Overzicht van vpn-apparaatconfiguraties van partners
In dit artikel vindt u een overzicht van het configureren van on-premises VPN-apparaten om verbinding te maken met Azure VPN-gateways. Er wordt een voorbeeld van een virtueel Azure-netwerk en een VPN-gateway ingesteld om u te laten zien hoe u met behulp van dezelfde parameters verbinding maakt met verschillende configuraties voor on-premises VPN-apparaten.
Vereisten voor apparaten
Azure VPN-gateways maken gebruik van standaard IPsec-/IKE-protocolsuites voor S2S-VPN-tunnels (site-to-site). Zie Over VPN-apparaten voor een lijst met IPsec-/IKE-parameters en cryptografische algoritmen voor Azure VPN-gateways. U kunt ook de exacte algoritmen en sleutelsterkten voor een specifieke verbinding opgeven, zoals beschreven in Over cryptografische vereisten.
Eén VPN-tunnel
De eerste configuratie in het voorbeeld bestaat uit één S2S VPN-tunnel tussen een Azure VPN-gateway en een on-premises VPN-apparaat. U kunt eventueel de Border Gateway Protocol (BGP) via de VPN-tunnel configureren.
Zie Een site-naar-site-verbindingconfigureren voor stapsgewijle instructies voor het instellen van één VPN-tunnel. In de volgende secties worden de verbindingsparameters voor de voorbeeldconfiguratie opgegeven en wordt een PowerShell-script opgegeven om u op weg te helpen.
Verbindingsparameters
In deze sectie vindt u de parameters voor de voorbeelden die in de vorige secties worden beschreven.
| Parameter | Waarde |
|---|---|
| Adres voor virtuele netwerken | 10.11.0.0/16 10.12.0.0/16 |
| IP van Azure VPN-gateway | Azure VPN Gateway IP |
| On-premises adres voorvoegsels | 10.51.0.0/16 10.52.0.0/16 |
| IP-adres van on-premises VPN-apparaat | IP-adres van on-premises VPN-apparaat |
| * Virtueel netwerk BGP ASN | 65010 |
| * Azure BGP-peer-IP | 10.12.255.30 |
| * On-premises BGP ASN | 65050 |
| * On-premises BGP-peer-IP | 10.52.255.254 |
* Optionele parameter voor alleen BGP.
PowerShell-voorbeeldscript
Deze sectie bevat een voorbeeldscript om u op weg te helpen. Zie Create an S2S VPN connection by using PowerShell (Een S2S VPN-verbinding maken met behulp van PowerShell) voor gedetailleerde instructies.
# Declare your variables
$Sub1 = "Replace_With_Your_Subscription_Name"
$RG1 = "TestRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$VNet1ASN = 65010
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GWIPName1 = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15 = "VNet1toSite5"
$LNGName5 = "Site5"
$LNGPrefix50 = "10.52.255.254/32"
$LNGPrefix51 = "10.51.0.0/16"
$LNGPrefix52 = "10.52.0.0/16"
$LNGIP5 = "Your_VPN_Device_IP"
$LNGASN5 = 65050
$BGPPeerIP5 = "10.52.255.254"
# Connect to your subscription and create a new resource group
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
# Create virtual network
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
# Create VPN gateway
$gwpip1 = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN
# Create local network gateway
New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
# Create the S2S VPN connection
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng5gw = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False
(Optioneel) Aangepast IPsec-/IKE-beleid gebruiken met UsePolicyBasedTrafficSelectors
Als uw VPN-apparaten geen ondersteuning bieden voor any-to-any verkeersselectors, zoals op route gebaseerde of op VTI gebaseerde configuraties, maakt u een aangepast IPsec/IKE-beleid met de optie UsePolicyBasedTrafficSelectors.
Belangrijk
U moet een IPsec-/IKE-beleid maken om de optie UsePolicyBasedTrafficSelectors voor de verbinding in teschakelen.
Met het voorbeeldscript maakt u een IPsec-/IKE-beleid met de volgende algoritmen en parameters:
- IKEv2: AES256, SHA384, DHGroup24
- IPsec: AES256, SHA1, PFS24, SA-levensduur 7200 seconden en 20.480.000 KB (20 GB)
Het script past het IPsec-/IKE-beleid toe en schakelt de optie UsePolicyBasedTrafficSelectors in voor de verbinding.
$ipsecpolicy5 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng5gw = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True
(Optioneel) BGP gebruiken op S2S VPN-verbinding
Wanneer u de S2S VPN-verbinding maakt, kunt u eventueel BGP gebruiken voor de VPN-gateway. Deze benadering kent twee verschillen:
De on-premises adres voorvoegsels kunnen één hostadres zijn. Het IP-adres van de on-premises BGP-peer wordt als volgt opgegeven:
New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5Wanneer u de verbinding maakt, moet u de optie -EnableBGP instellen op $True:
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
Volgende stappen
Zie Configuring active-active VPN gateways for cross-premises and VNet-to-VNet connections (Actief-actief VPN-gateways configureren voor cross-premises en VNet-naar-VNet-verbindingen)voor stapsgewijse instructies voor het instellen van actief-actief VPN-gateways.