VPN Gateway yapılandırma ayarları hakkında

VPN Gateway, sanal ağınız ile şirket içi konumunuz arasında ortak bir bağlantı arasında şifrelenmiş trafik gönderen bir sanal ağ geçidi türüdür. Ayrıca, Azure omurga genelinde sanal ağlar arasında trafik göndermek için bir VPN ağ geçidi kullanabilirsiniz.

Bir VPN Ağ Geçidi bağlantısı, her biri yapılandırılabilir ayarları içeren birden fazla kaynak yapılandırmasına dayanır. Bu makaledeki bölümler, Kaynak Yöneticisi dağıtım modelindeoluşturulan bir sanal ağın VPN ağ geçidiyle ilgili kaynakları ve ayarları tartışır. Her bağlantı çözümü için açıklamaları ve topoloji diyagramlarını hakkında VPN Gateway makalesine ulaşabilirsiniz.

Bu makaledeki değerler VPN ağ geçitleri (-GatewayType VPN kullanan sanal ağ geçitleri) uygular. Bu makale tüm ağ geçidi türlerini veya bölgesel olarak yedekli ağ geçitlerini kapsamaz.

Ağ geçidi türleri

Her sanal ağ, her türde yalnızca bir sanal ağ geçidine sahip olabilir. Bir sanal ağ geçidi oluştururken, yapılandırmanız için ağ geçidi türünün doğru olduğundan emin olmanız gerekir.

-GatewayType için kullanılabilir değerler şunlardır:

  • VPN
  • ExpressRoute

VPN ağ geçidi için -GatewayType VPN gerekir.

Örnek:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

Ağ Geçidi SKU’ları

Bir sanal ağ geçidi oluşturduğunuzda, kullanmak istediğiniz ağ geçidi SKU’sunu belirtmeniz gerekir. İş yükü, aktarım hızı, özellik ve SLA türlerine bağlı olarak gereksinimlerinize uyan SKU’ları seçin. Azure Kullanılabilirlik Alanları sanal ağ geçidi SKU 'Ları için, bkz. Azure kullanılabilirlik alanları ağ geçidi SKU 'ları.

Tünele, bağlantıya ve performansa göre Ağ Geçidi SKU’ları

VPN
Gateway
oluşturma
SKU S2S/VNet-VNet
Tünelleri
P2S
SSTP Bağlantıları
P2S
Ikev2/OpenVPN bağlantıları
Toplam
Aktarım Hızı Kıyaslaması
BGP Bölge yedekli
Generation1 Temel En çok, 10 En çok, 128 Desteklenmiyor 100 Mbps Desteklenmiyor No
Generation1 VpnGw1 En çok, 30* En çok, 128 En çok, 250 650 Mb/sn Desteklenir No
Generation1 VpnGw2 En çok, 30* En çok, 128 En çok, 500 1 Gb/sn Desteklenir No
Generation1 VpnGw3 En çok, 30* En çok, 128 En çok, 1000 1,25 Gb/sn Desteklenir No
Generation1 VpnGw1AZ En çok, 30* En çok, 128 En çok, 250 650 Mb/sn Desteklenir Yes
Generation1 VpnGw2AZ En çok, 30* En çok, 128 En çok, 500 1 Gb/sn Desteklenir Yes
Generation1 VpnGw3AZ En çok, 30* En çok, 128 En çok, 1000 1,25 Gb/sn Desteklenir Yes
Generation2 VpnGw2 En çok, 30* En çok, 128 En çok, 500 1,25 Gb/sn Desteklenir No
Generation2 VpnGw3 En çok, 30* En çok, 128 En çok, 1000 2,5 Gbps Desteklenir No
2. Nesil VpnGw4 En çok, 30* En çok, 128 En çok, 5000 5 Gbps Desteklenir No
2. Nesil VpnGw5 En çok, 30* En çok, 128 En çok, 10000 10 Gbps Desteklenir No
2. Nesil VpnGw2AZ En çok, 30* En çok, 128 En çok, 500 1,25 Gb/sn Desteklenir Yes
2. Nesil VpnGw3AZ En çok, 30* En çok, 128 En çok, 1000 2,5 Gbps Desteklenir Yes
2. Nesil VpnGw4AZ En çok, 30* En çok, 128 En çok, 5000 5 Gbps Desteklenir Yes
2. Nesil VpnGw5AZ En çok, 30* En çok, 128 En çok, 10000 10 Gbps Desteklenir Yes

(*) 30'dan fazla S2S VPN tüneline ihtiyacınız varsa Sanal WAN kullanın.

  • Temel SKU'nun yeniden boyutlandırması dışında VpnGw SKU'larının yeniden boyutlandırmasına aynı nesilde izin verilir. Temel SKU eski bir SKU'dır ve özellik sınırlamaları vardır. Temel'den başka bir VpnGw SKU'ya geçiş yapmak için Temel SKU VPN ağ geçidini silmeniz ve istenen Oluşturma ve SKU boyutu bileşimiyle yeni bir ağ geçidi oluşturmanız gerekir. Temel ağ geçidini yalnızca başka bir eski SKU'ya yeniden boyutlandırabilirsiniz (bkz. Eski SKU'larla çalışma).

  • Bu bağlantı sınırları ayrıdır. Örneğin, bir VpnGw1 SKU’sunda 128 SSTP bağlantısına ek olarak 250 IKEv2 bağlantısına sahip olabilirsiniz.

  • Fiyatlandırma bilgileri Fiyatlandırma sayfasında bulunabilir.

  • SLA (Hizmet Düzeyi Sözleşmesi) bilgilerine SLA sayfasından ulaşılabilir.

  • Tek bir tünelde en fazla 1 Gbps aktarım hızı elde edilebilir. Yukarıdaki tabloda yer alan Toplama Aktarım Hızı Karşılaştırması, tek bir ağ geçidi üzerinden toplanan birden çok tünelin ölçümlerini temel alır. Bir VPN Gateway’e yönelik Toplam Aktarım Hızı Karşılaştırması S2S ve P2S’nin birleşimidir. Çok sayıda P2S bağlantısına sahipseniz S2S bağlantınız aktarım hızı sınırlamalarından dolayı olumsuz etkilenebilir. Toplu Aktarım Hızı Karşılaştırması, İnternet trafiği koşulları ve uygulama davranışlarınız nedeniyle garantili bir aktarım hızı değildir.

Müşterilerimizin farklı algoritmalar kullanarak SKUS'ların göreli performansını anlamanıza yardımcı olmak için genel kullanıma açık iPerf ve CTSTraffic araçlarını kullanarak performansları ölçtük. Aşağıdaki tabloda 1. Nesil VpnGw SKUS'ları için performans testlerinin sonuçları listelenmiştir. Gördüğünüz gibi, hem IPsec Şifrelemesi hem de Bütünlük için GCMAES256 algoritmasını kullandığımız zaman en iyi performans elde edilir. IPsec Şifrelemesi için AES256 ve Bütünlük için SHA256 kullanılırken ortalama performansa sahip olduk. IPsec Şifrelemesi için DES3 ve Bütünlük için SHA256'yı kullandığımız zaman en düşük performansımız oldu.

Nesil SKU Kullanılan
algoritmalar
Gözlemlenen
aktarım hızı
Gözlemlenen tünel başına saniye
başına paket sayısı
1. Nesil VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mb/sn
500 Mbps
120 Mb/sn
58,000
50,000
50,000
1. Nesil VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gbps
500 Mbps
120 Mb/sn
90,000
80,000
55,000
1. Nesil VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/sn
550 Mb/sn
120 Mb/sn
105,000
90,000
60.000
1. Nesil VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mb/sn
500 Mbps
120 Mb/sn
58,000
50,000
50,000
1. Nesil VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gbps
500 Mbps
120 Mb/sn
90,000
80,000
55,000
1. Nesil VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/sn
550 Mb/sn
120 Mb/sn
105,000
90,000
60.000

Not

VpnGw SKU 'Ları (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5 ve VpnGw5AZ) yalnızca Kaynak Yöneticisi dağıtım modeli için desteklenir. Klasik sanal ağlar eski (eski) SKU 'Ları kullanmaya devam etmelidir.

Özellik kümesine göre ağ geçidi SKU 'Ları

Yeni VPN Gateway SKU 'Ları, ağ geçitleri üzerinde sunulan özellik kümelerini kolaylaştırır:

SKU Özellikler
Temel (* *) Rota tabanlı VPN: S2S/bağlantılar için 10 tüneli; P2S için RADIUS kimlik doğrulaması yok; P2S için Ikev2 yok
İlke tabanlı VPN: (IKEv1): 1 S2S/bağlantı tüneli; P2S yok
Temel hariç tüm Generation1 ve Generation2 SKU 'Ları Rota tabanlı VPN: en fazla 30 tünelle (*), P2S, BGP, etkin-etkin, özel ıPSEC/Ike Ilkesi, ExpressRoute/VPN birlikte kullanımı

(*) Yol tabanlı bir VPN ağ geçidini birden çok şirket içi ilke tabanlı güvenlik duvarı cihazına bağlamak için "PolicyBasedTrafficSelectors" yapılandırabilirsiniz. Ayrıntılı bilgi için bkz. PowerShell kullanarak VPN ağ geçitlerini şirket içi ilke tabanlı birden fazla VPN cihazına bağlama.

( * * ) Temel SKU, eski SKU olarak kabul edilir. Temel SKU 'nun belirli özellik sınırlamaları vardır. Temel SKU kullanan bir ağ geçidini yeni ağ geçidi SKU 'larından birine yeniden boyutlandıramazsınız, bunun yerine VPN ağ geçidinizi silmeyi ve yeniden oluşturmayı içeren yeni bir SKU 'ya geçiş yapmanız gerekir.

Ağ Geçidi SKU 'Ları-üretim ve Dev-Test Iş yükleri

SLA'lardaki ve özellik kümelerindeki farklılıklar nedeniyle üretim ve geliştirme-test iş yükleri için aşağıdaki farklı SKU'ları öneririz:

İş yükü SKU'lar
Üretim, kritik iş yükleri Temel hariç tüm Generation1 ve Generation2 SKU 'Ları
Geliştirme-test veya kavram kanıtı Temel (* *)

( * * ) Temel SKU 'SU eski SKU olarak değerlendirilir ve özellik sınırlamaları vardır. Temel SKU 'YU kullanmadan önce ihtiyacınız olan özelliğin desteklendiğinden emin olun.

Eski SKU 'Ları (eski) kullanıyorsanız, üretim SKU 'SU önerileri standart ve yüksek Performansdır. Eski SKU 'Lar hakkında bilgi ve yönergeler için bkz. ağ geçidi SKU 'ları (eski).

Ağ Geçidi SKU 'SU yapılandırma

Azure portalındaki

Kaynak Yöneticisi sanal ağ geçidi oluşturmak için Azure portal kullanırsanız, açılan menüyü kullanarak ağ geçidi SKU 'sunu seçebilirsiniz. Size sunulan seçenekler, seçtiğiniz ağ geçidi türü ve VPN türüne karşılık gelir.

PowerShell

Aşağıdaki PowerShell örneği, -GatewaySku VpnGw1 olarak belirtir. Bir ağ geçidi oluşturmak için PowerShell 'i kullanırken, önce IP yapılandırmasını oluşturmanız ve ardından başvurmak için bir değişken kullanmanız gerekir. Bu örnekte, yapılandırma değişkeni $gwipconfig.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

Azure CLI

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

SKU 'YU yeniden boyutlandırma veya değiştirme

VPN Gateway 'niz varsa ve farklı bir ağ geçidi SKU 'SU kullanmak istiyorsanız, seçenekleriniz ağ geçidi SKU 'nuzu yeniden boyutlandırırlar ya da başka bir SKU 'ya geçiş yapılır. Başka bir ağ geçidi SKU 'SU olarak değiştirdiğinizde, var olan ağ geçidini tamamen siler ve yeni bir tane oluşturursunuz. Bir ağ geçidinin oluşturulması, seçili ağ geçidi SKU’suna bağlı olarak 45 dakika veya daha uzun sürebilir. Karşılaştırmayla, bir ağ geçidi SKU 'sunu yeniden boyutlandırdığınızda, ağ geçidini silip yeniden derlemek zorunda olmadığınızdan çok kapalı kalma süresi yoktur. Ağ Geçidi SKU 'sunu değiştirmek yerine yeniden boyutlandırma seçeneğiniz varsa bunu yapmak isteyeceksiniz. Ancak yeniden boyutlandırmayla ilgili kurallar vardır:

  1. Temel SKU 'nun dışında, bir VPN ağ geçidi SKU 'sunu aynı nesil (Generation1 veya Generation2) içinde başka bir VPN Gateway SKU 'SU olarak yeniden boyutlandırabilirsiniz. Örneğin, VpnGw1 of Generation1, Generation1 VpnGw2 olarak yeniden boyutlandırılabilir, ancak VpnGw2 Generation2.
  2. Eski ağ geçidi SKU'larıyla çalışırken Temel, Standart ve Yüksek Performanslı SKU'lar arasında yeniden boyutlandırma yapabilirsiniz.
  3. Temel/standart/HighPerformance SKU 'larından VpnGw SKU 'larına yeniden boyutlandırılamaz . Bunun yerine yeni SKU 'Lara geçiş yapmanız gerekir.

Bir ağ geçidini yeniden boyutlandırmak için

Azure portalı

  1. Sanal ağ geçidinizin yapılandırma sayfasına gidin.

  2. Açılan menü için okları seçin.

    Ağ geçidini yeniden boyutlandırma

  3. Açılan listeden SKU 'YU seçin.

    SKU 'YU seçin

PowerShell

Resize-AzVirtualNetworkGatewayPowerShell cmdlet 'ini kullanarak bir Generation1 veya Generation2 SKU 'su yükseltebilir veya indirgeyede (tüm VpnGw SKU 'Ları temel SKU 'lar dışında yeniden boyutlandırılabilir). Temel ağ geçidi SKU 'SU kullanıyorsanız, ağ geçidinizi yeniden boyutlandırmak yerine bu yönergeleri kullanın .

Aşağıdaki PowerShell örneği, VpnGw2 için yeniden boyutlandırılan bir ağ geçidi SKU 'SU gösterir.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

Eski (eski) bir SKU 'dan yeni bir SKU 'ya geçiş yapmak için

Kaynak Yöneticisi dağıtım modeliyle çalışıyorsanız, yeni ağ geçidi SKU 'Larına geçiş yapabilirsiniz. Eski bir ağ geçidi SKU 'sunda yeni bir SKU 'ya değişiklik yaptığınızda, mevcut VPN ağ geçidini silip yeni bir VPN ağ geçidi oluşturursunuz.

Akışıyla

  1. Sanal ağ geçidine ilişkin tüm bağlantıları kesin.
  2. Eski VPN ağ geçidini silin.
  3. Yeni VPN ağ geçidini oluşturun.
  4. Şirket içi VPN cihazlarınızdaki VPN ağ geçidi IP adresini (Siteden Siteye bağlantılar için) yenisi ile güncelleştirin.
  5. Bu ağ geçidine bağlanacak tüm VNet-VNet yerel ağ geçitleri için ağ geçidi IP adresi değerini güncelleştirin.
  6. Bu VPN ağ geçidi yoluyla sanal ağa bağlanan P2S istemcileri için yeni istemci VPN yapılandırma paketlerini indirin.
  7. Sanal ağ geçidine ilişkin tüm bağlantıları yeniden oluşturun.

Dikkat edilmesi gerekenler:

  • Yeni SKU 'Lara geçiş yapmak için VPN ağ geçidinizin Kaynak Yöneticisi dağıtım modelinde olmalıdır.
  • Klasik bir VPN ağ geçidiniz varsa, bu ağ geçidi için eski eski SKU 'Ları kullanmaya devam etmeniz gerekir, ancak eski SKU 'Lar arasında yeniden boyutlandırma yapabilirsiniz. Yeni SKU 'Lara geçiş yapılamaz.
  • Eski bir SKU 'dan yeni bir SKU 'ya değişiklik yaptığınızda bağlantı kapalı kalma süresine sahip olursunuz.
  • Yeni bir ağ geçidi SKU 'suna geçiş yaparken, VPN ağ geçidiniz için genel IP adresi değişir. Bu, daha önce kullandığınız genel IP adresi nesnesini belirtseniz bile olur.

Bağlantı türleri

Kaynak Yöneticisi dağıtım modelinde, her yapılandırma için belirli bir sanal ağ geçidi bağlantı türü gerekir. -ConnectionType için kullanılabilir Resource Manager PowerShell değerleri şunlardır:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

Aşağıdaki PowerShell örneğinde, IPSec bağlantı türünü GEREKTIREN bir S2S bağlantısı oluşturacağız.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

VPN türleri

Bir VPN ağ geçidi yapılandırması için sanal ağ geçidi oluşturduğunuzda, bir VPN türü belirtmeniz gerekir. Seçtiğiniz VPN türü, oluşturmak istediğiniz bağlantı topolojisine bağlıdır. Örneğin, bir P2S bağlantısı, RouteBased VPN türü gerektirir. VPN türü Ayrıca, kullanmakta olduğunuz donanıma de bağlı olabilir. S2S yapılandırmalarının bir VPN cihazı olması gerekir. Bazı VPN cihazları yalnızca belirli bir VPN türünü destekler.

Seçtiğiniz VPN türü, oluşturmak istediğiniz çözüm için tüm bağlantı gereksinimlerini karşılamalıdır. Örneğin, aynı sanal ağ için bir S2S VPN Ağ Geçidi bağlantısı ve bir P2S VPN Ağ Geçidi bağlantısı oluşturmak istiyorsanız, P2S, RouteBased VPN türü gerektirdiğinden Routebased VPN türünü kullanırsınız. Ayrıca, VPN cihazınızın bir RouteBased VPN bağlantısı destekliyordu de doğrulamanız gerekir.

Bir sanal ağ geçidi oluşturulduktan sonra VPN türünü değiştiremezsiniz. Sanal ağ geçidini silip yeni bir tane oluşturmanız gerekir. İki tür VPN vardır:

  • Policybased: PolicyBased VPN 'Ler, daha önce klasik dağıtım modelinde statik yönlendirme ağ geçitleri olarak adlandırılmıştı. İlke tabanlı VPN 'Ler, şirket içi ağınız ve Azure VNet arasındaki adres ön ekleri birleşimleriyle yapılandırılmış IPSec ilkelerine bağlı olarak paketleri IPSec tünellerine göre şifreler ve yönlendirir. İlke (veya trafik seçici) çoğunlukla VPN cihazı yapılandırmasında bir erişim listesi olarak tanımlanır. PolicyBased VPN türü için değer Policybased' dir. PolicyBased VPN kullanırken aşağıdaki sınırlamaları aklınızda bulundurun:

    • PolicyBased VPN 'Ler yalnızca temel ağ geçidi SKU 'sunda kullanılabilir. Bu VPN türü, diğer ağ geçidi SKU 'Ları ile uyumlu değil.
    • PolicyBased VPN kullanırken yalnızca 1 tünele sahip olabilirsiniz.
    • Yalnızca S2S bağlantıları için PolicyBased VPN ve yalnızca belirli yapılandırmalarda kullanabilirsiniz. Çoğu VPN Gateway yapılandırması, RouteBased VPN gerektirir.
  • Routebased: Routebased VPN 'ler, daha önce klasik dağıtım modelinde dinamik yönlendirme ağ geçitleri olarak adlandırılmıştı. RouteBased VPN 'Ler, paketleri karşılık gelen Tünel arabirimlerine yönlendirmek için IP iletme veya yönlendirme tablosunda "rotalar" kullanır. Bundan sonra tünel arabirimleri, paketleri tünellerin içinde veya dışında şifreler veya şifrelerini çözer. RouteBased VPN 'Ler için ilke (veya trafik seçici), herhangi bir (veya joker karakter) olarak yapılandırılır. RouteBased VPN türü için değer Routebased' dir.

Aşağıdaki PowerShell örneği, -VpnType routebased olarak belirtir. Bir ağ geçidi oluştururken, -VpnType öğesinin yapılandırmanız için doğru olduğundan emin olmanız gerekir.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Ağ geçidi gereksinimleri

Aşağıdaki tabloda PolicyBased ve RouteBased VPN Gateway gereksinimleri listelenmektedir. Bu tablo hem Resource Manager, hem de klasik dağıtım modellerine uygulanır. Klasik modelde, PolicyBased VPN ağ geçitleri statik ağ geçitleriyle aynıdır ve rota tabanlı ağ geçitleri, dinamik ağ geçitleriyle aynıdır.

PolicyBased temel VPN Gateway RouteBased temel VPN Gateway RouteBased standart VPN Gateway RouteBased yüksek performans VPN Gateway
Siteden Siteye bağlantı (S2S) PolicyBased VPN yapılandırması RouteBased VPN yapılandırması RouteBased VPN yapılandırması RouteBased VPN yapılandırması
Noktadan Siteye bağlantı (P2S) Desteklenmez Destekleniyor (S2S ile birlikte var olabilir) Destekleniyor (S2S ile birlikte var olabilir) Destekleniyor (S2S ile birlikte var olabilir)
Kimlik doğrulama yöntemi Önceden paylaşılan anahtar S2S bağlantısı için önceden paylaşılan anahtar, P2S bağlantısı için sertifikalar S2S bağlantısı için önceden paylaşılan anahtar, P2S bağlantısı için sertifikalar S2S bağlantısı için önceden paylaşılan anahtar, P2S bağlantısı için sertifikalar
S2S bağlantılarının en yüksek sayısı 1 10 10 30
P2S bağlantılarının en yüksek sayısı Desteklenmez 128 128 128
Etkin yönlendirme desteği (BGP) (*) Desteklenmez Desteklenmez Desteklenir Desteklenir

(*) BGP, klasik dağıtım modeli için desteklenmiyor.

Ağ geçidi alt ağı

Bir VPN ağ geçidi oluşturmadan önce bir ağ geçidi alt ağı oluşturmanız gerekir. Ağ geçidi alt ağı, sanal ağ geçidi VM 'lerinin ve hizmetlerinin kullandığı IP adreslerini içerir. Sanal ağ geçidinizi oluşturduğunuzda, ağ geçidi VM 'Leri ağ geçidi alt ağına dağıtılır ve gerekli VPN Gateway ayarları ile yapılandırılır. Ağ geçidi alt ağına hiçbir şeyi başka hiçbir şekilde (örneğin, ek VM 'Ler) dağıtmayın. Düzgün çalışması için ağ geçidi alt ağının ' GatewaySubnet ' olarak adlandırılması gerekir. Ağ geçidi alt ağının ' GatewaySubnet ' olarak adlandırılması, Azure 'un sanal ağ geçidi VM 'lerini ve hizmetlerini dağıtmak için bu alt ağ olduğunu bilmesini sağlar.

Not

GatewaySubnet üzerinde 0.0.0.0/0 hedefi ve NSG 'ler içeren Kullanıcı tanımlı rotalar desteklenmez. Bu yapılandırmayla oluşturulan ağ geçitlerinin oluşturulması engellenir. Ağ geçitlerinin düzgün çalışması için yönetim denetleyicilerine erişimi olması gerekir. Ağ geçidinin kullanılabilirliğini sağlamak için, GatewaySubnet üzerinde BGP yol yayılması "Enabled" olarak ayarlanmalıdır. Devre dışı olarak ayarlandıysa ağ geçidi çalışmaz.

Ağ geçidi alt ağı oluştururken, alt ağın içerdiği IP adresi sayısını belirtirsiniz. Ağ geçidi alt ağındaki IP adresleri ağ geçidi VM 'lerine ve ağ geçidi hizmetlerine ayrılır. Bazı yapılandırmalar için diğerlerinden daha fazla IP adresi gerekir.

Ağ geçidi alt ağınızın boyutunu planlarken, oluşturmayı planladığınız yapılandırma için belgelere bakın. Örneğin, ExpressRoute/VPN Gateway bir arada bulunan yapılandırma, diğer birçok yapılandırmadan daha büyük bir ağ geçidi alt ağı gerektirir. Ayrıca, ağ geçidi alt ağınızın olası gelecekteki ek yapılandırmalara uyum sağlamak için yeterli IP adresi içerdiğinden emin olmak isteyebilirsiniz. /29 kadar küçük bir ağ geçidi alt ağı oluşturabileceğiniz gibi, kullanılabilir adres alanınız varsa/27 veya daha büyük (/27,/26 vb.) bir ağ geçidi alt ağı oluşturmanızı öneririz. Bu, çoğu yapılandırmaya uyum sağlayacaktır.

Aşağıdaki Kaynak Yöneticisi PowerShell örneği, GatewaySubnet adlı bir ağ geçidi alt ağını göstermektedir. CıDR gösteriminin bir/27 olduğunu görebilirsiniz. Bu, şu anda mevcut olan çoğu yapılandırma için yeterli IP adresi sağlar.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Önemli

Ağ geçidi alt ağlarıyla çalışırken, ağ güvenlik grubunu (NSG) ağ geçidi alt ağıyla ilişkilendirmekten kaçının. Bir ağ güvenlik grubunun bu alt ağ ile ilişkilendirilmesi, sanal ağ geçidinizin (VPN ve hızlı rota ağ geçitlerinin) beklendiği gibi çalışmayı durdurmasına neden olabilir. Ağ güvenlik grupları hakkında daha fazla bilgi için bkz. ağ güvenlik grubu nedir?.

Yerel ağ geçitleri

Yerel ağ geçidi, bir sanal ağ geçidinden farklıdır. Bir VPN ağ geçidi yapılandırması oluştururken, yerel ağ geçidi genellikle şirket içi ağınızı ve ilgili VPN cihazını temsil eder. Klasik dağıtım modelinde, yerel ağ geçidi için Yerel Site olara ifade edilir.

Yerel ağ geçidine bir ad, genel IP adresi veya şirket içi VPN cihazının tam etki alanı adı (FQDN) verirsiniz ve şirket içi konumda bulunan adres öneklerini belirtebilirsiniz. Azure, ağ trafiği için hedef adres öneklerine bakar, yerel ağ geçidiniz için belirttiğiniz yapılandırmaya bakar ve paketleri buna göre yönlendirir. VPN cihazınızda Sınır Ağ Geçidi Protokolü (BGP) kullanıyorsanız, VPN cihazınızın BGP eşi IP adresini ve şirket içi ağınızın otonom sistem numarasını (ASN) sağlarsınız. Ayrıca, bir VPN Ağ Geçidi bağlantısı kullanan VNet-VNet yapılandırmalarına yönelik yerel ağ geçitleri de belirtirsiniz.

Aşağıdaki PowerShell örneği yeni bir yerel ağ geçidi oluşturur:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Bazen yerel ağ geçidi ayarlarını değiştirmeniz gerekebilir. Örneğin, adres aralığını eklediğinizde veya değiştirdiğinizde ya da VPN cihazının IP adresi değişirse. Bkz. PowerShell kullanarak yerel ağ geçidi ayarlarını değiştirme.

REST API 'Leri, PowerShell cmdlet 'leri ve CLı

REST API 'leri, PowerShell cmdlet 'leri veya VPN Gateway yapılandırmalarına yönelik Azure CLı kullanırken ek teknik kaynaklar ve özel sözdizimi gereksinimleri için aşağıdaki sayfalara bakın:

Klasik Resource Manager
PowerShell PowerShell
REST API REST API
Desteklenmez Azure CLI

Sonraki adımlar

Kullanılabilir bağlantı konfigürasyonları hakkında daha fazla bilgi için bkz. VPN Gateway.