VPN cihaz yapılandırmalarını iş ortağı genel bakışOverview of partner VPN device configurations

Bu makalede Azure VPN ağ geçitlerine bağlanmak için şirket içi VPN cihazları yapılandırmaya genel bakış sağlar.This article provides an overview of configuring on-premises VPN devices for connecting to Azure VPN gateways. Bir Azure sanal ağı örnek ve VPN ağ geçidi, aynı parametreleri kullanarak için farklı şirket içi VPN cihazı yapılandırmaları bağlanma göstermek için kullanılır.A sample Azure virtual network and VPN gateway setup is used to show you how to connect to different on-premises VPN device configurations by using the same parameters.

Not

Bu makale yeni Azure PowerShell Az modülünü kullanacak şekilde güncelleştirilmiştir.This article has been updated to use the new Azure PowerShell Az module. En azından Aralık 2020'ye kadar hata düzeltmeleri almaya devam edecek olan AzureRM modülünü de kullanmaya devam edebilirsiniz.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Yeni Az modülüyle AzureRM'nin uyumluluğu hakkında daha fazla bilgi edinmek için bkz. Yeni Azure PowerShell Az modülüne giriş.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az modülü yükleme yönergeleri için bkz. Azure PowerShell'i yükleme.For Az module installation instructions, see Install Azure PowerShell.

Cihaz gereksinimleriDevice requirements

Azure VPN ağ geçitleri kullanan standart IPSec/IKE protokolü paketleri için siteden siteye (S2S) VPN tünelleri.Azure VPN gateways use standard IPsec/IKE protocol suites for site-to-site (S2S) VPN tunnels. IPSec/IKE parametreleri ve Azure VPN ağ geçitleri için şifreleme algoritmaları listesi için bkz: VPN cihazları hakkında.For a list of IPsec/IKE parameters and cryptographic algorithms for Azure VPN gateways, see About VPN devices. Tam algoritmalar ve anahtar güçleriyle belirli bir bağlantı için açıklandığı gibi belirtebilirsiniz şifreleme gereksinimleri hakkında.You can also specify the exact algorithms and key strengths for a specific connection as described in About cryptographic requirements.

Tek bir VPN tüneliSingle VPN tunnel

İlk örnek yapılandırmada bir Azure VPN gateway ile bir şirket içi VPN cihazınız arasındaki tek S2S VPN tüneli oluşur.The first configuration in the sample consists of a single S2S VPN tunnel between an Azure VPN gateway and an on-premises VPN device. İsteğe bağlı olarak yapılandırabileceğiniz Border Gateway Protocol (BGP) VPN tüneli üzerinden.You can optionally configure the Border Gateway Protocol (BGP) across the VPN tunnel.

Tek bir S2S VPN tüneli diyagramı

Tek bir VPN tüneli ayarlamak adım adım yönergeler için bkz: siteden siteye bağlantı yapılandırma.For step-by-step instructions to set up a single VPN tunnel, see Configure a site-to-site connection. Aşağıdaki bölümlerde örnek yapılandırması için bağlantı parametrelerini belirtin ve başlamanıza yardımcı olmak için bir PowerShell Betiği belirtin.The following sections specify the connection parameters for the sample configuration and provide a PowerShell script to help you get started.

Bağlantı parametreleriConnection parameters

Bu bölümde, önceki bölümlerde açıklanan örnekler için parametreleri listeler.This section lists the parameters for the examples that are described in the previous sections.

ParametreParameter DeğerValue
Sanal ağ adres ön ekleriVirtual network address prefixes 10.11.0.0/1610.11.0.0/16
10.12.0.0/1610.12.0.0/16
Azure VPN ağ geçidi IPAzure VPN gateway IP Azure VPN ağ geçidi IPAzure VPN Gateway IP
Şirket içi adres ön ekleriOn-premises address prefixes 10.51.0.0/1610.51.0.0/16
10.52.0.0/1610.52.0.0/16
Şirket içi VPN cihazının IPOn-premises VPN device IP Şirket içi VPN cihazının IPOn-premises VPN device IP
* BGP ASN'sini sanal ağ* Virtual network BGP ASN 6501065010
* Azure BGP eşdeğer IP* Azure BGP peer IP 10.12.255.3010.12.255.30
* Şirket içi BGP ASN'sini* On-premises BGP ASN 6505065050
* Şirket içi BGP eşdeğer IP* On-premises BGP peer IP 10.52.255.25410.52.255.254

* Yalnızca isteğe bağlı parametre için BGP.* Optional parameter for BGP only.

Örnek PowerShell BetiğiSample PowerShell script

Bu bölümde, başlamanıza yardımcı olmak için örnek betik sağlanır.This section provides a sample script to get you started. Ayrıntılı yönergeler için bkz. PowerShell kullanarak bir S2S VPN bağlantısı oluşturma.For detailed instructions, see Create an S2S VPN connection by using PowerShell.

# Declare your variables

$Sub1          = "Replace_With_Your_Subscription_Name"
$RG1           = "TestRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$VNet1ASN      = 65010
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GWIPName1     = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15  = "VNet1toSite5"
$LNGName5      = "Site5"
$LNGPrefix50   = "10.52.255.254/32"
$LNGPrefix51   = "10.51.0.0/16"
$LNGPrefix52   = "10.52.0.0/16"
$LNGIP5        = "Your_VPN_Device_IP"
$LNGASN5       = 65050
$BGPPeerIP5    = "10.52.255.254"

# Connect to your subscription and create a new resource group

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

# Create virtual network

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

# Create VPN gateway

$gwpip1    = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1     = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1   = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN

# Create local network gateway

New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5

# Create the S2S VPN connection

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False

(İsteğe bağlı) UsePolicyBasedTrafficSelectors ile özel IPSec/IKE İlkesi'ni kullanın(Optional) Use custom IPsec/IKE policy with UsePolicyBasedTrafficSelectors

VPN cihazlarınız VTI tabanlı ya da rota tabanlı yapılandırmaları gibi herhangi bir ağdan herhangi bir trafik seçicileri desteklemiyorsa ile özel bir IPSec/IKE ilke oluşturma UsePolicyBasedTrafficSelectors seçeneği.If your VPN devices don't support any-to-any traffic selectors, such as route-based or VTI-based configurations, create a custom IPsec/IKE policy with the UsePolicyBasedTrafficSelectors option.

Önemli

Etkinleştirmek için bir IPSec/IKE ilke oluşturmalıdır UsePolicyBasedTrafficSelectors bağlantı seçeneği.You must create an IPsec/IKE policy to enable the UsePolicyBasedTrafficSelectors option on the connection.

Örnek betik, aşağıdaki algoritmaları ve parametrelerle bir IPSec/IKE ilkesi oluşturur:The sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • Ikev2: AES256, SHA384 DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPSec: AES256, SHA1, PFS24, SA yaşam süresi 7.200 saniye ve 20,480,000 KB (20 GB)IPsec: AES256, SHA1, PFS24, SA Lifetime 7,200 seconds, and 20,480,000 KB (20 GB)

Betik IPSec/IKE ilke uygulanır ve sağlayan UsePolicyBasedTrafficSelectors bağlantı seçeneği.The script applies the IPsec/IKE policy and enables the UsePolicyBasedTrafficSelectors option on the connection.

$ipsecpolicy5 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True

(İsteğe bağlı) BGP S2S VPN bağlantısı kullanın.(Optional) Use BGP on S2S VPN connection

S2S VPN bağlantısı oluşturduğunuzda, isteğe bağlı olarak kullanabileceğiniz VPN ağ geçidi için BGP.When you create the S2S VPN connection, you can optionally use BGP for the VPN gateway. Bu yaklaşımın iki fark vardır:This approach has two differences:

  • Şirket içi adres ön ekleri tek ana bilgisayar adresi olabilir.The on-premises address prefixes can be a single host address. Şirket içi BGP eş IP adresi şu şekilde belirlenir:The on-premises BGP peer IP address is specified as follows:

    New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
    
  • Bağlantı oluşturduğunuzda, ayarlamalısınız - Enablebgp'yi $True seçeneğini:When you create the connection, you must set the -EnableBGP option to $True:

    New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
    

Sonraki adımlarNext steps

Etkin-etkin VPN ağ geçitleri ayarlarsınız adım adım yönergeler için bkz: etkin-etkin VPN ağ geçitlerini şirketler arası ve VNet-VNet bağlantıları için yapılandırma.For step-by-step instructions to set up active-active VPN gateways, see Configuring active-active VPN gateways for cross-premises and VNet-to-VNet connections.