Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья поможет вам понять, как функционирует маршрутизация VPN-подключений типа "точка — сеть". Режим маршрутизации VPN-подключений типа "точка — сеть (P2S)" зависит от клиентской ОС, протокола, используемого для VPN-подключения, а также от способа подключения виртуальных сетей, между собой. Дополнительные сведения о VPN-подключении типа "точка — сеть" и поддерживаемых протоколах см. в статье Сведения о VPN-подключении типа "точка — сеть".
Если вы внесли изменения в топологию сети и используете VPN-клиенты Windows, необходимо повторно скачать и установить пакет VPN-клиента для клиентов Windows, чтобы изменения были применены к клиентам.
Примечание
Эта статья относится только к IKEv2 и OpenVPN.
В этой статье представлен ряд различных схем. В ее разделах показаны различные топологии или конфигурации. В контексте данной статьи подключение типа S2S и подключение VNet к VNet функционируют одинаково, так как оба являются туннелями IPsec. Все VPN-шлюзы в этой статье основаны на маршрутах.
Подключение VPN-шлюза "точка-сеть" в этом примере предназначено для виртуальной сети, которая не подключена или не одноранговая к другой виртуальной сети (VNet1). В этом примере клиенты могут получить доступ к VNet1.
- VNet1: 10.1.0.0/16.
Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 192.168.0.0/24.
Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 192.168.0.0/24.
Клиенты Windows могут подключаться к сети VNet1.
Клиенты не под управлением Windows могут подключаться к сети VNet1.
В этом примере подключение VPN-шлюза типа "точка — сеть" предназначено для VNet1. VNet1 участвует в пиринге с VNet2. VNet2 участвует в пиринге с VNet3. VNet1 участвует в пиринге с VNet4. Прямой пиринг между VNet1 и VNet3 отсутствует. В VNet1 включен параметр "Разрешить транзит через шлюз", а в VNet2 и VNet4 включен параметр "Использовать удаленные шлюзы".
Клиенты, использующие Windows, имеют доступ к виртуальным сетям с прямым пирингом, но при внесении каких-либо изменений в пиринг виртуальных сетей или топологию сети требуется повторно скачать пакет VPN-клиента. Клиенты не под управлением Windows имеют доступ к виртуальным сетям с прямым пирингом. Доступ не является транзитивным и ограничен только напрямую спаренными виртуальными сетями.
VNet1: 10.1.0.0/16.
VNet2: 10.2.0.0/16.
VNet3: 10.3.0.0/16.
VNet4: 10.4.0.0/16.
Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24.
Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24.
Клиенты Windows имеют доступ к сетям VNet1, VNet2 и VNet4, но чтобы какие-либо изменения топологии вступили в силу, нужно повторно скачать VPN-клиент.
Клиенты не под управлением Windows имеют доступ к сетям VNet1, VNet2 и VNet4.
В этом примере подключение VPN-шлюза типа "точка — сеть" предназначено для VNet1. Сеть VNet1 подключена к сети VNet2 с помощью VPN-подключения типа "сеть — сеть". Сеть VNet2 подключена к VNet3 с помощью VPN-подключения типа "сеть — сеть". Между сетями VNet1 и VNet3 отсутствует прямой пиринг или VPN-подключение типа "сеть — сеть". Все подключения типа "сеть — сеть" не выполняют BGP для маршрутизации.
Клиентам, использующим Windows или другую поддерживаемую операционную систему, доступна только сеть VNet1. Для обеспечения доступа к дополнительным виртуальным сетям необходимо использовать протокол BGP.
VNet1: 10.1.0.0/16.
VNet2: 10.2.0.0/16.
VNet3: 10.3.0.0/16.
Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 192.168.0.0/24.
Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24.
Клиенты Windows могут подключаться только к сети VNet1.
Клиенты не под управлением Windows могут подключаться только к сети VNet1.
В этом примере подключение VPN-шлюза типа "точка — сеть" предназначено для VNet1. Сеть VNet1 подключена к сети VNet2 с помощью VPN-подключения типа "сеть — сеть". Сеть VNet2 подключена к VNet3 с помощью VPN-подключения типа "сеть — сеть". Между сетями VNet1 и VNet3 отсутствует прямой пиринг или VPN-подключение типа "сеть — сеть". Все подключения типа "сеть — сеть" используют BGP для маршрутизации.
Клиенты, использующие Windows или другую поддерживаемую операционную систему, имеют доступ ко всех виртуальным сетям, подключенных посредством VPN-подключения типа "сеть — сеть", но маршруты для подключенных виртуальных сетей нужно добавлять в клиенты Windows вручную.
VNet1: 10.1.0.0/16.
VNet2: 10.2.0.0/16.
VNet3: 10.3.0.0/16.
Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 192.168.0.0/24.
Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24.
Клиенты Windows имеют доступ к сетям VNet1, VNet2 и VNet3, но маршруты к сетям VNet2 и VNet3 необходимо добавить вручную.
Клиенты не под управлением Windows имеют доступ к сетям VNet1, VNet2 и VNet3.
В этом примере подключение VPN-шлюза типа "точка — сеть" предназначено для VNet1. Виртуальная сеть 1 не подключена и не имеет пиринговой связи с любой другой виртуальной сетью, но подключена к локальному сайту через межсайтовое VPN-подключение, которое не использует BGP.
Клиенты под управлением Windows и других ОС могут осуществлять доступ только к VNet1.
VNet1: 10.1.0.0/16.
Site1: 10.101.0.0/16.
Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 192.168.0.0/24.
Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 192.168.0.0/24.
Клиенты Windows могут подключаться только к сети VNet1.
Клиенты не под управлением Windows могут подключаться только к сети VNet1.
В этом примере подключение VPN-шлюза типа "точка — сеть" предназначено для VNet1. Виртуальная сеть 1 не подключена и не пирингуется с какой-либо другой виртуальной сетью, но подключена к локальному сайту (Site1) через VPN-подключение Site-to-Site под управлением BGP.
Клиенты Windows имеют доступ к сети VNet1 и филиалу (Site1), но маршруты к сайту Site1 необходимо добавить в клиент вручную. Клиенты, отличные от Windows, могут получить доступ к виртуальной сети и локальному филиалу.
VNet1: 10.1.0.0/16.
Site1: 10.101.0.0/16.
Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 192.168.0.0/24.
Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24.
Клиенты Windows имеют доступ к сети VNet1 и сайту Site1, но маршруты к сайту Site1 необходимо добавить вручную.
Клиенты не под управлением Windows имеют доступ к сети VNet1 и сайту Site1.
В этом примере подключение VPN-шлюза типа "точка — сеть" предназначено для VNet1. Сеть VNet1 подключена к сети VNet2 с помощью VPN-подключения типа "сеть — сеть". Сеть VNet2 подключена к VNet3 с помощью VPN-подключения типа "сеть — сеть". Между сетями VNet1 и VNet3 отсутствует прямой пиринг или VPN-тоннель типа "сеть — сеть". Сеть VNet3 подключена к филиалу (Site1) с помощью VPN-подключения типа "сеть — сеть". Ни одно VPN-подключение не использует протокол BGP.
Все клиенты могут подключаться только к сети VNet1.
VNet1: 10.1.0.0/16.
VNet2: 10.2.0.0/16.
VNet3: 10.3.0.0/16.
Site1: 10.101.0.0/16.
Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 192.168.0.0/24.
Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24.
Клиенты Windows могут подключаться только к сети VNet1.
Клиенты не под управлением Windows могут подключаться только к сети VNet1.
Несколько виртуальных сетей, подключенных с использованием соединений типа "сеть-сеть" и с филиалом через BGP.
В этом примере подключение VPN-шлюза типа "точка — сеть" предназначено для VNet1. Сеть VNet1 подключена к сети VNet2 с помощью VPN-подключения типа "сеть — сеть". Сеть VNet2 подключена к VNet3 с помощью VPN-подключения типа "сеть — сеть". Между сетями VNet1 и VNet3 отсутствует прямой пиринг или VPN-тоннель типа "сеть — сеть". Сеть VNet3 подключена к филиалу (Site1) с помощью VPN-подключения типа "сеть — сеть". Все VPN-подключения используют протокол BGP.
Клиенты Windows имеют доступ к виртуальным сетям и сайтам, подключенным с помощью VPN-подключений типа "сеть — сеть", но маршруты к сетям VNet2, VNet3 и сайту Site1 необходимо добавить в клиент вручную. Клиенты, не работающие на Windows, могут получить доступ к виртуальным сетям и сайтам, подключенным через Site-to-Site VPN-подключение, и без необходимости в ручной настройке. Такой доступ является транзитивным, и клиенты могут обращаться к ресурсам во всех подключенных виртуальных сетях и на всех подключенных сайтах (локальных).
VNet1: 10.1.0.0/16.
VNet2: 10.2.0.0/16.
VNet3: 10.3.0.0/16.
Site1: 10.101.0.0/16.
Маршруты, добавленные в клиенты Windows: 10.1.0.0/16, 192.168.0.0/24.
Маршруты, добавленные в клиенты не под управлением Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24.
Клиенты Windows имеют доступ к сетям VNet1, VNet2, VNet3 и сайту Site1, но маршруты к сетям VNet2, VNet3 и сайту Site1 необходимо добавить в клиент вручную.
Клиенты не под управлением Windows имеют доступ к сетям VNet1, VNet2, VNet3 и сайту Site1.
См. Создание P2S VPN с использованием портала Azure, чтобы начать создание вашего P2S VPN.