RAS-Gateway
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Mit dem RWS-Gateway können Cloud-Dienstanbieter (Cloud Service Providers, CSPs) und Unternehmen das Routing von Rechenzentrums- und Cloudnetzwerkdatenverkehr zwischen virtuellen und physischen Netzwerken (einschließlich Internet) ermöglichen.
Hinweis
Das RAS-Gateway unterstützt IPv4 und IPv6 einschließlich IPv4- und IPv6-Weiterleitung. Wenn Sie das RAS-Gateway mit Netzwerkadressübersetzung (Network Address Translation, NAT) konfigurieren, wird nur NAT44 unterstützt.
Für wen ist das RAS-Gateway interessant?
Das RAS-Gateway kann für Systemadministratoren, Netzwerkarchitekten und andere IT-Spezialisten in den folgenden Situationen von Interesse sein:
Sie entwerfen oder unterstützen eine IT-Infrastruktur für eine Organisation, die Hyper-V zum Bereitstellen virtueller Computer (VMs) in virtuellen Netzwerken nutzt oder die Nutzung plant.
Sie entwerfen oder unterstützen IT-Infrastruktur für eine Organisation, die Cloudtechnologie bereitgestellt hat oder die Bereitstellung plant.
Sie möchten eine umfassende Netzwerkverbindung zwischen physischen und virtuellen Netzwerken bereitstellen.
Sie möchten den Kunden Ihrer Organisation über das Internet Zugriff auf ihre virtuellen Netzwerke gewähren.
Sie möchten Büros an verschiedenen physischen Standorten über das Internet verbinden.
Dieses Thema ist für IT-Spezialisten bestimmt und enthält Informationen über das RAS-Gateway sowie Informationen zu Bereitstellungsmodi und Features des RAS-Gateways.
Dieses Thema enthält folgende Abschnitte:
Bereitstellungsmodi des RAS-Gateways
Das RAS-Gateway verfügt über folgende Bereitstellungsmodi:
Einzelmandantenmodus
Das RAS-Gateway sollte nicht im Einzelmandantenmodus bereitgestellt werden. Informationen zu Szenarien für den Einzelmandantenmodus finden Sie unter RAS-Gateway als VPN-Server mit nur einem Mandanten.
Mehrinstanzenfähiger Modus
Wenn es sich bei Ihrer Organisation um einen CSP oder um ein Unternehmen mit mehreren Mandanten handelt, können Sie das RAS-Gateway im mehrinstanzenfähigen Modus bereitstellen, um das Routing von Netzwerkdatenverkehr zwischen virtuellen und physischen Netzwerken zu ermöglichen.
Mehrinstanzenfähigkeit bezeichnet die Fähigkeit einer Cloudinfrastruktur, die VM-Workloads mehrerer Mandanten zu unterstützen, diese dabei jedoch voneinander zu trennen, wobei alle Workloads aber weiterhin in der gleichen Infrastruktur ausgeführt werden. Mehrere Arbeitsauslastungen eines einzelnen Mandanten können miteinander verbunden und remote verwaltet werden. Es gibt jedoch keine Verbindung zwischen diesen Systemen und den Arbeitsauslastungen anderer Mandanten, und auch die Remoteverwaltung durch andere Mandanten ist nicht möglich.
Ein Unternehmen kann beispielsweise über viele verschiedene virtuelle Subnetze verfügen, die jeweils einer bestimmten Abteilung zugeordnet sind, z. B. Forschung und Entwicklung oder der Buchhaltung. In einem weiteren Beispiel verfügt ein CSP über viele Mandanten mit isolierten virtuellen Subnetzen in demselben physischen Rechenzentrum. In beiden Fällen kann das RAS-Gateway Datenverkehr an die bzw. von den einzelnen Mandanten weiterleiten und dabei gleichzeitig die bestehende Isolation für jeden Mandanten aufrechterhalten. Dank dieser Funktion ist das RAS-Gateway mehrinstanzenfähig.
Virtuelle Netzwerke werden mithilfe der Hyper-V-Netzwerkvirtualisierung erstellt. Das RAS-Gateway ist in die Hyper-V-Netzwerkvirtualisierung integriert und kann Netzwerkdatenverkehr auch dann effektiv weiterleiten, wenn viele unterschiedliche Kunden (oder Mandanten) vorhanden sind, die über isolierte virtuelle Netzwerke im gleichen Rechenzentrum verfügen.
Die Hyper-V-Netzwerkvirtualisierung ermöglicht das Bereitstellen eines vom zugrunde liegenden physischen Netzwerk unabhängigen VM-Netzwerks (virtual machine, virtueller Computer). VM-Netzwerke enthalten mindestens ein virtuelles Subnetz, und der exakte physische Standort eines IP-Subnetzes ist von der Topologie des virtuellen Netzwerks entkoppelt. Dadurch können Sie Ihre lokalen Subnetze mühelos zur Cloud migrieren und dabei die bestehenden IP-Adressen und Ihre Topologie in der Cloud beibehalten. Dank dieser Möglichkeit zur Aufrechterhaltung der Infrastruktur können vorhandene Dienste weiterhin verwendet werden, und zwar unabhängig von deren physischem Speicherort in den Subnetzen. Dies bedeutet, dass mit der Hyper-V-Netzwerkvirtualisierung eine nahtlose Hybrid-Cloud zur Verfügung steht.
Hinweis
Die Hyper-V-Netzwerkvirtualisierung ist eine Overlay-Netzwerktechnologie mit NVGRE (Network Virtualization Generic Routing Encapsulation). Damit können Mandanten ihren eigenen Adressraum nutzen, und CSPs erhalten eine bessere Skalierbarkeit als bei Verwendung von VLANs für die Mandantenisolation.
Unter Windows Server leitet das RAS-Gateway Netzwerkdatenverkehr zwischen dem physischen Netzwerk und VM-Netzwerkressourcen weiter. Dabei spielt es keine Rolle, wo sich die Ressourcen befinden. Mit dem RAS-Gateway können Sie Netzwerkdatenverkehr zwischen physischen und virtuellen Netzwerken am gleichen physischen Standort oder an vielen verschiedenen physischen Standorten weiterleiten.
Wenn Sie an einem physischen Standort beispielsweise sowohl ein physisches Netzwerk als auch ein virtuelles Netzwerk verwenden, können Sie einen Computer mit Hyper-V bereitstellen, der mit einem virtuellen RAS-Gateway-Computer als Weiterleitungsgateway konfiguriert ist und zur Weiterleitung von Datenverkehr zwischen den virtuellen und physischen Netzwerken dient.
Ein weiteres Beispiel: Wenn Ihre virtuellen Netzwerke in der Cloud vorhanden sind, kann Ihr CSP ein RAS-Gateway bereitstellen, damit Sie eine Site-to-Site-VPN-Verbindung (Virtual Private Network) zwischen Ihrem VPN-Server und dem RAS-Gateway des CSP herstellen können. Nach Einrichtung dieser Verknüpfung können Sie die Verbindung mit Ihren virtuellen Ressourcen in der Cloud über die VPN-Verbindung herstellen.
Weitere Informationen finden Sie unter RAS-Gatewayhochverfügbarkeit.
Hochverfügbarkeit durch RAS-Gateway-Clustering
Das RAS-Gateway wird auf einem dedizierten Computer bereitgestellt, auf dem Hyper-V ausgeführt wird und der mit einem einzelnen virtuellen Computer konfiguriert ist. Der virtuelle Computer wird dann als RAS-Gateway konfiguriert.
Um Hochverfügbarkeit für Netzwerkressourcen zu erzielen, können Sie das RAS-Gateway mit Failover bereitstellen, indem Sie zwei physische Hostserver mit Hyper-V nutzen, auf denen jeweils auch ein als Gateway konfigurierter virtueller Computer ausgeführt wird. Die virtuellen Gatewaycomputer werden dann als Cluster konfiguriert, um einen Failoverschutz vor Netzwerkausfällen und Hardwarefehlern zu bieten.
Wenn es sich bei Ihrer Organisation beispielsweise um ein Unternehmen mit einer privaten Cloudbereitstellung handelt, benötigen Sie möglicherweise nur zwei virtuelle RAS-Gateway-Computer, die jeweils auf einem anderen Computer installiert sind, auf dem Hyper-V ausgeführt wird. In diesem Szenario werden die virtuellen RAS-Gateway-Computer einem Cluster hinzugefügt, um Hochverfügbarkeit zu gewährleisten.
Noch ein Beispiel: Wenn es sich bei Ihrer Organisation um einen Clouddienstanbieter (Cloud Service Provider, CSP) mit 200 Mandanten in Ihrem Rechenzentrum handelt, können Sie acht virtuelle RAS-Gateway-Computer verwenden, wobei jedes Paar der gruppierten virtuellen RAS-Gateway-Computer dann Routingdienste für 50 Mandanten bereitstellt. In diesem Szenario verfügen zwei Computer, auf denen Hyper-V ausgeführt wird, jeweils über vier virtuelle Computer, die als RAS-Gateways konfiguriert sind. Anschließend konfigurieren Sie vier Cluster mit virtuellen RAS-Gateway-Computern, wobei die Cluster jeweils einen einzelnen virtuellen Computer der Computer enthalten, auf denen Hyper-V ausgeführt wird.
Beim Bereitstellen des RAS-Gateways muss auf den Hostservern mit Hyper-V und den virtuellen Computern, die Sie als Gateways konfigurieren, Windows Server ausgeführt werden.
Features des RAS-Gateways
Das RAS-Gateway umfasst folgende Funktionen:
Site-to-Site-VPN. Dieses Feature des RAS-Gateways ermöglicht es Ihnen, zwei Netzwerke an verschiedenen physischen Standorten über das Internet per Site-to-Site-VPN-Verbindung miteinander zu verbinden. Wenn Sie über eine Hauptniederlassung und mehrere Zweigstellen verfügen, können Sie an jedem Standort ein RAS-Edgegateway bereitstellen und Site-to-Site-Verbindungen erstellen, um Netzwerkdatenverkehr zwischen den Standorten zu ermöglichen. Für CSPs, die zahlreiche Mandanten in ihren Rechenzentren hosten, kann das RAS-Gateway als mehrinstanzenfähige Gatewaylösung verwendet werden. Mandanten können von Remotestandorten aus über Site-to-Site-VPN-Verbindungen auf ihre Ressourcen zugreifen und sie verwalten, und dies ermöglicht den Fluss von Netzwerkdatenverkehr zwischen virtuellen Ressourcen in Ihrem Rechenzentrum und dem jeweiligen physischen Netzwerk.
Point-to-Site-VPN: Mit diesem RAS-Gatewayfeature können Mitarbeiter oder Administratoren von Remotestandorten aus eine Verbindung mit dem Netzwerk Ihrer Organisation herstellen. Bei RAS-Gatewaybereitstellungen mit einem einzelnen Mandanten können Remotemitarbeiter eine VPN-Verbindung mit dem Netzwerk Ihrer Organisation herstellen. Diese Verbindung ermöglicht ihnen die Nutzung interner Netzwerkressourcen wie Intranetwebsites und Dateiserver. Bei mehrinstanzenfähigen Bereitstellungen können Mandantennetzwerkadministratoren Point-to-Site-VPN-Verbindungen verwenden, um auf virtuelle Netzwerkressourcen im CSP-Rechenzentrum zuzugreifen.
Dynamisches Routing mit BGP (Border Gateway Protocol): BGP verringert den Bedarf an manueller Routingkonfiguration auf Routern, da es ein dynamisches Routingprotokoll ist, das automatisch Routen zwischen Standorten lernt, die über die Standort-zu-Standort-VPN-Verbindungen verbunden sind. Wenn Ihre Organisation über mehrere Standorte verfügt, die mithilfe von BGP-fähigen Routern wie etwa RAS-Gateway verbunden sind, ermöglicht BGP den Routern die automatische Berechnung und Verwendung gültiger Routen untereinander, wenn es zu Netzwerkunterbrechungen oder -ausfällen kommt. Weitere Informationen finden Sie unter RFC 4271.
Netzwerkadressübersetzung (Network Address Translation, NAT): Die Netzwerkadressübersetzung (Network Address Translation, NAT) ermöglicht es Ihnen, eine Verbindung mit dem öffentlichen Internet über eine einzelne Schnittstelle mit einer einzelnen öffentlichen IP-Adresse freizugeben. Von den Computern im privaten Netzwerk werden private, nicht routingfähige Adressen verwendet. Die NAT ordnet die privaten Adressen der öffentlichen Adresse zu. Dieses RAS-Gatewayfeature ermöglicht es Organisationsmitarbeitern, die sich hinter dem Gateway befinden, bei Bereitstellungen mit einem einzelnen Mandanten auf Internetressourcen zuzugreifen. CSPs profitieren davon, dass auf virtuellen Mandantencomputern ausgeführte Anwendungen dank dieses Features auf das Internet zugreifen können. So kann beispielsweise ein virtueller Mandantencomputer, die als Webserver konfiguriert ist, externe Finanzressourcen kontaktieren, um Kreditkartentransaktionen zu verarbeiten.
Bereitstellungsszenarien für das RAS-Gateway
Im Anschluss finden Sie die empfohlenen Bereitstellungsszenarien für das RAS-Gateway:
Enterprise Edge: Bereitstellung mit einem einzelnen Mandanten: Die Enterprise-Bereitstellung mit einem einzelnen Mandanten ermöglicht es Ihnen, einen einzelnen physischen Standort unter Verwendung des Site-to-Site-VPN-Features über das Internet mit mehreren anderen physischen Standorten zu verbinden. Dank BGP (Border Gateway Protocol) können Sie außerdem dynamisches Routing nutzen. Des Weiteren können Sie Remotemitarbeitern sowohl über Point-to-Site-VPN-Verbindungen als auch über DirectAccess-Verbindungen Zugriff auf Ihr Organisationsnetzwerk gewähren. (DirectAccess-Verbindungen sind immer aktiviert, und per DirectAccess verbundene Computer lassen sich ganz einfach verwalten, da sie immer verbunden sind, wenn sie eingeschaltet sind und über eine Internetverbindung verfügen.) Sie können auch RAS-Gateways mit NAT für Unternehmen mit einem einzelnen Mandanten konfigurieren, sodass Computer in Ihrem Intranet problemlos mit dem Internet kommunizieren können.
Cloud Service Provider Edge: Mehrinstanzenfähige Bereitstellung: Mit einer mehrinstanzenfähigen RAS-Gatewaybereitstellung für CSPs können Sie Ihren Mandanten all die Features zur Verfügung stellen, die bei der Enterprise Edge-Bereitstellung mit einem einzelnen Mandanten verfügbar sind. Dank Site-to-Site-VPN-Verbindungen zwischen virtuellen Mandantennetzwerken in Ihrem Rechenzentrum und den Mandantennetzwerkstandorten im Internet haben Mandanten jederzeit nahtlosen Zugriff auf ihre Cloudressourcen. Dank Point-to-Site-VPN-Zugriff für Mandanten können Mandantenadministratoren immer eine Verbindung mit ihren virtuellen Netzwerken in Ihrem Rechenzentrum herstellen, um ihre Ressourcen zu verwalten. BGP bietet dynamisches Routing und erhält die Verbindung zwischen Mandanten und ihren Ressourcen aufrecht, auch wenn im Internet oder an anderer Stelle Netzwerkprobleme auftreten. Und dank NAT können virtuelle Mandantencomputer eine Verbindung mit Ressourcen im Internet herstellen (beispielsweise mit Ressourcen zur Verarbeitung von Kreditkarten).
Verwaltungstools für das RAS-Gateway
Im Anschluss finden Sie die Verwaltungstools für das RAS-Gateway:
In Windows Server 2016 müssen zum Bereitstellen eines RAS-Gatewayrouters Windows PowerShell-Befehle verwendet werden. Weitere Informationen finden Sie unter Remote-Zugriff Cmdlets für Windows Server und Windows 11.
In System Center Virtual Machine Manager (VMM) wird das RAS-Gateway als Windows Server-Gateway bezeichnet. Über die VMM-Softwareschnittstelle stehen nur eingeschränkte BGP-Konfigurationsoptionen (Border Gateway Protocol) zur Verfügung. Hierzu zählen unter anderem Lokale BGP-IP-Adresse und Autonome Systemnummern (ASN) sowie Liste der IP-Adressen der BGP-Peers und ASN-Werte. Sie können jedoch Windows PowerShell-BGP-Befehle per Remotezugriff verwenden, um alle anderen Features des Windows Server-Gateways zu konfigurieren. Weitere Informationen finden Sie unter Virtual Machine Manager (VMM) sowie unter Remote-Zugriff für Windows Server und Windows-Client.