Routing sieci VPN typu punkt-lokacja — informacje

  • Artykuł

Ten artykuł pomaga zrozumieć, jak działa routing sieci VPN typu punkt-lokacja platformy Azure. Zachowanie routingu sieci VPN punkt-lokacja jest zależne od systemu operacyjnego klienta, protokołu używanego na potrzeby połączenia sieci VPN oraz sposobu połączenia sieci wirtualnych ze sobą. Aby uzyskać więcej informacji na temat sieci VPN typu punkt-lokacja, w tym obsługiwanych protokołów, zobacz About Point-to-Site VPN (Informacje o sieci VPN typu punkt-lokacja).

Jeśli wprowadzisz zmianę w topologii sieci i masz klientów sieci VPN systemu Windows, należy pobrać i zainstalować ponownie pakiet klienta sieci VPN dla klientów systemu Windows, aby zmiany zostały zastosowane do klienta.

Uwaga

Ten artykuł dotyczy tylko protokołów IKEv2 i OpenVPN.

Informacje o diagramach

Ten artykuł zawiera wiele różnych diagramów. Każda sekcja zawiera inną topologię lub konfigurację. Na potrzeby tego artykułu połączenia typu lokacja-lokacja (S2S) i połączenia między sieciami wirtualnymi działają w taki sam sposób, jak w przypadku tuneli IPsec. Wszystkie bramy sieci VPN w tym artykule są oparte na trasach.

Jedna izolowana sieć wirtualna

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci wirtualnej, która nie jest połączona ani połączona za pomocą komunikacji równorzędnej z żadną inną siecią wirtualną (VNet1). W tym przykładzie klienci mogą uzyskiwać dostęp do sieci VNet1.

Routing izolowanej sieci wirtualnej

Przestrzeń adresowa

  • Sieć wirtualna 1: 10.1.0.0/16

Dodano trasy

  • Trasy dodane do klientów z systemem Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp do sieci VNet1

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp do sieci VNet1

Wiele wirtualnych sieci równorzędnych

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci VNet1. Sieć VNet1 jest równorzędna z siecią VNet2. Sieć wirtualna 2 jest równorzędna z siecią VNet3. Sieć VNet1 jest równorzędna z siecią VNet4. Nie ma bezpośredniej komunikacji równorzędnej między sieciami VNet1 i VNet3. Sieć VNet1 ma włączoną opcję "Zezwalaj na tranzyt bramy", a sieci VNet2 i VNet4 mają włączoną opcję "Użyj bram zdalnych".

Klienci korzystający z systemu Windows mogą uzyskiwać dostęp do sieci wirtualnych bezpośrednio równorzędnych, ale klient sieci VPN musi zostać pobrany ponownie, jeśli zostaną wprowadzone jakiekolwiek zmiany w komunikacji równorzędnej sieci wirtualnej lub topologii sieci. Klienci spoza systemu Windows mogą uzyskiwać dostęp do bezpośrednio równorzędnych sieci wirtualnych. Dostęp nie jest przechodni i jest ograniczony tylko do bezpośrednio równorzędnych sieci wirtualnych.

Wiele wirtualnych sieci równorzędnych

Przestrzeń adresowa:

  • Sieć wirtualna 1: 10.1.0.0/16

  • Sieć wirtualna 2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • VNet4: 10.4.0.0/16

Dodano trasy

  • Trasy dodane do klientów systemu Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp do sieci VNet1, VNet2 i VNet4, ale aby zmiany topologii zaczęły obowiązywać, należy pobrać ponownie klienta sieci VPN.

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp do sieci VNet1, VNet2 i VNet4

Wiele sieci wirtualnych połączonych przy użyciu sieci VPN S2S

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci VNet1. Sieć VNet1 jest połączona z siecią VNet2 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Sieć VNet2 jest połączona z siecią VNet3 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Nie ma bezpośredniego połączenia komunikacji równorzędnej ani sieci VPN typu lokacja-lokacja między sieciami VNet1 i VNet3. Wszystkie połączenia typu lokacja-lokacja nie uruchamiają protokołu BGP na potrzeby routingu.

Klienci korzystający z systemu Windows lub innego obsługiwanego systemu operacyjnego mogą uzyskiwać dostęp tylko do sieci VNet1. Aby uzyskać dostęp do dodatkowych sieci wirtualnych, należy użyć protokołu BGP.

Wiele sieci wirtualnych i lokacji lokacji

Przestrzeń adresowa

  • Sieć wirtualna 1: 10.1.0.0/16

  • Sieć wirtualna 2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Dodano trasy

  • Trasy dodane do klientów z systemem Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp tylko do sieci VNet1

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp tylko do sieci VNet1

Wiele sieci wirtualnych połączonych przy użyciu sieci VPN S2S (BGP)

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci VNet1. Sieć VNet1 jest połączona z siecią VNet2 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Sieć VNet2 jest połączona z siecią VNet3 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Nie ma bezpośredniego połączenia komunikacji równorzędnej ani sieci VPN typu lokacja-lokacja między sieciami VNet1 i VNet3. Wszystkie połączenia typu lokacja-lokacja uruchamiają protokół BGP na potrzeby routingu.

Klienci korzystający z systemu Windows lub innego obsługiwanego systemu operacyjnego mogą uzyskiwać dostęp do wszystkich sieci wirtualnych połączonych przy użyciu połączenia sieci VPN typu lokacja-lokacja, ale trasy do połączonych sieci wirtualnych muszą zostać ręcznie dodane do klientów systemu Windows.

Wiele sieci wirtualnych i S2S (BGP)

Przestrzeń adresowa

  • Sieć wirtualna 1: 10.1.0.0/16

  • Sieć wirtualna 2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Dodano trasy

  • Trasy dodane do klientów z systemem Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp do sieci VNet1, VNet2 i VNet3, ale należy ręcznie dodać trasy do sieci VNet2 i VNet3.

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp do sieci VNet1, VNet2 i VNet3

Jedna sieć wirtualna i biuro oddziału

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci VNet1. Sieć VNet1 nie jest połączona/połączona za pomocą komunikacji równorzędnej z żadną inną siecią wirtualną, ale jest połączona z lokacją lokalną za pośrednictwem połączenia sieci VPN typu lokacja-lokacja, które nie korzysta z protokołu BGP.

Klienci z systemami Windows i innych niż Windows mogą uzyskiwać dostęp tylko do sieci VNet1.

Routing z siecią wirtualną i oddziałem

Przestrzeń adresowa

  • Sieć wirtualna 1: 10.1.0.0/16

  • Witryna 1: 10.101.0.0/16

Dodano trasy

  • Trasy dodane do klientów z systemem Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp tylko do sieci VNet1

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp tylko do sieci VNet1

Jedna sieć wirtualna i oddział (BGP)

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci VNet1. Sieć VNet1 nie jest połączona ani połączona za pomocą komunikacji równorzędnej z żadną inną siecią wirtualną, ale jest połączona z lokacją lokalną (lokacja1) za pośrednictwem połączenia sieci VPN typu lokacja-lokacja z uruchomionym protokołem BGP.

Klienci systemu Windows mogą uzyskiwać dostęp do sieci wirtualnej i biura oddziału (Site1), ale trasy do lokacji Site1 muszą zostać dodane ręcznie do klienta. Klienci spoza systemu Windows mogą uzyskiwać dostęp do sieci wirtualnej i lokalnego biura oddziału.

Routing z siecią wirtualną i oddziałem — BGP

Przestrzeń adresowa

  • Sieć wirtualna 1: 10.1.0.0/16

  • Witryna 1: 10.101.0.0/16

Dodano trasy

  • Trasy dodane do klientów z systemem Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp do sieci VNet1 i Site1, ale trasy do lokacji Site1 muszą zostać dodane ręcznie.

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp do sieci VNet1 i Site1.

Wiele sieci wirtualnych połączonych przy użyciu połączeń S2S i biura oddziału

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci VNet1. Sieć VNet1 jest połączona z siecią VNet2 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Sieć VNet2 jest połączona z siecią VNet3 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Nie istnieje bezpośrednia komunikacja równorzędna ani tunel VPN typu lokacja-lokacja między sieciami VNet1 i VNet3. Sieć VNet3 jest połączona z oddziałem (Site1) przy użyciu połączenia sieci VPN typu lokacja-lokacja. Wszystkie połączenia sieci VPN nie są uruchomione przy użyciu protokołu BGP.

Wszyscy klienci mogą uzyskiwać dostęp tylko do sieci VNet1.

Diagram przedstawiający sieć S2S z wieloma sieciami wirtualnymi i oddziałem

Przestrzeń adresowa

  • Sieć wirtualna 1: 10.1.0.0/16

  • Sieć wirtualna 2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Witryna 1: 10.101.0.0/16

Dodano trasy

  • Trasy dodane do klientów z systemem Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp tylko do sieci VNet1

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp tylko do sieci VNet1

Wiele sieci wirtualnych połączonych przy użyciu S2S i biura oddziału (BGP)

W tym przykładzie połączenie bramy sieci VPN typu punkt-lokacja dotyczy sieci VNet1. Sieć VNet1 jest połączona z siecią VNet2 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Sieć VNet2 jest połączona z siecią VNet3 przy użyciu połączenia sieci VPN typu lokacja-lokacja. Nie istnieje bezpośrednia komunikacja równorzędna ani tunel VPN typu lokacja-lokacja między sieciami VNet1 i VNet3. Sieć VNet3 jest połączona z oddziałem (Site1) przy użyciu połączenia sieci VPN typu lokacja-lokacja. Wszystkie połączenia sieci VPN są uruchomione przy użyciu protokołu BGP.

Klienci korzystający z systemu Windows mogą uzyskiwać dostęp do sieci wirtualnych i lokacji połączonych przy użyciu połączenia sieci VPN typu lokacja-lokacja, ale trasy do sieci VNet2, VNet3 i Site1 muszą zostać ręcznie dodane do klienta. Klienci z systemem innym niż Windows mogą uzyskiwać dostęp do sieci wirtualnych i lokacji połączonych przy użyciu połączenia sieci VPN typu lokacja-lokacja bez konieczności ręcznej interwencji. Dostęp jest przechodni, a klienci mogą uzyskiwać dostęp do zasobów we wszystkich połączonych sieciach wirtualnych i lokacjach (lokalnie).

wiele sieci wirtualnych typu lokacja-lokacja i oddział

Przestrzeń adresowa

  • Sieć wirtualna 1: 10.1.0.0/16

  • Sieć wirtualna 2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Witryna 1: 10.101.0.0/16

Dodano trasy

  • Trasy dodane do klientów z systemem Windows: 10.1.0.0/16, 192.168.0.0/24

  • Trasy dodane do klientów innych niż Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Klienci systemu Windows mogą uzyskiwać dostęp do sieci VNet1, VNet2, VNet3 i Site1, ale trasy do sieci VNet2, VNet3 i Site1 muszą zostać ręcznie dodane do klienta.

  • Klienci spoza systemu Windows mogą uzyskiwać dostęp do sieci VNet1, Vnet2, VNet3 i Site1.

Następne kroki

Zobacz Tworzenie sieci VPN punkt-lokacja przy użyciu Azure Portal, aby rozpocząć tworzenie sieci VPN P2S.