Sobre o roteamento VPN Ponto a Site

Este artigo ajuda você a entender como o roteamento de VPN Ponto a Site do Azure se comporta. O comportamento de roteamento de VPN P2S depende do sistema operacional do cliente, o protocolo usado para a conexão VPN e como as redes virtuais (VNets) são conectadas umas às outras. Para saber mais sobre a VPN ponto a site, incluindo protocolos com suporte, confira Sobre a VPN ponto a site.

Se você fizer uma alteração na topologia de rede e tiver clientes VPN do Windows, o pacote de cliente VPN para clientes do Windows deve ser baixado e instalado novamente para que as alterações sejam aplicadas ao cliente.

Observação

Este artigo se aplica somente a IKEv2 e OpenVPN.

Sobre os diagramas

Há vários diagramas diferentes neste artigo. Cada seção mostra uma topologia ou configuração diferente. Para os fins deste artigo, as conexões VNet a VNet e Site a Site (S2S) funcionam da mesma maneira, pois ambas são túneis IPsec. Todos os gateways VPN neste artigo são baseadas em rota.

Uma VNet isolada

A conexão de gateway de VPN ponto a site neste exemplo é para uma rede virtual que não está conectada ou emparelhada com qualquer outra rede virtual (VNet1). Neste exemplo, os clientes podem acessar VNet1.

Roteamento de VNet isolada

Espaço de endereço

  • VNet1: 10.1.0.0/16

Rotas adicionadas

  • Rotas adicionadas aos clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas aos clientes não Windows: 10.1.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem acessar VNet1

  • Os clientes não Windows podem acessar VNet1

Vários emparelhadas VNets

Neste exemplo, a conexão de gateway VPN Ponto a Site é para VNet1. VNet1 é emparelhada com VNet2. VNet2 é emparelhada com VNet3. VNet1 é emparelhada com VNet4. Não há nenhuma correspondência direta entre VNet1 e VNet3. Estão habilitados "Permitir tráfego de gateway" no VNet1 e "Usar gateways remotos" no VNet2 e VNet4.

Os clientes que usam o Windows podem acessar VNets emparelhadas diretamente, mas o cliente VPN deve ser baixado novamente, se as alterações são feitas para emparelhamento de rede virtual ou a topologia de rede. Os clientes não Windows podem acessar VNets emparelhadas diretamente. O acesso não é transitivo e é limitado a apenas VNets emparelhadas diretamente.

Várias VNets emparelhadas

Espaço de endereço:

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • VNet4: 10.4.0.0/16

Rotas adicionadas

  • Rotas adicionadas aos clientes Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

  • Rotas adicionadas aos clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem acessar VNet1, VNet2 e VNet4, mas o cliente VPN deve ser baixado novamente para que as alterações de topologia entrem em vigor.

  • Os clientes não Windows podem acessar VNet1, VNet2 e VNet4

Várias VNets conectadas usando uma VPN S2S

Neste exemplo, a conexão de gateway VPN Ponto a Site é para VNet1. VNet1 é conectada à VNet2 usando uma conexão VPN Site a Site. VNet2 é conectada à VNet3 usando uma conexão VPN Site a Site. Não há nenhuma conexão VPN Site a Site ou emparelhamento direto entre VNet1 e VNet3. Todas as conexões site a site não estão executando o BGP para roteamento.

Os clientes que usam o Windows ou outro sistema operacional com suporte só podem acessar VNet1. Para acessar VNets adicionais, o BGP deve ser usado.

Várias VNets e S2S

Espaço de endereço

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Rotas adicionadas

  • Rotas adicionadas aos clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas aos clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem acessar apenas VNet1

  • Os clientes não Windows podem acessar apenas VNet1

Várias VNets conectadas usando uma VPN S2S (BGP)

Neste exemplo, a conexão de gateway VPN Ponto a Site é para VNet1. VNet1 é conectada à VNet2 usando uma conexão VPN Site a Site. VNet2 é conectada à VNet3 usando uma conexão VPN Site a Site. Não há nenhuma conexão VPN Site a Site ou emparelhamento direto entre VNet1 e VNet3. Todas as conexões Site a Site não estão executando o BGP para roteamento.

Clientes que usam Windows ou outro sistema operacional com suporte podem acessar todas as VNets que estão conectadas usando a conexão VPN Site a Site, mas as rotas a VNets conectadas devem ser adicionadas manualmente aos clientes Windows.

Várias VNets e S2S (BGP)

Espaço de endereço

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Rotas adicionadas

  • Rotas adicionadas aos clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas aos clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem acessar VNet1, VNet2 e VNet3, mas rotas para VNet2 e VNet3 devem ser adicionadas manualmente.

  • Os clientes não Windows podem acessar VNet1, VNet2 e VNet3

Uma VNet e uma filial

Neste exemplo, a conexão de gateway VPN Ponto a Site é para VNet1. VNet1 não é conectada/emparelhada com nenhuma outra rede virtual, mas é conectado a um site local por meio de uma conexão VPN Site a Site que não esteja executando o BGP.

Os clientes do Windows e não Windows podem acessar apenas VNet1.

Roteamento com uma VNet e uma filial

Espaço de endereço

  • VNet1: 10.1.0.0/16

  • Site1: 10.101.0.0/16

Rotas adicionadas

  • Rotas adicionadas aos clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas aos clientes não Windows: 10.1.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem acessar apenas VNet1

  • Os clientes não Windows podem acessar apenas VNet1

Uma VNet e uma filial (BGP)

Neste exemplo, a conexão de gateway VPN Ponto a Site é para VNet1. A VNet1 não está conectada ou emparelhada com nenhuma outra rede virtual, mas está conectado a um site local (Site1) por meio de uma conexão VPN site a site executando o BGP.

Os clientes Windows podem acessar VNet e filial (Site1), mas as rotas para Site1 devem ser adicionadas manualmente ao cliente. Os clientes não Windows podem acessar a VNet e a filial local.

Roteamento com uma VNet e uma filial - BGP

Espaço de endereço

  • VNet1: 10.1.0.0/16

  • Site1: 10.101.0.0/16

Rotas adicionadas

  • Rotas adicionadas aos clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas aos clientes não Windows: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem acessar VNet1 e Site1, mas rotas para Site1 devem ser adicionadas manualmente.

  • Os clientes não Windows podem acessar VNet1 e Site1.

Várias VNets conectadas usando S2S e uma filial

Neste exemplo, a conexão de gateway VPN Ponto a Site é para VNet1. VNet1 é conectada à VNet2 usando uma conexão VPN Site a Site. VNet2 é conectada à VNet3 usando uma conexão VPN Site a Site. Não há nenhum tunel VPN Site a Site ou emparelhamento direto entre as redes VNet1 e VNet3. VNet3 é conectada a uma filial (Site1) usando uma conexão VPN Site a Site. Todas as conexões VPN não estão executando o BGP.

Todos os clientes podem acessar apenas VNet1.

Diagrama que mostra um S2S de várias VNets e uma filial

Espaço de endereço

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Site1: 10.101.0.0/16

Rotas adicionadas

  • Rotas adicionadas aos clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas aos clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem acessar apenas VNet1

  • Os clientes não Windows podem acessar apenas VNet1

Várias VNets conectadas usando S2S e uma filial (BGP)

Neste exemplo, a conexão de gateway VPN Ponto a Site é para VNet1. VNet1 é conectada à VNet2 usando uma conexão VPN Site a Site. VNet2 é conectada à VNet3 usando uma conexão VPN Site a Site. Não há nenhum tunel VPN Site a Site ou emparelhamento direto entre as redes VNet1 e VNet3. VNet3 é conectada a uma filial (Site1) usando uma conexão VPN Site a Site. Todas as conexões VPN estão executando o BGP.

Os clientes que usam o Windows podem acessar VNets e sites que são conectados usando uma conexão VPN Site a Site, mas as rotas para VNet2, VNet3 e Site1 devem ser adicionados manualmente ao cliente. Os clientes não Windows podem acessar VNets e sites que são conectados usando uma conexão VPN Site a Site sem qualquer intervenção manual. O acesso é transitivo, e os clientes podem acessar recursos em todos os sites (local) e VNets conectadas.

S2S de várias VNets e uma filial

Espaço de endereço

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Site1: 10.101.0.0/16

Rotas adicionadas

  • Rotas adicionadas aos clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas aos clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem acessar VNet1, VNet2, VNet3 e Site1, mas as rotas para VNet2, VNet3 e Site1 devem ser adicionadas manualmente ao cliente.

  • Os clientes não Windows podem acessar VNet1, Vnet2, VNet3 e Site1.

Próximas etapas

Consulte Criar uma VPN P2S usando o portal do Azure para começar a criar sua VPN P2S.