Over VPN Gateway configuratie-instellingen
Een VPN-gateway is een type virtuele netwerkgateway die versleuteld verkeer tussen uw virtuele netwerk en uw on-premises locatie verzendt via een openbare verbinding. U kunt ook een VPN-gateway gebruiken om verkeer tussen virtuele netwerken te verzenden via de Azure-backbone.
Een VPN-gatewayverbinding is afhankelijk van de configuratie van meerdere resources, die elk configureerbare instellingen bevatten. In de secties in dit artikel worden de resources en instellingen besproken die betrekking hebben op een VPN-gateway voor een virtueel netwerk dat is gemaakt in Resource Manager implementatiemodel. U vindt beschrijvingen en topologiediagrammen voor elke verbindingsoplossing in het VPN Gateway informatie.
Met de waarden in dit artikel worden VPN-gateways (virtuele netwerkgateways die gebruikmaken van -GatewayType Vpn) toegepast. In dit artikel worden niet alle gatewaytypen of zone-redundante gateways beschreven.
Zie Gateways for ExpressRoute (Gatewaysvoor ExpressRoute) voor waarden die van toepassing zijn op Virtual Network -GatewayType 'ExpressRoute'.
Zie Over zone-redundante gateways voor zone-redundante gateways.
Zie About highly available connectivity (Over zeer beschikbare connectiviteit) voor actief-actief-gateways.
Zie Virtual WAN voor meer Virtual WAN.
Gatewaytypen
Elk virtueel netwerk kan slechts één virtuele netwerkgateway van elk type hebben. Wanneer u een virtuele netwerkgateway maakt, moet u ervoor zorgen dat het gatewaytype juist is voor uw configuratie.
De beschikbare waarden voor -GatewayType zijn:
- VPN
- ExpressRoute
Voor een VPN-gateway is vpn -GatewayType vereist.
Voorbeeld:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Gateway-SKU's
Wanneer u een virtuele netwerkgateway maakt, moet u de gewenste gateway-SKU opgeven. Selecteer de SKU die aan uw vereisten voldoet op basis van de typen werkbelasting, doorvoer, functies en SLA's. Raadpleeg Gateway-SKU's van Azure-beschikbaarheidszones voor virtuele netwerkgateway-SKU's in Azure-beschikbaarheidszones.
Gateway-SKU's per tunnel, verbinding en doorvoer
| VPN- gateway- generatie |
SKU | S2S-/VNet-naar-VNet- tunnels |
P2S SSTP-verbindingen |
P2S IKEv2/OpenVPN-verbindingen |
Benchmark cumulatieve doorvoer |
BGP | Zone-redundant |
|---|---|---|---|---|---|---|---|
| Generatie1 | Basic | Met maximaal 10 | Met maximaal 128 | Niet ondersteund | 100 Mbps | Niet ondersteund | Nee |
| Generatie1 | VpnGw1 | Met maximaal 30 | Met maximaal 128 | Met maximaal 250 | 650 Mbps | Ondersteund | Nee |
| Generatie1 | VpnGw2 | Met maximaal 30 | Met maximaal 128 | Met maximaal 500 | 1 Gbps | Ondersteund | Nee |
| Generatie1 | VpnGw3 | Met maximaal 30 | Met maximaal 128 | Met maximaal 1000 | 1,25 Gbps | Ondersteund | Nee |
| Generatie1 | VpnGw1AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 250 | 650 Mbps | Ondersteund | Ja |
| Generatie1 | VpnGw2AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 500 | 1 Gbps | Ondersteund | Ja |
| Generatie1 | VpnGw3AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 1000 | 1,25 Gbps | Ondersteund | Ja |
| Generatie2 | VpnGw2 | Met maximaal 30 | Met maximaal 128 | Met maximaal 500 | 1,25 Gbps | Ondersteund | Nee |
| Generatie2 | VpnGw3 | Met maximaal 30 | Met maximaal 128 | Met maximaal 1000 | 2,5 Gbps | Ondersteund | Nee |
| Generatie2 | VpnGw4 | Met maximaal 100* | Met maximaal 128 | Met maximaal 5000 | 5 Gbps | Ondersteund | Nee |
| Generatie2 | VpnGw5 | Met maximaal 100* | Met maximaal 128 | Met maximaal 10.000 | 10 Gbps | Ondersteund | Nee |
| Generatie2 | VpnGw2AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 500 | 1,25 Gbps | Ondersteund | Ja |
| Generatie2 | VpnGw3AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 1000 | 2,5 Gbps | Ondersteund | Ja |
| Generatie2 | VpnGw4AZ | Met maximaal 100* | Met maximaal 128 | Met maximaal 5000 | 5 Gbps | Ondersteund | Ja |
| Generatie2 | VpnGw5AZ | Met maximaal 100* | Met maximaal 128 | Met maximaal 10.000 | 10 Gbps | Ondersteund | Ja |
(*) Gebruik Virtual WAN als u meer dan 100 S2S VPN-tunnels nodig hebt.
Het wijzigen van de grootte van VpnGw-SKU's is toegestaan binnen dezelfde generatie, behalve het wijzigen van de grootte van de Basic-SKU. De Basic-SKU is een verouderde SKU waarvoor beperkingen in de functionaliteit gelden. Als u van de Basic-SKU wilt overstappen op een andere VpnGw-SKU, moet u de VPN-gateway van de Basic-SKU verwijderen en een nieuwe gateway maken met de gewenste combinatie van generatie en SKU-grootte. U kunt de standaardgateway alleen het be groot maken naar een andere verouderde SKU (zie Werken met verouderde SKU's).
Er gelden afzonderlijke verbindingslimieten. U kunt bijvoorbeeld 128 SSTP-verbindingen en ook 250 IKEv2-verbindingen hebben in een SKU van het type VpnGw1.
Prijsinformatie vindt u op de pagina Prijzen.
Gegevens over de SLA (Service Level Agreement) vindt u op de pagina SLA.
In één tunnel kan een maximale doorvoer van 1 Gbps worden bereikt. De benchmark voor cumulatieve doorvoer in de bovenstaande tabel is gebaseerd op metingen van meerdere tunnels die via één gateway worden gecombineerd. De Benchmark cumulatieve doorvoer voor een VPN-gateway is gebaseerd op de combinatie S2S + P2S. Als u veel P2S-verbindingen gebruikt, kan dit in verband met doorvoerbeperkingen een negatieve invloed hebben op S2S-verbindingen. In verband met omstandigheden in het internetverkeer en het gedrag van uw toepassing geeft de Benchmark cumulatieve doorvoer geen gegarandeerde doorvoer aan.
We willen onze klanten graag helpen om inzicht te krijgen in de relatieve prestaties van SKU's die gebruikmaken van verschillende algoritmen. Daarom hebben we de prestaties gemeten met de openbaar beschikbare hulpprogramma's iPerf en CTSTraffic. De volgende tabel toont de resultaten van de prestatietests voor de VpnGw-SKU's van generatie 1. Zoals u kunt zien, worden de beste prestaties gerealiseerd bij gebruik van het GCMAES256-algoritme voor zowel IPsec-versleuteling als integriteit. Gemiddelde prestaties worden gerealiseerd bij gebruik van AES256 voor IPsec-versleuteling en SHA256 voor integriteit. De minst goede prestaties worden gerealiseerd bij gebruik van DES3 voor IPsec-versleuteling en SHA256 voor integriteit.
| Generatie | SKU | Gebruikte algoritmen |
Waargenomen doorvoer |
Waargenomen pakketten per seconde per tunnel |
|---|---|---|---|---|
| Generatie1 | VpnGw1 | GCMAES256 AES256 en SHA256 DES3 en SHA256 |
650 Mbps 500 Mbps 120 Mbps |
58.000 50,000 50,000 |
| Generatie1 | VpnGw2 | GCMAES256 AES256 en SHA256 DES3 en SHA256 |
1 Gbps 500 Mbps 120 Mbps |
90,000 80,000 55.000 |
| Generatie1 | VpnGw3 | GCMAES256 AES256 en SHA256 DES3 en SHA256 |
1,25 Gbps 550 Mbps 120 Mbps |
105.000 90,000 60.000 |
| Generatie1 | VpnGw1AZ | GCMAES256 AES256 en SHA256 DES3 en SHA256 |
650 Mbps 500 Mbps 120 Mbps |
58.000 50,000 50,000 |
| Generatie1 | VpnGw2AZ | GCMAES256 AES256 en SHA256 DES3 en SHA256 |
1 Gbps 500 Mbps 120 Mbps |
90,000 80,000 55.000 |
| Generatie1 | VpnGw3AZ | GCMAES256 AES256 en SHA256 DES3 en SHA256 |
1,25 Gbps 550 Mbps 120 Mbps |
105.000 90,000 60.000 |
Notitie
VpnGw-SKU's (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5 en VpnGw5AZ) worden alleen ondersteund voor het Resource Manager-implementatiemodel. Voor klassieke virtuele netwerken moeten de oude (verouderde) SKU's nog altijd worden gebruikt.
- Raadpleeg Werken met VPN-gateway-SKU's (verouderde SKU's) voor informatie over het werken met de verouderde gateway-SKU's (Basic, Standard en HighPerformance).
- Raadpleeg Virtuel Network Gateways voor ExpressRoute voor ExpressRoute-gateway-SKU's.
Gateway-SKU's per functieset
De nieuwe VPN-gateway-SKU's stroomlijnen de functiesets die worden aangeboden op de gateways:
| SKU | Functies |
|---|---|
| Basic (**) | VPN op basis van route: 10 tunnels voor S2S/verbindingen; geen RADIUS-verificatie voor P2S; geen IKEv2 voor P2S VPN op basis van beleid: (IKEv1): 1 S2S/verbindingstunnel; geen P2S |
| Alle Generation1- en Generation2-SKU's, behalve Basic | Op route gebaseerde VPN: maximaal 100 tunnels (*), P2S, BGP, actief-actief, aangepast IPsec-/IKE-beleid, ExpressRoute/VPN naast elkaar |
(*) U kunt "PolicyBasedTrafficSelectors" configureren om een op route gebaseerde VPN-gateway te verbinden met meerdere on-premises, op beleid gebaseerde firewallapparaten. Raadpleeg Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (VPN-gateways verbinden met meerdere on-premises,op beleid gebaseerde VPN-apparaten met behulp van PowerShell) voor meer informatie.
(**) De Basic-SKU wordt beschouwd als verouderd. Deze SKU kent bepaalde functiebeperkingen. Zo kunt u een gateway die gebruikmaakt van een Basic-SKU, niet overzetten naar een van de nieuwe gateway-SKU's. In plaats daarvan moet u een nieuwe SKU gebruiken, wat betekent dat u uw VPN-gateway eerst moet verwijderen en vervolgens opnieuw moet maken.
Gateway-SKU's - Productie versus werkbelastingen voor ontwikkelen en testen
Vanwege de verschillen in SLA's en functiesets, raden we de volgende SKU's aan voor productie vs. ontwikkelen en testen:
| Workload | SKU's |
|---|---|
| Productie, kritieke werkbelastingen | Alle Generation1- en Generation2-SKU's, behalve Basic |
| Ontwikkelen en testen of conceptontwerpen | Basic (**) |
(**) De Basic-SKU wordt beschouwd als een verouderde SKU waarvoor beperkingen in de functionaliteit gelden. Controleer of de functie die u nodig hebt, wordt ondersteund voordat u kiest voor de Basic-SKU.
Als u de oude SKU's (verouderd) gebruikt, zijn de aanbevelingen voor de productie-SKU Standard en HighPerformance. Raadpleeg Gateway-SKU's (verouderd) voor meer informatie en instructies voor oude SKU's.
Een gateway-SKU configureren
Azure-portal
Als u de Azure Portal gebruikt om een virtuele netwerkgateway Resource Manager maken, kunt u de gateway-SKU selecteren met behulp van de vervolgkeuzekeuze. De opties die u ziet, komen overeen met het gatewaytype en VPN-type dat u selecteert.
PowerShell
In het volgende PowerShell-voorbeeld wordt -GatewaySku vpnGw1 opgegeven. Wanneer u PowerShell gebruikt om een gateway te maken, moet u eerst de IP-configuratie maken en vervolgens een variabele gebruiken om hier naar te verwijzen. In dit voorbeeld wordt de configuratievariabele $gwipconfig.
New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased
Azure-CLI
az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait
Het formaat van een SKU wijzigen of het formaat wijzigen
Als u een VPN-gateway hebt en u een andere gateway-SKU wilt gebruiken, kunt u de gateway-SKU aanpassen of een andere SKU gebruiken. Wanneer u over overstapt op een andere gateway-SKU, verwijdert u de bestaande gateway volledig en bouwt u een nieuwe gateway. Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU. Ter vergelijking: wanneer u de gateway-SKU groter maakt, is er niet veel downtime omdat u de gateway niet hoeft te verwijderen en opnieuw te bouwen. Als u de mogelijkheid hebt om de gateway-SKU te wijzigen, in plaats van deze te wijzigen, doet u dat. Er zijn echter regels met betrekking tot het formaat van:
- Met uitzondering van de Basic-SKU kunt u de SKU van een VPN-gateway binnen dezelfde generatie (Generatie 1 of Generatie2) in een andere VPN-gateway-SKU maken. VpnGw1 van generatie 1 kan bijvoorbeeld worden geseed naar VpnGw2 van generatie1, maar niet naar VpnGw2 van generatie 2.
- Als u met de oude gateway-SKU's werkt, kunt u wisselen tussen Basic-, Standard- en HighPerformance-SKU's.
- U kunt de SKU's Basic/Standard/HighPerformance niet in VpnGw-SKU's gebruiken. In plaats daarvan moet u over naar de nieuwe SKU's.
De gateway het 100-0-0-2018-
Azure-portal
Ga naar de pagina Configuratie voor uw virtuele netwerkgateway.
Selecteer de pijlen voor de vervolgkeuzelijst.
Selecteer de SKU in de vervolgkeuzelijst.
PowerShell
U kunt de Resize-AzVirtualNetworkGatewayPowerShell-cmdlet gebruiken om een Generation1- of Generation2-SKU te upgraden of te downgraden (alle VpnGw-SKU's kunnen worden gewijzigd, behalve de Basic-SKU's). Als u de basis-gateway-SKU gebruikt, kunt u deze instructies gebruiken in plaats het formaat van uw gateway te wijzigen.
In het volgende Powershell-voor beeld ziet u een gateway-SKU waarvan de grootte wordt gewijzigd in VpnGw2.
$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2
Een oude (verouderde) SKU wijzigen in een nieuwe SKU
Als u werkt met het Resource Manager-implementatiemodel, kunt u overschakelen naar de nieuwe gateway-SKU's. Wanneer u overstapt van een verouderde gateway-SKU naar een nieuwe SKU, verwijdert u de bestaande VPN-gateway en maakt u een nieuwe VPN-gateway.
Workflow:
- Verwijder verbindingen van de gateway voor het virtuele netwerk.
- Verwijder de oude VPN-gateway.
- Maak de nieuwe VPN-gateway.
- Werk uw on-premises VPN-apparaten bij met het nieuwe IP-adres van de VPN-gateway (voor site-naar-site-verbindingen).
- Werk de waarde van het IP-adres voor de gateway bij voor alle lokale VNet-naar-VNet-netwerkgateways die verbinding met deze gateway maken.
- Download nieuwe client-VPN-configuratiepakketten voor P2S-clients die verbinding maken met het virtuele netwerk via deze VPN-gateway.
- Herstel de verbindingen met de gateway voor het virtuele netwerk.
Overwegingen:
- Als u wilt overstappen op de nieuwe SKU's, moet uw VPN-gateway zich in het Resource Manager-implementatiemodel bevinden.
- Als u een klassieke VPN-gateway hebt, moet u de veroudere SKU's voor die gateway blijven gebruiken, maar u kunt het formaat van de veroudere SKU's echter aanpassen. U kunt niet overschakelen naar de nieuwe SKU's.
- Er zal connectiviteitsdowntime optreden wanneer u overschakelt van een verouderde SKU naar een nieuwe SKU.
- Wanneer u overstapt naar een nieuwe gateway-SKU, wordt het openbare IP-adres voor uw VPN-gateway gewijzigd. Dit gebeurt ook als u hetzelfde openbare IP-adresobject opgeeft dat u eerder hebt gebruikt.
Verbindingstypen
In het Resource Manager implementatiemodel vereistelke configuratie een specifiek verbindingstype voor de virtuele netwerkgateway. De beschikbare Resource Manager PowerShell-waarden voor -ConnectionType zijn:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
In het volgende PowerShell-voorbeeld maken we een S2S-verbinding die het verbindingstype IPsec vereist.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
VPN-typen
Wanneer u de virtuele netwerkgateway voor een VPN-gatewayconfiguratie maakt, moet u een VPN-type opgeven. Het VPN-type dat u kiest, is afhankelijk van de verbindingstopologie die u wilt maken. Voor een P2S-verbinding is bijvoorbeeld een op routebased VPN-type vereist. Een VPN-type kan ook afhankelijk zijn van de hardware die u gebruikt. Voor S2S-configuraties is een VPN-apparaat vereist. Sommige VPN-apparaten ondersteunen alleen een bepaald VPN-type.
Het VPN-type dat u selecteert, moet voldoen aan alle verbindingsvereisten voor de oplossing die u wilt maken. Als u bijvoorbeeld een S2S VPN-gatewayverbinding en een P2S VPN-gatewayverbinding voor hetzelfde virtuele netwerk wilt maken, gebruikt u het VPN-type RouteBased omdat P2S een routebased VPN-type vereist. U moet ook controleren of uw VPN-apparaat een RouteBased VPN-verbinding ondersteunt.
Zodra een virtuele netwerkgateway is gemaakt, kunt u het VPN-type niet meer wijzigen. U moet de gateway van het virtuele netwerk verwijderen en een nieuwe maken. Er zijn twee VPN-typen:
Op beleid gebaseerd: op beleid gebaseerde VPN-verbindingen werden voorheen statische routeringsgateways genoemd in het klassieke implementatiemodel. VPN-verbindingen op basis van beleid versleutelen pakketten en sturen deze via IPsec-tunnels op basis van het IPsec-beleid dat is geconfigureerd met de combinaties van adresvoorvoegsels tussen uw lokale netwerk en het Azure VNET. Het beleid (of de verkeersselector) wordt gewoonlijk gedefinieerd als een toegangslijst in de configuratie van het VPN-apparaat. De waarde voor een op beleid gebaseerd VPN-type is PolicyBased. Houd bij het gebruik van een op beleid gebaseerde VPN rekening met de volgende beperkingen:
- Op beleid gebaseerde VPN's kunnen alleen worden gebruikt met de Basic-gateway-SKU. Dit VPN-type is niet compatibel met andere gateway-SKU's.
- U kunt slechts één tunnel gebruiken wanneer u een op beleid gebaseerde VPN-verbinding gebruikt.
- U kunt op beleid gebaseerde VPN's alleen gebruiken voor S2S-verbindingen en alleen voor bepaalde configuraties. De meeste VPN Gateway-configuraties vereisen een op route gebaseerde VPN.
Op route gebaseerd: op route gebaseerde VPN-verbindingen werden voorheen dynamische routeringsgateways genoemd in het klassieke implementatiemodel. Op route gebaseerde VPN's gebruiken 'routes' in de IP-doorstuurtabel of routeringstabel om pakketten naar de bijbehorende tunnelinterfaces te sturen. De tunnelinterfaces versleutelen of ontsleutelen de pakketten vervolgens naar en vanuit de tunnels. Het beleid (of de verkeersselector) voor op route gebaseerde VPN's is geconfigureerd als alles-naar-alles (of jokertekens). De waarde voor een op route gebaseerd VPN-type is RouteBased.
In het volgende PowerShell-voorbeeld wordt -VpnType de opgegeven als RouteBased. Wanneer u een gateway maakt, moet u het juiste VPN-type voor uw configuratie kiezen.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Gatewayvereisten
De volgende tabel bevat de vereisten voor VPN-gateways op basis van beleid en route. Deze tabel is van toepassing op de Resource Manager en de klassieke implementatiemodellen. Voor het klassieke model zijn op beleid gebaseerde VPN-gateways hetzelfde als statische gateways. Op route gebaseerde gateways zijn hetzelfde als dynamische gateways.
| Op beleid gebaseerde Basic VPN-gateway | Op route gebaseerde Basic VPN-gateway | Op route gebaseerde Standard VPN-gateway | Op route gebaseerde High Performance VPN-gateway | |
|---|---|---|---|---|
| Site-naar-site-connectiviteit (S2S) | VPN-configuratie op basis van beleid | VPN-configuratie op basis van route | VPN-configuratie op basis van route | VPN-configuratie op basis van route |
| Punt-naar-site-verbinding (P2S) | Niet ondersteund | Ondersteund (kan tegelijk bestaan met S2S) | Ondersteund (kan tegelijk bestaan met S2S) | Ondersteund (kan tegelijk bestaan met S2S) |
| Verificatiemethode | Vooraf gedeelde sleutel | Vooraf gedeelde sleutel voor S2S-connectiviteit, certificaten voor P2S-connectiviteit | Vooraf gedeelde sleutel voor S2S-connectiviteit, certificaten voor P2S-connectiviteit | Vooraf gedeelde sleutel voor S2S-connectiviteit, certificaten voor P2S-connectiviteit |
| Maximumaantal S2S-verbindingen | 1 | 10 | 10 | 30 |
| Maximumaantal P2S-verbindingen | Niet ondersteund | 128 | 128 | 128 |
| Ondersteuning voor actieve routering (BGP) (*) | Niet ondersteund | Niet ondersteund | Ondersteund | Ondersteund |
(*) BGP wordt niet ondersteund voor het klassieke implementatiemodel.
Gatewaysubnet
Voordat u een VPN-gateway maakt, moet u een gatewaysubnet maken. Het gatewaysubnet bevat de IP-adressen die door de virtuele netwerkgateway-VM's en -services worden gebruikt. Wanneer u uw virtuele netwerkgateway maakt, worden gateway-VM's geïmplementeerd in het gatewaysubnet en geconfigureerd met de vereiste VPN-gatewayinstellingen. Implementeer nooit iets anders (bijvoorbeeld extra VM's) naar het gatewaysubnet. Het gatewaysubnet moet de naam GatewaySubnet hebben om goed te kunnen werken. Als u het gatewaysubnet GatewaySubnet een naam geeft, weet Azure dat dit het subnet is waarin de virtuele netwerkgateway-VM's en -services moeten worden geïmplementeerd.
Notitie
Door gebruikers gedefinieerde routes met de bestemming 0.0.0.0.0/0 en NSG's in het GatewaySubnet worden niet ondersteund. Gateways die gemaakt zijn met deze configuratie, worden geblokkeerd en kunnen niet worden gemaakt. Gateways vereisen toegang tot de management controllers om correct te kunnen funcioneren. Doorgifte van BGP-route moet worden ingesteld op 'Ingeschakeld' in het GatewaySubnet om voor de beschikbaarheid van de gateway te zorgen. Als deze optie is uitgeschakeld, functioneert de gateway niet.
Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. De IP-adressen in het gatewaysubnet worden toegewezen aan de gateway-VM's en gatewayservices. Sommige configuraties vereisen meer IP-adressen dan andere.
Wanneer u de grootte van uw gatewaysubnet plant, raadpleegt u de documentatie voor de configuratie die u wilt maken. De configuratie van ExpressRoute/VPN Gateway vereist bijvoorbeeld een groter gatewaysubnet dan de meeste andere configuraties. Daarnaast wilt u er mogelijk voor zorgen dat uw gatewaysubnet voldoende IP-adressen bevat voor mogelijke toekomstige aanvullende configuraties. Hoewel u een gatewaysubnet van slechts /29 kunt maken, raden we u aan een gatewaysubnet van /27 of groter (/27, /26 enzovoort) te maken als u de beschikbare adresruimte hebt om dit te doen. Dit is geschikt voor de meeste configuraties.
In het volgende Resource Manager PowerShell ziet u een gatewaysubnet met de naam GatewaySubnet. U ziet dat de CIDR-notatie een /27 specificeert, waardoor er voldoende IP-adressen zijn voor de meeste configuraties die momenteel bestaan.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Belangrijk
Als u met gatewaysubnetten werkt, vermijd dan om een netwerkbeveiligingsgroep (NSG) te koppelen aan het gatewaysubnet. Het koppelen van een netwerkbeveiligingsgroep aan dit subnet kan ertoe leiden dat uw virtuele netwerkgateway (VPN- en Express Route-gateways) niet meer werkt zoals verwacht. Zie Wat is een netwerkbeveiligingsgroep? voor meer informatie over netwerkbeveiligingsgroepen.
Lokale netwerkgateways
Een lokale netwerkgateway is anders dan een virtuele netwerkgateway. Bij het maken van een VPN-gatewayconfiguratie vertegenwoordigt de lokale netwerkgateway meestal uw on-premises netwerk en het bijbehorende VPN-apparaat. In het klassieke implementatiemodel werd de lokale gateway een lokale site genoemd.
U geeft de lokale netwerkgateway een naam, het openbare IP-adres of de FQDN (Fully Qualified Domain Name) van het on-premises VPN-apparaat en geeft de adres voorvoegsels op die zich op de on-premises locatie bevinden. Azure bekijkt de voorvoegsels van het doeladres voor netwerkverkeer, raadpleegt de configuratie die u hebt opgegeven voor uw lokale netwerkgateway en routeert pakketten dienovereenkomstig. Als u Border Gateway Protocol (BGP) op uw VPN-apparaat gebruikt, geeft u het IP-adres van de BGP-peer van uw VPN-apparaat en het autonome systeemnummer (ASN) van uw on-premises netwerk op. U geeft ook lokale netwerkgateways op voor VNet-naar-VNet-configuraties die gebruikmaken van een VPN-gatewayverbinding.
In het volgende PowerShell-voorbeeld wordt een nieuwe lokale netwerkgateway gemaakt:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Soms moet u de instellingen van de lokale netwerkgateway wijzigen. Bijvoorbeeld wanneer u het adresbereik toevoegt of wijzigt, of als het IP-adres van het VPN-apparaat wordt gewijzigd. Zie Instellingen voor lokale netwerkgateway wijzigen met behulp van PowerShell.
REST API's, PowerShell-cmdlets en CLI
Zie de volgende pagina's voor aanvullende technische resources en specifieke syntaxisvereisten bij het gebruik van REST API's, PowerShell-cmdlets of Azure CLI voor VPN Gateway-configuraties:
| Klassieke | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| Niet ondersteund | Azure-CLI |
Volgende stappen
Zie Over VPN Gateway voor meer informatie over beschikbare VPN Gateway.