关于 VPN 网关配置设置

VPN 网关连接体系结构依赖于多个资源配置,其中每个资源包含可配置的设置。 本文的各部分介绍了与虚拟网络的 VPN 网关相关的资源和设置。 可以在 VPN 网关拓扑和设计一文中找到每种连接解决方案的说明和拓扑图。

本文中的值适用于 VPN 网关(使用 -GatewayType Vpn 的虚拟网络网关)。 如果要查找有关以下类型的网关的信息,请参阅以下文章:

网关和网关类型

虚拟网络网关由两台或两台以上 Azure 托管的 VM 组成,这些 VM 自动配置并部署到你所创建的名为“网关子网”的特定子网。 网关 VM 包含路由表,并运行特定的网关服务。 创建虚拟网络网关时,网关 VM 会自动部署到网关子网(始终命名为 GatewaySubnet),并使用指定的设置进行配置。 此过程可能需要 45 分钟或更长时间才能完成,具体取决于所选的网关 SKU。

创建虚拟网络网关时指定的设置之一是“网关类型”。 网关类型确定如何使用虚拟网络网关以及网关所采取的操作。 一个虚拟网络可以有两个虚拟网络网关:一个 VPN 网关和一个 ExpressRoute 网关。 -GatewayType“Vpn”指定创建的虚拟网络网关类型为“VPN 网关”。 这将它与 ExpressRoute 网关区分开来。

网关 SKU 和性能

有关网关 SKU、性能和支持的功能的最新信息,请参阅关于网关 SKU 一文。

VPN 类型

Azure 支持 VPN 网关的两种不同 VPN 类型:基于策略和基于路由。 基于路由的 VPN 网关构建在与基于策略的 VPN 网关不同的平台上。 这会导致不同的网关规范。 下表显示了支持每种 VPN 类型的网关 SKU 以及相关的受支持 IKE 版本。

网关 VPN 类型 网关 SKU 支持的 IKE 版本
基于策略的网关 基本 IKEv1
基于路由的网关 基本 IKEv2
基于路由的网关 VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 和 IKEv2
基于路由的网关 VpnGw1AZ、VpnGw2AZ、VpnGw3AZ、VpnGw4AZ、VpnGw5AZ IKEv1 和 IKEv2

在大多数情况下,你将创建基于路由的 VPN 网关。 以前,旧网关 SKU 不支持基于路由的网关的 IKEv1。 现在,大多数当前网关 SKU 都支持 IKEv1 和 IKEv2。

  • 自 2023 年 10 月 1 日起,基于策略的网关只能使用 PowerShell 或 CLI 进行配置,并且无法在 Azure 门户中使用。 若要创建基于策略的网关,请参阅使用 PowerShell 创建基本 SKU VPN 网关

  • 如果已有基于策略的网关,则无需将网关更改为基于路由的网关,除非想要使用需要基于路由的网关的配置,例如点到站点。

  • 无法将基于策略的网关转换为基于路由的网关。 必须删除现有网关,然后将新网关创建为基于路由的网关。

主动-主动模式网关

可将 Azure VPN 网关配置为主动-备用或主动-主动。 在主动-主动配置中,网关 VM 的两个实例都与本地 VPN 设备建立站点到站点 VPN 隧道连接。 主动-主动模式网关是高可用性网关连接设计的关键部分。 有关详细信息,请参阅以下文章:

连接类型

每个连接都需要特定的虚拟网络网关连接类型。 适用于 New-AzVirtualNetworkGatewayConnection -Connection Type 的 PowerShell 值为:IPsec、Vnet2Vnet、ExpressRoute、VPNClient。

连接模式

“连接模式”属性仅适用于使用 IKEv2 连接的基于路由的 VPN 网关。 连接模式定义了连接发起的方向,仅适用于 IKE 初始连接的建立。 任何一方都可以启动密钥更新和更多消息。 InitiatorOnly 表示连接需要由 Azure 启动。 ResponderOnly 表示连接需要由本地设备启动。 默认行为是接受并拨号最先的那个连接。

网关子网

在创建 VPN 网关之前,必须创建一个网关子网。 网关子网包含虚拟网络网关 VM 和服务使用的 IP 地址。 创建虚拟网络网关时,会将网关 VM 部署到网关子网,并使用所需的 VPN 网关设置进行配置。 永远不要将任何其他设备(例如,其他 VM)部署到网关子网。 网关子网必须命名为“GatewaySubnet”才能正常工作。 将网关子网命名为“GatewaySubnet”后,可以让 Azure 知道应该将虚拟网络网关 VM 和服务部署到此子网。

创建网关子网时,需指定子网包含的 IP 地址数。 将网关子网中的 IP 地址分配到网关 VM 和网关服务。 有些配置需要具有比其他配置更多的 IP 地址。

规划网关子网大小时,请参阅你计划创建的配置的相关文档。 例如,ExpressRoute/VPN 网关共存配置所需的网关子网大于大多数其他配置。 虽然可以创建最小为 /29 的网关子网(仅适用于基本 SKU),但所有其他 SKU 都需要大小为 /27 或更大的网关子网(/27、/26、/25 等)。 可能需要创建大于 /27 的网关子网,以便子网有足够的 IP 地址用于将来可能的配置。

以下 PowerShell 示例显示名为 GatewaySubnet 的网关子网。 可以看到,CIDR 表示法指定了 /27,这可提供足够的 IP 地址供大多数现有配置使用。

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

注意事项:

  • 不支持 GatewaySubnet 上具有 0.0.0.0/0 目标和 NSG 的用户定义的路由。 具有此配置的网关已被阻止创建。 网关需要访问管理控制器才能正常工作。 GatewaySubnet 上的 BGP 路由传播应设为“已启用”,以确保网关可用。 如果 BGP 路由传播设为“禁用”,则网关将不起作用。

  • 如果用户定义的路由与网关子网范围或网关公共 IP 范围重叠,则诊断、数据路径和控制路径可能会受到影响。

本地网关

本地网络网关不同于虚拟网络网关。 使用 VPN 网关站点到站点体系结构时,本地网络网关通常表示本地网络和相应的 VPN 设备。

当你配置本地网络网关时,你指定了名称、本地 VPN 设备的公共 IP 地址或完全限定的域名 (FQDN)、位于本地位置的地址前缀。 Azure 查看网络流量的目标地址前缀、参考针对本地网络网关指定的配置,并相应地路由数据包。 如果在 VPN 设备上使用边界网关协议 (BGP),则需提供 VPN 设备的 BGP 对等节点 IP 地址以及本地网络的自治系统编号 (ASN)。 也应该针对使用 VPN 网关连接的 VNet 到 VNet 配置指定本地网络网关。

以下 PowerShell 示例创建新的本地网络网关:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'China North 3' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

有时需要修改本地网络网关设置。 例如,在添加或修改地址范围时,或 VPN 设备的 IP 地址发生变化时。 有关详细信息,请参阅修改本地网关设置

REST APIs、PowerShell cmdlet 和 CLI

有关将 REST API、PowerShell cmdlet 或 Azure CLI 用于 VPN 网关配置的技术资源和具体语法要求,请参阅以下页面:

后续步骤

有关可用连接配置的详细信息,请参阅关于 VPN 网关