VPN Gateway

Azure

Gateway typer

• Site-to-site connection
  • On-premice datacenter til Azure sitt virtuelle nettverk
• Point-to-site connection
  • Individuelle "dingser" til Azure sitt virtuelle nettverk
  • Eksempler
• Network-to-network connction
  • Kople et azure virtuelt nettverk til et annet azure virtuelt nettverk

VPN Typer

Policy-based

• Støtter kun IKEv1
• Statisk routing
  • Hver "tunnel" er blitt satt opp og det er definert hvilket IP-adresse space de tilhører.
• Brukes når det må brukes. F.eks. for kompatibilitet for legacy on-premise VPN dingser.

Route-based

• Støtter IKEv2
• Dynamisk Routing
  • Bruker routing-protokoller og kan bestemme dynamisk hvor man skal.
  • Bestemmer også hvordan man skal kryptere pakkene, ettersom hver tunnel har forskjellige nøkler.
  • Klarer å automatisk tilpasse seg topologi endringer
• Bør brukes der man kan. Dette støtter også statisk IP routing om man trenger det.

Begge disse typene bruker pre-shared-key som eneste metode for autentisering. Begge bruker IKE til å bli enige om krypteringsmetoden. IPsec er protokollen/VPN typen som brukes.

Gateway størrelser

Det finnes 4 gateway sizes.
Basic Støtter ikke BGP, og har maksimum 10 site-to-site/VNet-to-VNet tunneller. Maks 100 Mbps båndbredde. Basic skal bare brukes til DEV/TEST. Man kan ikke migrere fras basic til de andre uten å måtte ødelegge og redeploye gatewayen.

Gw1, GW2, GW3 har alle støtte for 30 tunneller og BGP. Forskjellen er båndbredde på henholdsvis 650 Mbps, 1 Gbps og 1.25 Gbps.

Byggeklosser

For å kunne sette opp en fungerende VPN gateway trenger man disse Azure ressursene

• Virtual Network
• GatewaySubnet
• Azure Public IP address
• Local network gateway
• Virtual network gateway
• Connection

I tillegg trenger man dette på on-premises nettverket:

• En VPN "dings" som støtter policy-based eller route-based VPN gatewayer
• En offentlig internett IPv4 adresse.

Tilgjengelighet

Som default så har en VPN gateway to instanser i en aktiv/standby konfigurasjon.(Selv om du bare ser en VPN gateway ressurs i Azure).
(En VPN gateway vil være den gatewayen som kommuniserer frem og tilbake. I våre eksempler er dette Virtual network gateway)
Dersom planlagt maintenance eller en ikke-planlagt nedetid ødelegger den aktive instansen, så vil standby instansen automatisk ha ansvar uten at brukeren trenger å blande seg.

Ved å bruke BGP protokollen kan man også ha VPN Gateway i en active/active konfigurasjon. Da kan man lage to tunneller som begge har sin egen unike IP adresse.

ExpressRoute

Dette er også noe greier. En gateway kan være av typen ExpressRoute.
ExpressRoute

Zone-redundant gateways

Man kan deploye en zone-redundant konfigurasjon for gateways.
Da vil gatewayene blir separert både fysisk og logisk (innenfor en viss region). Da trenger man andre gateway SKUs og må bruke Standard IP adresser istedenffor Basic public IP adresser.