Informace o nastavení konfigurace VPN Gateway
Brána VPN je typ brány virtuální sítě, která odesílá šifrovaný provoz mezi vaší virtuální sítí a místním umístěním přes veřejné připojení. K odesílání provozu mezi virtuálními sítěmi mezi páteřní sítí Azure můžete použít také bránu VPN.
Připojení brány VPN spoléhá na konfiguraci více prostředků, z nichž každá obsahuje konfigurovatelná nastavení. Oddíly v tomto článku popisují prostředky a nastavení související s bránou VPN pro virtuální síť vytvořenou v modelu nasazení Resource Manager. Popisy a diagramy topologie pro každé řešení připojení najdete v článku o VPN Gateway.
Hodnoty v tomto článku používají brány VPN (brány virtuální sítě, které používají -GatewayType Vpn). Tento článek se nevztahuje na všechny typy bran ani zónově redundantní brány.
Hodnoty, které platí pro -GatewayType ExpressRoute, najdete v tématu Virtual Network Brány pro ExpressRoute.
Informace o zónově redundantních branách najdete v tématu O zónově redundantních branách.
Informace o vysoce dostupném připojení najdete v tématu Brány aktivní-aktivní.
Informace o Virtual WAN najdete v tématu o Virtual WAN.
Typy bran
Každá virtuální síť může mít pouze jednu bránu virtuální sítě každého typu. Když vytváříte bránu virtuální sítě, musíte se ujistit, že je typ brány pro vaši konfiguraci správný.
Dostupné hodnoty pro -GatewayType jsou:
- Vpn
- ExpressRoute
Brána VPN vyžaduje -GatewayTypevpn.
Příklad:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Skladové položky brány
Při vytváření brány virtuální sítě musíte určit SKU brány, které chcete použít. Vyberte skladovou položku, která splňuje vaše požadavky na základě typů úloh, propustnosti, funkcí a smluv SLA. Skladové položky brány virtuální sítě v Azure Zóny dostupnosti najdete v tématu Skladové položky brány Azure Zóny dostupnosti.
SKU brány podle tunelu, připojení a propustnosti
| Síť VPN brána Generace |
SKU | S2S/VNet-to-VNet Tunely |
P2S Připojení SSTP |
P2S Připojení IKEv2/OpenVPN |
Agregace Srovnávací test propustnosti |
BGP | Zónově redundantní |
|---|---|---|---|---|---|---|---|
| Generace 1 | Basic | Max. 10 | Max. 128 | Nepodporuje se | 100 Mb/s | Nepodporuje se | No |
| Generace 1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Podporováno | No |
| Generace 1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gb/s | Podporováno | No |
| Generace 1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gb/s | Podporováno | No |
| Generace 1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Podporováno | Yes |
| Generace 1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gb/s | Podporováno | Yes |
| Generace 1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gb/s | Podporováno | Yes |
| Generace 2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gb/s | Podporováno | No |
| Generace 2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Podporováno | No |
| Generace 2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gb/s | Podporováno | No |
| Generace 2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gb/s | Podporováno | No |
| Generace 2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gb/s | Podporováno | Yes |
| Generace 2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Podporováno | Yes |
| Generace 2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gb/s | Podporováno | Yes |
| Generace 2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gb/s | Podporováno | Yes |
(*) Pokud potřebujete více než 100 tunelů VPN S2S, použijte Virtual WAN.
Změna velikosti skladových položek VpnGw je povolená ve stejné generaci s výjimkou změny velikosti skladové položky Basic. Skladová položka Basic je starší skladová položka a má omezení funkcí. Pokud chcete přejít z úrovně Basic na jinou skladovou položku, musíte odstranit bránu VPN úrovně Basic a vytvořit novou bránu s požadovanou kombinací velikosti generování a skladové položky. (viz Práce se staršími skladovými jednotkami).
Tato omezení připojení jsou nezávislá. Pro skladovou položku VpnGw1 můžete například mít 128 připojení SSTP a také 250 připojení IKEv2.
Informace o cenách najdete na stránce Ceny.
Informace o smlouvě SLA (smlouva o úrovni služeb) můžete najít na stránce SLA.
Pokud máte hodně připojení P2S, může to negativně ovlivnit připojení S2S. Srovnávací testy agregované propustnosti byly testovány maximalizací kombinace připojení S2S a P2S. Jedno připojení P2S nebo S2S může mít mnohem nižší propustnost.
Upozorňujeme, že všechny srovnávací testy nejsou zaručené kvůli podmínkám internetového provozu a chování vaší aplikace.
Abychom našim zákazníkům pomohli porozumět relativnímu výkonu SKU pomocí různých algoritmů, použili jsme veřejně dostupné nástroje iPerf a CTSTraffic k měření výkonu připojení typu site-to-site. Následující tabulka uvádí výsledky testů výkonu pro skladové položky VpnGw. Jak vidíte, nejlepší výkon se získá, když jsme použili algoritmus GCMAES256 pro šifrování IPsec i integritu. Při použití AES256 pro šifrování IPsec a SHA256 pro integritu jsme získali průměrný výkon. Při použití DES3 pro šifrování IPsec a SHA256 pro integritu máme nejnižší výkon.
Tunel VPN se připojuje k instanci brány VPN. Každá propustnost instance je uvedená v tabulce výše uvedené propustnosti a je k dispozici agregovaná napříč všemi tunely, které se připojují k této instanci.
Následující tabulka ukazuje pozorovanou šířku pásma a pakety za sekundu na propustnost pro různé skladové položky brány. Veškeré testování proběhlo mezi bránami (koncovými body) v různých oblastech s 100 připojeními a za standardních podmínek zatížení.
| Generace | SKU | Algoritmy Používá |
Propustnost pozorované na tunel |
Pakety za sekundu za tunel Pozorovány |
|---|---|---|---|---|
| Generace 1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mb/s 500 Mb/s 130 Mb/s |
62,000 47,000 12 000 |
| Generace 1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gb/s 650 Mb/s 140 Mb/s |
100 000 61,000 13,000 |
| Generace 1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gb/s 700 Mb/s 140 Mb/s |
120,000 66,000 13,000 |
| Generace 1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mb/s 500 Mb/s 130 Mb/s |
62,000 47,000 12 000 |
| Generace 1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gb/s 650 Mb/s 140 Mb/s |
110,000 61,000 13,000 |
| Generace 1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gb/s 700 Mb/s 140 Mb/s |
120,000 66,000 13,000 |
| Generace 2 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gb/s 550 Mb/s 130 Mb/s |
120,000 52,000 12 000 |
| Generace 2 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gb/s 700 Mb/s 140 Mb/s |
140,000 66,000 13,000 |
| Generace 2 | VpnGw4 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gb/s 700 Mb/s 140 Mb/s |
220,000 66,000 13,000 |
| Generace 2 | VpnGw5 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gb/s 700 Mb/s 140 Mb/s |
220,000 66,000 13,000 |
| Generace 2 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gb/s 550 Mb/s 130 Mb/s |
120,000 52,000 12 000 |
| Generace 2 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gb/s 700 Mb/s 140 Mb/s |
140,000 66,000 13,000 |
| Generace 2 | VpnGw4AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gb/s 700 Mb/s 140 Mb/s |
220,000 66,000 13,000 |
| Generace 2 | VpnGw5AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gb/s 700 Mb/s 140 Mb/s |
220,000 66,000 13,000 |
Poznámka
Skladové položky VpnGw (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4, VpnGw5 a VpnGw5AZ) jsou podporované jenom pro model nasazení Resource Manager. Klasické virtuální sítě by měly nadále používat staré (starší) skladové položky.
- Informace o práci se staršími skladovými položkami brány (Basic, Standard a HighPerformance) najdete v tématu Práce se skladovými položkami brány VPN (starší skladové položky) .
- Skladové položky brány ExpressRoute najdete v tématu Virtual Network Brány pro ExpressRoute.
Skladové položky brány podle sady funkcí
Nové skladové položky brány VPN zjednodušují sady funkcí nabízené na branách:
| SKU | Funkce |
|---|---|
| Basic (**) | Síť VPN založená na směrování: 10 tunelů pro S2S/připojení; žádné ověřování RADIUS pro P2S; bez IKEv2 pro P2S SÍŤ VPN založená na zásadách: (IKEv1): 1 tunel S2S/připojení; bez P2S |
| Všechny skladové položky generace 1 a Generace2 s výjimkou Basicu | Síť VPN založená na směrování: až 100 tunelů (*), P2S, BGP, aktivní-aktivní, vlastní zásady IPsec/IKE, koexistence ExpressRoute/VPN |
(*) Můžete nakonfigurovat PolicyBasedTrafficSelectors pro připojení brány VPN založené na trasách k několika místním zařízením firewall založeným na zásadách. Podrobnosti najdete v tématu věnovaném připojení bran VPN k několika místním zařízením VPN založeným na zásadách s využitím PowerShellu.
(**) Skladová položka Basic se považuje za starší skladovou položku. Skladová položka Basic má určitá omezení funkcí. Nemůžete změnit velikost brány, která používá skladovou položku Basic na jinou skladovou položku, musíte místo toho změnit novou skladovou položku, která zahrnuje odstranění a opětovné vytvoření brány VPN.
Skladové položky brány – Produkční a Dev-Test úlohy
Vzhledem k rozdílům ve SLA a sadách funkcí doporučujeme pro produkci vs. vývoj a testování následující SKU:
| Úloha | Skladové položky |
|---|---|
| Produkce, kritické úlohy | Všechny skladové položky generace 1 a Generace2 s výjimkou Basicu |
| Vývoj a testování nebo testování konceptu | Basic (**) |
(**) Skladová položka Basic se považuje za starší skladovou položku a má omezení funkcí. Před použitím skladové položky Basic ověřte, že funkce, kterou potřebujete, je podporovaná.
Pokud používáte staré skladové položky (starší verze), doporučení produkční skladové položky jsou Standard a HighPerformance. Informace a pokyny pro staré skladové položky najdete v tématu Skladové položky brány (starší verze).
Konfigurace skladové položky brány
Azure Portal
Pokud použijete Azure Portal k vytvoření brány Resource Manager virtuální sítě, můžete pomocí rozevíracího seznamu vybrat skladovou položku brány. Možnosti, které jste zobrazili, odpovídají typu brány a typu sítě VPN, které vyberete.
PowerShell
Následující příklad PowerShellu -GatewaySku určuje jako VpnGw1. Při vytváření brány pomocí PowerShellu musíte nejprve vytvořit konfiguraci PROTOKOLU IP a pak ji použít k odkazování na proměnnou. V tomto příkladu je konfigurační proměnná $gwipconfig.
New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased
Azure CLI
az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait
Změna velikosti nebo změny skladové položky
Pokud máte bránu VPN a chcete použít jinou skladovou položku brány, můžete změnit velikost skladové položky brány nebo změnit na jinou skladovou položku. Když změníte skladovou položku jiné brány, odstraníte existující bránu úplně a vytvoříte novou. Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové jednotce (SKU) brány. Při změně velikosti skladové položky brány není mnoho výpadků, protože bránu nemusíte odstraňovat a znovu sestavit. Pokud máte možnost změnit velikost skladové položky brány, místo abyste ji změnili, budete to chtít udělat. Existují ale pravidla týkající se změny velikosti:
- Kromě skladové položky Basic můžete změnit velikost skladové položky brány VPN na jinou skladovou položku brány VPN v rámci stejné generace (generace1 nebo generace2). Například vpnGw1 generace1 může být změněna na VpnGw2 generace1, ale ne na VpnGw2 generace2.
- Při práci se starými skladovými položkami brány můžete změnit velikost mezi skladovými položkami úrovně Standard a HighPerformance.
- Z skladových položek Basic/Standard/HighPerformance nemůžete změnit velikost na skladové položky VpnGw. Místo toho je nutné změnit nové skladové položky.
Změna velikosti brány
Azure Portal
Přejděte na stránku Konfigurace brány virtuální sítě.
Na pravé straně stránky klikněte na šipku rozevíracího seznamu a zobrazte dostupné skladové položky brány.
V rozevíracím seznamu vyberte skladovou položku.
PowerShell
Pomocí rutiny PowerShellu Resize-AzVirtualNetworkGateway můžete upgradovat nebo downgradovat skladovou položku Generace1 nebo Generation2 (všechny skladové položky VpnGw se dají změnit s výjimkou skladových položek Úrovně Basic). Pokud používáte skladovou položku brány Basic, použijte tyto pokyny k změně velikosti brány.
Následující příklad PowerShellu ukazuje skladovou položku brány, která se mění na VpnGw2.
$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2
Změna ze staré (starší) skladové položky na novou skladovou položku
Pokud pracujete s modelem nasazení Resource Manager, můžete přejít na nové skladové položky brány. Když změníte ze starší skladové položky brány na novou skladovou položku, odstraníte existující bránu VPN a vytvoříte novou bránu VPN.
Pracovního postupu:
- Odeberte všechna připojení k bráně virtuální sítě.
- Odstraňte starou bránu VPN.
- Vytvořte novou bránu VPN.
- Aktualizujte místní zařízení VPN novou IP adresou brány VPN (pro připojení typu Site-to-Site).
- Aktualizujte hodnotu IP adresy brány pro všechny místní síťové brány typu VNet-to-VNet, které se připojují k této bráně.
- Stáhněte nové klientské balíčky konfigurace klienta VPN pro klienty P2S, kteří se připojují k virtuální síti přes tuto bránu VPN.
- Znovu vytvořte všechna připojení k bráně virtuální sítě.
Požadavky:
- Pokud chcete přejít na nové skladové položky, musí být brána VPN v modelu nasazení Resource Manager.
- Pokud máte klasickou bránu VPN, musíte pro tuto bránu dál používat starší starší skladové položky, ale můžete změnit velikost mezi staršími skladovými položkami. Na nové skladové položky se nedá změnit.
- Pokud změníte starší skladovou položku na novou skladovou položku, budete mít výpadky připojení.
- Při změně na novou skladovou položku brány se změní veřejná IP adresa pro vaši bránu VPN. K tomu dochází i v případě, že zadáte stejný objekt veřejné IP adresy, který jste použili dříve.
Typy připojení
V modelu nasazení Resource Manager vyžaduje každá konfigurace konkrétní typ připojení brány virtuální sítě. Dostupné hodnoty prostředí PowerShell v Resource Manageru pro -ConnectionType jsou:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
V následujícím příkladu PowerShellu vytvoříme připojení S2S, které vyžaduje typ připojení IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
Typy sítě VPN
Když vytvoříte bránu virtuální sítě pro konfiguraci brány VPN, musíte zadat typ sítě VPN. Typ sítě VPN, který zvolíte, závisí na topologii připojení, kterou chcete vytvořit. Například připojení P2S vyžaduje typ sítě VPN RouteBased. Typ sítě VPN může také záviset na hardwaru, který používáte. Konfigurace S2S vyžadují zařízení VPN. Některá zařízení VPN podporují jenom určitý typ sítě VPN.
Typ sítě VPN, který vyberete, musí splňovat všechny požadavky na připojení pro řešení, které chcete vytvořit. Pokud například chcete vytvořit připojení brány VPN S2S a připojení brány VPN P2S pro stejnou virtuální síť, použijte typ VPN RouteBased, protože P2S vyžaduje typ sítě VPN Typu RouteBased . Budete také muset ověřit, že vaše zařízení VPN podporovalo připojení VPN RouteBased.
Po vytvoření brány virtuální sítě nemůžete změnit typ sítě VPN. Musíte odstranit bránu virtuální sítě a vytvořit novou. Existují dva typy sítě VPN:
PolicyBased: Sítě VPN PolicyBased byly dříve označovány jako brány statického směrování v modelu nasazení Classic. Sítě VPN založené na zásadách šifrují a směrují pakety prostřednictvím tunelů IPsec na základě zásad IPsec nakonfigurovaných pomocí kombinací předpon adres mezi vaší místní sítí a virtuální sítí Azure. Zásada (nebo selektor provozu) se většinou určuje v konfiguraci zařízení VPN jako přístupový seznam. Hodnota typu PolicyBased VPN je PolicyBased. Při používání sítě VPN PolicyBased mějte na paměti následující omezení:
- Sítě VPN PolicyBased se dají použít jenom v skladové posílce brány Basic. Tento typ sítě VPN není kompatibilní s jinými skladovými položkami brány.
- Při použití sítě VPN PolicyBased můžete mít pouze 1 tunel.
- Sítě VPN PolicyBased můžete použít jenom pro připojení S2S a jenom pro určité konfigurace. Většina konfigurací VPN Gateway vyžaduje síť VPN typu RouteBased.
RouteBased: Sítě VPN RouteBased byly dříve označovány jako brány dynamického směrování v modelu nasazení Classic. Sítě VPN RouteBased používají "trasy" v předávací nebo směrovací tabulce ip adres k směrování paketů do příslušných tunelových rozhraní. Rozhraní tunelového propojení potom šifrují nebo dešifrují pakety směřující do tunelových propojení nebo z nich. Zásady (nebo selektor provozu) pro sítě VPN RouteBased se konfigurují jako any-to-any (nebo zástupné znaky). Hodnota typu RouteBased VPN je RouteBased.
Následující příklad PowerShellu určuje hodnotu -VpnTypeRouteBased. Při vytváření brány se musíte ujistit, že je parametr -VpnType pro vaši konfiguraci správný.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Podsíť brány
Před vytvořením brány VPN musíte vytvořit podsíť brány. Podsíť brány obsahuje IP adresy, které používají virtuální počítače a služby brány virtuální sítě. Při vytváření brány virtuální sítě se virtuální počítače brány nasadí do podsítě brány a nakonfigurují se s požadovaným nastavením brány VPN. Do podsítě brány nikdy nenasazujte nic jiného (například další virtuální počítače). Aby podsíť brány správně fungovala, musí mít název GatewaySubnet. Pojmenování podsítě brány GatewaySubnet informuje Azure, že se jedná o podsíť pro nasazení virtuálních počítačů a služeb brány virtuální sítě.
Poznámka
Trasy definované uživatelem s cílem 0.0.0.0/0 a skupinami zabezpečení sítě v podsítě GatewaySubnet se nepodporují. Brány vytvořené pomocí této konfigurace se zablokují při vytváření. Brány vyžadují přístup k řadičům pro správu, aby fungovaly správně. Šíření tras protokolu BGP by mělo být na podsítě brány nastaveno na Povoleno, aby se zajistila dostupnost brány. Pokud je tato možnost nastavená na hodnotu Zakázáno, brána nebude fungovat.
Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. IP adresy v podsíti brány se přidělují virtuálním počítačům brány a službám brány. Některé konfigurace vyžadují víc IP adres než jiné.
Při plánování velikosti podsítě brány si projděte dokumentaci ke konfiguraci, kterou plánujete vytvořit. Konfigurace ExpressRoute/VPN Gateway spoluexistuje například vyžaduje větší podsíť brány než většina ostatních konfigurací. Kromě toho můžete chtít zajistit, aby vaše podsíť brány obsahovala dostatek IP adres, aby vyhovovala možným dalším konfiguracím. I když můžete vytvořit podsíť brány tak malou jako /29, doporučujeme vytvořit podsíť brány /27 nebo větší (/27, /26 atd.), pokud máte k dispozici adresní prostor. To bude vyhovovat většině konfigurací.
Následující Resource Manager příklad PowerShellu ukazuje podsíť brány s názvem GatewaySubnet. Zápis CIDR určuje /27, což umožňuje dostatek IP adres pro většinu aktuálně existujících konfigurací.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Důležité
Při práci s podsítěmi brány nepřidružujte skupinu zabezpečení sítě (NSG) k podsíti brány. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v tématu Co je skupina zabezpečení sítě?.
Brány místní sítě
Brána místní sítě se liší od brány virtuální sítě. Při vytváření konfigurace brány VPN představuje brána místní sítě obvykle vaši místní síť a odpovídající zařízení VPN. V modelu nasazení Classic se brána místní sítě označovala jako „místní lokalita“.
Bráně místní sítě zadáte název, veřejnou IP adresu nebo plně kvalifikovaný název domény (FQDN) místního zařízení VPN a zadáte předpony adres, které se nacházejí v místním umístění. Azure se podívá na předpony cílových adres pro síťový provoz, zkontroluje konfiguraci, kterou jste zadali pro bránu místní sítě, a odpovídajícím způsobem směruje pakety. Pokud na zařízení VPN používáte protokol BGP (Border Gateway Protocol), zadáte IP adresu partnerského vztahu protokolu BGP vašeho zařízení VPN a číslo autonomního systému (ASN) místní sítě. Také zadáte brány místní sítě pro konfigurace virtuální sítě typu VNet-to-VNet, které používají připojení brány VPN.
Následující příklad PowerShellu vytvoří novou bránu místní sítě:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Někdy je potřeba upravit nastavení brány místní sítě. Když například přidáte nebo upravíte rozsah adres nebo pokud se IP adresa zařízení VPN změní. Viz Úprava nastavení brány místní sítě pomocí PowerShellu.
Rozhraní REST API, rutiny PowerShellu a rozhraní příkazového řádku
Další technické prostředky a specifické požadavky na syntaxi při použití rozhraní REST API, rutin PowerShellu nebo Azure CLI pro VPN Gateway konfigurace najdete na následujících stránkách:
| Klasické | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| Nepodporováno | Azure CLI |
Další kroky
Další informace o dostupných konfiguracích připojení najdete v tématu o VPN Gateway.