關於 VPN 閘道組態設定
VPN 閘道是一種虛擬網路閘道,可透過公用連線在您的虛擬網路和內部部署位置之間傳送加密流量。 您也可以使用 VPN 閘道,透過 Azure 骨幹,在虛擬網路之間傳送流量。
VPN 閘道連線依賴多個資源的設定,每一個都包含可設定的設定值。 本文各節討論在 Resource Manager 部署模型中所建立之虛擬網路 VPN 閘道相關的資源和設定。 您可以在 VPN 閘道設計一文中找到每個連線解決方案的描述和拓撲圖。
本文中的值適用於 VPN 閘道 (使用 -GatewayType Vpn 的虛擬網路閘道)。 如需使用這些指定設定之閘道的相關資訊,請參閱下列文章:
如需適用於 -GatewayType 'ExpressRoute' 的值,請參閱 ExpressRoute 的虛擬網路閘道。
如需了解區域備援閘道,請參閱關於區域備援閘道。
針對主動-主動閘道,請參閱關於高可用性連線能力。
針對虛擬 WAN 閘道,請參閱關於虛擬 WAN。
VPN 類型
目前,Azure 支援兩種閘道 VPN 類型:路由型 VPN 閘道和原則型 VPN 閘道。 這些閘道內建在不同內部平台上,因而產生不同規格。
自 2023 年 10 月 1 日起,您無法透過 Azure 入口網站建立原則型 VPN 閘道。 所有新的 VPN 閘道都會自動建立為路由型。 如果您已經有原則型閘道,就不需要將閘道升級為路由型閘道。 您可以使用 Powershell/CLI 來建立原則型閘道。
先前,舊版閘道 SKU 並不支援路由型閘道使用 IKEv1。 現在,大部分目前的閘道 SKU 都支援 IKEv1 和 IKEv2。
| 閘道 VPN 類型 | 閘道 SKU | 支援的 IKE 版本 |
|---|---|---|
| 原則型閘道 | 基本 | IKEv1 |
| 路由型閘道 | 基本 | IKEv2 |
| 路由型閘道 | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 和 IKEv2 |
| 路由型閘道 | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 和 IKEv2 |
閘道類型
每個虛擬網路只能有一個各類型的虛擬網路閘道。 在建立虛擬網路閘道時,您必須確定組態的閘道類型是正確的。
-GatewayType 的可用值為:
- Vpn
- ExpressRoute
VPN 閘道需要 -GatewayTypeVpn。
範例:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
閘道 SKU 和效能
如需閘道 SKU、效能和支援功能的最新詳細資訊,請參閱關於閘道 SKU 一文。
連線類型
在 Resource Manager 部署模型中,每個組態皆需要特定的虛擬網路閘道連線類型。 -ConnectionType 的可用 Resource Manager PowerShell 值為:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
在下列 PowerShell 範例中,我們會建立需要 IPsec連線類型的 S2S 連線。
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
連線模式
連線模式屬性僅適用於使用 IKEv2 連線的路由型 VPN 閘道。 連線模式會定義連線起始方向,並且僅適用於初始 IKE 連線建立。 任何合作對象都可以起始重設金鑰和進一步訊息。 InitiatorOnly 表示必須由 Azure 起始連線。 ResponderOnly 表示必須由內部部署裝置起始連線。 預設行為是接受並撥打第一個連接者。
閘道子網路
建立 VPN 閘道之前,您必須先建立閘道子網路。 閘道子網路包含虛擬網路閘道 VM 與服務所使用的 IP 位址。 建立虛擬網路閘道時,會將閘道 VM 部署到閘道子網路,並為 VM 設定必要的 VPN 閘道設定。 請勿將任何其他項目 (例如其他 VM) 部署到閘道子網路。 此閘道子網路必須命名為 'GatewaySubnet' 才能正常運作。 將閘道子網路命名為 'GatewaySubnet' 可讓 Azure 知道應該將虛擬網路閘道 VM 和服務部署到這個子網路。
當您建立閘道子網路時,您可指定子網路包含的 IP 位址數目。 閘道子網路中的 IP 位址會配置給閘道 VM 和閘道服務。 有些組態需要的 IP 位址比其他組態多。
當您規劃閘道子網路大小時,請參閱您打算建立的設定文件。 例如,ExpressRoute/VPN 閘道並存設定相較於大部分的其他設定,需要較大的閘道子網路。 雖然可以建立小到 /29 的閘道子網路 (僅適用於基本 SKU),但所有其他 SKU 都需要大小為 /27 以上的閘道子網路 (/27、/26、/25 等)。 建議您建立大於 /27 的閘道子網路,讓子網路有足夠的 IP 位址來容納可能的未來設定。
下列 Resource Manager PowerShell 範例顯示名為 GatewaySubnet 的閘道子網路。 您可以看到 CIDR 標記法指定 /27,這可提供足以供大多數現有組態使用的 IP 位址。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
考量:
不支援具有 0.0.0.0/0 目的地的使用者定義路由和 GatewaySubnet 上的 NSG。 系統會禁止建立採用此設定的閘道。 閘道需要存取管理控制器,才能正常運作。 GatewaySubnet 上的 BGP 路由傳播應該設定為 [已啟用],以確保閘道的可用性。 如果 BGP 路由傳播設定為停用,閘道將無法運作。
如果使用者定義的路由與閘道子網路範圍或閘道公用 IP 範圍重疊,診斷、資料路徑和控制路徑可能會受到影響。
區域網路閘道
區域網路閘道與虛擬網路閘道並不相同。 建立 VPN 閘道設定時,區域網路閘道通常代表您的內部部署網路以及對應的 VPN 裝置。 在傳統部署模型中,區域網路閘道被稱為本機站台。
設定區域網路閘道時,您會指定名稱、內部部署 VPN 裝置的公用 IP 位址或完整網域名稱 (FQDN),以及位於內部部署位置的位址首碼。 Azure 會查看網路流量的目的地位址首碼、查閱您為區域網路閘道指定的組態,然後根據這些來路由傳送封包。 如果您在 VPN 裝置上使用邊界閘道協定 (BGP),您將會提供 VPN 裝置的 BGP 對等互連 IP 位址,以及內部部署網路 (ASN) 的自治號碼。 您也可以針對使用 VPN 閘道連線的 VNet 對 VNet 組態指定區域網路閘道。
下列 PowerShell 範例會建立新的區域網路閘道︰
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
有時,您會需要修改區域網路閘道設定。 例如,當您新增或修改位址範圍時,或 VPN 裝置的 IP 位址變更時。 如需詳細資訊,請參閱修改區域網路閘道設定。
REST API、PowerShell Cmdlet、CLI
使用 REST API、PowerShell Cmdlet 或 Azure CLI 來設定 VPN 閘道組態時,如需其他技術資源和特定語法需求,請參閱下列頁面:
| 傳統 | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| 不支援 | Azure CLI |
下一步
如需有關可用連線組態的詳細資訊,請參閱關於 VPN 閘道。