パートナー VPN デバイス構成の概要Overview of partner VPN device configurations

この記事では、オンプレミスの VPN デバイスを Azure VPN ゲートウェイに接続するための構成の概要について説明します。This article provides an overview of configuring on-premises VPN devices for connecting to Azure VPN gateways. サンプルの Azure 仮想ネットワークと VPN ゲートウェイの設定を使って、同じパラメーターで異なるオンプレミス VPN デバイス構成に接続する方法を紹介します。A sample Azure virtual network and VPN gateway setup is used to show you how to connect to different on-premises VPN device configurations by using the same parameters.

注意

この記事は、新しい Azure PowerShell Az モジュールを使用するために更新されました。This article has been updated to use the new Azure PowerShell Az module. AzureRM モジュールはまだ使用でき、少なくとも 2020 年 12 月までは引き続きバグ修正が行われます。You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Az モジュールと AzureRM の互換性の詳細については、「Introducing the new Azure PowerShell Az module (新しい Azure PowerShell Az モジュールの概要)」を参照してください。To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。For Az module installation instructions, see Install Azure PowerShell.

デバイスの要件Device requirements

Azure VPN ゲートウェイは、標準の IPsec/IKE プロトコル スイートをサイト間 (S2S) VPN トンネルに使います。Azure VPN gateways use standard IPsec/IKE protocol suites for site-to-site (S2S) VPN tunnels. Azure VPN ゲートウェイで使用される IPsec/IKE パラメーターと暗号アルゴリズムの一覧については、VPN デバイスに関するページを参照してください。For a list of IPsec/IKE parameters and cryptographic algorithms for Azure VPN gateways, see About VPN devices. 暗号化の要件に関する記事の説明に従って、特定の接続を対象に、暗号アルゴリズムとキーの強度を具体的に指定することもできます。You can also specify the exact algorithms and key strengths for a specific connection as described in About cryptographic requirements.

単一の VPN トンネルSingle VPN tunnel

サンプルの 1 つ目の構成は、Azure VPN ゲートウェイとオンプレミスの VPN デバイスとの間にある単一の S2S VPN トンネルから成ります。The first configuration in the sample consists of a single S2S VPN tunnel between an Azure VPN gateway and an on-premises VPN device. 必要に応じて、VPN トンネル上にボーダー ゲートウェイ プロトコル (BGP) を構成することもできます。You can optionally configure the Border Gateway Protocol (BGP) across the VPN tunnel.

単一の S2S VPN トンネルの図

単一の VPN トンネルを設定する具体的な手順については、サイト対サイト接続の構成に関するページを参照してください。For step-by-step instructions to set up a single VPN tunnel, see Configure a site-to-site connection. 以降のセクションでは、サンプル構成の接続パラメーターについて詳しく説明すると共に、基本的な PowerShell スクリプトを紹介します。The following sections specify the connection parameters for the sample configuration and provide a PowerShell script to help you get started.

接続パラメーターConnection parameters

このセクションでは、前のセクションで説明した例に使用されている一連のパラメーターを列挙しています。This section lists the parameters for the examples that are described in the previous sections.

パラメーターParameter Value
仮想ネットワーク アドレス プレフィックスVirtual network address prefixes 10.11.0.0/1610.11.0.0/16
10.12.0.0/1610.12.0.0/16
Azure VPN Gateway IPAzure VPN gateway IP Azure VPN Gateway IPAzure VPN Gateway IP
オンプレミス アドレス プレフィックスOn-premises address prefixes 10.51.0.0/1610.51.0.0/16
10.52.0.0/1610.52.0.0/16
オンプレミス VPN デバイス IPOn-premises VPN device IP オンプレミス VPN デバイス IPOn-premises VPN device IP
* 仮想ネットワーク BGP ASN* Virtual network BGP ASN 6501065010
* Azure BGP ピア IP* Azure BGP peer IP 10.12.255.3010.12.255.30
* オンプレミス BGP ASN* On-premises BGP ASN 6505065050
* オンプレミス BGP ピア IP* On-premises BGP peer IP 10.52.255.25410.52.255.254

* BGP 専用のオプション パラメーター。* Optional parameter for BGP only.

PowerShell スクリプトのサンプルSample PowerShell script

このセクションでは、作業を始めるときに役立つサンプル スクリプトを提供します。This section provides a sample script to get you started. 詳しい手順については、PowerShell を使用して S2S VPN 接続を作成する方法に関するページを参照してください。For detailed instructions, see Create an S2S VPN connection by using PowerShell.

# Declare your variables

$Sub1          = "Replace_With_Your_Subscription_Name"
$RG1           = "TestRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$VNet1ASN      = 65010
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GWIPName1     = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15  = "VNet1toSite5"
$LNGName5      = "Site5"
$LNGPrefix50   = "10.52.255.254/32"
$LNGPrefix51   = "10.51.0.0/16"
$LNGPrefix52   = "10.52.0.0/16"
$LNGIP5        = "Your_VPN_Device_IP"
$LNGASN5       = 65050
$BGPPeerIP5    = "10.52.255.254"

# Connect to your subscription and create a new resource group

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

# Create virtual network

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

# Create VPN gateway

$gwpip1    = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1     = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1   = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN

# Create local network gateway

New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5

# Create the S2S VPN connection

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False

(オプション) UsePolicyBasedTrafficSelectors でカスタム IPsec/IKE ポリシーを使用する(Optional) Use custom IPsec/IKE policy with UsePolicyBasedTrafficSelectors

VPN デバイスが任意の環境間のトラフィック セレクター (ルートベース/VTI ベースの構成など) をサポートしていない場合は、UsePolicyBasedTrafficSelectors オプションを使ってカスタム IPsec/IKE ポリシーを作成します。If your VPN devices don't support any-to-any traffic selectors, such as route-based or VTI-based configurations, create a custom IPsec/IKE policy with the UsePolicyBasedTrafficSelectors option.

重要

接続で UsePolicyBasedTrafficSelectors オプションを有効にするためには、IPsec/IKE ポリシーを作成する必要があります。You must create an IPsec/IKE policy to enable the UsePolicyBasedTrafficSelectors option on the connection.

このサンプル スクリプトでは、次のアルゴリズムとパラメーターを使用して IPsec/IKE ポリシーが作成されます。The sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2:AES256、SHA384、DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPsec:AES256、SHA1、PFS24、SA の有効期間 7,200 秒および 20,480,000 KB (20 GB)IPsec: AES256, SHA1, PFS24, SA Lifetime 7,200 seconds, and 20,480,000 KB (20 GB)

このスクリプトでは、接続に IPsec/IKE ポリシーを適用して UsePolicyBasedTrafficSelectors オプションを有効にします。The script applies the IPsec/IKE policy and enables the UsePolicyBasedTrafficSelectors option on the connection.

$ipsecpolicy5 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True

(オプション) S2S VPN 接続で BGP を使用する(Optional) Use BGP on S2S VPN connection

S2S VPN 接続を作成するとき、必要に応じて VPN ゲートウェイに BGP を使用することができます。When you create the S2S VPN connection, you can optionally use BGP for the VPN gateway. このアプローチには 2 つの違いがあります。This approach has two differences:

  • オンプレミスのアドレス プレフィックスには、1 つのホスト アドレスを指定できます。The on-premises address prefixes can be a single host address. オンプレミスの BGP ピア IP アドレスは次のように指定します。The on-premises BGP peer IP address is specified as follows:

    New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
    
  • 接続を作成するときに、 -EnableBGP オプションを $True に設定する必要があります。When you create the connection, you must set the -EnableBGP option to $True:

    New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
    

次の手順Next steps

アクティブ/アクティブ VPN ゲートウェイを設定する具体的な手順については、クロスプレミス接続と VNet 間接続にアクティブ/アクティブ VPN ゲートウェイを構成する方法に関するページを参照してください。For step-by-step instructions to set up active-active VPN gateways, see Configuring active-active VPN gateways for cross-premises and VNet-to-VNet connections.