Mi az a VPN-átjáró?
A VPN Gateway titkosított forgalmat küld egy Azure-beli virtuális hálózat és egy helyszíni hely között a nyilvános interneten keresztül. A VPN Gateway használatával titkosított adatforgalmat is küldhet az Azure-beli virtuális hálózatok között a Microsoft-hálózaton keresztül. A VPN-átjáró a virtuális hálózati átjárók egy adott típusa. Minden egyes virtuális hálózat kizárólag egy VPN-átjáróval rendelkezhet. Egy VPN-átjáróhoz azonban létrehozhat több kapcsolatot is. Amikor többhelyes csatlakozást hoz létre egyetlen VPN-átjáróhoz, az összes VPN-alagút az elérhető sávszélességen osztozkodik.
Mi az a virtuális hálózati átjáró?
A virtuális hálózati átjáró két vagy több virtuális gépből áll, amelyek automatikusan konfigurálva és üzembe helyezve vannak egy ön által létrehozott, átjáróalhálózatnak nevezett alhálózaton. Az átjáró virtuális gépei útválasztási táblákat tartalmaznak, és meghatározott átjárószolgáltatásokat futtatnak. Közvetlenül nem konfigurálhatja a virtuális hálózati átjáró részét képező virtuális gépeket, bár az átjáró konfigurálásakor megadott beállítások hatással vannak a létrehozott átjáró virtuális gépekre.
Mi a VPN-átjáró?
Virtuális hálózati átjáró konfigurálásakor egy olyan beállítást kell konfigurálni, amely meghatározza az átjáró típusát. Az átjáró típusa határozza meg a virtuális hálózati átjáró használatát és az átjáró által végrehajtott műveleteket. A "Vpn" átjárótípus azt adja meg, hogy a létrehozott virtuális hálózati átjáró típusa "VPN-átjáró". Ez megkülönbözteti az ExpressRoute-átjárótól, amely más átjárótípust használ. Egy virtuális hálózat két virtuális hálózati átjáróval rendelkezhet; egy VPN-átjáró és egy ExpressRoute-átjáró. További információért lásd: Átjárótípusok.
VPN-átjáró létrehozásakor az átjáró virtuális gépei az átjáró alhálózatán lesznek üzembe helyezve, és a megadott beállításokkal vannak konfigurálva. Ez a folyamat a kiválasztott átjáró termékváltozatától függően akár 45 percet is igénybe vehet. Miután létrehozott egy VPN-átjárót, létrehozhat egy IPsec/IKE VPN-alagútkapcsolatot az adott VPN-átjáró és egy másik VPN-átjáró (VNet–VNet) között, vagy létrehozhat egy létesítmények közötti IPsec/IKE VPN-alagútkapcsolatot a VPN-átjáró és egy helyszíni VPN-eszköz között (helyek között). Pont–hely VPN-kapcsolatot is létrehozhat (VPN OpenVPN, IKEv2 vagy SSTP protokollon keresztül), amellyel távoli helyről, például konferenciáról vagy otthonról csatlakozhat a virtuális hálózathoz.
VPN Gateway átjáró konfigurálása
A VPN-átjárós kapcsolatok több erőforrást használnak, amelyek speciális beállításokkal konfigurálhatók. Az erőforrások többsége külön konfigurálható, néhány erőforrást azonban egy bizonyos sorrendben kell konfigurálni.
Kapcsolatok
Mivel a VPN Gateway használatával több kapcsolatkonfigurációt is létrehozhat, meg kell határoznia, hogy melyik konfiguráció felel meg a legjobban az igényeinek. A pont–hely, a helyek közötti és az egyidejű ExpressRoute-/helyek közötti kapcsolatok mind különböző utasításokra és konfigurációs követelményekre vonatkoznak. A kapcsolati diagramokat és a konfigurációs lépésekre mutató hivatkozásokat a VPN Gateway tervezésében találja.
- Helyek közötti VPN-kapcsolatok
- Pont–hely VPN-kapcsolatok
- Virtuális hálózatok közötti VPN-kapcsolatok
Tervezési táblázat
Az alábbi táblázat segíthet eldönteni, melyik az Ön megoldásához legmegfelelőbb kapcsolat. Vegye figyelembe, hogy az ExpressRoute nem része a VPN Gatewaynek, de szerepel a táblázatban.
| Pont–hely kapcsolat | Helyek közötti kapcsolat | ExpressRoute | |
|---|---|---|---|
| Az Azure által támogatott szolgáltatások | Cloud Services és Virtual Machines | Cloud Services és Virtual Machines | Szolgáltatáslista |
| Jellemző sávszélességek | Az átjáró termékváltozata alapján | < Általában 10 Gb/s összesítés | 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps, 100 Gbps |
| Támogatott protokollok | Secure Sockets Tunneling Protocol (SSTP), OpenVPN és IPsec | IPsec | Közvetlen kapcsolat VLAN-okon, NSP-k VPN technológiáin keresztül (MPLS, VPLS,...) |
| Útválasztás | Útvonalalapú (dinamikus) | Támogatjuk a szabályzatalapú (statikus útválasztás) és az útvonalalapú (dinamikus útválasztási VPN) útválasztást | BGP |
| Kapcsolat rugalmassága | aktív-passzív | aktív-passzív vagy aktív-aktív | aktív-aktív |
| Tipikus használati eset | Azure-beli virtuális hálózatok biztonságos elérése távoli felhasználók számára | Fejlesztési/tesztelési/laborforgatókönyvek és kis- és közepes méretű éles számítási feladatok felhőszolgáltatásokhoz és virtuális gépekhez | Hozzáférés az összes Azure-szolgáltatáshoz (ellenőrzött lista), nagyvállalati szintű és kritikus fontosságú számítási feladatokhoz, biztonsági mentésekhez, big data adatokhoz és az Azure-hoz DR-webhelyként |
| SLA | SLA | SLA | SLA |
| Díjszabás | Díjszabás | Díjszabás | Díjszabás |
| Műszaki dokumentáció | VPN Gateway | VPN Gateway | ExpressRoute |
| Gyakori kérdések | VPN Gateway – gyakori kérdések | VPN Gateway – gyakori kérdések | ExpressRoute – Gyakori kérdések |
Beállítások
Az egyes erőforrások megfelelő beállítása kritikus fontosságú a sikeres kapcsolat létrehozásához. További információ a VPN Gateway önálló erőforrásairól és beállításairól: About VPN Gateway settings (Információk a VPN Gateway beállításairól). A cikk az átjáró-, a VPN- és a kapcsolattípusokkal, az átjáró-alhálózatokkal, a helyi hálózati átjárókkal, az átjáró-termékváltozatokkal, valamint a különböző erőforrások beállításaival kapcsolatos további hasznos információkat tartalmaz.
Üzembe helyezési eszközök
Az erőforrások létrehozásának és konfigurálásának megkezdéséhez használjon egy konfigurációs eszközt, például az Azure Portalt. A további erőforrások konfigurálásához, vagy adott esetekben a létező erőforrások módosításához később átválthat egy másik eszközre, például a PowerShellre. Jelenleg nem lehet a minden erőforrást és erőforrás-beállítást az Azure Portalon konfigurálni. Az egyes kapcsolati topológiákhoz tartozó cikkekben lévő utasítások egyértelműsítik, hogy mikor van szükség egy speciális konfigurációs eszközre.
Átjáró-termékváltozatok
Egy virtuális hálózati átjáró létrehozásakor meg kell adnia a használni kívánt termékváltozatot. Válassza ki a számítási feladatok, az átviteli sebesség, a funkciók és a szolgáltatói szerződés igényeinek megfelelő termékváltozatot.
- Az átjáró-termékváltozatokkal kapcsolatos további információkért, beleértve a támogatott funkciókat, az éles és fejlesztési teszteket, valamint a konfigurációs lépéseket, tekintse meg a VPN Gateway-beállítások – Átjáró-termékváltozatok című cikket.
- Az örökölt termékváltozatokkal kapcsolatos információkért lásd: Régi termékváltozatok használata.
Átjáró-termékváltozatok alagút, kapcsolat és átviteli sebesség szerint
| VPN Átjáró Generáció |
Termékváltozat | S2S/Virtuális hálózatok közötti kapcsolat Alagutak |
P2S SSTP-kapcsolatok |
P2S IKEv2/OpenVPN-kapcsolatok |
Összesítés Átviteli sebesség teljesítménytesztje |
BGP | Zónaredundáns |
|---|---|---|---|---|---|---|---|
| 1. generáció | Basic | Legfeljebb 10 | Legfeljebb 128 | Nem támogatott | 100 Mbps | Nem támogatott | No |
| 1. generáció | VpnGw1 | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 250 | 650 Mbit/s | Támogatott | No |
| 1. generáció | VpnGw2 | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 500 | 1 Gbit/s | Támogatott | No |
| 1. generáció | VpnGw3 | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 1000 | 1,25 Gbps | Támogatott | No |
| 1. generáció | VpnGw1AZ | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 250 | 650 Mbit/s | Támogatott | Yes |
| 1. generáció | VpnGw2AZ | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 500 | 1 Gbit/s | Támogatott | Yes |
| 1. generáció | VpnGw3AZ | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 1000 | 1,25 Gbps | Támogatott | Yes |
| 2. generáció | VpnGw2 | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 500 | 1,25 Gbps | Támogatott | No |
| 2. generáció | VpnGw3 | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 1000 | 2,5 Gb/s | Támogatott | No |
| 2. generáció | VpnGw4 | Legfeljebb 100* | Legfeljebb 128 | Legfeljebb 5000 | 5 Gbps | Támogatott | No |
| 2. generáció | VpnGw5 | Legfeljebb 100* | Legfeljebb 128 | Legfeljebb 10000 | 10 Gbps | Támogatott | No |
| 2. generáció | VpnGw2AZ | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 500 | 1,25 Gbps | Támogatott | Yes |
| 2. generáció | VpnGw3AZ | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 1000 | 2,5 Gb/s | Támogatott | Yes |
| 2. generáció | VpnGw4AZ | Legfeljebb 100* | Legfeljebb 128 | Legfeljebb 5000 | 5 Gbps | Támogatott | Yes |
| 2. generáció | VpnGw5AZ | Legfeljebb 100* | Legfeljebb 128 | Legfeljebb 10000 | 10 Gbps | Támogatott | Yes |
(*) Használja a Virtual WAN-t , ha több mint 100 S2S VPN-alagútra van szüksége.
A VpnGw termékváltozatok átméretezése ugyanabban a generációban engedélyezett, kivéve az alapszintű termékváltozat átméretezését. Az alapszintű termékváltozat egy örökölt termékváltozat, és funkciókorlátozásokkal rendelkezik. Az Alapszintű csomagról egy másik termékváltozatra való áttéréshez törölnie kell az alapszintű termékváltozatú VPN-átjárót, és létre kell hoznia egy új átjárót a kívánt létrehozási és termékváltozat-méretkombinációval. (lásd : Régi termékváltozatok használata).
Ezek a kapcsolati korlátok egymástól függetlenek. Például egy VpnGw1 termékváltozat esetén rendelkezhet 128 SSTP-kapcsolattal és 250 IKEv2-kapcsolattal is.
A díjakról a Díjszabás oldalon tájékozódhat.
A szolgáltatói szerződésekről információt az SLA (szolgáltatói szerződés) oldalán találhat.
Ha sok P2S-kapcsolattal rendelkezik, az negatív hatással lehet az S2S-kapcsolatokra. Az összesített átviteli sebesség teljesítménytesztjei az S2S- és P2S-kapcsolatok kombinációjának maximalizálásával lettek tesztelve. Egyetlen P2S- vagy S2S-kapcsolat sokkal alacsonyabb átviteli sebességgel rendelkezhet.
Vegye figyelembe, hogy az internetes forgalmi feltételek és az alkalmazás viselkedése miatt nem minden teljesítményteszt garantált
Annak érdekében, hogy ügyfeleink megismerjék a termékváltozatok relatív teljesítményét különböző algoritmusokkal, nyilvánosan elérhető iPerf és CTSTraffic eszközöket használtunk a helyek közötti kapcsolatok teljesítményének mérésére. Az alábbi táblázat a VpnGw termékváltozatok teljesítménytesztjeinek eredményeit sorolja fel. Amint látható, a legjobb teljesítmény akkor érhető el, ha GCMAES256 algoritmust használtunk az IPsec-titkosításhoz és az integritáshoz is. Átlagos teljesítmény érhető el az AES256 IPsec-titkosításhoz és sha256 integritáshoz való használatakor. Amikor a DES3-at használtuk az IPsec-titkosításhoz, az SHA256-ot pedig az integritáshoz, a legalacsonyabb teljesítményt kaptuk.
A VPN-alagút egy VPN Gateway-példányhoz csatlakozik. A fenti átviteli sebességtáblában minden egyes példány átviteli sebessége szerepel, és összesítve érhető el az adott példányhoz csatlakozó összes alagútban.
Az alábbi táblázat a megfigyelt sávszélességet és a csomagok másodpercenkénti átviteli sebességét mutatja alagútonként a különböző átjáró-termékváltozatok esetében. Minden tesztelés az Azure-on belüli átjárók (végpontok) között, különböző régiókban, 100 kapcsolattal és standard terhelési feltételek mellett történt.
| Generáció | Termékváltozat | Algoritmusok Használt |
Teljesítmény alagútonként figyelve |
Csomagok másodpercenként alagútonként Megfigyelt |
|---|---|---|---|---|
| 1. generáció | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbit/s 500 Mbps 130 Mbps |
62,000 47,000 12 000 |
| 1. generáció | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gb/s 650 Mbit/s 140 Mbps |
100.000 61,000 13,000 |
| 1. generáció | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
| 1. generáció | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbit/s 500 Mbps 130 Mbps |
62,000 47,000 12 000 |
| 1. generáció | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gb/s 650 Mbit/s 140 Mbps |
110,000 61,000 13,000 |
| 1. generáció | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
| 2. generáció | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12 000 |
| 2. generáció | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gb/s 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
| 2. generáció | VpnGw4 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gb/s 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| 2. generáció | VpnGw5 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gb/s 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| 2. generáció | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12 000 |
| 2. generáció | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gb/s 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
| 2. generáció | VpnGw4AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gb/s 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| 2. generáció | VpnGw5AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gb/s 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
Rendelkezésre állási zónák
A VPN-átjárók üzembe helyezhetők az Azure rendelkezésre állási zónáiban. Ez rugalmasságot, méretezhetőséget és magasabb szintű rendelkezésre állást biztosít a virtuális hálózati átjárók számára. Az átjárók Azure-beli rendelkezésre állási zónákban történő üzembe helyezésével fizikailag és logikailag is elválaszthatók a régióban található átjárók, miközben az Azure-ral létesített helyszíni hálózati kapcsolat megvédhető a zónaszintű hibáktól. Lásd : Az Azure Rendelkezésre állási zónák zónaredundáns virtuális hálózati átjáróinak ismertetése.
Díjszabás
Két dologért fizet: a virtuális hálózati átjáró óránkénti számítási költségeiért és a virtuális hálózati átjáró kimenő adatátviteléért. A díjakról a Díjszabás oldalon tájékozódhat. Az örökölt átjáró-termékváltozat díjszabását az ExpressRoute díjszabási oldalán találja, és görgessen a Virtuális hálózati átjárók szakaszhoz.
A virtuális hálózati átjáró számítási költségei
Minden virtuális hálózati átjáró óránkénti számítási költségekkel rendelkezik. Az ár a virtuális hálózati átjáró létrehozáskor megadott termékváltozatán alapul. A költség magára az átjáróra vonatkozik, és az átjárón áthaladó adatátvitelen felül értendő. Az aktív-aktív telepítés költsége megegyezik az aktív-passzív beállítással.
Adatátviteli költségek
Az adatátviteli költségek kiszámítása a forrás virtuális hálózati átjáróról származó kimenő forgalmon alapul.
- Ha a helyszíni VPN-eszközre küld forgalmat, az internetes kimenő adatátviteli sebesség lesz felszámítva.
- Ha különböző régiókban lévő virtuális hálózatok közötti forgalmat küld, a díjszabás a régión alapul.
- Ha csak az azonos régióban lévő virtuális hálózatok közötti forgalmat küldi, nincs adatköltség. Az azonos régióban található virtuális hálózatok közötti forgalom ingyenes.
További információ a VPN Gateway átjáró-termékváltozatokról: Gateway SKUs (Átjáró-termékváltozatok).
GYIK
A VPN Gateway-re vonatkozó gyakori kérdésekért lásd a VPN Gateway gyakori kérdéseit.
Újdonságok
Iratkozzon fel az RSS-hírcsatornára, és tekintse meg a VPN Gateway legújabb funkciófrissítéseit az Azure Updates oldalon.