VPN 网关常见问题

连接到虚拟网络

是否可以连接不同 Azure 区域中的虚拟网络?

是的。 事实上,没有任何区域约束。 一个虚拟网络可以连接到同一区域中的其他虚拟网络,也可以连接到其他 Azure 区域中的其他虚拟网络。

是否可以连接不同订阅中的虚拟网络?

是的。

配置 VPN 网关时,我能否在 VNet 中指定专用的 DNS 服务器?

如果你在创建 VNet 时指定了一个或多个 DNS 服务器,VPN 网关将使用你指定的 DNS 服务器。 如果指定 DNS 服务器,请验证 DNS 服务器是否可解析 Azure 所需的域名。

是否可以从一个虚拟网络连接到多个站点?

可以使用 Windows PowerShell 和 Azure REST API 连接到多个站点。 请参阅 多站点与 VNet 到 VNet 连接 的“常见问题”部分。

将 VPN 网关设置为“主动-主动”是否需要额外费用?

否。

我的跨界连接选项有哪些?

支持以下跨界连接:

  • 站点到站点 - 基于 IPsec(IKE v1 和 IKE v2)的 VPN 连接。 此类型的连接需要 VPN 设备或 RRAS。 有关详细信息,请参阅站点到站点
  • 点到站点 - 基于 SSTP(安全套接字隧道协议)或 IKE v2 的 VPN 连接。 此连接不需要 VPN 设备。 有关详细信息,请参阅点到站点
  • VNet 到 VNet - 这种连接类型与站点到站点配置相同。 VNet 到 VNet 是一种基于 IPsec(IKE v1 和 IKE v2)的 VPN 连接。 它不需要 VPN 设备。 有关详细信息,请参阅 VNet 到 VNet
  • 多站点 - 这是站点到站点配置的变体,可将多个本地站点连接到虚拟网络。 有关详细信息,请参阅多站点
  • ExpressRoute - ExpressRoute 是从 WAN 到 Azure 的专用连接,不是通过公共 Internet 的 VPN 连接。 有关详细信息,请参阅 ExpressRoute 技术概述ExpressRoute 常见问题

有关 VPN 网关连接的详细信息,请参阅关于 VPN 网关

站点到站点连接和点到站点连接的区别是什么?

站点到站点(IPsec/IKE VPN 隧道)配置是指本地位置与 Azure 之间的配置。 这意味着,可以将任何本地计算机连接到虚拟网络中的任何虚拟机或角色实例,具体取决于如何选择路由和权限的配置。 它对于需要始终可用的跨界连接来说是一个极佳的选项,很适合混合配置。 此类连接依赖于 IPsec VPN 设备(硬件设备或软件设备),该设备必须部署在网络边缘。 若要创建此类连接,必须具有面向外部的 IPv4 地址。

点到站点(基于 SSTP 的 VPN)配置允许从任何位置的单台计算机连接到虚拟网络中的任何内容。 它使用 Windows 内置的 VPN 客户端。 在进行点到站点配置时,需要安装证书和 VPN 客户端配置包,其中包含的设置允许计算机连接到虚拟网络中的任何虚拟机或角色实例。 此连接适用于需要连接到虚拟网络但该虚拟网络不在本地的情况。 无法访问 VPN 硬件或面向外部的 IPv4 地址(二者是进行站点到站点连接所必需的)时,它也是一个很好的选项。

可以将虚拟网络配置为同时使用站点到站点连接和点到站点连接,前提是使用基于路由的 VPN 类型为网关创建站点到站点连接。 在经典部署模型中,基于路由的 VPN 类型称为动态网关。

隐私

VPN 服务是否存储或处理客户数据?

不是。

虚拟网关

VPN 网关是否为虚拟网络网关?

VPN 网关是一种虚拟网络网关。 VPN 网关通过公共连接在虚拟网络和本地位置之间发送加密流量。 还可使用 VPN 网关在虚拟网络之间发送流量。 创建 VPN 网关时,指定“GatewayType”的值为“Vpn”。 有关详细信息,请参阅关于 VPN 网关配置设置

什么是基于策略的(静态路由)网关?

基于策略的网关实施基于策略的 VPN。 基于策略的 VPN 会根据本地网络和 Azure VNet 之间的地址前缀的各种组合,加密数据包并引导其通过 IPsec 隧道。 通常会在 VPN 配置中将策略(或流量选择器)定义为访问列表。

什么是基于路由的(动态路由)网关?

基于路由的网关可实施基于路由的 VPN。 基于路由的 VPN 使用 IP 转发或路由表中的“路由”将数据包定向到相应的隧道接口中。 然后,隧道接口会加密或解密出入隧道的数据包。 基于路由的 VPN 的策略或流量选择器配置为任意到任意(或通配符)。

能否指定自己的基于策略的流量选择器?

是的,可以通过 New-AzIpsecTrafficSelectorPolicy PowerShell 命令,通过连接上的 trafficSelectorPolicies 属性来定义流量选择器。 要使指定的流量选择器生效,请确保已启用使用基于策略的流量选择器选项。

能否将基于策略的 VPN 网关更新为基于路由?

否。 不能将网关类型从基于策略更改为基于路由,也不能从基于路由更改为基于策略。 若要更改网关类型,必须删除再新创建网关。 此过程大约需要 60 分钟。 创建新网关时,不能保留原始网关的 IP 地址。

  1. 删除与该网关相关联的所有。

  2. 请按照下列文章之一删除网关:

  3. 使用所需的网关类型创建新网关,然后完成 VPN 设置。 有关步骤,请参阅站点到站点教程

是否需要“GatewaySubnet”?

是的。 网关子网包含虚拟网络网关服务使用的 IP 地址。 若要配置虚拟网关,需要先为 VNet 创建网关子网。 所有网关子网都必须命名为“GatewaySubnet”才能正常工作。 不要对网关子网使用其他名称。 此外,不要在网关子网中部署 VM 或其他组件。

创建网关子网时,需指定子网包含的 IP 地址数。 网关子网中的 IP 地址分配到网关服务。 某些配置需要多个 IP 地址,并将其分配到网关服务而不是执行其他操作。 需确保网关子网包含足够的 IP 地址,以适应未来的增长和可能的其他新连接配置。 因此,尽管网关子网最小可创建为 /29,但建议创建 /27 或更大(/27、/26 和 /25 等)的网关子网。 查看要创建的配置的要求,并验证所拥有的网关子网是否可满足这些要求。

是否可以将虚拟机或角色实例部署到网关子网?

否。

是否可以先获得 VPN 网关 IP 地址,再创建网关?

否。 必须先创建网关,才能获得 IP 地址。 如果先删除再重新创建 VPN 网关,IP 地址会更改。

能否为 VPN 网关请求静态公共 IP 地址?

否。 仅支持动态 IP 地址分配。 但这并不意味着 IP 地址在分配到 VPN 网关后会更改。 VPN 网关 IP 地址只在删除并重新创建网关时更改。 当重设大小、重置或完成其他 VPN 网关内部维护和升级时,VPN 网关公共 IP 地址不会更改。

VPN 隧道如何进行身份验证?

Azure VPN 使用 PSK(预共享密钥)身份验证。 我们在创建 VPN 隧道时生成一个预共享密钥 (PSK)。 可使用“设置预共享密钥”PowerShell cmdlet 或 REST API 将自动生成的 PSK 更改为你自己的 PSK。

是否可以使用“设置预共享密钥 API”配置基于策略的(静态路由)网关 VPN?

可以,“设置预共享密钥 API”和 PowerShell cmdlet 可用于配置基于 Azure Policy 的(静态)VPN 和基于路由的(动态)路由 VPN。

是否可以使用其他身份验证选项?

我们只能使用预共享密钥 (PSK) 进行身份验证。

如何指定通过 VPN 网关的流量?

Resource Manager 部署模型

  • PowerShell:使用“AddressPrefix”指定本地网络网关的流量。
  • Azure 门户:导航到“本地网关”>“配置”>“地址空间”。

经典部署模型

  • Azure 门户:导航到“经典虚拟网络”>“VPN 连接”>“站点到站点 VPN 连接”>“本地站点名称”>“本地站点”>“客户端地址空间”。

可在 VPN 连接上使用 NAT-T 吗?

可以,支持 NAT 遍历 (NAT-T)。 Azure VPN 网关将不在指向/来自 IPsec 隧道的内部数据包上执行任何类似 NAT 的功能。 在此配置中,请确保本地设备启动 IPSec 隧道。

是否可以在 Azure 中设置自己的 VPN 服务器,并使用它连接到本地网络?

能。可以在 Azure 中部署自己的 VPN 网关或服务器,可以从 Azure 市场部署,也可以通过创建自己的 VPN 路由器来部署。 需要在虚拟网络中配置用户定义的路由,确保流量在本地网络和虚拟网络子网之间正确路由。

我的虚拟网络网关上的某些端口为何处于打开状态?

这些端口是进行 Azure 基础结构通信所必需的。 它们受 Azure 证书的保护(处于锁定状态)。 如果没有适当的证书,外部实体(包括这些网关的客户)无法对这些终结点施加任何影响。

虚拟网络网关基本上是一个多宿主设备,其中一个 NIC 进入客户专用网络,另一个 NIC 面向公共网络。 因合规性原因,Azure 基础结构实体无法进入客户专用网络,因此需利用公共终结点进行基础结构通信。 Azure 安全审核会定期扫描公共终结点。

有关网关类型、要求和吞吐量的详细信息

有关详细信息,请参阅关于 VPN 网关配置设置

站点到站点连接和 VPN 设备

选择 VPN 设备时应考虑什么?

我们在与设备供应商合作的过程中验证了一系列的标准站点到站点 VPN 设备。 可在关于 VPN 设备一文中找到已知兼容的 VPN 设备及其相应的配置说明/示例和设备规范的列表。 设备系列中列为已知兼容设备的所有设备都应适用于虚拟网络。 若要获取配置 VPN 设备的帮助,请参考对应于相应设备系列的设备配置示例或链接。

在哪里可以找到 VPN 设备配置设置?

下载 VPN 设备配置脚本:

根据所用的 VPN 设备,有时可以下载 VPN 设备配置脚本。 有关详细信息,请参阅下载 VPN 设备配置脚本

参阅以下链接了解其他配置信息:

如何编辑 VPN 设备配置示例?

若要了解如何编辑设备配置示例,请参阅编辑示例

在何处查找 IPsec 和 IKE 参数?

对于 IPsec/IKE 参数,请参阅参数

在流量处于空闲状态时,为何我的基于策略的 VPN 隧道会关闭?

对于基于策略(也称为静态路由)的 VPN 网关来说,这是预期的行为。 当经过隧道的流量处于空闲状态 5 分钟以上时,将销毁该隧道。 流量朝任一方向开始流动时,该隧道立即重建。

我可以使用软件 VPN 连接到 Azure 吗?

我们支持将 Windows Server 2012 路由和远程访问 (RRAS) 服务器用于站点到站点跨界配置。

其他软件 VPN 解决方案只要遵循行业标准 IPsec 实现,就会与我们的网关兼容。 有关配置和支持说明,请与该软件的供应商联系。

点到站点 - 证书身份验证

本部分适用于资源管理器部署模型。

在我的点到站点配置中,可以有多少 VPN 客户端终结点?

这取决于网关 SKU。 有关支持的连接数的详细信息,请参阅网关 SKU

点到站点连接可以用于哪些客户端操作系统?

支持以下客户端操作系统:

  • Windows Server 2008 R2(仅 64 位)
  • Windows 8.1(32 位和 64 位)
  • Windows Server 2012(仅 64 位)
  • Windows Server 2012 R2(仅 64 位)
  • Windows Server 2016(仅 64 位)
  • Windows Server 2019(仅限 64 位)
  • Windows 10
  • macOS 10.11 或更高版本
  • Linux (StrongSwan)
  • iOS

备注

从 2018 年 7 月 1 日开始,Azure VPN 网关将不再支持 TLS 1.0 和 1.1。 VPN 网关将仅支持 TLS 1.2。 若要维持支持,请参阅更新以支持 TLS1.2

此外,TLS 也将于 2018 年 7 月 1 日起弃用以下旧算法:

  • RC4 (Rivest Cipher 4)
  • DES(数据加密算法)
  • 3DES(三重数据加密算法)
  • MD5(消息摘要 5)

如何在 Windows 8.1 中启用对 TLS 1.2 的支持?

  1. 右键单击“命令提示符”并选择“以管理员身份运行”,使用提升的权限打开命令提示符。

  2. 在命令提示符处运行以下命令:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. 安装以下更新:

  4. 重新启动计算机。

  5. 连接到 VPN。

备注

如果运行的是旧版本的 Windows 10 (10240),则必须设置上述注册表项。

能否使用点到站点功能穿越代理和防火墙?

Azure 支持三种类型的点到站点 VPN 选项:

  • 安全套接字隧道协议 (SSTP)。 SSTP 是 Microsoft 专有的基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的出站 TCP 端口。

  • OpenVPN。 OpenVPN 是基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的出站 TCP 端口。

  • IKEv2 VPN。 IKEv2 VPN 是一个基于标准的 IPsec VPN 解决方案,它使用出站 UDP 端口 500 和 4500 以及 IP 协议号。 50。 防火墙并非始终打开这些端口,因此,IKEv2 VPN 有可能无法穿过代理和防火墙。

如果重新启动进行过点到站点配置的客户端计算机,是否会自动重新连接 VPN?

默认情况下,客户端计算机将不自动重新建立 VPN 连接。

点到站点在 VPN 客户端上是否支持自动重新连接和 DDNS?

点到站点 VPN 中当前不支持自动重新连接和 DDNS。

对于同一虚拟网络,站点到站点和点到站点配置能否共存?

是的。 对于资源管理器部署模型,必须为网关使用 RouteBased VPN 类型。 对于经典部署模型,需要一个动态网关。 不支持将点到站点配置用于静态路由 VPN 网关或 PolicyBased VPN 网关。

能否将点到站点客户端配置为同时连接到多个虚拟网络网关?

根据所使用的 VPN 客户端软件,你可能可以连接到多个虚拟网络网关,前提是,要连接到的虚拟网络在它们或客户端要从中进行连接的网络之间不存在冲突的地址空间。 尽管 Azure VPN 客户端支持多个 VPN 连接,但在任何给定时间,都只能建立一个连接。

能否将点到站点客户端配置为同时连接到多个虚拟网络?

可以。到部署在与其他 VNet 对等互连的 VNet 中的虚拟网络网关的点到站点客户端连接可能可以访问其他对等互连 VNet。 只要对等互连 VNet 使用 UseRemoteGateway/AllowGatewayTransit 功能,点到站点客户端就能够连接到这些对等互连 VNet。 有关详细信息,请参阅关于点到站点路由

预计通过站点到站点连接或点到站点连接的吞吐量有多少?

很难维持 VPN 隧道的准确吞吐量。 IPsec 和 SSTP 是重重加密的 VPN 协议。 本地网络与 Internet 之间的延迟和带宽也限制了吞吐量。 对于仅具有 IKEv2 点到站点 VPN 连接的 VPN 网关,期望可以实现的总吞吐量取决于网关 SKU。 有关吞吐量的详细信息,请参阅网关 SKU

是否可以将任何软件 VPN 客户端用于支持 SSTP 和/或 IKEv2 的点到站点配置?

不是。 只能将 Windows 上的本机 VPN 客户端用于 SSTP,只能将 Mac 上的本机 VPN 客户端用于 IKEv2。 但是,可以在所有平台上使用 OpenVPN 客户端,以便通过 OpenVPN 协议进行连接。 请参阅支持的客户端操作系统的列表。

能否更改点到站点连接的身份验证类型?

是的。 在门户中,导航到“VPN 网关 -> 点到站点配置”页。 对于“身份验证类型”,请选择要使用的身份验证类型。 请注意,更改身份验证类型后,当前客户端可能无法连接,直到生成并下载新的 VPN 客户端配置文件,并将其应用于每个 VPN 客户端为止。

Azure 是否支持使用 Windows 的 IKEv2 VPN?

在 Windows 10 和 Server 2016 上支持 IKEv2。 但是,若要在某些 OS 版本中使用 IKEv2,必须在本地安装更新并设置注册表项值。 请注意,Windows 10 以前的 OS 版本不受支持,并且只能使用 SSTP 或 OpenVPN® 协议。

注意:比 Windows 10 版本 1709 和 Windows Server 2016 版本 1607 更新的 Windows OS 内部版本不需要这些步骤。

为运行 IKEv2 准备 Windows 10 或 Server 2016:

  1. 根据 OS 版本安装更新:

    OS 版本 Date 编号/链接
    Windows Server 2016
    Windows 10 版本 1607
    2018 年 1 月 17 日 KB4057142
    Windows 10 版本 1703 2018 年 1 月 17 日 KB4057144
    Windows 10 版本 1709 2018 年 3 月 22 日 KB4089848
  2. 设置注册表项值。 在注册表中创建“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload”REG_DWORD 键或将其设置为 1。

为 P2S VPN 连接配置 SSTP 和 IKEv2 时,会发生什么情况?

在混合环境(包括 Windows 和 Mac 设备)中同时配置了 SSTP 和 IKEv2 时,Windows VPN 客户端始终将先尝试使用 IKEv2 隧道,但如果 IKEv2 连接不成功将回退到 SSTP。 MacOSX 将仅通过 IKEv2 进行连接。

除了 Windows 和 Mac 以外,Azure 还支持在其他哪些平台上使用 P2S VPN?

Azure 支持将 Windows、Mac 和 Linux 用于 P2S VPN。

我已部署 Azure VPN 网关。 是否可在该网关上启用 RADIUS 和/或 IKEv2 VPN?

是的,如果使用的网关 SKU 支持 RADIUS 和/或 IKEv2,则可以在已使用 PowerShell 或 Azure 门户部署的网关上启用这些功能。 请注意,基本 SKU 不支持 RADIUS 或 IKEv2。

如何删除 P2S 连接的配置?

可以通过 Azure CLI 和 PowerShell 使用以下命令删除 P2S 配置:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

如果在使用证书身份验证进行连接时收到指示证书不匹配的消息,我该怎么办?

取消选中“通过验证证书来验证服务器的标识” ,或在手动创建配置文件时 将服务器 FQDN 随证书一起添加。 为此,可以在命令提示符下运行 rasphone,并从下拉列表中选择配置文件。

通常不建议绕过服务器标识验证,但在使用 Azure 证书身份验证的情况下,会在 VPN 隧道协议 (IKEv2/SSTP) 和 EAP 协议中将同一证书用于服务器验证。 由于服务器证书和 FQDN 已通过 VPN 隧道协议进行验证,因此在 EAP 中再次验证同一证书就是多余的。

点到站点身份验证

是否可以使用自己的内部 PKI 根 CA 来生成用于点到站点连接的证书?

是的。 以前只可使用自签名根证书。 仍可上传 20 个根证书。

是否可以使用 Azure 密钥保管库中的证书?

不是。

可以使用哪些工具来创建证书?

可以使用企业 PKI 解决方案(内部 PKI)、Azure PowerShell、MakeCert 和 OpenSSL。

是否有证书设置和参数的说明?

  • 内部 PKI/企业 PKI 解决方案: 请参阅 生成证书的步骤。

  • Azure PowerShell: 请参阅 Azure PowerShell 一文了解相关步骤。

  • MakeCert: 请参阅 MakeCert 一文了解相关步骤。

  • OpenSSL:

    • 导出证书时,请务必将根证书转换为 Base64。

    • 对于客户端证书:

      • 创建私钥时,请将长度指定为 4096。
      • 创建证书时,对于 -extensions 参数,指定 usr_cert

点到站点 - RADIUS 身份验证

本部分适用于资源管理器部署模型。

在我的点到站点配置中,可以有多少 VPN 客户端终结点?

这取决于网关 SKU。 有关支持的连接数的详细信息,请参阅网关 SKU

点到站点连接可以用于哪些客户端操作系统?

支持以下客户端操作系统:

  • Windows Server 2008 R2(仅 64 位)
  • Windows 8.1(32 位和 64 位)
  • Windows Server 2012(仅 64 位)
  • Windows Server 2012 R2(仅 64 位)
  • Windows Server 2016(仅 64 位)
  • Windows Server 2019(仅限 64 位)
  • Windows 10
  • macOS 10.11 或更高版本
  • Linux (StrongSwan)
  • iOS

备注

从 2018 年 7 月 1 日开始,Azure VPN 网关将不再支持 TLS 1.0 和 1.1。 VPN 网关将仅支持 TLS 1.2。 若要维持支持,请参阅更新以支持 TLS1.2

此外,TLS 也将于 2018 年 7 月 1 日起弃用以下旧算法:

  • RC4 (Rivest Cipher 4)
  • DES(数据加密算法)
  • 3DES(三重数据加密算法)
  • MD5(消息摘要 5)

如何在 Windows 8.1 中启用对 TLS 1.2 的支持?

  1. 右键单击“命令提示符”并选择“以管理员身份运行”,使用提升的权限打开命令提示符。

  2. 在命令提示符处运行以下命令:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. 安装以下更新:

  4. 重新启动计算机。

  5. 连接到 VPN。

备注

如果运行的是旧版本的 Windows 10 (10240),则必须设置上述注册表项。

能否使用点到站点功能穿越代理和防火墙?

Azure 支持三种类型的点到站点 VPN 选项:

  • 安全套接字隧道协议 (SSTP)。 SSTP 是 Microsoft 专有的基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的出站 TCP 端口。

  • OpenVPN。 OpenVPN 是基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的出站 TCP 端口。

  • IKEv2 VPN。 IKEv2 VPN 是一个基于标准的 IPsec VPN 解决方案,它使用出站 UDP 端口 500 和 4500 以及 IP 协议号。 50。 防火墙并非始终打开这些端口,因此,IKEv2 VPN 有可能无法穿过代理和防火墙。

如果重新启动进行过点到站点配置的客户端计算机,是否会自动重新连接 VPN?

默认情况下,客户端计算机将不自动重新建立 VPN 连接。

点到站点在 VPN 客户端上是否支持自动重新连接和 DDNS?

点到站点 VPN 中当前不支持自动重新连接和 DDNS。

对于同一虚拟网络,站点到站点和点到站点配置能否共存?

是的。 对于资源管理器部署模型,必须为网关使用 RouteBased VPN 类型。 对于经典部署模型,需要一个动态网关。 不支持将点到站点配置用于静态路由 VPN 网关或 PolicyBased VPN 网关。

能否将点到站点客户端配置为同时连接到多个虚拟网络网关?

根据所使用的 VPN 客户端软件,你可能可以连接到多个虚拟网络网关,前提是,要连接到的虚拟网络在它们或客户端要从中进行连接的网络之间不存在冲突的地址空间。 尽管 Azure VPN 客户端支持多个 VPN 连接,但在任何给定时间,都只能建立一个连接。

能否将点到站点客户端配置为同时连接到多个虚拟网络?

可以。到部署在与其他 VNet 对等互连的 VNet 中的虚拟网络网关的点到站点客户端连接可能可以访问其他对等互连 VNet。 只要对等互连 VNet 使用 UseRemoteGateway/AllowGatewayTransit 功能,点到站点客户端就能够连接到这些对等互连 VNet。 有关详细信息,请参阅关于点到站点路由

预计通过站点到站点连接或点到站点连接的吞吐量有多少?

很难维持 VPN 隧道的准确吞吐量。 IPsec 和 SSTP 是重重加密的 VPN 协议。 本地网络与 Internet 之间的延迟和带宽也限制了吞吐量。 对于仅具有 IKEv2 点到站点 VPN 连接的 VPN 网关,期望可以实现的总吞吐量取决于网关 SKU。 有关吞吐量的详细信息,请参阅网关 SKU

是否可以将任何软件 VPN 客户端用于支持 SSTP 和/或 IKEv2 的点到站点配置?

不是。 只能将 Windows 上的本机 VPN 客户端用于 SSTP,只能将 Mac 上的本机 VPN 客户端用于 IKEv2。 但是,可以在所有平台上使用 OpenVPN 客户端,以便通过 OpenVPN 协议进行连接。 请参阅支持的客户端操作系统的列表。

能否更改点到站点连接的身份验证类型?

是的。 在门户中,导航到“VPN 网关 -> 点到站点配置”页。 对于“身份验证类型”,请选择要使用的身份验证类型。 请注意,更改身份验证类型后,当前客户端可能无法连接,直到生成并下载新的 VPN 客户端配置文件,并将其应用于每个 VPN 客户端为止。

Azure 是否支持使用 Windows 的 IKEv2 VPN?

在 Windows 10 和 Server 2016 上支持 IKEv2。 但是,若要在某些 OS 版本中使用 IKEv2,必须在本地安装更新并设置注册表项值。 请注意,Windows 10 以前的 OS 版本不受支持,并且只能使用 SSTP 或 OpenVPN® 协议。

注意:比 Windows 10 版本 1709 和 Windows Server 2016 版本 1607 更新的 Windows OS 内部版本不需要这些步骤。

为运行 IKEv2 准备 Windows 10 或 Server 2016:

  1. 根据 OS 版本安装更新:

    OS 版本 Date 编号/链接
    Windows Server 2016
    Windows 10 版本 1607
    2018 年 1 月 17 日 KB4057142
    Windows 10 版本 1703 2018 年 1 月 17 日 KB4057144
    Windows 10 版本 1709 2018 年 3 月 22 日 KB4089848
  2. 设置注册表项值。 在注册表中创建“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload”REG_DWORD 键或将其设置为 1。

为 P2S VPN 连接配置 SSTP 和 IKEv2 时,会发生什么情况?

在混合环境(包括 Windows 和 Mac 设备)中同时配置了 SSTP 和 IKEv2 时,Windows VPN 客户端始终将先尝试使用 IKEv2 隧道,但如果 IKEv2 连接不成功将回退到 SSTP。 MacOSX 将仅通过 IKEv2 进行连接。

除了 Windows 和 Mac 以外,Azure 还支持在其他哪些平台上使用 P2S VPN?

Azure 支持将 Windows、Mac 和 Linux 用于 P2S VPN。

我已部署 Azure VPN 网关。 是否可在该网关上启用 RADIUS 和/或 IKEv2 VPN?

是的,如果使用的网关 SKU 支持 RADIUS 和/或 IKEv2,则可以在已使用 PowerShell 或 Azure 门户部署的网关上启用这些功能。 请注意,基本 SKU 不支持 RADIUS 或 IKEv2。

如何删除 P2S 连接的配置?

可以通过 Azure CLI 和 PowerShell 使用以下命令删除 P2S 配置:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

是否所有 Azure VPN 网关 SKU 都支持 RADIUS 身份验证?

VpnGw1、VpnGw2 和 VpnGw3 SKU 支持 RADIUS 身份验证。 如果使用的是旧版 SKU,则标准和高性能 SKU 支持 RADIUS 身份验证。 基本网关 SKU 不支持该身份验证。

经典部署模型是否支持 RADIUS 身份验证?

否。 经典部署模型不支持 RADIUS 身份验证。

是否支持第三方 RADIUS 服务器?

是的,支持第三方 RADIUS 服务器。

若要确保 Azure 网关能够访问本地 RADIUS 服务器,对连接有何要求?

需要具有到本地站点的 VPN 站点到站点连接,并且需要配置正确的路由。

是否可以通过 ExpressRoute 连接来传送(从 Azure VPN 网关)流向本地 RADIUS 服务器的流量?

否。 它只能通过站点到站点连接进行传送。

RADIUS 身份验证支持的 SSTP 连接数是否有变化? 支持的最大 SSTP 和 IKEv2 连接数是多少?

RADIUS 身份验证在网关上支持的最大 SSTP 连接数没有变化。 对于 SSTP,仍然为 128;但对于 IKEv2,则取决于网关 SKU。 有关支持的连接数的详细信息,请参阅网关 SKU

使用 RADIUS 服务器执行证书身份验证与使用 Azure 本机证书身份验证执行身份验证(通过将受信任的证书上传到 Azure)之间有何区别?

在 RADIUS 证书身份验证中,身份验证请求被转发到处理实际证书验证的 RADIUS 服务器。 如果希望通过 RADIUS 与已有的证书身份验证基础结构进行集成,则此选项非常有用。

使用 Azure 进行证书身份验证时,由 Azure VPN 网关执行证书验证。 需要将证书公钥上传到网关。 还可以指定不允许进行连接的已吊销证书的列表。

RADIUS 身份验证是否同时适用于 IKEv2 和 SSTP VPN?

是的,IKEv2 和 SSTP VPN 都支持 RADIUS 身份验证。

RADIUS 身份验证是否适用于 OpenVPN 客户端?

只有通过 PowerShell,OpenVPN 协议才支持 RADIUS 身份验证。

VNet 到 VNet 和多站点连接

VNet 到 VNet 连接常见问题解答适用于 VPN 网关连接。 有关 VNet 对等互连的信息,请参阅虚拟网络对等互连

Azure 会对 VNet 之间的流量收费吗?

当使用 VPN 网关连接时,同一区域中的 VNet 到 VNet 流量双向均免费。 跨区域 VNet 到 VNet 传出流量根据源区域的出站 VNet 间数据传输费率收费。 有关详细信息,请参阅 VPN 网关定价。 如果你使用 VNet 对等互连而非 VPN 网关连接 VNet,请参阅虚拟网络定价

VNet 到 VNet 流量是否流经 Internet?

否。 VNet 到 VNet 流量会流经 Azure 主干,而非 Internet。

是否可以跨 Azure Active Directory (AAD) 租户建立 VNet 到 VNet 连接?

是的。使用 Azure VPN 网关的 VNet 到 VNet 连接可以跨 AAD 租户工作。

VNet 到 VNet 通信安全吗?

安全,它通过 IPsec/IKE 加密进行保护。

是否需要 VPN 设备将 VNet 连接到一起?

否。 将多个 Azure 虚拟网络连接在一起不需要 VPN 设备,除非需要跨界连接。

我的 VNet 是否需要位于同一区域?

否。 虚拟网络可以在相同或不同的 Azure 区域(位置)中。

能否在单独的 Azure 实例中使用 VNet 到 VNet 通信来连接虚拟网络?

否。 VNet 到 VNet 通信支持在同一 Azure 实例中连接虚拟网络。 例如,不能在全球 Azure 和中国/德国/美国政府 Azure 实例之间创建连接。 对于上述情形,请考虑使用站点到站点 VPN 连接。

能否将 VNet 到 VNet 用于多站点连接?

是的。 虚拟网络连接可与多站点 VPN 同时使用。

一个虚拟网络可以连接到多少个本地站点和虚拟网络?

请参阅网关要求表。

能否使用 VNet 到 VNet 来连接 VNet 外部的 VM 或云服务?

否。 VNet 到 VNet 通信支持连接虚拟网络。 它不支持连接不在虚拟网络中的虚拟机或云服务。

云服务或负载均衡终结点能否跨 VNet?

否。 云服务或负载均衡终结点不能跨虚拟网络,即使它们连接在一起,也是如此。

能否将 PolicyBased VPN 类型用于 VNet 到 VNet 连接或多站点连接?

否。 VNet 到 VNet 连接和多站点连接需要 RouteBased(以前称为动态路由)VPN 类型的 Azure VPN 网关。

是否可以将 RouteBased VPN 类型的 VNet 连接到另一个 PolicyBased VPN 类型的 VNet?

不能,两种虚拟网络都必须使用基于路由的(以前称为“动态路由”)VPN。

VPN 隧道是否共享带宽?

是的。 虚拟网络的所有 VPN 隧道共享 Azure VPN 网关上的可用带宽,以及 Azure 中的相同 VPN 网关运行时间 SLA。

是否支持冗余隧道?

将一个虚拟网络网关配置为主动-主动模式时,支持在一对虚拟网络之间使用冗余隧道。

对于 VNet 到 VNet 配置,能否使用重叠地址空间?

否。 不能有重叠的 IP 地址范围。

连接的虚拟网络与内部本地站点之间能否存在重叠的地址空间?

否。 不能有重叠的 IP 地址范围。

是否可以使用 Azure VPN 网关在我的本地站点之间传输流量或将流量传输到其他虚拟网络?

Resource Manager 部署模型
是的。 有关详细信息,请参阅 BGP 部分。

经典部署模型
使用经典部署模型通过 Azure VPN 网关传输流量是可行的,但依赖于网络配置文件中静态定义的地址空间。 使用经典部署模型的 Azure 虚拟网络和 VPN 网关尚不支持 BGP。 没有 BGP,手动定义传输地址空间很容易出错,不建议这样做。

Azure 会为同一虚拟网络的所有 VPN 连接生成同一 IPsec/IKE 预共享密钥吗?

否,默认情况下,Azure 会为不同 VPN 连接生成不同的预共享密钥。 但是,可以使用设置 VPN 网关密钥 REST API 或 PowerShell cmdlet 设置你想要的密钥值。 密钥必须是可打印的 ASCII 字符。

使用更多站点到站点 VPN 是否会比为单个虚拟网络获取更多带宽?

否,所有 VPN 隧道(包括点到站点 VPN)共享同一 Azure VPN 网关和可用带宽。

是否可以使用多站点 VPN 在我的虚拟网络和本地站点之间配置多个隧道?

是,但必须在两个通向同一位置的隧道上配置 BGP。

Azure VPN 网关是否采用会影响到本地站点多个连接之间的路由决策的 AS Path 预置?

是的,当启用 BGP 时,Azure VPN 网关会采用 AS Path 预置来帮助做出路由决策。 在 BGP 路径选择中,首选较短的 AS Path。

是否可以将点到站点 VPN 用于具有多个 VPN 隧道的虚拟网络?

是,可以将点到站点 (P2S) VPN 用于连接到多个本地站点的 VPN 网关和其他虚拟网络。

是否可以将使用 IPsec VPN 的虚拟网络连接到我的 ExpressRoute 线路?

是,系统支持该操作。 有关详细信息,请参阅配置可共存的 ExpressRoute 连接和站点到站点 VPN 连接

IPsec/IKE 策略

是否所有 Azure VPN 网关 SKU 都支持自定义 IPsec/IKE 策略?

除基本 SKU 外,所有 Azure SKU 都支持自定义 IPsec/IKE 策略。

在一个连接上可以指定多少个策略?

一个给定的连接只能指定一个策略组合。

能否在一个连接上指定部分策略? (例如,仅指定 IKE 算法,不指定 IPsec)

否,必须指定 IKE(主模式)和 IPsec(快速模式)的所有算法和参数。 不允许指定部分策略。

自定义策略中支持的算法和密钥强度有哪些?

下表列出了支持的加密算法和密钥强度,客户可自行配置。 必须为每个字段选择一个选项。

IPsec/IKEv2 选项
IKEv2 加密 AES256、AES192、AES128、DES3、DES
IKEv2 完整性 SHA384、SHA256、SHA1、MD5
DH 组 DHGroup24、ECP384、ECP256、DHGroup14 (DHGroup2048)、DHGroup2、DHGroup1、无
IPsec 加密 GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、无
IPsec 完整性 GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5
PFS 组 PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、无
QM SA 生存期 秒(整数;至少为 300 秒/默认为 27000 秒)
KB(整数;至少为 1024 KB/默认为 102400000 KB)
流量选择器 UsePolicyBasedTrafficSelectors ($True/$False; default $False)

重要

  • 在 IKE 和 IPsec PFS 中,DHGroup2048 和 PFS2048 与 Diffie-Hellman 组 14 相同。 如需完整的映射,请参阅 Diffie-Hellman 组
  • 对于 GCMAES 算法,必须为 IPsec 加密和完整性指定相同的 GCMAES 算法和密钥长度。
  • 在 Azure VPN 网关上,IKEv2 主模式 SA 生存期固定为 28,800 秒。
  • QM SA 生存期是可选参数。 如果未指定,则使用默认值 27,000 秒(7.5 小时)和 102400000 KB (102GB)。
  • UsePolicyBasedTrafficSelector 是连接的可选参数。 请参阅下一针对“UsePolicyBasedTrafficSelectors”的常见问题解答项。

Azure VPN 网关策略与本地 VPN 设备配置是否需完全匹配?

本地 VPN 设备配置必须匹配,或者必须包含可在 Azure IPsec/IKE 策略中指定的以下算法和参数:

  • IKE 加密算法
  • IKE 完整性算法
  • DH 组
  • IPsec 加密算法
  • IPsec 完整性算法
  • PFS 组
  • 流量选择器 (*)

SA 生存期是本地规范,不需匹配。

如果启用 UsePolicyBasedTrafficSelectors,则需确保对于本地网络(本地网关)前缀与 Azure 虚拟网络前缀的所有组合,VPN 设备都定义了与之匹配的流量选择器(而不是任意到任意)。 例如,如果本地网络前缀为 10.1.0.0/16 和 10.2.0.0/16,虚拟网络前缀为 192.168.0.0/16 和 172.16.0.0/16,则需指定以下流量选择器:

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

有关详细信息,请参阅连接多个基于策略的本地 VPN 设备

支持哪些 Diffie-Hellman 组?

下表列出了支持的 Diffie-Hellman 组,分别针对 IKE (DHGroup) 和 IPsec (PFSGroup):

Diffie-Hellman 组 DHGroup PFSGroup 密钥长度
1 DHGroup1 PFS1 768 位 MODP
2 DHGroup2 PFS2 1024 位 MODP
14 DHGroup14
DHGroup2048
PFS2048 2048 位 MODP
19 ECP256 ECP256 256 位 ECP
20 ECP384 ECP384 384 位 ECP
24 DHGroup24 PFS24 2048 位 MODP

有关详细信息,请参阅 RFC3526RFC5114

自定义策略是否会替换 Azure VPN 网关的默认 IPsec/IKE 策略集?

是的。一旦在连接上指定自定义策略,Azure VPN 网关就会只使用该连接的策略,既充当 IKE 发起方,又充当 IKE 响应方。

如果删除自定义 IPsec/IKE 策略,连接是否会变得不受保护?

否。连接仍受 IPsec/IKE 保护。 从连接中删除自定义策略以后,Azure VPN 网关会还原为默认的 IPsec/IKE 提议列表,并再次重启与本地 VPN 设备的 IKE 握手。

添加或更新 IPsec/IKE 策略是否会中断 VPN 连接?

是的。那样会导致短时中断(数秒),因为 Azure VPN 网关会断开现有连接并重启 IKE 握手,以便使用新的加密算法和参数重建 IPsec 隧道。 请确保也使用匹配的算法和密钥强度对本地 VPN 设备进行配置,尽量减少中断。

是否可以在不同的连接上使用不同的策略?

是的。 自定义策略是在单个连接的基础上应用的。 可以在不同的连接上创建并应用不同的 IPsec/IKE 策略。 也可选择在连接子集上应用自定义策略。 剩余连接使用 Azure 默认 IPsec/IKE 策略集。

是否也可在 VNet 到 VNet 连接上使用自定义策略?

是的。可以在 IPsec 跨界连接或 VNet 到 VNet 连接上应用自定义策略。

是否需在两个 VNet 到 VNet 连接资源上指定同一策略?

是的。 VNet 到 VNet 隧道包含 Azure 中的两个连接资源,一个方向一个资源。 请确保两个连接资源的策略相同,否则无法建立 VNet 到 VNet 连接。

默认的 DPD 超时值是多少? 能否指定其他 DPD 超时值?

默认的 DPD 超时为 45 秒。 你可在每个 IPsec 或 VNet 到 VNet 连接上指定其他 DPD 超时值(介于 9 至 3600 秒之间)。

能否在 ExpressRoute 连接上使用自定义 IPsec/IKE 策略?

否。 只能通过 Azure VPN 网关在 S2S VPN 和 VNet 到 VNet 连接上使用 IPsec/IKE 策略。

如何创建 IKEv1 或 IKEv2 协议类型的连接?

除基本的 SKU、标准 SKU 和其他旧版 SKU 以外,可以在所有 RouteBased VPN 类型 SKU 上创建 IKEv1 连接。 创建连接时,可以指定 IKEv1 或 IKEv2 连接协议类型。 如果未指定连接协议类型,IKEv2 将用作默认选项(如果适用)。 有关详细信息,请参阅 PowerShell cmdlet 文档。 有关 SKU 类型和 IKEv1/IKEv2 支持,请参阅将网关连接到基于策略的 VPN 设备

是否允许在 IKEv1 和 IKEv2 连接之间传输?

是的。 支持在 IKEv1 连接和 IKEv2 连接之间传输。

能否在 RouteBased VPN 类型的基本 SKU 上建立 IKEv1 站点到站点连接?

否。 基本 SKU 不支持此功能。

能否在创建连接(从 IKEv1 到 IKEv2 的连接,或者反方向的连接)后更改连接协议类型?

否。 创建连接后,不能更改 IKEv1/IKEv2 协议。 必须删除并重新创建使用所需协议类型的新连接。

在哪里可以找到有关 IPsec 的详细配置信息?

请参阅为 S2S 或 VNet 到 VNet 连接配置 IPsec/IKE 策略

BGP 和路由

BGP 是否在所有 Azure VPN 网关 SKU 上受支持?

除了基本 SKU,其他所有 Azure VPN 网关 SKU 都支持 BGP。

能否将 BGP 用于 Azure 策略 VPN 网关?

否,只有基于路由的 VPN 网关支持 BGP。

可使用哪种 ASN(自治系统编号)?

可以将自己的公共 ASN 或专用 ASN 同时用于本地网络和 Azure 虚拟网络。 不能使用 Azure 或 IANA 保留的范围。

Azure 或 IANA 保留的 ASN 如下所示:

  • 由 Azure 保留的 ASN:

    • 公用 ASN:8074、8075、12076
    • 专用 ASN:65515、65517、65518、65519、65520
  • 由 IANA 保留的 ASN:

    • 23456、64496-64511、65535-65551 和 429496729

连接到 Azure VPN 网关时,不能为本地 VPN 设备指定这些 ASN。

是否可以使用 32 位(4 字节)ASN?

可以,VPN 网关现在支持 32 位(4 字节)ASN。 若要使用 ASN 以十进制格式进行配置,请使用 PowerShell、Azure CLI 或 Azure SDK。

可以使用哪些专用 ASN?

可用的专用 ASN 范围包括:

  • 64512-65514 和 65521-65534

IANA 或 Azure 不会保留和使用这些 ASN,因此可将其分配给 Azure VPN 网关。

VPN 网关将哪个地址用于 BGP 对等节点 IP?

默认情况下,VPN 网关为主备 VPN 网关分配 GatewaySubnet 范围中的一个 IP 地址,或者为双活 VPN 网关分配两个 IP 地址。 在你创建 VPN 网关时,系统会自动分配这些地址。 可以通过使用 PowerShell 或通过在 Azure 门户中查找来获取分配的实际 BGP IP 地址。 在 PowerShell 中,使用 Get-AzVirtualNetworkGateway,并查找 bgpPeeringAddress 属性 。 在 Azure 门户的“网关配置”页面上的“配置 BGP ASN”属性下查看 。

如果你的本地 VPN 路由器使用 APIPA IP 地址 (169.254.x.x) 作为 BGP IP 地址,则你必须在 Azure VPN 网关上再指定一个 Azure APIPA BGP IP 地址 。 Azure VPN 网关会选择将 APIPA 地址用于在本地网络网关中指定的本地 APIPA BGP 对等节点中,或者对非 APIPA 本地 BGP 对等节点使用专用 IP 地址。 有关详细信息,请参阅配置 BGP

VPN 设备上的 BGP 对等节点 IP 地址的要求是什么?

本地 BGP 对等节点地址不得与 VPN 设备的公共 IP 地址相同,也不得来自 VPN 网关的虚拟网络地址空间。 在 VPN 设备上对 BGP 对等节点 IP 使用不同的 IP 地址。 它可以是一个分配给设备上环回接口的地址(常规 IP 地址或 APIPA 地址)。 如果设备对 BGP 使用 APIPA 地址,你必须在 Azure VPN 网关上指定 APIPA BGP IP 地址,如配置 BGP 中所述。 在表示该位置的相应本地网关中指定此地址。

使用 BGP 时应将什么指定为本地网关的地址前缀?

重要

这是之前记录的要求中的一项更改。 如果你使用 BGP 进行连接,则将相应的本地网络网关资源的“地址空间”字段留空。 Azure VPN 网关将在内部添加一个通过 IPsec 隧道传往本地 BGP 对等节点 IP 的主机路由。 请不要在“地址空间”字段添加 /32 路由。 该路由是冗余的;如果你使用 APIPA 地址作为本地 VPN 设备 BGP IP,则无法将它添加到此字段。 如果在“地址空间”字段中添加任何其他前缀,则除了通过 BGP 了解到的路由外,这些前缀将作为静态路由添加到 Azure VPN 网关上。

能否将同一个 ASN 同时用于本地 VPN 网络和 Azure 虚拟网络?

否,必须在本地网络和 Azure 虚拟网络之间分配不同 ASN(如果要使用 BGP 将它们连接在一起)。 无论是否为跨界连接启用了 BGP,都会为 Azure VPN 网关分配默认 ASN(即 65515)。 可以通过在创建 VPN 网关时分配不同 ASN,或者在创建网关后更改 ASN 来覆盖此默认值。 需要将本地 ASN 分配给相应的 Azure 本地网关。

Azure VPN 网关将播发给我哪些地址前缀?

这些网关会将以下路由播发到本地 BGP 设备:

  • 你的虚拟网络地址前缀。
  • 已连接到 Azure VPN 网关的每个本地网关的地址前缀。
  • 从连接到 Azure VPN 网关的其他 BGP 对等会话获知的路由,不包括默认路由或与任何虚拟网络前缀重叠的路由。

我可以向 Azure VPN 网关发布多少个前缀?

Azure VPN 网关最多支持 4000 个前缀。 如果前缀数目超过此限制,将丢弃 BGP 会话。

能否将默认路由 (0.0.0.0/0) 播发给 Azure VPN 网关?

是的。 请注意,这会强制所有虚拟网络出口流量流向你的本地站点。 它还可阻止虚拟网络 VM 直接从 internet 接收公共通信,例如从 internet 到 VM 的 RDP 或 SSH。

能否播发与虚拟网络前缀完全相同的前缀?

不能,Azure 将阻止播发与任一虚拟网络地址前缀相同的前缀或对其进行筛选。 但是,可播发属于虚拟网络内所拥有内容超集的前缀。

例如,如果虚拟网络使用了地址空间 10.0.0.0/16,则可以播发 10.0.0.0/8。 但无法播发 10.0.0.0/16 或 10.0.0.0/24。

能否对虚拟网络之间的连接使用 BGP?

可以,BGP 既可用于跨界连接,也可用于虚拟网络之间的连接。

能否将 BGP 连接与非 BGP 连接混合用于 Azure VPN 网关?

能,可以将 BGP 连接和非 BGP 连接混合用于同一 Azure VPN 网关。

Azure VPN 网关是否支持 BGP 传输路由?

是,支持 BGP 传输路由,但例外是 Azure VPN 网关不会将默认路由播发到其他 BGP 对等节点。 若要启用跨多个 Azure VPN 网关的传输路由,必须在虚拟网络之间的所有中间连接上启用 BGP。 有关详细信息,请参阅关于 BGP

在 Azure VPN 网关和我的本地网络之间能否有多个隧道?

能,可以在 Azure VPN 网关和本地网络之间建立多个站点到站点 (S2S) VPN 隧道。 请注意,所有这些隧道都将计入 Azure VPN 网关的隧道总数,且你必须在这两个隧道上都启用 BGP。

例如,如果在 Azure VPN 网关与一个本地网络之间有两个冗余隧道,则它们将占用 Azure VPN 网关的总配额中的 2 个隧道。

在两个使用 BGP 的 Azure 虚拟网络之间能否有多个隧道?

是,但必须至少有一个虚拟网络网关采用主动-主动配置。

能否在 Azure ExpressRoute 和 S2S VPN 共存配置中对 S2S VPN 使用 BGP?

是的。

应为 BGP 对等会话添加到本地 VPN 设备什么内容?

在 VPN 设备上添加 Azure BGP 对等节点 IP 地址的主机路由。 此路由指向 IPsec S2S VPN 隧道。 例如,如果 Azure VPN 对等节点 IP 为“10.12.255.30”,则在 VPN 设备上添加“10.12.255.30”的主机路由(包含匹配的 IPsec 隧道接口的下一跃点接口)。

虚拟网络网关是否支持将 BFD 用于使用 BGP 的 S2S 连接?

不能。 双向转发检测 (BFD) 是一种协议,与使用标准 BGP keepalive 相比,将 BFD 与 BGP 结合使用可更快地检测相邻故障时间。 BFD 使用亚秒级计时器,它专门在 LAN 环境中使用,但不跨公共 Internet 或广域网连接进行使用。

对于通过公共 Internet 进行的连接,某些数据包延迟(甚至被删除)的情况是不常见的,因此引入这些主动计时器有可能使性能更不稳定。 这种不稳定可能导致路由遭到 BGP 抑制。 替换方法是,可配置本地设备,使其具有 keepalive 时间间隔比默认的 60 秒低的计时器,并具有保持时间为 180 秒的计时器。 这可缩短收敛时间。

Azure VPN 网关是否启动 BGP 对等互连会话或连接?

网关将使用 VPN 网关上的专用 IP 地址,为本地网络网关资源中指定的本地 BGP 对等 IP 地址启动 BGP 对等互连会话。 这与本地 BGP IP 地址是在 APIPA 范围内还是在常规专用 IP 地址上无关。 如果本地 VPN 设备使用 APIPA 地址作为 BGP IP,则需要配置 BGP 扬声器来启动连接。

是否可以配置强制隧道?

是的。 请参阅 配置强制隧道

NAT

NAT 是否在所有 Azure VPN 网关 SKU 上都受支持?

VpnGw2~5 上支持 NAT。

是否可以在 VNet 到 VNet 连接或 P2S 连接上使用 NAT?

不可以,仅支持在 IPsec 跨界连接上使用 NAT。

在一个 VPN 网关上可以使用多少个 NAT 规则?

在一个 VPN 网关上最多可以创建 100 个 NAT 规则(包括传入和传出规则)。

NAT 是否应用于 VPN 网关上的所有连接?

NAT 应用于带有 NAT 规则的连接。 如果某个连接没有 NAT 规则,则 NAT 不会对该连接生效。 在同一个 VPN 网关上,可以将一些带有 NAT 的连接与其他一些不带有 NAT 的连接一起使用。

Azure VPN 网关支持哪些类型的 NAT?

仅支持静态 1:1 NAT。 不支持动态 NAT 或 NAT64。

NAT 是否可在主动-主动 VPN 网关上正常工作?

是的。 NAT 可以在主动-主动和主动-备用 VPN 网关上正常工作。

NAT 是否适用于 BGP 连接?

是,可将 BGP 与 NAT 配合使用。 下面是一些重要注意事项:

  • 在“NAT 规则”配置页上选择“启用 BGP 路由转换”,以确保基于与连接关联的 NAT 规则,将获知的路由和播发的路由转换为执行 NAT 后的地址前缀(外部映射)。 需确保本地 BGP 路由器播发 IngressSNAT 规则中定义的确切前缀。

  • 如果本地 VPN 路由器使用 APIPA (169.254.x.x) 作为 BGP 发言方/对等方 IP,请直接在本地网络网关的“BGP 对等方 IP 地址”字段中使用 APIPA 地址。 如果本地 VPN 路由器使用普通的非 APIPA 地址,但该地址与 VNet 地址空间或其他本地网络空间有冲突,请确保 IngressSNAT 规则会将 BGP 对等方 IP 转换为唯一的不重叠地址,并将执行 NAT 后的地址输入到本地网络网关的“BGP 对等方 IP 地址”字段中。

是否需要为 SNAT 规则创建匹配的 DNAT 规则?

不是。 单个 SNAT 规则将定义特定网络的双向转换:

  • IngressSNAT 规则定义从本地网络进入 Azure VPN 网关的源 IP 地址的转换。 它还会处理离开 VNet 并进入同一本地网络的目标 IP 地址的转换。

  • EgressSNAT 规则定义离开 Azure VPN 网关并进入本地网络的 VNet 源 IP 地址的转换。 它还会处理通过那些带有 EgressSNAT 规则的连接进入 VNet 的数据包的目标 IP 地址转换。

  • 在任一情况下,都不需要 DNAT 规则。

如果我的 VNet 或本地网络网关地址空间具有两个或更多个前缀,该怎么办? 是否可以将 NAT 应用于所有这些前缀? 还是说,只能应用于其中的一部分前缀?

对于每个需要执行 NAT 的前缀,都要创建一个 NAT 规则,因为每个 NAT 规则只能包含该 NAT 的一个地址前缀。 例如,如果本地网络网关地址空间包括 10.0.1.0/24 和 10.0.2.0/25,则你可以创建两个规则,如下所示:

  • IngressSNAT 规则 1:将 10.0.1.0/24 映射到 100.0.1.0/24
  • IngressSNAT 规则 2:将 10.0.2.0/25 映射到 100.0.2.0/25

这两个规则必须与相应地址前缀的前缀长度相匹配。 这同样适用于 VNet 地址空间的 EgressSNAT 规则。

重要

如果只将一个规则链接到上述连接,则不会转换其他地址空间。

是否可以使用不同的 EgressSNAT 规则将 VNet 地址空间转换为不同本地网络的不同前缀?

是,可为同一个 VNet 地址空间创建多个 EgressSNAT 规则,并将 EgressSNAT 规则应用于不同的连接。 对于不带有 EgressSNAT 规则的连接,

是否可以在不同的连接上使用同一个 IngressSNAT 规则?

是,如果在同一个本地网络中使用这些连接来提供冗余,则通常会采取这种做法。 如果这些连接用于不同的本地网络,则不能使用同一个传入规则。

一个 NAT 连接上是否既需要使用传入规则,又需要使用传出规则?

如果本地网络地址空间与 VNet 地址空间重叠,则在同一连接上既需要使用传入规则,又需要使用传出规则。 如果 VNet 地址空间在所有连接的网络中是唯一的,则不需要在这些连接上使用 EgressSNAT 规则。 可以使用传入规则来避免本地网络之间出现地址重叠的情况。

跨界连接和 VM

如果虚拟机位于虚拟网络中,而连接是跨界连接,应如何连接到该 VM?

有几个选择。 如果为 VM 启用了 RDP,则可使用专用 IP 地址连接到虚拟机。 在这种情况下,需要指定要连接到的专用 IP 地址和端口(通常为 3389)。 需要配置用于流量的虚拟机端口。

也可以使用位于同一虚拟网络中的另一个虚拟机的专用 IP 地址连接到虚拟机。 如果要从虚拟网络外部的位置进行连接,则无法使用专用 IP 地址 RDP 到虚拟机。 例如,如果配置了点到站点虚拟网络,并且未从计算机建立连接,则无法通过专用 IP 地址连接到虚拟机。

如果我的虚拟机位于使用跨界连接的虚拟网络中,从我的 VM 流出的所有流量是否都会经过该连接?

否。 只有其目标 IP 包含在指定虚拟网络本地网络 IP 地址范围内的流量才会通过虚拟网络网关。 其目标 IP 位于虚拟网络中的流量保留在虚拟网络中。 其他流量通过负载均衡器发送到公共网络,或者在使用强制隧道的情况下通过 Azure VPN 网关发送。

如何排查到 VM 的 RDP 连接的问题

如果无法通过 VPN 连接连接到虚拟机,请查看以下项目:

  • 验证 VPN 连接是否成功。
  • 验证是否已连接到 VM 的专用 IP 地址。
  • 如果可以使用专用 IP 地址连接到 VM,但不能使用计算机名称进行连接,则请验证是否已正确配置 DNS。 若要详细了解如何对 VM 进行名称解析,请参阅针对 VM 的名称解析

通过点到站点进行连接时,请检查下述其他项:

  • 使用“ipconfig”检查分配给以太网适配器的 IPv4 地址,该适配器所在的计算机正是你要从其进行连接的计算机。 如果该 IP 地址位于要连接到的 VNet 的地址范围内,或者位于 VPNClientAddressPool 的地址范围内,则称为地址空间重叠。 当地址空间以这种方式重叠时,网络流量不会抵达 Azure,而是呆在本地网络中。
  • 验证是否在为 VNet 指定 DNS 服务器 IP 地址之后,才生成 VPN 客户端配置包。 如果更新了 DNS 服务器 IP 地址,请生成并安装新的 VPN 客户端配置包。

若要详细了解如何排查 RDP 连接问题,请参阅排查远程桌面连接到 VM 的问题

虚拟网络常见问题解答

可以在虚拟网络常见问题中查看更多虚拟网络信息。

后续步骤

“OpenVPN”是 OpenVPN Inc. 的商标。