İş ortağı VPN cihaz yapılandırmalarına genel bakışOverview of partner VPN device configurations

Bu makalede, Azure VPN ağ geçitlerine bağlanmak için şirket içi VPN cihazlarını yapılandırmaya ilişkin bir genel bakış sunulmaktadır.This article provides an overview of configuring on-premises VPN devices for connecting to Azure VPN gateways. Aynı parametreleri kullanarak farklı şirket içi VPN cihaz yapılandırmalarına nasıl bağlanakullanacağınızı göstermek için örnek bir Azure sanal ağ ve VPN ağ geçidi kurulumu kullanılır.A sample Azure virtual network and VPN gateway setup is used to show you how to connect to different on-premises VPN device configurations by using the same parameters.

Cihaz gereksinimleriDevice requirements

Azure VPN ağ geçitleri, siteden siteye (S2S) VPN tünelleri için standart IPSec/ıKE protokol paketleri kullanır.Azure VPN gateways use standard IPsec/IKE protocol suites for site-to-site (S2S) VPN tunnels. Azure VPN ağ geçitleri için IPSec/ıKE parametrelerinin ve şifreleme algoritmalarının bir listesi için bkz. VPN cihazları hakkında.For a list of IPsec/IKE parameters and cryptographic algorithms for Azure VPN gateways, see About VPN devices. Ayrıca, Şifreleme gereksinimleri hakkındabölümünde açıklandığı gibi, belirli bir bağlantı için tam algoritmaları ve anahtar güçlerini de belirtebilirsiniz.You can also specify the exact algorithms and key strengths for a specific connection as described in About cryptographic requirements.

Tek VPN tüneliSingle VPN tunnel

Örnekteki ilk yapılandırma, Azure VPN ağ geçidi ve şirket içi VPN cihazı arasındaki tek bir S2S VPN tünelinden oluşur.The first configuration in the sample consists of a single S2S VPN tunnel between an Azure VPN gateway and an on-premises VPN device. VPN tüneli genelinde Sınır Ağ Geçidi Protokolü (BGP)isteğe bağlı olarak yapılandırabilirsiniz.You can optionally configure the Border Gateway Protocol (BGP) across the VPN tunnel.

Tek bir S2S VPN tünelinin diyagramı

Tek bir VPN tüneli ayarlamaya yönelik adım adım yönergeler için bkz. siteden siteye bağlantı yapılandırma.For step-by-step instructions to set up a single VPN tunnel, see Configure a site-to-site connection. Aşağıdaki bölümler, örnek yapılandırma için bağlantı parametrelerini belirtir ve başlamanıza yardımcı olması için bir PowerShell betiği sağlar.The following sections specify the connection parameters for the sample configuration and provide a PowerShell script to help you get started.

Bağlantı parametreleriConnection parameters

Bu bölümde, önceki bölümlerde açıklanan örneklerin parametreleri listelenmektedir.This section lists the parameters for the examples that are described in the previous sections.

ParametreParameter DeğerValue
Sanal ağ adresi önekleriVirtual network address prefixes 10.11.0.0/1610.11.0.0/16
10.12.0.0/1610.12.0.0/16
Azure VPN ağ geçidi IP 'siAzure VPN gateway IP Azure VPN Gateway IP 'siAzure VPN Gateway IP
Şirket içi adres ön ekleriOn-premises address prefixes 10.51.0.0/1610.51.0.0/16
10.52.0.0/1610.52.0.0/16
Şirket içi VPN cihaz IP 'siOn-premises VPN device IP Şirket içi VPN cihaz IP 'siOn-premises VPN device IP
* Sanal ağ BGP ASN* Virtual network BGP ASN 6501065010
* Azure BGP eş IP 'si* Azure BGP peer IP 10.12.255.3010.12.255.30
* Şirket içi BGP ASN* On-premises BGP ASN 6505065050
* Şirket içi BGP eşi IP 'si* On-premises BGP peer IP 10.52.255.25410.52.255.254

* Yalnızca BGP için isteğe bağlı parametre.* Optional parameter for BGP only.

Örnek PowerShell betiğiSample PowerShell script

Bu bölüm, başlamanıza olanak sağlayan örnek bir betik sağlar.This section provides a sample script to get you started. Ayrıntılı yönergeler için bkz. PowerShell kullanarak S2S VPN bağlantısı oluşturma.For detailed instructions, see Create an S2S VPN connection by using PowerShell.

# Declare your variables

$Sub1          = "Replace_With_Your_Subscription_Name"
$RG1           = "TestRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$VNet1ASN      = 65010
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GWIPName1     = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15  = "VNet1toSite5"
$LNGName5      = "Site5"
$LNGPrefix50   = "10.52.255.254/32"
$LNGPrefix51   = "10.51.0.0/16"
$LNGPrefix52   = "10.52.0.0/16"
$LNGIP5        = "Your_VPN_Device_IP"
$LNGASN5       = 65050
$BGPPeerIP5    = "10.52.255.254"

# Connect to your subscription and create a new resource group

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

# Create virtual network

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

# Create VPN gateway

$gwpip1    = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1     = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1   = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN

# Create local network gateway

New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5

# Create the S2S VPN connection

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False

Seçim Özel IPSec/ıKE ilkesini UsePolicyBasedTrafficSelectors ile kullanma(Optional) Use custom IPsec/IKE policy with UsePolicyBasedTrafficSelectors

VPN cihazlarınız, rota tabanlı veya VTı tabanlı konfigürasyonlar gibi herhangi bir e-postayla trafik seçicileri desteklemiyorsa, UsePolicyBasedTrafficSelectors seçeneğiyle özel bir ıPSEC/IKE ilkesi oluşturun.If your VPN devices don't support any-to-any traffic selectors, such as route-based or VTI-based configurations, create a custom IPsec/IKE policy with the UsePolicyBasedTrafficSelectors option.

Önemli

Bağlantıda UsePolicyBasedTrafficSelectors seçeneğini etkinleştirmek Için bir ıPSEC/IKE ilkesi oluşturmanız gerekir.You must create an IPsec/IKE policy to enable the UsePolicyBasedTrafficSelectors option on the connection.

Örnek betik, aşağıdaki algoritmalara ve parametrelere sahip bir IPSec/ıKE ilkesi oluşturur:The sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • Ikev2: AES256, SHA384, DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPSec: AES256, SHA1, PFS24, SA ömür 7.200 saniye ve 20.480.000 KB (20 GB)IPsec: AES256, SHA1, PFS24, SA Lifetime 7,200 seconds, and 20,480,000 KB (20 GB)

Betik, IPSec/ıKE ilkesini uygular ve bağlantıda UsePolicyBasedTrafficSelectors seçeneğini sunar.The script applies the IPsec/IKE policy and enables the UsePolicyBasedTrafficSelectors option on the connection.

$ipsecpolicy5 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True

Seçim S2S VPN bağlantısında BGP kullanma(Optional) Use BGP on S2S VPN connection

S2S VPN bağlantısını oluşturduğunuzda, isteğe bağlı olarak VPN Gateway Için BGP'yi kullanabilirsiniz.When you create the S2S VPN connection, you can optionally use BGP for the VPN gateway. Bu yaklaşımın iki farkı vardır:This approach has two differences:

  • Şirket içi adres önekleri tek bir ana bilgisayar adresi olabilir.The on-premises address prefixes can be a single host address. Şirket içi BGP eşi IP adresi şu şekilde belirtilir:The on-premises BGP peer IP address is specified as follows:

    New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
    
  • Bağlantıyı oluşturduğunuzda, -enablebgp seçeneğini $true olarak ayarlamanız gerekir:When you create the connection, you must set the -EnableBGP option to $True:

    New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
    

Sonraki adımlarNext steps

Etkin-etkin VPN Gateway 'leri ayarlamaya yönelik adım adım yönergeler için bkz. şirketler arası ve sanal ağdan sanal ağa bağlantılar için etkin-ETKIN VPN ağ geçitleri yapılandırma.For step-by-step instructions to set up active-active VPN gateways, see Configuring active-active VPN gateways for cross-premises and VNet-to-VNet connections.