Směrování VPN typu Point-to-Site

  • Článek
  • 6 min ke čtení

Tento článek vám pomůže pochopit, jak se směrování VPN point-to-site v Azure chová. Chování směrování P2S VPN závisí na operačním systému klienta, protokolu používaném pro připojení VPN a způsobu, jakým jsou virtuální sítě vzájemně propojené.

Azure v současné době podporuje dva protokoly pro vzdálený přístup, IKEv2 a SSTP. IKEv2 se podporuje v mnoha klientských operačních systémech, včetně Windows, Linuxu, macOS, Androidu a iOSu. SSTP se podporuje pouze na Windows. Pokud změníte topologii sítě Windows máte klienty VPN, je nutné stáhnout a nainstalovat balíček klienta VPN pro klienty Windows, aby se změny použily na klienta.

Poznámka

Tento článek se týká pouze IKEv2.

Informace o diagramech

V tomto článku je několik různých diagramů. Každá část ukazuje jinou topologii nebo konfiguraci. Pro účely tohoto článku fungují připojení Site-to-Site (S2S) a VNet-to-VNet stejným způsobem, stejně jako oba tunely IPsec. Všechny brány VPN Gateway v tomto článku jsou založené na směrování.

Jedna izolovaná virtuální síť

Připojení brány VPN typu Point-to-Site v tomto příkladu je pro virtuální síť, která není připojená nebo v partnerském vztahu s žádnou jinou virtuální sítí (VNet1). V tomto příkladu mají klienti přístup k virtuální síti VNet1.

Izolované směrování virtuální sítě

Adresní prostor

  • VNet1: 10.1.0.0/16

Přidané trasy

  • Trasy přidané do Windows klientů: 10.1.0.0/16, 192.168.0.0/24

  • Trasy přidané do klientů bez Windows: 10.1.0.0/16, 192.168.0.0/24

Access

  • Windows klienti mají přístup k virtuální síti VNet1

  • Klienti bez Windows mají přístup k virtuální síti VNet1.

Několik partnerských virtuálních sítí

V tomto příkladu je připojení brány VPN point-to-site pro virtuální síť VNet1. Síť VNet1 je v partnerském vztahu s virtuální sítí VNet2. Virtuální síť VNet 2 je v partnerském vztahu s virtuální sítí VNet3. Síť VNet1 je v partnerském vztahu se sítí VNet4. Mezi sítěmi VNet1 a VNet3 neexistuje žádný přímý partnerský vztah. Virtuální síť VNet1 má povolenou možnost Povolit průchod bránou a sítě VNet2 a VNet4 mají povolenou možnost Používat vzdálené brány.

Klienti používající Windows mají přístup k virtuálním sítím v přímém partnerském vztahu, ale klient VPN se musí stáhnout znovu, pokud dojde ke změnám partnerského vztahu virtuálních sítí nebo síťové topologie. Klienti bez Windows mají přístup k virtuálním sítím v přímém partnerském vztahu. Přístup není tranzitivní a je omezen pouze na virtuální sítě v přímém partnerském vztahu.

Několik partnerských virtuálních sítí

Adresní prostor:

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • VNet4: 10.4.0.0/16

Přidané trasy

  • Přidání tras do klientů Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

  • Trasy přidané do jiných klientů než Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

Access

  • Windows klienti mají přístup k sítím VNet1, VNet2 a VNet4, ale aby se změny topologie projeví, je nutné klienta VPN stáhnout znovu.

  • Klienti bez Windows mají přístup k sítím VNet1, VNet2 a VNet4.

Několik virtuálních sítí připojených pomocí S2S VPN

V tomto příkladu je připojení brány VPN point-to-site pro virtuální síť VNet1. Síť VNet1 je připojená k síti VNet2 pomocí připojení VPN site-to-site. Síť VNet2 je připojená k síti VNet3 pomocí připojení VPN site-to-site. Mezi sítěmi VNet1 a VNet3 neexistuje žádné přímé partnerské vztahy ani připojení VPN typu Site-to-Site. U všech připojení site-to-site není spuštěný protokol BGP pro směrování.

Klienti používající Windows nebo jiný podporovaný operační systém mají přístup pouze k virtuální síti VNet1. Pro přístup k dalším virtuálním sítím je nutné použít protokol BGP.

Několik virtuálních sítí a S2S

Adresní prostor

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Přidané trasy

  • Trasy přidané do Windows klientů: 10.1.0.0/16, 192.168.0.0/24

  • Trasy přidané do jiných klientů než Windows: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24

Access

  • Windows klienti mají přístup pouze k virtuální síti VNet1.

  • Klienti bez Windows mají přístup pouze k virtuální síti VNet1.

Několik virtuálních sítí připojených pomocí protokolu S2S VPN (BGP)

V tomto příkladu je připojení brány VPN point-to-site pro virtuální síť VNet1. Síť VNet1 je připojená k síti VNet2 pomocí připojení VPN site-to-site. Síť VNet2 je připojená k síti VNet3 pomocí připojení VPN site-to-site. Mezi sítěmi VNet1 a VNet3 neexistuje žádné přímé partnerské vztahy ani připojení VPN typu Site-to-Site. U všech připojení site-to-site běží protokol BGP pro směrování.

Klienti používající Windows nebo jiný podporovaný operační systém mají přístup ke všem virtuálním sítím připojeným pomocí připojení VPN site-to-site, ale trasy do připojených virtuálních sítí je třeba do klientů Windows ručně přidat.

Několik virtuálních sítí a S2S (BGP)

Adresní prostor

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Přidané trasy

  • Trasy přidané do Windows klientů: 10.1.0.0/16, 192.168.0.0/24

  • Trasy přidané do jiných klientů než Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24

Access

  • Windows klienti mají přístup k sítím VNet1, VNet2 a VNet3, ale trasy do sítí VNet2 a VNet3 bude nutné přidat ručně.

  • Klienti bez Windows mají přístup k sítím VNet1, VNet2 a VNet3.

Jedna virtuální síť a pobočka

V tomto příkladu je připojení brány VPN point-to-site pro virtuální síť VNet1. Virtuální síť VNet1 není propojená s žádnou jinou virtuální sítí ani v partnerském vztahu, ale je připojená k místní lokalitě prostřednictvím připojení VPN typu Site-to-Site, které nese používá protokol BGP.

Windows a klienti bez Windows mají přístup jenom k virtuální síti VNet1.

Směrování s virtuální sítí a pobočkou

Adresní prostor

  • VNet1: 10.1.0.0/16

  • Web1: 10.101.0.0/16

Přidané trasy

  • Trasy přidané do Windows klientů: 10.1.0.0/16, 192.168.0.0/24

  • Trasy přidané do klientů bez Windows: 10.1.0.0/16, 192.168.0.0/24

Access

  • Windows klienti mají přístup jenom k virtuální síti VNet1

  • Klienti bez Windows mají přístup pouze k virtuální síti VNet1.

Jedna virtuální síť a pobočka (BGP)

V tomto příkladu je připojení brány VPN point-to-site pro virtuální síť VNet1. Virtuální síť VNet1 není připojená ani v partnerském vztahu s žádnou jinou virtuální sítí, ale je připojená k místní lokalitě (Site1) prostřednictvím připojení VPN typu Site-to-Site se spuštěnou protokolem BGP.

Windows klienti mají přístup k virtuální síti a pobočce (Site1), ale trasy k lokalitě Site1 je nutné do klienta přidat ručně. Nestand Windows klienti mají přístup k virtuální síti i k místní pobočce.

Směrování s virtuální sítí a pobočkou – BGP

Adresní prostor

  • VNet1: 10.1.0.0/16

  • Web1: 10.101.0.0/16

Přidané trasy

  • Trasy přidané do Windows klientů: 10.1.0.0/16, 192.168.0.0/24

  • Trasy přidané do jiných klientů než Windows: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Windows klienti mají přístup k sítím VNet1 a Site1, ale trasy do lokality Site1 bude nutné přidat ručně.

  • Klienti bez Windows mají přístup k sítím VNet1 a Site1.

Několik virtuálních sítí připojených pomocí S2S a pobočky

V tomto příkladu je připojení brány VPN point-to-site pro virtuální síť VNet1. Síť VNet1 je připojená k síti VNet2 pomocí připojení VPN site-to-site. Síť VNet2 je připojená k síti VNet3 pomocí připojení VPN site-to-site. Mezi sítěmi VNet1 a VNet3 neexistuje žádný přímý partnerský vztah ani tunel VPN typu Site-to-Site. Síť VNet3 je připojená k pobočce (Site1) pomocí připojení VPN site-to-site. Na všech připojeních VPN není spuštěný protokol BGP.

Všichni klienti mají přístup jenom k virtuální síti VNet1.

Diagram znázorňuje S2S s více virtuálními sítěmi a pobočku

Adresní prostor

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Web1: 10.101.0.0/16

Přidané trasy

  • Trasy přidané do Windows klientů: 10.1.0.0/16, 192.168.0.0/24

  • Trasy přidané do jiných klientů než Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Klienti Windows přístup pouze k virtuální síti VNet1.

  • Klienti bez Windows mají přístup pouze k virtuální síti VNet1.

Několik virtuálních sítí připojených pomocí S2S a pobočky (BGP)

V tomto příkladu je připojení brány VPN point-to-site pro virtuální síť VNet1. Síť VNet1 je připojená k síti VNet2 pomocí připojení VPN site-to-site. Síť VNet2 je připojená k síti VNet3 pomocí připojení VPN site-to-site. Mezi sítěmi VNet1 a VNet3 neexistuje žádný přímý partnerský vztah ani tunel VPN typu Site-to-Site. Síť VNet3 je připojená k pobočce (Site1) pomocí připojení VPN site-to-site. Všechna připojení VPN běží na protokolu BGP.

Klienti používající Windows mají přístup k virtuálním sítím a lokalitám připojeným pomocí připojení VPN site-to-site, ale trasy do sítí VNet2, VNet3 a Site1 je nutné do klienta přidat ručně. Klienti bez Windows mají přístup k virtuálním sítím a lokalitám připojeným pomocí připojení VPN site-to-site bez jakéhokoli ručního zásahu. Přístup je tranzitivní a klienti mají přístup k prostředkům ve všech připojených virtuálních sítích a lokalitách (v místním prostředí).

S2S s více virtuálními sítěmi a pobočky

Adresní prostor

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Web1: 10.101.0.0/16

Přidané trasy

  • Trasy přidané do Windows klientů: 10.1.0.0/16, 192.168.0.0/24

  • Trasy přidané do jiných klientů než Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Klienti Windows mají přístup k sítím VNet1, VNet2, VNet3 a Site1, ale trasy do sítí VNet2, VNet3 a Site1 je nutné přidat do klienta ručně.

  • Klienti bez Windows mají přístup k sítím VNet1, Vnet2, VNet3 a Site1.

Další kroky

Pokud chcete začít vytvářet P2S VPN, Azure Portal sítě VPN P2S pomocí sítě VPN P2S.