VPN Gateway yapılandırma ayarları hakkında
VPN ağ geçidi bağlantı mimarisi, her biri yapılandırılabilir ayarlar içeren birden çok kaynağın yapılandırmasına dayanır. Bu makaledeki bölümlerde, bir sanal ağ için VPN ağ geçidiyle ilgili kaynaklar ve ayarlar açıklanmıştır. Vpn Gateway topolojisi ve tasarım makalesinde her bağlantı çözümü için açıklamalar ve topoloji diyagramları bulabilirsiniz.
Bu makaledeki değerler özellikle VPN ağ geçitleri (-GatewayType Vpn kullanan sanal ağ geçitleri) için geçerlidir. Aşağıdaki ağ geçidi türleri hakkında bilgi arıyorsanız aşağıdaki makalelere bakın:
- -GatewayType 'ExpressRoute' için geçerli değerler için bkz . ExpressRoute için sanal ağ geçitleri.
- Alanlar arası yedekli ağ geçitleri için bkz . Alanlar arası yedekli ağ geçitleri hakkında.
- Sanal WAN ağ geçitleri için bkz. Sanal WAN Hakkında.
Ağ geçitleri ve ağ geçidi türleri
Sanal ağ geçidi, otomatik olarak yapılandırılan ve ağ geçidi alt ağı olarak adlandırılan belirli bir alt ağa dağıtılan iki veya daha fazla Azure tarafından yönetilen VM'den oluşur. Ağ geçidi VM'leri yönlendirme tabloları içerir ve belirli ağ geçidi hizmetlerini çalıştırır. Sanal ağ geçidi oluşturduğunuzda, ağ geçidi VM'leri otomatik olarak ağ geçidi alt ağına dağıtılır (her zaman GatewaySubnet olarak adlandırılır) ve belirttiğiniz ayarlarla yapılandırılır. Seçtiğiniz ağ geçidi SKU'sunun durumuna bağlı olarak işlemin tamamlanması 45 dakika veya daha uzun sürebilir.
Sanal ağ geçidi oluştururken belirttiğiniz ayarlardan biri ağ geçidi türüdür. Ağ geçidi türü, sanal ağ geçidinin nasıl kullanıldığını ve ağ geçidinin gerçekleştireceği eylemleri belirler. Bir sanal ağın iki sanal ağ geçidi olabilir; bir VPN ağ geçidi ve bir ExpressRoute ağ geçidi. -GatewayType 'Vpn', oluşturulan sanal ağ geçidi türünün bir VPN ağ geçidi olduğunu belirtir. Bu, expressRoute ağ geçidinden ayırt eder.
Ağ geçidi SKU'ları ve performansı
Ağ geçidi SKU'ları, performans ve desteklenen özellikler hakkında en son bilgiler için Ağ Geçidi SKU'ları hakkında makalesine bakın.
VPN türleri
Azure desteği VPN ağ geçitleri için iki farklı VPN türü vardır: ilke tabanlı ve rota tabanlı. Rota tabanlı VPN ağ geçitleri, ilke tabanlı VPN ağ geçitlerinden farklı bir platformda oluşturulur. Bu, farklı ağ geçidi belirtimlerine neden olur. Aşağıdaki tabloda VPN türlerinin her birini destekleyen ağ geçidi SKU'ları ve desteklenen IKE sürümleri gösterilmektedir.
Ağ geçidi VPN türü | Ağ Geçidi SKU’su | Desteklenen IKE sürümleri |
---|---|---|
İlke tabanlı ağ geçidi | Temel | IKEv1 |
Rota tabanlı ağ geçidi | Temel | IKEv2 |
Rota tabanlı ağ geçidi | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 ve IKEv2 |
Rota tabanlı ağ geçidi | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 ve IKEv2 |
Çoğu durumda rota tabanlı bir VPN ağ geçidi oluşturursunuz. Daha önce, eski ağ geçidi SKU'ları yol tabanlı ağ geçitleri için IKEv1'i desteklemiyordu. Artık geçerli ağ geçidi SKU'larının çoğu hem IKEv1 hem de IKEv2'yi destekliyor.
1 Ekim 2023 itibarıyla ilke tabanlı ağ geçitleri yalnızca PowerShell veya CLI kullanılarak yapılandırılabilir ve Azure portalında kullanılamaz. İlke tabanlı ağ geçidi oluşturmak için bkz . PowerShell kullanarak Temel SKU VPN ağ geçidi oluşturma.
zaten bir ilke tabanlı ağ geçidiniz varsa, noktadan siteye gibi yol tabanlı bir ağ geçidi gerektiren bir yapılandırma kullanmak istemiyorsanız ağ geçidinizi rota tabanlı olarak değiştirmeniz gerekmez.
İlke tabanlı bir ağ geçidini yol tabanlıya dönüştüremezsiniz. Mevcut ağ geçidini silmeniz ve ardından rota tabanlı olarak yeni bir ağ geçidi oluşturmanız gerekir.
Etkin-etkin mod ağ geçitleri
Azure VPN ağ geçitleri etkin-bekleme veya etkin-etkin olarak yapılandırılabilir. Etkin-etkin bir yapılandırmada, ağ geçidi VM'lerinin her iki örneği de şirket içi VPN cihazınız için siteden siteye VPN tünelleri oluşturur. Etkin-etkin mod ağ geçitleri, yüksek oranda kullanılabilir ağ geçidi bağlantı tasarımının önemli bir parçasıdır. Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Etkin-etkin ağ geçitleri hakkında
- Şirket içi ve sanal ağdan sanal ağa bağlantılar için yüksek oranda kullanılabilir ağ geçidi bağlantısı tasarlama
Ağ Geçidi Özel IP'leri
Bu ayar, belirli ExpressRoute özel eşleme yapılandırmaları için kullanılır. Daha fazla bilgi için bkz . ExpressRoute özel eşlemesi üzerinden Siteden Siteye VPN bağlantısı yapılandırma.
Bağlantı türleri
Her bağlantı belirli bir sanal ağ geçidi bağlantı türü gerektirir. New-AzVirtualNetworkGatewayConnection -Connection Type
için kullanılabilir PowerShell değerleri şunlardır: IPsec, Vnet2Vnet, ExpressRoute, VPNClient.
Bağlantı modları
Bağlantı Modu özelliği yalnızca IKEv2 bağlantılarını kullanan yol tabanlı VPN ağ geçitleri için geçerlidir. Bağlantı modları, bağlantı başlatma yönünü tanımlar ve yalnızca ilk IKE bağlantısı kurulumuna uygulanır. Herhangi bir taraf yeniden anahtarlar ve daha fazla ileti başlatabilir. InitiatorOnly , bağlantının Azure tarafından başlatılması gerektiği anlamına gelir. ResponderOnly , bağlantının şirket içi cihaz tarafından başlatılması gerektiği anlamına gelir. Varsayılan davranış, ilk bağlananı kabul etmek ve çevirmektir.
Ağ geçidi alt ağı
VPN ağ geçidi oluşturmadan önce bir ağ geçidi alt ağı oluşturmanız gerekir. Ağ geçidi alt ağı, sanal ağ geçidi VM'lerinin ve hizmetlerinin kullandığı IP adreslerini içerir. Sanal ağ geçidinizi oluşturduğunuzda, ağ geçidi VM'leri ağ geçidi alt ağına dağıtılır ve gerekli VPN ağ geçidi ayarlarıyla yapılandırılır. Ağ geçidi alt asına hiçbir zaman başka bir şey (örneğin, daha fazla VM) dağıtmayın. Düzgün çalışması için ağ geçidi alt ağı 'GatewaySubnet' olarak adlandırılmalıdır. Ağ geçidi alt ağını 'GatewaySubnet' olarak adlandırmak, Azure'a bunun sanal ağ geçidi VM'lerini ve hizmetlerini dağıtması gereken alt ağ olduğunu bildirir.
Ağ geçidi alt ağı oluştururken, alt ağın içerdiği IP adresi sayısını belirtirsiniz. Ağ geçidi alt ağındaki IP adresleri, ağ geçidi VM'lerine ve ağ geçidi hizmetlerine ayrılır. Bazı yapılandırmalar için diğerlerinden daha fazla IP adresi gerekir.
Ağ geçidi alt ağınızın boyutunu planlarken, oluşturmayı planladığınız yapılandırmanın belgelerine bakın. Örneğin, ExpressRoute/VPN Gateway birlikte var olan yapılandırması, diğer yapılandırmaların çoğundan daha büyük bir ağ geçidi alt ağı gerektirir. /29 kadar küçük bir ağ geçidi alt ağı oluşturmak mümkün olsa da (yalnızca Temel SKU için geçerlidir), diğer tüm SKU'lar /27 veya daha büyük bir ağ geçidi alt ağı gerektirir (/27, /26, /25 vb.). Alt ağın gelecekteki olası yapılandırmaları karşılamak için yeterli IP adresine sahip olması için /27'den büyük bir ağ geçidi alt ağı oluşturmak isteyebilirsiniz.
Aşağıdaki PowerShell örneğinde GatewaySubnet adlı bir ağ geçidi alt ağı gösterilmektedir. CIDR gösteriminin /27 değerini belirttiğini görebilirsiniz. Bu, şu anda mevcut olan yapılandırmaların çoğu için yeterli IP adresi sağlar.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Dikkat edilmesi gerekenler:
GatewaySubnet üzerinde 0.0.0.0/0 hedefine ve NSG'lere sahip kullanıcı tanımlı yollar desteklenmez. Bu yapılandırmaya sahip ağ geçitlerinin oluşturulması engellenir. Ağ geçitlerinin düzgün çalışması için yönetim denetleyicilerine erişim gerekir. Ağ geçidinin kullanılabilir olduğundan emin olmak için BGP yol yayma , GatewaySubnet üzerinde "Etkin" olarak ayarlanmalıdır. BGP yol yayma devre dışı olarak ayarlanırsa ağ geçidi çalışmaz.
Kullanıcı tanımlı bir yol, ağ geçidi alt ağ aralığı veya ağ geçidi genel IP aralığıyla çakışıyorsa tanılama, veri yolu ve denetim yolu etkilenebilir.
Yerel ağ geçidi geçitleri
Yerel ağ geçidi, sanal ağ geçidinden farklıdır. VPN ağ geçidi siteden siteye mimarisiyle çalışırken, yerel ağ geçidi genellikle şirket içi ağınızı ve buna karşılık gelen VPN cihazını temsil eder.
Yerel ağ geçidi yapılandırırken, şirket içi VPN cihazının adını, genel IP adresini veya tam etki alanı adını (FQDN) ve şirket içi konumda bulunan adres ön eklerini belirtirsiniz. Azure, ağ trafiği için hedef adres ön eklerine bakar, yerel ağ geçidiniz için belirttiğiniz yapılandırmaya başvurur ve paketleri buna göre yönlendirir. VPN cihazınızda Sınır Ağ Geçidi Protokolü (BGP) kullanıyorsanız VPN cihazınızın BGP eş IP adresini ve şirket içi ağınızın otonom sistem numarasını (ASN) sağlarsınız. Vpn ağ geçidi bağlantısı kullanan sanal ağdan sanal ağa yapılandırmalar için yerel ağ geçitleri de belirtirsiniz.
Aşağıdaki PowerShell örneği yeni bir yerel ağ geçidi oluşturur:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Bazen yerel ağ geçidi ayarlarını değiştirmeniz gerekir. Örneğin, adres aralığını eklediğinizde veya değiştirdiğinizde veya VPN cihazının IP adresi değiştiğinde. Daha fazla bilgi için bkz . Yerel ağ geçidi ayarlarını değiştirme.
REST API'leri, PowerShell cmdlet'leri ve CLI
REST API'leri, PowerShell cmdlet'leri veya VPN Gateway yapılandırmaları için Azure CLI kullanırken teknik kaynaklar ve belirli söz dizimi gereksinimleri için aşağıdaki sayfalara bakın:
Sonraki adımlar
Kullanılabilir bağlantı yapılandırmaları hakkında daha fazla bilgi için bkz . VPN Gateway hakkında.