Verbinding maken een VPN-gateway naar meerdere on-premises op beleid gebaseerde VPN-apparaten

  • Artikel

Dit artikel helpt u bij het configureren van een op route gebaseerde VPN-gateway van Azure om verbinding te maken met meerdere on-premises op beleid gebaseerde VPN-apparaten die gebruikmaken van aangepast IPsec-/IKE-beleid op S2S VPN-verbindingen. In de stappen in dit artikel wordt Azure PowerShell gebruikt.

Vpn-gateways op basis van beleid en route

Op beleid gebaseerde versus op route gebaseerde VPN-apparaten verschillen in de wijze waarop de IPsec-verkeerskiezers zijn ingesteld op een verbinding:

  • Op beleid gebaseerde VPN-apparaten gebruiken de combinaties van voorvoegsels van beide netwerken om te definiĆ«ren hoe verkeer wordt versleuteld/ontsleuteld via IPsec-tunnels. Het is doorgaans gebouwd op firewallapparaten die pakketfiltering uitvoeren. IPsec-tunnelversleuteling en -ontsleuteling worden toegevoegd aan de engine voor pakketfiltering en verwerking.
  • Op route gebaseerde VPN-apparaten maken gebruik van any-to-any -verkeerkiezers (jokertekens) en laat routerings-/doorstuurtabellen verkeer doorsturen naar verschillende IPsec-tunnels. Het is doorgaans gebouwd op routerplatforms waarbij elke IPsec-tunnel wordt gemodelleerd als een netwerkinterface of VTI (virtuele tunnelinterface).

In de volgende diagrammen worden de twee modellen gemarkeerd:

Vpn-voorbeeld op basis van beleid

Diagram of policy-based VPN.

Voorbeeld van op route gebaseerde VPN

Diagram of route-based VPN for multiple sites.

ondersteuning voor Azure voor op beleid gebaseerde VPN

Op dit moment ondersteuning voor Azure beide modi van VPN-gateways: op route gebaseerde VPN-gateways en op beleid gebaseerde VPN-gateways. Ze zijn gebouwd op verschillende interne platforms, wat resulteert in verschillende specificaties. Zie Over VPN Gateway-instellingen voor meer informatie over gateways, doorvoer en verbindingen.

VPN-type gateway Gateway-SKU ONDERSTEUNDE IKE-versies
Gateway op basis van beleid Basis IKEv1
Gateway op basis van route Basis IKEv2
Gateway op basis van route VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 en IKEv2
Gateway op basis van route VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 en IKEv2

Voorheen was u bij het werken met op beleid gebaseerde VPN's beperkt tot het gebruik van de basic-SKU van de VPN-gateway op basis van beleid en kon u alleen verbinding maken met 1 on-premises VPN-/firewallapparaat. Met behulp van aangepast IPsec-/IKE-beleid kunt u nu een op route gebaseerde VPN-gateway gebruiken en verbinding maken met meerdere op beleid gebaseerde VPN-/firewallapparaten. Als u een op beleid gebaseerde VPN-verbinding wilt maken met een op route gebaseerde VPN-gateway, configureert u de op route gebaseerde VPN-gateway voor het gebruik van op voorvoegsels gebaseerde verkeerskiezers met de optie PolicyBasedTrafficSelectors.

Overwegingen

  • Als u deze connectiviteit wilt inschakelen, moeten uw on-premises op beleid gebaseerde VPN-apparaten IKEv2 ondersteunen om verbinding te maken met de op route gebaseerde VPN-gateways van Azure. Controleer de specificaties van uw VPN-apparaat.

  • De on-premises netwerken die verbinding maken via op beleid gebaseerde VPN-apparaten met dit mechanisme, kunnen alleen verbinding maken met het virtuele Azure-netwerk; ze kunnen niet worden overgedragen naar andere on-premises netwerken of virtuele netwerken via dezelfde Azure VPN-gateway.

  • De configuratieoptie maakt deel uit van het aangepaste IPsec-/IKE-verbindingsbeleid. Als u de optie verkeerkiezer op basis van beleid inschakelt, moet u het volledige beleid (IPsec/IKE-versleuteling en integriteitsalgoritmen, sleutelsterkten en SA-levensduur) opgeven.

In het volgende diagram ziet u waarom transitroutering via VPN-gateway niet werkt met de optie op basis van beleid:

Diagram of policy-based transit.

Zoals in het diagram wordt weergegeven, bevat de Azure VPN-gateway verkeerskiezers van het virtuele netwerk naar elk van de on-premises netwerkvoorvoegsels, maar niet de kruisverbindingsvoorvoegsels. On-premises site 2, site 3 en site 4 kunnen bijvoorbeeld elk met VNet1 communiceren, maar kunnen geen verbinding maken via de Azure VPN-gateway met elkaar. In het diagram ziet u de kruislings verbindende verkeerskiezers die niet beschikbaar zijn in de Azure VPN-gateway onder deze configuratie.

Werkstroom

De instructies in dit artikel volgen hetzelfde voorbeeld als beschreven in IPsec-/IKE-beleid configureren voor S2S- of VNet-naar-VNet-verbindingen om een S2S VPN-verbinding tot stand te brengen. Dit wordt weergegeven in het volgende diagram:

Diagram shows an image of site-to-site with traffic selectors.

Gebruik de volgende werkstroom om connectiviteit in te schakelen:

  1. Maak het virtuele netwerk, de VPN-gateway en de lokale netwerkgateway voor uw cross-premises verbinding.
  2. Maak een IPsec-/IKE-beleid.
  3. Pas het beleid toe wanneer u een S2S- of VNet-naar-VNet-verbinding maakt en schakel de op beleid gebaseerde verkeerskiezers in op de verbinding.
  4. Als de verbinding al is gemaakt, kunt u het beleid toepassen of bijwerken naar een bestaande verbinding.

Op beleid gebaseerde verkeerskiezers inschakelen

In deze sectie wordt beschreven hoe u op beleid gebaseerde verkeerskiezers kunt inschakelen voor een verbinding. Zorg ervoor dat u deel 3 van het artikel IPsec-/IKE-beleid configureren hebt voltooid. In de stappen in dit artikel worden dezelfde parameters gebruikt.

Het virtuele netwerk, de VPN-gateway en de lokale netwerkgateway maken

  1. Maak verbinding met uw abonnement. Als u PowerShell lokaal op uw computer uitvoert, meldt u zich aan met de cmdlet Verbinding maken-AzAccount. Of gebruik in plaats daarvan Azure Cloud Shell in uw browser.

  2. Declareer uw variabelen. Voor deze oefening gebruiken we de volgende variabelen:

    $Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

  3. Maak een resourcegroep.

    New-AzResourceGroup -Name $RG1 -Location $Location1

  4. Gebruik het volgende voorbeeld om het virtuele netwerk TestVNet1 met drie subnetten en de VPN-gateway te maken. Als u waarden wilt vervangen, is het belangrijk dat u uw gatewaysubnet altijd een naam geeft met name GatewaySubnet. Als u een andere naam kiest, mislukt het maken van de gateway.

    $fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

Een S2S VPN-verbinding maken met een IPsec-/IKE-beleid

  1. Maak een IPsec-/IKE-beleid.

    Belangrijk

    U moet een IPsec-/IKE-beleid maken om de optie UsePolicyBasedTrafficSelectors in te schakelen voor de verbinding.

    In het volgende voorbeeld wordt een IPsec-/IKE-beleid gemaakt met deze algoritmen en parameters:

    • IKEv2: AES256, SHA384, DHGroup24
    • IPsec: AES256, SHA256, PFS None, SA Levensduur 14400 seconden & 102400000 KB
    $ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

  2. Maak de S2S VPN-verbinding met op beleid gebaseerde verkeerskiezers en IPsec-/IKE-beleid en pas het IPsec-/IKE-beleid toe dat in de vorige stap is gemaakt. Let op de aanvullende parameter "-UsePolicyBasedTrafficSelectors $True", waarmee op beleid gebaseerde verkeersselectors op de verbinding mogelijk zijn.

    $vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -UsePolicyBasedTrafficSelectors $True -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

  3. Nadat u de stappen hebt voltooid, gebruikt de S2S VPN-verbinding het gedefinieerdE IPsec-/IKE-beleid en schakelt u op beleid gebaseerde verkeerskiezers in op de verbinding. U kunt dezelfde stappen herhalen om meer verbindingen toe te voegen aan extra on-premises op beleid gebaseerde VPN-apparaten van dezelfde Azure VPN-gateway.

Op beleid gebaseerde verkeerskiezers bijwerken

In deze sectie wordt beschreven hoe u de optie op beleid gebaseerde verkeersselectors voor een bestaande S2S VPN-verbinding bijwerkt.

  1. Haal de verbindingsresource op.

    $RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

  2. Bekijk de optie op beleid gebaseerde verkeersselectors. In de volgende regel ziet u of de op beleid gebaseerde verkeerskiezers worden gebruikt voor de verbinding:

    $connection6.UsePolicyBasedTrafficSelectors

    Als de regel True retourneert, worden op beleid gebaseerde verkeersselectors geconfigureerd voor de verbinding. Anders wordt 'Onwaar' geretourneerd.

  3. Zodra u de verbindingsresource hebt verkregen, kunt u de op beleid gebaseerde verkeersselectors voor een verbinding in- of uitschakelen.

    • Inschakelen

      In het volgende voorbeeld wordt de optie verkeerkiezers op basis van beleid ingeschakeld, maar blijft het IPsec-/IKE-beleid ongewijzigd:

      $RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True

    • Uitschakelen

      In het volgende voorbeeld wordt de optie verkeerkiezers op basis van beleid uitgeschakeld, maar blijft het IPsec-/IKE-beleid ongewijzigd:

      $RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $False

Volgende stappen

Wanneer de verbinding is voltooid, kunt u virtuele machines aan uw virtuele netwerken toevoegen. Zie Een virtuele machine maken voor de stappen.

Raadpleeg ook IPsec-/IKE-beleid configureren voor S2S VPN- of VNet-naar-VNet-verbindingen voor meer informatie over aangepast IPsec-/IKE-beleid.