VPN Gateway yapılandırma ayarları hakkındaAbout VPN Gateway configuration settings

VPN Gateway, sanal ağınız ile şirket içi konumunuz arasında ortak bir bağlantı arasında şifrelenmiş trafik gönderen bir sanal ağ geçidi türüdür.A VPN gateway is a type of virtual network gateway that sends encrypted traffic between your virtual network and your on-premises location across a public connection. Ayrıca, Azure omurga genelinde sanal ağlar arasında trafik göndermek için bir VPN ağ geçidi kullanabilirsiniz.You can also use a VPN gateway to send traffic between virtual networks across the Azure backbone.

Bir VPN Ağ Geçidi bağlantısı, her biri yapılandırılabilir ayarları içeren birden fazla kaynak yapılandırmasına dayanır.A VPN gateway connection relies on the configuration of multiple resources, each of which contains configurable settings. Bu makaledeki bölümler, Kaynak Yöneticisi dağıtım modelinde oluşturulan bir sanal ağın VPN ağ geçidiyle ilgili kaynakları ve ayarları tartışır.The sections in this article discuss the resources and settings that relate to a VPN gateway for a virtual network created in Resource Manager deployment model. Her bağlantı çözümü için açıklamaları ve topoloji diyagramlarını hakkında VPN Gateway makalesine ulaşabilirsiniz.You can find descriptions and topology diagrams for each connection solution in the About VPN Gateway article.

Bu makaledeki değerler VPN ağ geçitleri (-GatewayType VPN kullanan sanal ağ geçitleri) uygular.The values in this article apply VPN gateways (virtual network gateways that use the -GatewayType Vpn). Bu makale tüm ağ geçidi türlerini veya bölgesel olarak yedekli ağ geçitlerini kapsamaz.This article does not cover all gateway types or zone-redundant gateways.

Not

Bu makale yeni Azure PowerShell Az modülünü kullanacak şekilde güncelleştirilmiştir.This article has been updated to use the new Azure PowerShell Az module. En azından Aralık 2020'ye kadar hata düzeltmeleri almaya devam edecek olan AzureRM modülünü de kullanmaya devam edebilirsiniz.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Yeni Az modülüyle AzureRM'nin uyumluluğu hakkında daha fazla bilgi edinmek için bkz. Yeni Azure PowerShell Az modülüne giriş.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az modülü yükleme yönergeleri için bkz. Azure PowerShell'i yükleme.For Az module installation instructions, see Install Azure PowerShell.

Ağ geçidi türleriGateway types

Her sanal ağ, her türde yalnızca bir sanal ağ geçidine sahip olabilir.Each virtual network can only have one virtual network gateway of each type. Bir sanal ağ geçidi oluştururken, yapılandırmanız için ağ geçidi türünün doğru olduğundan emin olmanız gerekir.When you are creating a virtual network gateway, you must make sure that the gateway type is correct for your configuration.

-GatewayType için kullanılabilir değerler şunlardır:The available values for -GatewayType are:

  • SanalVpn
  • ExpressRouteExpressRoute

VPN ağ geçidi -GatewayType VPNgerektirir.A VPN gateway requires the -GatewayType Vpn.

Örnek:Example:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

Ağ Geçidi SKU 'LarıGateway SKUs

Bir sanal ağ geçidi oluşturduğunuzda, kullanmak istediğiniz ağ geçidi SKU’sunu belirtmeniz gerekir.When you create a virtual network gateway, you need to specify the gateway SKU that you want to use. İş yükü, aktarım hızı, özellik ve SLA türlerine bağlı olarak gereksinimlerinize uyan SKU’ları seçin.Select the SKU that satisfies your requirements based on the types of workloads, throughputs, features, and SLAs. Sanal ağ geçidi SKU'ları Azure kullanılabilirlik alanları için bkz: Azure kullanılabilirlik alanları ağ geçidi SKU'ları.For virtual network gateway SKUs in Azure Availability Zones, see Azure Availability Zones Gateway SKUs.

Tünele, bağlantıya ve performansa göre Ağ Geçidi SKU’larıGateway SKUs by tunnel, connection, and throughput

SKUSKU S2S/VNet-VNet
Tünelleri
S2S/VNet-to-VNet
Tunnels
P2S
SSTP Bağlantıları
P2S
SSTP Connections
P2S
Ikev2/OpenVPN bağlantıları
P2S
IKEv2/OpenVPN Connections
Toplam
Aktarım Hızı Kıyaslaması
Aggregate
Throughput Benchmark
BGPBGP Bölge yedekliZone-redundant
TemelBasic En çok,Max. 1010 En çok,Max. 128128 DesteklenmiyorNot Supported 100 Mbps100 Mbps DesteklenmiyorNot Supported HayırNo
VpnGw1VpnGw1 En çok,Max. 30*30* En çok,Max. 128128 En çok,Max. 250250 650 Mbps650 Mbps DesteklenenSupported HayırNo
VpnGw2VpnGw2 En çok,Max. 30*30* En çok,Max. 128128 En çok,Max. 500500 1 Gbps1 Gbps DesteklenenSupported HayırNo
VpnGw3VpnGw3 En çok,Max. 30*30* En çok,Max. 128128 En çok,Max. 10001000 1,25 Gb/sn1.25 Gbps DesteklenenSupported HayırNo
VpnGw1AZVpnGw1AZ En çok,Max. 30*30* En çok,Max. 128128 En çok,Max. 250250 650 Mbps650 Mbps DesteklenenSupported EvetYes
VpnGw2AZVpnGw2AZ En çok,Max. 30*30* En çok,Max. 128128 En çok,Max. 500500 1 Gbps1 Gbps DesteklenenSupported EvetYes
VpnGw3AZVpnGw3AZ En çok,Max. 30*30* En çok,Max. 128128 En çok,Max. 10001000 1,25 Gb/sn1.25 Gbps DesteklenenSupported EvetYes

(*) 30'dan fazla S2S VPN tüneline ihtiyacınız varsa Sanal WAN kullanın.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Bu bağlantı sınırları ayrıdır.These connection limits are separate. Örneğin, bir VpnGw1 SKU’sunda 128 SSTP bağlantısına ek olarak 250 IKEv2 bağlantısına sahip olabilirsiniz.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Fiyatlandırma bilgileri Fiyatlandırma sayfasında bulunabilir.Pricing information can be found on the Pricing page.

  • SLA (Hizmet Düzeyi Sözleşmesi) bilgilerine SLA sayfasından ulaşılabilir.SLA (Service Level Agreement) information can be found on the SLA page.

  • VpnGw1, VpnGw2, VpnGw3, VpnGw1AZ, VpnGw2AZ ve VpnGw3AZ yalnızca Kaynak Yöneticisi dağıtım modelini kullanan VPN ağ geçitleri için desteklenir.VpnGw1, VpnGw2, VpnGw3, VpnGw1AZ, VpnGw2AZ and VpnGw3AZ are supported for VPN gateways using the Resource Manager deployment model only.

  • Temel SKU, eski SKU olarak kabul edilir.The Basic SKU is considered a legacy SKU. Temel SKU 'nun belirli özellik sınırlamaları vardır.The Basic SKU has certain feature limitations. Temel SKU kullanan bir ağ geçidini yeni ağ geçidi SKU 'larından birine yeniden boyutlandıramazsınız, bunun yerine VPN ağ geçidinizi silmeyi ve yeniden oluşturmayı içeren yeni bir SKU 'ya geçiş yapmanız gerekir.You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway. Temel SKU 'YU kullanmadan önce ihtiyacınız olan özelliğin desteklendiğinden emin olun.Verify that the feature that you need is supported before you use the Basic SKU.

  • Toplam Aktarım Hızı Kıyaslaması, tek bir ağ geçidi üzerinde yer alan birden fazla tünelin ölçümlerine bağlıdır.Aggregate Throughput Benchmark is based on measurements of multiple tunnels aggregated through a single gateway. Bir VPN Gateway’e yönelik Toplam Aktarım Hızı Karşılaştırması S2S ve P2S’nin birleşimidir.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Çok sayıda P2S bağlantısına sahipseniz S2S bağlantınız aktarım hızı sınırlamalarından dolayı olumsuz etkilenebilir.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. Toplam Verimlilik kıyaslaması, Internet trafiği koşulları ve uygulama davranışlarınız nedeniyle garantili bir aktarım hızı değildir.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

  • Müşterilerin VpnGw SKU 'Larının göreli performansını anlamalarına yardımcı olmak için, performansı ölçmek üzere genel kullanıma açık Iperf ve CTSTraffic araçları kullandık.To help our customers understand the relative performance of VpnGw SKUs, we used publicly available iPerf and CTSTraffic tools to measure performances. Aşağıdaki tabloda, farklı algoritmalar kullanılarak performans testlerinin sonuçları listelenmiştir.Below table lists the results of performance tests using different algorithms. Gördüğünüz gibi, her iki IPSec şifrelemesi ve bütünlüğü için GCMAES256 algoritması kullandığımızda en iyi performans elde edilir.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. IPSec şifrelemesi için AES256 ve bütünlüğü için SHA256 kullanılırken ortalama performans aldık.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. IPSec şifrelemesi için DES3 kullandığımızda ve bütünlüğü için SHA256 en düşük performansa sahip olduğumuz zaman.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

SKUSKU Kullanılan
algoritmalar
Algorithms
used
Gözlenen
üretilen iş
Throughput
observed
Saniyedeki
paket sayısı gözlemlendi
Packets per second
observed
VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mbps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58.00058,000
50,00050,000
50,00050,000
VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90,00090,000
80,00080,000
55.00055,000
VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gb/sn1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105.000105,000
90,00090,000
60,00060,000
VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mbps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58.00058,000
50,00050,000
50,00050,000
VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90,00090,000
80,00080,000
55.00055,000
VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gb/sn1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105.000105,000
90,00090,000
60,00060,000

Not

Yeni VPN ağ geçidi SKU'ları (VpnGw1, VpnGw2 ve VpnGw3) yalnızca Resource Manager dağıtım modeli için desteklenir.The new VPN gateway SKUs (VpnGw1, VpnGw2, and VpnGw3) are supported for the Resource Manager deployment model only. Klasik sanal ağlar (eski) eski SKU'lar kullanmaya devam etmelidir.Classic virtual networks should continue to use the old (legacy) SKUs.

Özellik kümesi tarafından ağ geçidi SKU'larıGateway SKUs by feature set

Yeni VPN ağ geçidi SKU'ları ağ geçitlerinde sunulan özellik kümeleri açısından kolaylık sağlar:The new VPN gateway SKUs streamline the feature sets offered on the gateways:

SKUSKU ÖzelliklerFeatures
Temel (**)Basic (**) Rota tabanlı VPN: S2S/bağlantılar için 10 tünel; RADIUS kimlik doğrulaması olmaması için P2S; P2S için Ikev2 yokRoute-based VPN: 10 tunnels for S2S/connections; no RADIUS authentication for P2S; no IKEv2 for P2S
İlke tabanlı VPN: (IKEv1): 1 S2S/bağlantı tünel; P2S yokPolicy-based VPN: (IKEv1): 1 S2S/connection tunnel; no P2S
VpnGw1, VpnGw2 ve VpnGw3VpnGw1, VpnGw2, and VpnGw3 Rota tabanlı VPN: 30 tünele kadar (*), P2S, BGP, etkin-etkin, özel IPSec/IKE İlkesi, ExpressRoute/VPN birlikte kullanımıRoute-based VPN: up to 30 tunnels (*), P2S, BGP, active-active, custom IPsec/IKE policy, ExpressRoute/VPN coexistence

( * ) Rota tabanlı bir VPN ağ geçidini (VpnGw1, VpnGw2, VpnGw3) şirket içi ilke tabanlı birden fazla güvenlik duvarı cihazına bağlamak için "PolicyBasedTrafficSelectors" yapılandırması gerçekleştirebilirsiniz.(*) You can configure "PolicyBasedTrafficSelectors" to connect a route-based VPN gateway (VpnGw1, VpnGw2, VpnGw3) to multiple on-premises policy-based firewall devices. Ayrıntılı bilgi için bkz. PowerShell kullanarak VPN ağ geçitlerini şirket içi ilke tabanlı birden fazla VPN cihazına bağlama.Refer to Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell for details.

(**) Temel SKU eski SKU olarak kabul edilir.(**) The Basic SKU is considered a legacy SKU. Temel SKU, belirli özellik sınırlamaları vardır.The Basic SKU has certain feature limitations. Yeni ağ geçidi SKU'ları birine bir temel SKU kullanan bir ağ geçidini yeniden boyutlandırma, bunun yerine VPN ağ geçidiniz geçemezsiniz içeren yeni bir SKU'ya için değiştirmeniz gerekir.You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway.

Ağ geçidi SKU'ları - üretim vs. Geliştirme-Test İş Yükleri KarşılaştırmasıGateway SKUs - Production vs. Dev-Test Workloads

SLA ve özellik kümeleri farklılıklar nedeniyle üretim ve geliştirme ve test için aşağıdaki SKU'ları öneririz:Due to the differences in SLAs and feature sets, we recommend the following SKUs for production vs. dev-test:

İş yüküWorkload SKU'larSKUs
Üretim, kritik iş yükleriProduction, critical workloads VpnGw1, VpnGw2, VpnGw3VpnGw1, VpnGw2, VpnGw3
Geliştirme-test veya kavram kanıtıDev-test or proof of concept Temel (**)Basic (**)

(**) Temel SKU eski SKU olarak kabul edilir ve özellik sınırlamaları vardır.(**) The Basic SKU is considered a legacy SKU and has feature limitations. Temel SKU kullanmadan önce gereksinim duyduğunuz özellik desteklendiğinden emin olun.Verify that the feature that you need is supported before you use the Basic SKU.

Eski SKU'ları (eski) kullanıyorsanız, üretim standart ve yüksek performanslı ' dir.If you are using the old SKUs (legacy), the production SKU recommendations are Standard and HighPerformance. Bilgi ve yönergeler için eski SKU'ları için bkz. ağ geçidi SKU'ları (eski).For information and instructions for old SKUs, see Gateway SKUs (legacy).

Ağ Geçidi SKU 'SU yapılandırmaConfigure a gateway SKU

Azure portalıAzure portal

Kaynak Yöneticisi sanal ağ geçidi oluşturmak için Azure portal kullanırsanız, açılan menüyü kullanarak ağ geçidi SKU 'sunu seçebilirsiniz.If you use the Azure portal to create a Resource Manager virtual network gateway, you can select the gateway SKU by using the dropdown. Size sunulan seçenekler, seçtiğiniz ağ geçidi türü ve VPN türüne karşılık gelir.The options you are presented with correspond to the Gateway type and VPN type that you select.

PowerShellPowerShell

Aşağıdaki PowerShell örneği, VpnGw1 olarak -GatewaySku belirtir.The following PowerShell example specifies the -GatewaySku as VpnGw1. Bir ağ geçidi oluşturmak için PowerShell 'i kullanırken, önce IP yapılandırmasını oluşturmanız ve ardından başvurmak için bir değişken kullanmanız gerekir.When using PowerShell to create a gateway, you have to first create the IP configuration, then use a variable to refer to it. Bu örnekte, yapılandırma değişkeni $gwipconfig.In this example, the configuration variable is $gwipconfig.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

Azure CLıAzure CLI

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

SKU 'YU yeniden boyutlandırma veya değiştirmeResizing or changing a SKU

VPN Gateway 'niz varsa ve farklı bir ağ geçidi SKU 'SU kullanmak istiyorsanız, seçenekleriniz ağ geçidi SKU 'nuzu yeniden boyutlandırırlar ya da başka bir SKU 'ya geçiş yapılır.If you have a VPN gateway and you want to use a different gateway SKU, your options are to either resize your gateway SKU, or to change to another SKU. Başka bir ağ geçidi SKU 'SU olarak değiştirdiğinizde, var olan ağ geçidini tamamen siler ve yeni bir tane oluşturursunuz.When you change to another gateway SKU, you delete the existing gateway entirely and build a new one. Bir ağ geçidinin oluşturulması 45 dakika sürebilir.A gateway can take up to 45 minutes to build. Karşılaştırmayla, bir ağ geçidi SKU 'sunu yeniden boyutlandırdığınızda, ağ geçidini silip yeniden derlemek zorunda olmadığınızdan çok kapalı kalma süresi yoktur.In comparison, when you resize a gateway SKU, there is not much downtime because you do not have to delete and rebuild the gateway. Ağ Geçidi SKU 'sunu değiştirmek yerine yeniden boyutlandırma seçeneğiniz varsa bunu yapmak isteyeceksiniz.If you have the option to resize your gateway SKU, rather than change it, you will want to do that. Ancak yeniden boyutlandırmayla ilgili kurallar vardır:However, there are rules regarding resizing:

  1. VpnGw1, VpnGw2 ve VpnGw3 SKU 'Ları arasında yeniden boyutlandırma yapabilirsiniz.You can resize between VpnGw1, VpnGw2, and VpnGw3 SKUs.
  2. Eski ağ geçidi SKU 'Ları ile çalışırken, temel, standart ve HighPerformance SKU 'Ları arasında yeniden boyutlandırma yapabilirsiniz.When working with the old gateway SKUs, you can resize between Basic, Standard, and HighPerformance SKUs.
  3. Temel/standart/HighPerformance SKU 'larından yeni VpnGw1/VpnGw2/VpnGw3 SKU 'larına yeniden boyutlandırılamaz .You cannot resize from Basic/Standard/HighPerformance SKUs to the new VpnGw1/VpnGw2/VpnGw3 SKUs. Bunun yerine yeni SKU 'Lara geçiş yapmanız gerekir.You must instead, change to the new SKUs.

Bir ağ geçidini yeniden boyutlandırmak içinTo resize a gateway

Daha güçlü bir yükseltileceği SKU ağ geçidi yeniden boyutlandırmak istediğiniz geçerli için SKU'ları (VpnGw1, VpnGw2 ve VPNGW3) kullanabileceğiniz Resize-AzVirtualNetworkGateway PowerShell cmdlet'i.For the current SKUs (VpnGw1, VpnGw2, and VPNGW3) you want to resize your gateway SKU to upgrade to a more powerful one, you can use the Resize-AzVirtualNetworkGateway PowerShell cmdlet. Ağ geçidi SKU boyutu bu cmdlet'ini kullanarak da düşürebilir.You can also downgrade the gateway SKU size using this cmdlet. Temel ağ geçidi SKU'su kullanmanız durumunda bu yönergeleri kullanmanız ağ geçidi yeniden boyutlandırmak için.If you are using the Basic gateway SKU, use these instructions instead to resize your gateway.

Aşağıdaki PowerShell örneği, bir ağ geçidi SKU'sunu VpnGw2 için yeniden boyutlandırılmaya gösterir.The following PowerShell example shows a gateway SKU being resized to VpnGw2.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

Giderek Azure portalında bir ağ geçidi de yeniden boyutlandırabilirsiniz yapılandırma sayfasında sanal ağ geçidiniz için ve açılan listeden farklı bir SKU seçme.You can also resize a gateway in the Azure portal by going to the Configuration page for your virtual network gateway and selecting a different SKU from the dropdown.

Eski (eski) bir SKU 'dan yeni bir SKU 'ya geçiş yapmak içinTo change from an old (legacy) SKU to a new SKU

Resource Manager dağıtım modeliyle çalışıyorsanız, yeni ağ geçidi SKU'ları değiştirebilirsiniz.If you are working with the Resource Manager deployment model, you can change to the new gateway SKUs. Eski ağ geçidi SKU'sunu yeni bir SKU'ya değiştirdiğinizde, mevcut VPN ağ geçidini silin ve yeni bir VPN ağ geçidi oluşturun.When you change from a legacy gateway SKU to a new SKU, you delete the existing VPN gateway and create a new VPN gateway.

İş akışı:Workflow:

  1. Sanal ağ geçidine ilişkin tüm bağlantıları kesin.Remove any connections to the virtual network gateway.
  2. Eski VPN ağ geçidini silin.Delete the old VPN gateway.
  3. Yeni VPN ağ geçidini oluşturun.Create the new VPN gateway.
  4. Şirket içi VPN cihazlarınızdaki VPN ağ geçidi IP adresini (Siteden Siteye bağlantılar için) yenisi ile güncelleştirin.Update your on-premises VPN devices with the new VPN gateway IP address (for Site-to-Site connections).
  5. Bu ağ geçidine bağlanacak tüm VNet-VNet yerel ağ geçitleri için ağ geçidi IP adresi değerini güncelleştirin.Update the gateway IP address value for any VNet-to-VNet local network gateways that will connect to this gateway.
  6. Bu VPN ağ geçidi yoluyla sanal ağa bağlanan P2S istemcileri için yeni istemci VPN yapılandırma paketlerini indirin.Download new client VPN configuration packages for P2S clients connecting to the virtual network through this VPN gateway.
  7. Sanal ağ geçidine ilişkin tüm bağlantıları yeniden oluşturun.Recreate the connections to the virtual network gateway.

Dikkat edilmesi gerekenler:Considerations:

  • Yeni SKU'lara taşımak için VPN gateway'inizi Resource Manager dağıtım modelinde olmalıdır.To move to the new SKUs, your VPN gateway must be in the Resource Manager deployment model.
  • Klasik VPN ağ geçidi varsa, bu ağ geçidi için eski eski SKU'ları kullanarak devam etmeniz gerekir, ancak, eski SKU'ları arasında yeniden boyutlandırabilirsiniz.If you have a classic VPN gateway, you must continue using the older legacy SKUs for that gateway, however, you can resize between the legacy SKUs. Yeni SKU'lara geçiş yapamazsınız.You cannot change to the new SKUs.
  • Eski bir SKU'dan yeni bir SKU'ya değiştirdiğinizde, bağlantı kapalı kalma süresi gerekir.You will have connectivity downtime when you change from a legacy SKU to a new SKU.
  • Yeni bir ağ geçidi için SKU değiştirirken, VPN ağ geçidiniz için genel IP adresi değişir.When changing to a new gateway SKU, the public IP address for your VPN gateway will change. Bu, daha önce kullandığınız aynı genel IP adresi nesnesi belirtseniz dahi gerçekleşir.This happens even if you specify the same public IP address object that you used previously.

Bağlantı türleriConnection types

Kaynak Yöneticisi dağıtım modelinde, her yapılandırma için belirli bir sanal ağ geçidi bağlantı türü gerekir.In the Resource Manager deployment model, each configuration requires a specific virtual network gateway connection type. @No__t-0 için kullanılabilir Kaynak Yöneticisi PowerShell değerleri şunlardır:The available Resource Manager PowerShell values for -ConnectionType are:

  • BkzIPsec
  • Vnet2VnetVnet2Vnet
  • ExpressRouteExpressRoute
  • VPNClientVPNClient

Aşağıdaki PowerShell örneğinde, IPSecbağlantı türünü GEREKTIREN bir S2S bağlantısı oluşturacağız.In the following PowerShell example, we create a S2S connection that requires the connection type IPsec.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

VPN türleriVPN types

Bir VPN ağ geçidi yapılandırması için sanal ağ geçidi oluşturduğunuzda, bir VPN türü belirtmeniz gerekir.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. Seçtiğiniz VPN türü, oluşturmak istediğiniz bağlantı topolojisine bağlıdır.The VPN type that you choose depends on the connection topology that you want to create. Örneğin, bir P2S bağlantısı, RouteBased VPN türü gerektirir.For example, a P2S connection requires a RouteBased VPN type. VPN türü Ayrıca, kullanmakta olduğunuz donanıma de bağlı olabilir.A VPN type can also depend on the hardware that you are using. S2S yapılandırmalarının bir VPN cihazı olması gerekir.S2S configurations require a VPN device. Bazı VPN cihazları yalnızca belirli bir VPN türünü destekler.Some VPN devices only support a certain VPN type.

Seçtiğiniz VPN türü, oluşturmak istediğiniz çözüm için tüm bağlantı gereksinimlerini karşılamalıdır.The VPN type you select must satisfy all the connection requirements for the solution you want to create. Örneğin, aynı sanal ağ için bir S2S VPN Ağ Geçidi bağlantısı ve bir P2S VPN Ağ Geçidi bağlantısı oluşturmak istiyorsanız, P2S, RouteBased VPN türü gerektirdiğinden Routebased VPN türünü kullanırsınız.For example, if you want to create a S2S VPN gateway connection and a P2S VPN gateway connection for the same virtual network, you would use VPN type RouteBased because P2S requires a RouteBased VPN type. Ayrıca, VPN cihazınızın bir RouteBased VPN bağlantısı destekliyordu de doğrulamanız gerekir.You would also need to verify that your VPN device supported a RouteBased VPN connection.

Bir sanal ağ geçidi oluşturulduktan sonra VPN türünü değiştiremezsiniz.Once a virtual network gateway has been created, you can't change the VPN type. Sanal ağ geçidini silip yeni bir tane oluşturmanız gerekir.You have to delete the virtual network gateway and create a new one. İki VPN türü vardır:There are two VPN types:

  • PolicyBased: PolicyBased VPN'ler daha önce Klasik dağıtım modelinde statik yönlendirme ağ geçitleri adı veriliyordu.PolicyBased: PolicyBased VPNs were previously called static routing gateways in the classic deployment model. İlke tabanlı VPN'ler şifreler ve şirket içi ağınız ile Azure Vnet'iniz arasında adres öneklerinin birleşimleriyle yapılandırılmış IPSec ilkeleri temelindeki IPSec tüneller üzerinden paketleri doğrudan.Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the IPsec policies configured with the combinations of address prefixes between your on-premises network and the Azure VNet. İlke (veya trafik seçici) çoğunlukla VPN cihazı yapılandırmasında bir erişim listesi olarak tanımlanır.The policy (or traffic selector) is usually defined as an access list in the VPN device configuration. PolicyBased VPN türü için değer PolicyBased.The value for a PolicyBased VPN type is PolicyBased. PolicyBased VPN kullanırken aşağıdaki sınırlamaları göz önünde bulundurun:When using a PolicyBased VPN, keep in mind the following limitations:

    • PolicyBased VPN'ler can yalnızca temel ağ geçidi SKU üzerinde kullanılabilir.PolicyBased VPNs can only be used on the Basic gateway SKU. Bu VPN türü diğer ağ geçidi SKU'ları ile uyumlu değil.This VPN type is not compatible with other gateway SKUs.
    • PolicyBased VPN kullanırken, yalnızca 1 tünel olabilir.You can have only 1 tunnel when using a PolicyBased VPN.
    • S2S bağlantılarının ve yapılandırmalar için yalnızca belirli yalnızca PolicyBased VPN'ler kullanabilirsiniz.You can only use PolicyBased VPNs for S2S connections, and only for certain configurations. Çoğu VPN ağ geçidi yapılandırmaları, RouteBased VPN gerektirir.Most VPN Gateway configurations require a RouteBased VPN.
  • RouteBased: RouteBased Vpn'lere daha önce Klasik dağıtım modelinde dinamik yönlendirme ağ geçitleri adı veriliyordu.RouteBased: RouteBased VPNs were previously called dynamic routing gateways in the classic deployment model. RouteBased VPN IP iletme veya yönlendirme tablosunu paketleri kendi ilgili arabirimlerine yönlendirmek "yolları" kullanın.RouteBased VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. Bundan sonra tünel arabirimleri, paketleri tünellerin içinde veya dışında şifreler veya şifrelerini çözer.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. İlke (veya trafik Seçici) RouteBased Vpn'lere için herhangi bir ağdan herhangi olarak yapılandırılır (veya joker karakterler).The policy (or traffic selector) for RouteBased VPNs are configured as any-to-any (or wild cards). RouteBased VPN türü için değer RouteBased.The value for a RouteBased VPN type is RouteBased.

Aşağıdaki PowerShell örneği, -VpnType ' yı Routebasedolarak belirtir.The following PowerShell example specifies the -VpnType as RouteBased. Bir ağ geçidi oluştururken,-VpnType ' ın yapılandırmanız için doğru olduğundan emin olmanız gerekir.When you are creating a gateway, you must make sure that the -VpnType is correct for your configuration.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Ağ Geçidi gereksinimleriGateway requirements

Aşağıdaki tabloda PolicyBased ve RouteBased VPN ağ geçitleri için gereksinimler listelenmektedir.The following table lists the requirements for PolicyBased and RouteBased VPN gateways. Bu tablo hem Resource Manager, hem de klasik dağıtım modellerine uygulanır.This table applies to both the Resource Manager and classic deployment models. Klasik modeli için PolicyBased VPN ağ geçitleri statik ağ geçitleri ile aynıdır ve rota tabanlı ağ geçitleri dinamik ağ geçitleri ile aynıdır.For the classic model, PolicyBased VPN gateways are the same as Static gateways, and Route-based gateways are the same as Dynamic gateways.

PolicyBased temel VPN GatewayPolicyBased Basic VPN Gateway Temel RouteBased VPN ağ geçidiRouteBased Basic VPN Gateway Standart RouteBased VPN ağ geçidiRouteBased Standard VPN Gateway RouteBased ve yüksek performanslı VPN GatewayRouteBased High Performance VPN Gateway
Siteden siteye bağlantı (S2S)Site-to-Site connectivity (S2S) PolicyBased VPN yapılandırmasıPolicyBased VPN configuration RouteBased VPN yapılandırmasıRouteBased VPN configuration RouteBased VPN yapılandırmasıRouteBased VPN configuration RouteBased VPN yapılandırmasıRouteBased VPN configuration
Noktadan Siteye bağlantı (P2S)Point-to-Site connectivity (P2S) DesteklenmiyorNot supported Destekleniyor (S2S ile birlikte var olabilir)Supported (Can coexist with S2S) Destekleniyor (S2S ile birlikte var olabilir)Supported (Can coexist with S2S) Destekleniyor (S2S ile birlikte var olabilir)Supported (Can coexist with S2S)
Kimlik doğrulama yöntemiAuthentication method Önceden paylaşılan anahtarPre-shared key S2S bağlantısı için önceden paylaşılan anahtar, P2S bağlantısı için sertifikalarPre-shared key for S2S connectivity, Certificates for P2S connectivity S2S bağlantısı için önceden paylaşılan anahtar, P2S bağlantısı için sertifikalarPre-shared key for S2S connectivity, Certificates for P2S connectivity S2S bağlantısı için önceden paylaşılan anahtar, P2S bağlantısı için sertifikalarPre-shared key for S2S connectivity, Certificates for P2S connectivity
S2S bağlantılarının maksimum sayısıMaximum number of S2S connections 11 1010 1010 3030
P2S bağlantı sayısı üst sınırıMaximum number of P2S connections DesteklenmiyorNot supported 128128 128128 128128
Etkin yönlendirme desteği (BGP) (*)Active routing support (BGP) (*) DesteklenmiyorNot supported DesteklenmiyorNot supported DesteklenenSupported DesteklenenSupported

(*) BGP, Klasik dağıtım modeli için desteklenmez.(*) BGP is not supported for the classic deployment model.

Ağ geçidi alt ağıGateway subnet

Bir VPN ağ geçidi oluşturmadan önce bir ağ geçidi alt ağı oluşturmanız gerekir.Before you create a VPN gateway, you must create a gateway subnet. Ağ geçidi alt ağı, sanal ağ geçidi VM 'lerinin ve hizmetlerinin kullandığı IP adreslerini içerir.The gateway subnet contains the IP addresses that the virtual network gateway VMs and services use. Sanal ağ geçidinizi oluşturduğunuzda, ağ geçidi VM 'Leri ağ geçidi alt ağına dağıtılır ve gerekli VPN Gateway ayarları ile yapılandırılır.When you create your virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the required VPN gateway settings. Ağ geçidi alt ağına hiçbir şeyi başka hiçbir şekilde (örneğin, ek VM 'Ler) dağıtmayın.Never deploy anything else (for example, additional VMs) to the gateway subnet. Düzgün çalışması için ağ geçidi alt ağının ' GatewaySubnet ' olarak adlandırılması gerekir.The gateway subnet must be named 'GatewaySubnet' to work properly. Ağ geçidi alt ağının ' GatewaySubnet ' olarak adlandırılması, Azure 'un sanal ağ geçidi VM 'lerini ve hizmetlerini dağıtmak için bu alt ağ olduğunu bilmesini sağlar.Naming the gateway subnet 'GatewaySubnet' lets Azure know that this is the subnet to deploy the virtual network gateway VMs and services to.

Not

GatewaySubnet üzerinde 0.0.0.0/0 hedefi ve NSG 'ler içeren Kullanıcı tanımlı rotalar desteklenmez.User defined routes with a 0.0.0.0/0 destination and NSGs on the GatewaySubnet are not supported. Bu yapılandırmayla oluşturulan ağ geçitlerinin oluşturulması engellenir.Gateways created with this configuration will be blocked from creation. Ağ geçitlerinin düzgün çalışması için yönetim denetleyicilerine erişimi olması gerekir.Gateways require access to the management controllers in order to function properly.

Ağ geçidi alt ağını oluştururken, alt ağın içerdiği IP adresi sayısını belirtirsiniz.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. Ağ geçidi alt ağındaki IP adresleri ağ geçidi VM 'lerine ve ağ geçidi hizmetlerine ayrılır.The IP addresses in the gateway subnet are allocated to the gateway VMs and gateway services. Bazı yapılandırmalarda diğerlerinden daha fazla IP adresi gerekir.Some configurations require more IP addresses than others.

Ağ geçidi alt ağınızın boyutunu planlarken, oluşturmayı planladığınız yapılandırma için belgelere bakın.When you are planning your gateway subnet size, refer to the documentation for the configuration that you are planning to create. Örneğin, ExpressRoute/VPN Gateway bir arada bulunan yapılandırma, diğer birçok yapılandırmadan daha büyük bir ağ geçidi alt ağı gerektirir.For example, the ExpressRoute/VPN Gateway coexist configuration requires a larger gateway subnet than most other configurations. Ayrıca, ağ geçidi alt ağınızın olası gelecekteki ek yapılandırmalara uyum sağlamak için yeterli IP adresi içerdiğinden emin olmak isteyebilirsiniz.Additionally, you may want to make sure your gateway subnet contains enough IP addresses to accommodate possible future additional configurations. /29 kadar küçük bir ağ geçidi alt ağı oluşturabileceğiniz gibi, kullanılabilir adres alanınız varsa/27 veya daha büyük (/27,/26 vb.) bir ağ geçidi alt ağı oluşturmanızı öneririz.While you can create a gateway subnet as small as /29, we recommend that you create a gateway subnet of /27 or larger (/27, /26 etc.) if you have the available address space to do so. Bu, çoğu yapılandırmaya uyum sağlayacaktır.This will accommodate most configurations.

Aşağıdaki Kaynak Yöneticisi PowerShell örneği, GatewaySubnet adlı bir ağ geçidi alt ağını göstermektedir.The following Resource Manager PowerShell example shows a gateway subnet named GatewaySubnet. CıDR gösteriminin bir/27 olduğunu görebilirsiniz. Bu, şu anda mevcut olan çoğu yapılandırma için yeterli IP adresi sağlar.You can see the CIDR notation specifies a /27, which allows for enough IP addresses for most configurations that currently exist.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Önemli

Ağ geçidi alt ağlarıyla çalışırken, ağ güvenlik grubunu (NSG) ağ geçidi alt ağıyla ilişkilendirmekten kaçının.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. Ağ güvenlik grubunun bu alt ağ ile ilişkilendirilmesi, VPN Gateway’inizin beklendiği gibi çalışmayı durdurmasına neden olabilir.Associating a network security group to this subnet may cause your VPN gateway to stop functioning as expected. Ağ güvenlik grupları hakkında daha fazla bilgi için bkz. Ağ güvenlik grubu nedir?For more information about network security groups, see What is a network security group?

Yerel ağ geçitleriLocal network gateways

Yerel ağ geçidi, bir sanal ağ geçidinden farklıdır.A local network gateway is different than a virtual network gateway. Bir VPN ağ geçidi yapılandırması oluştururken, yerel ağ geçidi genellikle şirket içi konumunuzu temsil eder.When creating a VPN gateway configuration, the local network gateway usually represents your on-premises location. Klasik dağıtım modelinde, yerel ağ geçidine yerel site denir.In the classic deployment model, the local network gateway was referred to as a Local Site.

Yerel ağ geçidine bir ad, şirket içi VPN cihazının genel IP adresi verirsiniz ve şirket içi konumda bulunan adres öneklerini belirtebilirsiniz.You give the local network gateway a name, the public IP address of the on-premises VPN device, and specify the address prefixes that are located on the on-premises location. Azure, ağ trafiği için hedef adres öneklerine bakar, yerel ağ geçidiniz için belirttiğiniz yapılandırmaya bakar ve paketleri buna göre yönlendirir.Azure looks at the destination address prefixes for network traffic, consults the configuration that you have specified for your local network gateway, and routes packets accordingly. Ayrıca, bir VPN Ağ Geçidi bağlantısı kullanan VNet-VNet yapılandırmalarına yönelik yerel ağ geçitleri de belirtirsiniz.You also specify local network gateways for VNet-to-VNet configurations that use a VPN gateway connection.

Aşağıdaki PowerShell örneği yeni bir yerel ağ geçidi oluşturur:The following PowerShell example creates a new local network gateway:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Bazen yerel ağ geçidi ayarlarını değiştirmeniz gerekebilir.Sometimes you need to modify the local network gateway settings. Örneğin, adres aralığını eklediğinizde veya değiştirdiğinizde ya da VPN cihazının IP adresi değişirse.For example, when you add or modify the address range, or if the IP address of the VPN device changes. Bkz. PowerShell kullanarak yerel ağ geçidi ayarlarını değiştirme.See Modify local network gateway settings using PowerShell.

REST API 'Leri, PowerShell cmdlet 'leri ve CLıREST APIs, PowerShell cmdlets, and CLI

REST API 'leri, PowerShell cmdlet 'leri veya VPN Gateway yapılandırmalarına yönelik Azure CLı kullanırken ek teknik kaynaklar ve özel sözdizimi gereksinimleri için aşağıdaki sayfalara bakın:For additional technical resources and specific syntax requirements when using REST APIs, PowerShell cmdlets, or Azure CLI for VPN Gateway configurations, see the following pages:

KlasikClassic Kaynak YöneticisiResource Manager
PowerShellPowerShell PowerShellPowerShell
REST APIREST API REST APIREST API
DesteklenmezNot supported Azure CLıAzure CLI

Sonraki adımlarNext steps

Kullanılabilir bağlantı konfigürasyonları hakkında daha fazla bilgi için bkz. VPN Gateway.For more information about available connection configurations, see About VPN Gateway.