Informace o nastavení konfigurace VPN GatewayAbout VPN Gateway configuration settings

Brána sítě VPN je typem brány virtuální sítě, která odesílá šifrovaný provoz mezi vaší virtuální sítí a vaším místním umístěním přes veřejné připojení.A VPN gateway is a type of virtual network gateway that sends encrypted traffic between your virtual network and your on-premises location across a public connection. Bránu VPN můžete použít také k posílání provozu mezi virtuálními sítěmi v rámci páteřní sítě Azure.You can also use a VPN gateway to send traffic between virtual networks across the Azure backbone.

Připojení brány VPN se spoléhá na konfiguraci více prostředků, z nichž každá obsahuje konfigurovatelné nastavení.A VPN gateway connection relies on the configuration of multiple resources, each of which contains configurable settings. Části v tomto článku popisují prostředky a nastavení vztahující se k bráně VPN pro virtuální síť vytvořenou v modelu nasazení Správce prostředků.The sections in this article discuss the resources and settings that relate to a VPN gateway for a virtual network created in Resource Manager deployment model. Popisy a diagramy topologie pro každé řešení připojení najdete v článku o VPN Gateway .You can find descriptions and topology diagrams for each connection solution in the About VPN Gateway article.

Hodnoty v tomto článku platí pro brány VPN (brány virtuální sítě, které používají síť VPN-GatewayType).The values in this article apply VPN gateways (virtual network gateways that use the -GatewayType Vpn). Tento článek nepopisuje všechny typy bran nebo brány redundantní v zóně.This article does not cover all gateway types or zone-redundant gateways.

Poznámka

Tento článek je aktualizovaný a využívá nový modul Az Azure PowerShellu.This article has been updated to use the new Azure PowerShell Az module. Můžete dál využívat modul AzureRM, který bude dostávat opravy chyb nejméně do prosince 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Další informace o kompatibilitě nového modulu Az a modulu AzureRM najdete v tématu Seznámení s novým modulem Az Azure PowerShellu.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pokyny k instalaci modulu Az najdete v tématu věnovaném instalaci Azure PowerShellu.For Az module installation instructions, see Install Azure PowerShell.

Typy branGateway types

Každá virtuální síť může mít pouze jednu bránu virtuální sítě každého typu.Each virtual network can only have one virtual network gateway of each type. Při vytváření brány virtuální sítě je nutné zajistit, aby byl typ brány správný pro vaši konfiguraci.When you are creating a virtual network gateway, you must make sure that the gateway type is correct for your configuration.

Dostupné hodnoty pro – GatewayType jsou:The available values for -GatewayType are:

  • VpnVpn
  • ExpressRouteExpressRoute

Brána sítě VPN vyžaduje -GatewayType VPN.A VPN gateway requires the -GatewayType Vpn.

Příklad:Example:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

SKU brányGateway SKUs

Při vytváření brány virtuální sítě musíte určit SKU brány, které chcete použít.When you create a virtual network gateway, you need to specify the gateway SKU that you want to use. Vyberte jednotku SKU, která splňuje vaše požadavky na základě typů úloh, propustnosti, funkcí a SLA.Select the SKU that satisfies your requirements based on the types of workloads, throughputs, features, and SLAs. Skladové jednotky brány virtuální sítě v Zóny dostupnosti Azure najdete v tématu skladové položky brány zóny dostupnosti Azure.For virtual network gateway SKUs in Azure Availability Zones, see Azure Availability Zones gateway SKUs.

SKU brány podle tunelu, připojení a propustnostiGateway SKUs by tunnel, connection, and throughput

Generace
brány VPN
VPN
Gateway
Generation
SKUSKU Tunely
S2S/VNet-to-VNet
S2S/VNet-to-VNet
Tunnels
Připojení P2S
SSTP
P2S
SSTP Connections
Připojení P2S
IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Srovnávací test
agregované propustnosti
Aggregate
Throughput Benchmark
BGPBGP Zone-redundantZone-redundant
Generation1Generation1 BasicBasic Nejvýše kMax. 1010 Nejvýše kMax. 128128 Nepodporuje seNot Supported 100 Mb/s100 Mbps Nepodporuje seNot Supported NeNo
Generation1Generation1 VpnGw1VpnGw1 Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 250250 650 Mb/s650 Mbps PodporovánoSupported NeNo
Generation1Generation1 VpnGw2VpnGw2 Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 500500 1 Gb/s1 Gbps PodporovánoSupported NeNo
Generation1Generation1 VpnGw3VpnGw3 Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 1 0001000 1,25 Gb/s1.25 Gbps PodporovánoSupported NeNo
Generation1Generation1 VpnGw1AZVpnGw1AZ Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 250250 650 Mb/s650 Mbps PodporovánoSupported AnoYes
Generation1Generation1 VpnGw2AZVpnGw2AZ Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 500500 1 Gb/s1 Gbps PodporovánoSupported AnoYes
Generation1Generation1 VpnGw3AZVpnGw3AZ Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 1 0001000 1,25 Gb/s1.25 Gbps PodporovánoSupported AnoYes
Generation2Generation2 VpnGw2VpnGw2 Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 500500 1,25 Gb/s1.25 Gbps PodporovánoSupported NeNo
Generation2Generation2 VpnGw3VpnGw3 Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 1 0001000 2,5 GB/s2.5 Gbps PodporovánoSupported NeNo
Generation2Generation2 VpnGw4VpnGw4 Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 50005000 5 Gb/s5 Gbps PodporovánoSupported NeNo
Generation2Generation2 VpnGw5VpnGw5 Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 1000010000 10 Gb/s10 Gbps PodporovánoSupported NeNo
Generation2Generation2 VpnGw2AZVpnGw2AZ Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 500500 1,25 Gb/s1.25 Gbps PodporovánoSupported AnoYes
Generation2Generation2 VpnGw3AZVpnGw3AZ Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 1 0001000 2,5 GB/s2.5 Gbps PodporovánoSupported AnoYes
Generation2Generation2 VpnGw4AZVpnGw4AZ Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 50005000 5 Gb/s5 Gbps PodporovánoSupported AnoYes
Generation2Generation2 VpnGw5AZVpnGw5AZ Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 1000010000 10 Gb/s10 Gbps PodporovánoSupported AnoYes

(*) Pokud potřebujete více než 30 tunelů VPN S2S, použijte službu Virtual WAN.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Změna velikosti SKU VpnGw je povolena v rámci stejné generace s výjimkou změny velikosti základní SKU.The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. Základní SKU je starší verze SKU a má omezení funkcí.The Basic SKU is a legacy SKU and has feature limitations. Aby bylo možné přejít ze základního na jinou SKLADOVOU položku VpnGw, je nutné odstranit základní bránu VPN Gateway a vytvořit novou bránu s požadovanou kombinací velikosti pro generaci a SKU.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Tato omezení připojení jsou nezávislá.These connection limits are separate. Pro skladovou položku VpnGw1 můžete například mít 128 připojení SSTP a také 250 připojení IKEv2.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Informace o cenách najdete na stránce Ceny.Pricing information can be found on the Pricing page.

  • Informace o smlouvě SLA (smlouva o úrovni služeb) můžete najít na stránce SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • U jediného tunelu lze dosáhnout maximální propustnosti 1 GB/s.On a single tunnel a maximum of 1 Gbps throughput can be achieved. Srovnávací srovnávací test propustnosti ve výše uvedené tabulce je založený na měření více tunelů agregovaných prostřednictvím jedné brány.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. Srovnávací test agregované propustnosti pro VPN Gateway je kombinací S2S + P2S.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Pokud máte velké množství připojení typu P2S, může to vzhledem k omezením propustnosti negativně ovlivnit připojení S2S.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. Srovnávací srovnávací test propustnosti není zaručená propustnost v důsledku podmínek internetového provozu a chování vaší aplikace.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Abychom zákazníkům porozuměli relativnímu výkonu SKU pomocí různých algoritmů, používali jsme veřejně dostupné nástroje iPerf a CTSTraffic k měření výkonností.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. V následující tabulce jsou uvedeny výsledky testů výkonnosti pro VpnGw SKU generace 1.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. Jak vidíte, dosáhnete nejlepšího výkonu, když jsme použili GCMAES256 algoritmus pro šifrování a integritu protokolu IPsec.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Dostali jsme průměrný výkon při použití AES256 pro šifrování protokolem IPsec a SHA256 pro zajištění integrity.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Když jsme používali DES3 pro šifrování protokolem IPsec a SHA256 pro zajištění integrity, máme nejnižší výkon.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

NezbytnýchGeneration SKUSKU Používané
algoritmů
Algorithms
used

propustnosti pozorována
Throughput
observed
Zjištěné
paketů za sekundu
Packets per second
observed
Generation1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mb/s650 Mbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
58 00058,000
50 00050,000
50 00050,000
Generation1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gb/s1 Gbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
90,00090,000
80,00080,000
55 00055,000
Generation1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gb/s1.25 Gbps
550 MB/s550 Mbps
120 MB/s120 Mbps
105 000105,000
90,00090,000
60,00060,000
Generation1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mb/s650 Mbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
58 00058,000
50 00050,000
50 00050,000
Generation1Generation1 VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gb/s1 Gbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
90,00090,000
80,00080,000
55 00055,000
Generation1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gb/s1.25 Gbps
550 MB/s550 Mbps
120 MB/s120 Mbps
105 000105,000
90,00090,000
60,00060,000

Poznámka

Skladové položky VpnGw (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5 a VpnGw5AZ) se podporují jenom pro model nasazení Správce prostředků.VpnGw SKUs (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5, and VpnGw5AZ) are supported for the Resource Manager deployment model only. Klasické virtuální sítě by měly dál používat staré (zastaralé) SKU.Classic virtual networks should continue to use the old (legacy) SKUs.

SKU brány podle sady funkcíGateway SKUs by feature set

Nové skladové položky brány VPN zefektivňují sady funkcí nabízené na branách:The new VPN gateway SKUs streamline the feature sets offered on the gateways:

SKUSKU FunkceFeatures
Basic (**)Basic (**) Síť VPN založená na směrování: 10 tunelů pro S2S/připojení; žádné ověřování RADIUS pro P2S; žádná IKEv2 pro P2SRoute-based VPN: 10 tunnels for S2S/connections; no RADIUS authentication for P2S; no IKEv2 for P2S
Síť VPN založená na zásadách: (IKEv1): 1 tunelové připojení S2S/připojení; žádné P2SPolicy-based VPN: (IKEv1): 1 S2S/connection tunnel; no P2S
Všechny skladové položky Generation1 a Generation2 s výjimkou úrovně BasicAll Generation1 and Generation2 SKUs except Basic Síť VPN založená na směrování: až 30 tunelů (*), P2S, BGP, aktivní-aktivní, vlastní zásady IPSec/IKE, koexistence EXPRESSROUTE/VPNRoute-based VPN: up to 30 tunnels (*), P2S, BGP, active-active, custom IPsec/IKE policy, ExpressRoute/VPN coexistence

(*) Můžete nakonfigurovat "PolicyBasedTrafficSelectors" pro připojení brány sítě VPN založené na trasách k několika místním zařízením brány firewall na základě zásad.(*) You can configure "PolicyBasedTrafficSelectors" to connect a route-based VPN gateway to multiple on-premises policy-based firewall devices. Podrobnosti najdete v tématu věnovaném připojení bran VPN k několika místním zařízením VPN založeným na zásadách s využitím PowerShellu.Refer to Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell for details.

(**) Základní SKU se považuje za starší SKU.(**) The Basic SKU is considered a legacy SKU. Základní skladová položka má určitá omezení funkcí.The Basic SKU has certain feature limitations. Nemůžete změnit velikost brány, která používá základní SKU na jednu z nových SKU brány, musíte místo toho přejít na novou SKU, která zahrnuje odstranění a opětovné vytvoření brány VPN.You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway.

SKU brány – provozní a vývojové a testovací úlohyGateway SKUs - Production vs. Dev-Test Workloads

Z důvodu rozdílů v SLA a sadách funkcí doporučujeme následující SKU pro produkční prostředí vs. vývoj a testování:Due to the differences in SLAs and feature sets, we recommend the following SKUs for production vs. dev-test:

ÚlohaWorkload SKUSKUs
Produkce, kritické úlohyProduction, critical workloads Všechny skladové položky Generation1 a Generation2 s výjimkou úrovně BasicAll Generation1 and Generation2 SKUs except Basic
Vývoj a testování nebo testování konceptuDev-test or proof of concept Základní (* *)Basic (**)

(**) Základní SKU se považuje za starší verzi SKU a má omezení funkcí.(**) The Basic SKU is considered a legacy SKU and has feature limitations. Před použitím základní SKU ověřte, zda je funkce, kterou potřebujete, podporována.Verify that the feature that you need is supported before you use the Basic SKU.

Pokud používáte staré SKU (starší verze), doporučení pro produkční skladová jednotka jsou standardní a HighPerformance.If you are using the old SKUs (legacy), the production SKU recommendations are Standard and HighPerformance. Informace a pokyny pro staré skladové položky naleznete v tématu SKU brány (starší verze).For information and instructions for old SKUs, see Gateway SKUs (legacy).

Konfigurace SKU brányConfigure a gateway SKU

portál AzureAzure portal

Pokud pomocí Azure Portal vytvoříte bránu služby Správce prostředků virtuální sítě, můžete vybrat SKU brány pomocí rozevíracího seznamu.If you use the Azure portal to create a Resource Manager virtual network gateway, you can select the gateway SKU by using the dropdown. Možnosti, které zobrazíte, odpovídají typu brány a typu VPN, který vyberete.The options you are presented with correspond to the Gateway type and VPN type that you select.

PowerShellPowerShell

Následující příklad prostředí PowerShell určuje -GatewaySku jako VpnGw1.The following PowerShell example specifies the -GatewaySku as VpnGw1. Když pomocí PowerShellu vytvoříte bránu, musíte nejdřív vytvořit konfiguraci IP adresy a potom k tomu použít proměnnou.When using PowerShell to create a gateway, you have to first create the IP configuration, then use a variable to refer to it. V tomto příkladu je konfigurační proměnná $gwipconfig.In this example, the configuration variable is $gwipconfig.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

Azure CLIAzure CLI

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

Změna velikosti nebo změny SKUResizing or changing a SKU

Pokud máte bránu VPN a chcete použít jinou SKU brány, vaše možnosti mají buď změnit velikost SKU brány, nebo přejít na jinou SKLADOVOU položku.If you have a VPN gateway and you want to use a different gateway SKU, your options are to either resize your gateway SKU, or to change to another SKU. Když změníte jinou SKU brány, odstraníte zcela stávající bránu a vytvoříte novou.When you change to another gateway SKU, you delete the existing gateway entirely and build a new one. Sestavení brány může trvat až 45 minut.A gateway can take up to 45 minutes to build. V porovnání se při změně velikosti SKU brány nejedná o spoustu výpadků, protože nemusíte bránu odstranit a znovu sestavovat.In comparison, when you resize a gateway SKU, there is not much downtime because you do not have to delete and rebuild the gateway. Pokud máte možnost změnit velikost SKU brány místo změny, budete ji chtít provést.If you have the option to resize your gateway SKU, rather than change it, you will want to do that. Existují však pravidla týkající se změny velikosti:However, there are rules regarding resizing:

  1. S výjimkou základního SKU můžete změnit velikost SKU brány VPN na jinou SKLADOVOU položku služby VPN Gateway v rámci stejné generace (Generation1 nebo Generation2).With the exception of the Basic SKU, you can resize a VPN gateway SKU to another VPN gateway SKU within the same generation (Generation1 or Generation2). Například VpnGw1 of Generation1 lze změnit na VpnGw2 Generation1, ale ne na VpnGw2 Generation2.For example, VpnGw1 of Generation1 can be resized to VpnGw2 of Generation1 but not to VpnGw2 of Generation2.
  2. Pokud používáte staré SKU brány, můžete měnit velikost mezi Basic, Standard a HighPerformance SKU.When working with the old gateway SKUs, you can resize between Basic, Standard, and HighPerformance SKUs.
  3. Nemůžete změnit velikost z položek Basic/Standard/HighPerformance SKU na SKU VpnGw.You cannot resize from Basic/Standard/HighPerformance SKUs to VpnGw SKUs. Místo toho je třeba Přejít na nové SKU.You must instead, change to the new SKUs.

Změna velikosti brányTo resize a gateway

Pomocí rutiny Resize-AzVirtualNetworkGateway PowerShellu můžete upgradovat nebo downgradovat Generation1 nebo Generation2 SKLADOVOU položku (všechny SKU VpnGw lze změnit s výjimkou základních SKU).You can use the Resize-AzVirtualNetworkGateway PowerShell cmdlet to upgrade or downgrade a Generation1 or Generation2 SKU (all VpnGw SKUs can be resized except Basic SKUs). Pokud používáte SKU základní brány, použijte místo toho tyto pokyny ke změně velikosti brány.If you are using the Basic gateway SKU, use these instructions instead to resize your gateway.

Následující příklad prostředí PowerShell zobrazuje SKLADOVOU položku brány, která se mění podle velikosti VpnGw2.The following PowerShell example shows a gateway SKU being resized to VpnGw2.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

Můžete také změnit velikost brány v Azure Portal tak, že na ni kliknete na konfigurační stránku brány virtuální sítě a z rozevíracího seznamu vyberete jinou skladovou položku.You can also resize a gateway in the Azure portal by going to the Configuration page for your virtual network gateway and selecting a different SKU from the dropdown.

Změna ze staré (starší) SKU na novou SKLADOVOU položkuTo change from an old (legacy) SKU to a new SKU

Pokud pracujete s modelem nasazení Resource Manager, můžete změnit na nové SKU brány.If you are working with the Resource Manager deployment model, you can change to the new gateway SKUs. Když změníte ze starší verze SKU brány na novou skladovou Položku, odstraňte stávající bránu VPN a vytvoření nové brány VPN.When you change from a legacy gateway SKU to a new SKU, you delete the existing VPN gateway and create a new VPN gateway.

Pracovní postup:Workflow:

  1. Odeberte všechna připojení k bráně virtuální sítě.Remove any connections to the virtual network gateway.
  2. Odstraňte starou bránu VPN.Delete the old VPN gateway.
  3. Vytvořte novou bránu VPN.Create the new VPN gateway.
  4. Aktualizujte místní zařízení VPN novou IP adresou brány VPN (pro připojení typu Site-to-Site).Update your on-premises VPN devices with the new VPN gateway IP address (for Site-to-Site connections).
  5. Aktualizujte hodnotu IP adresy brány pro všechny místní síťové brány typu VNet-to-VNet, které se připojují k této bráně.Update the gateway IP address value for any VNet-to-VNet local network gateways that will connect to this gateway.
  6. Stáhněte nové klientské balíčky konfigurace klienta VPN pro klienty P2S, kteří se připojují k virtuální síti přes tuto bránu VPN.Download new client VPN configuration packages for P2S clients connecting to the virtual network through this VPN gateway.
  7. Znovu vytvořte všechna připojení k bráně virtuální sítě.Recreate the connections to the virtual network gateway.

Požadavky:Considerations:

  • Přesunout na nové SKU, musí být vaší brány VPN v modelu nasazení Resource Manager.To move to the new SKUs, your VPN gateway must be in the Resource Manager deployment model.
  • Pokud máte brány VPN classic, musí nadále používat starší starší verze SKU této brány, ale můžete změnit velikost mezi starší skladové položky.If you have a classic VPN gateway, you must continue using the older legacy SKUs for that gateway, however, you can resize between the legacy SKUs. Nelze změnit na nové SKU.You cannot change to the new SKUs.
  • Když změníte ze starší verze SKU na nové SKU, budete mít výpadek připojení.You will have connectivity downtime when you change from a legacy SKU to a new SKU.
  • Při změně na novou SKU brány, se změní veřejnou IP adresu pro bránu VPN.When changing to a new gateway SKU, the public IP address for your VPN gateway will change. K tomu dochází, i když zadáte stejného objektu veřejné IP adresy, které jste použili dříve.This happens even if you specify the same public IP address object that you used previously.

Typy připojeníConnection types

V modelu nasazení Správce prostředků Každá konfigurace vyžaduje konkrétní typ připojení brány virtuální sítě.In the Resource Manager deployment model, each configuration requires a specific virtual network gateway connection type. Dostupné hodnoty prostředí PowerShell v Resource Manageru pro -ConnectionType jsou:The available Resource Manager PowerShell values for -ConnectionType are:

  • IPsecIPsec
  • Vnet2VnetVnet2Vnet
  • ExpressRouteExpressRoute
  • VPNClientVPNClient

V následujícím příkladu PowerShellu vytvoříme připojení S2S, které vyžaduje typ připojení s protokolem IPSec.In the following PowerShell example, we create a S2S connection that requires the connection type IPsec.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

Typy sítě VPNVPN types

Když vytvoříte bránu virtuální sítě pro konfiguraci brány sítě VPN, musíte zadat typ sítě VPN.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. Typ sítě VPN, který zvolíte, závisí na topologii připojení, kterou chcete vytvořit.The VPN type that you choose depends on the connection topology that you want to create. Například připojení P2S vyžaduje typ VPN RouteBased.For example, a P2S connection requires a RouteBased VPN type. Typ sítě VPN může také záviset na hardwaru, který používáte.A VPN type can also depend on the hardware that you are using. Konfigurace S2S vyžadují zařízení VPN.S2S configurations require a VPN device. Některá zařízení VPN podporují jenom určitý typ sítě VPN.Some VPN devices only support a certain VPN type.

Typ sítě VPN, který vyberete, musí splňovat všechny požadavky na připojení pro řešení, které chcete vytvořit.The VPN type you select must satisfy all the connection requirements for the solution you want to create. Pokud například chcete vytvořit připojení k bráně VPN Gateway a připojení brány VPN P2S pro stejnou virtuální síť, použijete typ VPN RouteBased , protože P2S vyžaduje typ RouteBased VPN.For example, if you want to create a S2S VPN gateway connection and a P2S VPN gateway connection for the same virtual network, you would use VPN type RouteBased because P2S requires a RouteBased VPN type. Budete taky muset ověřit, jestli vaše zařízení VPN podporovalo připojení VPN RouteBased.You would also need to verify that your VPN device supported a RouteBased VPN connection.

Jakmile je brána virtuální sítě vytvořená, nemůžete změnit typ sítě VPN.Once a virtual network gateway has been created, you can't change the VPN type. Musíte odstranit bránu virtuální sítě a vytvořit novou.You have to delete the virtual network gateway and create a new one. Existují dva typy sítě VPN:There are two VPN types:

  • PolicyBased: PolicyBased označovaly jako brány se statickým směrováním v modelu nasazení classic.PolicyBased: PolicyBased VPNs were previously called static routing gateways in the classic deployment model. Sítě VPN založené na zásadách šifrují pakety a směrují do tunelových propojení IPsec podle zásad IPsec nakonfigurovaných pomocí kombinace předpon adres mezi vaší místní sítí a virtuální sítě Azure.Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the IPsec policies configured with the combinations of address prefixes between your on-premises network and the Azure VNet. Zásada (nebo selektor provozu) se většinou určuje v konfiguraci zařízení VPN jako přístupový seznam.The policy (or traffic selector) is usually defined as an access list in the VPN device configuration. Hodnota pro síť VPN typu PolicyBased PolicyBased.The value for a PolicyBased VPN type is PolicyBased. Při použití sítě VPN PolicyBased, mějte na paměti následující omezení:When using a PolicyBased VPN, keep in mind the following limitations:

    • Sítě VPN PolicyBased mohou pouze použít pro základní SKU brány.PolicyBased VPNs can only be used on the Basic gateway SKU. Tento typ sítě VPN není kompatibilní s další SKU brány.This VPN type is not compatible with other gateway SKUs.
    • Při použití sítě VPN PolicyBased, může mít pouze 1 tunel.You can have only 1 tunnel when using a PolicyBased VPN.
    • Můžete použít pouze sítě VPN PolicyBased pro připojení S2S a jenom pro některé konfigurace.You can only use PolicyBased VPNs for S2S connections, and only for certain configurations. Většina konfigurací brány VPN vyžaduje VPN typu RouteBased.Most VPN Gateway configurations require a RouteBased VPN.
  • RouteBased: RouteBased označovaly jako brány s dynamickým směrováním v modelu nasazení classic.RouteBased: RouteBased VPNs were previously called dynamic routing gateways in the classic deployment model. Sítí VPN RouteBased použít IP předávání nebo směrovací tabulce ke směrování paketů do svých příslušných rozhraní tunelových propojení "trasy".RouteBased VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. Rozhraní tunelového propojení potom šifrují nebo dešifrují pakety směřující do tunelových propojení nebo z nich.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. Zásada (nebo selektor provozu) pro sítě VPN typu RouteBased jsou nakonfigurované jako any-to-any (nebo zástupné znaky).The policy (or traffic selector) for RouteBased VPNs are configured as any-to-any (or wild cards). Hodnota pro typ sítě VPN RouteBased RouteBased.The value for a RouteBased VPN type is RouteBased.

Následující příklad prostředí PowerShell určuje -VpnType jako RouteBased.The following PowerShell example specifies the -VpnType as RouteBased. Při vytváření brány se musíte ujistit, že parametr -VpnType odpovídá vaší konfiguraci.When you are creating a gateway, you must make sure that the -VpnType is correct for your configuration.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Požadavky na bránuGateway requirements

V následující tabulce jsou uvedeny požadavky pro PolicyBased a RouteBased VPN Gateway.The following table lists the requirements for PolicyBased and RouteBased VPN gateways. Tato tabulka platí pro model nasazení Resource Manager i pro klasický model.This table applies to both the Resource Manager and classic deployment models. V případě klasického modelu brány PolicyBased VPN jsou stejné jako statické brány a trasové brány jsou stejné jako odpovídají dynamickým branám.For the classic model, PolicyBased VPN gateways are the same as Static gateways, and Route-based gateways are the same as Dynamic gateways.

Brány sítě VPN PolicyBased BasicPolicyBased Basic VPN Gateway RouteBased Basic VPN GatewayRouteBased Basic VPN Gateway RouteBased Standard VPN GatewayRouteBased Standard VPN Gateway RouteBased vysoce výkonná brána sítě VPNRouteBased High Performance VPN Gateway
Připojení Site-to-Site (S2S)Site-to-Site connectivity (S2S) Konfigurace sítě VPN PolicyBasedPolicyBased VPN configuration Konfigurace VPN typu RouteBasedRouteBased VPN configuration Konfigurace VPN typu RouteBasedRouteBased VPN configuration Konfigurace VPN typu RouteBasedRouteBased VPN configuration
Připojení typu point-to-site (P2S)Point-to-Site connectivity (P2S) Nepodporuje seNot supported Podporuje se (může existovat vedle připojení S2S)Supported (Can coexist with S2S) Podporuje se (může existovat vedle připojení S2S)Supported (Can coexist with S2S) Podporuje se (může existovat vedle připojení S2S)Supported (Can coexist with S2S)
Metoda ověřováníAuthentication method Předsdílený klíčPre-shared key Předsdílený klíč pro připojení S2S, certifikáty pro připojení P2SPre-shared key for S2S connectivity, Certificates for P2S connectivity Předsdílený klíč pro připojení S2S, certifikáty pro připojení P2SPre-shared key for S2S connectivity, Certificates for P2S connectivity Předsdílený klíč pro připojení S2S, certifikáty pro připojení P2SPre-shared key for S2S connectivity, Certificates for P2S connectivity
Maximální počet připojení S2SMaximum number of S2S connections 11 1010 1010 3030
Maximální počet připojení P2SMaximum number of P2S connections Nepodporuje seNot supported 128128 128128 128128
Podpora aktivního směrování (BGP) (*)Active routing support (BGP) (*) Nepodporuje seNot supported Nepodporuje seNot supported PodporovánoSupported PodporovánoSupported

(*) Protokol BGP není podporován pro model nasazení classic.(*) BGP is not supported for the classic deployment model.

Podsíť brányGateway subnet

Než vytvoříte bránu sítě VPN, musíte vytvořit podsíť brány.Before you create a VPN gateway, you must create a gateway subnet. Podsíť brány obsahuje IP adresy, které používají virtuální počítače a služby brány virtuální sítě.The gateway subnet contains the IP addresses that the virtual network gateway VMs and services use. Když vytvoříte bránu virtuální sítě, virtuální počítače brány se nasadí do podsítě brány a nakonfigurují s požadovaným nastavením služby VPN Gateway.When you create your virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the required VPN gateway settings. Nikdy nesaďte nic jiného (například další virtuální počítače) do podsítě brány.Never deploy anything else (for example, additional VMs) to the gateway subnet. Aby bylo možné správně pracovat, podsíť brány musí mít název "GatewaySubnet".The gateway subnet must be named 'GatewaySubnet' to work properly. Pojmenování podsítě brány "GatewaySubnet" umožňuje službě Azure zjistit, že se jedná o podsíť pro nasazení virtuálních počítačů a služeb brány virtuální sítě do.Naming the gateway subnet 'GatewaySubnet' lets Azure know that this is the subnet to deploy the virtual network gateway VMs and services to.

Poznámka

Trasy definované uživatelem s cíli 0.0.0.0/0 a skupin zabezpečení sítě v GatewaySubnet nejsou podporovány.User defined routes with a 0.0.0.0/0 destination and NSGs on the GatewaySubnet are not supported. Pro brány vytvořené s touto konfigurací budou zablokovány vytváření.Gateways created with this configuration will be blocked from creation. Brány vyžadují přístup k řadičům pro správu, aby fungovaly správně.Gateways require access to the management controllers in order to function properly.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. IP adresy v podsíti brány jsou přiděleny virtuálním počítačům brány a službám brány.The IP addresses in the gateway subnet are allocated to the gateway VMs and gateway services. Některé konfigurace vyžadují víc IP adres než jiné.Some configurations require more IP addresses than others.

Při plánování velikosti podsítě brány si přečtěte dokumentaci ke konfiguraci, kterou plánujete vytvořit.When you are planning your gateway subnet size, refer to the documentation for the configuration that you are planning to create. Například konfigurace s ExpressRoute/VPN Gateway vyžaduje větší podsíť brány než většina ostatních konfigurací.For example, the ExpressRoute/VPN Gateway coexist configuration requires a larger gateway subnet than most other configurations. Kromě toho můžete chtít zajistit, aby podsíť brány obsahovala dostatek IP adres, aby mohla pojmout možné budoucí další konfigurace.Additionally, you may want to make sure your gateway subnet contains enough IP addresses to accommodate possible future additional configurations. I když můžete vytvořit podsíť brány, která je menší než/29, doporučujeme vytvořit podsíť brány o velikosti/27 nebo větší (/27,/26 atd.), pokud máte dostupný adresní prostor.While you can create a gateway subnet as small as /29, we recommend that you create a gateway subnet of /27 or larger (/27, /26 etc.) if you have the available address space to do so. To bude vyhovovat většině konfigurací.This will accommodate most configurations.

Následující příklad Správce prostředků PowerShell ukazuje podsíť brány s názvem GatewaySubnet.The following Resource Manager PowerShell example shows a gateway subnet named GatewaySubnet. Můžete vidět, že zápis CIDR určuje/27, což umožňuje dostatek IP adres pro většinu konfigurací, které aktuálně existují.You can see the CIDR notation specifies a /27, which allows for enough IP addresses for most configurations that currently exist.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Důležité

Při práci s podsítěmi brány nepřidružujte skupinu zabezpečení sítě (NSG) k podsíti brány.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že vaše brána Virtual Network (síť VPN, brána Express Route) přestane fungovat podle očekávání.Associating a network security group to this subnet may cause your Virtual Network gateway(VPN, Express Route gateway) to stop functioning as expected. Další informace o skupinách zabezpečení sítě najdete v článku Co je skupina zabezpečení sítě (NSG).For more information about network security groups, see What is a network security group?

Brány místní sítěLocal network gateways

Brána místní sítě se liší od brány virtuální sítě.A local network gateway is different than a virtual network gateway. Při vytváření konfigurace brány VPN brána místní sítě obvykle představuje vaše místní umístění.When creating a VPN gateway configuration, the local network gateway usually represents your on-premises location. V modelu nasazení Classic se brána místní sítě označovala jako „místní lokalita“.In the classic deployment model, the local network gateway was referred to as a Local Site.

Bráně místní sítě udělíte název, veřejnou IP adresu místního zařízení VPN a určíte předpony adres, které se nacházejí v místním umístění.You give the local network gateway a name, the public IP address of the on-premises VPN device, and specify the address prefixes that are located on the on-premises location. Azure nahlíží na předpony cílových adres pro síťový provoz, sleduje konfiguraci, kterou jste zadali pro bránu místní sítě, a odpovídajícím způsobem směruje pakety.Azure looks at the destination address prefixes for network traffic, consults the configuration that you have specified for your local network gateway, and routes packets accordingly. Také zadáte brány místní sítě pro konfigurace VNet-to-VNet, které používají připojení brány VPN.You also specify local network gateways for VNet-to-VNet configurations that use a VPN gateway connection.

Následující příklad prostředí PowerShell vytvoří novou bránu místní sítě:The following PowerShell example creates a new local network gateway:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Někdy je potřeba upravit nastavení místní síťové brány.Sometimes you need to modify the local network gateway settings. Například když přidáte nebo upravíte rozsah adres nebo pokud se změní IP adresa zařízení VPN.For example, when you add or modify the address range, or if the IP address of the VPN device changes. Přečtěte si téma Úprava nastavení místní síťové brány pomocí PowerShellu.See Modify local network gateway settings using PowerShell.

Rozhraní REST API, rutiny prostředí PowerShell a rozhraní příkazového řádkuREST APIs, PowerShell cmdlets, and CLI

Další technické materiály a specifické požadavky na syntaxi při použití rozhraní REST API, rutin PowerShellu nebo Azure CLI pro konfiguraci VPN Gateway najdete na následujících stránkách:For additional technical resources and specific syntax requirements when using REST APIs, PowerShell cmdlets, or Azure CLI for VPN Gateway configurations, see the following pages:

ClassicClassic Resource ManagerResource Manager
PowerShellPowerShell PowerShellPowerShell
REST APIREST API REST APIREST API
NepodporovánoNot supported Azure CLIAzure CLI

Další krokyNext steps

Další informace o dostupných konfiguracích připojení najdete v tématu o VPN Gateway.For more information about available connection configurations, see About VPN Gateway.