Tudnivalók a pont–hely VPN-útválasztásról

  • Cikk

Ez a cikk segít megérteni, hogyan viselkedik az Azure Pont–hely VPN-útválasztás. A P2S VPN útválasztási viselkedése az ügyfél operációs rendszerétől, a VPN-kapcsolathoz használt protokolltól és a virtuális hálózatok egymáshoz való kapcsolódásától függ. A pont–hely VPN-ről, beleértve a támogatott protokollokat is, olvassa el a Pont–hely VPN ismertetése című témakört.

Ha módosítja a hálózat topológiáját, és Windows VPN-ügyfelekkel rendelkezik, a Windows-ügyfelek VPN-ügyfélcsomagját le kell tölteni és újra telepíteni kell ahhoz, hogy a módosításokat alkalmazni lehessen az ügyfélre.

Megjegyzés

Ez a cikk csak az IKEv2 és az OpenVPN szolgáltatásra vonatkozik.

Tudnivalók a diagramokról

Ebben a cikkben számos különböző diagram található. Minden szakasz más topológiát vagy konfigurációt mutat. A cikk alkalmazásában a helyek közötti (S2S) és a virtuális hálózatok közötti kapcsolatok ugyanúgy működnek, mint az IPsec-alagutak. A cikkben szereplő összes VPN-átjáró útvonalalapú.

Egy izolált virtuális hálózat

Ebben a példában a pont–hely VPN-átjáró kapcsolat egy olyan virtuális hálózathoz tartozik, amely nincs más virtuális hálózattal (VNet1) csatlakoztatva vagy társviszonyban. Ebben a példában az ügyfelek hozzáférhetnek a VNet1-hez.

Izolált virtuális hálózat útválasztása

Címtér

  • VNet1: 10.1.0.0/16

Hozzáadott útvonalak

  • Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 192.168.0.0/24

  • Nem Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 192.168.0.0/24

Access

  • A Windows-ügyfelek hozzáférhetnek a VNet1-hez

  • A nem Windows-ügyfelek hozzáférhetnek a VNet1-hez

Több társviszonyban található virtuális hálózat

Ebben a példában a pont–hely VPN-átjáró kapcsolat a VNet1-hez tartozik. A VNet1 társviszonyban van a VNet2 hálózattal. A VNet 2 társviszonyban van a VNet3 hálózattal. A VNet1 társviszonyban van a VNet4 hálózattal. Nincs közvetlen társviszony a VNet1 és a VNet3 között. A VNet1 rendelkezik "Átjárótovábbítás engedélyezése", a VNet2 és a VNet4 pedig "Távoli átjárók használata" engedélyezve van.

A Windowst használó ügyfelek hozzáférhetnek a közvetlenül társviszonyban lévő virtuális hálózatokhoz, de a VPN-ügyfelet újra le kell tölteni, ha módosítják a virtuális hálózatok közötti társviszony-létesítést vagy a hálózati topológiát. A nem Windows-ügyfelek közvetlenül társviszonyban lévő virtuális hálózatokat érhetnek el. A hozzáférés nem tranzitív, és csak közvetlenül társviszonyban lévő virtuális hálózatokra korlátozódik.

Több társviszonyban található virtuális hálózat

Címtér:

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • VNet4: 10.4.0.0/16

Hozzáadott útvonalak

  • Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

  • Nem Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

Access

  • A Windows-ügyfelek hozzáférhetnek a VNet1, a VNet2 és a VNet4 hálózathoz, de a topológia módosításainak érvénybe lépéséhez újra le kell tölteni a VPN-ügyfelet.

  • A nem Windows-ügyfelek hozzáférhetnek a VNet1, a VNet2 és a VNet4 hálózathoz

S2S VPN használatával csatlakoztatott több virtuális hálózat

Ebben a példában a pont–hely VPN-átjáró kapcsolat a VNet1-hez tartozik. A VNet1 egy helyek közötti VPN-kapcsolattal csatlakozik a VNet2-hez. A VNet2 egy helyek közötti VPN-kapcsolattal csatlakozik a VNet3-hoz. Nincs közvetlen társviszony vagy helyek közötti VPN-kapcsolat a VNet1 és a VNet3 között. Az útválasztáshoz nem minden helyek közötti kapcsolat fut BGP-vel.

A Windowst vagy más támogatott operációs rendszert használó ügyfelek csak a VNet1-et érhetik el. További virtuális hálózatok eléréséhez BGP-t kell használni.

Több virtuális hálózat és S2S

Címtér

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Hozzáadott útvonalak

  • Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 192.168.0.0/24

  • Nem Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24

Access

  • A Windows-ügyfelek csak a VNet1-et érhetik el

  • A nem Windows-ügyfelek csak a VNet1-et érhetik el

Több virtuális hálózat S2S VPN(BGP) használatával csatlakoztatva

Ebben a példában a pont–hely VPN-átjáró kapcsolat a VNet1-hez tartozik. A VNet1 egy helyek közötti VPN-kapcsolattal csatlakozik a VNet2-hez. A VNet2 egy helyek közötti VPN-kapcsolattal csatlakozik a VNet3-hoz. Nincs közvetlen társviszony vagy helyek közötti VPN-kapcsolat a VNet1 és a VNet3 között. Minden helyek közötti kapcsolat BGP-t futtat az útválasztáshoz.

A Windowst vagy más támogatott operációs rendszert használó ügyfelek hozzáférhetnek a helyek közötti VPN-kapcsolattal csatlakoztatott összes virtuális hálózathoz, de a csatlakoztatott virtuális hálózatokhoz vezető útvonalakat manuálisan kell hozzáadni a Windows-ügyfelekhez.

Több virtuális hálózat és S2S (BGP)

Címtér

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Hozzáadott útvonalak

  • Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 192.168.0.0/24

  • Nem Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24

Access

  • A Windows-ügyfelek hozzáférhetnek a VNet1, a VNet2 és a VNet3 hálózathoz, de a VNet2 és a VNet3 útvonalait manuálisan kell hozzáadni.

  • A nem Windows-ügyfelek hozzáférhetnek a VNet1, a VNet2 és a VNet3 hálózathoz

Egy virtuális hálózat és egy fiókiroda

Ebben a példában a pont–hely VPN-átjáró kapcsolat a VNet1-hez tartozik. A VNet1 nem csatlakozik vagy társviszonyban áll más virtuális hálózatokkal, hanem egy olyan helyek közötti VPN-kapcsolaton keresztül csatlakozik egy helyszíni helyhez, amely nem BGP-t futtat.

A Windows és a nem Windows rendszerű ügyfelek csak a VNet1-et érhetik el.

Útválasztás virtuális hálózattal és fiókirodával

Címtér

  • VNet1: 10.1.0.0/16

  • 1. webhely: 10.101.0.0/16

Hozzáadott útvonalak

  • Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 192.168.0.0/24

  • Nem Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 192.168.0.0/24

Access

  • A Windows-ügyfelek csak a VNet1-et érhetik el

  • A nem Windows-ügyfelek csak a VNet1-et érhetik el

Egy virtuális hálózat és egy fiókiroda (BGP)

Ebben a példában a pont–hely VPN-átjárókapcsolat a VNet1-hez tartozik. A VNet1 nem csatlakozik vagy társviszonyban áll más virtuális hálózatokkal, hanem egy BGP-t futtató helyek közötti VPN-kapcsolaton keresztül csatlakozik egy helyszíni helyhez (Site1).

A Windows-ügyfelek hozzáférhetnek a virtuális hálózathoz és a fiókirodához (Site1), de a Site1 útvonalait manuálisan kell hozzáadni az ügyfélhez. A nem Windows-ügyfelek hozzáférhetnek a virtuális hálózathoz és a helyszíni fiókirodához.

Útválasztás virtuális hálózattal és fiókirodával – BGP

Címtér

  • VNet1: 10.1.0.0/16

  • Site1: 10.101.0.0/16

Hozzáadott útvonalak

  • Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 192.168.0.0/24

  • Nem Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • A Windows-ügyfelek hozzáférhetnek a VNet1-hez és a Site1-hez, de a Site1 útvonalait manuálisan kell hozzáadni.

  • A nem Windows rendszerű ügyfelek hozzáférhetnek a VNet1-hez és a Site1-hez.

Több, S2S-sel és fiókirodával csatlakoztatott virtuális hálózat

Ebben a példában a pont–hely VPN-átjárókapcsolat a VNet1-hez tartozik. A VNet1 egy helyek közötti VPN-kapcsolattal csatlakozik a VNet2 hálózathoz. A VNet2 helyek közötti VPN-kapcsolattal csatlakozik a VNet3 hálózathoz. A VNet1 és a VNet3 hálózatok között nincs közvetlen társviszony vagy helyek közötti VPN-alagút. A VNet3 egy fiókirodához (Site1) csatlakozik helyek közötti VPN-kapcsolattal. Nem minden VPN-kapcsolat fut BGP-vel.

Minden ügyfél csak a VNet1-et érheti el.

Egy több virtuális hálózattal rendelkező S2S-t és egy fiókirodát bemutató ábra

Címtér

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Site1: 10.101.0.0/16

Hozzáadott útvonalak

  • Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 192.168.0.0/24

  • Nem Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • A Windows-ügyfelek csak a VNet1-et érhetik el

  • A nem Windows rendszerű ügyfelek csak a VNet1-et érhetik el

Több, S2S és egy fiókiroda (BGP) használatával csatlakoztatott virtuális hálózat

Ebben a példában a pont–hely VPN-átjárókapcsolat a VNet1-hez tartozik. A VNet1 egy helyek közötti VPN-kapcsolattal csatlakozik a VNet2 hálózathoz. A VNet2 helyek közötti VPN-kapcsolattal csatlakozik a VNet3 hálózathoz. A VNet1 és a VNet3 hálózatok között nincs közvetlen társviszony vagy helyek közötti VPN-alagút. A VNet3 egy fiókirodához (Site1) csatlakozik helyek közötti VPN-kapcsolattal. Minden VPN-kapcsolat BGP-t futtat.

A Windowst használó ügyfelek hozzáférhetnek a helyek közötti VPN-kapcsolattal csatlakoztatott virtuális hálózatokhoz és helyekhez, de a VNet2, a VNet3 és a Site1 útvonalait manuálisan kell hozzáadni az ügyfélhez. A nem Windows rendszerű ügyfelek manuális beavatkozás nélkül hozzáférhetnek a helyek közötti VPN-kapcsolattal csatlakoztatott virtuális hálózatokhoz és helyekhez. A hozzáférés tranzitív, és az ügyfelek az összes csatlakoztatott virtuális hálózaton és helyen (a helyszínen) hozzáférhetnek az erőforrásokhoz.

multi-VNet S2S és fiókiroda

Címtér

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Site1: 10.101.0.0/16

Hozzáadott útvonalak

  • Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 192.168.0.0/24

  • Nem Windows-ügyfelekhez hozzáadott útvonalak: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • A Windows-ügyfelek hozzáférhetnek a VNet1, a VNet2, a VNet3 és a Site1 hálózathoz, de a VNet2, a VNet3 és a Site1 útvonalait manuálisan kell hozzáadni az ügyfélhez.

  • A nem Windows rendszerű ügyfelek hozzáférhetnek a VNet1, a Vnet2, a VNet3 és a Site1 hálózathoz.

Következő lépések

A P2S VPN létrehozásának megkezdéséhez lásd: P2S VPN létrehozása a Azure Portal használatával.