关于 VPN 网关配置设置

VPN 网关连接体系结构依赖于多个资源配置,其中每个资源包含可配置的设置。 本文的各部分介绍了与在资源管理器部署模型中创建的虚拟网络的 VPN 网关相关的资源和设置。 可以在 VPN 网关拓扑和设计一文中找到每种连接解决方案的说明和拓扑图。

本文中的值适用于 VPN 网关(使用 -GatewayType Vpn 的虚拟网络网关)。 如果要查找有关以下类型的网关的信息,请参阅以下文章:

网关和网关类型

虚拟网络网关由两台或两台以上 Azure 托管的 VM 组成,这些 VM 自动配置并部署到你所创建的名为“网关子网”的特定子网。 网关 VM 包含路由表,并运行特定的网关服务。

创建虚拟网络网关时,网关 VM 会自动部署到网关子网(始终命名为 GatwaySubnet),并使用指定的设置进行配置。 该过程可能需要 45 分钟或更长时间才能完成,具体取决于所选网关 SKU。

创建虚拟网络网关时指定的设置之一是“网关类型”。 网关类型确定如何使用虚拟网络网关以及网关所采取的操作。 一个虚拟网络可以有两个虚拟网络网关:一个 VPN 网关和一个 ExpressRoute 网关。 网关类型“Vpn”指定创建的虚拟网络网关类型为“VPN 网关”。 这将它与使用其他网关类型的 ExpressRoute 网关区分开来。

创建虚拟网络网关时,必须确保用于配置的网关类型正确。 -GatewayType 的可用值为:

  • Vpn
  • ExpressRoute

VPN 网关需要 -GatewayType Vpn

示例:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'China North 3' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

网关 SKU 和性能

有关网关 SKU、性能和支持的功能的最新信息,请参阅关于网关 SKU 一文。

VPN 类型

Azure 支持 VPN 网关的两种不同 VPN 类型:基于策略和基于路由。 基于路由的 VPN 网关构建在与基于策略的 VPN 网关不同的平台上。 这会导致不同的网关规范。 在大多数情况下,你将创建基于路由的 VPN 网关。

以前,旧网关 SKU 不支持基于路由的网关的 IKEv1。 现在,大多数当前网关 SKU 都支持 IKEv1 和 IKEv2。 从 2023 年 10 月 1 日开始,无法通过 Azure 门户创建基于策略的 VPN 网关,只能使用基于路由的网关。 若要创建基于策略的网关,请使用 PowerShell 或 CLI。

如果已有基于策略的网关,则无需将网关更改为基于路由的网关,除非想要使用需要基于路由的网关的配置,例如点到站点。 无法将基于策略的网关转换为基于路由的网关。 必须删除现有网关,然后将新网关创建为基于路由的网关。

网关 VPN 类型 网关 SKU 支持的 IKE 版本
基于策略的网关 基本 IKEv1
基于路由的网关 基本 IKEv2
基于路由的网关 VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 和 IKEv2
基于路由的网关 VpnGw1AZ、VpnGw2AZ、VpnGw3AZ、VpnGw4AZ、VpnGw5AZ IKEv1 和 IKEv2

连接类型

资源管理器部署模型中,每个配置都需要特定的虚拟网络网关连接类型。 -ConnectionType 的可用 Resource Manager PowerShell 值为:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

在以下 PowerShell 示例中,我们将创建需要 IPsec 连接类型的 S2S 连接。

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'China North 3' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'

连接模式

“连接模式”属性仅适用于使用 IKEv2 连接的基于路由的 VPN 网关。 连接模式定义了连接发起的方向,仅适用于 IKE 初始连接的建立。 任何一方都可以启动密钥更新和更多消息。 InitiatorOnly 表示连接需要由 Azure 启动。 ResponderOnly 表示连接需要由本地设备启动。 默认行为是接受并拨号最先的那个连接。

网关子网

在创建 VPN 网关之前,必须创建一个网关子网。 网关子网包含虚拟网络网关 VM 和服务使用的 IP 地址。 创建虚拟网络网关时,会将网关 VM 部署到网关子网,并使用所需的 VPN 网关设置进行配置。 永远不要将任何其他设备(例如,其他 VM)部署到网关子网。 网关子网必须命名为“GatewaySubnet”才能正常工作。 将网关子网命名为“GatewaySubnet”后,可以让 Azure 知道应该将虚拟网络网关 VM 和服务部署到此子网。

创建网关子网时,需指定子网包含的 IP 地址数。 将网关子网中的 IP 地址分配到网关 VM 和网关服务。 有些配置需要具有比其他配置更多的 IP 地址。

规划网关子网大小时,请参阅你计划创建的配置的相关文档。 例如,ExpressRoute/VPN 网关共存配置所需的网关子网大于大多数其他配置。 虽然可以创建最小为 /29 的网关子网(仅适用于基本 SKU),但所有其他 SKU 都需要大小为 /27 或更大的网关子网(/27、/26、/25 等)。 可能需要创建大于 /27 的网关子网,以便子网有足够的 IP 地址用于将来可能的配置。

以下 Resource Manager PowerShell 示例显示名为 GatewaySubnet 的网关子网。 可以看到,CIDR 表示法指定了 /27,这可提供足够的 IP 地址供大多数现有配置使用。

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

注意事项:

  • 不支持 GatewaySubnet 上具有 0.0.0.0/0 目标和 NSG 的用户定义的路由。 具有此配置的网关已被阻止创建。 网关需要访问管理控制器才能正常工作。 GatewaySubnet 上的 BGP 路由传播应设为“已启用”,以确保网关可用。 如果 BGP 路由传播设为“禁用”,则网关将不起作用。

  • 如果用户定义的路由与网关子网范围或网关公共 IP 范围重叠,则诊断、数据路径和控制路径可能会受到影响。

本地网关

本地网络网关不同于虚拟网络网关。 使用 VPN 网关站点到站点体系结构时,本地网络网关通常表示本地网络和相应的 VPN 设备。 在经典部署模型中,本地网络网关称为本地站点

当你配置本地网络网关时,你指定了名称、本地 VPN 设备的公共 IP 地址或完全限定的域名 (FQDN)、位于本地位置的地址前缀。 Azure 查看网络流量的目标地址前缀、参考针对本地网络网关指定的配置,并相应地路由数据包。 如果在 VPN 设备上使用边界网关协议 (BGP),则需提供 VPN 设备的 BGP 对等节点 IP 地址以及本地网络的自治系统编号 (ASN)。 也应该针对使用 VPN 网关连接的 VNet 到 VNet 配置指定本地网络网关。

以下 PowerShell 示例创建新的本地网络网关:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'China North 3' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

有时需要修改本地网络网关设置。 例如,在添加或修改地址范围时,或 VPN 设备的 IP 地址发生变化时。 有关详细信息,请参阅修改本地网关设置

REST APIs、PowerShell cmdlet 和 CLI

有关将 REST API、PowerShell cmdlet 或 Azure CLI 用于 VPN 网关配置的技术资源和具体语法要求,请参阅以下页面:

经典 资源管理器
PowerShell PowerShell
REST API REST API
不支持 Azure CLI

后续步骤

有关可用连接配置的详细信息,请参阅关于 VPN 网关

2024 年 7 月 12 日 - >