Acerca do encaminhamento VPN de Ponto a Site

  • Artigo

Este artigo ajuda-o a compreender o comportamento do encaminhamento de VPN Ponto a Site do Azure. O comportamento de encaminhamento de VPN P2S depende do SO cliente, do protocolo utilizado para a ligação VPN e da forma como as redes virtuais (VNets) estão ligadas entre si. Para obter mais informações sobre a VPN Ponto a Site, incluindo protocolos suportados, veja About Point-to-Site VPN (Acerca da VPN Ponto a Site).

Se fizer uma alteração à topologia da sua rede e tiver clientes VPN do Windows, o pacote de cliente VPN para clientes Windows tem de ser transferido e instalado novamente para que as alterações sejam aplicadas ao cliente.

Nota

Este artigo aplica-se apenas a IKEv2 e OpenVPN.

Acerca dos diagramas

Existem vários diagramas diferentes neste artigo. Cada secção mostra uma topologia ou configuração diferente. Para efeitos deste artigo, as ligações Site a Site (S2S) e VNet a VNet funcionam da mesma forma, tal como ambos são túneis IPsec. Todos os gateways de VPN neste artigo são baseados em rotas.

Uma VNet isolada

A ligação de gateway de VPN Ponto a Site neste exemplo destina-se a uma VNet que não está ligada ou em modo de peering com qualquer outra rede virtual (VNet1). Neste exemplo, os clientes podem aceder à VNet1.

Encaminhamento de VNet isolado

Espaço de endereços

  • VNet1: 10.1.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem aceder à VNet1

  • Os clientes não Windows podem aceder à VNet1

Várias VNets em modo de peering

Neste exemplo, a ligação do gateway de VPN Ponto a Site destina-se à VNet1. A VNet1 está em modo de peering com a VNet2. A VNet 2 está em modo de peering com a VNet3. A VNet1 está em modo de peering com a VNet4. Não existe um peering direto entre a VNet1 e a VNet3. A VNet1 tem "Permitir trânsito de gateway" e a VNet2 e a VNet4 têm "Utilizar gateways remotos" ativados.

Os clientes que utilizam o Windows podem aceder diretamente a VNets em modo de peering, mas o cliente VPN tem de ser transferido novamente se forem efetuadas alterações ao VNet Peering ou à topologia de rede. Os clientes não Windows podem aceder diretamente a VNets em modo de peering. O Acesso não é transitivo e está limitado apenas a VNets diretamente em modo de peering.

Várias VNets em modo de peering

Espaço de endereços:

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • VNet4: 10.4.0.0/16

Rotas adicionadas

  • Rotas adicionadas aos clientes Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem aceder à VNet1, VNet2 e VNet4, mas o cliente VPN tem de ser transferido novamente para que quaisquer alterações de topologia entrem em vigor.

  • Os clientes não Windows podem aceder à VNet1, VNet2 e VNet4

Várias VNets ligadas com uma VPN S2S

Neste exemplo, a ligação do gateway de VPN Ponto a Site destina-se à VNet1. A VNet1 está ligada à VNet2 com uma ligação de Rede de VPNs. A VNet2 está ligada à VNet3 através de uma ligação de Rede de VPNs. Não existe um peering direto ou uma ligação de Rede de VPNs entre a VNet1 e a VNet3. Todas as ligações Site a Site não estão a executar o BGP para encaminhamento.

Os clientes que utilizam o Windows ou outro SO suportado só podem aceder à VNet1. Para aceder a VNets adicionais, tem de ser utilizado o BGP.

Várias VNets e S2S

Espaço de endereços

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows só podem aceder à VNet1

  • Os clientes não Windows só podem aceder à VNet1

Várias VNets ligadas com uma VPN S2S (BGP)

Neste exemplo, a ligação do gateway de VPN Ponto a Site destina-se à VNet1. A VNet1 está ligada à VNet2 com uma ligação de Rede de VPNs. A VNet2 está ligada à VNet3 através de uma ligação de Rede de VPNs. Não existe um peering direto ou uma ligação de Rede de VPNs entre a VNet1 e a VNet3. Todas as ligações Site a Site estão a executar o BGP para encaminhamento.

Os clientes que utilizam o Windows, ou outro SO suportado, podem aceder a todas as VNets ligadas através de uma ligação VPN Site a Site, mas as rotas para VNets ligadas têm de ser adicionadas manualmente aos clientes Windows.

Várias VNets e S2S (BGP)

Espaço de endereços

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem aceder à VNet1, VNet2 e VNet3, mas as rotas para vNet2 e VNet3 terão de ser adicionadas manualmente.

  • Os clientes não Windows podem aceder à VNet1, VNet2 e VNet3

Uma VNet e uma sucursal

Neste exemplo, a ligação do gateway de VPN Ponto a Site destina-se à VNet1. A VNet1 não está ligada/em modo de peering com qualquer outra rede virtual, mas está ligada a um site no local através de uma ligação de Rede de VPNs que não está a executar o BGP.

Os clientes Windows e não Windows só podem aceder à VNet1.

Encaminhamento com uma VNet e uma sucursal

Espaço de endereços

  • VNet1: 10.1.0.0/16

  • Site1: 10.101.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows só podem aceder à VNet1

  • Os clientes não Windows só podem aceder à VNet1

Uma VNet e uma sucursal (BGP)

Neste exemplo, a ligação do gateway de VPN Ponto a Site destina-se à VNet1. A VNet1 não está ligada ou em modo de peering com qualquer outra rede virtual, mas está ligada a um site no local (Site1) através de uma ligação de Rede de VPNs com o BGP.

Os clientes Windows podem aceder à VNet e à sucursal (Site1), mas as rotas para o Site1 têm de ser adicionadas manualmente ao cliente. Os clientes não Windows podem aceder à VNet e à sucursal no local.

Encaminhamento com uma VNet e uma sucursal – BGP

Espaço de endereços

  • VNet1: 10.1.0.0/16

  • Site1: 10.101.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem aceder à VNet1 e ao Site1, mas as rotas para o Site1 terão de ser adicionadas manualmente.

  • Os clientes não Windows podem aceder à VNet1 e ao Site1.

Várias VNets ligadas através do S2S e de uma sucursal

Neste exemplo, a ligação do gateway de VPN Ponto a Site destina-se à VNet1. A VNet1 está ligada à VNet2 com uma ligação de Rede de VPNs. A VNet2 está ligada à VNet3 através de uma ligação de Rede de VPNs. Não existe um peering direto ou um túnel de Rede de VPNs entre as redes VNet1 e VNet3. A VNet3 está ligada a uma sucursal (Site1) através de uma ligação de Rede de VPNs. Todas as ligações VPN não estão a executar o BGP.

Todos os clientes só podem aceder à VNet1.

Diagrama que mostra um S2S multi-VNet e uma sucursal

Espaço de endereços

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Site1: 10.101.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows só podem aceder à VNet1

  • Os clientes não Windows só podem aceder à VNet1

Várias VNets ligadas através de S2S e de uma sucursal (BGP)

Neste exemplo, a ligação do gateway de VPN Ponto a Site destina-se à VNet1. A VNet1 está ligada à VNet2 com uma ligação de Rede de VPNs. A VNet2 está ligada à VNet3 através de uma ligação de Rede de VPNs. Não existe um peering direto ou um túnel de Rede de VPNs entre as redes VNet1 e VNet3. A VNet3 está ligada a uma sucursal (Site1) através de uma ligação de Rede de VPNs. Todas as ligações VPN estão a executar o BGP.

Os clientes que utilizam o Windows podem aceder a VNets e sites ligados através de uma ligação VPN Site a Site, mas as rotas para VNet2, VNet3 e Site1 têm de ser adicionadas manualmente ao cliente. Os clientes não Windows podem aceder a VNets e sites ligados através de uma ligação VPN Site a Site sem qualquer intervenção manual. O acesso é transitivo e os clientes podem aceder a recursos em todas as VNets e sites ligados (no local).

multi-VNet S2S e sucursal

Espaço de endereços

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Site1: 10.101.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes não Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem aceder à VNet1, VNet2, VNet3 e Site1, mas as rotas para VNet2, VNet3 e Site1 têm de ser adicionadas manualmente ao cliente.

  • Os clientes não Windows podem aceder à VNet1, Vnet2, VNet3 e Site1.

Passos seguintes

Veja Criar uma VPN P2S com a portal do Azure para começar a criar a VPN P2S.