關於 VPN 閘道組態設定
VPN 網關聯機架構依賴多個資源的設定,每個資源都包含可設定的設定。 本文各節討論在 Resource Manager 部署模型中所建立之虛擬網路 VPN 閘道相關的資源和設定。 您可以在 VPN 閘道 拓撲和設計一文中找到每個連線解決方案的描述和拓撲圖表。
本文中的值特別適用於 VPN 閘道(使用 -GatewayType Vpn 的虛擬網路閘道)。 如果您要尋找下列閘道類型的相關信息,請參閱下列文章:
- 如需適用於 -GatewayType 'ExpressRoute' 的值,請參閱 ExpressRoute 的虛擬網路網關。
- 如需了解區域備援閘道,請參閱關於區域備援閘道。
- 針對主動-主動閘道,請參閱關於高可用性連線能力。
- 針對虛擬 WAN 閘道,請參閱關於虛擬 WAN。
閘道和閘道類型
虛擬網路閘道是由兩個以上的 Azure 受控 VM 所組成,這些 VM 會自動設定並部署到您建立稱為 閘道子網的特定子網。 網路閘道 VM 包含路由表,並且會執行特定的網路閘道服務。
當您建立虛擬網路網關時,閘道 VM 會自動部署到閘道子網(一律命名為 GatwaySubnet),並使用您指定的設定進行設定。 視您選取的閘道 SKU 而定,此程序可能需要 45 分鐘或更長的時間才能完成。
您在建立虛擬網路閘道時指定的其中一個設定是 閘道類型。 閘道類型會決定如何使用虛擬網路閘道,以及閘道採取的動作。 虛擬網路可以有兩個虛擬網路閘道;一個是 VPN 閘道和一個 ExpressRoute 閘道。 閘道類型 'Vpn' 會指定所建立虛擬網路閘道的類型是 VPN 閘道。 這會將其與使用不同閘道類型的 ExpressRoute 閘道進行區別。
在建立虛擬網路閘道時,您必須確定組態的閘道類型是正確的。 -GatewayType 的可用值為:
- Vpn
- ExpressRoute
VPN 閘道需要 -GatewayTypeVpn。
範例:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
閘道 SKU 和效能
如需閘道 SKU、效能和支援功能的最新詳細資訊,請參閱關於閘道 SKU 一文。
VPN 類型
Azure 支援 VPN 閘道的兩種不同 VPN 類型:原則型和路由型。 路由式 VPN 閘道建置在與原則式 VPN 閘道不同的平臺上。 這會導致不同的閘道規格。 在大部分情況下,您將建立路由式 VPN 閘道。
先前,舊版閘道 SKU 並不支援路由型閘道使用 IKEv1。 現在,大部分目前的閘道 SKU 都支援 IKEv1 和 IKEv2。 自 2023 年 10 月 1 日起,您無法透過 Azure 入口網站 建立以原則為基礎的 VPN 閘道,只能使用路由型閘道。 如果您想要建立原則型閘道,請使用 PowerShell 或 CLI。
如果您已經有以原則為基礎的網關,除非您想要使用需要路由型網關的設定,例如點對站,否則不需要將網關變更為路由型網關。 您無法將原則型閘道轉換成路由式閘道。 您必須刪除現有的閘道,然後建立以路由為基礎的新閘道。
| 閘道 VPN 類型 | 閘道 SKU | 支援的 IKE 版本 |
|---|---|---|
| 原則型閘道 | 基本 | IKEv1 |
| 路由型閘道 | 基本 | IKEv2 |
| 路由型閘道 | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 和 IKEv2 |
| 路由型閘道 | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 和 IKEv2 |
連線類型
在 Resource Manager 部署模型中,每個組態皆需要特定的虛擬網路閘道連線類型。 -ConnectionType 的可用 Resource Manager PowerShell 值為:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
在下列 PowerShell 範例中,我們會建立需要 IPsec連線類型的 S2S 連線。
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
連線模式
連線模式屬性僅適用於使用 IKEv2 連線的路由型 VPN 閘道。 連線模式會定義連線起始方向,並且僅適用於初始 IKE 連線建立。 任何合作對象都可以起始重設金鑰和進一步訊息。 InitiatorOnly 表示必須由 Azure 起始連線。 ResponderOnly 表示必須由內部部署裝置起始連線。 預設行為是接受並撥打第一個連接者。
閘道子網路
建立 VPN 閘道之前,您必須先建立閘道子網路。 閘道子網路包含虛擬網路閘道 VM 與服務所使用的 IP 位址。 建立虛擬網路閘道時,會將閘道 VM 部署到閘道子網路,並為 VM 設定必要的 VPN 閘道設定。 絕對不要將任何其他專案(例如更多 VM)部署到閘道子網。 此閘道子網路必須命名為 'GatewaySubnet' 才能正常運作。 將閘道子網路命名為 'GatewaySubnet' 可讓 Azure 知道應該將虛擬網路閘道 VM 和服務部署到這個子網路。
當您建立閘道子網路時,您可指定子網路包含的 IP 位址數目。 閘道子網路中的 IP 位址會配置給閘道 VM 和閘道服務。 有些組態需要的 IP 位址比其他組態多。
當您規劃閘道子網路大小時,請參閱您打算建立的設定文件。 例如,ExpressRoute/VPN 閘道並存設定相較於大部分的其他設定,需要較大的閘道子網路。 雖然可以建立小到 /29 的閘道子網路 (僅適用於基本 SKU),但所有其他 SKU 都需要大小為 /27 以上的閘道子網路 (/27、/26、/25 等)。 建議您建立大於 /27 的閘道子網路,讓子網路有足夠的 IP 位址來容納可能的未來設定。
下列 Resource Manager PowerShell 範例顯示名為 GatewaySubnet 的閘道子網路。 您可以看到 CIDR 標記法指定 /27,這可提供足以供大多數現有組態使用的 IP 位址。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
考量:
不支援具有 0.0.0.0/0 目的地的使用者定義路由和 GatewaySubnet 上的 NSG。 系統會禁止建立採用此設定的閘道。 閘道需要存取管理控制器,才能正常運作。 GatewaySubnet 上的 BGP 路由傳播應該設定為 [已啟用],以確保閘道的可用性。 如果 BGP 路由傳播設定為停用,閘道將無法運作。
如果使用者定義的路由與閘道子網路範圍或閘道公用 IP 範圍重疊,診斷、資料路徑和控制路徑可能會受到影響。
區域網路閘道
區域網路閘道與虛擬網路閘道並不相同。 當您使用 VPN 閘道站對站架構時,局域網路閘道通常代表您的內部部署網路和對應的 VPN 裝置。 在傳統部署模型中,局域網路網關稱為「 本機月臺」。
設定區域網路閘道時,您會指定名稱、內部部署 VPN 裝置的公用 IP 位址或完整網域名稱 (FQDN),以及位於內部部署位置的位址首碼。 Azure 會查看網路流量的目的地位址前置詞、參考您為局域網路網關指定的組態,並據以路由傳送封包。 如果您在 VPN 裝置上使用邊界閘道協定 (BGP),您將會提供 VPN 裝置的 BGP 對等互連 IP 位址,以及內部部署網路 (ASN) 的自治號碼。 您也可以針對使用 VPN 閘道連線的 VNet 對 VNet 組態指定區域網路閘道。
下列 PowerShell 範例會建立新的區域網路閘道︰
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
有時,您會需要修改區域網路閘道設定。 例如,當您新增或修改位址範圍時,或 VPN 裝置的 IP 位址變更時。 如需詳細資訊,請參閱修改區域網路閘道設定。
REST API、PowerShell Cmdlet、CLI
如需使用 REST API、PowerShell Cmdlet 或 Azure CLI 進行 VPN 閘道 組態時的技術資源和特定語法需求,請參閱下列頁面:
| 傳統 | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| 不支援 | Azure CLI |
下一步
如需有關可用連線組態的詳細資訊,請參閱關於 VPN 閘道。