VPN 路由决策

• 适用于:

  ✅ Windows 11, ✅ Windows 10

堆栈需要网络路由来了解哪个接口用于出站流量。 VPN 配置的一个最重要决策点是想要通过 VPN 发送所有数据（强制隧道）还是仅通过 VPN 发送部分数据（拆分隧道）。 该决策会影响连接中的配置、容量规划和安全预期。

拆分隧道配置

在拆分隧道配置中，可以指定路由通过 VPN，其他所有流量通过物理接口。

可以使用 VPNv2/<ProfileName>/RouteListVPNv2 配置服务提供程序中的 设置 (CSP) 配置路由。

对于列表中的每个路由项，可以配置以下选项：

• 地址： VPNv2/<ProfileName>/RouteList/<routeRowId>/Address
• 前缀大小： VPNv2/<ProfileName>/RouteList/<routeRowId>/Prefix
• 排除路由：VVPNv2/<ProfileName>/RouteList/<routeRowId>/ExclusionRoute

使用 Windows VPN，可以指定不应超过物理接口的排除路由。

还可以在连接时通过服务器为 UWP VPN 应用添加路由。

强制隧道配置

在强制隧道配置中，所有流量都通过 VPN。 强制隧道是默认配置，在未指定路由时生效。

强制隧道的唯一含义是处理路由条目：VPN V4 和 V6 默认路由 (例如 0.0.0.0/0) 添加到路由表中，其指标低于其他接口的指标。 只要物理接口上没有特定路由，此配置就会通过 VPN 发送流量：

• 对于内置 VPN，使用 MDM 设置控制决策 VPNv2/ProfileName/NativeProfile/RoutingPolicyType
• 对于 UWP VPN 插件，应用控制 属性。 如果 VPN 插件将 IPv4 和 IPv6 的默认路由指示为唯一的两个包含路由，则 VPN 平台会将连接标记为强制隧道

配置路由

有关 XML 配置，请参阅 VPN 配置文件选项和 VPNv2 CSP。

在 Microsoft Intune 中配置 VPN 配置文件时，可以启用拆分隧道配置：

启用后，可以添加应使用 VPN 连接的路由。

相关文章

• VPN 技术指南
• VPN 连接类型
• VPN 身份验证选项
• VPN 和条件访问
• VPN 名称解析
• VPN 自动触发的配置文件选项
• VPN 安全功能
• VPN 配置文件选项