Tudnivalók a VPN Gateway konfigurációs beállításairólAbout VPN Gateway configuration settings

A VPN Gateway olyan virtuális hálózati átjáró, amely titkosított forgalmat küld a virtuális hálózat és a helyszíni hely között egy nyilvános kapcsolaton keresztül.A VPN gateway is a type of virtual network gateway that sends encrypted traffic between your virtual network and your on-premises location across a public connection. A VPN Gateway használatával a virtuális hálózatok közötti adatforgalom az Azure-gerincen keresztül is elküldhető.You can also use a VPN gateway to send traffic between virtual networks across the Azure backbone.

A VPN Gateway-kapcsolatok több erőforrás konfigurációján alapulnak, amelyek mindegyike konfigurálható beállításokat tartalmaz.A VPN gateway connection relies on the configuration of multiple resources, each of which contains configurable settings. A jelen cikk fejezetei a Resource Manager-alapú üzemi modellben létrehozott virtuális hálózatok VPN Gateway-hez kapcsolódó erőforrásait és beállításait tárgyalják.The sections in this article discuss the resources and settings that relate to a VPN gateway for a virtual network created in Resource Manager deployment model. Az egyes csatlakoztatási megoldásokhoz tartozó leírások és topológiai diagramok a névjegy VPN Gateway cikkben találhatók.You can find descriptions and topology diagrams for each connection solution in the About VPN Gateway article.

A cikkben szereplő értékek a VPN-átjárókat alkalmazzák (a virtuális hálózati átjárókat, amelyek a-GatewayType VPN-t használják).The values in this article apply VPN gateways (virtual network gateways that use the -GatewayType Vpn). Ez a cikk nem fedi le az összes átjáró típusát vagy a zóna redundáns átjáróit.This article does not cover all gateway types or zone-redundant gateways.

ÁtjárótípusokGateway types

Minden virtuális hálózatnak csak egy virtuális hálózati átjárója lehet.Each virtual network can only have one virtual network gateway of each type. Ha virtuális hálózati átjárót hoz létre, meg kell győződnie arról, hogy az átjáró típusa helyes a konfigurációhoz.When you are creating a virtual network gateway, you must make sure that the gateway type is correct for your configuration.

A-GatewayType elérhető értékei a következők:The available values for -GatewayType are:

  • VpnVpn
  • ExpressRouteExpressRoute

A VPN-átjáróhoz a -GatewayType VPN szükséges.A VPN gateway requires the -GatewayType Vpn.

Példa:Example:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

Átjáró-termékváltozatokGateway SKUs

Egy virtuális hálózati átjáró létrehozásakor meg kell adni a használni kívánt termékváltozatot.When you create a virtual network gateway, you need to specify the gateway SKU that you want to use. Válassza ki a számítási feladatok, az átviteli sebesség, a funkciók és a szolgáltatói szerződés igényeinek megfelelő termékváltozatot.Select the SKU that satisfies your requirements based on the types of workloads, throughputs, features, and SLAs. A Azure Availability Zones virtuális hálózati átjárói SKU-ban tekintse meg a Azure Availability Zones Gateway SKU-ket.For virtual network gateway SKUs in Azure Availability Zones, see Azure Availability Zones gateway SKUs.

Átjáró-termékváltozatok alagút, kapcsolat és átviteli sebesség szerintGateway SKUs by tunnel, connection, and throughput

VPN-
átjáró
létrehozása
VPN
Gateway
Generation
TermékváltozatSKU S2S/Virtuális hálózatok közötti kapcsolat
alagutak
S2S/VNet-to-VNet
Tunnels
P2S
SSTP-kapcsolatok
P2S
SSTP Connections
P2S
IKEv2/OpenVPN-kapcsolatok
P2S
IKEv2/OpenVPN Connections
Összesített
átviteli sebesség tesztje
Aggregate
Throughput Benchmark
BGPBGP Zóna – redundánsZone-redundant
Generation1Generation1 BasicBasic LegfeljebbMax. 1010 LegfeljebbMax. 128128 Nem támogatottNot Supported 100 Mbps100 Mbps Nem támogatottNot Supported NoNo
Generation1Generation1 VpnGw1VpnGw1 LegfeljebbMax. 30*30* LegfeljebbMax. 128128 LegfeljebbMax. 250250 650 Mbit/s650 Mbps TámogatottSupported NoNo
Generation1Generation1 VpnGw2VpnGw2 LegfeljebbMax. 30*30* LegfeljebbMax. 128128 LegfeljebbMax. 500500 1 Gbit/s1 Gbps TámogatottSupported NoNo
Generation1Generation1 VpnGw3VpnGw3 LegfeljebbMax. 30*30* LegfeljebbMax. 128128 LegfeljebbMax. 10001000 1,25 Gbps1.25 Gbps TámogatottSupported NoNo
Generation1Generation1 VpnGw1AZVpnGw1AZ LegfeljebbMax. 30*30* LegfeljebbMax. 128128 LegfeljebbMax. 250250 650 Mbit/s650 Mbps TámogatottSupported YesYes
Generation1Generation1 VpnGw2AZVpnGw2AZ LegfeljebbMax. 30*30* LegfeljebbMax. 128128 LegfeljebbMax. 500500 1 Gbit/s1 Gbps TámogatottSupported YesYes
Generation1Generation1 VpnGw3AZVpnGw3AZ LegfeljebbMax. 30*30* LegfeljebbMax. 128128 LegfeljebbMax. 10001000 1,25 Gbps1.25 Gbps TámogatottSupported YesYes
Generation2Generation2 VpnGw2VpnGw2 LegfeljebbMax. 30*30* LegfeljebbMax. 128128 LegfeljebbMax. 500500 1,25 Gbps1.25 Gbps TámogatottSupported NoNo
Generation2Generation2 VpnGw3VpnGw3 LegfeljebbMax. 30*30* LegfeljebbMax. 128128 LegfeljebbMax. 10001000 2,5 GB/s2.5 Gbps TámogatottSupported NoNo
Generation2Generation2 VpnGw4VpnGw4 LegfeljebbMax. 30*30* LegfeljebbMax. 128128 LegfeljebbMax. 50005000 5 Gbps5 Gbps TámogatottSupported NoNo
Generation2Generation2 VpnGw5VpnGw5 LegfeljebbMax. 30*30* LegfeljebbMax. 128128 LegfeljebbMax. 1000010000 10 Gbps10 Gbps TámogatottSupported NoNo
Generation2Generation2 VpnGw2AZVpnGw2AZ LegfeljebbMax. 30*30* LegfeljebbMax. 128128 LegfeljebbMax. 500500 1,25 Gbps1.25 Gbps TámogatottSupported YesYes
Generation2Generation2 VpnGw3AZVpnGw3AZ LegfeljebbMax. 30*30* LegfeljebbMax. 128128 LegfeljebbMax. 10001000 2,5 GB/s2.5 Gbps TámogatottSupported YesYes
Generation2Generation2 VpnGw4AZVpnGw4AZ LegfeljebbMax. 30*30* LegfeljebbMax. 128128 LegfeljebbMax. 50005000 5 Gbps5 Gbps TámogatottSupported YesYes
Generation2Generation2 VpnGw5AZVpnGw5AZ LegfeljebbMax. 30*30* LegfeljebbMax. 128128 LegfeljebbMax. 1000010000 10 Gbps10 Gbps TámogatottSupported YesYes

(*) Ha 30 S2S VPN-alagútnál többre van szüksége, használja a Virtual WAN-t.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Az VpnGw SKU-i átméretezése ugyanazon a generáción belül engedélyezett, kivéve az alapszintű SKU átméretezését.The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. Az alapszintű SKU egy örökölt SKU, és szolgáltatási korlátozásokkal rendelkezik.The Basic SKU is a legacy SKU and has feature limitations. Ahhoz, hogy az alapszintű egy másik VpnGw SKU-ra váltson, törölnie kell az alapszintű SKU VPN-átjárót, és létre kell hoznia egy új átjárót a kívánt generációs és SKU-méret kombinációval.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Ezek a kapcsolati korlátok egymástól függetlenek.These connection limits are separate. Például egy VpnGw1 termékváltozat esetén rendelkezhet 128 SSTP-kapcsolattal és 250 IKEv2-kapcsolattal is.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • A díjakról a Díjszabás oldalon tájékozódhat.Pricing information can be found on the Pricing page.

  • A szolgáltatói szerződésekről információt az SLA (szolgáltatói szerződés) oldalán találhat.SLA (Service Level Agreement) information can be found on the SLA page.

  • Egyetlen alagúton legfeljebb 1 GB/s átviteli sebesség érhető el.On a single tunnel a maximum of 1 Gbps throughput can be achieved. A fenti táblázatban szereplő összesített átviteli sebesség a több, egyetlen átjárón keresztül összesít alagutak mérési eredményein alapul.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. A VPN-átjárók összesített átviteli sebességtesztje az S2S és a P2S ötvözésével készült.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Az átviteli sebességre vonatkozó korlátozások miatt negatív hatással lehet az S2S-kapcsolatokra, ha számos P2S-kapcsolattal rendelkezik.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. Az összesített átviteli sebességre vonatkozó teljesítményteszt nem garantált átviteli sebesség az internetes forgalmi feltételek és az alkalmazás viselkedése miatt.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Annak érdekében, hogy ügyfeleink megértsék az SKU-ket a különböző algoritmusok használatával, a nyilvánosan elérhető iPerf-és CTSTraffic-eszközöket használták a teljesítmény mérésére.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. Az alábbi táblázat az 1. generációs VpnGw tartozó teljesítménytesztek eredményeit sorolja fel.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. Amint láthatja, a legjobb teljesítmény akkor jelenik meg, ha a GCMAES256 algoritmust is használták az IPsec-titkosításhoz és az integritáshoz.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Az AES256 használata az IPsec-titkosításhoz és a SHA256 az integritás érdekében az átlagos teljesítmény volt.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Ha a DES3 az IPsec-titkosításhoz és az SHA256-hez használta a legalacsonyabb teljesítményű integritás érdekében.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

GenerációGeneration TermékváltozatSKU Használt algoritmusok
Algorithms
used
Megfigyelt átviteli sebesség
Throughput
observed
Másodpercenként
megfigyelt csomagok
Packets per second
observed
Generation1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mbit/s650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58 00058,000
50,00050,000
50,00050,000
Generation1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90,00090,000
80,00080,000
55 00055,000
Generation1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105 000105,000
90,00090,000
60.00060,000
Generation1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mbit/s650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58 00058,000
50,00050,000
50,00050,000
Generation1Generation1 VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90,00090,000
80,00080,000
55 00055,000
Generation1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105 000105,000
90,00090,000
60.00060,000

Megjegyzés

A VpnGw SKU-ban (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5 és VpnGw5AZ) csak a Resource Manager-alapú üzemi modellben támogatottak.VpnGw SKUs (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5, and VpnGw5AZ) are supported for the Resource Manager deployment model only. A klasszikus virtuális hálózatok továbbra is a régi (örökölt) SKU-ket használják.Classic virtual networks should continue to use the old (legacy) SKUs.

Átjárók SKU-ként a szolgáltatáskészlet alapjánGateway SKUs by feature set

Az új VPN Gateway SKU-ra egyszerűsíti az átjárók által kínált szolgáltatáskészlet-készleteket:The new VPN gateway SKUs streamline the feature sets offered on the gateways:

TermékváltozatSKU FunkciókFeatures
Alapszintű (* *)Basic (**) Útvonal-alapú VPN: 10 alagút a S2S/kapcsolatok számára; a P2S nem rendelkezik RADIUS-hitelesítéssel; nincs IKEv2 a P2SRoute-based VPN: 10 tunnels for S2S/connections; no RADIUS authentication for P2S; no IKEv2 for P2S
Házirend alapú VPN: (IKEv1): 1 S2S/kapcsolati alagút; nincs P2SPolicy-based VPN: (IKEv1): 1 S2S/connection tunnel; no P2S
Az összes Generation1 és Generation2 SKU, kivéve az alapszintűAll Generation1 and Generation2 SKUs except Basic Route-alapú VPN: legfeljebb 30 alagút (*), P2S, BGP, aktív-aktív, egyéni IPSec/IKE-házirend, EXPRESSROUTE/VPN együttes létezéseRoute-based VPN: up to 30 tunnels (*), P2S, BGP, active-active, custom IPsec/IKE policy, ExpressRoute/VPN coexistence

(*) A "PolicyBasedTrafficSelectors" konfigurálható úgy, hogy egy Route-alapú VPN-átjárót több helyszíni házirend-alapú tűzfallal csatlakoztasson.(*) You can configure "PolicyBasedTrafficSelectors" to connect a route-based VPN gateway to multiple on-premises policy-based firewall devices. További részletekért tekintse meg a VPN-átjárók több helyszíni házirendalapú VPN-eszközhöz való csatlakoztatása a PowerShellel című cikket.Refer to Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell for details.

( * * ) Az alapszintű SKU egy ÖRÖKÖLt SKU-nak minősül.(**) The Basic SKU is considered a legacy SKU. Az alapszintű SKU bizonyos szolgáltatási korlátozásokkal rendelkezik.The Basic SKU has certain feature limitations. Alapszintű SKU-t használó átjárót nem lehet átméretezni az új átjárók egyikére, ehelyett egy új SKU-ra kell váltania, amely magában foglalja a VPN-átjáró törlését és újbóli létrehozását.You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway.

Gateway SKU-gyártás és Dev-Test számítási feladatokGateway SKUs - Production vs. Dev-Test Workloads

A szolgáltatói szerződések és a szolgáltatáskészletek eltérései miatt az alábbi termékváltozatokat javasoljuk termelés vs. dev-test környezetekhez:Due to the differences in SLAs and feature sets, we recommend the following SKUs for production vs. dev-test:

Számítási feladatWorkload TermékváltozatokSKUs
Termelés, kritikus fontosságú számítási feladatokProduction, critical workloads Az összes Generation1 és Generation2 SKU, kivéve az alapszintűAll Generation1 and Generation2 SKUs except Basic
Dev-test vagy a koncepció igazolásaDev-test or proof of concept Alapszintű (* *)Basic (**)

( * * ) Az alapszintű SKU egy örökölt SKU-nak minősül, és szolgáltatási korlátozásokkal rendelkezik.(**) The Basic SKU is considered a legacy SKU and has feature limitations. Az alapszintű SKU használata előtt ellenőrizze, hogy az Ön által igényelt szolgáltatás támogatott-e.Verify that the feature that you need is supported before you use the Basic SKU.

Ha a régi SKU-t (örökölt) használja, a termelési SKU-javaslatok standard és HighPerformance.If you are using the old SKUs (legacy), the production SKU recommendations are Standard and HighPerformance. A régi SKU-ra vonatkozó információkkal és utasításokkal kapcsolatban lásd: átjáró SKU-i (örökölt).For information and instructions for old SKUs, see Gateway SKUs (legacy).

Átjáró SKU konfigurálásaConfigure a gateway SKU

Azure PortalAzure portal

Ha a Azure Portal használatával hoz létre Resource Manager virtuális hálózati átjárót, akkor a legördülő listából kiválaszthatja az átjáró SKU-t.If you use the Azure portal to create a Resource Manager virtual network gateway, you can select the gateway SKU by using the dropdown. A megjelenített beállítások az átjáró típusa és a választott VPN-típus szerint jelennek meg.The options you are presented with correspond to the Gateway type and VPN type that you select.

PowerShellPowerShell

A következő PowerShell-példa az -GatewaySku as VpnGw1 adja meg.The following PowerShell example specifies the -GatewaySku as VpnGw1. Ha a PowerShell-lel átjárót hoz létre, először létre kell hoznia az IP-konfigurációt, majd egy változót kell használnia.When using PowerShell to create a gateway, you have to first create the IP configuration, then use a variable to refer to it. Ebben a példában a konfigurációs változó $gwipconfig.In this example, the configuration variable is $gwipconfig.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

Azure CLIAzure CLI

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

SKU átméretezése vagy módosításaResizing or changing a SKU

Ha VPN-átjáróval rendelkezik, és egy másik átjáró-SKU-t szeretne használni, a lehetőségek az átjáró SKU-jának átméretezése, vagy egy másik SKU-ra való váltás.If you have a VPN gateway and you want to use a different gateway SKU, your options are to either resize your gateway SKU, or to change to another SKU. Ha másik átjáró SKU-ra vált, a meglévő átjárót teljesen törölni kell, és újat kell létrehoznia.When you change to another gateway SKU, you delete the existing gateway entirely and build a new one. Egy átjáró akár 45 percet is igénybe vehet.A gateway can take up to 45 minutes to build. Összehasonlításban az átjáró SKU-jának átméretezése nem sok állásidőt eredményez, mert nem kell törölnie és újraépítenie az átjárót.In comparison, when you resize a gateway SKU, there is not much downtime because you do not have to delete and rebuild the gateway. Ha azt szeretné, hogy az átjáró SKU-jának átméretezése megtörténjen, és nem kell megváltoztatnia.If you have the option to resize your gateway SKU, rather than change it, you will want to do that. Vannak azonban szabályok az átméretezéssel kapcsolatban:However, there are rules regarding resizing:

  1. Az alapszintű SKU kivételével átméretezheti a VPN Gateway SKU-t egy másik VPN Gateway SKU-ra ugyanazon a generáción belül (Generation1 vagy Generation2).With the exception of the Basic SKU, you can resize a VPN gateway SKU to another VPN gateway SKU within the same generation (Generation1 or Generation2). Például a Generation1 VpnGw1 átméretezhetők a Generation1 VpnGw2, de a VpnGw2 nem Generation2.For example, VpnGw1 of Generation1 can be resized to VpnGw2 of Generation1 but not to VpnGw2 of Generation2.
  2. Ha a régi átjárók termékváltozataival dolgozik, az átméretezéskor az Alapszintű, a Standard és a Nagy teljesítményű termékváltozatok közül választhat.When working with the old gateway SKUs, you can resize between Basic, Standard, and HighPerformance SKUs.
  3. Az alapszintű/standard/HighPerformance SKU-ról VpnGw SKU-ra nem lehet átméretezni.You cannot resize from Basic/Standard/HighPerformance SKUs to VpnGw SKUs. Ehelyett az új SKU-ra kell váltania .You must instead, change to the new SKUs.

Átjáró átméretezéseTo resize a gateway

Azure PortalAzure portal

  1. Nyissa meg a virtuális hálózati átjáró konfigurációs lapját.Go to the Configuration page for your virtual network gateway.

  2. Válassza ki a legördülő menü nyilait.Select the arrows for the dropdown.

    Az átjáró átméretezése

  3. Válassza ki az SKU-t a legördülő listából.Select the SKU from the dropdown.

    Válassza ki az SKU-t

PowerShellPowerShell

A Resize-AzVirtualNetworkGateway PowerShell-parancsmag segítségével frissítheti vagy visszaminősítheti a Generation1 vagy a GENERATION2 SKU-t (az összes VpnGw SKU átméretezhető az alapszintű SKU-ok kivételével).You can use the Resize-AzVirtualNetworkGateway PowerShell cmdlet to upgrade or downgrade a Generation1 or Generation2 SKU (all VpnGw SKUs can be resized except Basic SKUs). Ha az alapszintű átjáró-SKU-t használja, használja az alábbi utasításokat az átjáró átméretezéséhez.If you are using the Basic gateway SKU, use these instructions instead to resize your gateway.

A következő PowerShell-példa egy átjáró SKU-jának átméretezését mutatja be a VpnGw2-re.The following PowerShell example shows a gateway SKU being resized to VpnGw2.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

Váltás régi (örökölt) SKU-ról egy új SKU-raTo change from an old (legacy) SKU to a new SKU

Ha a Resource Manager-alapú üzemi modellt használ, az új átjárók SKU-ra válthat.If you are working with the Resource Manager deployment model, you can change to the new gateway SKUs. Ha örökölt átjáró SKU-ról egy új SKU-ra vált, törölheti a meglévő VPN-átjárót, és létrehozhat egy új VPN-átjárót.When you change from a legacy gateway SKU to a new SKU, you delete the existing VPN gateway and create a new VPN gateway.

MunkafolyamatWorkflow:

  1. Távolítson el minden, a virtuális hálózat átjárójához tartozó kapcsolatot.Remove any connections to the virtual network gateway.
  2. Törölje a régi VPN-átjárót.Delete the old VPN gateway.
  3. Hozza létre az új VPN-átjárót.Create the new VPN gateway.
  4. Frissítse a helyszíni VPN-eszközt az új VPN-átjáró IP-címével (a helyek közötti kapcsolatokhoz).Update your on-premises VPN devices with the new VPN gateway IP address (for Site-to-Site connections).
  5. Frissítse minden olyan helyi virtuális hálózatok közötti kapcsolat átjárója IP-címének értékét, amely ehhez az átjáróhoz kapcsolódik.Update the gateway IP address value for any VNet-to-VNet local network gateways that will connect to this gateway.
  6. Töltse le az új VPN-konfigurációs csomagokat a virtuális hálózathoz ezen a VPN-átjárón keresztül kapcsolódó P2S-ügyfelekhez.Download new client VPN configuration packages for P2S clients connecting to the virtual network through this VPN gateway.
  7. Hozza létre újra a virtuális hálózat átjárójához tartozó kapcsolatokat.Recreate the connections to the virtual network gateway.

Szempontok:Considerations:

  • Az új SKU-ra való áttéréshez a VPN-átjárónak a Resource Manager-alapú üzemi modellben kell lennie.To move to the new SKUs, your VPN gateway must be in the Resource Manager deployment model.
  • Ha klasszikus VPN-átjáróval rendelkezik, továbbra is az adott átjáró korábbi örökölt SKU-ának használatát kell használnia, azonban átméretezheti az örökölt SKU-ket.If you have a classic VPN gateway, you must continue using the older legacy SKUs for that gateway, however, you can resize between the legacy SKUs. Az új SKU-ra nem módosítható.You cannot change to the new SKUs.
  • Ha örökölt SKU-ról egy új SKU-ra vált, a kapcsolat leállása lesz.You will have connectivity downtime when you change from a legacy SKU to a new SKU.
  • Új átjáró-SKU-ra való váltáskor a VPN-átjáró nyilvános IP-címe megváltozik.When changing to a new gateway SKU, the public IP address for your VPN gateway will change. Ez akkor is megtörténik, ha ugyanazt a nyilvános IP-címet adta meg, amelyet korábban használt.This happens even if you specify the same public IP address object that you used previously.

KapcsolattípusokConnection types

A Resource Manager-alapú üzemi modellben minden konfigurációhoz egy adott virtuális hálózati átjáró kapcsolódási típus szükséges.In the Resource Manager deployment model, each configuration requires a specific virtual network gateway connection type. A -ConnectionType lehetséges Resource Manager PowerShell-értékei a következők:The available Resource Manager PowerShell values for -ConnectionType are:

  • IPsecIPsec
  • Vnet2VnetVnet2Vnet
  • ExpressRouteExpressRoute
  • VPNClientVPNClient

A következő PowerShell-példában egy olyan S2S-kapcsolat jön létre, amely megköveteli a kapcsolat típusát ( IPSec).In the following PowerShell example, we create a S2S connection that requires the connection type IPsec.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

VPN-típusokVPN types

Amikor létrehoz egy VPN Gateway-konfigurációhoz tartozó virtuális hálózati átjárót, meg kell adnia egy VPN-típust.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. A választott VPN-típus a létrehozni kívánt kapcsolati topológiától függ.The VPN type that you choose depends on the connection topology that you want to create. Egy P2S-kapcsolathoz például Útvonalalapú VPN-típus szükséges.For example, a P2S connection requires a RouteBased VPN type. A VPN-típus a használt hardvertől is függhet.A VPN type can also depend on the hardware that you are using. A S2S-konfigurációkhoz VPN-eszköz szükséges.S2S configurations require a VPN device. Egyes VPN-eszközök csak bizonyos VPN-típusokat támogatnak.Some VPN devices only support a certain VPN type.

A kiválasztott VPN-típusnak meg kell felelnie a létrehozni kívánt megoldáshoz tartozó összes kapcsolati követelménynek.The VPN type you select must satisfy all the connection requirements for the solution you want to create. Ha például egy S2S VPN Gateway-kapcsolatra és egy P2S VPN Gateway-kapcsolatra van szüksége ugyanahhoz a virtuális hálózathoz, akkor a útvonalalapú VPN-típust kell használnia, mert a P2S útvonalalapú VPN-típust igényel.For example, if you want to create a S2S VPN gateway connection and a P2S VPN gateway connection for the same virtual network, you would use VPN type RouteBased because P2S requires a RouteBased VPN type. Azt is ellenőriznie kell, hogy a VPN-eszköz támogatja-e a Útvonalalapú VPN-kapcsolat használatát.You would also need to verify that your VPN device supported a RouteBased VPN connection.

A virtuális hálózati átjáró létrehozása után a VPN-típus nem módosítható.Once a virtual network gateway has been created, you can't change the VPN type. Törölnie kell a virtuális hálózati átjárót, és létre kell hoznia egy újat.You have to delete the virtual network gateway and create a new one. Kétféle VPN-típus létezik:There are two VPN types:

  • Házirendalapú: A házirendalapú VPN-eket korábban statikus útválasztási átjáróknak nevezték a klasszikus üzemi modellben.PolicyBased: PolicyBased VPNs were previously called static routing gateways in the classic deployment model. A házirend-alapú VPN-ek az IPsec-alagutakon keresztül titkosítják és irányítják a csomagokat a helyszíni hálózat és az Azure VNet közötti címtartomány-kombinációkkal konfigurált IPsec-házirendek alapján.Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the IPsec policies configured with the combinations of address prefixes between your on-premises network and the Azure VNet. A házirend (vagy forgalomválasztó) általában egy hozzáférési listaként van megadva a VPN-eszköz konfigurációjában.The policy (or traffic selector) is usually defined as an access list in the VPN device configuration. A házirendalapú VPN-típus értéke házirendalapú.The value for a PolicyBased VPN type is PolicyBased. Házirendalapú VPN használata esetén vegye figyelembe a következő korlátozásokat:When using a PolicyBased VPN, keep in mind the following limitations:

    • A házirendalapú VPN-EK csak az alapszintű átjáró SKU-ban használhatók.PolicyBased VPNs can only be used on the Basic gateway SKU. Ez a VPN-típus nem kompatibilis a többi átjáró SKU-val.This VPN type is not compatible with other gateway SKUs.
    • Házirendalapú VPN használata esetén csak 1 alagút tartozhat.You can have only 1 tunnel when using a PolicyBased VPN.
    • A házirendalapú VPN-eket csak S2S-kapcsolatokhoz használhatja, és csak bizonyos konfigurációkhoz.You can only use PolicyBased VPNs for S2S connections, and only for certain configurations. A legtöbb VPN Gateway konfigurációhoz Útvonalalapú VPN szükséges.Most VPN Gateway configurations require a RouteBased VPN.
  • Útvonalalapú: a útvonalalapú VPN-eket korábban dinamikus útválasztási átjáróknak nevezték a klasszikus üzemi modellben.RouteBased: RouteBased VPNs were previously called dynamic routing gateways in the classic deployment model. A Útvonalalapú VPN-ek az IP-továbbítás vagy az útválasztási tábla "útvonalak" elemeit használva irányítják a csomagokat a megfelelő bújtatási felületekbe.RouteBased VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. Az alagútkapcsolatok ezután titkosítják vagy visszafejtik az alagutakba bemenő vagy onnan kijövő csomagokat.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. A Útvonalalapú VPN-EK házirendje (vagy forgalmi választója) bármely-a-any (vagy Wild Cards) típusúként van konfigurálva.The policy (or traffic selector) for RouteBased VPNs are configured as any-to-any (or wild cards). A Útvonalalapú VPN-típus értéke útvonalalapú.The value for a RouteBased VPN type is RouteBased.

A következő PowerShell-példa az -VpnType as útvonalalapú adja meg.The following PowerShell example specifies the -VpnType as RouteBased. Egy átjáró létrehozásakor biztosítania kell, hogy -VpnType megfeleljen a konfigurációnak.When you are creating a gateway, you must make sure that the -VpnType is correct for your configuration.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Az átjáróra vonatkozó követelményekGateway requirements

A következő táblázat a házirendalapú és a Útvonalalapú VPN-átjárók követelményeit sorolja fel.The following table lists the requirements for PolicyBased and RouteBased VPN gateways. Ez a tábla a Resource Managerre és a klasszikus üzembe helyezési modellre is érvényes.This table applies to both the Resource Manager and classic deployment models. A klasszikus modell esetében a házirendalapú VPN-átjárók ugyanazok, mint a statikus átjárók, és az útválasztó-alapú átjárók ugyanazok, mint a dinamikus átjárók.For the classic model, PolicyBased VPN gateways are the same as Static gateways, and Route-based gateways are the same as Dynamic gateways.

Alapszintű VPN Gateway házirendalapúPolicyBased Basic VPN Gateway Alapszintű VPN Gateway ÚtvonalalapúRouteBased Basic VPN Gateway Útvonalalapú standard VPN GatewayRouteBased Standard VPN Gateway Útvonalalapú nagy teljesítményű VPN GatewayRouteBased High Performance VPN Gateway
Helyek közötti kapcsolat (S2S)Site-to-Site connectivity (S2S) Házirendalapú VPN-konfigurációPolicyBased VPN configuration Útvonalalapú VPN-konfigurációRouteBased VPN configuration Útvonalalapú VPN-konfigurációRouteBased VPN configuration Útvonalalapú VPN-konfigurációRouteBased VPN configuration
Pont–hely típusú kapcsolat (P2S)Point-to-Site connectivity (P2S) Nem támogatottNot supported Támogatott (párhuzamosan használható az S2S mellett)Supported (Can coexist with S2S) Támogatott (párhuzamosan használható az S2S mellett)Supported (Can coexist with S2S) Támogatott (párhuzamosan használható az S2S mellett)Supported (Can coexist with S2S)
Hitelesítési módszerAuthentication method Előre megosztott kulcsPre-shared key Előre megosztott kulcs S2S-kapcsolatokhoz, tanúsítvány P2S-kapcsolatokhozPre-shared key for S2S connectivity, Certificates for P2S connectivity Előre megosztott kulcs S2S-kapcsolatokhoz, tanúsítvány P2S-kapcsolatokhozPre-shared key for S2S connectivity, Certificates for P2S connectivity Előre megosztott kulcs S2S-kapcsolatokhoz, tanúsítvány P2S-kapcsolatokhozPre-shared key for S2S connectivity, Certificates for P2S connectivity
S2S-kapcsolatok maximális számaMaximum number of S2S connections 11 1010 1010 3030
P2S-kapcsolatok maximális számaMaximum number of P2S connections Nem támogatottNot supported 128128 128128 128128
Aktív útválasztási támogatás (BGP) (*)Active routing support (BGP) (*) Nem támogatottNot supported Nem támogatottNot supported TámogatottSupported TámogatottSupported

(*) A BGP nem támogatott a klasszikus üzemi modellben.(*) BGP is not supported for the classic deployment model.

Átjáró alhálózataGateway subnet

A VPN-átjáró létrehozása előtt létre kell hoznia egy átjáró-alhálózatot.Before you create a VPN gateway, you must create a gateway subnet. Az átjáró-alhálózat tartalmazza azokat az IP-címeket, amelyeket a Virtual Network Gateway-beli virtuális gépek és szolgáltatások használnak.The gateway subnet contains the IP addresses that the virtual network gateway VMs and services use. A virtuális hálózati átjáró létrehozásakor az átjáróként működő virtuális gépek üzembe helyezése az átjáró alhálózatán történik, és a VPN-átjáró szükséges beállításaival van konfigurálva.When you create your virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the required VPN gateway settings. Soha ne helyezzen üzembe semmilyen mást (például további virtuális gépeket) az átjáró-alhálózathoz.Never deploy anything else (for example, additional VMs) to the gateway subnet. A megfelelő működéshez az átjáró alhálózatának "GatewaySubnet" nevűnek kell lennie.The gateway subnet must be named 'GatewaySubnet' to work properly. A "GatewaySubnet" átjáró alhálózatának elnevezése lehetővé teszi, hogy az Azure tudja, hogy ez az alhálózat a virtuális hálózati átjárók és a szolgáltatások üzembe helyezéséhez.Naming the gateway subnet 'GatewaySubnet' lets Azure know that this is the subnet to deploy the virtual network gateway VMs and services to.

Megjegyzés

A GatewaySubnet 0.0.0.0/0 célhelykel és NSG rendelkező felhasználó által megadott útvonalak nem támogatottak.User-defined routes with a 0.0.0.0/0 destination and NSGs on the GatewaySubnet are not supported. Az ezzel a konfigurációval létrehozott átjárókat a rendszer letiltja a létrehozásból.Gateways created with this configuration will be blocked from creation. Az átjárók a megfelelő működés érdekében a felügyeleti vezérlőkhöz való hozzáférést igényelnek.Gateways require access to the management controllers in order to function properly. A BGP-útvonal propagálását "enabled" értékre kell állítani a GatewaySubnet az átjáró elérhetőségének biztosítása érdekében.BGP Route Propagation should be set to "Enabled" on the GatewaySubnet to ensure availability of the gateway. Ha letiltott értékre van állítva, az átjáró nem fog működni.If this is set to disabled, the gateway will not function.

Az átjáróalhálózat létrehozásakor meg kell adnia, hogy hány IP-címet tartalmaz az alhálózat.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. Az átjáró-alhálózat IP-címei az átjáró virtuális gépei és az átjáró szolgáltatások számára vannak lefoglalva.The IP addresses in the gateway subnet are allocated to the gateway VMs and gateway services. Egyes konfigurációknak a többinél nagyobb számú IP-címre van szükségük.Some configurations require more IP addresses than others.

Az átjáró-alhálózat méretének tervezésekor tekintse meg a létrehozni kívánt konfiguráció dokumentációját.When you are planning your gateway subnet size, refer to the documentation for the configuration that you are planning to create. A ExpressRoute/VPN Gateway egyazon konfiguráció például nagyobb átjáró-alhálózatot igényel, mint a legtöbb más konfiguráció.For example, the ExpressRoute/VPN Gateway coexist configuration requires a larger gateway subnet than most other configurations. Emellett érdemes lehet gondoskodni arról, hogy az átjáró-alhálózat elegendő IP-címet tartalmazzon a lehetséges jövőbeli további konfigurációkhoz.Additionally, you may want to make sure your gateway subnet contains enough IP addresses to accommodate possible future additional configurations. Míg az átjáró-alhálózatot kisebb as/29-ként is létrehozhatja, javasoljuk, hogy hozzon létre egy/27-ös vagy nagyobb átjáró-alhálózatot (/27,/26 stb.), ha a rendelkezésre álló címtartomány erre van szüksége.While you can create a gateway subnet as small as /29, we recommend that you create a gateway subnet of /27 or larger (/27, /26 etc.) if you have the available address space to do so. Ez a legtöbb konfigurációt kielégíti.This will accommodate most configurations.

A következő Resource Manager PowerShell-példa egy GatewaySubnet nevű átjáró-alhálózatot mutat be.The following Resource Manager PowerShell example shows a gateway subnet named GatewaySubnet. Láthatja, hogy a CIDR jelölése egy/27, amely elegendő IP-címet biztosít a jelenleg létező konfigurációkhoz.You can see the CIDR notation specifies a /27, which allows for enough IP addresses for most configurations that currently exist.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Fontos

Amikor átjáró-alhálózatokkal dolgozik, kerülje a hálózati biztonsági csoportok (NSG) társítását az átjáró-alhálózathoz.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. Ha hálózati biztonsági csoportot társít ehhez az alhálózathoz, előfordulhat, hogy az Virtual Network átjáró (VPN, Express Route Gateway) leállítja a várt működést.Associating a network security group to this subnet may cause your Virtual Network gateway(VPN, Express Route gateway) to stop functioning as expected. További információ a hálózati biztonsági csoportokról: What is a Network Security Group? (Mi az a hálózati biztonsági csoport?)For more information about network security groups, see What is a network security group?

Helyi hálózati átjárókLocal network gateways

A helyi hálózati átjáró eltér a virtuális hálózati átjárótól.A local network gateway is different than a virtual network gateway. A VPN-átjárók konfigurációjának létrehozásakor a helyi hálózati átjáró általában a helyszíni hálózatot és a megfelelő VPN-eszközt jelöli.When creating a VPN gateway configuration, the local network gateway usually represents your on-premises network and the corresponding VPN device. A klasszikus üzembe helyezési modellben a helyi hálózati átjárót a Helyi névvel illettük.In the classic deployment model, the local network gateway was referred to as a Local Site.

Adja meg a helyi hálózati átjáró nevét, a nyilvános IP-címet vagy a helyszíni VPN-eszköz teljes tartománynevét (FQDN), és adja meg a helyszíni helyen található címek előtagjait.You give the local network gateway a name, the public IP address or the fully qualified domain name (FQDN) of the on-premises VPN device, and specify the address prefixes that are located on the on-premises location. Az Azure a hálózati forgalomhoz tartozó célcím előtagjait tekinti át, a helyi hálózati átjáróhoz megadott konfigurációt, és ennek megfelelően irányítja a csomagokat.Azure looks at the destination address prefixes for network traffic, consults the configuration that you have specified for your local network gateway, and routes packets accordingly. Ha Border Gateway Protocolt (BGP) használ a VPN-eszközön, meg kell adnia a VPN-eszköz BGP-társ IP-címét és a helyszíni hálózatának autonóm rendszerbeli számát (ASN).If you use Border Gateway Protocol (BGP) on your VPN device, you will provide the BGP peer IP address of your VPN device and the autonomous system number (ASN) of your on premises network. Helyi hálózati átjárókat is megadhat a VPN Gateway-kapcsolatokat használó VNet-VNet konfigurációkhoz.You also specify local network gateways for VNet-to-VNet configurations that use a VPN gateway connection.

A következő PowerShell-példa egy új helyi hálózati átjárót hoz létre:The following PowerShell example creates a new local network gateway:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Előfordulhat, hogy módosítania kell a helyi hálózati átjáró beállításait.Sometimes you need to modify the local network gateway settings. Például a címtartomány hozzáadásakor vagy módosításakor, vagy a VPN-eszköz IP-címének megváltozásakor.For example, when you add or modify the address range, or if the IP address of the VPN device changes. Lásd: helyi hálózati átjáró beállításainak módosítása a PowerShell használatával.See Modify local network gateway settings using PowerShell.

REST API-k, PowerShell-parancsmagok és parancssori felületREST APIs, PowerShell cmdlets, and CLI

A REST API-k, a PowerShell-parancsmagok vagy az Azure CLI VPN Gateway konfigurációkhoz való használata esetén a következő lapokon talál további technikai forrásokat és konkrét szintaxisi követelményeket:For additional technical resources and specific syntax requirements when using REST APIs, PowerShell cmdlets, or Azure CLI for VPN Gateway configurations, see the following pages:

KlasszikusClassic Resource ManagerResource Manager
PowerShellPowerShell PowerShellPowerShell
REST APIREST API REST APIREST API
Nem támogatottNot supported Azure CLIAzure CLI

Következő lépésekNext steps

További információ az elérhető kapcsolatok konfigurációjáról: Tudnivalók a VPN Gatewayról.For more information about available connection configurations, see About VPN Gateway.