你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
关于 VPN 网关配置设置
VPN 网关是一种虚拟网络网关,可跨公共连接在虚拟网络和本地位置发送加密的流量。 还可使用 VPN 网关跨 Azure 主干网在虚拟网络间发送流量。
VPN 网关连接依赖于多个资源配置,其中每个资源包含可配置的设置。 本文的各部分介绍了与在资源管理器部署模型中创建的虚拟网络的 VPN 网关相关的资源和设置。 可在 关于 VPN 网关一文中找到每种连接解决方案的介绍和拓扑图。
本文中的值适用于 VPN 网关(使用 -GatewayType Vpn 的虚拟网络网关)。 本文未涵盖所有网关类型或区域冗余网关。
有关适用于 -GatewayType 'ExpressRoute' 的值,请参阅适用于 ExpressRoute 的虚拟网络网关。
对于区域冗余网关,请参阅关于区域冗余网关。
对于主动-主动网关,请参阅关于高可用性连接。
有关虚拟 WAN,请参阅关于虚拟 WAN。
网关类型
每个虚拟网络只能有一种类型的虚拟网络网关。 创建虚拟网络网关时,必须确保用于配置的网关类型正确。
-GatewayType 的可用值为:
- Vpn
- ExpressRoute
VPN 网关需要 -GatewayTypeVpn。
例如:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
网关 SKU
创建虚拟网络网关时,需要指定要使用的网关 SKU。 请根据工作负荷、吞吐量、功能和 SLA 的类型,选择满足需求的 SKU。 有关 Azure 可用性区域中的虚拟网络网关 SKU,请参阅 Azure 可用性区域网关 SKU。
按隧道、连接和吞吐量列出的网关 SKU
| VPN 网关 代系 |
SKU | S2S/VNet 到 VNet 隧道 |
P2S SSTP 连接 |
P2S IKEv2/OpenVPN 连接 |
聚合 吞吐量基准 |
BGP | 区域冗余 |
|---|---|---|---|---|---|---|---|
| 第 1 代 | 基本 | 最大 10 | 最大 128 | 不支持 | 100 Mbps | 不支持 | 否 |
| 第 1 代 | VpnGw1 | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | 支持 | 否 |
| 第 1 代 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | 支持 | 否 |
| 第 1 代 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | 支持 | 否 |
| 第 1 代 | VpnGw1AZ | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | 支持 | 是 |
| 第 1 代 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | 支持 | 是 |
| 第 1 代 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | 支持 | 是 |
| 第 2 代 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | 支持 | 否 |
| 第 2 代 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | 支持 | 否 |
| 第 2 代 | VpnGw4 | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | 支持 | 否 |
| 第 2 代 | VpnGw5 | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | 支持 | 否 |
| 第 2 代 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | 支持 | 是 |
| 第 2 代 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | 支持 | 是 |
| 第 2 代 | VpnGw4AZ | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | 支持 | 是 |
| 第 2 代 | VpnGw5AZ | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | 支持 | 是 |
(*) 如果需要 100 个以上的 S2S VPN 隧道,请使用虚拟 WAN。
在同一代中允许调整 VpnGw SKU 的大小,但基本 SKU 的大小调整除外。 基本 SKU 是旧版 SKU,并且具有功能限制。 若要从基本 SKU 移到其他 SKU,必须删除基本 SKU VPN 网关,并使用所需代系和 SKU 大小组合来创建新网关。 (请参阅使用旧版 SKU)。
这些连接限制是独立的。 例如,在 VpnGw1 SKU 上可以有 128 个 SSTP 连接,还可以有 250 个 IKEv2 连接。
可在 定价 页上找到定价信息。
可在 SLA 页上查看 SLA(服务级别协议)信息。
如果你有很多 P2S 连接,可能会对 S2S 连接带来负面影响。 聚合吞吐量基准是通过最大化 S2S 和 P2S 连接的组合来测试的。 单个 P2S 或 S2S 连接的吞吐量可能会低很多。
请注意,鉴于 Internet 流量情况和你的应用程序行为,不能保证达到所有基准
为了帮助我们的客户了解使用不同算法的 SKU 的相对性能,我们使用市售 iPerf 和 CTSTraffic 工具来衡量站点到站点连接的性能。 下表列出了 VpnGw SKU 的性能测试结果。 可以看到,对 IPsec 加密和完整性使用 GCMAES256 算法时,可获得最佳性能。 对 IPsec 加密使用 AES256 以及对完整性使用 SHA256 时,可获得平均性能。 对 IPsec 加密使用 DES3 以及对完整性使用 SHA256 可获得最低性能。
VPN 隧道连接到 VPN 网关实例。 上述吞吐量表中提到了每个实例的吞吐量,该吞吐量可在连接到该实例的所有隧道中聚合。
下表显示了不同网关 SKU 每条隧道的观察带宽和每秒数据包吞吐量。 所有测试都是在 Azure 内跨具有 100 个连接且具备标准负载条件的不同地区的网关(终结点)之间进行的。
| 代系 | SKU | 算法 (使用的) |
吞吐量 按隧道观察到的 |
每隧道每秒数据包数 (观察到的) |
|---|---|---|---|---|
| 第 1 代 | VpnGw1 | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
| 第 1 代 | VpnGw2 | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.2 Gbps 650 Mbps 140 Mbps |
100,000 61,000 13,000 |
| 第 1 代 | VpnGw3 | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
| 第 1 代 | VpnGw1AZ | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
| 第 1 代 | VpnGw2AZ | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.2 Gbps 650 Mbps 140 Mbps |
110,000 61,000 13,000 |
| 第 1 代 | VpnGw3AZ | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
| 第 2 代 | VpnGw2 | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12,000 |
| 第 2 代 | VpnGw3 | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
| 第 2 代 | VpnGw4 | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| 第 2 代 | VpnGw5 | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| 第 2 代 | VpnGw2AZ | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12,000 |
| 第 2 代 | VpnGw3AZ | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
| 第 2 代 | VpnGw4AZ | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| 第 2 代 | VpnGw5AZ | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
注意
仅支持在资源管理器部署模型中使用 VpnGw SKU(VpnGw1、VpnGw1AZ、VpnGw2、VpnGw2AZ、VpnGw3、VpnGw3AZ、VpnGw4、VpnGw4AZ、VpnGw5 和 VpnGw5AZ)。 经典虚拟网络应继续使用老版(旧版)SKU。
- 有关如何使用旧版网关 SKU(基本、标准和高性能)的信息,请参阅使用 VPN 网关 SKU(旧版 SKU)。
- 如需 ExpressRoute 网关 SKU,请参阅适用于 ExpressRoute 的虚拟网络网关。
按功能集列出的网关 SKU
新 VPN 网关 SKU 简化了网关上提供的功能集:
| SKU | 功能 |
|---|---|
| 基本 (**) | 基于路由的 VPN:用于 S2S /连接的 10 个隧道;无适用于 P2S 的 RADIUS 身份验证;无适用于 P2S 的 IKEv2 基于策略的 VPN:(IKEv1):1 个 S2S/连接隧道;无 P2S |
| 除基本 SKU 外的所有第 1 代和第 2 代 SKU | 基于路由的 VPN:最多 100 个隧道 (*)、P2S、BGP、主动-主动、自定义 IPsec/IKE 策略、ExpressRoute/VPN 共存 |
(*) 可以对“PolicyBasedTrafficSelectors”进行配置,以便将基于路由的 VPN 网关连接到多个本地基于策略的防火墙设备。 有关详细信息,请参阅使用 PowerShell 将 VPN 网关连接到多个本地的基于策略的 VPN 设备。
(**) 基本 SKU 被视为旧版 SKU。 基本 SKU 具有某些功能限制。 使用基本 SKU 的网关无法调整为其他 SKU,必须更改为新的 SKU,这就需要删除并新建 VPN 网关。 不能将基本 SKU 部署到使用 IPv6 地址空间的 VNet。
网关 SKU - 生产与开发-测试工作负荷
由于 SLA 和功能集的差异,建议使用以下 SKU 比较生产与开发-测试:
| “工作负荷” | SKU |
|---|---|
| 生产、关键工作负荷 | 除基本 SKU 外的所有第 1 代和第 2 代 SKU |
| 开发-测试或概念证明 | 基本 (\*\*) |
(**) 基本 SKU 被视为旧版 SKU,并且具有功能限制。 使用基本 SKU 前,请验证所需功能是否受支持。
如果使用老版 SKU(旧版),则推荐使用的生产 SKU 为标准和高性能。 有关老版 SKU 的信息和说明,请参阅网关 SKU(旧版)。
配置网关 SKU
Azure 门户
如果使用 Azure 门户创建 资源管理器虚拟网络网关,可以使用下拉列表选择网关 SKU。 显示的选项对应于所选的网关类型和 VPN 类型。
PowerShell
以下 PowerShell 示例将 -GatewaySku 指定为 VpnGw1。 使用 PowerShell 创建网关时,必须首先创建 IP 配置,然后变量引用它。 在此示例中,配置变量为 $gwipconfig。
New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased
Azure CLI
az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait
调整 SKU 的大小或对其进行更改
如果具有 VPN 网关并且希望使用不同的网关 SKU,则可以采用的选项是调整网关 SKU 的大小,或者更改为另一个 SKU。 如果更改为另一个网关 SKU,这会完全删除现有网关并构建一个新网关。 创建网关通常需要 45 分钟或更长的时间,具体取决于所选的网关 SKU。 与之相比,当调整网关 SKU 的大小时,停机时间非常短,因为这不需要删除并重建网关。 虽然重设网关 SKU 的大小更快,但有一些关于重设大小的规则:
- 除基本 SKU 外,可以将 VPN 网关 SKU 的大小调整为同一代(第 1 代或第 2 代)中的另一个 VPN 网关 SKU。 例如,第 1 代的 VpnGw1 可以调整为第 1 代的 VpnGw2,但不能调整为第 2 代的 VpnGw2。
- 使用旧版网关 SKU 时,仍可在标准和高性能 SKU 之间调整大小。
- 不能从基本/标准/高性能 SKU 调整为 VpnGw SKU。 而只能更改为新版 SKU。
重设网关大小
Azure 门户
请转到“配置”页面,查看虚拟网络网关。
在页面右侧,单击下拉箭头以显示可用的网关 SKU。
选择下拉列表的 SKU。
PowerShell
可以使用 Resize-AzVirtualNetworkGateway PowerShell cmdlet 升级或降级第 1 代或第 2 代 SKU(除基本 SKU 外,所有 VpnGw SKU 都可以调整大小)。 如果使用的是基本网关 SKU,请改用这些说明来调整网关大小。
以下 PowerShell 示例演示如何将网关 SKU 的大小调整为 VpnGw2。
$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2
从旧版 SKU 更改为新版 SKU
如果你使用的是资源管理器部署模型,则可更改为新式网关 SKU。 当从旧式网关 SKU 更改到新式 SKU 时,需删除现有 VPN 网关并创建新的 VPN 网关。
工作流程:
- 删除到虚拟网关的任何连接。
- 删除旧的 VPN 网关。
- 创建新的 VPN 网关。
- 使用新的 VPN 网关 IP 地址更新本地 VPN 设备(适用于站点到站点连接)。
- 更新连接到此网关的任何 VNet 到 VNet 本地网关的网关 IP 地址值。
- 下载适用于 P2S 客户端(通过此 VPN 网关连接到虚拟网络)的新客户端 VPN 配置包。
- 重新创建到虚拟网关的连接。
注意事项:
- 若要更改到新式 SKU,VPN 网关必须处于资源管理器部署模型中。
- 如果有经典的 VPN 网关,必须对该网关继续使用早期的旧式 SKU,但可以在旧式 SKU 之间重设网关大小。 无法更改为新式 SKU。
- 当从旧式 SKU 更改为新式 SKU 时,连接将会中断。
- 更改为新网关 SKU 后,VPN 网关的公共 IP 地址将会更改。 即使指定以前使用的同一公共 IP 地址对象,也会出现这种情况。
连接类型
在资源管理器部署模型中,每个配置都需要特定的虚拟网络网关连接类型。 -ConnectionType 的可用 Resource Manager PowerShell 值为:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
在以下 PowerShell 示例中,我们将创建需要 IPsec 连接类型的 S2S 连接。
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
VPN 类型
为 VPN 网关配置创建虚拟网络网关时,必须指定 VPN 类型。 选择的 VPN 类型取决于要创建的连接拓扑。 例如,P2S 连接需要 RouteBased VPN 类型。 VPN 类型还取决于使用的硬件。 S2S 配置需要 VPN 设备。 有些 VPN 设备仅支持特定的 VPN 类型。
选择的 VPN 类型必须满足所要创建的解决方案的所有连接要求。 例如,如果要为同一虚拟网络创建 S2S 和 P2S VPN 网关连接,应使用“基于路由”这一 VPN 类型,因为 P2S 需要此类型。 此外,需确认 VPN 设备支持 RouteBased VPN 连接。
创建虚拟网络网关后,无法更改 VPN 类型。 如果需要其他 VPN 类型,请先删除虚拟网络网关,然后创建新的网关。
VPN 类型分为两种:
基于策略:基于策略的 VPN 以前在经典部署模型中称为静态路由网关。 基于策略的 VPN 会根据使用本地网络和 Azure VNet 之间的地址前缀的各种组合配置的 IPsec 策略,加密数据包并引导其通过 IPsec 隧道。 通常会在 VPN 设备配置中将策略(或流量选择器)定义为访问列表。 基于策略的 VPN 类型的值为 PolicyBased。 使用 PolicyBased VPN 时,请记住下列限制:
- 基于策略的 VPN 仅 可在基本网关 SKU 上使用。 此 VPN 类型与其他网关 SKU 不兼容。
- 如果使用 PolicyBased VPN,可以只有 1 个隧道。
- 只能将基于策略的 VPN 用于 S2S 连接且只能用于特定配置。 大多数 VPN 网关配置需要 RouteBased VPN。
基于路由:基于路由的 VPN 以前在经典部署模型中称为动态路由网关。 RouteBased VPN 使用 IP 转发或路由表中的“路由”将数据包引导到相应的隧道接口中。 然后,隧道接口会加密或解密出入隧道的数据包。 RouteBased VPN 的策略(或流量选择器)配置为任意到任意(或通配符)。 基于路由的VPN类型的值为 RouteBased。
以下 PowerShell 示例将 -VpnType 指定为 RouteBased。 在创建网关时,必须确保用于配置的 -VpnType 正确。
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
网关子网
在创建 VPN 网关之前,必须创建一个网关子网。 网关子网包含虚拟网络网关 VM 和服务使用的 IP 地址。 创建虚拟网络网关时,会将网关 VM 部署到网关子网,并使用所需的 VPN 网关设置进行配置。 永远不要将任何其他设备(例如,其他 VM)部署到网关子网。 网关子网必须命名为“GatewaySubnet”才能正常工作。 将网关子网命名为“GatewaySubnet”后,可以让 Azure 知道应该将虚拟网络网关 VM 和服务部署到此子网。
注意
不支持 GatewaySubnet 上具有 0.0.0.0/0 目标和 NSG 的用户定义的路由。 具有此配置的网关已被阻止创建。 网关需要访问管理控制器才能正常工作。 GatewaySubnet 上的 BGP 路由传播应设为“已启用”,以确保网关可用。 如果 BGP 路由传播设为“禁用”,则网关将不起作用。
创建网关子网时,需指定子网包含的 IP 地址数。 将网关子网中的 IP 地址分配到网关 VM 和网关服务。 有些配置需要具有比其他配置更多的 IP 地址。
规划网关子网大小时,请参阅你计划创建的配置的相关文档。 例如,ExpressRoute/VPN 网关共存配置所需的网关子网大于大多数其他配置。 此外,可能需要确保网关子网包含足够多的 IP 地址,以便应对将来可能会添加的配置。 尽管网关子网最小可创建为 /29(仅适用于基本 SKU),但建议创建 /27 或更大(/27、/26 等)的网关子网。 这适用于大多数配置。
以下 Resource Manager PowerShell 示例显示名为 GatewaySubnet 的网关子网。 可以看到,CIDR 表示法指定了 /27,这可提供足够的 IP 地址供大多数现有配置使用。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
重要
处理网关子网时,请避免将网络安全组 (NSG) 关联到网关子网。 将网络安全组关联到此子网可能会导致虚拟网络网关(VPN 和 Express Route 网关)停止按预期方式工作。 有关网络安全组的详细信息,请参阅什么是网络安全组?
本地网关
本地网络网关不同于虚拟网络网关。 创建 VPN 网关配置时,本地网络网关通常代表本地网络和相应的 VPN 设备。 在经典部署模型中,本地网络网关称为本地站点。
当你配置本地网络网关时,你指定了名称、本地 VPN 设备的公共 IP 地址或完全限定的域名 (FQDN)、位于本地位置的地址前缀。 Azure 查看网络流量的目标地址前缀、参考针对本地网络网关指定的配置,并相应地路由数据包。 如果在 VPN 设备上使用边界网关协议 (BGP),则需提供 VPN 设备的 BGP 对等节点 IP 地址以及本地网络的自治系统编号 (ASN)。 也应该针对使用 VPN 网关连接的 VNet 到 VNet 配置指定本地网络网关。
以下 PowerShell 示例创建新的本地网络网关:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
有时需要修改本地网络网关设置。 例如,在添加或修改地址范围时,或 VPN 设备的 IP 地址发生变化时。 请参阅使用 PowerShell 修改本地网络网关设置。
REST APIs、PowerShell cmdlet 和 CLI
有关将 REST API、PowerShell cmdlet 或 Azure CLI 用于 VPN 网关配置的其他技术资源和具体语法要求,请参阅以下页面:
| 经典 | 资源管理器 |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| 不支持 | Azure CLI |
后续步骤
有关可用连接配置的详细信息,请参阅关于 VPN 网关。