通过

VPN 网关的自定义流量选择器

在某些情况下,你可能不希望允许整个虚拟网络地址空间或本地网络地址空间交换针对特定 VPN 网关连接的流量。 可以使用自定义流量选择器来指定允许的地址空间。

基于策略的 VPN 网关和基于路由的 VPN 网关都支持自定义流量选择器。 只有当 VPN 网关启动连接时,才会建议使用自定义配置的流量选择器。 VPN 网关接受远程网关(本地 VPN 设备)建议使用的任何流量选择器。 此行为在所有连接模式(DefaultInitiatorOnlyResponderOnly)中都是一致的。

Portal

可以在 Azure 门户中定义流量选择器。 可以使用所需的设置创建新的连接,也可以更新现有连接。 在以下步骤中,我们将使用所需的设置更新现有连接。

  1. 在 Azure 门户中,导航到 虚拟网络网关 ,然后选择要配置的网关。
  2. “设置” 部分中,选择“ 连接”。
  3. 选择要配置的连接。
  4. 选择“配置”。
  5. 在“配置”页上,启用 基于策略的流量选择器
  6. 选择要使用的 连接模式 。 选项为 DefaultInitiatorOnlyResponderOnly。 默认值为 Default
  7. 启用 “使用自定义流量选择器”。
  8. 对于 本地地址范围,请输入要使用的地址范围。 地址范围必须采用 CIDR 表示法。 可以通过用逗号分隔多个地址范围,或为每个地址范围创建单独的行来指定多个地址范围。
  9. 对于 远程地址范围,请输入要使用的地址范围。 地址范围必须采用 CIDR 表示法。 可以通过用逗号分隔地址范围,或使用多行来指定多个地址范围。 此行为因是使用单行还是多行而异。 下一节将介绍此行为。
  10. 保存更改。

单行上的地址

在以下示例中,指定了具有 3 TSi 到 3 TSr 的单个 QMSA。

显示使用同一行的自定义流量选择器地址的屏幕截图。

在单个行上指定地址时,行为如下所示:

  • 在单行上指定地址时,隧道将启动并为本地范围和远程范围对创建 QMSA。
  • 为指定的整个地址范围创建 QMSA。

多行上的地址

在以下示例中,地址在单独的行上指定。 在单独的行上指定地址时,行为不同于在同一行上指定地址时的行为。

显示使用多行的自定义流量选择器地址的屏幕截图。

在单独的行上指定地址时,行为如下所示:

  • 当隧道出现时,它仅为第一行创建 QMSA。
  • 在尝试流量之前,不会创建本地范围和远程范围对的其余部分。 尝试流量时,它会触发为该流量创建 QMSA。
  • 对于尚未创建的 QMSA,当发送数据包时,最初的几个数据包会失败,直到为流量创建了 QMSA 为止。

PowerShell

你可以通过在连接上使用 trafficSelectorPolicies 属性,使用 New-AzIpsecTrafficSelectorPolicy Azure PowerShell 命令来定义流量选择器。 要使指定的流量选择器生效,请务必启用基于策略的流量选择器

  1. 声明变量。 以下示例演示如何声明变量。 可以在后续步骤中使用相同的变量。

    Select-AzSubscription -SubscriptionId "UPDATE THESUBSCRIPTION ID" 
$rgname = "UPDATE THE RESOURCE GROUP NAME"
$location = "UPDATE THE REGION NAME"
$vnetGateway = Get-AzVirtualNetworkGateway -ResourceGroupName $rgname -Name "UPDATE THE VNET GATEWAY NAME"
$localnetGateway = Get-AzLocalNetworkGateway -ResourceGroupName $rgname -Name "UPDATE THE VNET GATEWAY NAME"
$sharedKey = "******"
$vnetConnectionName = "UPDATE THE CONNECTION NAME"

  2. 创建流量选择器策略。 以下示例演示如何使用单行创建流量选择器策略。 若要指定多个地址范围,请使用逗号分隔它们。

    $trafficSelectorPolicy = New-AzIpsecTrafficSelectorPolicy -LocalAddressRange ("10.30.0.4/32") -RemoteAddressRange ("10.50.0.0/24")
New-AzVirtualNetworkGatewayConnection -ResourceGroupName $rgname -name $vnetConnectionName -location $location -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localnetGateway -ConnectionType IPsec -RoutingWeight 3 -SharedKey $sharedKey -UsePolicyBasedTrafficSelectors $true -TrafficSelectorPolicy ($trafficSelectorPolicy)

后续步骤

有关 VPN 网关的详细信息,请参阅 VPN 网关常见问题解答

  • Last updated on