Konfigurowanie ustawień bramy sieci VPN dla usługi Azure Stack Hub

Brama sieci VPN to typ bramy sieci wirtualnej, która wysyła zaszyfrowany ruch między siecią wirtualną w usłudze Azure Stack Hub i zdalną bramą sieci VPN. Zdalna brama sieci VPN może znajdować się na platformie Azure, urządzeniu w centrum danych lub urządzeniu w innej lokacji. Jeśli istnieje łączność sieciowa między dwoma punktami końcowymi, możesz ustanowić bezpieczne połączenie sieci VPN typu lokacja-lokacja (S2S) między dwiema sieciami.

Brama sieci VPN opiera się na konfiguracji wielu zasobów, z których każda zawiera konfigurowalne ustawienia. W tym artykule opisano zasoby i ustawienia związane z bramą sieci VPN dla sieci wirtualnej utworzonej w modelu wdrażania Resource Manager. Opisy i diagramy topologii dla każdego rozwiązania połączenia można znaleźć w temacie Tworzenie bram sieci VPN dla usługi Azure Stack Hub.

Ustawienia bramy sieci VPN

Typy bram

Każda sieć wirtualna usługi Azure Stack Hub obsługuje jedną bramę sieci wirtualnej, która musi być typu Vpn. Ta obsługa różni się od platformy Azure, która obsługuje dodatkowe typy.

Podczas tworzenia bramy sieci wirtualnej należy upewnić się, że typ bramy jest poprawny dla konfiguracji. Brama sieci VPN wymaga flagi -GatewayType Vpn , na przykład:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
   -VpnType RouteBased

Jednostki SKU bramy bez włączonej szybkiej ścieżki sieci VPN

Podczas tworzenia bramy sieci wirtualnej należy określić jednostkę SKU, której chcesz użyć. Wybierz jednostki SKU spełniające wymagania na podstawie typów obciążeń, przepływności, funkcji i umów SLA.

Przed osiągnięciem maksymalnej pojemności można mieć 10 bram o wysokiej wydajności lub 20 bram podstawowych i standardowych.

Usługa Azure Stack Hub oferuje jednostki SKU bramy sieci VPN przedstawione w poniższej tabeli:

SKU Maksymalna przepływność połączenia sieci VPN Maksymalna liczba połączeń na aktywną maszynę wirtualną bramy Maksymalna liczba połączeń sieci VPN na sygnaturę
Podstawowa 100 Mb/s Tx/Rx 10 20
Standardowa 100 Mb/s Tx/Rx 10 20
Wysoka wydajność 200 Mb/s Tx/Rx 5 10

Jednostki SKU bramy z włączoną szybką ścieżką sieci VPN

Wraz z wydaniem publicznej publicznej wersji zapoznawczej szybkiej ścieżki sieci VPN usługa Azure Stack Hub obsługuje trzy nowe jednostki SKU z wyższą przepływnością.

Nowe limity i przepływność zostaną włączone po włączeniu szybkiej ścieżki sieci VPN w sygnaturze usługi Azure Stack.

Usługa Azure Stack Hub oferuje jednostki SKU bramy sieci VPN przedstawione w poniższej tabeli:

SKU Maksymalna przepływność połączenia sieci VPN Maksymalna liczba połączeń na aktywną maszynę wirtualną bramy Maksymalna liczba połączeń sieci VPN na sygnaturę
Podstawowa 100 Mb/s Tx/Rx 25 50
Standardowa 100 Mb/s Tx/Rx 25 50
Wysoka wydajność 200 Mb/s Tx/Rx 12 24
VPNGw1 650 Mb/s Tx/Rx 3 6
VPNGw2 1000 Mb/s Tx/Rx 2 4
VPNGw3 1250 Mb/s Tx/Rx 2 4

Zmiana rozmiaru jednostek SKU bram sieci wirtualnej

Usługa Azure Stack Hub nie obsługuje zmiany rozmiaru z obsługiwanej starszej jednostki SKU (Podstawowa, Standardowa i HighPerformance) do nowszej jednostki SKU obsługiwanej przez platformę Azure (VpnGw1, VpnGw2 i VpnGw3).

Należy utworzyć nowe bramy sieci wirtualnej i połączenia, aby można było używać nowych jednostek SKU włączonych przez szybką ścieżkę sieci VPN.

Konfigurowanie jednostki SKU bramy sieci wirtualnej

Portal usługi Azure Stack Hub

Jeśli używasz portalu usługi Azure Stack Hub do utworzenia bramy sieci wirtualnej, jednostkę SKU można wybrać przy użyciu listy rozwijanej. Nowe jednostki SKU szybkiej ścieżki sieci VPN (VpnGw1, VpnGw2, VpnGw3) będą widoczne tylko po dodaniu parametru zapytania "?azurestacknewvpnskus=true" do adresu URL i odświeżania.

Poniższy przykład adresu URL sprawia, że nowe jednostki SKU bramy sieci wirtualnej są widoczne w portalu użytkowników usługi Azure Stack Hub:

https://portal.local.azurestack.local/?azurestacknewvpnskus=true

Przed utworzeniem tych zasobów operator musi mieć włączoną szybką ścieżkę sieci VPN w sygnaturze usługi Azure Stack Hub. Aby uzyskać więcej informacji, zobacz Szybka ścieżka sieci VPN dla operatorów.

Nowe jednostki SKU sieci wirtualnej platformy Azure

PowerShell

Poniższy przykład programu PowerShell określa -GatewaySku parametr jako Standardowy:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
   -GatewayType Vpn -VpnType RouteBased

Typy połączeń

W modelu wdrażania Resource Manager każda konfiguracja wymaga określonego typu połączenia bramy sieci wirtualnej. Dostępne Resource Manager wartości -ConnectionType programu PowerShell to IPsec.

W poniższym przykładzie programu PowerShell jest tworzone połączenie S2S, które wymaga typu połączenia IPsec:

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
   -Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
   -ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

Typy sieci VPN

Podczas tworzenia bramy sieci wirtualnej dla konfiguracji bramy sieci VPN należy określić typ sieci VPN. Wybrany typ sieci VPN zależy od topologii połączenia, którą chcesz utworzyć. Typ sieci VPN może również zależeć od używanego sprzętu. Konfiguracje S2S wymagają urządzenia sieci VPN. Niektóre urządzenia sieci VPN obsługują tylko określony typ sieci VPN.

Ważne

Obecnie usługa Azure Stack Hub obsługuje tylko typ sieci VPN oparty na trasach. Jeśli urządzenie obsługuje tylko sieci VPN oparte na zasadach, połączenia z tymi urządzeniami z usługi Azure Stack Hub nie są obsługiwane.

Ponadto usługa Azure Stack Hub nie obsługuje obecnie selektorów ruchu opartego na zasadach dla bram opartych na trasach, ponieważ usługa Azure Stack Hub nie obsługuje selektorów ruchu opartych na zasadach, chociaż są one obsługiwane na platformie Azure.

  • PolicyBased: sieci VPN oparte na zasadach szyfrują i bezpośrednie pakiety za pośrednictwem tuneli IPsec na podstawie zasad protokołu IPsec skonfigurowanych przy użyciu kombinacji prefiksów adresów między siecią lokalną a siecią wirtualną usługi Azure Stack Hub. Zasady lub selektor ruchu są zwykle listą dostępu w konfiguracji urządzenia sieci VPN.

    Uwaga

    Usługa PolicyBased jest obsługiwana na platformie Azure, ale nie w usłudze Azure Stack Hub.

  • RouteBased: sieci VPN oparte na trasach używają tras skonfigurowanych w tabeli przekazywania adresów IP lub routingu w celu kierowania pakietów do odpowiednich interfejsów tunelu. W dalszej kolejności interfejsy tuneli szyfrują lub odszyfrowują pakiety wchodzące do tuneli lub wychodzące z nich. Zasady lub selektor ruchu dla sieci VPN RouteBased są konfigurowane jako dowolne (lub używają symboli wieloznacznych). Domyślnie nie można ich zmienić. Wartość typu sieci VPN RouteBased to RouteBased.

Poniższy przykład programu PowerShell określa wartość -VpnTypeRouteBased. Podczas tworzenia bramy należy upewnić się, że konfiguracja -VpnType jest poprawna.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig `
   -GatewayType Vpn -VpnType RouteBased

Bramy sieci wirtualnej obsługują konfiguracje, gdy szybka ścieżka sieci VPN nie jest włączona

Typ sieci VPN Typ połączenia Obsługa routingu aktywnego (BGP) Włączono zdalny translator adresów sieciowych punktów końcowych
Podstawowa jednostka SKU VNG Sieć VPN oparta na trasach Klucz wstępny protokołu IPSec Nieobsługiwane Niewymagane
Standardowa jednostka SKU sieci wirtualnej Sieć VPN oparta na trasach Klucz wstępny protokołu IPSec Obsługiwane, maksymalnie 150 tras Niewymagane
jednostka SKU High-Performance VNG Sieć VPN oparta na trasach Klucz wstępny protokołu IPSec Obsługiwane, maksymalnie 150 tras Niewymagane

Bramy sieci wirtualnej obsługują konfiguracje po włączeniu szybkiej ścieżki sieci VPN

Typ sieci VPN Typ połączenia Aktywna obsługa routingu (BGP) Włączono zdalny translator adresów sieciowych punktów końcowych
Podstawowa jednostka SKU VNG Sieć VPN oparta na trasach Klucz wstępny protokołu IPSec Nieobsługiwane Wymagane
Standardowa jednostka SKU sieci wirtualnej Sieć VPN oparta na trasach Klucz wstępny protokołu IPSec Obsługiwane, maksymalnie 150 tras Wymagane
jednostka SKU High-Performance VNG Sieć VPN oparta na trasach Klucz wstępny protokołu IPSec Obsługiwane, maksymalnie 150 tras Wymagane
VPNGw1 VNG SKU Sieć VPN oparta na trasach Klucz wstępny protokołu IPSec Obsługiwane, maksymalnie 150 tras Wymagane
VPNGw2 VNG SKU Sieć VPN oparta na trasach Klucz wstępny protokołu IPSec Obsługiwane, maksymalnie 150 tras Wymagane
VPNGw2 VNG SKU Sieć VPN oparta na trasach Klucz wstępny protokołu IPSec Obsługiwane, maksymalnie 150 tras Wymagane

Podsieć bramy

Przed utworzeniem bramy sieci VPN należy utworzyć podsieć bramy. Podsieć bramy ma adresy IP używane przez maszyny wirtualne i usługi bramy sieci wirtualnej. Podczas tworzenia bramy sieci wirtualnej i połączenia maszyna wirtualna bramy będąca właścicielem połączenia zostanie połączona z podsiecią bramy i zostanie skonfigurowana przy użyciu wymaganych ustawień bramy sieci VPN. Nie wdrażaj niczego innego (na przykład dodatkowych maszyn wirtualnych) w podsieci bramy.

Ważne

Aby podsieć bramy działała prawidłowo, musi nosić nazwę GatewaySubnet. Usługa Azure Stack Hub używa tej nazwy do identyfikowania podsieci, do której mają zostać wdrożone maszyny wirtualne i usługi bramy sieci wirtualnej.

Podczas tworzenia podsieci bramy należy określić liczbę zawartych w niej adresów IP. Adresy IP w podsieci bramy są przydzielane do maszyn wirtualnych bramy i usług bramy. Niektóre konfiguracje wymagają większej liczby adresów IP niż inne. Zapoznaj się z instrukcjami dotyczącymi konfiguracji, którą chcesz utworzyć, i sprawdź, czy podsieć bramy, którą chcesz utworzyć, spełnia te wymagania.

Ponadto należy upewnić się, że podsieć bramy ma wystarczającą liczbę adresów IP, aby obsłużyć dodatkowe przyszłe konfiguracje. Chociaż można utworzyć podsieć bramy tak małą jak /29, zalecamy utworzenie podsieci bramy /28 lub większej (/28, /27, /26 itd.). Dzięki temu w przypadku dodania funkcji w przyszłości nie trzeba usuwać bramy, a następnie usuwać i ponownie utworzyć podsieć bramy, aby umożliwić uzyskanie większej liczby adresów IP.

W poniższym Resource Manager przykładzie programu PowerShell przedstawiono podsieć bramy o nazwie GatewaySubnet. Możesz zobaczyć notację CIDR określa /27, co pozwala na wystarczającą liczbę adresów IP dla większości konfiguracji, które obecnie istnieją.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Ważne

Podczas pracy z podsieciami bramy należy unikać kojarzenia sieciowej grupy zabezpieczeń (NSG, Network Security Group) z podsiecią bramy. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci VPN przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz Co to jest sieciowa grupa zabezpieczeń?.

Bramy sieci lokalnej

Podczas tworzenia konfiguracji bramy sieci VPN na platformie Azure brama sieci lokalnej często reprezentuje lokalizację lokalną. W usłudze Azure Stack Hub reprezentuje dowolne zdalne urządzenie sieci VPN, które znajduje się poza usługą Azure Stack Hub. To urządzenie może być urządzeniem sieci VPN w centrum danych (lub zdalnym centrum danych) lub bramą sieci VPN na platformie Azure.

Brama sieci lokalnej ma nazwę, publiczny adres IP zdalnego urządzenia sieci VPN i określa prefiksy adresów, które znajdują się w lokalizacji lokalnej. Usługa Azure Stack Hub analizuje prefiksy adresów docelowych dla ruchu sieciowego, sprawdza konfigurację określoną dla bramy sieci lokalnej i odpowiednio kieruje pakiety.

Ten przykład programu PowerShell tworzy nową bramę sieci lokalnej:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
   -Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Czasami należy zmodyfikować ustawienia bramy sieci lokalnej; na przykład podczas dodawania lub modyfikowania zakresu adresów lub zmiany adresu IP urządzenia sieci VPN. Aby uzyskać więcej informacji, zobacz Modyfikowanie ustawień bramy sieci lokalnej przy użyciu programu PowerShell.

Parametry protokołu IPsec/IKE

Podczas konfigurowania połączenia sieci VPN w usłudze Azure Stack Hub należy skonfigurować połączenie na obu końcach. Jeśli konfigurujesz połączenie sieci VPN między usługą Azure Stack Hub i urządzeniem sprzętowym, takim jak przełącznik lub router działający jako brama sieci VPN, to urządzenie może poprosić o dodatkowe ustawienia.

W przeciwieństwie do platformy Azure, która obsługuje wiele ofert zarówno jako inicjator, jak i osoba odpowiadająca, usługa Azure Stack Hub obsługuje domyślnie tylko jedną ofertę. Jeśli musisz użyć różnych ustawień protokołu IPSec/IKE do pracy z urządzeniem sieci VPN, dostępnych jest więcej ustawień, które można skonfigurować ręcznie. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad protokołu IPsec/IKE dla połączeń sieci VPN typu lokacja-lokacja.

Ważne

W przypadku korzystania z tunelu S2S pakiety są dodatkowo hermetyzowane dodatkowymi nagłówkami, co zwiększa ogólny rozmiar pakietu. W tych scenariuszach należy zaciskać protokół TCP MSS na poziomie 1350. Jeśli natomiast urządzenia sieci VPN nie obsługują zaciskania MSS, możesz też ustawić jednostki MTU w interfejsie tunelu na 1400 bajtów. Aby uzyskać więcej informacji, zobacz Virutal Network TCPIP performance tuning (Dostrajanie wydajności protokołu TCPIP dla sieci virutal).

Parametry protokołu IKE — faza 1 (tryb główny)

Właściwość Wartość
Wersja IKE IKEv2
grupa Diffie-Hellman* ECP384
Metoda uwierzytelniania Klucz wstępny
Algorytmy szyfrowania & tworzenia skrótów* AES256, SHA384
Okres istnienia skojarzeń zabezpieczeń (czas) 28 800 sekund

Parametry protokołu IKE — faza 2 (tryb szybki)

Właściwość Wartość
Wersja IKE IKEv2
Algorytmy szyfrowania & tworzenia skrótów (szyfrowanie) GCMAES256
Algorytmy szyfrowania & tworzenia skrótów (uwierzytelnianie) GCMAES256
Okres istnienia skojarzeń zabezpieczeń (czas) 27 000 sekund
Okres istnienia skojarzenia zabezpieczeń (kilobajty) 33,553,408
Doskonała tajemnica przekazywania (PFS)* ECP384
Wykrywanie nieaktywnych elementów równorzędnych Obsługiwane

* Nowy lub zmieniony parametr.

Następne kroki