Om VPN-routning från punkt till plats

  • Artikel
  • 6 minuter för att läsa

Den här artikeln hjälper dig att förstå hur VPN-routning från punkt till plats fungerar i Azure. P2S VPN-routningsbeteendet är beroende av klientoperativsystemet, vilket protokoll som används för VPN-anslutningen och hur de virtuella nätverken (VNet) är anslutna till varandra.

Azure stöder för närvarande två protokoll för fjärråtkomst, IKEv2 och SSTP. IKEv2 stöds på många klientoperativsystemet, inklusive Windows, Linux, macOS, Android och iOS. SSTP stöds endast på Windows. Om du gör en ändring i nätverkets topologi och har Windows VPN-klienter måste VPN-klientpaketet för Windows-klienter laddas ned och installeras igen för att ändringarna ska tillämpas på klienten.

Anteckning

Den här artikeln gäller endast för IKEv2.

Om diagrammen

Det finns ett antal olika diagram i den här artikeln. Varje avsnitt visar en annan topologi eller konfiguration. I den här artikeln fungerar plats-till-plats-anslutningar (S2S) och VNet-till-VNet-anslutningar på samma sätt, eftersom båda är IPsec-tunnlar. Alla VPN-gatewayer i den här artikeln är ruttbaserade.

Ett isolerat VNet

Punkt-till-plats VPN-gatewayanslutningen i det här exemplet är för ett virtuellt nätverk som inte är anslutet eller peerkopplat med något annat virtuellt nätverk (VNet1). I det här exemplet kan klienter komma åt VNet1.

Isolerad VNet-routning

Adressutrymme

  • VNet1: 10.1.0.0/16

Vägar som har lagts till

  • Vägar som lagts till Windows klienter: 10.1.0.0/16, 192.168.0.0/24

  • Vägar som lagts till i icke-Windows klienter: 10.1.0.0/16, 192.168.0.0/24

Access

  • Windows kan komma åt VNet1

  • Icke-Windows klienter kan komma åt VNet1

Flera peer-ade virtuella nätverk

I det här exemplet är vpn-gatewayanslutningen punkt-till-plats för VNet1. VNet1 är peer-ed med VNet2. VNet 2 peer-peeras med VNet3. VNet1 är peer-ed med VNet4. Det finns ingen direkt peering mellan VNet1 och VNet3. VNet1 har "Tillåt gateway-överföring" och VNet2 och VNet4 har "Använd fjärrgatewayer" aktiverat.

Klienter som Windows kan komma åt direkt peer-kopplade virtuella nätverk, men VPN-klienten måste laddas ned igen om några ändringar görs i VNet-peering eller nätverkstopologin. Icke-Windows klienter kan komma åt direkt peer-kopplade virtuella nätverk. Åtkomsten är inte transitiv och är begränsad till endast direkt peer-kopplade virtuella nätverk.

Flera peer-ade virtuella nätverk

Adressutrymme:

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • VNet4: 10.4.0.0/16

Vägar som har lagts till

  • Vägar som lagts till i Windows-klienter: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

  • Vägar som lagts till i icke-Windows-klienter: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

Access

  • Windows kan komma åt VNet1, VNet2 och VNet4, men VPN-klienten måste laddas ned igen för att topologiändringarna ska gälla.

  • Icke-Windows klienter har åtkomst till VNet1, VNet2 och VNet4

Flera anslutna virtuella nätverk med S2S VPN

I det här exemplet är vpn-gatewayanslutningen punkt-till-plats för VNet1. VNet1 är anslutet till VNet2 med en VPN-anslutning från plats till plats. VNet2 är anslutet till VNet3 med en VPN-anslutning från plats till plats. Det finns ingen direkt peering- eller plats-till-plats-VPN-anslutning mellan VNet1 och VNet3. Alla plats-till-plats-anslutningar kör inte BGP för routning.

Klienter som använder Windows, eller ett annat operativsystem som stöds, kan bara komma åt VNet1. BGP måste användas för att få åtkomst till ytterligare virtuella nätverk.

Flera virtuella nätverk och S2S

Adressutrymme

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Vägar som har lagts till

  • Vägar som lagts till Windows klienter: 10.1.0.0/16, 192.168.0.0/24

  • Vägar som lagts till i icke-Windows-klienter: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24

Access

  • Windows klienter kan bara komma åt VNet1

  • Icke-Windows klienter kan endast komma åt VNet1

Flera anslutna virtuella nätverk med S2S VPN (BGP)

I det här exemplet är vpn-gatewayanslutningen punkt-till-plats för VNet1. VNet1 är anslutet till VNet2 med en VPN-anslutning från plats till plats. VNet2 är anslutet till VNet3 med en VPN-anslutning från plats till plats. Det finns ingen direkt peering- eller plats-till-plats-VPN-anslutning mellan VNet1 och VNet3. Alla plats-till-plats-anslutningar kör BGP för routning.

Klienter som använder Windows, eller något annat operativsystem som stöds, kan komma åt alla virtuella nätverk som är anslutna med en VPN-anslutning från plats till plats, men vägar till anslutna virtuella nätverk måste läggas till manuellt i Windows klienterna.

Flera virtuella nätverk och S2S (BGP)

Adressutrymme

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Vägar som har lagts till

  • Vägar som lagts till Windows klienter: 10.1.0.0/16, 192.168.0.0/24

  • Vägar som lagts till i klienter som inte är Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24

Access

  • Windows kan komma åt VNet1, VNet2 och VNet3, men vägar till VNet2 och VNet3 måste läggas till manuellt.

  • Icke-Windows klienter har åtkomst till VNet1, VNet2 och VNet3

Ett VNet och ett avdelningskontor

I det här exemplet är vpn-gatewayanslutningen punkt-till-plats för VNet1. VNet1 är inte anslutet/peerkopplat med något annat virtuellt nätverk, men är anslutet till en lokal plats via en VPN-anslutning från plats till plats som inte kör BGP.

Windows och icke-Windows klienter kan bara komma åt VNet1.

Routning med ett VNet och ett avdelningskontor

Adressutrymme

  • VNet1: 10.1.0.0/16

  • Plats1: 10.101.0.0/16

Vägar som har lagts till

  • Vägar som lagts till Windows klienter: 10.1.0.0/16, 192.168.0.0/24

  • Vägar som lagts till i icke-Windows klienter: 10.1.0.0/16, 192.168.0.0/24

Access

  • Windows klienter kan endast komma åt VNet1

  • Icke-Windows klienter kan endast komma åt VNet1

Ett VNet och ett avdelningskontor (BGP)

I det här exemplet är vpn-gatewayanslutningen punkt-till-plats för VNet1. VNet1 är inte anslutet eller peerkopplat med något annat virtuellt nätverk, men är anslutet till en lokal plats (Plats1) via en PLATS-till-plats VPN-anslutning som kör BGP.

Windows kan komma åt det virtuella nätverket och avdelningskontoret (Site1), men vägarna till Site1 måste läggas till manuellt på klienten. Icke-Windows klienter kan komma åt både det virtuella nätverket och det lokala avdelningskontoret.

Routning med ett VNet och ett avdelningskontor – BGP

Adressutrymme

  • VNet1: 10.1.0.0/16

  • Plats1: 10.101.0.0/16

Vägar som har lagts till

  • Vägar som lagts till Windows klienter: 10.1.0.0/16, 192.168.0.0/24

  • Vägar som lagts till i icke-Windows-klienter: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Windows kan komma åt VNet1 och Site1, men vägar till Site1 måste läggas till manuellt.

  • Icke-Windows klienter har åtkomst till VNet1 och Site1.

Flera virtuella nätverk anslutna med S2S och ett avdelningskontor

I det här exemplet är vpn-gatewayanslutningen punkt-till-plats för VNet1. VNet1 är anslutet till VNet2 med en VPN-anslutning från plats till plats. VNet2 är anslutet till VNet3 med en VPN-anslutning från plats till plats. Det finns ingen direkt peering- eller plats-till-plats-VPN-tunnel mellan nätverken VNet1 och VNet3. VNet3 är anslutet till ett avdelningskontor (Site1) med hjälp av en VPN-anslutning från plats till plats. Alla VPN-anslutningar kör inte BGP.

Alla klienter kan endast komma åt VNet1.

Diagram som visar ett multi-VNet S2S och ett avdelningskontor

Adressutrymme

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Plats1: 10.101.0.0/16

Vägar som har lagts till

  • Vägar som lagts till Windows klienter: 10.1.0.0/16, 192.168.0.0/24

  • Vägar som lagts till i klienter som inte är Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Klienten Windows endast åtkomst till VNet1

  • Icke-Windows klienter kan endast komma åt VNet1

Flera virtuella nätverk anslutna med S2S och ett avdelningskontor (BGP)

I det här exemplet är vpn-gatewayanslutningen punkt-till-plats för VNet1. VNet1 är anslutet till VNet2 med en VPN-anslutning från plats till plats. VNet2 är anslutet till VNet3 med en VPN-anslutning från plats till plats. Det finns ingen direkt peering- eller plats-till-plats-VPN-tunnel mellan nätverken VNet1 och VNet3. VNet3 är anslutet till ett avdelningskontor (Site1) med hjälp av en VPN-anslutning från plats till plats. Alla VPN-anslutningar kör BGP.

Klienter som använder Windows kan komma åt virtuella nätverk och platser som är anslutna via en VPN-anslutning från plats till plats, men vägarna till VNet2, VNet3 och Site1 måste läggas till manuellt i klienten. Icke-Windows kan komma åt virtuella nätverk och platser som är anslutna med en VPN-anslutning från plats till plats utan manuella åtgärder. Åtkomsten är transitiv och klienterna kan komma åt resurser i alla anslutna virtuella nätverk och platser (lokalt).

multi-VNet S2S och avdelningskontor

Adressutrymme

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Plats1: 10.101.0.0/16

Vägar som har lagts till

  • Vägar som lagts till Windows klienter: 10.1.0.0/16, 192.168.0.0/24

  • Vägar som lagts till i klienter som inte är Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Klienterna Windows åtkomst till VNet1, VNet2, VNet3 och Site1, men vägar till VNet2, VNet3 och Site1 måste läggas till manuellt i klienten.

  • Icke-Windows klienter har åtkomst till VNet1, Vnet2, VNet3 och Site1.

Nästa steg

Se Skapa ett P2S VPN med hjälp av Azure Portal för att börja skapa ditt P2S VPN.