关于点到站点 VPN 路由

本文介绍 Azure 点到站点 VPN 路由的工作原理。 P2S VPN 路由行为依赖于客户端 OS、用于 VPN 连接的协议,以及虚拟网络 (VNet) 相互之间的连接方式。 有关点到站点 VPN(包括支持的协议)的更多信息,请参阅关于点到站点 VPN

如果更改网络拓扑并且具有 VPN 客户端,必须再次下载和安装 Windows 客户端的 VPN 客户端包,以使更改应用于客户端。

注意

本文仅适用于 IKEv2 和 OpenVPN。

关于关系图

本文包含大量不同的关系图。 每节都介绍了不同的拓扑或配置。 考虑到本文的目的,站点到站点 (S2S) 和 VNet 到 VNet 连接的工作原理都相同,因为两者都是 IPsec 隧道。 本文中的所有 VPN 网关都基于路由。

独立 VNet

本示例中的点到站点 VPN 网关连接适用于未连接或未与其他任何虚拟网络 (VNet1) 对等互连的 VNet。 在此示例中,客户端可以访问 VNet1。

独立 VNet 路由

地址空间

  • VNet1:10.1.0.0/16

已添加的路由

  • 已添加到 Windows 客户端的路由:10.1.0.0/16、192.168.0.0/24

  • 已添加到非 Windows 客户端的路由:10.1.0.0/16、192.168.0.0/24

访问

  • Windows 客户端可以访问 VNet1

  • 非 Windows 客户端可以访问 VNet1

多个对等互连 VNet

在此示例中,点到站点 VPN 网关连接适用于 VNet1。 VNet1 与 VNet2 对等互连。 VNet2 与 VNet3 对等互连。 VNet1 与 VNet4 对等互连。 VNet1 不与 VNet3 直接对等互连。 VNet1 已启用“允许网关传输”,VNet2 和 VNet4 已启用“使用远程网关”。

使用 Windows 的客户端可以直接访问对等互连 VNet,但如果 VNet 对等互连或网络拓扑发生任何更改,必须重新下载 VPN 客户端。 非 Windows 客户端可直接访问对等互连 VNet。 访问不可传递,且仅限直接对等互连的 VNet。

多个对等互连 VNet

地址空间:

  • VNet1:10.1.0.0/16

  • VNet2:10.2.0.0/16

  • VNet3:10.3.0.0/16

  • VNet4:10.4.0.0/16

已添加的路由

  • 已添加到 Windows 客户端的路由:10.1.0.0/16、10.2.0.0/16、10.4.0.0/16、192.168.0.0/24

  • 已添加到非 Windows 客户端的路由:10.1.0.0/16、10.2.0.0/16、10.4.0.0/16、192.168.0.0/24

访问

  • Windows 客户端可以访问 VNet1、VNet2 和 VNet4,但必须重新下载 VPN 客户端,以使拓扑更改生效。

  • 非 Windows 客户端可以访问 VNet1、VNet2 和 VNet4

使用 S2S VPN 连接的多个 VNet

在此示例中,点到站点 VPN 网关连接适用于 VNet1。 VNet1 使用站点到站点 VPN 连接连接到 VNet2。 VNet2 使用站点到站点 VPN 连接连接到 VNet3。 VNet1 和 VNet3 之间没有直接的对等互连或站点到站点 VPN 连接。 所有站点到站点连接均未针对路由运行 BGP。

使用 Windows 或其他受支持 OS 的客户端只能访问 VNet1。 若要访问其他 VNet,必须使用 BGP。

多个 VNet 和 S2S

地址空间

  • VNet1:10.1.0.0/16

  • VNet2:10.2.0.0/16

  • VNet3:10.3.0.0/16

已添加的路由

  • 已添加到 Windows 客户端的路由:10.1.0.0/16、192.168.0.0/24

  • 已添加到非 Windows 客户端的路由:10.1.0.0/16、10.2.0.0/16、192.168.0.0/24

访问

  • Windows 客户端只能访问 VNet1

  • 非 Windows 客户端只能访问 VNet1

使用 S2S VPN 的多个 VNet (BGP)

在此示例中,点到站点 VPN 网关连接适用于 VNet1。 VNet1 使用站点到站点 VPN 连接连接到 VNet2。 VNet2 使用站点到站点 VPN 连接连接到 VNet3。 VNet1 和 VNet3 之间没有直接的对等互连或站点到站点 VPN 连接。 所有站点到站点连接均针对路由运行 BGP。

使用 Windows 或其他受支持的 OS 的客户端可以访问使用站点到站点 VPN 连接连接的所有 VNet,但必须将到已连接 VNet 的路由手动添加到 Windows 客户端。

多个 VNet 和 S2S (BGP)

地址空间

  • VNet1:10.1.0.0/16

  • VNet2:10.2.0.0/16

  • VNet3:10.3.0.0/16

已添加的路由

  • 已添加到 Windows 客户端的路由:10.1.0.0/16、192.168.0.0/24

  • 已添加到非 Windows 客户端的路由:10.1.0.0/16、10.2.0.0/16、10.3.0.0/16、192.168.0.0/24

访问

  • Windows 客户端可以访问 VNet1、VNet2 和 VNet3,但必须手动添加 VNet2 和 VNet3。

  • 非 Windows 客户端可以访问 VNet1、VNet2 和 VNet3

一个 VNet 和一个分支机构

在此示例中,点到站点 VPN 网关连接适用于 VNet1。 VNet1 不与其他任何虚拟网络连接/对等互连,但通过未运行 BGP 的站点到站点 VPN 连接连接到本地站点。

Windows 客户端和非 Windows 客户端只能访问 VNet1。

使用 VNet 和分支机构进行路由

地址空间

  • VNet1:10.1.0.0/16

  • Site1:10.101.0.0/16

已添加的路由

  • 已添加到 Windows 客户端的路由:10.1.0.0/16、192.168.0.0/24

  • 已添加到非 Windows 客户端的路由:10.1.0.0/16、192.168.0.0/24

访问

  • Windows 客户端只能访问 VNet1

  • 非 Windows 客户端只能访问 VNet1

一个 VNet 和一个分支机构 (BGP)

在此示例中,点到站点 VPN 网关连接适用于 VNet1。 VNet1 不与其他任何虚拟网络连接/对等互连,但通过运行 BGP 的站点到站点 VPN 连接连接到本地站点 (Site1)。

Windows 客户端可以访问 VNet 和其他分支机构 (Site1),但必须将到 Site1 的路由手动添加到客户端。 非 Windows 客户端可以访问 VNet 和本地分支机构。

使用 VNet 和分支机构进行路由 - BGP

地址空间

  • VNet1:10.1.0.0/16

  • Site1:10.101.0.0/16

已添加的路由

  • 已添加到 Windows 客户端的路由:10.1.0.0/16、192.168.0.0/24

  • 已添加到非 Windows 客户端的路由:10.1.0.0/16、10.101.0.0/16、192.168.0.0/24

访问

  • Windows 客户端可以访问 VNet1 和 Site1,但必须手动添加到 Site1 的路由。

  • 非 Windows 客户端可以访问 VNet1 和 Site1。

使用 S2S 和分支机构连接的多个 VNet

在此示例中,点到站点 VPN 网关连接适用于 VNet1。 VNet1 使用站点到站点 VPN 连接连接到 VNet2。 VNet2 使用站点到站点 VPN 连接连接到 VNet3。 VNet1 和 VNet3 网络之间没有直接的对等互连或站点到站点 VPN 隧道。 VNet3 使用站点到站点 VPN 连接连接到分支机构 (Site1)。 所有 VPN 连接均未运行 BGP。

所有客户端都只能访问 VNet1。

显示多 VNet S2S 和分支机构的示意图

地址空间

  • VNet1:10.1.0.0/16

  • VNet2:10.2.0.0/16

  • VNet3:10.3.0.0/16

  • Site1:10.101.0.0/16

已添加的路由

  • 已添加到 Windows 客户端的路由:10.1.0.0/16、192.168.0.0/24

  • 已添加到非 Windows 客户端的路由:10.1.0.0/16、10.2.0.0/16、10.3.0.0/16、10.101.0.0/16、192.168.0.0/24

访问

  • Windows 客户端只能访问 VNet1

  • 非 Windows 客户端只能访问 VNet1

使用 S2S 和分支机构连接的多个 VNet (BGP)

在此示例中,点到站点 VPN 网关连接适用于 VNet1。 VNet1 使用站点到站点 VPN 连接连接到 VNet2。 VNet2 使用站点到站点 VPN 连接连接到 VNet3。 VNet1 和 VNet3 网络之间没有直接的对等互连或站点到站点 VPN 隧道。 VNet3 使用站点到站点 VPN 连接连接到分支机构 (Site1)。 所有 VPN 连接均运行 BGP。

使用 Windows 的客户端可以访问使用站点到站点 VPN 连接连接的 VNet 和站点,但必须将到 VNet2、VNet3 和 Site1 的路由手动添加到该客户端。 非 Windows 客户端可以访问使用站点到站点 VPN 连接连接的 VNet 和站点,而无需任何手动干预。 访问权限是可传递的,并且客户端可访问所有已连接 VNet 和站点(本地)中的资源。

多个 VNet S2S 和分支机构

地址空间

  • VNet1:10.1.0.0/16

  • VNet2:10.2.0.0/16

  • VNet3:10.3.0.0/16

  • Site1:10.101.0.0/16

已添加的路由

  • 已添加到 Windows 客户端的路由:10.1.0.0/16、192.168.0.0/24

  • 已添加到非 Windows 客户端的路由:10.1.0.0/16、10.2.0.0/16、10.3.0.0/16、10.101.0.0/16、192.168.0.0/24

访问

  • Windows 客户端可以访问 VNet1、VNet2、VNet3 和 Site1,但必须将到 VNet2、VNet3 和 Site1 的路由手动添加到客户端。

  • 非 Windows 客户端可以访问 VNet1、VNet2、VNet3 和 Site1。

后续步骤

若要开始创建 P2S VPN,请参阅使用 Azure 门户创建 P2S VPN