Co to jest brama VPN?

Brama VPN to określony typ wirtualnej bramy sieciowej używany do wysyłania zaszyfrowanego ruchu między siecią wirtualną platformy Azure a lokalizacją lokalną za pośrednictwem publicznego Internetu. Możesz również użyć bramy VPN do wysyłania zaszyfrowanego ruchu między sieciami wirtualnymi platformy Azure przez sieć Firmy Microsoft. Każda sieć wirtualna może mieć tylko jedną bramę VPN. Można jednak utworzyć wiele połączeń z tę samą bramą VPN. Podczas tworzenia wielu połączeń z tę samą bramą VPN wszystkie połączenia vpn mają dostępną przepustowość bramy.

Co to jest wirtualna brama sieciowa?

Brama sieci wirtualnej składa się z co najmniej dwóch maszyn wirtualnych, które są automatycznie konfigurowane i wdrażane w określonej podsieci nazywanej podsiecią bramy. Maszyny wirtualne bramy zawierają tabele routingu i są uruchamiane określone usługi bramy. Nie można bezpośrednio skonfigurować maszyn wirtualnych, które są częścią bramy sieci wirtualnej, chociaż ustawienia wybrane podczas konfigurowania bramy wpływają na tworzone maszyny wirtualne bramy.

Co to jest brama VPN?

Podczas konfigurowania bramy sieci wirtualnej konfiguruje się ustawienie, które określa typ bramy. Typ bramy określa sposób, w jaki będzie używana brama sieci wirtualnej, oraz akcje, jakie przyjmuje brama. Typ bramy "Vpn" określa, że typem utworzonej bramy sieci wirtualnej jest "brama VPN". To odróżnia ją od bramy usługi ExpressRoute, która używa innego typu bramy. Sieć wirtualna może mieć dwie wirtualne bramy sieciowe. jedną bramę VPN i jedną bramę usługi ExpressRoute. Aby uzyskać więcej informacji, zobacz Typy bram.

Podczas tworzenia bramy VPN w podsieci bramy są wdrażane maszyny wirtualne bramy skonfigurowane przy użyciu określonych ustawień. Ten proces może potrwać co najmniej 45 minut w zależności od wybranej aktualizacji bramy. Po utworzeniu bramy SIECI VPN można utworzyć połączenie sieci vpn IPsec/IKE między bramą VPN a inną bramą SIECI VPN (VNet-to-VNet) lub utworzyć między siedzibową bramą sieci VPN połączenie sieci VPN (IPsec/IKE) między bramą VPN a lokalnym urządzeniem VPN (Site-to-Site). Możesz również utworzyć połączenie typu punkt-lokacja VPN (VPN przez OpenVPN, IKEv2 lub SSTP), które pozwala łączyć się z siecią wirtualną z lokalizacji zdalnej, na przykład z konferencji lub z domu.

Konfigurowanie bramy VPN

Połączenie bramy VPN korzysta z wielu zasobów skonfigurowanych z określonymi ustawieniami. Większość zasobów można skonfigurować oddzielnie, chociaż niektóre zasoby muszą być skonfigurowane w określonej kolejności.

Łączność

Ponieważ możesz utworzyć wiele konfiguracji połączeń za pomocą bramy VPN, musisz określić, która konfiguracja najlepiej odpowiada Twoim potrzebom. Wszystkie połączenia typu punkt-witryna, witryna-witryna oraz współtwory połączenia usługi ExpressRoute/lokacji z witryną mają różne instrukcje i wymagania konfiguracyjne. Aby uzyskać diagramy połączeń i odpowiadające im linki do etapów konfiguracji, zobacz Projekt bramy VPN.

Tabela planowania

W poniższej tabeli przedstawiono najlepszą opcję łączności dla twojego rozwiązania. Należy zauważyć, że usługa ExpressRoute nie jest częścią bramy VPN, ale jest uwzględniona w tabeli.

Point-to-Site Site-to-Site ExpressRoute
Usługi obsługiwane przez platformę Azure Usługi w chmurze i maszyny wirtualne Usługi w chmurze i maszyny wirtualne Lista usług
Typowe przepustowości Na podstawie sKU bramy Zazwyczaj < agregacja 1 Gb/s 50 Mb/s, 100 Mb/s, 200 Mb/s, 500 Mb/s, 1 Gb/s, 2 Gb/s, 5 Gb/s, 10 Gb/s
Protokoły obsługiwane Protokół SSTP (Secure Sockets Protocol), OpenVPN i IPsec IPsec Bezpośrednie połączenie przez sieci VLANs, technologie VPN NSP (MPLS, VPLS,...)
Routing RouteBased (dynamiczna) Obsługujemy zasadyPodstawowe (routing statyczny) i RouteBased (routing dynamiczny VPN) BGP
Odporność połączenia aktywny-pasywny aktywny-pasywny lub aktywny-aktywny active-active
Typowy przypadek użycia Bezpieczny dostęp do sieci wirtualnych platformy Azure dla użytkowników zdalnych Scenariusze deweloper/test/laboratorium oraz obciążenia produkcyjne na małą lub średnią skalę dla usług w chmurze i maszyn wirtualnych Dostęp do wszystkich usług platformy Azure (zweryfikowana lista), Enterprise i krytycznych obciążeń, Kopia zapasowa, Duże dane, Azure jako witryna dr
SLA SLA SLA SLA
Ceny Ceny Ceny Ceny
Dokumentacja techniczna Brama VPN Brama VPN ExpressRoute
FAQ Brama VPN — często zadawane pytania Brama VPN — często zadawane pytania ExpressRoute — często zadawane pytania

Ustawienia

Ustawienia wybrane dla każdego zasobu mają kluczowe znaczenie dla pomyślnego połączenia. Aby uzyskać informacje o poszczególnych zasobach i ustawieniach bramy VPN, zobacz Ustawienia bramy VPN — informacje. Ten artykuł zawiera informacje pomocne w zrozumieniu typów bram, jednostki SKU bramy, typów połączeń VPN, typów połączeń, podsieci bram, lokalnych bram sieciowych oraz różnych innych ustawień zasobów, które warto rozważyć.

Narzędzia wdrażania

Możesz rozpocząć tworzenie i konfigurowanie zasobów przy użyciu jednego narzędzia do konfiguracji, takiego jak Azure Portal. Później możesz przełączyć się do innego narzędzia, takiego jak program PowerShell, w celu skonfigurowania dodatkowych zasobów lub zmodyfikowania istniejących zasobów, jeśli ma to zastosowanie. Obecnie nie można skonfigurować wszystkich ustawień zasobów i zasobów w portalu Azure Portal. Instrukcje w artykułach dotyczących poszczególnych topologii połączeń określają, kiedy jest wymagane określone narzędzie konfiguracyjne.

Jednostki SKU bramy

Tworząc wirtualną bramę sieciową, określasz używaną bramę SKU. Wybierz jednostkę SKU spełniaca wymagania na podstawie typów obciążeń, przepływności, funkcji i slA.

  • Aby uzyskać więcej informacji o jednostkach SKU bramy, w tym o obsługiwanych funkcjach, testach produkcyjnych i deweloperach oraz krokach konfiguracji, zobacz artykuł Jednostki SKU Brama VPN Ustawienia — Bramy.
  • Aby uzyskać informacje o starszych wersjach SKU, zobacz Praca ze starszymi jednostkami SKU.

Jednostki SKU bramy według przepływu pracy, połączenia i przepływności

VPN
Brama
Generowanie
SKU S2S/VNet-to-VNet
Nasyłki
P2S
Połączenia SSTP
P2S
Połączenia IKEv2/OpenVPN
Agregacja
Wskaźnik przepływności
BGP Nadmiarowe strefy
Generowanie1 Podstawowe Maks. 10 Maks. 128 Nie obsługiwane 100 Mb/s Nie obsługiwane Nie
Generowanie1 VpnGw1 Maks. 30 Maks. 128 Maks. 250 650 Mb/s Obsługiwane Nie
Generowanie1 VpnGw2 Maks. 30 Maks. 128 Maks. 500 1 Gb/s Obsługiwane Nie
Generowanie1 VpnGw3 Maks. 30 Maks. 128 Maks. 1000 1,25 Gb/s Obsługiwane Nie
Generowanie1 VpnGw1AZ Maks. 30 Maks. 128 Maks. 250 650 Mb/s Obsługiwane Tak
Generowanie1 VpnGw2AZ Maks. 30 Maks. 128 Maks. 500 1 Gb/s Obsługiwane Tak
Generowanie1 VpnGw3AZ Maks. 30 Maks. 128 Maks. 1000 1,25 Gb/s Obsługiwane Tak
Generowanie2 VpnGw2 Maks. 30 Maks. 128 Maks. 500 1,25 Gb/s Obsługiwane Nie
Generowanie2 VpnGw3 Maks. 30 Maks. 128 Maks. 1000 2,5 Gb/s Obsługiwane Nie
Generowanie2 VpnGw4 Maks. 100* Maks. 128 Maks. 5000 5 Gb/s Obsługiwane Nie
Generowanie2 VpnGw5 Maks. 100* Maks. 128 Maks. 10000 10 Gb/s Obsługiwane Nie
Generowanie2 VpnGw2AZ Maks. 30 Maks. 128 Maks. 500 1,25 Gb/s Obsługiwane Tak
Generowanie2 VpnGw3AZ Maks. 30 Maks. 128 Maks. 1000 2,5 Gb/s Obsługiwane Tak
Generowanie2 VpnGw4AZ Maks. 100* Maks. 128 Maks. 5000 5 Gb/s Obsługiwane Tak
Generowanie2 VpnGw5AZ Maks. 100* Maks. 128 Maks. 10000 10 Gb/s Obsługiwane Tak

(*) Użyj wirtualnej sieci WAN, jeśli potrzebujesz ponad 100 sieci VPN.

  • Zmienianie rozmiaru wersji vpnGw jest dozwolone w tej samej generacji, z wyjątkiem zmiany rozmiaru podstawowej jednostki SKU. Podstawowa wersja SKU to starsza wersja SKU, która ma ograniczenia funkcji. Aby przejść z wersji Basic do innej wersji vpnGw, należy usunąć podstawową bramę VPN dla tej bramy i utworzyć nową bramę o odpowiedniej kombinacji rozmiaru generacji i SKU. Rozmiar bramy podstawowej można zmienić tylko na inną starszą jednostkę SKU (zobacz Praca ze starszymi jednostkami SKU).

  • Te limity połączeń są oddzielne. Na przykład w przypadku SKU VpnGw1 możesz mieć 128 połączeń SSTP oraz 250 połączeń IKEv2.

  • Informacje o cenach można znaleźć na stronie Ceny.

  • Informacje dotyczące poziomu usług (SLA) można znaleźć na stronie SLA.

  • W przypadku pojedynczego przepustowość na jednym przepływności 1 Gb/s można uzyskać przepływność 1 Gb/s. Zagregowany wskaźnik przepływności w powyższej tabeli jest oparty na pomiarach wielu przepływów zagregowanych za pośrednictwem jednej bramy. Zagregowany wskaźnik przepływności dla bramy VPN to połączenie S2S + P2S. Jeśli masz wiele połączeń P2S, może to mieć negatywny wpływ na połączenie S2S ze względu na ograniczenia przepływności. Zagregowany wskaźnik przepływności nie jest gwarantowaną przepływnością ze względu na warunki ruchu internetowego i zachowania aplikacji.

Aby ułatwić naszym klientom zrozumienie względnej wydajności jednostki SKU przy użyciu różnych algorytmów, korzystaliśmy z publicznie dostępnych narzędzi iPerf i CTSTraffic do mierzenia wydajności. W poniższej tabeli wymieniono wyniki testów wydajności dla jednostki SKU VpnGw 1 generacji. Jak widać, najlepszą wydajność uzyskuje się, gdy u używano algorytmu GCMAES256 zarówno do szyfrowania IPsec, jak i integralności. Podczas korzystania z protokołu AES256 w celu szyfrowania IPsec i szyfrowania SHA256 w celu zapewnienia integralności osiągliśmy średnią wydajność. Gdy używaliśmy protokołu DES3 do szyfrowania IPsec i metody SHA256 w celu zapewnienia integralności, osiągliśmy najniższą wydajność.

Podszycie vpn łączy się z wystąpieniem bramy VPN. Przepływność każdego wystąpienia jest wymieniona w powyższej tabeli przepływności i jest dostępna zagregowana dla wszystkich łączników łączących się z tym wystąpieniem.

Generowanie SKU Algorytmy
używane
Przepływność
obserwowany na każdy podkołowy
Liczba pakietów na sekundę na każdy sekundę
obserwowane
Generowanie1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mb/s
500 Mb/s
120 Mb/s
58,000
50,000
50,000
Generowanie1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gb/s
500 Mb/s
120 Mb/s
90,000
80,000
55,000
Generowanie1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/s
550 Mb/s
120 Mb/s
105,000
90,000
60,000
Generowanie1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mb/s
500 Mb/s
120 Mb/s
58,000
50,000
50,000
Generowanie1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gb/s
500 Mb/s
120 Mb/s
90,000
80,000
55,000
Generowanie1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/s
550 Mb/s
120 Mb/s
105,000
90,000
60,000

Strefy dostępności

Bramy VPN można wdrażać w strefach dostępności platformy Azure. Zapewnia to odporność, skalowalność i wyższą dostępność dla wirtualnych bram sieciowych. Wdrażanie bram w strefach dostępności platformy Azure fizycznie i logicznie oddziela bramy w regionie, chroniąc lokalną łączność sieciową z platformą Azure przed błędami na poziomie strefy. Zobacz Informacje o nadmiarowych strefach wirtualnych bram sieciowych w strefach dostępności platformy Azure.

Ceny

Płacisz za dwie rzeczy: godzinowe koszty obliczania dla wirtualnej bramy sieciowej i transfer danych ruchu wychodzącego z bramy sieci wirtualnej. Informacje o cenach można znaleźć na stronie Ceny. Aby uzyskać informacje o starszych wersjach cen dla wersji SKU bramy, zobacz stronę cennika usługi ExpressRoute i przewiń do sekcji Wirtualne bramy sieciowe.

Koszty obliczania bramy sieci wirtualnej
Każda brama sieci wirtualnej ma cogodzinny koszt obliczeń. Cena jest określana na podstawie ceny owej bramy, która jest określana podczas tworzenia bramy sieci wirtualnej. Koszt jest sam dla bramy i stanowi dodatek do transferu danych, który przepływa przez bramę. Koszt aktywnego ustawienia jest taki sam jak dla aktywnych pasywnych.

Koszty transferu danych
Koszty transferu danych są obliczane na podstawie ruchu wychodzącego z bramy źródłowej sieci wirtualnej.

  • Jeśli wysyłasz ruch do lokalnego urządzenia VPN, zostanie na nim naliczona opłata za przesyłanie danych ruchu wychodzącego do Internetu.
  • Jeśli wysyłasz ruch między sieciami wirtualnymi w różnych regionach, cena jest oparta na regionie.
  • Jeśli wysyłasz ruch tylko między sieciami wirtualnymi, które znajdują się w tym samym regionie, nie są kosztami danych. Ruch między sieciami VNets w tym samym regionie jest bezpłatny.

Aby uzyskać więcej informacji na temat jednostki SKU bramy dla bramy VPN, zobacz Jednostki SKU bramy.

FAQ

Aby uzyskać odpowiedzi na często zadawane pytania dotyczące bramy VPN, zobacz Brama VPN — często zadawane pytania.

Co nowego?

Zasubskrybuj kanał informacyjny RSS i wyświetlaj najnowsze aktualizacje funkcji bramy VPN na stronie Aktualizacje platformy Azure.

Następne kroki