Настройка параметров VPN-шлюза для Azure Stack Hub
VPN-шлюз — это разновидность шлюза виртуальной сети, который передает зашифрованный трафик между виртуальной сетью в Azure Stack Hub и удаленным VPN-шлюзом. Удаленный VPN-шлюз может быть шлюзом Azure, устройством в центре обработки данных или устройством в другом расположении. Если есть возможность сетевого подключения между двумя конечными точками, вы можете установить между двумя сетями VPN-подключение "сеть — сеть".
Подключение VPN-шлюза зависит от конфигурации нескольких ресурсов, каждый из которых содержит настраиваемые параметры. В этой статье описываются ресурсы и параметры, относящиеся к VPN-шлюзу для виртуальной сети, созданной на основе модели развертывания с помощью Resource Manager. Описания и схемы топологии для каждого решения подключения можно найти в разделе "Создание VPN-шлюзов для Azure Stack Hub".
Параметры VPN-шлюза
Типы шлюзов
Каждая виртуальная сеть Azure Stack Hub поддерживает один шлюз виртуальной сети, который должен относиться к типу VPN, в отличие от Azure, где поддерживаются дополнительные типы.
При создании шлюза виртуальной сети необходимо убедиться, что в конфигурации указан правильный тип шлюза. Для VPN-шлюза требуется отметить -GatewayType Vpn, например:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Номера SKU шлюза
Во время создания шлюза виртуальной сети укажите номер SKU шлюза, который вы хотите использовать. Выберите номера SKU, которые соответствуют требованиям, в зависимости от типов рабочих нагрузок, пропускной способности, функций и соглашений об уровне обслуживания.
До достижения максимальной емкости можно использовать 10 высокопроизводительных шлюзов или 20 базовых и стандартных. Максимальное значение также можно достичь для общей совокупной пропускной способности в 2 Гбит/с.
Azure Stack Hub предлагает номера SKU VPN-шлюзов, показанные в следующей таблице.
| Пропускная способность туннеля | Максимальное число туннелей IPsec для VPN-шлюза | |
|---|---|---|
| SKU "Базовый" | 100 Мбит/с | 20 |
| SKU "Стандартный" | 100 Мбит/с | 20 |
| SKU "Высокопроизводительный" | 200 Мбит/с | 10 |
Изменение размеров SKU шлюза
Azure Stack Hub не поддерживает изменение размеров SKU между поддерживаемыми прежними версиями SKU.
Аналогичным образом Azure Stack Hub не поддерживает изменение размера SKU с поддерживаемых устаревших уровней (Базовый, Стандартный и HighPerformance) на новые уровни, которые поддерживаются в Azure (VpnGw1, VpnGw2 и VpnGw3).
Настройка номера SKU шлюза
Портал Azure Stack Hub
Если для создания шлюза виртуальной сети Resource Manager используется портал Azure Stack Hub, выбрать SKU шлюза можно в раскрывающемся списке. Параметры соответствуют выбранным типу шлюза и типу VPN.
PowerShell
В следующем примере PowerShell используется параметр -GatewaySku со значением Standard:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Типы подключений
В модели развертывания с помощью Resource Manager каждой конфигурации необходим определенный тип подключения шлюза виртуальной сети. При развертывании Resource Manager для -ConnectionType в PowerShell можно указать значения IPsec.
В следующем примере PowerShell создается подключение "сеть — сеть", для которого требуется тип IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
Типы VPN
При создании шлюза виртуальной сети для конфигурации VPN-шлюза необходимо указать тип VPN. Выбор типа VPN зависит от топологии подключений, которую вы хотите создать. Тип VPN может также зависеть от используемого оборудования. Для конфигураций "сеть — сеть" требуется VPN-устройство. Некоторые VPN-устройства поддерживают только определенный тип VPN.
Важно!
Сейчас Azure Stack Hub поддерживает только VPN на основе маршрутов. Если устройство поддерживает только VPN на основе политики, подключения к этим устройствам из Azure Stack Hub не поддерживаются.
Кроме того, Azure Stack Hub в настоящее время не поддерживает использование селекторов трафика на основе политик для шлюзов на основе маршрутов, так как Azure Stack Hub не поддерживает селекторы трафика на основе политик, хотя они поддерживаются в Azure.
PolicyBased: VPN на основе политик шифруют и направляют пакеты через туннели IPsec на основе политик IPsec, настроенных с помощью сочетаний префиксов адресов между локальной сетью и виртуальной сетью Azure Stack Hub. Политика (или селектор трафика) обычно представляет собой список доступа в конфигурации VPN-устройства.
Примечание
PolicyBased поддерживается в Azure, но не в Azure Stack Hub.
RouteBased: VPN на основе маршрутов используют маршруты, настроенные в таблице IP-пересылки или маршрутизации, для направления пакетов в соответствующие интерфейсы туннеля. Затем интерфейсы туннелей шифруют пакеты в туннели или расшифровывают их из туннелей. Политика или селектор трафика для vpn-адресов RouteBased настраиваются как "любой к любому" (или используют подстановочные знаки). По умолчанию их нельзя изменить. Значение типа VPN RouteBased — RouteBased.
В следующем примере PowerShell используется -VpnType со значением RouteBased. При создании шлюза необходимо убедиться, что в конфигурации указано правильное значение -VpnType.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Требования к шлюзу
В таблице ниже перечислены требования к VPN-шлюзам.
| VPN-шлюз с маршрутизацией на основе политик (цен. категория "Базовый") | VPN-шлюз с маршрутизацией на основе маршрутов (цен. категория "Базовый") | VPN-шлюз с маршрутизацией на основе маршрутов (цен. категория "Стандартный") | VPN-шлюз с маршрутизацией на основе маршрутов (цен. категория "HighPerformance") | |
|---|---|---|---|---|
| Подключение "сеть — сеть" (S2S) | Не поддерживается | Конфигурация VPN на основе маршрутов | Конфигурация VPN на основе маршрутов | Конфигурация VPN на основе маршрутов |
| Метод проверки подлинности | Не поддерживается | Общий ключ для подключения "сеть —сеть" | Общий ключ для подключения "сеть —сеть" | Общий ключ для подключения "сеть —сеть" |
| максимальное число подключений «сеть —сеть» | Не поддерживается | 20 | 20 | 10 |
| активная поддержка маршрутизации (BGP) | Не поддерживается | Не поддерживается | Поддерживается до 150 маршрутов | Поддерживается до 150 маршрутов |
подсеть шлюза.
Прежде чем создать VPN-шлюз, необходимо создать подсеть для него. Подсеть шлюза имеет IP-адреса, которые используют виртуальные машины и службы шлюза виртуальной сети. При создании шлюза виртуальной сети его виртуальные машины развертываются в подсети шлюза и на них настраиваются необходимые параметры VPN-шлюза. Не развертывайте в подсети шлюза что-либо еще (например, дополнительные виртуальные машины).
Важно!
Чтобы обеспечить правильную работу подсети шлюза, подсеть шлюза должна иметь имя GatewaySubnet . Azure Stack Hub использует это имя, чтобы определить подсеть для развертывания виртуальных машин и служб шлюза виртуальной сети.
При создании подсети шлюза указывается количество IP-адресов, которое содержит подсеть. IP-адреса в подсети шлюза выделяются виртуальным машинам и службам шлюза. Некоторым конфигурациям требуется больше IP-адресов, чем прочим. Просмотрите инструкции к конфигурации, которую требуется создать, и убедитесь, что создаваемая подсеть шлюза соответствует указанным требованиям.
Кроме того, следует убедиться, что подсеть шлюза содержит достаточно IP-адресов для обработки дополнительных конфигураций в будущем. Хотя вы можете создать подсеть шлюза размером до /29, рекомендуется создать подсеть шлюза размером /28 или больше (/28, /27, /26 и т. д.). Таким образом, если вы добавите функциональность в будущем, вам не придется разорвать шлюз, а затем удалить и повторно создать подсеть шлюза, чтобы разрешить дополнительные IP-адреса.
В следующем примере PowerShell Resource Manager показана подсеть шлюза с именем GatewaySubnet. Здесь приведена нотация CIDR, указывающая размер /27, при котором можно использовать достаточно IP-адресов для большинства существующих конфигураций.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Важно!
При работе с подсетями шлюза не связывайте группу безопасности сети (NSG) с подсетью шлюза. Связывание группы безопасности сети (NSG) с этой подсетью приведет к тому, что VPN-шлюз перестанет правильно функционировать. Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.
Локальные сетевые шлюзы
При создании конфигурации VPN-шлюза в Azure шлюз локальной сети нередко представляет ваше локальное расположение. В Azure Stack Hub шлюз представляет любое удаленное VPN-устройство, находящееся за пределами Azure Stack Hub. Это может быть VPN-устройство в вашем или удаленном центре обработки данных либо VPN-шлюз в Azure.
Для локального сетевого шлюза следует задать имя и общедоступный IP-адрес VPN-устройства, а также указать префиксы адресов, которые относятся к локальному расположению. Azure проверяет наличие сетевого трафика по префиксам адресов назначения, учитывает конфигурацию, указанную для шлюза локальной сети, и соответствующим образом направляет пакеты.
Этот пример PowerShell создает шлюз локальной сети:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Иногда возникает необходимость изменить параметры шлюза локальной сети, например, при добавлении или изменении диапазона адресов либо при изменении IP-адреса VPN-устройства. Дополнительные сведения см. в разделе Изменение параметров шлюза локальной сети с помощью PowerShell.
Параметры IPsec/IKE
При настройке VPN-подключения в Azure Stack Hub оно должно быть настроено на обеих сторонах. Возможно, при настройке VPN-подключения между Azure Stack Hub и устройством, например коммутатором или маршрутизатором, выполняющем функции VPN-шлюза, вам потребуется настроить дополнительные параметры для устройства.
В отличие от Azure, где поддерживается несколько предложений (как инициатора, так и отвечающего устройства), Azure Stack Hub по умолчанию поддерживает только одно предложение. Если вам нужно использовать разные параметры IPSec/IKE для работы с VPN-устройством, доступны дополнительные параметры для настройки подключения вручную. См. сведения о настройке политики IPsec/IKE для VPN-подключений типа "сеть — сеть" или "виртуальная сеть — виртуальная сеть".
Важно!
При использовании туннеля S2S пакеты дополнительно инкапсулируются с дополнительными заголовками, что увеличивает общий размер пакета. В таких случаях необходимо установить для TCP MSS значение 1350. Или, если VPN-устройства не поддерживают зажим msS, вместо этого можно задать MTU в интерфейсе туннеля значение 1400 байт. Дополнительные сведения см. в статье Настройка производительности виртуальной сети TCPIP.
Параметры этапа 1 IKE (главный режим)
| Свойство | Значение |
|---|---|
| Версия IKE | IKEv2 |
| Группа Диффи-Хелмана* | ECP384 |
| Метод проверки подлинности | Общий ключ |
| Алгоритмы хэширования шифрования & * | AES256, SHA384 |
| Срок действия SA (время) | 28 800 сек |
Параметры этапа 2 IKE (быстрый режим)
| Свойство | Значение |
|---|---|
| Версия IKE | IKEv2 |
| Алгоритмы хэширования шифрования & (шифрование) | GCMAES256 |
| Алгоритмы хэширования шифрования & (проверка подлинности) | GCMAES256 |
| Срок действия SA (время) | 27 000 секунд |
| Срок действия SA (килобайты) | 33 553 408 |
| Полная безопасность пересылки (PFS)* | ECP384 |
| Обнаружение неиспользуемых одноранговых узлов | Поддерживается |
* Новый или измененный параметр.