VPN 网关拓扑和设计

虚拟网络连接有多种不同的选项。 要帮助选择满足你的要求的 VPN 网关连接拓扑，使用以下部分中的关系图和说明。 这些示意图显示了主要的基准拓扑。但是，你也可以使用这些示意图作为指导来构建更复杂的配置。

站点到站点 VPN

站点到站点 (S2S) VPN 网关连接是通过 IPsec/IKE（IKEv1 或 IKEv2）VPN 隧道建立的连接。 站点到站点连接可以用于跨界和混合配置。 站点到站点连接要求位于本地的 VPN 设备分配有一个公共 IP 地址。

你可以从虚拟网络网关创建多个 VPN 连接，通常情况下连接到多个本地站点。 使用多个连接时，必须使用 RouteBased VPN 类型。 由于每个虚拟网络只能有一个 VPN 网关，因此通过该网关的所有连接都共享可用带宽。 这种连接设计有时称为“多站点”。

如果你要创建高可用性网关连接的设计，可以将网关配置为主动-主动模式。 此模式允许你配置连往同一个 VPN 设备的两个活动隧道（每个网关虚拟机实例各一个），以创建高可用性连接。 除了高可用性连接设计之外，主动-主动模式的另一个优势是客户可以体验到更高的吞吐量。

• 若要了解如何选择 VPN 设备，请参阅 VPN 网关常见问题解答 - VPN 设备。
• 有关高可用性连接的信息，请参阅设计高可用性连接。
• 有关主动-主动模式的信息，请参阅关于主动-主动模式网关。

适用于 S2S 的部署模型和方法

点到站点 VPN

通过点到站点 (P2S) VPN 网关连接，可以创建从单个客户端计算机到虚拟网络的安全连接。 通过从客户端计算机启动来建立点到站点连接。 对于要从远程位置（例如从家里或会议室）连接到 Azure 虚拟网络的远程工作者，此解决方案很有用。 如果只有一些客户端需要连接到虚拟网络，则可使用站点到站点 VPN 这种解决方案来代替站点到站点 VPN。

与站点到站点连接不同，点到站点连接不需要本地面向公众的 IP 地址或 VPN 设备。 可以通过同一 VPN 网关将点到站点连接与站点到站点连接结合使用，前提是这两种连接的所有配置要求都兼容。 有关点到站点连接的详细信息，请参阅关于点到站点 VPN。

适用于 P2S 的部署模型和方法

P2S VPN 客户端配置

VNet 到 VNet 连接（IPsec/IKE VPN 隧道）

将虚拟网络连接到虚拟网络（VNet 到 VNet）类似于将虚拟网络连接到本地站点位置。 这两种连接类型都使用 VPN 网关来提供使用 IPsec/IKE 的安全隧道。 甚至可以将 VNet 到 VNet 通信与多站点连接配置结合使用。 这样，便可以建立将跨界连接与虚拟网络间连接相结合的网络拓扑。

你连接的虚拟网络可以是：

• 在相同或不同的区域中
• 在相同或不同订阅中
• 在相同或不同部署模型中

适用于 VNet 到 VNet 的部署模型和方法

(+) 表示这种部署方法仅适用于同一订阅中的 VNet。

在某些情况下，可能需要使用虚拟网络对等互连而不是 VNet 到 VNet 来连接虚拟网络。 虚拟网络对等互连不使用虚拟网络网关。 有关详细信息，请参阅虚拟网络对等互连。

站点到站点和 ExpressRoute 的共存连接

ExpressRoute 是从 WAN（不通过公共 Internet）到 Microsoft 服务（包括 Azure）的直接专用连接。 站点到站点 VPN 流量以加密方式通过公共 Internet 传输。 能够为同一个虚拟网络配置站点到站点 VPN 和 ExpressRoute 连接可带来诸多好处。

可以将站点到站点 VPN 配置为 ExpressRoute 的安全故障转移路径，或者使用站点到站点 VPN 连接到不属于网络但却已通过 ExpressRoute 进行连接的站点。 请注意，此配置要求对同一虚拟网络使用两个虚拟网络网关，一个网关使用网关类型“Vpn”，另一个网关使用网关类型“ExpressRoute”。

适用于 S2S 和 ExpressRoute 共存连接的部署模型和方法

高可用连接

若要规划和设计高可用性连接（包括主动-主动模式配置），请参阅为跨界连接和 VNet 到 VNet 连接设计高可用性网关连接。

后续步骤

• 有关更多信息，请查看 VPN 网关常见问题。

• 详细了解 VPN 网关配置设置。

• 有关 VPN 网关 BGP 的注意事项，请参阅关于 BGP。

• 有关虚拟网络对等互连的信息，请参阅虚拟网络对等互连。

• 查看订阅和服务限制。

• 了解 Azure 的一些其他关键网络功能。