关于 VPN 网关配置设置

VPN 网关是一种虚拟网络网关,它通过公共连接在虚拟网络和本地位置之间发送加密流量。还可以使用 VPN 网关跨 Azure 主干在虚拟网络之间发送流量。

VPN 网关连接依赖于多个资源的配置,每个资源都包含可配置的设置。本文的各个部分介绍与 Resource Manager 部署模型中创建的虚拟网络的 VPN 网关相关的资源和设置。可以在关于 VPN 网关一文中找到每种连接解决方案的介绍和拓扑图。

网关类型

每个虚拟网络只能有一种类型的虚拟网络网关。创建虚拟网络网关时,必须确保用于配置的网关类型正确。

-GatewayType 的可用值为:

  • Vpn
  • ExpressRoute

VPN 网关需要 -GatewayType Vpn

示例:

New-AzureRmVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'China North' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

网关 SKU

创建虚拟网络网关时,需要指定要使用的网关 SKU。 如果选择更高级的网关 SKU,则将为该网关分配更多的 CPU 和网络带宽,这样使网关能够支持到虚拟网络更高的吞吐量。

VPN 网关可以使用以下 SKU:

  • 基本
  • 标准
  • HighPerformance

VPN 网关不使用 UltraPerformance 网关 SKU。 有关 UltraPerformance SKU 的信息,请参阅 ExpressRoute 文档。

选择 SKU 时,请考虑以下内容:

  • 如果想要使用 PolicyBased VPN 类型,必须使用基本 SKU。 任何其他 SKU 均不支持 PolicyBased VPN(之前称为静态路由)。
  • 基本 SKU 不支持 BGP。
  • 基本 SKU 不支持 ExpressRoute-VPN 网关共存配置。
  • 主动-主动 S2S VPN 网关连接只能在 HighPerformance SKU 上配置。

配置网关 SKU

在 Azure 门户中指定网关 SKU

如果使用 Azure 门户创建 Resource Manager 虚拟网络网关,可以使用下拉列表选择网关 SKU。显示的选项对应于所选的网关类型和 VPN 类型。

例如,如果选择“VPN”作为网关类型,选择“基于策略”作为 VPN 类型,则只会看到“基本”SKU,因为这是 PolicyBased SKU 唯一可用的 SKU。如果选择“基于路由”,则可以从“基本”、“标准”和“高性能”SKU 中选择。

使用 PowerShell 指定网关 SKU

以下 PowerShell 示例将 -GatewaySku 指定为 Standard

New-AzureRmVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'China North' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased

更改网关 SKU

如果想要将网关 SKU 升级到更强大的 SKU(从“基本”/“标准”升级到“高性能”),可以使用 Resize-AzureRmVirtualNetworkGateway PowerShell cmdlet。也可以使用此 cmdlet 降级网关 SKU 大小。

以下 PowerShell 示例演示如何将网关 SKU 的大小调整为“高性能”。

$gw = Get-AzureRmVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzureRmVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku HighPerformance

按网关 SKU 和类型列出的估计聚合吞吐量

下表显示网关类型和预计的网关 SKU 聚合吞吐量。 此表适用于 Resource Manager 与经典部署模型。 定价因网关 SKU 而异。 有关详细信息,请参阅 VPN 网关定价

请注意,UltraPerformance 网关 SKU 未在此表中表示。 有关 UltraPerformance SKU 的信息,请参阅 ExpressRoute 文档。

VPN 网关吞吐量 (1) VPN 网关最大 IPsec 隧道数 (2) ExpressRoute 网关吞吐量 VPN 网关和 ExpressRoute 共存
基本 SKU (3)(5)(6) 100 Mbps 10 500 Mbps (6)
标准 SKU (4)(5) 100 Mbps 10 1000 Mbps
高性能 SKU (4) 200 Mbps 30 2000 Mbps
  • (1) VPN 吞吐量是根据同一 Azure 区域 VNet 之间的度量进行的粗略估计。 这不是 Internet 上跨地点连接的保证吞吐量。 这是可能的最大吞吐量度量。
  • (2) 隧道数量是指 RouteBased VPN。 PolicyBased VPN 只能支持一个站点到站点 VPN 隧道。
  • (3) 基本 SKU 不支持 BGP。
  • (4) 此 SKU 不支持 PolicyBased VPN。 仅基本 SKU 支持它们。
  • (5) 此 SKU 不支持主动-主动 S2S VPN 网关连接。 只有 HighPerformance SKU 才支持主动-主动连接。
  • (6) 用于 Expressroute 的基本 SKU 已弃用。

连接类型

在 Resource Manager 部署模型中,每个配置都需要特定的虚拟网络网关连接类型。-ConnectionType 的可用 Resource Manager PowerShell 值为:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

在以下 PowerShell 示例中,将创建需要 IPsec 连接类型的 S2S 连接。

New-AzureRmVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'China North' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

VPN 类型

为 VPN 网关配置创建虚拟网络网关时,必须指定 VPN 类型。选择的 VPN 类型取决于要创建的连接拓扑。例如,P2S 连接需要 RouteBased VPN 类型。VPN 类型还取决于要使用的硬件。S2S 配置需要 VPN 设备。有些 VPN 设备仅支持特定的 VPN 类型。

选择的 VPN 类型必须满足所要创建的解决方案的所有连接要求。例如,如果要为同一虚拟网络创建 S2S VPN 网关连接和 P2S VPN 网关连接,应使用 VPN 类型 RouteBased,因为 P2S 需要 RouteBased VPN 类型。此外,需确认 VPN 设备支持 RouteBased VPN 连接。

创建虚拟网络网关后,无法更改 VPN 类型。必须删除虚拟网络网关,然后新建一个。有两种 VPN 类型:

  • PolicyBased :PolicyBased VPN 以前在经典部署模型中称为静态路由网关。 基于策略的 VPN 会根据使用本地网络和 Azure VNet 之间的地址前缀的各种组合配置的 IPsec 策略,加密数据包并引导其通过 IPsec 隧道。 通常会在 VPN 设备配置中将策略(或流量选择器)定义为访问列表。 基于策略的 VPN 类型的值为 PolicyBased。 使用 PolicyBased VPN 时,请记住下列限制:

    • PolicyBased VPN 可在基本网关 SKU 上使用。 此 VPN 类型与其他网关 SKU 不兼容。
    • 如果使用 PolicyBased VPN,可以只有 1 个隧道。
    • 只能将 PolicyBased VPN 用于 S2S 连接且只能用于特定配置。 大多数 VPN 网关配置需要 RouteBased VPN。
  • RouteBased:RouteBased VPN 以前在经典部署模型中称为动态路由网关。 RouteBased VPN 使用 IP 转发或路由表中的“路由”将数据包引导到相应的隧道接口中。 然后,隧道接口会加密或解密出入隧道的数据包。 RouteBased VPN 的策略(或流量选择器)配置为任意到任意(或通配符)。 基于路由的 VPN 类型的值为 RouteBased

以下 PowerShell 示例将 -VpnType 指定为 RouteBased。在创建网关时,你必须确保用于配置的 -VpnType 正确。

New-AzureRmVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'China North' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

网关要求

下表列出了基于策略和基于路由的 VPN 网关的要求。 此表适用于 Resource Manager 与经典部署模型。 对于经典模型,基于策略的 VPN 网关与静态网关相同,基于路由的网关与动态网关相同。

基于策略的基本 VPN 网关 基于路由的基本 VPN 网关 基于路由的标准 VPN 网关 基于路由的高性能 VPN 网关
站点到站点连接 (S2S) 基于策略的 VPN 配置 基于路由的 VPN 配置 基于路由的 VPN 配置 基于路由的 VPN 配置
点到站点连接 (P2S) 不支持 支持(可与 S2S 共存) 支持(可与 S2S 共存) 支持(可与 S2S 共存)
身份验证方法 预共享密钥 S2S 连接的预共享密钥,P2S 连接的证书 S2S 连接的预共享密钥,P2S 连接的证书 S2S 连接的预共享密钥,P2S 连接的证书
S2S 连接的最大数目 1 10 10 30
P2S 连接的最大数目 不支持 128 128 128
活动路由支持 (BGP) 不支持 不支持 支持 支持

网关子网

若要为 VNet 配置虚拟网络网关,需要创建网关子网。网关子网包含虚拟网络网关服务使用的 IP 地址。网关子网必须命名为 GatewaySubnet 才能正常工作。此名称可以让 Azure 知道此子网将用于网关。

创建网关子网时,需指定子网包含的 IP 地址数。网关子网中的 IP 地址将分配到网关服务。某些配置需要多个 IP 地址,并将其分配到网关服务而不是执行其他操作。需确保网关子网包含足够的 IP 地址,以适应未来的增长和可能的其他新连接配置。因此,尽管网关子网最小可以创建为 /29,但建议创建 /28 或更大(/28、/27、/26 等)的网关子网。查看要创建的配置的要求,并验证所拥有的网关子网是否可满足这些要求。

以下 Resource Manager PowerShell 示例显示名为 GatewaySubnet 的网关子网。可以看到,CIDR 表示法指定了 /27,这可提供足够的 IP 地址供大多数现有配置使用。

Add-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Important

使用网关子网时,避免将网络安全组 (NSG) 与网关子网关联。 将网络安全组与此子网关联可能会导致 VPN 网关停止按预期方式工作。 有关网络安全组的详细信息,请参阅什么是网络安全组?

本地网关

创建 VPN 网关配置时,本地网络网关通常代表本地位置。在经典部署模型中,本地网络网关称为本地站点。

指定本地网络网关的名称(即本地 VPN 设备的公共 IP 地址),并指定位于本地位置的地址前缀。Azure 将查看网络流量的目标地址前缀、查阅针对本地网络网关指定的配置,并相应地路由数据包。也应该针对使用 VPN 网关连接的 VNet 到 VNet 配置指定本地网络网关。

以下 PowerShell 示例创建新的本地网络网关:

New-AzureRmLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'China North' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

有时需要修改本地网络网关设置。例如,在添加或修改地址范围时,或 VPN 设备的 IP 地址发生变化时。对于经典 VNet,可以在经典管理门户上的“局域网”页上更改这些设置。对于 Resource Manager,请参阅使用 PowerShell 修改本地网络网关设置

REST API 和 PowerShell cmdlet

有关将 REST API 和 PowerShell cmdlet 用于 VPN 网关配置的其他技术资源和具体语法要求,请参阅以下页面:

经典 资源管理器
PowerShell PowerShell
REST API REST API

后续步骤

有关可用连接配置的详细信息,请参阅关于 VPN 网关