规划和设计 VPN 网关

规划和设计跨界配置和 VNet 到 VNet 配置可能很简单,也可能很复杂,具体取决于网络需求。 本文详细介绍基本规划和设计注意事项。

规划

跨界连接选项

若要安全地将本地站点连接到虚拟网络,可以使用三种不同的方式实现此目的:站点到站点、点到站点和 ExpressRoute。 比较可用的不同跨界连接。 选择的选项取决于不同的考虑因素,例如:

  • 解决方案需要哪种吞吐量?
  • 你是希望通信通过经由安全 VPN 的公共 Internet 进行,还是通过专用连接进行?
  • 是否有可用的公共 IP 地址?
  • 你是否打算使用 VPN 设备? 如果是,它兼容吗?
  • 是要连接几台计算机,还是想要站点持续连接?
  • 想要创建的解决方案需要哪种类型的 VPN 网关?
  • 你应该使用哪个网关 SKU?

下表可帮助选择最适合解决方案的连接选项。

点到站点 站点到站点 ExpressRoute
Azure 支持的服务 云服务和虚拟机 云服务和虚拟机 服务列表
典型带宽 通常 < 100 Mbps(总计) 通常 < 100 Mbps(总计) 50 Mbps、100 Mbps、200 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps
支持的协议 安全套接字隧道协议 (SSTP) IPsec 通过 VLAN、NSP 的 VPN 技术(MPLS、VPLS...)直接连接
路由 基于路由(动态) 我们支持基于策略(静态路由)和基于路由(动态路由 VPN) BGP
连接复原能力 主动-被动 主动-被动 主动-主动
典型用例 云服务和虚拟机的原型设计、开发/测试/实验方案 云服务和虚拟机的开发/测试/实验方案和小规模生产工作负荷 访问所有 Azure 服务(已验证列表)、企业级和任务关键型工作负荷、备份、大数据、Azure 即 DR 站点
SLA SLA SLA SLA
价格 定价 定价 定价
技术文档 VPN 网关文档 VPN 网关文档 ExpressRoute 文档
常见问题 VPN 网关常见问题解答 VPN 网关常见问题解答 ExpressRoute 常见问题

根据 VPN 类型和 SKU 考虑网关要求

创建虚拟网络网关时,需要指定要使用的网关 SKU。 如果选择更高级的网关 SKU,则将为该网关分配更多的 CPU 和网络带宽,这样使网关能够支持到虚拟网络更高的吞吐量。

VPN 网关可以使用以下 SKU:

  • 基本
  • 标准
  • HighPerformance

VPN 网关不使用 UltraPerformance 网关 SKU。 有关 UltraPerformance SKU 的信息,请参阅 ExpressRoute 文档。

选择 SKU 时,请考虑以下内容:

  • 如果想要使用 PolicyBased VPN 类型,必须使用基本 SKU。 任何其他 SKU 均不支持 PolicyBased VPN(之前称为静态路由)。
  • 基本 SKU 不支持 BGP。
  • 基本 SKU 不支持 ExpressRoute-VPN 网关共存配置。
  • 主动-主动 S2S VPN 网关连接只能在 HighPerformance SKU 上配置。

有关网关 SKU 的详细信息,请参阅 VPN 网关设置

按 SKU 和 VPN 类型列出的聚合吞吐量

下表显示网关类型和预计的网关 SKU 聚合吞吐量。 此表适用于 Resource Manager 与经典部署模型。 定价因网关 SKU 而异。 有关详细信息,请参阅 VPN 网关定价

请注意,UltraPerformance 网关 SKU 未在此表中表示。 有关 UltraPerformance SKU 的信息,请参阅 ExpressRoute 文档。

VPN 网关吞吐量 (1) VPN 网关最大 IPsec 隧道数 (2) ExpressRoute 网关吞吐量 VPN 网关和 ExpressRoute 共存
基本 SKU (3)(5)(6) 100 Mbps 10 500 Mbps (6)
标准 SKU (4)(5) 100 Mbps 10 1000 Mbps
高性能 SKU (4) 200 Mbps 30 2000 Mbps
  • (1) VPN 吞吐量是根据同一 Azure 区域 VNet 之间的度量进行的粗略估计。 这不是 Internet 上跨地点连接的保证吞吐量。 这是可能的最大吞吐量度量。
  • (2) 隧道数量是指 RouteBased VPN。 PolicyBased VPN 只能支持一个站点到站点 VPN 隧道。
  • (3) 基本 SKU 不支持 BGP。
  • (4) 此 SKU 不支持 PolicyBased VPN。 仅基本 SKU 支持它们。
  • (5) 此 SKU 不支持主动-主动 S2S VPN 网关连接。 只有 HighPerformance SKU 才支持主动-主动连接。
  • (6) 用于 Expressroute 的基本 SKU 已弃用。

SKU 和 VPN 类型支持的配置

下表列出了基于策略和基于路由的 VPN 网关的要求。 此表适用于 Resource Manager 与经典部署模型。 对于经典模型,基于策略的 VPN 网关与静态网关相同,基于路由的网关与动态网关相同。

基于策略的基本 VPN 网关 基于路由的基本 VPN 网关 基于路由的标准 VPN 网关 基于路由的高性能 VPN 网关
站点到站点连接 (S2S) 基于策略的 VPN 配置 基于路由的 VPN 配置 基于路由的 VPN 配置 基于路由的 VPN 配置
点到站点连接 (P2S) 不支持 支持(可与 S2S 共存) 支持(可与 S2S 共存) 支持(可与 S2S 共存)
身份验证方法 预共享密钥 S2S 连接的预共享密钥,P2S 连接的证书 S2S 连接的预共享密钥,P2S 连接的证书 S2S 连接的预共享密钥,P2S 连接的证书
S2S 连接的最大数目 1 10 10 30
P2S 连接的最大数目 不支持 128 128 128
活动路由支持 (BGP) 不支持 不支持 支持 支持

工作流

以下列表概述了云连接的常用工作流:

  1. 设计和规划连接拓扑,并列出想要连接的所有网络的地址空间。
  2. 创建 Azure 虚拟网络。
  3. 为虚拟网络创建 VPN 网关。
  4. 创建并配置与本地网络或其他虚拟网络的连接(根据需要)。
  5. 创建并配置 Azure VPN 网关的点到站点连接(根据需要)。

设计

连接拓扑

首先查看关于 VPN 网关一文中的示意图。 该文章包含基本关系图、每种拓扑的部署模型(Resource Manager 或经典)和可用来部署配置的部署工具。

设计基础知识

以下部分介绍 VPN 网关基础知识。 此外,请考虑网络服务限制

关于子网

创建连接时,必须考虑子网范围。 不能有重叠的子网地址范围。 子网重叠是指一个虚拟网络或本地位置包含其他位置所包含的相同地址空间。 这意味着,需要请求本地网络的网络工程师指定一个可用于 Azure IP 寻址空间/子网的范围。 使用的地址空间不能已在本地网络中使用。

在使用 VNet 到 VNet 连接时,避免子网重叠也非常重要。 如果子网重叠并且发送端与目标 VNet 中存在同一个 IP 地址,VNet 到 VNet 连接将会失败。 Azure 无法将数据路由到另一个 VNet,因为目标地址是发送端 VNet 的一部分。

VPN 网关需要一个特定的子网,称为网关子网。 所有网关子网都必须命名为 GatewaySubnet 才能正常工作。 切勿将网关子网命名为其他名称,并且不要在网关子网中部署 VM 或任何其他组件。 请参阅网关子网

关于本地网络网关

本地网络网关通常是指本地位置。 在经典部署模型中,本地网络网关称为本地网络站点。 配置本地网络网关时,需为它命名、指定本地 VPN 设备的公共 IP 地址,并指定位于本地位置中的地址前缀。 Azure 将查看网络流量的目标地址前缀、查阅针对本地网络网关指定的配置,并相应地路由数据包。 你可以根据需要修改这些地址前缀。 有关详细信息,请参阅本地网关

关于网关类型

为拓扑选择正确的网关类型至关重要。 如果选择了错误的类型,网关将无法正常工作。 网关类型指定网关本身如何进行连接,它是 Resource Manager 部署模型的必需配置设置。

网关类型包括:

  • Vpn
  • ExpressRoute

关于连接类型

每个配置需要特定的连接类型。 连接类型包括:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

关于 VPN 类型

每个配置需要特定的 VPN 类型。 如果要合并两个配置,例如创建连往相同 VNet 的站点到站点连接和点到站点连接,你必须使用同时符合这两个连接要求的 VPN 类型。

  • PolicyBased :PolicyBased VPN 以前在经典部署模型中称为静态路由网关。 基于策略的 VPN 会根据使用本地网络和 Azure VNet 之间的地址前缀的各种组合配置的 IPsec 策略,加密数据包并引导其通过 IPsec 隧道。 通常会在 VPN 设备配置中将策略(或流量选择器)定义为访问列表。 基于策略的 VPN 类型的值为 PolicyBased。 使用 PolicyBased VPN 时,请记住下列限制:

    • PolicyBased VPN 可在基本网关 SKU 上使用。 此 VPN 类型与其他网关 SKU 不兼容。
    • 如果使用 PolicyBased VPN,可以只有 1 个隧道。
    • 只能将 PolicyBased VPN 用于 S2S 连接且只能用于特定配置。 大多数 VPN 网关配置需要 RouteBased VPN。
  • RouteBased:RouteBased VPN 以前在经典部署模型中称为动态路由网关。 RouteBased VPN 使用 IP 转发或路由表中的“路由”将数据包引导到相应的隧道接口中。 然后,隧道接口会加密或解密出入隧道的数据包。 RouteBased VPN 的策略(或流量选择器)配置为任意到任意(或通配符)。 基于路由的 VPN 类型的值为 RouteBased

下表显示了映射到每个连接配置的 VPN 类型。 请确保网关的 VPN 类型与你想要创建的配置匹配。

VPN 类型 - Resource Manager 部署模型

RouteBased PolicyBased
站点到站点 支持 支持
VNet 到 VNet 支持 不支持
多站点 支持 不支持
S2S 和 ExpressRoute 共存 支持 不支持
点到站点 支持 不支持
Resource Manager 经典 支持 不支持

VPN 类型 - 经典部署模型

动态 静态
站点到站点 支持 支持
VNet 到 VNet 支持 不支持
多站点 支持 不支持
S2S 和 ExpressRoute 共存 支持 不支持
点到站点 支持 不支持
Resource Manager 经典 支持 不支持

用于站点到站点连接的 VPN 设备

若要配置站点到站点连接,不管使用哪种部署模型,都需要以下各项:

  • 与 Azure VPN 网关兼容的 VPN 设备
  • 不在 NAT 后面的面向公众的 IPv4 IP 地址

必须具有配置 VPN 设备的经验,或者有人可以帮助配置设备。 有关 VPN 设备的详细信息,请参阅关于 VPN 设备。 “VPN 设备”一文包含有关已验证的设备的信息、未验证的设备的要求,以及设备配置文档(如果有)的链接。

考虑强制隧道路由

对于大多数配置,你可以配置强制隧道。 借助强制隧道,你可以通过站点到站点 VPN 隧道,将全部 Internet 绑定流量重定向或“强制”返回到本地位置,以进行检查和审核。 这是很多企业 IT 策略的关键安全要求。

如果没有强制隧道,来自 Azure 中 VM 的 Internet 绑定流量会始终通过 Azure 网络基础设施直接连接到 Internet,而无法选择对流量进行检查或审核。 未经授权的 Internet 访问可能会导致信息泄漏或其他类型的安全漏洞。

可以使用不同的工具在这两种部署模型中配置强制隧道连接。 有关详细信息,请参阅配置强制隧道

强制隧道关系图

Azure VPN 网关强制隧道示意图

后续步骤

请参阅 VPN 网关常见问题解答关于 VPN 网关文章,获取可帮助进行设计的详细信息。

有关特定网关设置的详细信息,请参阅 About VPN Gateway Settings(关于 VPN 网关设置)。