Mi az a VPN-átjáró?

A VPN Gateway titkosított forgalmat küld egy Azure-beli virtuális hálózat és egy helyszíni hely között a nyilvános interneten keresztül. A VPN Gateway használatával titkosított adatforgalmat is küldhet az Azure-beli virtuális hálózatok között a Microsoft-hálózaton keresztül. A VPN-átjáró a virtuális hálózati átjárók egy adott típusa. Minden egyes virtuális hálózat kizárólag egy VPN-átjáróval rendelkezhet. Egy VPN-átjáróhoz azonban létrehozhat több kapcsolatot is. Amikor többhelyes csatlakozást hoz létre egyetlen VPN-átjáróhoz, az összes VPN-alagút az elérhető sávszélességen osztozkodik.

Mi az a virtuális hálózati átjáró?

A virtuális hálózati átjáró két vagy több virtuális gépből áll, amelyek automatikusan konfigurálva és üzembe helyezve vannak egy ön által létrehozott, átjáróalhálózatnak nevezett alhálózaton. Az átjáró virtuális gépei útválasztási táblákat tartalmaznak, és meghatározott átjárószolgáltatásokat futtatnak. Közvetlenül nem konfigurálhatja a virtuális hálózati átjáró részét képező virtuális gépeket, bár az átjáró konfigurálásakor megadott beállítások hatással vannak a létrehozott átjáró virtuális gépekre.

Mi a VPN-átjáró?

Virtuális hálózati átjáró konfigurálásakor egy olyan beállítást kell konfigurálni, amely meghatározza az átjáró típusát. Az átjáró típusa határozza meg a virtuális hálózati átjáró használatát és az átjáró által végrehajtott műveleteket. A "Vpn" átjárótípus azt adja meg, hogy a létrehozott virtuális hálózati átjáró típusa "VPN-átjáró". Ez megkülönbözteti az ExpressRoute-átjárótól, amely más átjárótípust használ. Egy virtuális hálózat két virtuális hálózati átjáróval rendelkezhet; egy VPN-átjáró és egy ExpressRoute-átjáró. További információért lásd: Átjárótípusok.

VPN-átjáró létrehozásakor az átjáró virtuális gépei az átjáró alhálózatán lesznek üzembe helyezve, és a megadott beállításokkal vannak konfigurálva. Ez a folyamat a kiválasztott átjáró termékváltozatától függően akár 45 percet is igénybe vehet. Miután létrehozott egy VPN-átjárót, létrehozhat egy IPsec/IKE VPN-alagútkapcsolatot az adott VPN-átjáró és egy másik VPN-átjáró (VNet–VNet) között, vagy létrehozhat egy létesítmények közötti IPsec/IKE VPN-alagútkapcsolatot a VPN-átjáró és egy helyszíni VPN-eszköz között (helyek között). Pont–hely VPN-kapcsolatot is létrehozhat (VPN OpenVPN, IKEv2 vagy SSTP protokollon keresztül), amellyel távoli helyről, például konferenciáról vagy otthonról csatlakozhat a virtuális hálózathoz.

VPN Gateway átjáró konfigurálása

A VPN-átjárós kapcsolatok több erőforrást használnak, amelyek speciális beállításokkal konfigurálhatók. Az erőforrások többsége külön konfigurálható, néhány erőforrást azonban egy bizonyos sorrendben kell konfigurálni.

Kapcsolatok

Mivel a VPN Gateway használatával több kapcsolatkonfigurációt is létrehozhat, meg kell határoznia, hogy melyik konfiguráció felel meg a legjobban az igényeinek. A pont–hely, a helyek közötti és az egyidejű ExpressRoute-/helyek közötti kapcsolatok mind különböző utasításokra és konfigurációs követelményekre vonatkoznak. A kapcsolati diagramokat és a konfigurációs lépésekre mutató hivatkozásokat a VPN Gateway tervezésében találja.

Tervezési táblázat

Az alábbi táblázat segíthet eldönteni, melyik az Ön megoldásához legmegfelelőbb kapcsolat. Vegye figyelembe, hogy az ExpressRoute nem része a VPN Gatewaynek, de szerepel a táblázatban.

Pont–hely kapcsolat Helyek közötti kapcsolat ExpressRoute
Az Azure által támogatott szolgáltatások Cloud Services és Virtual Machines Cloud Services és Virtual Machines Szolgáltatáslista
Jellemző sávszélességek Az átjáró termékváltozata alapján < Általában 10 Gb/s összesítés 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps, 100 Gbps
Támogatott protokollok Secure Sockets Tunneling Protocol (SSTP), OpenVPN és IPsec IPsec Közvetlen kapcsolat VLAN-okon, NSP-k VPN technológiáin keresztül (MPLS, VPLS,...)
Útválasztás Útvonalalapú (dinamikus) Támogatjuk a szabályzatalapú (statikus útválasztás) és az útvonalalapú (dinamikus útválasztási VPN) útválasztást BGP
Kapcsolat rugalmassága aktív-passzív aktív-passzív vagy aktív-aktív aktív-aktív
Tipikus használati eset Azure-beli virtuális hálózatok biztonságos elérése távoli felhasználók számára Fejlesztési/tesztelési/laborforgatókönyvek és kis- és közepes méretű éles számítási feladatok felhőszolgáltatásokhoz és virtuális gépekhez Hozzáférés az összes Azure-szolgáltatáshoz (ellenőrzött lista), nagyvállalati szintű és kritikus fontosságú számítási feladatokhoz, biztonsági mentésekhez, big data adatokhoz és az Azure-hoz DR-webhelyként
SLA SLA SLA SLA
Díjszabás Díjszabás Díjszabás Díjszabás
Műszaki dokumentáció VPN Gateway VPN Gateway ExpressRoute
Gyakori kérdések VPN Gateway – gyakori kérdések VPN Gateway – gyakori kérdések ExpressRoute – Gyakori kérdések

Beállítások

Az egyes erőforrások megfelelő beállítása kritikus fontosságú a sikeres kapcsolat létrehozásához. További információ a VPN Gateway önálló erőforrásairól és beállításairól: About VPN Gateway settings (Információk a VPN Gateway beállításairól). A cikk az átjáró-, a VPN- és a kapcsolattípusokkal, az átjáró-alhálózatokkal, a helyi hálózati átjárókkal, az átjáró-termékváltozatokkal, valamint a különböző erőforrások beállításaival kapcsolatos további hasznos információkat tartalmaz.

Üzembe helyezési eszközök

Az erőforrások létrehozásának és konfigurálásának megkezdéséhez használjon egy konfigurációs eszközt, például az Azure Portalt. A további erőforrások konfigurálásához, vagy adott esetekben a létező erőforrások módosításához később átválthat egy másik eszközre, például a PowerShellre. Jelenleg nem lehet a minden erőforrást és erőforrás-beállítást az Azure Portalon konfigurálni. Az egyes kapcsolati topológiákhoz tartozó cikkekben lévő utasítások egyértelműsítik, hogy mikor van szükség egy speciális konfigurációs eszközre.

Átjáró-termékváltozatok

Egy virtuális hálózati átjáró létrehozásakor meg kell adnia a használni kívánt termékváltozatot. Válassza ki a számítási feladatok, az átviteli sebesség, a funkciók és a szolgáltatói szerződés igényeinek megfelelő termékváltozatot.

Átjáró-termékváltozatok alagút, kapcsolat és átviteli sebesség szerint

VPN
Átjáró
Generáció
Termékváltozat S2S/Virtuális hálózatok közötti kapcsolat
Alagutak
P2S
SSTP-kapcsolatok
P2S
IKEv2/OpenVPN-kapcsolatok
Összesítés
Átviteli sebesség teljesítménytesztje
BGP Zónaredundáns
1. generáció Basic Legfeljebb 10 Legfeljebb 128 Nem támogatott 100 Mbps Nem támogatott No
1. generáció VpnGw1 Legfeljebb 30 Legfeljebb 128 Legfeljebb 250 650 Mbit/s Támogatott No
1. generáció VpnGw2 Legfeljebb 30 Legfeljebb 128 Legfeljebb 500 1 Gbit/s Támogatott No
1. generáció VpnGw3 Legfeljebb 30 Legfeljebb 128 Legfeljebb 1000 1,25 Gbps Támogatott No
1. generáció VpnGw1AZ Legfeljebb 30 Legfeljebb 128 Legfeljebb 250 650 Mbit/s Támogatott Yes
1. generáció VpnGw2AZ Legfeljebb 30 Legfeljebb 128 Legfeljebb 500 1 Gbit/s Támogatott Yes
1. generáció VpnGw3AZ Legfeljebb 30 Legfeljebb 128 Legfeljebb 1000 1,25 Gbps Támogatott Yes
2. generáció VpnGw2 Legfeljebb 30 Legfeljebb 128 Legfeljebb 500 1,25 Gbps Támogatott No
2. generáció VpnGw3 Legfeljebb 30 Legfeljebb 128 Legfeljebb 1000 2,5 Gb/s Támogatott No
2. generáció VpnGw4 Legfeljebb 100* Legfeljebb 128 Legfeljebb 5000 5 Gbps Támogatott No
2. generáció VpnGw5 Legfeljebb 100* Legfeljebb 128 Legfeljebb 10000 10 Gbps Támogatott No
2. generáció VpnGw2AZ Legfeljebb 30 Legfeljebb 128 Legfeljebb 500 1,25 Gbps Támogatott Yes
2. generáció VpnGw3AZ Legfeljebb 30 Legfeljebb 128 Legfeljebb 1000 2,5 Gb/s Támogatott Yes
2. generáció VpnGw4AZ Legfeljebb 100* Legfeljebb 128 Legfeljebb 5000 5 Gbps Támogatott Yes
2. generáció VpnGw5AZ Legfeljebb 100* Legfeljebb 128 Legfeljebb 10000 10 Gbps Támogatott Yes

(*) Használja a Virtual WAN-t , ha több mint 100 S2S VPN-alagútra van szüksége.

  • A VpnGw termékváltozatok átméretezése ugyanabban a generációban engedélyezett, kivéve az alapszintű termékváltozat átméretezését. Az alapszintű termékváltozat egy örökölt termékváltozat, és funkciókorlátozásokkal rendelkezik. Az Alapszintű csomagról egy másik termékváltozatra való áttéréshez törölnie kell az alapszintű termékváltozatú VPN-átjárót, és létre kell hoznia egy új átjárót a kívánt létrehozási és termékváltozat-méretkombinációval. (lásd : Régi termékváltozatok használata).

  • Ezek a kapcsolati korlátok egymástól függetlenek. Például egy VpnGw1 termékváltozat esetén rendelkezhet 128 SSTP-kapcsolattal és 250 IKEv2-kapcsolattal is.

  • A díjakról a Díjszabás oldalon tájékozódhat.

  • A szolgáltatói szerződésekről információt az SLA (szolgáltatói szerződés) oldalán találhat.

  • Ha sok P2S-kapcsolattal rendelkezik, az negatív hatással lehet az S2S-kapcsolatokra. Az összesített átviteli sebesség teljesítménytesztjei az S2S- és P2S-kapcsolatok kombinációjának maximalizálásával lettek tesztelve. Egyetlen P2S- vagy S2S-kapcsolat sokkal alacsonyabb átviteli sebességgel rendelkezhet.

  • Vegye figyelembe, hogy az internetes forgalmi feltételek és az alkalmazás viselkedése miatt nem minden teljesítményteszt garantált

Annak érdekében, hogy ügyfeleink megismerjék a termékváltozatok relatív teljesítményét különböző algoritmusokkal, nyilvánosan elérhető iPerf és CTSTraffic eszközöket használtunk a helyek közötti kapcsolatok teljesítményének mérésére. Az alábbi táblázat a VpnGw termékváltozatok teljesítménytesztjeinek eredményeit sorolja fel. Amint látható, a legjobb teljesítmény akkor érhető el, ha GCMAES256 algoritmust használtunk az IPsec-titkosításhoz és az integritáshoz is. Átlagos teljesítmény érhető el az AES256 IPsec-titkosításhoz és sha256 integritáshoz való használatakor. Amikor a DES3-at használtuk az IPsec-titkosításhoz, az SHA256-ot pedig az integritáshoz, a legalacsonyabb teljesítményt kaptuk.

A VPN-alagút egy VPN Gateway-példányhoz csatlakozik. A fenti átviteli sebességtáblában minden egyes példány átviteli sebessége szerepel, és összesítve érhető el az adott példányhoz csatlakozó összes alagútban.

Az alábbi táblázat a megfigyelt sávszélességet és a csomagok másodpercenkénti átviteli sebességét mutatja alagútonként a különböző átjáró-termékváltozatok esetében. Minden tesztelés az Azure-on belüli átjárók (végpontok) között, különböző régiókban, 100 kapcsolattal és standard terhelési feltételek mellett történt.

Generáció Termékváltozat Algoritmusok
Használt
Teljesítmény
alagútonként figyelve
Csomagok másodpercenként alagútonként
Megfigyelt
1. generáció VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbit/s
500 Mbps
130 Mbps
62,000
47,000
12 000
1. generáció VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gb/s
650 Mbit/s
140 Mbps
100.000
61,000
13,000
1. generáció VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
1. generáció VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbit/s
500 Mbps
130 Mbps
62,000
47,000
12 000
1. generáció VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gb/s
650 Mbit/s
140 Mbps
110,000
61,000
13,000
1. generáció VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
2. generáció VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12 000
2. generáció VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gb/s
700 Mbps
140 Mbps
140,000
66,000
13,000
2. generáció VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/s
700 Mbps
140 Mbps
220,000
66,000
13,000
2. generáció VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/s
700 Mbps
140 Mbps
220,000
66,000
13,000
2. generáció VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12 000
2. generáció VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gb/s
700 Mbps
140 Mbps
140,000
66,000
13,000
2. generáció VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/s
700 Mbps
140 Mbps
220,000
66,000
13,000
2. generáció VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/s
700 Mbps
140 Mbps
220,000
66,000
13,000

Rendelkezésre állási zónák

A VPN-átjárók üzembe helyezhetők az Azure rendelkezésre állási zónáiban. Ez rugalmasságot, méretezhetőséget és magasabb szintű rendelkezésre állást biztosít a virtuális hálózati átjárók számára. Az átjárók Azure-beli rendelkezésre állási zónákban történő üzembe helyezésével fizikailag és logikailag is elválaszthatók a régióban található átjárók, miközben az Azure-ral létesített helyszíni hálózati kapcsolat megvédhető a zónaszintű hibáktól. Lásd : Az Azure Rendelkezésre állási zónák zónaredundáns virtuális hálózati átjáróinak ismertetése.

Díjszabás

Két dologért fizet: a virtuális hálózati átjáró óránkénti számítási költségeiért és a virtuális hálózati átjáró kimenő adatátviteléért. A díjakról a Díjszabás oldalon tájékozódhat. Az örökölt átjáró-termékváltozat díjszabását az ExpressRoute díjszabási oldalán találja, és görgessen a Virtuális hálózati átjárók szakaszhoz.

A virtuális hálózati átjáró számítási költségei
Minden virtuális hálózati átjáró óránkénti számítási költségekkel rendelkezik. Az ár a virtuális hálózati átjáró létrehozáskor megadott termékváltozatán alapul. A költség magára az átjáróra vonatkozik, és az átjárón áthaladó adatátvitelen felül értendő. Az aktív-aktív telepítés költsége megegyezik az aktív-passzív beállítással.

Adatátviteli költségek
Az adatátviteli költségek kiszámítása a forrás virtuális hálózati átjáróról származó kimenő forgalmon alapul.

  • Ha a helyszíni VPN-eszközre küld forgalmat, az internetes kimenő adatátviteli sebesség lesz felszámítva.
  • Ha különböző régiókban lévő virtuális hálózatok közötti forgalmat küld, a díjszabás a régión alapul.
  • Ha csak az azonos régióban lévő virtuális hálózatok közötti forgalmat küldi, nincs adatköltség. Az azonos régióban található virtuális hálózatok közötti forgalom ingyenes.

További információ a VPN Gateway átjáró-termékváltozatokról: Gateway SKUs (Átjáró-termékváltozatok).

GYIK

A VPN Gateway-re vonatkozó gyakori kérdésekért lásd a VPN Gateway gyakori kérdéseit.

Újdonságok

Iratkozzon fel az RSS-hírcsatornára, és tekintse meg a VPN Gateway legújabb funkciófrissítéseit az Azure Updates oldalon.

Következő lépések