關於 VPN 閘道組態設定
VPN 閘道連線結構依賴於多個資源的設定,每一個都包含可設定的設定。 本文各節討論在 Resource Manager 部署模型中所建立之虛擬網路 VPN 閘道相關的資源和設定。 您可以在 VPN 閘道拓撲和設計一文中找到每個連線解決方案的描述和拓撲圖。
本文中的值特別適用於 VPN 閘道 (使用 -GatewayType Vpn 的虛擬網路閘道)。 如果您要尋找下列閘道類型的相關訊息,請參閱下列文章:
- 如需適用於 -GatewayType 'ExpressRoute' 的值,請參閱 ExpressRoute 的虛擬網路閘道。
- 如需了解區域備援閘道,請參閱關於區域備援閘道。
- 針對虛擬 WAN 閘道,請參閱關於虛擬 WAN。
閘道和閘道類型
虛擬網路閘道是由自動設定及部署到特定子網路 (由您所建立並稱為閘道子網路) 的兩部或多部 Azure 受控 VM 所組成。 網路閘道 VM 包含路由表,並且會執行特定的網路閘道服務。
建立虛擬網路閘道時,閘道 VM 會自動部署到閘道子網路 (一律命名為 GatwaySubnet),並使用您指定的設定進行設定。 視您選取的閘道 SKU 而定,此程序可能需要 45 分鐘或更長的時間才能完成。
您在建立虛擬網路閘道時指定的其中一個設定是閘道類型。 閘道類型會決定使用虛擬網路閘道的方式,以及閘道所採取的動作。 虛擬網路可以有兩個虛擬網路閘道;一個是 VPN 閘道和一個 ExpressRoute 閘道。 閘道類型 'Vpn' 會指定所建立虛擬網路閘道的類型是 VPN 閘道。 這會將其與使用不同閘道類型的 ExpressRoute 閘道進行區別。
在建立虛擬網路閘道時,您必須確定組態的閘道類型是正確的。 -GatewayType 的可用值為:
- Vpn
- ExpressRoute
VPN 閘道需要 -GatewayType Vpn。
範例:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
閘道 SKU 和效能
如需閘道 SKU、效能和支援功能的最新詳細資訊,請參閱關於閘道 SKU 一文。
VPN 類型
Azure 針對 VPN 閘道支援兩個不同的 VPN 類型:原則型和路由型。 路由型 VPN 閘道建置在與原則型 VPN 閘道不同的平台上。 這會導致不同的閘道規格。 在大部分情況中,您將建立路由型 VPN 閘道。
先前,舊版閘道 SKU 並不支援路由型閘道使用 IKEv1。 現在,大部分目前的閘道 SKU 都支援 IKEv1 和 IKEv2。 自 2023 年 10 月 1 日起,您無法透過 Azure 入口網站建立原則型 VPN 閘道,只能使用路由型閘道。 如果您想要建立原則型閘道,請使用 PowerShell 或 CLI。
如果您已有原則型閘道,除非您想要使用需要路由型閘道的設定,例如點對站,否則不需要將閘道變更為路由型閘道。 您無法將原則型閘道轉換成路由型閘道。 您必須刪除現有的閘道,然後建立路由型的新閘道。
| 閘道 VPN 類型 | 閘道 SKU | 支援的 IKE 版本 |
|---|---|---|
| 原則型閘道 | 基本 | IKEv1 |
| 路由型閘道 | 基本 | IKEv2 |
| 路由型閘道 | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 和 IKEv2 |
| 路由型閘道 | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 和 IKEv2 |
主動-主動 VPN 閘道
您現在可以在主動-主動組態中建立 Azure VPN 閘道,其中兩個閘道 VM 執行個體會對內部部署 VPN 裝置建立 S2S VPN 通道。
在此組態中,每個 Azure 閘道執行個體都會有唯一的公用 IP 位址,而每個執行個體會對在區域網路閘道與連線中指定的內部部署 VPN 裝置建立 IPsec/IKE S2S VPN 通道。 這兩個 VPN 通道都屬於相同的連線。 您仍必須設定內部部署 VPN 裝置,才能接受或建立對這兩個 Azure VPN 閘道公用 IP 位址的兩個 S2S VPN 通道。
因為 Azure 閘道執行個體是在主動-主動組態中,所以從 Azure 虛擬網路到內部部署網路的流量會同時透過這兩個通道路由傳送,即使內部部署 VPN 裝置可能偏好其中一個通道亦然。 針對單一 TCP 或 UDP 流量,Azure 會在將封包傳送至您的內部部署網路時,嘗試使用相同的通道。 不過,您的內部部署網路可能會使用不同的通道,將封包傳送至 Azure。
當一個閘道器執行個體發生計劃性維護或非計劃性事件時,從該執行個體至內部部署 VPN 裝置的 IPsec 通道將會中斷。 VPN 裝置上的對應路由應會自動移除或撤銷,以便將流量切換到其他作用中 IPsec 通道。 在 Azure 端,會從受影響的執行個體自動切換到作用中執行個體。
如需在高可用性連線案例中使用作用中-作用中閘道的相關資訊,請參閱關於高可用性連線。
連線類型
在 Resource Manager 部署模型中,每個組態皆需要特定的虛擬網路閘道連線類型。 -ConnectionType 的可用 Resource Manager PowerShell 值為:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
在下列 PowerShell 範例中,我們會建立需要 IPsec連線類型的 S2S 連線。
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
連線模式
連線模式屬性僅適用於使用 IKEv2 連線的路由型 VPN 閘道。 連線模式會定義連線起始方向,並且僅適用於初始 IKE 連線建立。 任何合作對象都可以起始重設金鑰和進一步訊息。 InitiatorOnly 表示必須由 Azure 起始連線。 ResponderOnly 表示必須由內部部署裝置起始連線。 預設行為是接受並撥打第一個連接者。
閘道子網路
建立 VPN 閘道之前,您必須先建立閘道子網路。 閘道子網路包含虛擬網路閘道 VM 與服務所使用的 IP 位址。 建立虛擬網路閘道時,會將閘道 VM 部署到閘道子網路,並為 VM 設定必要的 VPN 閘道設定。 絕不要將任何其他項目 (例如更多 VM) 部署到閘道子網路。 此閘道子網路必須命名為 'GatewaySubnet' 才能正常運作。 將閘道子網路命名為 'GatewaySubnet' 可讓 Azure 知道應該將虛擬網路閘道 VM 和服務部署到這個子網路。
當您建立閘道子網路時,您可指定子網路包含的 IP 位址數目。 閘道子網路中的 IP 位址會配置給閘道 VM 和閘道服務。 有些組態需要的 IP 位址比其他組態多。
當您規劃閘道子網路大小時,請參閱您打算建立的設定文件。 例如,ExpressRoute/VPN 閘道並存設定相較於大部分的其他設定,需要較大的閘道子網路。 雖然可以建立小到 /29 的閘道子網路 (僅適用於基本 SKU),但所有其他 SKU 都需要大小為 /27 以上的閘道子網路 (/27、/26、/25 等)。 建議您建立大於 /27 的閘道子網路,讓子網路有足夠的 IP 位址來容納可能的未來設定。
下列 Resource Manager PowerShell 範例顯示名為 GatewaySubnet 的閘道子網路。 您可以看到 CIDR 標記法指定 /27,這可提供足以供大多數現有組態使用的 IP 位址。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
考量:
不支援具有 0.0.0.0/0 目的地的使用者定義路由和 GatewaySubnet 上的 NSG。 系統會禁止建立採用此設定的閘道。 閘道需要存取管理控制器,才能正常運作。 GatewaySubnet 上的 BGP 路由傳播應該設定為 [已啟用],以確保閘道的可用性。 如果 BGP 路由傳播設定為停用,閘道將無法運作。
如果使用者定義的路由與閘道子網路範圍或閘道公用 IP 範圍重疊,診斷、資料路徑和控制路徑可能會受到影響。
區域網路閘道
區域網路閘道與虛擬網路閘道並不相同。 使用 VPN 閘道站對站架構時,區域網路閘道通常代表您的內部部署網路和對應的 VPN 裝置。 在傳統部署模型中,區域網路閘道被稱為本機站台。
設定區域網路閘道時,您會指定名稱、內部部署 VPN 裝置的公用 IP 位址或完整網域名稱 (FQDN),以及位於內部部署位置的位址首碼。 Azure 會查看網路流量的目的地位址首碼、查閱您為區域網路閘道指定的設定,然後根據這些來路由封包。 如果您在 VPN 裝置上使用邊界閘道協定 (BGP),您將會提供 VPN 裝置的 BGP 對等互連 IP 位址,以及內部部署網路 (ASN) 的自治號碼。 您也可以針對使用 VPN 閘道連線的 VNet 對 VNet 組態指定區域網路閘道。
下列 PowerShell 範例會建立新的區域網路閘道︰
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
有時,您會需要修改區域網路閘道設定。 例如,當您新增或修改位址範圍時,或 VPN 裝置的 IP 位址變更時。 如需詳細資訊,請參閱修改區域網路閘道設定。
REST API、PowerShell Cmdlet、CLI
如需使用 REST API、PowerShell Cmdlet 或 Azure CLI 來設定 VPN 閘道設定時的技術資源和特定語法需求,請參閱下列頁面:
| 傳統 | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| 不支援 | Azure CLI |
下一步
如需有關可用連線組態的詳細資訊,請參閱關於 VPN 閘道。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應