VPN 网关常见问题

连接到虚拟网络

是否可以连接不同 Azure 区域中的虚拟网络?

是的。 事实上,没有任何区域约束。 一个虚拟网络可以连接到同一区域中的其他虚拟网络,也可以连接到其他 Azure 区域中的其他虚拟网络。

是否可以连接不同订阅中的虚拟网络?

是的。

是否可以从一个虚拟网络连接到多个站点?

可以使用 Windows PowerShell 和 Azure REST API 连接到多个站点。 请参阅 多站点与 VNet 到 VNet 连接 的“常见问题”部分。

我的跨界连接选项有哪些?

支持以下跨界连接:

  • 站点到站点 - 基于 IPsec(IKE v1 和 IKE v2)的 VPN 连接。 此类型的连接需要 VPN 设备或 RRAS。 有关详细信息,请参阅站点到站点
  • 点到站点 - 基于 SSTP(安全套接字隧道协议)或 IKE v2 的 VPN 连接。 此连接不需要 VPN 设备。 有关详细信息,请参阅点到站点
  • VNet 到 VNet - 这种连接类型与站点到站点配置相同。 VNet 到 VNet 是一种基于 IPsec(IKE v1 和 IKE v2)的 VPN 连接。 它不需要 VPN 设备。 有关详细信息,请参阅 VNet 到 VNet
  • 多站点 - 这是站点到站点配置的变体,可将多个本地站点连接到虚拟网络。 有关详细信息,请参阅多站点
  • ExpressRoute - ExpressRoute 是从 WAN 到 Azure 的直接连接,不是经公共 Internet 的 VPN 连接。 有关详细信息,请参阅 ExpressRoute 技术概述ExpressRoute 常见问题

有关 VPN 网关连接的详细信息,请参阅关于 VPN 网关

站点到站点连接和点到站点连接的区别是什么?

站点到站点(IPsec/IKE VPN 隧道)配置是指本地位置与 Azure 之间的配置。 这意味着,可以将任何本地计算机连接到虚拟网络中的任何虚拟机或角色实例,具体取决于如何选择路由和权限的配置。 它对于需要始终可用的跨界连接来说是一个极佳的选项,很适合混合配置。 此类连接依赖于 IPsec VPN 设备(硬件设备或软件设备),该设备必须部署在网络边缘。 若要创建此类连接,必须具有面向外部且不在 NAT 之后的 IPv4 地址。

点到站点(基于 SSTP 的 VPN)配置允许从任何位置的单台计算机连接到虚拟网络中的任何内容。 它使用 Windows 内置的 VPN 客户端。 在进行点到站点配置时,需要安装证书和 VPN 客户端配置包,其中包含的设置允许计算机连接到虚拟网络中的任何虚拟机或角色实例。 此连接适用于需要连接到虚拟网络但该虚拟网络不在本地的情况。 无法访问 VPN 硬件或面向外部的 IPv4 地址(二者是进行站点到站点连接所必需的)时,它也是一个很好的选项。

可以将虚拟网络配置为同时使用站点到站点连接和点到站点连接,前提是使用基于路由的 VPN 类型为网关创建站点到站点连接。 在经典部署模型中,基于路由的 VPN 类型称为动态网关。

虚拟网关

VPN 网关是否为虚拟网关?

VPN 网关是一种虚拟网络网关。 VPN 网关通过公共连接在虚拟网络和本地位置之间发送加密流量。 还可使用 VPN 网关在虚拟网络之间发送流量。 创建 VPN 网关时,指定“GatewayType”的值为“Vpn”。 有关详细信息,请参阅关于 VPN 网关配置设置

什么是基于策略的(静态路由)网关?

基于策略的网关实施基于策略的 VPN。 基于策略的 VPN 会根据本地网络和 Azure VNet 之间的地址前缀的各种组合,加密数据包并引导其通过 IPsec 隧道。 通常会在 VPN 配置中将策略(或流量选择器)定义为访问列表。

什么是基于路由的(动态路由)网关?

基于路由的网关可实施基于路由的 VPN。 基于路由的 VPN 使用 IP 转发或路由表中的“路由”将数据包引导到相应的隧道接口中。 然后,隧道接口会加密或解密出入隧道的数据包。 基于路由的 VPN 的策略或流量选择器配置为任意到任意(或通配符)。

能否将基于策略的 VPN 网关更新为基于路由的?

否。 Azure Vnet 网关类型不能从基于策略更改为基于路由,反之亦然。 必须先删除该网关,然后再重新创建,此过程需时约 60 分钟。 不会保留网关的 IP 地址,也不会保留预共享密钥 (PSK)。

  1. 删除与要删除的网关相关联的任何连接。
  2. 删除网关:
  3. 创建所需类型的新网关并完成 VPN 设置

是否需要“GatewaySubnet”?

是的。 网关子网包含虚拟网络网关服务使用的 IP 地址。 若要配置虚拟网关,需要先为 VNet 创建网关子网。 所有网关子网都必须命名为“GatewaySubnet”才能正常工作。 不要对网关子网使用其他名称。 此外,不要在网关子网中部署 VM 或其他组件。

创建网关子网时,需指定子网包含的 IP 地址数。 网关子网中的 IP 地址分配到网关服务。 某些配置相对于其他配置需要将更多 IP 地址分配到网关服务。 需确保网关子网包含足够的 IP 地址,以适应未来的增长和可能的其他新连接配置。 因此,尽管网关子网最小可创建为 /29,但建议创建 /27 或更大(/27、/26 和 /25 等)的网关子网。 查看要创建的配置的要求,并验证所拥有的网关子网是否可满足这些要求。

是否可以将虚拟机或角色实例部署到网关子网?

否。

是否可以先获得 VPN 网关 IP 地址,再创建网关?

否。 必须先创建网关,才能获得 IP 地址。 如果删除再重新创建 VPN 网关,IP 地址将更改。

能否为 VPN 网关请求静态公共 IP 地址?

否。 仅支持动态 IP 地址分配。 但这并不意味着 IP 地址在分配到 VPN 网关后会更改。 VPN 网关 IP 地址只在删除或重新创建网关时更改。 VPN 网关公共 IP 地址不会因为重新调整大小、重置或其他 VPN 网关内部维护/升级而更改。

VPN 隧道如何进行身份验证?

Azure VPN 使用 PSK(预共享密钥)身份验证。 我们在创建 VPN 隧道时生成一个预共享密钥 (PSK)。 可以使用设置预共享密钥 PowerShell cmdlet 或 REST API 会自动生成的 PSK 更改成自己的 PSK。

是否可以使用“设置预共享密钥 API”配置基于策略的(静态路由)网关 VPN?

是,“设置预共享密钥 API”和 PowerShell cmdlet 可用于配置 Azure 基于策略的(静态)VPN 和基于路由的(动态)路由 VPN。

是否可以使用其他身份验证选项?

我们只能使用预共享密钥 (PSK) 进行身份验证。

如何指定通过 VPN 网关的流量?

Resource Manager 部署模型

  • PowerShell:使用“AddressPrefix”指定本地网络网关的流量。
  • Azure 门户:导航到“本地网关”>“配置”>“地址空间”。

经典部署模型

  • Azure 门户:导航到“经典虚拟网络”>“VPN 连接”>“站点到站点 VPN 连接”>“本地站点名称”>“本地站点”>“客户端地址空间”。

是否可以配置强制隧道?

是的。 请参阅配置强制隧道

是否可以在 Azure 中设置自己的 VPN 服务器,并使用它连接到本地网络?

是。可以在 Azure 中部署自己的 VPN 网关或服务器,可以从 Azure 应用商店部署,也可以通过创建自己的 VPN 路由器部署。 需要在虚拟网络中配置用户定义的路由,确保流量在本地网络和虚拟网络子网之间正确路由。

我的 VPN 网关上的某些端口为何处于打开状态?

这些端口是进行 Azure 基础结构通信所必需的。 它们受 Azure 证书的保护(处于锁定状态)。 如果没有适当的证书,外部实体(包括这些网关的客户)将无法对这些终结点施加任何影响。

VPN 网关基本上是一个多宿主设备,其中一个 NIC 进入客户专用网络,另一个 NIC 面向公共网络。 因合规性原因,Azure 基础结构实体无法进入客户专用网络,因此需利用公共终结点进行基础结构通信。 Azure 安全审核会定期扫描公共终结点。

有关网关类型、要求和吞吐量的详细信息

有关详细信息,请参阅关于 VPN 网关配置设置

站点到站点连接和 VPN 设备

选择 VPN 设备时应考虑什么?

我们在与设备供应商合作的过程中验证了一系列的标准站点到站点 VPN 设备。 可在关于 VPN 设备一文中找到已知兼容的 VPN 设备及其相应的配置说明/示例和设备规范的列表。 设备系列中列为已知兼容设备的所有设备都应适用于虚拟网络。 若要获取配置 VPN 设备的帮助,请参考对应于相应设备系列的设备配置示例或链接。

在哪里可以找到 VPN 设备配置设置?

下载 VPN 设备配置脚本:

根据所用的 VPN 设备,有时可以下载 VPN 设备配置脚本。 有关详细信息,请参阅下载 VPN 设备配置脚本

参阅以下链接了解其他配置信息:

如何编辑 VPN 设备配置示例?

若要了解如何编辑设备配置示例,请参阅编辑示例

在何处查找 IPsec 和 IKE 参数?

对于 IPsec/IKE 参数,请参阅参数

在流量处于空闲状态时,为何我的基于策略的 VPN 隧道会关闭?

对于基于策略(也称为静态路由)的 VPN 网关来说,这是预期的行为。 当经过隧道的流量处于空闲状态 5 分钟以上时,将销毁该隧道。 当流量朝任一方向开始流动时,该隧道将立刻重新建立。

我可以使用软件 VPN 连接到 Azure 吗?

我们支持将 Windows Server 2012 路由和远程访问 (RRAS) 服务器用于站点到站点跨界配置。

其他软件 VPN 解决方案只要遵循行业标准 IPsec 实现,就会与我们的网关兼容。 有关配置和支持说明,请与该软件的供应商联系。

点到站点 - 本机 Azure 证书身份验证

本部分适用于资源管理器部署模型。

点到站点连接可以用于哪些客户端操作系统?

支持以下客户端操作系统:

  • Windows 7(32 位和 64 位)
  • Windows Server 2008 R2(仅 64 位)
  • Windows 8(32 位和 64 位)
  • Windows 8.1(32 位和 64 位)
  • Windows Server 2012(仅 64 位)
  • Windows Server 2012 R2(仅 64 位)
  • Windows Server 2016(仅 64 位)
  • Windows 10
  • 适用于 Mac 的 OSX 版本 10.11 (El Capitan)
  • 适用于 Mac 的 macOS 版本 10.12 (Sierra)

在我的点到站点配置中,可以有多少 VPN 客户端终结点?

我们最多支持 128 个 VPN 客户端可同时连接到一个虚拟网络。

是否可以使用点到站点功能穿越代理和防火墙?

Azure 支持两种类型的点到站点 VPN 选项:

  • 安全套接字隧道协议 (SSTP)。 SSTP 是 Microsoft 专有的基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的 TCP 端口。

  • IKEv2 VPN。 IKEv2 VPN 是一个基于标准的 IPsec VPN 解决方案,它使用 UDP 端口 500 和 4500 以及 IP 协议号 50。 防火墙并非始终打开这些端口,因此,IKEv2 VPN 有可能无法穿过代理和防火墙。

如果重新启动进行过点到站点配置的客户端计算机,是否会自动重新连接 VPN?

默认情况下,客户端计算机不自动重新建立 VPN 连接。

点到站点在 VPN 客户端上是否支持自动重新连接和 DDNS?

点到站点 VPN 中当前不支持自动重新连接和 DDNS。

对于同一虚拟网络,站点到站点和点到站点配置能否共存?

是的。 对于资源管理器部署模型,必须为网关使用 RouteBased VPN 类型。 对于经典部署模型,需要一个动态网关。 不支持将点到站点配置用于静态路由 VPN 网关或 PolicyBased VPN 网关。

是否可以将点到站点客户端配置为同时连接到多个虚拟网络?

否。 点到站点客户端只能连接到虚拟网络网关所在的 VNet 中的资源。

预计通过站点到站点连接或点到站点连接的吞吐量有多少?

很难维持 VPN 隧道的准确吞吐量。 IPsec 和 SSTP 是重重加密的 VPN 协议。 本地网络与 Internet 之间的延迟和带宽也限制了吞吐量。 对于仅具有 IKEv2 点到站点 VPN 连接的 VPN 网关,期望可以实现的总吞吐量取决于网关 SKU。 有关吞吐量的详细信息,请参阅网关 SKU

是否可以将任何软件 VPN 客户端用于支持 SSTP 和/或 IKEv2 的点到站点配置?

否。 只能将 Windows 上的本机 VPN 客户端用于 SSTP,只能将 Mac 上的本机 VPN 客户端用于 IKEv2。 请参阅支持的客户端操作系统的列表。

Azure 是否支持使用 Windows 的 IKEv2 VPN?

在 Windows 10 和 Server 2016 上支持 IKEv2。 但是,若要使用 IKEv2,必须在本地安装更新并设置注册表项值。 Windows 10 以前的 OS 版本不受支持,并且只能使用 SSTP。

为运行 IKEv2 准备 Windows 10 或 Server 2016:

  1. 安装更新。

    OS 版本 日期 编号/链接
    Windows Server 2016
    Windows 10 版本 1607
    2018 年 1 月 17 日 KB4057142
    Windows 10 版本 1703 2018 年 1 月 17 日 KB4057144
  2. 设置注册表项值。 在注册表中创建“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload”REG_DWORD 键或将其设置为 1。

为 P2S VPN 连接配置 SSTP 和 IKEv2 时,会发生什么情况?

在混合环境(包括 Windows 和 Mac 设备)中同时配置了 SSTP 和 IKEv2 时,Windows VPN 客户端始终将先尝试使用 IKEv2 隧道,但如果 IKEv2 连接不成功将回退到 SSTP。 MacOSX 将仅通过 IKEv2 进行连接。

除了 Windows 和 Mac 以外,Azure 还支持在其他哪些平台上使用 P2S VPN?

Azure 仅支持在 Windows 和 Mac 上使用 P2S VPN。

我已部署 Azure VPN 网关。 是否可在该网关上启用 RADIUS 和/或 IKEv2 VPN?

是的,可以使用 Powershell 或 Azure 门户在已部署的网关上启用这些新功能,前提是所用网关 SKU 支持 RADIUS 和/或 IKEv2。 例如,VPN 网关基本 SKU 不支持 RADIUS 或 IKEv2。

是否可以将我自己的内部 PKI 根 CA 用于点到站点连接?

是。 以前只可使用自签名根证书。 仍可上传 20 个根证书。

可以使用哪些工具来创建证书?

可以使用企业 PKI 解决方案(内部 PKI)、Azure PowerShell、MakeCert 和 OpenSSL。

是否有证书设置和参数的说明?

  • 内部 PKI/企业 PKI 解决方案:请参阅生成证书的步骤。

  • Azure PowerShell:请参阅 Azure PowerShell 一文了解相关步骤。

  • MakeCert:请参阅 MakeCert 一文了解相关步骤。

  • OpenSSL:

    • 导出证书时,请务必将根证书转换为 Base64。

    • 对于客户端证书:

      • 创建私钥时,请将长度指定为 4096。
      • 创建证书时,对于 -extensions 参数,指定 usr_cert

点到站点 - RADIUS 身份验证

本部分适用于资源管理器部署模型。

点到站点连接可以用于哪些客户端操作系统?

支持以下客户端操作系统:

  • Windows 7(32 位和 64 位)
  • Windows Server 2008 R2(仅 64 位)
  • Windows 8(32 位和 64 位)
  • Windows 8.1(32 位和 64 位)
  • Windows Server 2012(仅 64 位)
  • Windows Server 2012 R2(仅 64 位)
  • Windows Server 2016(仅 64 位)
  • Windows 10
  • 适用于 Mac 的 OSX 版本 10.11 (El Capitan)
  • 适用于 Mac 的 macOS 版本 10.12 (Sierra)

在我的点到站点配置中,可以有多少 VPN 客户端终结点?

我们最多支持 128 个 VPN 客户端可同时连接到一个虚拟网络。

是否可以使用点到站点功能穿越代理和防火墙?

Azure 支持两种类型的点到站点 VPN 选项:

  • 安全套接字隧道协议 (SSTP)。 SSTP 是 Microsoft 专有的基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的 TCP 端口。

  • IKEv2 VPN。 IKEv2 VPN 是一个基于标准的 IPsec VPN 解决方案,它使用 UDP 端口 500 和 4500 以及 IP 协议号 50。 防火墙并非始终打开这些端口,因此,IKEv2 VPN 有可能无法穿过代理和防火墙。

如果重新启动进行过点到站点配置的客户端计算机,是否会自动重新连接 VPN?

默认情况下,客户端计算机不自动重新建立 VPN 连接。

点到站点在 VPN 客户端上是否支持自动重新连接和 DDNS?

点到站点 VPN 中当前不支持自动重新连接和 DDNS。

对于同一虚拟网络,站点到站点和点到站点配置能否共存?

是的。 对于资源管理器部署模型,必须为网关使用 RouteBased VPN 类型。 对于经典部署模型,需要一个动态网关。 不支持将点到站点配置用于静态路由 VPN 网关或 PolicyBased VPN 网关。

是否可以将点到站点客户端配置为同时连接到多个虚拟网络?

否。 点到站点客户端只能连接到虚拟网络网关所在的 VNet 中的资源。

预计通过站点到站点连接或点到站点连接的吞吐量有多少?

很难维持 VPN 隧道的准确吞吐量。 IPsec 和 SSTP 是重重加密的 VPN 协议。 本地网络与 Internet 之间的延迟和带宽也限制了吞吐量。 对于仅具有 IKEv2 点到站点 VPN 连接的 VPN 网关,期望可以实现的总吞吐量取决于网关 SKU。 有关吞吐量的详细信息,请参阅网关 SKU

是否可以将任何软件 VPN 客户端用于支持 SSTP 和/或 IKEv2 的点到站点配置?

否。 只能将 Windows 上的本机 VPN 客户端用于 SSTP,只能将 Mac 上的本机 VPN 客户端用于 IKEv2。 请参阅支持的客户端操作系统的列表。

Azure 是否支持使用 Windows 的 IKEv2 VPN?

在 Windows 10 和 Server 2016 上支持 IKEv2。 但是,若要使用 IKEv2,必须在本地安装更新并设置注册表项值。 Windows 10 以前的 OS 版本不受支持,并且只能使用 SSTP。

为运行 IKEv2 准备 Windows 10 或 Server 2016:

  1. 安装更新。

    OS 版本 日期 编号/链接
    Windows Server 2016
    Windows 10 版本 1607
    2018 年 1 月 17 日 KB4057142
    Windows 10 版本 1703 2018 年 1 月 17 日 KB4057144
  2. 设置注册表项值。 在注册表中创建“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload”REG_DWORD 键或将其设置为 1。

为 P2S VPN 连接配置 SSTP 和 IKEv2 时,会发生什么情况?

在混合环境(包括 Windows 和 Mac 设备)中同时配置了 SSTP 和 IKEv2 时,Windows VPN 客户端始终将先尝试使用 IKEv2 隧道,但如果 IKEv2 连接不成功将回退到 SSTP。 MacOSX 将仅通过 IKEv2 进行连接。

除了 Windows 和 Mac 以外,Azure 还支持在其他哪些平台上使用 P2S VPN?

Azure 仅支持在 Windows 和 Mac 上使用 P2S VPN。

我已部署 Azure VPN 网关。 是否可在该网关上启用 RADIUS 和/或 IKEv2 VPN?

是的,可以使用 Powershell 或 Azure 门户在已部署的网关上启用这些新功能,前提是所用网关 SKU 支持 RADIUS 和/或 IKEv2。 例如,VPN 网关基本 SKU 不支持 RADIUS 或 IKEv2。

是否所有 Azure VPN 网关 SKU 都支持 RADIUS 身份验证?

VpnGw1、VpnGw2 和 VpnGw3 SKU 支持 RADIUS 身份验证。 如果使用的是旧版 SKU,则标准和高性能 SKU 支持 RADIUS 身份验证。 基本网关 SKU 不支持该身份验证。

经典部署模型是否支持 RADIUS 身份验证?

不可以。 经典部署模型不支持 RADIUS 身份验证。

是否支持第三方 RADIUS 服务器?

是的,支持第三方 RADIUS 服务器。

若要确保 Azure 网关能够访问本地 RADIUS 服务器,对连接有何要求?

需要具有到本地站点的 VPN 站点到站点连接,并且需要配置正确的路由。

是否可以通过 ExpressRoute 连接来传送(从 Azure VPN 网关)流向本地 RADIUS 服务器的流量?

不可以。 它只能通过站点到站点连接进行传送。

RADIUS 身份验证支持的 SSTP 连接数是否有变化? 支持的最大 SSTP 和 IKEv2 连接数是多少?

RADIUS 身份验证在网关上支持的最大 SSTP 连接数没有变化。 它保持为 128。 不管网关是针对 SSTP、IKEv2 还是针对两者配置的,支持的最大连接数都是 128。

使用 RADIUS 服务器执行证书身份验证与使用 Azure 本机证书身份验证执行身份验证(通过将受信任的证书上传到 Azure)之间有何区别?

在 RADIUS 证书身份验证中,身份验证请求被转发到处理实际证书验证的 RADIUS 服务器。 如果希望通过 RADIUS 与已有的证书身份验证基础结构进行集成,则此选项非常有用。

使用 Azure 进行证书身份验证时,由 Azure VPN 网关执行证书验证。 需要将证书公钥上传到网关。 还可以指定不允许进行连接的已吊销证书的列表。

RADIUS 身份验证是否同时适用于 IKEv2 和 SSTP VPN?

是的,IKEv2 和 SSTP VPN 都支持 RADIUS 身份验证。

VNet 到 VNet 和多站点连接

VNet 到 VNet 连接常见问题解答适用于 VPN 网关连接。 若要了解 VNet 对等互连,请参阅虚拟网络对等互连

Azure 会对 VNet 之间的流量收费吗?

当使用 VPN 网关连接时,同一区域中的 VNet 到 VNet 流量双向均免费。 跨区域 VNet 到 VNet 出口流量根据源区域的出站 VNet 间数据传输费率收费。 有关详细信息,请参阅 VPN 网关定价页。 如果使用 VNet 对等互连而非 VPN 网关连接 VNet,请参阅虚拟网络定价页

VNet 到 VNet 流量是否会通过 Internet?

否。 VNet 到 VNet 流量会流经 Azure 主干,而非 Internet。

VNet 到 VNet 流量是否安全?

是,它通过 IPsec/IKE 加密进行保护。

是否需要使用 VPN 设备将 VNet 连接在一起?

否。 将多个 Azure 虚拟网络连接在一起不需要 VPN 设备,除非需要跨界连接。

VNet 是否需要处于同一区域?

否。 虚拟网络可以在相同或不同的 Azure 区域(位置)中。

如果 VNet 不在同一订阅中,订阅是否需要与相同的 AD 租户相关联?

不可以。

能否在单独的 Azure 实例中使用 VNet 到 VNet 通信来连接虚拟网络?

不可以。 VNet 到 VNet 通信支持在同一 Azure 实例中连接虚拟网络。 例如,不能在公共 Azure 和中国/德国/美国政府 Azure 实例之间创建连接。 对于上述情形,可考虑使用站点到站点 VPN 连接。

能否将 VNet 到 VNet 连接与多站点连接一起使用?

是的。 虚拟网络连接可与多站点 VPN 同时使用。

一个虚拟网络可以连接到多少个本地站点和虚拟网络?

请参阅网关要求表。

是否可以使用 VNet 到 VNet 连接 VNet 外的 VM 或云服务?

否。 VNet 到 VNet 支持连接虚拟网络。 它不支持连接不在虚拟网络中的虚拟机或云服务。

云服务或负载均衡终结点可否跨 VNet?

否。 云服务或负载均衡终结点不能跨虚拟网络,即使它们连接在一起,也是如此。

是否可以为 VNet 到 VNet 或多站点连接使用 PolicyBased VPN 类型?

否。 VNet 到 VNet 连接和多站点连接需要 RouteBased(以前称为动态路由)VPN 类型的 Azure VPN 网关。

是否可以将 RouteBased VPN 类型的 VNet 连接到另一个 PolicyBased VPN 类型的 VNet?

否,两台虚拟网络都必须使用基于路由(以前称为动态路由)的 VPN。

VPN 隧道是否共享带宽?

是的。 虚拟网络的所有 VPN 隧道共享 Azure VPN 网关上的可用带宽,以及 Azure 中的相同 VPN 网关运行时间 SLA。

是否支持冗余隧道?

将一个虚拟网络网关配置为主动-主动模式时,支持在一对虚拟网络之间设置冗余隧道。

VNet 到 VNet 配置是否可以有重叠的地址空间?

否。 不能有重叠的 IP 地址范围。

连接的虚拟网络与内部本地站点之间是否可以有重叠的地址空间?

否。 不能有重叠的 IP 地址范围。

能否使用 Azure VPN 网关在我的本地站点之间传输流量或将流量传输到其他虚拟网络?

Resource Manager 部署模型
是的。 有关详细信息,请参阅 BGP 部分。

经典部署模型
使用经典部署模型通过 Azure VPN 网关传输流量是可行的,但依赖于网络配置文件中静态定义的地址空间。 使用经典部署模型的 Azure 虚拟网络和 VPN 网关尚不支持 BGP。 没有 BGP,手动定义传输地址空间很容易出错,不建议这样做。

Azure 会为同一虚拟网络的所有 VPN 连接生成同一 IPsec/IKE 预共享密钥吗?

否,默认情况下,Azure 会为不同 VPN 连接生成不同的预共享密钥。 但是,可以使用设置 VPN 网关密钥 REST API 或 PowerShell cmdlet 设置你想要的密钥值。 该密钥必须是长度介于 1 到 128 个字符之间的字母数字字符串。

使用更多站点到站点 VPN 是否会比为单个虚拟网络获取更多带宽?

否,所有 VPN 隧道(包括点到站点 VPN)共享同一 Azure VPN 网关和可用带宽。

是否可以使用多站点 VPN 在我的虚拟网络和本地站点之间配置多个隧道?

是,但必须在两个通向同一位置的隧道上配置 BGP。

能否将点到站点 VPN 用于具有多个 VPN 隧道的虚拟网络?

能,可以将点到站点 (P2S) VPN 用于连接到多个本地站点的 VPN 网关和其他虚拟网络。

能否将使用 IPsec VPN 的虚拟网络连接到我的 ExpressRoute 线路?

是,系统支持该操作。 有关详细信息,请参阅 配置可共存的 ExpressRoute 连接和站点到站点 VPN 连接

IPsec/IKE 策略

是否所有 Azure VPN 网关 SKU 都支持自定义 IPsec/IKE 策略?

自定义 IPsec/IKE 策略在 Azure VpnGw1、VpnGw2、VpnGw3、标准 VPN 网关和高性能 VPN 网关上受支持。 不支持基本 SKU。

在一个连接上可以指定多少个策略?

一个给定的连接只能指定一个策略组合。

能否在一个连接上指定部分策略? (例如,仅指定 IKE 算法,不指定 IPsec)

否,必须指定 IKE(主模式)和 IPsec(快速模式)的所有算法和参数。 不允许指定部分策略。

自定义策略中支持的算法和密钥强度有哪些?

下表列出了支持的加密算法和密钥强度,客户可自行配置。 必须为每个字段选择一个选项。

IPsec/IKEv2 选项
IKEv2 加密 AES256、AES192、AES128、DES3、DES
IKEv2 完整性 SHA384、SHA256、SHA1、MD5
DH 组 DHGroup24、ECP384、ECP256、DHGroup14 (DHGroup2048)、DHGroup2、DHGroup1、无
IPsec 加密 GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、无
IPsec 完整性 GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5
PFS 组 PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、无
QM SA 生存期 秒(整数;至少为 300 秒/默认为 27000 秒)
KB(整数;至少为 1024 KB/默认为 102400000 KB)
流量选择器 UsePolicyBasedTrafficSelectors ($True/$False; default $False)

Important

  1. 在 IKE 和 IPsec PFS 中,DHGroup2048 和 PFS2048 与 Diffie-Hellman 组 14 相同。 如需完整的映射,请参阅 Diffie-Hellman 组
  2. 对于 GCMAES 算法,必须为 IPsec 加密和完整性指定相同的 GCMAES 算法和密钥长度。
  3. 在 Azure VPN 网关上,IKEv2 主模式 SA 生存期固定为 28,800 秒
  4. QM SA 生存期是可选参数。 如果未指定,则使用默认值 27,000 秒(7.5 小时)和 102400000 KB (102GB)。
  5. UsePolicyBasedTrafficSelector 是连接的可选参数。 请参阅下一针对“UsePolicyBasedTrafficSelectors”的常见问题解答项

Azure VPN 网关策略与本地 VPN 设备配置是否需完全匹配?

本地 VPN 设备配置必须匹配,或者必须包含可在 Azure IPsec/IKE 策略中指定的以下算法和参数:

  • IKE 加密算法
  • IKE 完整性算法
  • DH 组
  • IPsec 加密算法
  • IPsec 完整性算法
  • PFS 组
  • 流量选择器 (*)

SA 生存期是本地规范,不需匹配。

如果启用 UsePolicyBasedTrafficSelectors,则需确保对于本地网络(本地网关)前缀与 Azure 虚拟网络前缀的所有组合,VPN 设备都定义了与之匹配的流量选择器(而不是任意到任意)。 例如,如果本地网络前缀为 10.1.0.0/16 和 10.2.0.0/16,虚拟网络前缀为 192.168.0.0/16 和 172.16.0.0/16,则需指定以下流量选择器:

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

有关详细信息,请参阅连接多个基于策略的本地 VPN 设备

支持哪些 Diffie-Hellman 组?

下表列出了支持的 Diffie-Hellman 组,分别针对 IKE (DHGroup) 和 IPsec (PFSGroup):

Diffie-Hellman 组 DHGroup PFSGroup 密钥长度
1 DHGroup1 PFS1 768 位 MODP
2 DHGroup2 PFS2 1024 位 MODP
14 DHGroup14
DHGroup2048
PFS2048 2048 位 MODP
19 ECP256 ECP256 256 位 ECP
20 ECP384 ECP284 384 位 ECP
24 DHGroup24 PFS24 2048 位 MODP

有关详细信息,请参阅 RFC3526RFC5114

自定义策略是否会替换 Azure VPN 网关的默认 IPsec/IKE 策略集?

是的。一旦在连接上指定自定义策略,Azure VPN 网关就会只使用该连接的策略,既充当 IKE 发起方,又充当 IKE 响应方。

如果删除自定义 IPsec/IKE 策略,连接是否会变得不受保护?

否。连接仍受 IPsec/IKE 保护。 从连接中删除自定义策略以后,Azure VPN 网关会还原为默认的 IPsec/IKE 提议列表,并再次重启与本地 VPN 设备的 IKE 握手。

添加或更新 IPsec/IKE 策略是否会中断 VPN 连接?

是的。那样会导致短时中断(数秒),因为 Azure VPN 网关会断开现有连接并重启 IKE 握手,以便使用新的加密算法和参数重建 IPsec 隧道。 请确保也使用匹配的算法和密钥强度对本地 VPN 设备进行配置,尽量减少中断。

是否可以在不同的连接上使用不同的策略?

是的。 自定义策略是在单个连接的基础上应用的。 可以在不同的连接上创建并应用不同的 IPsec/IKE 策略。 也可选择在连接子集上应用自定义策略。 剩余连接使用 Azure 默认 IPsec/IKE 策略集。

是否也可在 VNet 到 VNet 连接上使用自定义策略?

是的。可以在 IPsec 跨界连接或 VNet 到 VNet 连接上应用自定义策略。

是否需在两个 VNet 到 VNet 连接资源上指定同一策略?

是的。 VNet 到 VNet 隧道包含 Azure 中的两个连接资源,一个方向一个资源。 请确保两个连接资源的策略相同,否则无法建立 VNet 到 VNet 连接。

能否在 ExpressRoute 连接上使用自定义 IPsec/IKE 策略?

不可以。 只能通过 Azure VPN 网关在 S2S VPN 和 VNet 到 VNet 连接上使用 IPsec/IKE 策略。

BGP

BGP 是否在所有 Azure VPN 网关 SKU 上受支持?

否,BGP 在 Azure VpnGw1VpnGw2VpnGw3、标准 VPN 网关和高性能 VPN 网关上受支持。 基本 SKU。

能否将 BGP 用于 Azure 基于策略的 VPN 网关?

否,只有基于路由的 VPN 网关支持 BGP。

能否使用专用 ASN(自治系统编号)?

能,可以将自己的公共 ASN 或专用 ASN 同时用于本地网络和 Azure 虚拟网络。

是否存在由 Azure 保留的 ASN?

是,Azure 保留了以下 ASN 用于内部和外部的对等互连:

  • 公用 ASN:8074、8075、12076
  • 专用 ASN:65515、65517、65518、65519、65520

连接到 Azure VPN 网关时,不能为本地 VPN 设备指定这些 ASN。

是否有任何其他我不能使用的 ASN?

是的。以下 ASN 是 IANA 保留的,不能在 Azure VPN 网关上配置:

23456、64496-64511、65535-65551 和 429496729

能否将同一个 ASN 同时用于本地 VPN 网络和 Azure VNet?

否,必须在本地网络和 Azure VNet 之间分配不同 ASN(如果要使用 BGP 将它们连接在一起)。 无论是否为跨界连接启用了 BGP,都会为 Azure VPN 网关分配默认 ASN(即 65515)。 可以通过在创建 VPN 网关时分配不同 ASN,或者在创建网关后更改 ASN 来覆盖此默认值。 需要将本地 ASN 分配给相应的 Azure 本地网关。

Azure VPN 网关将播发给我哪些地址前缀?

Azure VPN 网关会将以下路由播发到本地 BGP 设备:

  • VNet 地址前缀
  • 已连接到 Azure VPN 网关的每个本地网关的地址前缀
  • 从连接到 Azure VPN 网关的其他 BGP 对等会话获知的路由, 默认路由或与任何 VNet 前缀重叠的路由除外

能否将默认路由 (0.0.0.0/0) 播发给 Azure VPN 网关?

是的。

请注意,这样会强制所有的 VNet 出口流量流向本地站点,并且会阻止 VNet VM 接受直接来自 Internet 的公共通信,例如从 Internet 发往 VM 的 RDP 或 SSH。

能否播发与虚拟网络前缀完全相同的前缀?

不能,Azure 平台会阻止播发与任一虚拟网络地址前缀相同的前缀或对其进行筛选。 但是,可播发属于虚拟网络内所拥有内容超集的前缀。

例如,如果虚拟网络可使用地址空间 10.0.0.0/16,则可以播发 10.0.0.0/8, 但不能播发 10.0.0.0/16 或 10.0.0.0/24。

能否将 BGP 用于 VNet 到 VNet 连接?

能,可以将 BGP 同时用于跨界连接和 VNet 到 VNet 连接。

能否将 BGP 连接与非 BGP 连接混合用于 Azure VPN 网关?

能,可以将 BGP 连接和非 BGP 连接混合用于同一 Azure VPN 网关。

Azure VPN 网关是否支持 BGP 传输路由?

是,支持 BGP 传输路由,但例外是 Azure VPN 网关 会将默认路由播发到其他 BGP 对等节点。 若要启用跨多个 Azure VPN 网关的传输路由,必须在所有中间 VNet 到 VNet 连接上启用 BGP。

在 Azure VPN 网关和我的本地网络之间能否有多个隧道?

能,可以在 Azure VPN 网关和本地网络之间建立多个 S2S VPN 隧道。 请注意,所有这些隧道都会计入 Azure VPN 网关的隧道总数,而且必须在两个隧道上启用 BGP。

例如,如果在 Azure VPN 网关与一个本地网络之间有两个冗余隧道,它们会占用 Azure VPN 网关的总配额(标准为 10 个,高性能为 30 个)中的 2 个隧道。

在两个使用 BGP 的 Azure VNet 之间能否有多个隧道?

是,但其中至少一个虚拟网络网关必须采用主动-主动配置。

能否在 ExpressRoute/S2S VPN 共存配置中对 S2S VPN 使用 BGP?

是的。

Azure VPN 网关将哪个地址用于 BGP 对等节点 IP?

Azure VPN 网关将从为虚拟网络定义的 GatewaySubnet 范围内分配单个 IP 地址。 默认情况下,它是该范围的倒数第二个地址。 例如,如果 GatewaySubnet 是 10.12.255.0/27(范围从 10.12.255.0 到 10.12.255.31),则 Azure VPN 网关上的 BGP 对等 IP 地址是 10.12.255.30。 当列出 Azure VPN 网关信息时,可以找到此信息。

VPN 设备上的 BGP 对等节点 IP 地址的要求是什么?

本地 BGP 对等节点地址 不能 与 VPN 设备的公共 IP 地址相同。 在 VPN 设备上对 BGP 对等节点 IP 使用不同的 IP 地址。 它可以是分配给该设备上环回接口的地址。 在表示该位置的相应本地网关中指定此地址。

使用 BGP 时应将什么指定为本地网关的地址前缀?

Azure 本地网关为本地网络指定初始地址前缀。 使用 BGP 时,必须分配 BGP 对等节点 IP 地址的主机前缀(/32 前缀)作为本地网络的地址空间。 如果 BGP 对等节点 IP 为 10.52.255.254,则应指定“10.52.255.254/32”作为表示此本地网络的本地网关的 localNetworkAddressSpace。 这是为了确保 Azure VPN 网关通过 S2S VPN 隧道建立 BGP 会话。

应为 BGP 对等会话添加到本地 VPN 设备什么内容?

应在指向 IPsec S2S VPN 隧道的 VPN 设备上添加 Azure BGP 对等节点 IP 地址的主机路由。 例如,如果 Azure VPN 对等节点 IP 为“10.12.255.30”,则应在 VPN 设备上添加“10.12.255.30”的主机路由(包含匹配的 IPsec 隧道接口的下一跃点接口)。

跨界连接和 VM

如果虚拟机位于虚拟网络中,而连接是跨界连接,应如何连接到该 VM?

有几个选择。 如果为 VM 启用了 RDP,则可使用专用 IP 地址连接到虚拟机。 在这种情况下,需要指定要连接到的专用 IP 地址和端口(通常为 3389)。 需要配置用于流量的虚拟机端口。

也可以使用位于同一虚拟网络中的另一个虚拟机的专用 IP 地址连接到虚拟机。 如果要从虚拟网络外部的位置进行连接,则无法使用专用 IP 地址 RDP 到虚拟机。 例如,如果配置了点到站点虚拟网络,并且未从计算机建立连接,则无法通过专用 IP 地址连接到虚拟机。

如果我的虚拟机位于使用跨界连接的虚拟网络中,从我的 VM 流出的所有流量是否都会经过该连接?

否。 只有其目标 IP 包含在指定虚拟网络本地网络 IP 地址范围内的流量才会通过虚拟网络网关。 其目标 IP 位于虚拟网络中的流量保留在虚拟网络中。 其他流量通过负载均衡器发送到公共网络,或者在使用强制隧道的情况下通过 Azure VPN 网关发送。

如何排查到 VM 的 RDP 连接的问题

如果无法通过 VPN 连接连接到虚拟机,请查看以下项目:

  • 验证 VPN 连接是否成功。
  • 验证是否已连接到 VM 的专用 IP 地址。
  • 如果可以使用专用 IP 地址连接到 VM,但不能使用计算机名称进行连接,则请验证是否已正确配置 DNS。 若要详细了解如何对 VM 进行名称解析,请参阅针对 VM 的名称解析

通过点到站点进行连接时,请检查下述其他项:

  • 使用“ipconfig”检查分配给以太网适配器的 IPv4 地址,该适配器所在的计算机正是要从其进行连接的计算机。 如果该 IP 地址位于你要连接到的 VNet 的地址范围内,或者位于 VPNClientAddressPool 的地址范围内,则称为地址空间重叠。 当地址空间以这种方式重叠时,网络流量不会抵达 Azure,而是呆在本地网络中。
  • 验证是否在为 VNet 指定 DNS 服务器 IP 地址之后,才生成 VPN 客户端配置包。 如果更新了 DNS 服务器 IP 地址,请生成并安装新的 VPN 客户端配置包。

若要详细了解如何排查 RDP 连接问题,请参阅排查到 VM 的远程桌面连接问题

虚拟网络常见问题解答

请在 虚拟网络常见问题中查看更多虚拟网络信息。

后续步骤