Instellingen configureren voor VPN-gateway voor Azure Stack Hub
Een VPN-gateway is een type virtuele netwerkgateway waarmee versleuteld verkeer tussen uw virtuele netwerk in Azure Stack Hub en een externe VPN-gateway wordt verzonden. De externe VPN-gateway kan zich in Azure bevinden, een apparaat in uw datacenter of een apparaat op een andere site. Als er een netwerkverbinding tussen de twee eindpunten is, kunt u een beveiligde site-naar-site-VPN-verbinding (S2S) tussen de twee netwerken tot stand brengen.
Een VPN-gatewayverbinding is afhankelijk van de configuratie van meerdere resources, die allemaal configureerbare instellingen bevatten. In dit artikel worden de resources en instellingen beschreven die betrekking hebben op een VPN-gateway voor een virtueel netwerk dat u in het Resource Manager-implementatiemodel maakt. U vindt beschrijvingen en topologiediagrammen voor elke verbindingsoplossing in VPN-gateways maken voor Azure Stack Hub.
VPN-gatewayinstellingen
Gatewaytypen
Elk virtueel Azure Stack Hub-netwerk ondersteunt één virtuele netwerkgateway, die van het type Vpn moet zijn. Deze ondersteuning verschilt van Azure, die ondersteuning biedt voor extra typen.
Wanneer u een virtuele netwerkgateway maakt, moet u ervoor zorgen dat het gatewaytype juist is voor uw configuratie. Voor een VPN-gateway is de -GatewayType Vpn vlag vereist; bijvoorbeeld:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Gateway-SKU's
Wanneer u een virtuele netwerkgateway maakt, moet u de gateway-SKU opgeven die u wilt gebruiken. Selecteer de SKU's die aan uw vereisten voldoen op basis van de typen werkbelasting, doorvoer, functies en SLA's.
U kunt 10 gateways met hoge prestaties of 20 basic en standaard hebben voordat u de maximale capaciteit bereikt. Het maximum kan ook worden bereikt voor een totale geaggregeerde doorvoer van 2 Gbps.
Azure Stack Hub biedt de VPN-gateway-SKU's die worden weergegeven in de volgende tabel:
| Tunneldoorvoer | Maximum aantal IPsec-tunnels voor VPN-gateway | |
|---|---|---|
| Basis-SKU | 100 Mbps | 20 |
| Standaard SKU | 100 Mbps | 20 |
| High Performance SKU | 200 Mbps | 10 |
Het formaat van gateway-SKU's wijzigen
Azure Stack Hub biedt geen ondersteuning voor het wijzigen van het formaat van SKU's tussen de ondersteunde verouderde SKU's.
Op dezelfde manier biedt Azure Stack Hub geen ondersteuning voor een formaatgrootte van een ondersteunde verouderde SKU (Basic, Standard en HighPerformance) naar een nieuwere SKU die wordt ondersteund door Azure (VpnGw1, VpnGw2 en VpnGw3).
De gateway-SKU configureren
Azure Stack Hub-portal
Als u de Azure Stack Hub-portal gebruikt om een virtuele Resource Manager-netwerkgateway te maken, kunt u de gateway-SKU selecteren met behulp van de vervolgkeuzelijst. De opties komen overeen met het gatewaytype en het VPN-type dat u selecteert.
PowerShell
In het volgende PowerShell-voorbeeld wordt de -GatewaySku parameter als Standaard opgegeven:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Verbindingstypen
In het Resource Manager-implementatiemodel is voor elke configuratie een specifiek verbindingstype voor een virtuele netwerkgateway vereist. De beschikbare PowerShell-waarden voor -ConnectionType Resource Manager zijn IPsec.
In het volgende PowerShell-voorbeeld wordt een S2S-verbinding gemaakt waarvoor het IPsec-verbindingstype is vereist:
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
VPN-typen
Wanneer u de virtuele netwerkgateway voor een VPN-gatewayconfiguratie maakt, moet u een VPN-type opgeven. Het VPN-type dat u kiest, is afhankelijk van de verbindingstopologie die u wilt maken. Een VPN-type kan ook afhankelijk zijn van de hardware die u gebruikt. Voor S2S-configuraties is een VPN-apparaat vereist. Sommige VPN-apparaten ondersteunen alleen een bepaald VPN-type.
Belangrijk
Op dit moment ondersteunt Azure Stack Hub alleen het vpn-type op basis van route. Als uw apparaat alleen OP beleid gebaseerde VPN's ondersteunt, worden verbindingen met die apparaten van Azure Stack Hub niet ondersteund.
Daarnaast biedt Azure Stack Hub op dit moment geen ondersteuning voor het gebruik van op beleid gebaseerde verkeersselectors voor op route gebaseerde gateways, omdat Azure Stack Hub op dit moment geen ondersteuning biedt voor op beleid gebaseerde verkeerskiezers, hoewel deze worden ondersteund in Azure.
PolicyBased: op beleid gebaseerde VPN's versleutelen en directe pakketten via IPsec-tunnels op basis van het IPsec-beleid dat is geconfigureerd met de combinaties van adresvoorvoegsels tussen uw on-premises netwerk en het Azure Stack Hub VNet. Het beleid of de verkeersselector is meestal een toegangslijst in de configuratie van het VPN-apparaat.
Notitie
PolicyBased wordt ondersteund in Azure, maar niet in Azure Stack Hub.
RouteBased: op route gebaseerde VPN's maken gebruik van routes die zijn geconfigureerd in de doorstuur- of routeringstabel voor IP om pakketten naar de bijbehorende tunnelinterfaces te sturen. De tunnelinterfaces versleutelen of ontsleutelen de pakketten vervolgens naar en vanuit de tunnels. Het beleid of de verkeersselector voor RouteBased VPN's worden geconfigureerd als any-to-any (of gebruik jokertekens). Ze kunnen standaard niet worden gewijzigd. De waarde voor een RouteBased VPN-type is RouteBased.
In het volgende PowerShell-voorbeeld wordt de -VpnType aanduiding RouteBased opgegeven. Wanneer u een gateway maakt, moet u ervoor zorgen dat de -VpnType configuratie juist is.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Gatewayvereisten
De volgende tabel bevat de vereisten voor VPN-gateways.
| Op beleid gebaseerde Basic VPN-gateway | Op route gebaseerde Basic VPN-gateway | Op route gebaseerde Standard VPN-gateway | Op route gebaseerde High Performance VPN-gateway | |
|---|---|---|---|---|
| Site-naar-site-connectiviteit (S2S-connectiviteit) | Niet ondersteund | VPN-configuratie op basis van route | VPN-configuratie op basis van route | VPN-configuratie op basis van route |
| Verificatiemethode | Niet ondersteund | Vooraf gedeelde sleutel voor S2S-connectiviteit | Vooraf gedeelde sleutel voor S2S-connectiviteit | Vooraf gedeelde sleutel voor S2S-connectiviteit |
| Maximumaantal S2S-verbindingen | Niet ondersteund | 20 | 20 | 10 |
| Ondersteuning voor actieve routering (BGP) | Niet ondersteund | Niet ondersteund | Ondersteunde, maximaal 150 routes | Ondersteunde, maximaal 150 routes |
Gatewaysubnet
Voordat u een VPN-gateway maakt, moet u een gatewaysubnet maken. Het gatewaysubnet heeft de IP-adressen die de VM's en services van de virtuele netwerkgateway gebruiken. Wanneer u uw virtuele netwerkgateway maakt, worden gateway-VM's geïmplementeerd in het gatewaysubnet en geconfigureerd met de vereiste VPN-gatewayinstellingen. Implementeer niets anders (bijvoorbeeld extra VM's) naar het gatewaysubnet.
Belangrijk
Voor een goede werking moet het gatewaysubnet de naam GatewaySubnet krijgen. Azure Stack Hub gebruikt deze naam om het subnet te identificeren waarop de VM's en services van de virtuele netwerkgateway moeten worden geïmplementeerd.
Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. De IP-adressen in het gatewaysubnet worden toegewezen aan de gateway-VM's en gatewayservices. Sommige configuraties vereisen meer IP-adressen dan andere. Bekijk de instructies voor de configuratie die u wilt maken en controleer of het gatewaysubnet dat u wilt maken voldoet aan deze vereisten.
Bovendien moet u ervoor zorgen dat uw gatewaysubnet voldoende IP-adressen heeft om aanvullende toekomstige configuraties af te handelen. Hoewel u een gatewaysubnet zo klein als /29 kunt maken, raden we u aan een gatewaysubnet van /28 of groter te maken (/28, /27, /26, enzovoort.) Als u in de toekomst functionaliteit toevoegt, hoeft u de gateway niet te verwijderen, verwijdert en maakt u het gatewaysubnet opnieuw om meer IP-adressen toe te staan.
In het volgende PowerShell-voorbeeld van Resource Manager ziet u een gatewaysubnet met de naam GatewaySubnet. U ziet dat de CIDR-notatie een /27 specificeert, waarmee voldoende IP-adressen zijn toegestaan voor de meeste configuraties die momenteel bestaan.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Belangrijk
Als u met gatewaysubnetten werkt, vermijd dan om een netwerkbeveiligingsgroep (NSG) te koppelen aan het gatewaysubnet. Het koppelen van een netwerkbeveiligingsgroep aan dit subnet kan ertoe leiden dat uw VPN-gateway niet meer werkt zoals verwacht. Zie Wat is een netwerkbeveiligingsgroep?voor meer informatie over netwerkbeveiligingsgroepen.
Lokale netwerkgateways
Bij het maken van een VPN-gatewayconfiguratie in Azure vertegenwoordigt de lokale netwerkgateway vaak uw on-premises locatie. In Azure Stack Hub vertegenwoordigt het een extern VPN-apparaat dat zich buiten Azure Stack Hub bevindt. Dit apparaat kan een VPN-apparaat zijn in uw datacenter (of een extern datacenter) of een VPN-gateway in Azure.
U geeft de lokale netwerkgateway een naam, het openbare IP-adres van het VPN-apparaat en geeft de adresvoorvoegsels op die zich op de on-premises locatie bevinden. Azure bekijkt de voorvoegsels voor het doeladres voor netwerkverkeer, raadpleegt de configuratie die u hebt opgegeven voor uw lokale netwerkgateway en routeert pakketten dienovereenkomstig.
In dit PowerShell-voorbeeld wordt een nieuwe lokale netwerkgateway gemaakt:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Soms moet u de instellingen van de lokale netwerkgateway wijzigen; Als u bijvoorbeeld het adresbereik toevoegt of wijzigt, of als het IP-adres van het VPN-apparaat wordt gewijzigd. Zie Instellingen voor lokale netwerkgateway wijzigen met Behulp van PowerShell voor meer informatie.
IPSec-/IKE-parameters
Wanneer u een VPN-verbinding instelt in Azure Stack Hub, moet u de verbinding aan beide uiteinden configureren. Als u een VPN-verbinding configureert tussen Azure Stack Hub en een hardwareapparaat, zoals een switch of router die fungeert als een VPN-gateway, vraagt dat apparaat u mogelijk om aanvullende instellingen.
In tegenstelling tot Azure, dat ondersteuning biedt voor meerdere aanbiedingen als initiator en een responder, ondersteunt Azure Stack Hub standaard slechts één aanbieding. Als u verschillende IPSec-/IKE-instellingen moet gebruiken om met uw VPN-apparaat te werken, zijn er meer instellingen beschikbaar om uw verbinding handmatig te configureren. Zie IPsec-/IKE-beleid configureren voor site-naar-site-VPN-verbindingen voor meer informatie.
Belangrijk
Wanneer u de S2S-tunnel gebruikt, worden pakketten verder ingekapseld met extra headers die de algehele grootte van het pakket vergroten. In deze scenario's moet u TCP MSS klemmen op 1350. Als uw VPN-apparaten MSS-klemming niet ondersteunen, kunt u ook de MTU op de tunnelinterface instellen op 1400 bytes. Zie Virutal Network TCPIP-prestaties afstemmen voor meer informatie.
Parameters voor IKE Phase 1 (Main Mode)
| Eigenschap | Waarde |
|---|---|
| IKE-versie | IKEv2 |
| Diffie-Hellman groep* | ECP384 |
| Verificatiemethode | Vooraf gedeelde sleutel |
| Hashingalgoritmen voor versleuteling & * | AES256, SHA384 |
| SA-levensduur (tijd) | 28.800 seconden |
Parameters voor IKE Phase 2 (Quick Mode)
| Eigenschap | Waarde |
|---|---|
| IKE-versie | IKEv2 |
| Hashingalgoritmen voor versleuteling & (versleuteling) | GCMAES256 |
| Hashingalgoritmen voor versleuteling & (verificatie) | GCMAES256 |
| SA-levensduur (tijd) | 27.000 seconden |
| SA-levensduur (kilobytes) | 33,553,408 |
| Perfect Forward Secrecy (PFS)* | ECP384 |
| Dead Peer Detection | Ondersteund |
* Nieuwe of gewijzigde parameter.