规划和设计 VPN 网关

规划和设计跨界配置和 VNet 到 VNet 配置可能很简单,也可能很复杂,具体取决于网络需求。 本文详细介绍基本规划和设计注意事项。

规划

跨界连接选项

要安全地将本地站点连接到虚拟网络,可以使用三种不同的方式实现此目的:站点到站点、点到站点和 ExpressRoute。 比较可用的不同跨界连接。 选择的选项取决于不同的考虑因素,例如:

  • 解决方案需要哪种吞吐量?
  • 是希望通信通过经由安全 VPN 的公共 Internet 进行,还是通过专用连接进行?
  • 是否有可用的公共 IP 地址?
  • 是否打算使用 VPN 设备? 如果是,它兼容吗?
  • 是要连接几台计算机,还是想要站点持续连接?
  • 想要创建的解决方案需要哪种类型的 VPN 网关?
  • 应该使用哪个网关 SKU?

规划表

下表可帮助选择最适合解决方案的连接选项。

点到站点 站点到站点 ExpressRoute
Azure 支持的服务 云服务和虚拟机 云服务和虚拟机 服务列表
典型带宽 通常 < 100 Mbps(总计) 通常 < 100 Mbps(总计) 50 Mbps、100 Mbps、200 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps
支持的协议 安全套接字隧道协议 (SSTP) IPsec 通过 VLAN、NSP 的 VPN 技术(MPLS、VPLS...)直接连接
路由 基于路由(动态) 我们支持基于策略(静态路由)和基于路由(动态路由 VPN) BGP
连接复原能力 主动-被动 主动-被动 主动-主动
典型用例 云服务和虚拟机的原型设计、开发/测试/实验方案 云服务和虚拟机的开发/测试/实验方案和小规模生产工作负荷 访问所有 Azure 服务(已验证列表)、企业级和任务关键型工作负荷、备份、大数据、Azure 即 DR 站点
SLA SLA SLA SLA
价格 定价 定价 定价
技术文档 VPN 网关文档 VPN 网关文档 ExpressRoute 文档
常见问题 VPN 网关常见问题解答 VPN 网关常见问题解答 ExpressRoute 常见问题

网关 SKU

Azure 提供以下 VPN 网关 SKU:

SKU S2S/VNet 到 VNet
隧道
P2S
连接
聚合
吞吐量基准
VpnGw1 最大 30 最大 128 650 Mbps
VpnGw2 最大 30 最大 128 1 Gbps
VpnGw3 最大 30 最大 128 1.25 Gbps
基本 最大 10 最大 128 100 Mbps
  • 聚合吞吐量基准基于对通过单个网关聚合的多个隧道的测量。 受 Internet 流量情况和应用程序行为影响,该吞吐量无法保证。

  • 可在 定价 页上找到定价信息。

  • 可在 SLA 页上查看 SLA(服务级别协议)信息。

工作流

以下列表概述了云连接的常用工作流:

  1. 设计和规划连接拓扑,并列出想要连接的所有网络的地址空间。
  2. 创建 Azure 虚拟网络。
  3. 为虚拟网络创建 VPN 网关。
  4. 创建并配置与本地网络或其他虚拟网络的连接(根据需要)。
  5. 创建并配置 Azure VPN 网关的点到站点连接(根据需要)。

设计

连接拓扑

首先查看关于 VPN 网关一文中的示意图。 该文章包含基本原理图、每种拓扑的部署模型和可用来部署配置的可用部署工具。

设计基础知识

以下部分介绍 VPN 网关基础知识。

关于子网

创建连接时,必须考虑子网范围。 不能有重叠的子网地址范围。 子网重叠是指一个虚拟网络或本地位置包含其他位置所包含的相同地址空间。 这意味着,需要请求本地网络的网络工程师指定一个可用于 Azure IP 寻址空间/子网的范围。 使用的地址空间不能已在本地网络中使用。

在使用 VNet 到 VNet 连接时,避免子网重叠也非常重要。 如果子网重叠并且发送端与目标 VNet 中存在同一个 IP 地址,VNet 到 VNet 连接会失败。 Azure 无法将数据路由到另一个 VNet,因为目标地址是发送端 VNet 的一部分。

VPN 网关需要一个特定的子网,称为网关子网。 所有网关子网都必须命名为 GatewaySubnet 才能正常工作。 切勿将网关子网命名为其他名称,并且不要在网关子网中部署 VM 或任何其他组件。 请参阅网关子网

关于本地网络网关

本地网络网关通常是指本地位置。 在经典部署模型中,本地网络网关称为本地网络站点。 配置本地网络网关时,需为它命名、指定本地 VPN 设备的公共 IP 地址,并指定位于本地位置中的地址前缀。 Azure 将查看网络流量的目标地址前缀、查阅针对本地网络网关指定的配置,并相应地路由数据包。 可以根据需要修改这些地址前缀。 有关详细信息,请参阅本地网关

关于网关类型

为拓扑选择正确的网关类型至关重要。 如果选择了错误的类型,网关无法正常工作。 网关类型指定网关本身如何进行连接,它是 Resource Manager 部署模型的必需配置设置。

网关类型包括:

  • Vpn
  • ExpressRoute

关于连接类型

每个配置需要特定的连接类型。 连接类型包括:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

关于 VPN 类型

每个配置需要特定的 VPN 类型。 如果要合并两个配置,例如创建连往相同 VNet 的站点到站点连接和点到站点连接,必须使用同时符合这两个连接要求的 VPN 类型。

  • PolicyBased :PolicyBased VPN 以前在经典部署模型中称为静态路由网关。 基于策略的 VPN 会根据使用本地网络和 Azure VNet 之间的地址前缀的各种组合配置的 IPsec 策略,加密数据包并引导其通过 IPsec 隧道。 通常会在 VPN 设备配置中将策略(或流量选择器)定义为访问列表。 基于策略的 VPN 类型的值为 PolicyBased。 使用 PolicyBased VPN 时,请记住下列限制:

    • PolicyBased VPN 可在基本网关 SKU 上使用。 此 VPN 类型与其他网关 SKU 不兼容。
    • 如果使用 PolicyBased VPN,可以只有 1 个隧道。
    • 只能将 PolicyBased VPN 用于 S2S 连接且只能用于特定配置。 大多数 VPN 网关配置需要 RouteBased VPN。
  • RouteBased:RouteBased VPN 以前在经典部署模型中称为动态路由网关。 RouteBased VPN 使用 IP 转发或路由表中的“路由”将数据包引导到相应的隧道接口中。 然后,隧道接口会加密或解密出入隧道的数据包。 RouteBased VPN 的策略(或流量选择器)配置为任意到任意(或通配符)。 基于路由的 VPN 类型的值为 RouteBased

下表显示了映射到每个连接配置的 VPN 类型。 请确保网关的 VPN 类型与你想要创建的配置匹配。

VPN 类型 - Resource Manager 部署模型

RouteBased PolicyBased
站点到站点 支持 支持
VNet 到 VNet 支持 不支持
多站点 支持 不支持
S2S 和 ExpressRoute 共存 支持 不支持
点到站点 支持 不支持
Resource Manager 经典 支持 不支持

VPN 类型 - 经典部署模型

动态 静态
站点到站点 支持 支持
VNet 到 VNet 支持 不支持
多站点 支持 不支持
S2S 和 ExpressRoute 共存 支持 不支持
点到站点 支持 不支持
Resource Manager 经典 支持 不支持

用于站点到站点连接的 VPN 设备

若要配置站点到站点连接,不管使用哪种部署模型,都需要以下各项:

  • 与 Azure VPN 网关兼容的 VPN 设备
  • 不在 NAT 后面的面向公众的 IPv4 IP 地址

必须具有配置 VPN 设备的经验,或者有人可以帮助配置设备。

请参阅以下链接,了解配置信息:

考虑强制隧道路由

对于大多数配置,可以配置强制隧道。 借助强制隧道,可以通过站点到站点 VPN 隧道,将全部 Internet 绑定流量重定向或“强制”返回到本地位置,以进行检查和审核。 这是很多企业 IT 策略的关键安全要求。

如果没有强制隧道,来自 Azure 中 VM 的 Internet 绑定流量会始终通过 Azure 网络基础设施直接连接到 Internet,而无法选择对流量进行检查或审核。 未经授权的 Internet 访问可能会导致信息泄漏或其他类型的安全漏洞。

可以使用不同的工具在这两种部署模型中配置强制隧道连接。 有关详细信息,请参阅配置强制隧道

强制隧道关系图

Azure VPN 网关强制隧道示意图

后续步骤

请参阅 VPN 网关常见问题解答关于 VPN 网关文章,获取可帮助进行设计的详细信息。

有关特定网关设置的详细信息,请参阅 About VPN Gateway Settings(关于 VPN 网关设置)。