VPN typu Site-to-Site (S2S).

Připojení brány VPN se spoléhá na konfiguraci více prostředků, z nichž každá obsahuje konfigurovatelné nastavení. Tento článek popisuje prostředky a nastavení vztahující se k bráně VPN pro virtuální síť, kterou vytvoříte v modelu nasazení Správce prostředků. Popisy a diagramy topologie pro každé řešení připojení najdete v v vytváření bran sítě VPN pro centrum Azure Stack.

Nastavení služby VPN Gateway

Typy bran

Každá virtuální síť centra Azure Stack podporuje jedinou bránu virtuální sítě, která musí být typu VPN. Tato podpora se liší od Azure, která podporuje další typy.

Když vytvoříte bránu virtuální sítě, musíte se ujistit, že je typ brány správný pro vaši konfiguraci. Brána sítě VPN vyžaduje -GatewayType Vpn příznak, například:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
   -VpnType RouteBased

Skladové položky brány

Při vytváření brány virtuální sítě je nutné zadat SKU brány, které chcete použít. Vyberte SKU, které splňují vaše požadavky na základě typů úloh, propustnosti, funkcí a SLA.

Než dosáhnete maximální kapacity, můžete mít 10 vysoce výkonných bran nebo 20 základních a standardních hodnot. Maximum lze také dosáhnout celkové agregované propustnosti 2 GB/s.

Centrum Azure Stack nabízí SKU brány VPN uvedené v následující tabulce:

Tunnel propustnost Maximální počet tunelových propojení IPsec brány VPN Gateway
Základní SKU 100 Mb/s 20
Standardní SKU 100 Mb/s 20
SKU pro vysoký výkon 200 Mb/s 10

Změna velikosti SKU brány

Centrum Azure Stack nepodporuje změnu velikosti SKU mezi podporovanými staršími SKU.

Podobně Azure Stack centrum nepodporuje změnu velikosti z podporované starší verze SKU (Basic, Standarda HighPerformance) na novější SKU podporovanou Azure (VpnGw1, VpnGw2a VpnGw3).

Konfigurace SKU brány

Portál centra Azure Stack

Pokud k vytvoření Správce prostředků brány virtuální sítě používáte portál centra Azure Stack, můžete vybrat SKU brány pomocí rozevíracího seznamu. Možnosti odpovídají typu brány a typu sítě VPN, který vyberete.

PowerShell

Následující příklad prostředí PowerShell Určuje -GatewaySku parametr jako -GatewaySku:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
   -GatewayType Vpn -VpnType RouteBased

Typy připojení

V modelu nasazení Správce prostředků Každá konfigurace vyžaduje konkrétní typ připojení brány virtuální sítě. Dostupné Správce prostředků hodnoty PowerShellu pro -ConnectionType jsou -ConnectionType.

V následujícím příkladu PowerShellu se vytvoří připojení S2S, které vyžaduje typ připojení IPsec:

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
   -Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
   -ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

Typy sítě VPN

Když vytvoříte bránu virtuální sítě pro konfiguraci brány sítě VPN, musíte zadat typ sítě VPN. Typ sítě VPN, který zvolíte, závisí na topologii připojení, kterou chcete vytvořit. Typ sítě VPN může také záviset na hardwaru, který používáte. Konfigurace S2S vyžadují zařízení VPN. Některá zařízení VPN podporují jenom určitý typ sítě VPN.

Důležité

Rozbočovač Azure Stack v současné době podporuje pouze typ sítě VPN založený na trasách. Pokud vaše zařízení podporuje jenom sítě VPN založené na zásadách, pak se připojení k těmto zařízením z centra Azure Stack nepodporují.

Kromě toho centrum Azure Stack v tuto chvíli nepodporuje používání selektorů přenosu na základě zásad pro brány založené na trasách, protože vlastní konfigurace zásad IPSec/IKE se nepodporuje.

  • PolicyBased: sítě VPN založené na zásadách šifrují a směrují pakety prostřednictvím tunelů IPsec na základě zásad IPSec nakonfigurovaných s kombinacemi předpon adres mezi vaší místní sítí a virtuální sítí centra Azure Stack. Zásada nebo selektor provozu je obvykle seznam přístupu v konfiguraci zařízení VPN.

    Poznámka

    PolicyBased se podporuje v Azure, ale ne v centru Azure Stack.

  • RouteBased: sítě VPN založené na směrování používají trasy, které jsou nakonfigurované v tabulce předávání IP nebo směrovací tabulky, k přímému směrování paketů na odpovídající rozhraní tunelového propojení. Rozhraní tunelového propojení potom šifrují nebo dešifrují pakety směřující do tunelových propojení nebo z nich. Zásady nebo selektor provozu pro sítě VPN RouteBased jsou nakonfigurovány jako libovolné (nebo používají zástupné karty). Ve výchozím nastavení se nedají změnit. Hodnota pro typ VPN RouteBased je RouteBased.

Následující příklad prostředí PowerShell Určuje -VpnType jako -VpnType. Když vytvoříte bránu, musíte se ujistit, že -VpnType je správná pro vaši konfiguraci.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig `
   -GatewayType Vpn -VpnType RouteBased

Požadavky na bránu

V následující tabulce jsou uvedeny požadavky na brány VPN.

Základní brána sítě VPN založená na zásadách Základní brána sítě VPN založená na trasách Standardní brána sítě VPN založená na trasách Vysoce výkonná brána sítě VPN založená na trasách
Připojení Site-to-Site (připojení S2S) Nepodporováno Konfigurace sítě VPN založené na trasách Konfigurace sítě VPN založené na trasách Konfigurace sítě VPN založené na trasách
Metoda ověřování Nepodporováno Předsdílený klíč pro připojení S2S Předsdílený klíč pro připojení S2S Předsdílený klíč pro připojení S2S
Maximální počet připojení S2S Nepodporováno 20 20 10
Podpora aktivního směrování (BGP) Nepodporováno Nepodporováno Podporováno, až 150 tras Podporováno, až 150 tras

Podsíť brány

Než vytvoříte bránu sítě VPN, musíte vytvořit podsíť brány. Podsíť brány obsahuje IP adresy, které používají virtuální počítače a služby brány virtuální sítě. Když vytvoříte bránu virtuální sítě, virtuální počítače brány se nasadí do podsítě brány a nakonfigurují s požadovaným nastavením služby VPN Gateway. Nesaďte nic jiného (například další virtuální počítače) do podsítě brány.

Důležité

Pro správné fungování podsítě brány je nutné, aby měla název GatewaySubnet. Azure Stack hub používá tento název k identifikaci podsítě, do které chcete nasadit virtuální počítače a služby brány virtuální sítě.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. IP adresy v podsíti brány se přidělují virtuálním počítačům brány a službám brány. Některé konfigurace vyžadují víc IP adres než jiné. Prohlédněte si pokyny pro konfiguraci, kterou chcete vytvořit, a ověřte, že podsíť brány, kterou chcete vytvořit, splňuje tyto požadavky.

Kromě toho byste měli zajistit, aby podsíť brány měla dostatek IP adres pro zpracování dalších budoucích konfigurací. Přestože můžete vytvořit tak malou podsíť brány, jako je /29, doporučujeme vytvořit podsíť brány o velikosti /28 nebo větší (/28, /27, /26 atd.). Pokud tak budete v budoucnu přidávat funkce, budete muset bránu odstraňovat a pak ji odstranit a znovu vytvořit, abyste měli více IP adres.

Následující příklad Resource Manager PowerShellu ukazuje podsíť brány s názvem GatewaySubnet. Vidíte, že notace CIDR určuje /27, což umožňuje dostatek IP adres pro většinu konfigurací, které aktuálně existují.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Důležité

Při práci s podsítěmi brány nepřidružujte skupinu zabezpečení sítě (NSG) k podsíti brány. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána VPN přestane fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v tématu Co je skupina zabezpečení sítě?.

Brány místní sítě

Při vytváření konfigurace brány VPN v Azure brána místní sítě často představuje vaše místní umístění. V Azure Stack Hub představuje jakékoli vzdálené zařízení VPN, které je mimo Azure Stack Hub. Toto zařízení může být zařízení VPN ve vašem datovém centru (nebo ve vzdáleném datacentru) nebo brána VPN v Azure.

Bráně místní sítě dáte název, veřejnou IP adresu zařízení VPN a zadáte předpony adres, které jsou v místním umístění. Azure hledá předpony cílových adres pro síťový provoz, prostuduje konfiguraci, kterou jste zadali pro bránu místní sítě, a odpovídajícím způsobem směruje pakety.

Tento příklad PowerShellu vytvoří novou bránu místní sítě:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
   -Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Někdy je potřeba upravit nastavení brány místní sítě. Například když přidáte nebo upravíte rozsah adres nebo změníte IP adresu zařízení VPN. Další informace najdete v tématu Úprava nastavení brány místní sítě pomocí PowerShellu.

Parametry protokolu IPsec/IKE

Při nastavení připojení VPN v Azure Stack Hub musíte nakonfigurovat připojení na obou koncích. Pokud konfigurujete připojení VPN mezi Azure Stack Hub a hardwarovým zařízením, jako je přepínač nebo směrovač, který se chová jako brána VPN, může vás toto zařízení požádat o další nastavení.

Na rozdíl od Azure, který jako iniciátor i respondér podporuje více nabídek, Azure Stack Hub ve výchozím nastavení podporuje jenom jednu nabídku. Pokud pro práci se zařízením VPN potřebujete použít různá nastavení PROTOKOLU IPSec/IKE, máte k dispozici další nastavení pro ruční konfiguraci připojení. Další informace najdete v tématu Konfigurace zásad IPsec/IKE pro site-to-site VPN připojení.

Důležité

Při použití tunelu S2S jsou pakety dále zapouzdřeny dalšími hlavičkami, což zvyšuje celkovou velikost paketu. V těchto scénářích musíte tcp MSS uchovat na 1350. Nebo, pokud vaše zařízení VPN nepodporují mss uchýlené, můžete alternativně nastavit MTU v rozhraní tunelu na 1400 bajtů. Další informace najdete v tématu Ladění výkonu protokolu TCPIP virtuální sítě.

Parametry protokolu IKE fáze 1 (hlavní režim)

Vlastnost Hodnota
Verze IKE IKEv2
Diffie-Hellman skupina* ECP384
Metoda ověřování Předsdílený klíč
Algoritmy & hash šifrování* AES256, SHA384
Životnost SA (čas) 28 800 sekund

Parametry protokolu IKE fáze 2 (rychlý režim)

Vlastnost Hodnota
Verze IKE IKEv2
Algoritmy & hash šifrování (šifrování) GCMAES256
Algoritmy & hash šifrování (ověřování) GCMAES256
Životnost SA (čas) 27 000 sekund
Životnost SA (kilobajty) 33,553,408
Perfect Forward Secrecy (PFS)* ECP384
Detekce mrtvých partnerských zařízení Podporováno

* Nový nebo změněný parametr.

Další kroky