Informace o nastavení konfigurace služby VPN GatewayAbout VPN Gateway configuration settings

Brána VPN je typem brány virtuální sítě, která odesílá šifrovaný síťový provoz mezi vaší virtuální sítí a místním umístěním přes veřejné připojení.A VPN gateway is a type of virtual network gateway that sends encrypted traffic between your virtual network and your on-premises location across a public connection. Bránu sítě VPN můžete použít také k posílání síťového provozu mezi virtuálními sítěmi přes páteřní síť Azure.You can also use a VPN gateway to send traffic between virtual networks across the Azure backbone.

Připojení brány VPN se spoléhá na konfiguraci více zdrojů, z nichž každý obsahuje konfigurovatelné nastavení.A VPN gateway connection relies on the configuration of multiple resources, each of which contains configurable settings. Části v tomto článku popisují prostředky a nastavení, které se týkají brány sítě VPN pro virtuální sítě vytvořené v modelu nasazení Resource Manageru.The sections in this article discuss the resources and settings that relate to a VPN gateway for a virtual network created in Resource Manager deployment model. Můžete najít popisy a diagramy topologie pro každé připojení řešení informace o službě VPN Gateway článku.You can find descriptions and topology diagrams for each connection solution in the About VPN Gateway article.

Hodnoty v tomto článku platí brány VPN (brány virtuální sítě, které používají parametr-GatewayType Vpn).The values in this article apply VPN gateways (virtual network gateways that use the -GatewayType Vpn). Tento článek nepopisuje všechny typy brány a zónově redundantní brány.This article does not cover all gateway types or zone-redundant gateways.

Poznámka

Tento článek byl aktualizován, aby používal nový Azure PowerShell AZ Module.This article has been updated to use the new Azure PowerShell Az module. Stále můžete používat modul AzureRM, který bude dál přijímat opravy chyb, dokud nebude aspoň 2020. prosince.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Další informace o novém rozhraní AZ Module a AzureRM Compatibility najdete v tématu představení nového Azure PowerShell AZ Module.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pokyny k instalaci přidaných modulů najdete v tématu Install Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Typy branGateway types

Každá virtuální síť může mít pouze jednu bránu virtuální sítě každého typu.Each virtual network can only have one virtual network gateway of each type. Při vytváření brány virtuální sítě, musí se ujistěte, že je typ brány odpovídá vaší konfiguraci.When you are creating a virtual network gateway, you must make sure that the gateway type is correct for your configuration.

Dostupné hodnoty pro parametr-GatewayType jsou:The available values for -GatewayType are:

  • VpnVpn
  • ExpressRouteExpressRoute

Vyžaduje bránu sítě VPN -GatewayType Vpn.A VPN gateway requires the -GatewayType Vpn.

Příklad:Example:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

SKU brányGateway SKUs

Při vytváření brány virtuální sítě musíte určit SKU brány, které chcete použít.When you create a virtual network gateway, you need to specify the gateway SKU that you want to use. Vyberte jednotku SKU, která splňuje vaše požadavky na základě typů úloh, propustnosti, funkcí a SLA.Select the SKU that satisfies your requirements based on the types of workloads, throughputs, features, and SLAs. Brána virtuální sítě skladová jednotka v zóny dostupnosti Azure, najdete v části SKU brány zóny dostupnosti Azure.For virtual network gateway SKUs in Azure Availability Zones, see Azure Availability Zones Gateway SKUs.

SKU brány podle tunelu, připojení a propustnostiGateway SKUs by tunnel, connection, and throughput

SKUSKU Tunely
S2S/VNet-to-VNet
S2S/VNet-to-VNet
Tunnels
Připojení P2S
SSTP
P2S
SSTP Connections
P2S
připojení IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Srovnávací test
agregované propustnosti
Aggregate
Throughput Benchmark
BGPBGP Zone-redundantZone-redundant
BasicBasic Max.Max. 1010 Max.Max. 128128 Nepodporuje seNot Supported 100 Mb/s100 Mbps Nepodporuje seNot Supported NeNo
VpnGw1VpnGw1 Max.Max. 30*30* Max.Max. 128128 Max.Max. 250250 650 Mb/s650 Mbps PodporovánoSupported NeNo
VpnGw2VpnGw2 Max.Max. 30*30* Max.Max. 128128 Max.Max. 500500 1 Gb/s1 Gbps PodporovánoSupported NeNo
VpnGw3VpnGw3 Max.Max. 30*30* Max.Max. 128128 Max.Max. 10001000 1,25 Gb/s1.25 Gbps PodporovánoSupported NeNo
VpnGw1AZVpnGw1AZ Max.Max. 30*30* Max.Max. 128128 Max.Max. 250250 650 Mb/s650 Mbps PodporovánoSupported AnoYes
VpnGw2AZVpnGw2AZ Max.Max. 30*30* Max.Max. 128128 Max.Max. 500500 1 Gb/s1 Gbps PodporovánoSupported AnoYes
VpnGw3AZVpnGw3AZ Max.Max. 30*30* Max.Max. 128128 Max.Max. 10001000 1,25 Gb/s1.25 Gbps PodporovánoSupported AnoYes

(*) Pokud potřebujete více než 30 tunelů VPN S2S, použijte službu Virtual WAN.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Srovnávací test agregované propustnosti je založen na měření více tunelů agregovaných prostřednictvím jedné brány.Aggregate Throughput Benchmark is based on measurements of multiple tunnels aggregated through a single gateway. Srovnávací test agregované propustnosti pro VPN Gateway je kombinací S2S + P2S.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Pokud máte velké množství připojení typu P2S, může to vzhledem k omezením propustnosti negativně ovlivnit připojení S2S.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. Srovnávací test agregované propustnosti není zaručenou propustnost kvůli podmínkám v Internetu a chování aplikace.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

  • Tato omezení připojení jsou nezávislá.These connection limits are separate. Pro skladovou položku VpnGw1 můžete například mít 128 připojení SSTP a také 250 připojení IKEv2.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Informace o cenách najdete na stránce Ceny.Pricing information can be found on the Pricing page.

  • Informace o smlouvě SLA (smlouva o úrovni služeb) můžete najít na stránce SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • Brány VPN VpnGw1, VpnGw2 a VpnGw3 se podporují jenom u modelu nasazení Resource Manageru.VpnGw1, VpnGw2, and VpnGw3 are supported for VPN gateways using the Resource Manager deployment model only.

  • Základní SKU se považuje za starší verze SKU.The Basic SKU is considered a legacy SKU. Základní skladová položka má určitá omezení funkce.The Basic SKU has certain feature limitations. Nelze změnit velikost brány využívající základní SKU na jednu z nové SKU brány, musíte místo toho změnit na novou skladovou Položku, která zahrnuje odstranění a opětovné vytvoření brány VPN.You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway. Ověřte, že je funkce, které potřebujete podporovat před použít základní SKU.Verify that the feature that you need is supported before you use the Basic SKU.

Poznámka

Nové SKU brány VPN (VpnGw1, VpnGw2 a VpnGw3) se podporují jenom u modelu nasazení Resource Manageru.The new VPN gateway SKUs (VpnGw1, VpnGw2, and VpnGw3) are supported for the Resource Manager deployment model only. Klasické virtuální sítě by měla dál používat staré (starší) skladové položky.Classic virtual networks should continue to use the old (legacy) SKUs.

SKU brány podle funkcíGateway SKUs by feature set

Nová brána VPN skladové jednotky zjednodušují sady funkcí nabízen brány:The new VPN gateway SKUs streamline the feature sets offered on the gateways:

SKUSKU FunkceFeatures
Basic (**)Basic (**) Síť VPN založená na směrování: 10 tunelů S2S nebo připojení; bez ověřování RADIUS pro P2S; bez IKEv2 pro P2SRoute-based VPN: 10 tunnels for S2S/connections; no RADIUS authentication for P2S; no IKEv2 for P2S
Síť VPN založená na zásadách: (IKEv1): 1 tunel S2S nebo připojení; bez P2SPolicy-based VPN: (IKEv1): 1 S2S/connection tunnel; no P2S
VpnGw1, VpnGw2 a VpnGw3VpnGw1, VpnGw2, and VpnGw3 Síť VPN založená na směrování: až 30 tunelů (*), P2S, BGP, aktivní aktivní, vlastní protokolu IPsec/IKE zásad, koexistence ExpressRoute/VPNRoute-based VPN: up to 30 tunnels (*), P2S, BGP, active-active, custom IPsec/IKE policy, ExpressRoute/VPN coexistence

( * ) Můžete nakonfigurovat PolicyBasedTrafficSelectors pro připojení brány sítě VPN založené na směrování (VpnGw1, VpnGw2, VpnGw3) k několika místním zařízením brány firewall založeným na zásadách.(*) You can configure "PolicyBasedTrafficSelectors" to connect a route-based VPN gateway (VpnGw1, VpnGw2, VpnGw3) to multiple on-premises policy-based firewall devices. Podrobnosti najdete v tématu věnovaném připojení bran VPN k několika místním zařízením VPN založeným na zásadách s využitím PowerShellu.Refer to Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell for details.

(**) Základní SKU se považuje za starší verze SKU.(**) The Basic SKU is considered a legacy SKU. Základní skladová položka má určitá omezení funkce.The Basic SKU has certain feature limitations. Nelze změnit velikost brány využívající základní SKU na jednu z nové SKU brány, musíte místo toho změnit na novou skladovou Položku, která zahrnuje odstranění a opětovné vytvoření brány VPN.You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway.

SKU brány - produkčního prostředí vs. vývojářské a testovací úlohyGateway SKUs - Production vs. Dev-Test Workloads

Vzhledem k rozdílům ve SLA a sadách funkcí doporučujeme pro produkční prostředí a vývoj a testování následující SKU:Due to the differences in SLAs and feature sets, we recommend the following SKUs for production vs. dev-test:

ÚlohaWorkload SKUSKUs
Produkce, kritické úlohyProduction, critical workloads VpnGw1, VpnGw2, VpnGw3VpnGw1, VpnGw2, VpnGw3
Vývoj a testování nebo testování konceptuDev-test or proof of concept Basic (**)Basic (**)

(**) Základní SKU je považován za starší verze SKU a má omezení funkcí.(**) The Basic SKU is considered a legacy SKU and has feature limitations. Ověřte, že je funkce, které potřebujete podporovat před použít základní SKU.Verify that the feature that you need is supported before you use the Basic SKU.

Pokud používáte staré SKU (starší verze), produkci se doporučují Standard a HighPerformance.If you are using the old SKUs (legacy), the production SKU recommendations are Standard and HighPerformance. Informace a pokyny, jak starých SKU najdete v tématu skladové položky brány (starší verze).For information and instructions for old SKUs, see Gateway SKUs (legacy).

Konfigurace skladové položky brányConfigure a gateway SKU

portál AzureAzure portal

Je-li vytvořit bránu virtuální sítě Resource Manageru pomocí webu Azure portal, můžete pomocí rozevíracího seznamu vyberte SKU brány.If you use the Azure portal to create a Resource Manager virtual network gateway, you can select the gateway SKU by using the dropdown. Možnosti, které budou vám nabídnuty odpovídají typ brány a typ sítě VPN, kterou jste vybrali.The options you are presented with correspond to the Gateway type and VPN type that you select.

PowerShellPowerShell

Následující příklad Powershellu Určuje, -GatewaySku jako VpnGw1.The following PowerShell example specifies the -GatewaySku as VpnGw1. Při použití Powershellu k vytvoření brány, je třeba nejprve vytvořit konfiguraci IP adresy a poté na něj odkazovat pomocí proměnné.When using PowerShell to create a gateway, you have to first create the IP configuration, then use a variable to refer to it. V tomto příkladu je proměnná konfigurace $gwipconfig.In this example, the configuration variable is $gwipconfig.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

Azure CLIAzure CLI

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

Změna velikosti nebo změnu SKUResizing or changing a SKU

Pokud máte bránu sítě VPN a chcete použít různé skladové položky brány, vaše možnosti jsou buď Změna velikosti SKU brány, nebo chcete změnit na druhý.If you have a VPN gateway and you want to use a different gateway SKU, your options are to either resize your gateway SKU, or to change to another SKU. Při změně na jiný skladové položky brány zcela odstranit existující bránu a vytvářet nové.When you change to another gateway SKU, you delete the existing gateway entirely and build a new one. Brány může trvat až 45 minut na sestavení.A gateway can take up to 45 minutes to build. Porovnání když změníte velikost skladové položky, brány není velká Doba výpadku protože není nutné odstranit a znovu vytvořit bránu.In comparison, when you resize a gateway SKU, there is not much downtime because you do not have to delete and rebuild the gateway. Pokud máte možnost Změna velikosti SKU brány, spíše než ho změnit, můžete to udělat.If you have the option to resize your gateway SKU, rather than change it, you will want to do that. Existují však pravidla týkající se změny velikosti:However, there are rules regarding resizing:

  1. Můžete měnit velikost mezi VpnGw1, VpnGw2 a VpnGw3 SKU.You can resize between VpnGw1, VpnGw2, and VpnGw3 SKUs.
  2. Pokud používáte staré SKU brány, můžete měnit velikost mezi Basic, Standard a HighPerformance SKU.When working with the old gateway SKUs, you can resize between Basic, Standard, and HighPerformance SKUs.
  3. Není možné změnit velikost z Basic/Standard/HighPerformance SKU na nové VpnGw1/VpnGw2/VpnGw3 SKU.You cannot resize from Basic/Standard/HighPerformance SKUs to the new VpnGw1/VpnGw2/VpnGw3 SKUs. Místo toho musíte změnit na nové SKU.You must instead, change to the new SKUs.

Změňte velikost brányTo resize a gateway

Pro aktuální SKU (VpnGw1, VpnGw2 a VPNGW3), kterého chcete změnit velikost skladová položka pro upgrade na výkonnější jedna brána lze použít Resize-AzVirtualNetworkGateway rutiny Powershellu.For the current SKUs (VpnGw1, VpnGw2, and VPNGW3) you want to resize your gateway SKU to upgrade to a more powerful one, you can use the Resize-AzVirtualNetworkGateway PowerShell cmdlet. Můžete také provést downgrade použití této rutiny velikost SKU brány.You can also downgrade the gateway SKU size using this cmdlet. Pokud používáte základní bránu SKU, místo toho použijte tyto pokyny Změna velikosti brány.If you are using the Basic gateway SKU, use these instructions instead to resize your gateway.

Následující příklad PowerShell ukazuje během změny velikosti pro VpnGw2 skladové položky brány.The following PowerShell example shows a gateway SKU being resized to VpnGw2.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

Můžete taky změnit velikost brány na webu Azure Portal tak, že přejdete konfigurace stránce pro vaši bránu virtuální sítě a z rozevíracího seznamu výběru různých SKU.You can also resize a gateway in the Azure portal by going to the Configuration page for your virtual network gateway and selecting a different SKU from the dropdown.

Chcete-li změnit ze staré (starší) skladové položky na novou SKUTo change from an old (legacy) SKU to a new SKU

Pokud pracujete s modelem nasazení Resource Manager, můžete změnit na nové SKU brány.If you are working with the Resource Manager deployment model, you can change to the new gateway SKUs. Když změníte ze starší verze SKU brány na novou skladovou Položku, odstraňte stávající bránu VPN a vytvoření nové brány VPN.When you change from a legacy gateway SKU to a new SKU, you delete the existing VPN gateway and create a new VPN gateway.

Pracovní postup:Workflow:

  1. Odeberte všechna připojení k bráně virtuální sítě.Remove any connections to the virtual network gateway.
  2. Odstraňte starou bránu VPN.Delete the old VPN gateway.
  3. Vytvořte novou bránu VPN.Create the new VPN gateway.
  4. Aktualizujte místní zařízení VPN novou IP adresou brány VPN (pro připojení typu Site-to-Site).Update your on-premises VPN devices with the new VPN gateway IP address (for Site-to-Site connections).
  5. Aktualizujte hodnotu IP adresy brány pro všechny místní síťové brány typu VNet-to-VNet, které se připojují k této bráně.Update the gateway IP address value for any VNet-to-VNet local network gateways that will connect to this gateway.
  6. Stáhněte nové klientské balíčky konfigurace klienta VPN pro klienty P2S, kteří se připojují k virtuální síti přes tuto bránu VPN.Download new client VPN configuration packages for P2S clients connecting to the virtual network through this VPN gateway.
  7. Znovu vytvořte všechna připojení k bráně virtuální sítě.Recreate the connections to the virtual network gateway.

Požadavky:Considerations:

  • Přesunout na nové SKU, musí být vaší brány VPN v modelu nasazení Resource Manager.To move to the new SKUs, your VPN gateway must be in the Resource Manager deployment model.
  • Pokud máte brány VPN classic, musí nadále používat starší starší verze SKU této brány, ale můžete změnit velikost mezi starší skladové položky.If you have a classic VPN gateway, you must continue using the older legacy SKUs for that gateway, however, you can resize between the legacy SKUs. Nelze změnit na nové SKU.You cannot change to the new SKUs.
  • Když změníte ze starší verze SKU na nové SKU, budete mít výpadek připojení.You will have connectivity downtime when you change from a legacy SKU to a new SKU.
  • Při změně na novou SKU brány, se změní veřejnou IP adresu pro bránu VPN.When changing to a new gateway SKU, the public IP address for your VPN gateway will change. K tomu dochází, i když zadáte stejného objektu veřejné IP adresy, které jste použili dříve.This happens even if you specify the same public IP address object that you used previously.

Typy připojeníConnection types

V modelu nasazení Resource Manager Každá konfigurace vyžaduje typ připojení brány konkrétní virtuální sítě.In the Resource Manager deployment model, each configuration requires a specific virtual network gateway connection type. Dostupné hodnoty prostředí PowerShell v Resource Manageru pro -ConnectionType jsou:The available Resource Manager PowerShell values for -ConnectionType are:

  • Protokol IPsecIPsec
  • Vnet2VnetVnet2Vnet
  • ExpressRouteExpressRoute
  • VPNClientVPNClient

V následujícím příkladu Powershellu vytvoříme připojení S2S, které vyžaduje typ připojení IPsec.In the following PowerShell example, we create a S2S connection that requires the connection type IPsec.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

Typy sítě VPNVPN types

Při vytváření brány virtuální sítě pro konfiguraci brány VPN, musíte zadat typ sítě VPN.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. Typ sítě VPN, kterou zvolíte, závisí na topologie připojení, který chcete vytvořit.The VPN type that you choose depends on the connection topology that you want to create. Připojení P2S například vyžaduje typ sítě VPN RouteBased.For example, a P2S connection requires a RouteBased VPN type. Typ sítě VPN může také záviset na hardwaru, kterou používáte.A VPN type can also depend on the hardware that you are using. Konfigurace S2S vyžadují zařízení VPN.S2S configurations require a VPN device. Některá zařízení VPN podporují pouze určitého typu sítě VPN.Some VPN devices only support a certain VPN type.

Typ sítě VPN, který jste vybrali musí splňovat všechny připojení požadavky na řešení, že který chcete vytvořit.The VPN type you select must satisfy all the connection requirements for the solution you want to create. Pokud chcete vytvořit připojení brány VPN typu S2S a připojení brány VPN typu P2S pro stejnou virtuální síť, je třeba, použijte typ sítě VPN RouteBased protože P2S vyžaduje typ sítě VPN RouteBased.For example, if you want to create a S2S VPN gateway connection and a P2S VPN gateway connection for the same virtual network, you would use VPN type RouteBased because P2S requires a RouteBased VPN type. Musíte také ověřte, že vaše zařízení VPN podporované připojení VPN typu RouteBased.You would also need to verify that your VPN device supported a RouteBased VPN connection.

Po vytvoření brány virtuální sítě, nelze změnit typ sítě VPN.Once a virtual network gateway has been created, you can't change the VPN type. Budete muset odstranit bránu virtuální sítě a vytvořte novou.You have to delete the virtual network gateway and create a new one. Existují dva typy sítě VPN:There are two VPN types:

  • PolicyBased: PolicyBased označovaly jako brány se statickým směrováním v modelu nasazení classic.PolicyBased: PolicyBased VPNs were previously called static routing gateways in the classic deployment model. Sítě VPN založené na zásadách šifrují pakety a směrují do tunelových propojení IPsec podle zásad IPsec nakonfigurovaných pomocí kombinace předpon adres mezi vaší místní sítí a virtuální sítě Azure.Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the IPsec policies configured with the combinations of address prefixes between your on-premises network and the Azure VNet. Zásada (nebo selektor provozu) se většinou určuje v konfiguraci zařízení VPN jako přístupový seznam.The policy (or traffic selector) is usually defined as an access list in the VPN device configuration. Hodnota pro síť VPN typu PolicyBased PolicyBased.The value for a PolicyBased VPN type is PolicyBased. Při použití sítě VPN PolicyBased, mějte na paměti následující omezení:When using a PolicyBased VPN, keep in mind the following limitations:

    • Sítě VPN PolicyBased mohou pouze použít pro základní SKU brány.PolicyBased VPNs can only be used on the Basic gateway SKU. Tento typ sítě VPN není kompatibilní s další SKU brány.This VPN type is not compatible with other gateway SKUs.
    • Při použití sítě VPN PolicyBased, může mít pouze 1 tunel.You can have only 1 tunnel when using a PolicyBased VPN.
    • Můžete použít pouze sítě VPN PolicyBased pro připojení S2S a jenom pro některé konfigurace.You can only use PolicyBased VPNs for S2S connections, and only for certain configurations. Většina konfigurací brány VPN vyžaduje VPN typu RouteBased.Most VPN Gateway configurations require a RouteBased VPN.
  • RouteBased: RouteBased označovaly jako brány s dynamickým směrováním v modelu nasazení classic.RouteBased: RouteBased VPNs were previously called dynamic routing gateways in the classic deployment model. Sítí VPN RouteBased použít IP předávání nebo směrovací tabulce ke směrování paketů do svých příslušných rozhraní tunelových propojení "trasy".RouteBased VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. Rozhraní tunelového propojení potom šifrují nebo dešifrují pakety směřující do tunelových propojení nebo z nich.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. Zásada (nebo selektor provozu) pro sítě VPN typu RouteBased jsou nakonfigurované jako any-to-any (nebo zástupné znaky).The policy (or traffic selector) for RouteBased VPNs are configured as any-to-any (or wild cards). Hodnota pro typ sítě VPN RouteBased RouteBased.The value for a RouteBased VPN type is RouteBased.

Následující příklad Powershellu Určuje, -VpnType jako RouteBased.The following PowerShell example specifies the -VpnType as RouteBased. Při vytváření brány se musíte ujistit, že parametr -VpnType odpovídá vaší konfiguraci.When you are creating a gateway, you must make sure that the -VpnType is correct for your configuration.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Požadavky na bránuGateway requirements

V následující tabulce jsou uvedeny požadavky pro PolicyBased a RouteBased VPN Gateway.The following table lists the requirements for PolicyBased and RouteBased VPN gateways. Tato tabulka platí pro model nasazení Resource Manager i pro klasický model.This table applies to both the Resource Manager and classic deployment models. V případě klasického modelu brány PolicyBased VPN jsou stejné jako statické brány a trasové brány jsou stejné jako odpovídají dynamickým branám.For the classic model, PolicyBased VPN gateways are the same as Static gateways, and Route-based gateways are the same as Dynamic gateways.

Brány sítě VPN PolicyBased BasicPolicyBased Basic VPN Gateway RouteBased Basic VPN GatewayRouteBased Basic VPN Gateway RouteBased Standard VPN GatewayRouteBased Standard VPN Gateway RouteBased vysoce výkonná brána sítě VPNRouteBased High Performance VPN Gateway
Připojení Site-to-Site (S2S)Site-to-Site connectivity (S2S) Konfigurace sítě VPN PolicyBasedPolicyBased VPN configuration Konfigurace VPN typu RouteBasedRouteBased VPN configuration Konfigurace VPN typu RouteBasedRouteBased VPN configuration Konfigurace VPN typu RouteBasedRouteBased VPN configuration
Připojení typu point-to-site (P2S)Point-to-Site connectivity (P2S) Nepodporuje seNot supported Podporuje se (může existovat vedle připojení S2S)Supported (Can coexist with S2S) Podporuje se (může existovat vedle připojení S2S)Supported (Can coexist with S2S) Podporuje se (může existovat vedle připojení S2S)Supported (Can coexist with S2S)
Metoda ověřováníAuthentication method Předsdílený klíčPre-shared key Předsdílený klíč pro připojení S2S, certifikáty pro připojení P2SPre-shared key for S2S connectivity, Certificates for P2S connectivity Předsdílený klíč pro připojení S2S, certifikáty pro připojení P2SPre-shared key for S2S connectivity, Certificates for P2S connectivity Předsdílený klíč pro připojení S2S, certifikáty pro připojení P2SPre-shared key for S2S connectivity, Certificates for P2S connectivity
Maximální počet připojení S2SMaximum number of S2S connections 11 1010 1010 3030
Maximální počet připojení P2SMaximum number of P2S connections Nepodporuje seNot supported 128128 128128 128128
Podpora aktivního směrování (BGP) (*)Active routing support (BGP) (*) Nepodporuje seNot supported Nepodporuje seNot supported PodporovánoSupported PodporovánoSupported

(*) Protokol BGP není podporován pro model nasazení classic.(*) BGP is not supported for the classic deployment model.

Podsíť brányGateway subnet

Než vytvoříte bránu VPN, musíte vytvořit podsíť brány.Before you create a VPN gateway, you must create a gateway subnet. Podsíť brány obsahuje IP adresy, které používají bránu virtuální sítě virtuálních počítačů a služeb.The gateway subnet contains the IP addresses that the virtual network gateway VMs and services use. Při vytváření brány virtuální sítě, virtuální počítače brány se nasazují do podsítě brány a nakonfigurovanou povinné nastavení služby VPN gateway.When you create your virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the required VPN gateway settings. Nikdy nenasazujte nic jiného (třeba dalších virtuálních počítačů) do podsítě brány.Never deploy anything else (for example, additional VMs) to the gateway subnet. Podsíť brány musí mít název "GatewaySubnet" fungovala správně.The gateway subnet must be named 'GatewaySubnet' to work properly. Název podsítě brány: GatewaySubnet"umožňuje vědět, že se jedná o podsítě k nasazení brány virtuální sítě virtuálních počítačů a služeb na Azure.Naming the gateway subnet 'GatewaySubnet' lets Azure know that this is the subnet to deploy the virtual network gateway VMs and services to.

Poznámka

Nepřidružujte směrovací tabulku, která obsahuje trasy s cílem 0.0.0.0/0 do podsítě brány.Do not associate a route table that includes a route with a destination of 0.0.0.0/0 to the gateway subnet. Tím zabráníte brána fungovat správně.Doing so prevents the gateway from functioning properly.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. Virtuální počítače brány a služby brány se přidělují IP adresy v podsíti brány.The IP addresses in the gateway subnet are allocated to the gateway VMs and gateway services. Některé konfigurace vyžadují víc IP adres než jiné.Some configurations require more IP addresses than others. Podívejte se na pokyny pro konfiguraci, kterou chcete vytvořit a ověřit, že podsíť brány, kterou chcete vytvořit tyto požadavky splňuje.Look at the instructions for the configuration that you want to create and verify that the gateway subnet you want to create meets those requirements. Kromě toho můžete zajistit, aby že podsíť brány obsahuje dostatek IP adres pro případné další další konfigurace.Additionally, you may want to make sure your gateway subnet contains enough IP addresses to accommodate possible future additional configurations. Můžete si sice vytvořit podsíť brány malá jako minimální velikostí/29, doporučujeme vytvořit podsíť brány o velikosti/28 nebo větší (/ 28, velikost/27, / 26 atd.).While you can create a gateway subnet as small as /29, we recommend that you create a gateway subnet of /28 or larger (/28, /27, /26 etc.). Tímto způsobem, pokud chcete přidat funkce v budoucnu, nebude mít odstraňovat bránu, pak odstraňte a znovu vytvořit podsíť brány umožňující další IP adresy.That way, if you add functionality in the future, you won't have to tear your gateway, then delete and recreate the gateway subnet to allow for more IP addresses.

Následující příklad Powershellu pro Resource Manager ukazuje podsíť brány s názvem GatewaySubnet.The following Resource Manager PowerShell example shows a gateway subnet named GatewaySubnet. Uvidíte, že zápis CIDR Určuje velikost/27, která zajistíte dostatek IP adres u většiny konfigurací, které momentálně existují.You can see the CIDR notation specifies a /27, which allows for enough IP addresses for most configurations that currently exist.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Důležité

Při práci s podsítěmi brány nepřidružujte skupinu zabezpečení sítě (NSG) k podsíti brány.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. Pokud byste k této podsíti přidružili skupinu zabezpečení sítě, brána sítě VPN by mohla přestat fungovat podle očekávání.Associating a network security group to this subnet may cause your VPN gateway to stop functioning as expected. Další informace o skupinách zabezpečení sítě najdete v článku Co je skupina zabezpečení sítě (NSG).For more information about network security groups, see What is a network security group?

Místní síťové brányLocal network gateways

Brána místní sítě se liší od brány virtuální sítě.A local network gateway is different than a virtual network gateway. Při vytváření konfiguraci brány VPN brány místní sítě obvykle představuje místní umístění.When creating a VPN gateway configuration, the local network gateway usually represents your on-premises location. V modelu nasazení Classic se brána místní sítě označovala jako „místní lokalita“.In the classic deployment model, the local network gateway was referred to as a Local Site.

Pojmenujte bránu místní sítě, veřejnou IP adresu místního zařízení VPN a zadáte předpony adres, které se nacházejí na místní umístění.You give the local network gateway a name, the public IP address of the on-premises VPN device, and specify the address prefixes that are located on the on-premises location. Azure zjistí pro síťový provoz předpony cílových adres consults konfiguraci, kterou jste zadali pro bránu místní sítě a směruje pakety odpovídajícím způsobem.Azure looks at the destination address prefixes for network traffic, consults the configuration that you have specified for your local network gateway, and routes packets accordingly. Zadáte také brány místní sítě pro konfigurace VNet-to-VNet pomocí připojení brány VPN.You also specify local network gateways for VNet-to-VNet configurations that use a VPN gateway connection.

Následující příklad Powershellu vytvoří novou bránu místní sítě:The following PowerShell example creates a new local network gateway:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

V některých případech budete muset upravit nastavení místní síťové brány.Sometimes you need to modify the local network gateway settings. Například když přidáváte nebo odebíráte rozsah adres, nebo pokud IP adresa zařízení VPN bude měnit.For example, when you add or modify the address range, or if the IP address of the VPN device changes. Zobrazit úprava nastavení místní síťové brány pomocí Powershellu.See Modify local network gateway settings using PowerShell.

REST API, rutin prostředí PowerShell a rozhraní příkazového řádkuREST APIs, PowerShell cmdlets, and CLI

Další zdroje technických informací a požadavky na konkrétní syntaxe při použití rozhraní REST API, rutin prostředí PowerShell nebo rozhraní příkazového řádku Azure pro konfigurace brány VPN najdete v tématu na následujících stránkách:For additional technical resources and specific syntax requirements when using REST APIs, PowerShell cmdlets, or Azure CLI for VPN Gateway configurations, see the following pages:

ClassicClassic Resource ManagerResource Manager
PowerShellPowerShell PowerShellPowerShell
REST APIREST API REST APIREST API
Nepodporuje seNot supported Azure CLIAzure CLI

Další postupNext steps

Další informace o konfiguracích dostupné připojení, najdete v části informace o službě VPN Gateway.For more information about available connection configurations, see About VPN Gateway.