你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
VPN 网关常见问题
本文解答有关 Azure VPN 网关跨界连接、混合配置连接和虚拟网络 (VNet) 网关的常见问题。 本文包含有关点到站点 (P2S)、站点到站点 (S2S) 和 VNet 到 VNet 配置设置的全面信息,其中包括 Internet 协议安全性 (IPsec) 和 Internet 密钥交换 (IKE) 协议。
连接到虚拟网络
是否可以连接不同 Azure 区域中的虚拟网络?
是的。 没有任何区域约束。 一个虚拟网络可以连接到同一 Azure 区域中的其他虚拟网络,也可以连接到其他区域中的其他虚拟网络。
是否可以连接不同订阅中的虚拟网络?
是的。
配置 VPN 网关时,我能否在 VNet 中指定专用的 DNS 服务器?
如果你在创建虚拟网络时指定域名系统 (DNS) 服务器,虚拟专用网 (VPN) 网关将使用该 DNS 服务器。 请验证指定的 DNS 服务器是否可以解析 Azure 所需的域名。
是否可以从一个虚拟网络连接到多个站点?
可以使用 Windows PowerShell 和 Azure REST API 连接到多个站点。 请参阅多站点连接和 VNet 到 VNet 连接的“常见问题解答”部分。
将 VPN 网关设置为“主动-主动”是否需要额外费用?
否。 但是,系统会相应地收取任何额外公共 IP 的费用。 请参阅 IP 地址定价。
我的跨界连接选项有哪些?
Azure VPN 网关支持以下跨界网关连接:
- 站点到站点:基于 IPsec(IKEv1 和 IKEv2)的 VPN 连接。 此类连接需要 VPN 设备或 Windows Server 路由和远程访问。 有关详细信息,请参阅在 Azure 门户中创建站点到站点 VPN 连接。
- 点到站点:基于安全套接字隧道协议 (SSTP) 或 IKEv2 的 VPN 连接。 此连接不需要 VPN 设备。 有关详细信息,请参阅为点到站点 VPN 网关证书身份验证配置服务器设置。
- VNet 到 VNet:此类连接与站点到站点配置相同。 VNet 到 VNet 是一种基于 IPsec(IKEv1 和 IKEv2)的 VPN 连接。 它不需要 VPN 设备。 有关详细信息,请参阅配置 VNet 到 VNet VPN 网关连接。
- Azure ExpressRoute:ExpressRoute 是从广域网 (WAN) 到 Azure 的专用连接,不是通过公共 Internet 的 VPN 连接。 有关详细信息,请参阅 ExpressRoute 技术概述和 ExpressRoute 常见问题解答。
有关 VPN 网关连接的详细信息,请参阅什么是 Azure VPN 网关?。
站点到站点连接和点到站点连接的区别是什么?
站点到站点(IPsec/IKE VPN 隧道)配置是指本地位置与 Azure 之间的配置。 可以从任何本地计算机连接到虚拟网络中的任何虚拟机 (VM) 或角色实例,具体取决于你如何选择路由和权限的配置。 它对于需要始终可用的跨界连接来说是一个极佳的选项,很适合混合配置。
此类连接依赖于 IPsec VPN 设备(硬件设备或软件设备)。 该设备必须部署在网络边缘。 若要创建此类连接,必须具有面向外部的 IPv4 地址。
点到站点(基于 SSTP 的 VPN)配置允许从任何位置的单台计算机连接到虚拟网络中的任何内容。 它使用 Windows 内置 VPN 客户端。
在进行点到站点配置时,请安装证书和 VPN 客户端配置包。 该包包含的设置允许计算机连接到虚拟网络中的任何虚拟机或角色实例。
该配置适用于你需要连接到虚拟网络但所在位置不属于本地的情况。 无法访问 VPN 硬件或面向外部的 IPv4 地址(二者是进行站点到站点连接所必需的)时,它也是一个很好的选项。
可以将虚拟网络配置为同时使用站点到站点连接和点到站点连接,前提是使用基于路由的 VPN 类型为网关创建站点到站点连接。 在经典部署模型中,基于路由的 VPN 类型称为“动态网关”。
自定义 DNS 配置错误是否中断 VPN 网关的正常运行?
若要正常运行,VPN 网关必须与 Azure 控制平面建立安全连接,这种连接是通过公共 IP 地址实现的。 此连接依赖于通过公共 URL 解析通信终结点。 默认情况下,Azure VNet 使用内置 Azure DNS 服务 (168.63.129.16) 来解析这些公共 URL。 此默认行为有助于确保 VPN 网关与 Azure 控制平面之间的无缝通信。
在 VNet 中实现自定义 DNS 时,必须配置指向 Azure DNS (168.63.129.16) 的 DNS 转发器。 此配置有助于保持 VPN 网关与控制平面之间的通信不间断。 未能设置指向 Azure DNS 的 DNS 转发器可能会阻止 Microsoft 在 VPN 网关上执行操作和维护,从而造成安全风险。
为了帮助确保 VPN 网关正常运行和处于正常状态,请考虑在 VNet 中采用以下 DNS 配置之一:
- 通过在 VNet 设置中删除自定义 DNS,还原为 Azure DNS 默认值(建议的配置)。
- 在自定义 DNS 配置中添加指向 Azure DNS (168.63.129.16) 的 DNS 转发器。 此设置可能无法按预期解决问题,具体取决于自定义 DNS 的特定规则和性质。
两个通过点到站点连接到同一 VPN 网关的 VPN 客户端是否可以通信?
否。 通过点到站点连接到同一 VPN 网关的 VPN 客户端不能相互通信。
两个 VPN 客户端连接到同一点到站点 VPN 网关时,该网关可以通过确定从地址池为每个客户端分配的 IP 地址来自动路由两个客户端之间的流量。 但是,如果 VPN 客户端连接到不同的 VPN 网关,则无法在 VPN 客户端之间建立路由,因为每个 VPN 网关都不知道其他网关分配给客户端的 IP 地址。
称为“隧道视野”的潜在漏洞是否会影响点到站点 VPN 连接?
Microsoft 已注意到有关绕过 VPN 封装的网络技术的报道。 这是一个行业范围的问题。 它影响根据 RFC 规范实现动态主机配置协议 (DHCP) 客户端并支持 DHCP 选项 121 路由的任何操作系统(包括 Windows)。
研究指出,缓解措施包括在从虚拟化 DHCP 服务器获取租约的 VM 内运行 VPN,以防止本地网络的 DHCP 服务器完全安装路由。 可以在 NIST 国家漏洞数据库中找到有关此漏洞的详细信息。
隐私
VPN 服务是否存储或处理客户数据?
不是。
虚拟网络网关
VPN 网关是否为虚拟网络网关?
VPN 网关是一种虚拟网络网关。 VPN 网关通过公共连接在虚拟网络和本地位置之间发送加密流量。 还可使用 VPN 网关在虚拟网络之间发送流量。 在创建 VPN 网关时,请使用 -GatewayType
值 Vpn
。 有关详细信息,请参阅关于 VPN 网关配置设置。
为什么无法指定基于策略的和基于路由的 VPN 类型?
自 2023 年 10 月 1 日起,无法通过 Azure 门户创建基于策略的 VPN 网关。 所有新的 VPN 网关都自动创建为基于路由的网关。 如果已有基于策略的网关,则无需将网关升级到基于路由的网关。 可以使用 Azure PowerShell 或 Azure CLI 创建基于策略的网关。
以前,旧网关产品层 (SKU) 不支持基于路由的网关的 IKEv1。 现在,大多数当前网关 SKU 都支持 IKEv1 和 IKEv2。
网关 VPN 类型 | 网关 SKU | 支持的 IKE 版本 |
---|---|---|
基于策略的网关 | 基本 | IKEv1 |
基于路由的网关 | 基本 | IKEv2 |
基于路由的网关 | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 和 IKEv2 |
基于路由的网关 | VpnGw1AZ、VpnGw2AZ、VpnGw3AZ、VpnGw4AZ、VpnGw5AZ | IKEv1 和 IKEv2 |
能否将基于策略的 VPN 网关更新为基于路由?
否。 不能将网关类型从基于策略改为基于路由,也不能从基于路由改为基于策略。 若要更改网关类型,必须按照以下步骤删除并重新创建网关。 此过程大约需要 60 分钟。 创建新网关时,不能保留原始网关的 IP 地址。
删除与该网关关联的任何连接。
参考以下文章之一来删除网关:
使用所需的网关类型创建一个新的网关,然后完成 VPN 设置。 有关步骤,请参阅站点到站点教程。
能否指定自己的基于策略的流量选择器?
是的,可以通过 New-AzIpsecTrafficSelectorPolicy Azure PowerShell 命令使用连接上的 trafficSelectorPolicies
属性来定义流量选择器。 要使指定的流量选择器生效,请务必启用基于策略的流量选择器。
只有当 VPN 网关启动连接时,才会建议使用自定义配置的流量选择器。 VPN 网关接受远程网关(本地 VPN 设备)建议使用的任何流量选择器。 此行为在所有连接模式(Default
、InitiatorOnly
和 ResponderOnly
)中都是一致的。
是否需要网关子网?
是的。 网关子网包含虚拟网络网关服务使用的 IP 地址。 若要配置虚拟网关,需要先为虚拟网络创建网关子网。
所有网关子网都必须命名为 GatewaySubnet
才能正常工作。 不要对网关子网使用其他名称。 此外,不要在网关子网中部署 VM 或其他组件。
创建网关子网时,需指定子网包含的 IP 地址数。 网关子网中的 IP 地址分配到网关服务。
某些配置需要为网关服务分配的 IP 地址数多于其他配置。 请确保网关子网包含足够多的 IP 地址,以便应对将来的业务增长以及可能的新连接配置。
尽管网关子网最小可创建为 /29,但我们建议你创建 /27 或更大(/27、/26、/25 等)的网关子网。 验证现有网关子网是否满足要创建的配置的要求。
是否可以将虚拟机或角色实例部署到网关子网?
否。
是否可以先获得 VPN 网关 IP 地址,再创建网关?
Azure 标准 SKU 公共 IP 资源必须使用静态分配方法。 在创建了要用于 VPN 网关的标准 SKU 公共 IP 资源后,就会获得 VPN 网关的公共 IP 地址。
能否为 VPN 网关请求静态公共 IP 地址?
标准 SKU 公共 IP 地址资源使用静态分配方法。 今后,创建新的 VPN 网关时,必须使用标准 SKU 公共 IP 地址。 该要求适用于除基本 SKU 以外的所有网关 SKU。 基本 SKU 目前仅支持基本 SKU 公共 IP 地址。 我们正致力于为基本 SKU 添加对标准 SKU 公共 IP 地址的支持。
对于以前创建的非区域冗余网关和非区域网关(名称中没有 AZ 的网关 SKU),动态 IP 地址分配受支持,但即将被淘汰。使用动态 IP 地址时,IP 地址在分配给 VPN 网关后不会发生更改。 VPN 网关 IP 地址只在删除并重新创建网关时更改。 当重设大小、重置或完成其他 VPN 网关内部维护和升级时,公共 IP 地址不会更改。
基本 SKU 公共 IP 地址的停用对我的 VPN 网关有什么影响?
我们正在采取措施,确保使用基本 SKU 公共 IP 地址的已部署 VPN 网关能够继续运行,直到 2025 年 9 月基本 IP 停用。 在停用之前,我们将为客户提供从基本 IP 到标准 IP 的迁移路径。
但是,基本 SKU 公共 IP 地址即将被淘汰。今后,创建 VPN 网关时,必须使用标准 SKU 公共 IP 地址。 可以在 Azure 更新公告中找到有关基本 SKU 公共 IP 地址停用的详细信息。
VPN 隧道如何进行身份验证?
Azure VPN 网关使用预共享密钥 (PSK) 身份验证。 我们在创建 VPN 隧道时生成一个 PSK。 可以使用“设置预共享密钥 REST API”或 PowerShell cmdlet 将自动生成的 PSK 更改成你自己的 PSK。
能否使用“设置预共享密钥 REST API”来配置基于策略的(静态路由)网关 VPN?
是的。 可以使用“设置预共享密钥 REST API”和 PowerShell cmdlet 配置基于 Azure Policy 的(静态)VPN 和基于路由的(动态)路由 VPN。
是否可以使用其他身份验证选项?
仅限使用预共享密钥进行身份验证。
如何指定通过 VPN 网关的流量?
对于 Azure 资源管理器部署模型:
- Azure PowerShell:使用
AddressPrefix
指定本地网关的流量。 - Azure 门户:转到“本地网关”>“配置”>“地址空间”。
对于经典部署模型:
- Azure 门户:转到“经典虚拟网络”,然后转到“VPN 连接”>“站点到站点 VPN 连接”>“本地站点名称”>“本地站点”>“客户端地址空间”。
可在 VPN 连接上使用 NAT-T 吗?
是的,支持网络地址转换-遍历 (NAT-T)。 Azure VPN 网关不在发往或来自 IPsec 隧道的内部数据包上执行任何类似 NAT 的功能。 在此配置中,请确保本地设备启动 IPSec 隧道。
是否可以在 Azure 中设置自己的 VPN 服务器,并使用它连接到本地网络?
是的。 可以在 Azure 中部署你自己的 VPN 网关或服务器,可以从 Azure 市场部署,也可以通过创建你自己的 VPN 路由器来部署。 必须在虚拟网络中配置用户定义的路由,以确保流量在本地网络和虚拟网络子网之间正确路由。
我的虚拟网络网关上的某些端口为何处于打开状态?
这些端口是进行 Azure 基础结构通信所必需的。 Azure 证书通过锁定它们来帮助保护它们。 如果没有适当的证书,外部实体(包括这些网关的客户)无法对这些终结点施加任何影响。
虚拟网络网关从根本上来说是一种多宿主设备。 一个网络适配器接入客户专用网络,一个网络适配器面向公用网络。 因合规性原因,Azure 基础结构实体无法接入客户专用网络,因此需使用公共终结点进行基础结构通信。 Azure 安全审核会定期扫描公共终结点。
是否可以在门户中使用基本 SKU 创建 VPN 网关?
否。 基本 SKU 在门户中不可用。 可以使用 Azure CLI 或 Azure PowerShell 步骤创建基本 SKU VPN 网关。
在哪里可以找打有关网关类型、要求和吞吐量的信息?
请参阅以下文章:
弃用旧版 SKU
标准和高性能 SKU 将于 2025 年 9 月 30 日弃用。 可以在 Azure 更新站点查看公告。 产品团队将在 2024 年 11 月 30 日之前为这些 SKU 提供迁移路径。 有关详细信息,请参阅 VPN 网关旧版 SKU 一文。
你目前无需执行任何操作。
在 2023 年 11 月 30 日宣布弃用后,我可以创建使用标准或高性能 SKU 的新网关吗?
否。 从 2023 年 12 月 1 日开始,你无法创建使用标准或高性能 SKU 的网关。 可以创建使用 VpnGw1 和 VpnGw2 SKU 的网关,其价格与标准和高性能 SKU 相同,分别列在定价页面上。
标准和高性能 SKU 会支持我的现有网关多久?
所有使用标准或高性能 SKU 的现有网关所受到的支持将会持续到 2025 年 9 月 30 日。
我现在需要从标准或高性能 SKU 迁移网关吗?
否。现在不需要采取任何行动。 可以从 2024 年 12 月开始迁移网关。 我们将发送包含有关迁移步骤的详细文档的通信。
我可以将网关迁移到哪个 SKU?
当网关 SKU 迁移可用时,可以按如下方式迁移 SKU:
- 从标准到 VpnGw1
- 从高性能到 VpnGw2
如果我想迁移到 AZ SKU,该怎么办?
无法将弃用的 SKU 迁移到 AZ SKU。 但是,2025 年 9 月 30 日之后仍在使用标准或高性能 SKU 的所有网关将自动迁移并升级到 AZ SKU,如下所示:
- 从标准到 VpnGw1AZ
- 从高性能到 VpnGw2AZ
可以使用此策略将 SKU 自动迁移并升级到 AZ SKU。 然后可以在必要时重设该 SKU 系列中的 SKU 大小。 如需了解 AZ SKU 定价,请查看定价页面。 有关 SKU 的吞吐量信息,请参阅“关于网关 SKU 的信息”。
迁移后网关价格会有差异吗?
如果你在 2025 年 9 月 30 日之前迁移 SKU,则不会出现价格差异。 VpnGw1 和 VpnGw2 SKU 的价格分别与标准 SKU 和高性能 SKU 的价格相同。
如果未在该日期之前迁移,则 SKU 会自动迁移并升级到 AZ SKU。 在这种情况下,就会存在价格差异。
此次迁移会对网关性能产生影响吗?
是的。 使用 VpnGw1 和 VpnGw2 可以获得更好的性能。 目前,650 Mbps 的 VpnGw1 以与标准 SKU 相同的价格提供 6.5 倍的性能提升。 1 Gbps 的 VpnGw2 以与高性能 SKU 相同的价格提供 5 倍的性能提升。 有关 SKU 吞吐量的详细信息,请参阅关于网关 SKU。
如果我没有在 2025 年 9 月 30 日之前进行迁移,会发生什么情况?
仍使用标准或高性能 SKU 的所有网关都将自动迁移并升级到以下 AZ SKU:
- 从标准到 VpnGw1AZ
- 从高性能到 VpnGw2AZ
在任何网关上启动迁移之前,我们都会发送通信。
VPN 网关基本 SKU 也会停用吗?
否,VPN 网关基本 SKU 不会停用。 可以通过 Azure PowerShell 或 Azure CLI 使用基本 SKU 创建 VPN 网关。
目前,VPN 网关基本 SKU 仅支持基本 SKU 公共 IP 地址资源(即将停用)。 我们正在努力为 VPN 网关基本 SKU 添加对标准 SKU 公共 IP 地址资源的支持。
站点到站点连接和 VPN 设备
选择 VPN 设备时应考虑什么?
我们在与设备供应商合作的过程中验证了一系列的标准站点到站点 VPN 设备。 可在关于 VPN 设备一文中找到已知兼容的 VPN 设备及其相应的配置说明/示例和设备规格的列表。
设备系列中列为已知兼容设备的所有设备都应适用于虚拟网络。 若要获取配置 VPN 设备的帮助,请参考对应于相应设备系列的设备配置示例或链接。
在哪里可以找到 VPN 设备配置设置?
根据所用的 VPN 设备,有时可以下载 VPN 设备配置脚本。 有关详细信息,请参阅下载 VPN 设备配置脚本。
以下链接提供了更多配置信息:
有关兼容 VPN 设备的信息,请参阅关于 VPN 设备。
在配置 VPN 设备之前,请检查是否存在任何已知的设备兼容性问题。
有关设备配置设置的链接,请参阅已验证的 VPN 设备。 我们会尽量提供设备配置链接,但你最好是咨询设备制造商以获取最新的配置信息。
该列表显示了我们已测试过的版本。 即使列表中未显示你的 VPN 设备的 OS 版本,该版本也仍然可能是兼容的。 请咨询设备制造商。
有关 VPN 设备配置的基本信息,请参阅合作伙伴 VPN 设备配置概述。
若要了解如何编辑设备配置示例,请参阅编辑示例。
有关加密要求的信息,请参阅关于加密要求和 Azure VPN 网关。
有关完成配置所需的参数的信息,请参阅默认 IPsec/IKE 参数。 这些信息包括 IKE 版本、Diffie-Hellman (DH) 组、身份验证方法、加密和哈希算法、安全关联 (SA) 生存期、完美前向保密 (PFS) 和对等体存活检测 (DPD)。
有关 IPsec/IKE 策略配置步骤,请参阅为 S2S VPN 和 VNet 到 VNet 配置自定义 IPsec/IKE 连接策略。
若要连接多个基于策略的 VPN 设备,请参阅将 VPN 网关连接到多个基于策略的本地 VPN 设备。
如何编辑 VPN 设备配置示例?
请参阅编辑设备配置示例。
在何处查找 IPsec 和 IKE 参数?
请参阅默认 IPsec/IKE 参数。
在流量处于空闲状态时,为何我的基于策略的 VPN 隧道会关闭?
对于基于策略(也称为静态路由)的 VPN 网关来说,此行为是预期的行为。 当经过隧道的流量处于空闲状态五分钟以上时,系统会销毁该隧道。 当流量朝任一方向开始流动时,该隧道将立刻重新建立。
我可以使用软件 VPN 连接到 Azure 吗?
我们支持将 Windows Server 2012 路由和远程访问服务器用于站点到站点跨界配置。
其他软件 VPN 解决方案只要遵循行业标准 IPsec 实现,就会与网关兼容。 有关配置和支持说明,请与该软件的供应商联系。
位于具有活动站点到站点连接的站点时,是否可以通过点到站点连接到 VPN 网关?
是的,但是点到站点客户端的公共 IP 地址必须与站点到站点 VPN 设备使用的公共 IP 地址不同,否则点到站点连接将无效。 对于具有 IKEv2 的点到站点连接,无法从在同一 VPN 网关上配置站点到站点 VPN 连接的相同公共 IP 地址来启动。
点到站点连接
点到站点配置中可有多少个 VPN 客户端终结点?
这取决于网关 SKU。 有关支持的连接数的详细信息,请参阅网关 SKU。
点到站点连接可用于哪些客户端操作系统?
支持以下客户端操作系统:
- Windows Server 2008 R2(仅 64 位)
- Windows 8.1(32 位和 64 位)
- Windows Server 2012(仅 64 位)
- Windows Server 2012 R2(仅 64 位)
- Windows Server 2016(仅 64 位)
- Windows Server 2019(仅限 64 位)
- Windows Server 2022(仅限 64 位)
- Windows 10
- Windows 11
- macOS 10.11 或更高版本
- Linux (strongSwan)
- iOS
能否使用点到站点功能穿越代理和防火墙?
Azure 支持三种类型的点到站点 VPN 选项:
安全套接字隧道协议 (SSTP):Microsoft 专有的基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的出站 TCP 端口。
OpenVPN:基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的出站 TCP 端口。
IKEv2 VPN:一个基于标准的 IPsec VPN 解决方案,它使用出站 UDP 端口 500 和 4500 以及 IP 协议号 50。 防火墙并非始终打开这些端口,因此,IKEv2 VPN 有可能无法穿越代理和防火墙。
如果重启进行过点到站点配置的客户端计算机,是否会自动重新连接 VPN?
自动重新连接是所用客户端的一项功能。 Windows 通过 Always On VPN 客户端功能支持自动重新连接。
点到站点是否支持 VPN 客户端上的 DDNS?
点到站点 VPN 目前不支持动态 DNS (DDNS)。
对于同一虚拟网络,站点到站点配置和点到站点配置能否共存?
是的。 对于资源管理器部署模型,必须为网关使用基于路由的 VPN 类型。 对于经典部署模型,需要一个动态网关。 不支持将点到站点配置用于静态路由 VPN 网关或基于策略的 VPN 网关。
能否将点到站点客户端配置为同时连接到多个虚拟网络网关?
你可能能够连接到多个虚拟网络网关,具体取决于你使用的 VPN 客户端软件。 但只有当你连接的虚拟网络之间没有冲突的地址空间时,或你连接的虚拟网络与客户端连接的网络没有冲突的地址空间时,情况才会如此。 尽管 Azure VPN 客户端支持多个 VPN 连接,但你任何时候都只能有一个连接。
能否配置点到站点客户端,使其同时连接到多个虚拟网络?
是的。 与其他 VNet 对等互连的 VNet 中部署的 VPN 网关的点到站点客户端连接可能有权访问其他对等互连 VNet,前提是它们满足某些配置标准。 为了使点到站点客户端能够访问对等互连的 VNet,必须使用“使用远程网关”属性配置对等互连的 VNet(没有网关的 VNet)。 具有 VPN 网关的 VNet 必须配置为“允许网关传输”。 有关详细信息,请参阅关于点到站点 VPN 路由。
使用站点到站点连接或点到站点连接时,预计吞吐量为多少?
很难维持 VPN 隧道的准确吞吐量。 IPsec 和 SSTP 是重重加密的 VPN 协议。 本地网络与 Internet 之间的延迟和带宽也可能限制吞吐量。
对于仅具有 IKEv2 点到站点 VPN 连接的 VPN 网关,期望可以实现的总吞吐量取决于网关 SKU。 有关吞吐量的详细信息,请参阅网关 SKU。
能否将任何软件 VPN 客户端用于支持 SSTP 或 IKEv2 的点到站点配置?
否。 只能将 Windows 上的本机 VPN 客户端用于 SSTP,只能将 Mac 上的本机 VPN 客户端用于 IKEv2。 但是,可以在所有平台上使用 OpenVPN 客户端,以便通过 OpenVPN 协议进行连接。 请参阅支持的客户端操作系统的列表。
能否更改点到站点连接的身份验证类型?
是的。 在门户中,转到“VPN 网关”>“点到站点配置”。 对于“身份验证类型”,请选择要使用的身份验证类型。
更改身份验证类型后,在生成、下载新的 VPN 客户端配置文件并将其应用到每个 VPN 客户端之前,当前客户端可能无法进行连接。
何时需要生成新的 VPN 客户端配置文件配置包?
更改 P2S VPN 网关的配置设置(例如添加隧道类型或更改身份验证类型)时,需要生成新的 VPN 客户端配置文件配置包。 新包包含 VPN 客户端连接到 P2S 网关所需的已更新设置。 生成包后,请使用文件中的设置来更新 VPN 客户端。
Azure 是否支持使用 Windows 的 IKEv2 VPN?
Windows 10 和 Windows Server 2016 支持 IKEv2。 但是,若要在某些 OS 版本中使用 IKEv2,必须在本地安装更新并设置注册表项值。 Windows 10 以前的 OS 版本不受支持,只能使用 SSTP 或 OpenVPN 协议。
注意
比 Windows 10 版本 1709 和 Windows Server 2016 版本 1607 更新的 Windows OS 内部版本不需要这些步骤。
为 IKEv2 准备 Windows 10 或 Windows Server 2016:
根据 OS 版本安装更新:
OS 版本 Date 编号/链接 Windows Server 2016
Windows 10 版本 16072018 年 1 月 17 日 KB4057142 Windows 10 版本 1703 2018 年 1 月 17 日 KB4057144 Windows 10 版本 1709 2018 年 3 月 22 日 KB4089848 设置注册表项值。 在注册表中创建
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload
REG_DWORD
项或将其设置为1
。
点到站点连接的 IKEv2 流量选择器限制是多少?
Windows 10 版本 2004(2021 年 9 月发布)将流量选择器限制增加到 255。 Windows 的更早版本的流量选择器限制为 25。
Windows 中的流量选择器限制决定了虚拟网络中的最大地址空间数,以及本地网络、VNet 到 VNet 连接和连接到网关的对等互连 VNet 的最大总和。 如果基于 Windows 的点到站点客户端超过此限制,它们将无法通过 IKEv2 进行连接。
点到站点连接的 OpenVPN 流量选择器限制是多少?
OpenVPN 的流量选择器限制为 1,000 个路由。
为 P2S VPN 连接配置 SSTP 和 IKEv2 时,会发生什么情况?
在混合环境(包括 Windows 设备和 Mac 设备)中配置 SSTP 和 IKEv2 时,Windows VPN 客户端始终会先尝试 IKEv2 隧道。 如果 IKEv2 连接不成功,客户端会回退到 SSTP。 macOS 仅通过 IKEv2 进行连接。
在网关上同时启用 SSTP 和 IKEv2 后,点到站点地址池将在两者之间进行静态拆分,因此使用不同协议的客户端是任一子范围内的 IP 地址。 即使地址范围大于 /24,SSTP 客户端的最大数量也始终为 128。 结果是 IKEv2 客户端可以使用更多数量的地址。 对于较小的范围,池将减半。 网关使用的流量选择器可能不包括点到站点地址范围的无类别域际路由选择 (CIDR) 块,但包括两个子范围的 CIDR 块。
Azure 支持在哪些平台上使用 P2S VPN?
Azure 支持将 Windows、Mac 和 Linux 用于 P2S VPN。
我已部署 VPN 网关。 是否可以在其上启用 RADIUS 或 IKEv2 VPN?
是的。 如果所用网关 SKU 支持 RADIUS 或 IKEv2,则可使用 Azure PowerShell 或 Azure 门户在已部署的网关上启用这些功能。 基本 SKU 不支持 RADIUS 或 IKEv2。
为何我会从 Azure VPN 客户端断开连接? 可以做些什么来降低断开连接的频率?
可能会看到以下消息之一:
- 在适用于 Windows ver 的 Azure VPN 客户端中。3.4.0.0:“使用 Microsoft Entra 进行用户身份验证已过期。 需要在 Entra 中重新进行身份验证才能获取新令牌。 管理员可以优化身份验证超时。”
- 在适用于 macOS ver 的 Azure VPN 客户端中。2.7.101:“Microsoft Entra 的身份验证已过期,因此需要重新进行身份验证,以获取新的令牌。 请再次尝试连接。 身份验证策略和超时由管理员在 Entra 租户中配置。”
点到站点连接断开连接,因为从 Entra ID 获取的 Azure VPN 客户端中的当前刷新令牌已过期或失效。 此令牌大约每小时会更新一次。 Entra 租户管理员可以通过添加条件访问策略来扩展登录频率。 请与 Entra 租户管理员合作,以延长刷新令牌过期间隔。
有关详细信息,请参阅:VPN 客户端错误:Microsoft Entra 的身份验证已过期。
如何删除 P2S 连接的配置?
可使用以下 Azure PowerShell 或 Azure CLI 命令删除 P2S 配置:
$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`
$gw.VPNClientConfiguration = $null`
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`
az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"
使用证书身份验证的点到站点连接
如果点到站点证书身份验证连接出现证书不匹配的情况,我该怎么办?
清除“通过验证证书来验证服务器的标识”复选框。 或者在手动创建配置文件时将服务器的完全限定的域名 (FQDN) 与证书一起添加。 为此,可以在命令提示符下运行 rasphone
,并从下拉列表中选择配置文件。
通常不建议绕过服务器标识验证。 但在使用 Azure 证书身份验证的情况下,会在 VPN 隧道协议(IKEv2 或 SSTP)和可扩展身份验证协议 (EAP) 中将同一证书用于服务器验证。 由于 VPN 隧道协议已验证服务器证书和 FQDN,因此在 EAP 中再次验证它们就是多余的。
是否可以使用自己的内部 PKI 根 CA 来生成用于点到站点连接的证书?
是的。 以前只可使用自签名根证书。 仍可上传 20 个根证书。
是否可以使用 Azure 密钥保管库中的证书?
不是。
可以使用哪些工具来创建证书?
可以使用企业公钥基础结构 (PKI) 解决方案(内部 PKI)、Azure PowerShell、MakeCert 和 OpenSSL。
是否有证书设置和参数的说明?
有关 .cer 和 .pfx 文件格式,请参阅:
有关 .pem 文件格式,请参阅:
使用 RADIUS 身份验证的点到站点连接
是否所有 Azure VPN 网关 SKU 都支持 RADIUS 身份验证?
除了基本 SKU 之外,所有 SKU 都支持 RADIUS 身份验证。
对于旧版 SKU,标准和高性能 SKU 支持 RADIUS 身份验证。
经典部署模型是否支持 RADIUS 身份验证?
否。
发送到 RADIUS 服务器的 RADIUS 请求的超时期限是多少?
RADIUS 请求设置为在 30 秒后超时。 目前不支持用户定义的超时值。
是否支持第三方 RADIUS 服务器?
是的。
若要确保 Azure 网关能够访问本地 RADIUS 服务器,对连接有何要求?
你需要一个到本地站点的 VPN 站点到站点连接,并配置正确的路由。
是否可以通过 ExpressRoute 连接来传送(从 VPN 网关)流向本地 RADIUS 服务器的流量?
否。 它只能通过站点到站点连接进行传送。
RADIUS 身份验证支持的 SSTP 连接数是否有变化? 支持的最大 SSTP 和 IKEv2 连接数是多少?
RADIUS 身份验证在网关上支持的最大 SSTP 连接数没有变化。 对于 SSTP,它仍然为 128;但对于 IKEv2,它取决于网关 SKU。 有关支持的连接数的详细信息,请参阅关于网关 SKU。
通过 RADIUS 服务器进行的证书身份验证与通过上传受信任证书进行的 Azure 本机证书身份验证有何区别?
在 RADIUS 证书身份验证中,身份验证请求被转发到处理证书验证的 RADIUS 服务器。 如果希望通过 RADIUS 与已有的证书身份验证基础结构进行集成,则此选项非常有用。
使用 Azure 进行证书身份验证时,由 VPN 网关执行证书验证。 需要将证书公钥上传到网关。 还可以指定不允许进行连接的已吊销证书的列表。
RADIUS 身份验证是否支持用于多重身份验证的网络策略服务器集成?
如果多重身份验证基于文本(例如短信或移动应用验证码),并且要求用户在 VPN 客户端 UI 中输入代码或文本,则身份验证会失败,是不受支持的方案。 请参阅将 Azure VPN 网关 RADIUS 身份验证与 NPS 服务器集成以实现多重身份验证。
RADIUS 身份验证是否同时适用于 IKEv2 和 SSTP VPN?
是的,IKEv2 和 SSTP VPN 都支持 RADIUS 身份验证。
RADIUS 身份验证是否适用于 OpenVPN 客户端?
OpenVPN 协议支持 RADIUS 身份验证。
VNet 到 VNet 连接和多站点连接
此部分中的 VNet 到 VNet 信息适用于 VPN 网关连接。 有关 VNet 对等互连的信息,请参阅虚拟网络对等互连。
Azure 会对 VNet 之间的流量收费吗?
当使用 VPN 网关连接时,同一区域中的 VNet 到 VNet 流量双向均免费。 跨区域 VNet 到 VNet 传出流量根据源区域的出站 VNet 间数据传输费率收费。 有关详细信息,请参阅 Azure VPN 网关定价。 如果你使用 VNet 对等互连而非 VPN 网关连接 VNet,请参阅 Azure 虚拟网络定价。
VNet 到 VNet 流量是否流经 Internet?
不能。 VNet 到 VNet 流量通过 Microsoft Azure 主干而不是 Internet 传输。
是否可以跨 Microsoft Entra 租户建立 VNet 到 VNet 连接?
是的。 使用 VPN 网关的 VNet 到 VNet 连接可跨 Microsoft Entra 租户工作。
VNet 到 VNet 通信安全吗?
IPsec 和 IKE 加密有助于保护 VNet 到 VNet 的流量。
是否需要 VPN 设备将 VNet 连接到一起?
否。 将多个 Azure 虚拟网络连接在一起不需要 VPN 设备,除非你需要跨界连接。
我的 VNet 是否需要位于同一区域?
不能。 虚拟网络可以在相同或不同的 Azure 区域(位置)中。
如果 VNet 不在同一订阅中,订阅是否需要与同一 Microsoft Entra 租户相关联?
否。
能否在单独的 Azure 实例中使用 VNet 到 VNet 通信来连接虚拟网络?
否。 VNet 到 VNet 通信支持在同一 Azure 实例中连接虚拟网络。 例如,不能在全球 Azure 和中国、德国或美国政府 Azure 实例之间创建连接。 对于上述情形,请考虑使用站点到站点 VPN 连接。
能否将 VNet 到 VNet 用于多站点连接?
是的。 可以将虚拟网络连接与多站点 VPN 同时使用。
一个虚拟网络可以连接到多少个本地站点和虚拟网络?
请参阅网关要求表。
能否使用 VNet 到 VNet 来连接 VNet 外部的 VM 或云服务?
否。 VNet 到 VNet 通信支持连接虚拟网络。 它不支持连接不在虚拟网络中的虚拟机或云服务。
云服务或负载均衡终结点能否跨 VNet?
否。 云服务或负载均衡终结点不能跨虚拟网络,即使它们连接在一起。
能否将基于策略的 VPN 类型用于 VNet 到 VNet 连接或多站点连接?
否。 VNet 到 VNet 连接和多站点连接需要基于路由(以前称为动态路由)的 VPN 类型的 VPN 网关。
是否可以将基于路由的 VPN 类型的 VNet 连接到另一个基于策略的 VPN 类型的 VNet?
否。 两种虚拟网络都必须使用基于路由(以前称为“动态路由”)的 VPN。
VPN 隧道是否共享带宽?
是的。 虚拟网络的所有 VPN 隧道共享 VPN 网关上的可用带宽,并共享 Azure 中 VPN 网关运行时间的相同服务级别协议。
是否支持冗余隧道?
将一个虚拟网络网关配置为主动-主动模式时,支持在一对虚拟网络之间使用冗余隧道。
对于 VNet 到 VNet 配置,能否使用重叠地址空间?
不能。 不能有重叠的 IP 地址范围。
连接的虚拟网络与内部本地站点之间能否存在重叠的地址空间?
不能。 不能有重叠的 IP 地址范围。
如何在站点到站点 VPN 连接和 ExpressRoute 之间启用路由?
如果要在连接到 ExpressRoute 的分支与连接到站点到站点 VPN 的分支之间启用路由,则需设置 Azure 路由服务器。
能否使用 VPN 网关在本地站点之间传输流量或将流量传输到其他虚拟网络?
资源管理器部署模型
是的。 有关详细信息,请参阅 BGP 和路由部分。
经典部署模型
使用经典部署模型时,通过 VPN 网关传输流量是可行的,但需要依赖网络配置文件中静态定义的地址空间。 使用经典部署模型的 Azure 虚拟网络和 VPN 网关目前不支持边界网关协议 (BGP)。 没有 BGP,手动定义传输地址空间容易出错,不建议这样做。
Azure 会为同一虚拟网络的所有 VPN 连接生成同一 IPsec/IKE 预共享密钥吗?
否。 默认情况下,Azure 会为不同 VPN 连接生成不同的预共享密钥。 但是,可以使用“设置 VPN 网关密钥 REST API”或 PowerShell cmdlet 设置你想要的密钥值。 密钥只能包含可打印的 ASCII 字符,但空格、连字符 (-) 或波浪号 (~) 除外。
使用更多站点到站点 VPN 我会为单个虚拟网络获取更多带宽吗?
否。 所有 VPN 隧道(包括点到站点 VPN)共享同一 VPN 网关和可用带宽。
能否使用多站点 VPN 在我的虚拟网络和本地站点之间配置多个隧道?
是,但必须在两个通向同一位置的隧道上配置 BGP。
Azure VPN 网关是否采用会影响到本地站点多个连接之间的路由决策的 AS 路径预置?
是的,Azure VPN 网关会遵循自治系统 (AS) 路径预置,这样有助于在启用 BGP 时做出路由决策。 在 BGP 路径选择中会首选较短的 AS 路径。
创建新的 VPN VirtualNetworkGateway 连接时,能否使用 RoutingWeight 属性?
否。 此类设置仅供 ExpressRoute 网关连接使用。 如果要影响多个连接之间的路由决策,则需要使用 AS 路径预置。
能否将点到站点 VPN 用于具有多个 VPN 隧道的虚拟网络?
是的。 可以将点到站点 VPN 用于连接到多个本地站点和其他虚拟网络的 VPN 网关。
是否可以将使用 IPsec VPN 的虚拟网络连接到我的 ExpressRoute 线路?
是,系统支持该操作。 有关详细信息,请参阅配置 ExpressRoute 和站点到站点共存连接。
IPsec/IKE 策略
是否所有 Azure VPN 网关 SKU 都支持自定义 IPsec/IKE 策略?
除基本 SKU 外,所有 Azure VPN 网关 SKU 都支持自定义 IPsec/IKE 策略。
在一个连接上可以指定多少个策略?
你只能为一个连接指定一个策略组合。
我是否可以在连接上指定部分策略(例如,仅指定 IKE 算法,但不指定 IPsec)?
否,必须指定 IKE(主模式)和 IPsec(快速模式)的所有算法和参数。 不允许指定部分策略。
自定义策略支持哪些算法和密钥强度?
下表列出了可配置的受支持加密算法和密钥强度。 必须为每个字段选择一个选项。
IPsec/IKEv2 | 选项 |
---|---|
IKEv2 加密 | GCMAES256、GCMAES128、AES256、AES192、AES128 |
IKEv2 完整性 | SHA384、SHA256、SHA1、MD5 |
DH 组 | DHGroup24、ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、无 |
IPsec 加密 | GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、无 |
IPsec 完整性 | GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5 |
PFS 组 | PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、无 |
快速模式 SA 生存期 | (可选;如果未指定,则使用默认值) 秒(整数;最小值为 300,默认值为 27,000) KB(整数;最小值为 1,024,默认值为 10,2400,000) |
流量选择器 | UsePolicyBasedTrafficSelectors ($True 或 $False ,但可选;如果未指定,则使用默认值 $False ) |
DPD 超时 | 秒(整数;最小值为 9,最大值为 3,600,默认值为 45) |
本地 VPN 设备配置必须匹配或者包含你在 Azure IPsec 或 IKE 策略上指定的以下算法和参数:
- IKE 加密算法(主模式,阶段 1)
- IKE 完整性算法(主模式,阶段 1)
- DH 组(主模式,阶段 1)
- IPsec 加密算法(快速模式,阶段 2)
- IPsec 完整性算法(快速模式,阶段 2)
- PFS 组(快速模式,阶段 2)
- 流量选择器(如果使用
UsePolicyBasedTrafficSelectors
) - SA 生存期(不需要匹配的本地规范)
如果使用 GCMAES 作为 IPsec 加密算法,则必须为 IPsec 完整性选择相同的 GCMAES 算法和密钥长度。 例如,对这两者使用 GCMAES128。
在算法和密钥表中:
- IKE 对应于主模式或阶段 1。
- IPsec 对应于快速模式或阶段 2。
- DH 组指定在主模式或阶段 1 中使用的 Diffie-Hellman 组。
- PFS 组指定在快速模式或阶段 2 中使用的 Diffie-Hellman 组。
在 Azure VPN 网关上,IKE 主模式 SA 生存期固定为 28,800 秒。
UsePolicyBasedTrafficSelectors
是连接上的可选参数。 如果在连接上将UsePolicyBasedTrafficSelectors
设置为$True
,则会将 VPN 网关配置为连接到基于策略的本地 VPN 防火墙。如果启用
UsePolicyBasedTrafficSelectors
,请确保 VPN 设备已使用本地网络(本地网关)前缀与 Azure 虚拟网络前缀的所有组合定义了匹配的(而不是任意到任意的)流量选择器。 VPN 网关接受远程 VPN 网关建议的任何流量选择器,无论 VPN 网关上采用了哪种配置。例如,如果本地网络前缀为 10.1.0.0/16 和 10.2.0.0/16,虚拟网络前缀为 192.168.0.0/16 和 172.16.0.0/16,则需指定以下流量选择器:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
有关基于策略的流量选择器的详细信息,请参阅将 VPN 网关连接到多个基于策略的本地 VPN 设备。
将超时设置为较短的时长会导致 IKE 更主动地重新生成密钥。 这可能会导致连接在某些实例中看起来是断开的。 在本地位置离 VPN 网关所在的 Azure 区域较远时,或者物理链接条件可能会导致数据包丢失时,你可能不希望出现这种情况。 我们通常建议将超时设置为 30 至 45 秒。
有关详细信息,请参阅将一个 VPN 网关连接到多个基于策略的本地 VPN 设备。
自定义策略支持哪些 Diffie-Hellman 组?
下表列出了自定义策略支持的相应 Diffie-Hellman 组:
Diffie-Hellman 组 | DHGroup | PFSGroup | 密钥长度 |
---|---|---|---|
1 | DHGroup1 | PFS1 | 768 位 MODP |
2 | DHGroup2 | PFS2 | 1024 位 MODP |
14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048 位 MODP |
19 | ECP256 | ECP256 | 256 位 ECP |
20 | ECP384 | ECP384 | 384 位 ECP |
24 | DHGroup24 | PFS24 | 2048 位 MODP |
自定义策略是否会代替 VPN 网关的默认 IPsec/IKE 策略集?
是的。 在连接上指定自定义策略后,Azure VPN 网关仅在连接上使用该策略,同时充当 IKE 发起方和 IKE 响应方。
如果删除自定义 IPsec/IKE 策略,连接是否会变得不受保护?
否,IPsec/IKE 仍有助于保护连接。 从连接中移除自定义策略以后,VPN 网关会恢复使用默认的 IPsec/IKE 提议列表,并重启与本地 VPN 设备的 IKE 握手。
添加或更新 IPsec/IKE 策略是否会中断 VPN 连接?
是的。 它会导致短时中断(几秒钟),因为 VPN 网关会断开现有连接并重启 IKE 握手,以便使用新的加密算法和参数重建 IPsec 隧道。 请确保本地 VPN 设备也使用匹配的算法和密钥强度进行配置,从而最大程度减少中断。
是否可以在不同的连接上使用不同的策略?
是的。 自定义策略是针对每个连接应用的。 可以在不同的连接上创建并应用不同的 IPsec/IKE 策略。
也可选择在连接子集上应用自定义策略。 剩余连接使用 Azure 默认 IPsec/IKE 策略集。
是否可以在 VNet 到 VNet 连接上使用自定义策略?
是的。 可以在 IPsec 跨界连接和 VNet 到 VNet 连接上应用自定义策略。
是否需在两个 VNet 到 VNet 连接资源上指定同一策略?
是的。 VNet 到 VNet 隧道包含 Azure 中的两个连接资源,一个方向一个资源。 确保两个连接资源具有相同的策略。 否则,VNet 到 VNet 连接无法建立。
默认的 DPD 超时值是多少? 能否指定其他 DPD 超时值?
VPN 网关的默认 DPD 超时为 45 秒。 你可在每个 IPsec 或 VNet 到 VNet 连接上指定不同的 DPD 超时值(9 到 3,600 秒)。
注意
将超时设置为较短的时长会导致 IKE 更主动地重新生成密钥。 这可能会导致连接在某些实例中看起来是断开的。 在本地位置离 VPN 网关所在的 Azure 区域较远时,或者物理链接条件可能会导致数据包丢失时,你可能不希望出现这种情况。 我们通常建议将超时设置为 30 至 45 秒。
能否在 ExpressRoute 连接上使用自定义 IPsec/IKE 策略?
否。 只能通过 VPN 网关在 S2S VPN 和 VNet 到 VNet 连接上使用 IPsec/IKE 策略。
如何使用 IKEv1 或 IKEv2 协议类型创建连接?
可以在所有基于路由的 VPN 类型 SKU 上创建 IKEv1 连接,但基本 SKU、标准 SKU 和其他早期 SKU除外。
创建连接时,可以指定 IKEv1 或 IKEv2 连接协议类型。 如果未指定连接协议类型,IKEv2 将用作默认选项(如果适用)。 有关详细信息,请参阅 Azure PowerShell cmdlet 文档。
有关 IKEv1 和 IKEv2 的 SKU 类型和支持的信息,请参阅将一个 VPN 网关连接到多个基于策略的本地 VPN 设备。
是否允许在 IKEv1 连接和 IKEv2 连接之间进行传输?
是的。
是否可以在基于路由的 VPN 类型的基本 SKU 上建立 IKEv1 站点到站点连接?
否。 基本 SKU 不支持此配置。
能否在创建连接(从 IKEv1 到 IKEv2 的连接,或者反方向的连接)后更改连接协议类型?
否。 创建连接后,无法更改 IKEv1 和 IKEv2 协议。 必须先删除旧连接,然后重新创建具有所需协议类型的新连接。
为什么我的 IKEv1 连接频繁地重新连接?
如果静态路由或基于路由的 IKEv1 连接每隔一段时间就断开一次,可能是因为 VPN 网关不支持就地重新生成密钥。 如果主模式正在重新生成密钥,IKEv1 隧道会断开连接,需要最多 5 秒的时间来重新连接。 主模式协商超时值决定着重新生成密钥的频率。 为了防止出现这些重新连接,可以切换到使用 IKEv2,它支持就地重新生成密钥。
如果连接不定时地重新连接,请按照故障排除指南执行操作。
在哪里可以找到配置的详细信息和步骤?
请参阅以下文章:
- 为 S2S VPN 和 VNet 到 VNet 配置自定义 IPsec/IKE 连接策略:Azure 门户
- 为 S2S VPN 和 VNet 到 VNet 配置自定义 IPsec/IKE 连接策略:PowerShell
BGP 和路由
BGP 是否在所有 Azure VPN 网关 SKU 上受支持?
除了基本 SKU,其他所有 Azure VPN 网关 SKU 都支持 BGP。
能否将 BGP 用于 Azure 策略 VPN 网关?
否,只有基于路由的 VPN 网关支持 BGP。
可以使用哪些 ASN?
可以将自己的公共自治系统编号 (ASN) 或专用 ASN 同时用于本地网络和 Azure 虚拟网络。
你不能使用以下保留 ASN:
由 Azure 保留:
- 公用 ASN:8074、8075、12076
- 专用 ASN:65515、65517、65518、65519、65520
-
- 23456、64496-64511、65535-65551、429496729
连接到 VPN 网关时,不能为本地 VPN 设备指定这些 ASN。
是否可以使用 32 位(4 字节)ASN?
可以,Azure VPN 网关现在支持 32 位(4 字节)ASN。 若要使用 ASN 以十进制格式进行配置,请使用 Azure PowerShell、Azure CLI 或 Azure SDK。
可以使用哪些专用 ASN?
可用的专用 ASN 范围包括:
- 64512-65514 和 65521-65534
IANA 和 Azure 均不保留这些 ASN,因此你可以将它们分配给你的 VPN 网关。
Azure VPN 网关将哪个地址用于 BGP 对等节点 IP?
默认情况下,Azure VPN 网关为主备 VPN 网关分配 GatewaySubnet
范围中的一个 IP 地址,或者为双活 VPN 网关分配两个 IP 地址。 在你创建 VPN 网关时,系统会自动分配这些地址。
可以通过 Azure PowerShell 或 Azure 门户找到分配的 BGP IP 地址。 在 PowerShell 中使用 Get-AzVirtualNetworkGateway
,并查找 bgpPeeringAddress
属性。 在 Azure 门户的“网关配置”页面上的“配置 BGP ASN”属性下查看 。
如果本地 VPN 路由器使用自动专用 IP 寻址 (APIPA) IP 地址 (169.254.x.x) 作为 BGP IP 地址,则必须在 VPN 网关上指定一个或多个 Azure APIPA BGP IP 地址。 Azure VPN 网关会选择 APIPA 地址,将其与本地网关中指定的本地 APIPA BGP 对等节点结合使用,或选择非 APIPA 本地 BGP 对等节点的专用 IP 地址。 有关详细信息,请参阅为 Azure VPN 网关配置 BGP。
VPN 设备上的 BGP 对等节点 IP 地址的要求是什么?
本地 BGP 对等节点地址不得与 VPN 设备的公共 IP 地址相同,也不得来自 VPN 网关的 VNet 地址空间。 在 VPN 设备上对 BGP 对等节点 IP 使用不同的 IP 地址。 它可以是一个分配给设备上环回接口的地址(常规 IP 地址或 APIPA 地址)。
如果设备对 BGP 使用 APIPA 地址,你必须在 VPN 网关上指定一个或多个 APIPA BGP IP 地址,如为 Azure VPN 网关配置 BGP 中所述。 请在代表该位置的相应本地网关中指定这些地址。
使用 BGP 时应将什么指定为本地网关的地址前缀?
重要
这是之前记录的要求中的一项更改。
Azure VPN 网关将在内部添加一个通过 IPsec 隧道传往本地 BGP 对等节点 IP 的主机路由。 请不要在“地址空间”字段中添加 /32 路由,因为它是冗余的。 如果使用 APIPA 地址作为本地 VPN 设备 BGP IP,则无法将它添加到此字段。
如果在“地址空间”字段中添加任何其他前缀,则这些前缀将作为静态路由添加到 Azure VPN 网关上(通过 BGP 获知的路由除外)。
能否将同一个 ASN 同时用于本地 VPN 网络和 Azure 虚拟网络?
否。 必须在本地网络和 Azure 虚拟网络之间分配不同 ASN(如果要使用 BGP 将它们连接在一起)。
无论是否为跨界连接启用了 BGP,都会为 Azure VPN 网关分配默认 ASN(即 65515)。 可以通过在创建 VPN 网关时分配不同 ASN,或者在创建网关后更改 ASN 来覆盖此默认值。 需要将本地 ASN 分配给相应的 Azure 本地网关。
Azure VPN 网关会将哪些地址前缀播发给我?
这些网关会将以下路由播发到本地 BGP 设备:
- VNet 地址前缀
- 已连接到 VPN 网关的每个本地网关的地址前缀
- 从连接到 VPN 网关的其他 BGP 对等互连会话获知的路由,不包括默认路由或与任何虚拟网络前缀重叠的路由
我可以向 Azure VPN 网关发布多少个前缀?
Azure VPN 网关最多支持 4,000 个前缀。 如果前缀数目超过此限制,将丢弃 BGP 会话。
能否将默认路由 (0.0.0.0/0) 播发给 VPN 网关?
是的。 请记住,播发默认路由会强制所有 VNet 出口流量流向本地站点。 它还可阻止虚拟网络 VM 直接从 Internet 接收公共通信,例如从 Internet 到 VM 的远程桌面协议 (RDP) 或安全外壳 (SSH)。
在站点到站点隧道设置中,能否播发与虚拟网络前缀完全相同的前缀?
播发完全相同的前缀的能力取决于是否启用网关传输。
- 启用网关传输后:无法播发与虚拟网络(包括对等互连的虚拟网络)前缀完全相同的前缀。 Azure 会阻止或筛选任何与虚拟网络地址前缀匹配的前缀的播发。 但是,可播发属于虚拟网络地址空间超集的前缀。 例如,如果虚拟网络使用地址空间 10.0.0.0/16,则可以播发 10.0.0.0/8,而不是 10.0.0.0/16 或 10.0.0.0/24。
- 未启用网关传输时:网关不了解对等互连的虚拟网络前缀,允许播发与对等互连的虚拟网络完全相同的前缀。
能否对虚拟网络之间的连接使用 BGP?
是的。 BGP 既可用于跨界连接,也可用于虚拟网络之间的连接。
能否将 BGP 连接与非 BGP 连接混合用于 Azure VPN 网关?
能,可以将 BGP 连接和非 BGP 连接混合用于同一 Azure VPN 网关。
Azure VPN 网关是否支持 BGP 传输路由?
是的。 支持 BGP 传输路由,但例外是 VPN 网关不会将默认路由播发到其他 BGP 对等节点。 若要启用跨多个 VPN 网关的传输路由,必须在虚拟网络之间的所有中间连接上启用 BGP。 有关详细信息,请参阅关于 BGP 和 VPN 网关。
在 VPN 网关和本地网络之间能否有多个隧道?
能,可以在 VPN 网关和本地网络之间建立多个站点到站点 VPN 隧道。 所有这些隧道都将计入 Azure VPN 网关的隧道总数。必须在这两个隧道上都启用 BGP。
例如,如果在 VPN 网关与一个本地网络之间有两个冗余隧道,则它们将占用 VPN 网关的总配额中的两个隧道。
在两个使用 BGP 的 Azure 虚拟网络之间能否有多个隧道?
是,但必须至少有一个虚拟网络网关采用主动-主动配置。
能否在 Azure ExpressRoute 和 S2S VPN 共存配置中对 S2S VPN 使用 BGP?
是的。
应为 BGP 对等会话添加到本地 VPN 设备什么内容?
在 VPN 设备上添加 Azure BGP 对等节点 IP 地址的主机路由。 此路由指向 IPsec S2S VPN 隧道。
例如,如果 Azure VPN 对等节点 IP 为“10.12.255.30”,则使用匹配的 IPsec 隧道接口的下一跃点接口在VPN设备上为 “10.12.255.30” 添加主机路由。
虚拟网络网关是否支持将 BFD 用于使用 BGP 的 S2S 连接?
否。 双向转发检测 (BFD) 是一种协议,与使用标准 BGP keepalive 间隔相比,将 BFD 与 BGP 结合使用可更快地检测相邻故障时间。 BFD 使用亚秒级计时器,此类计时器专门在 LAN 环境中使用,但不得跨公共 Internet 或 WAN 连接使用。
对于通过公共 Internet 进行的连接,某些数据包延迟(甚至被删除)的情况是不常见的,因此引入这些主动计时器有可能使性能更不稳定。 这种不稳定可能导致 BGP 抑制路由。
也可为本地设备配置低于默认的 60 秒 keepalive 间隔或低于 180 秒保持时间的计时器。 此配置可缩短收敛时间。 然而,低于默认的 60 秒 keepalive 间隔或低于默认的 180 秒保持时间的计时器是不可靠的。 建议让计时器至少保持在默认值。
VPN 网关是否会启动 BGP 对等互连会话或连接?
VPN 网关会使用 VPN 网关上的专用 IP 地址,为本地网关资源中指定的本地 BGP 对等节点 IP 地址启动 BGP 对等互连会话。 此过程与本地 BGP IP 地址是 APIPA 范围内的地址还是常规专用 IP 地址无关。 如果本地 VPN 设备使用 APIPA 地址作为 BGP IP,则需要配置 BGP 发言者来启动连接。
是否可以配置强制隧道?
是的。 请参阅 配置强制隧道。
NAT
NAT 是否在所有 Azure VPN 网关 SKU 上都受支持?
VpnGw2 到 VpnGw25 和 VpnGw2AZ 到 VpnGw5AZ 支持 NAT。
是否可以在 VNet 到 VNet 连接或 P2S 连接上使用 NAT?
错误。
在一个 VPN 网关上可以使用多少个 NAT 规则?
在一个 VPN 网关上最多可以创建 100 个 NAT 规则(包括传入和传出规则)。
是否可以在 NAT 规则名称中使用斜杠 (/)?
否。 你将收到错误。
NAT 是否应用于 VPN 网关上的所有连接?
NAT 应用于带有 NAT 规则的连接。 如果某个连接没有 NAT 规则,则 NAT 不会对该连接生效。 在同一个 VPN 网关上,可以将一些带有 NAT 的连接与其他不带有 NAT 的连接一起使用。
VPN 网关支持哪些类型的 NAT?
VPN 网关仅支持静态 1:1 NAT 和动态 NAT。 它们不支持 NAT64。
NAT 是否可在主动-主动 VPN 网关上正常工作?
是的。 NAT 可以在主动-主动和主动-备用 VPN 网关上正常工作。 每个 NAT 规则都将应用于 VPN 网关的单个实例。 在主动-主动网关中,请通过“IP 配置 ID”字段为每个网关实例创建单独的 NAT 规则。
NAT 是否适用于 BGP 连接?
是,可将 BGP 与 NAT 配合使用。 下面是一些重要注意事项:
若要确保基于与连接关联的 NAT 规则,将获知的路由和播发的路由转换为执行 NAT 后的地址前缀(外部映射),请在 NAT 规则的配置页上选择“启用 BGP 路由转换”。 本地 BGP 路由器必须播发 IngressSNAT 规则中定义的确切前缀。
如果本地 VPN 路由器使用普通的非 APIPA 地址,但该地址与 VNet 地址空间或其他本地网络空间有冲突,请确保 IngressSNAT 规则会将 BGP 对等节点 IP 转换为唯一的不重叠地址。 请将执行 NAT 后的地址置于本地网关的“BGP 对等节点 IP 地址”字段中。
BGP APIPA地址不支持NAT。
是否需要为 SNAT 规则创建匹配的 DNAT 规则?
否。 单个源网络地址转换 (SNAT) 规则定义特定网络的双向转换:
IngressSNAT 规则定义从本地网络进入 VPN 网关的源 IP 地址的转换。 它还会处理离开虚拟网络并进入同一本地网络的目标 IP 地址的转换。
EgressSNAT 规则定义离开 VPN 网关后进入本地网络的 VNet 源 IP 地址的转换。 它还会处理通过那些带有 EgressSNAT 规则的连接进入虚拟网络的数据包的目标 IP 地址转换。
无论哪种情况,你都不需要目标网络地址转换 (DNAT) 规则。
如果我的 VNet 或本地网络网关地址空间具有两个或更多个前缀,该怎么办? 是可以将 NAT 应用于所有这些前缀,还是只能应用于其中的一部分?
每个前缀都需要创建一个 NAT 规则,因为每个 NAT 规则只能包含 NAT 的一个地址前缀。 例如,如果本地网关的地址空间包括 10.0.1.0/24 和 10.0.2.0/25,则你可以创建两个规则:
- IngressSNAT 规则 1:将 10.0.1.0/24 映射到 192.168.1.0/24。
- IngressSNAT 规则 2:将 10.0.2.0/25 映射到 192.168.2.0/25。
这两个规则必须与相应地址前缀的前缀长度相匹配。 该准则同样适用于 VNet 地址空间的 EgressSNAT 规则。
重要
如果只将一个规则链接到上述连接,则不会转换其他地址空间。
我可以使用哪些 IP 范围进行外部映射?
你可以根据需要使用任何适合外部映射的 IP 范围,其中包括公共 IP 和专用 IP。
是否可以使用不同的 EgressSNAT 规则将 VNet 地址空间转换为本地网络的不同前缀?
是的。 可为同一个 VNet 地址空间创建多个 EgressSNAT 规则,然后将 EgressSNAT 规则应用于不同的连接。
是否可以在不同的连接上使用同一个 IngressSNAT 规则?
是的。 当连接是针对同一个本地网络时,通常使用相同的 IngressSNAT 规则来提供冗余。 如果这些连接是针对不同的本地网络,则不能使用同一个传入规则。
一个 NAT 连接上是否既需要使用传入规则,又需要使用传出规则?
如果本地网络地址空间与 VNet 地址空间重叠,则在同一连接上既需要使用传入规则,又需要使用传出规则。 如果 VNet 地址空间在所有连接的网络中是独一无二的,则不需要在这些连接上使用 EgressSNAT 规则。 可以使用传入规则来避免本地网络之间出现地址重叠的情况。
选择什么作为 IP 配置 ID?
“IP 配置 ID”只是你希望 NAT 规则使用的 IP 配置对象的名称。 使用此设置,只需选择适用于 NAT 规则的网关公共 IP 地址。 如果在创建网关时未指定任何自定义名称,则会将网关的主 IP 地址分配给“默认”IP 配置,将辅助 IP 分配给“activeActive”IP 配置。
跨界连接和 VM
如果虚拟机位于虚拟网络中,而连接是跨界连接,应如何连接到该 VM?
如果为 VM 启用了 RDP,则可使用专用 IP 地址连接到虚拟机。 在这种情况下,请指定要连接到的专用 IP 地址和端口(通常为 3389)。 需要在虚拟机上配置用于流量的端口。
也可以使用位于同一虚拟网络中的另一个虚拟机的专用 IP 地址连接到虚拟机。 如果要从虚拟网络外部的位置进行连接,则无法使用专用 IP 地址以 RDP 的方式连接到虚拟机。 例如,如果配置了点到站点虚拟网络,并且未从计算机建立连接,则无法通过专用 IP 地址连接到虚拟机。
如果我的虚拟机位于使用跨界连接的虚拟网络中,从我的 VM 流出的所有流量是否都会经过该连接?
否。 只有其目标 IP 包含在虚拟网络的指定本地网络 IP 地址范围内的流量才会通过虚拟网络网关。
其目标 IP 位于虚拟网络中的流量会保留在虚拟网络中。 其他流量会通过负载均衡器发送到公用网络。 或者,如果你使用强制隧道,则流量通过 VPN 网关发送。
如何排查到 VM 的 RDP 连接的问题
如果无法通过 VPN 连接连接到虚拟机,请检查以下项:
- 验证 VPN 连接是否成功。
- 验证是否已连接到 VM 的专用 IP 地址。
- 如果可以使用专用 IP 地址连接到 VM,但不能使用计算机名称进行连接,则请验证是否已正确配置 DNS。 有关 VM 名称解析工作原理的详细信息,请参阅 Azure 虚拟网络中资源的名称解析。
通过点到站点进行连接时,请检查下述其他项:
- 使用
ipconfig
来检查分配给以太网适配器的 IPv4 地址,该适配器所在的计算机正是你要从其进行连接的计算机。 如果该 IP 地址位于要连接到的虚拟网络的地址范围内,或者位于 VPN 客户端地址池的地址范围内,则表明存在重叠的地址空间。 当地址空间以这种方式重叠时,网络流量不会抵达 Azure, 而是呆在本地网络中。 - 验证是否在为虚拟网络指定 DNS 服务器 IP 地址之后,才生成 VPN 客户端配置包。 如果更新了 DNS 服务器 IP 地址,请生成并安装新的 VPN 客户端配置包。
若要详细了解如何排查 RDP 连接问题,请参阅排查远程桌面连接到 VM 的问题。
客户控制的网关维护
网关范围的维护配置中包含哪些服务?
网关范围包括网络服务中的网关资源。 网关范围内有四种类型的资源:
- ExpressRoute 服务中的虚拟网络网关
- VPN 网关服务中的虚拟网络网关
- Azure 虚拟 WAN 服务中的 VPN 网关(站点到站点)
- 虚拟 WAN 服务中的 ExpressRoute 网关
客户控制的维护支持哪种维护?
Azure 服务会定期进行维护更新,以改进功能、可靠性、性能和安全性。 为资源配置维护时段后,将在该时段内执行来宾 OS 维护和服务维护。 客户控制的维护不包括主机更新(例如超出 Power 主机更新范围的主机更新)和关键安全更新。
我是否可以提前收到维护通知?
目前无法获取用于维护网关资源的高级通知。
我是否可以配置少于 5 小时的维护时段?
目前需要在首选时区中至少配置五个小时的时段。
是否可以配置每日计划以外的维护时段?
目前,你需要配置每日维护时段。
是否存在无法控制某些更新的情况?
客户控制的维护支持来宾 OS 和服务更新。 对于客户关心的维护项而言,这些更新占了大多数。 某些其他类型的更新(包括主机更新)不在客户控制的维护的范围内。
如果高严重性安全问题可能危及客户,Azure 可能需要替代客户对维护时段的控制并推送更改。 这些更改很少出现,我们仅在极端情况下使用。
维护配置资源是否需要与网关资源位于同一区域?
是的。
可以将哪些网关 SKU 配置为使用客户控制的维护?
所有 Azure VPN 网关 SKU(基本 SKU 除外)都可以配置为使用客户控制的维护。
维护配置策略在分配到网关资源后需要多长时间才能生效?
在将维护策略与网关资源关联后,网关最多可能需要 24 小时才能遵循维护计划。
根据基本 SKU 公共 IP 地址使用客户控制的维护是否有任何限制?
是的。 客户控制的维护不适用于使用基本 SKU 公共 IP 地址的资源,但服务更新的情况除外。 对于这些网关,来宾 OS 维护将因基础结构限制而不遵循客户控制的维护计划。
在 VPN 和 ExpressRoute 共存的场景下,我应如何规划维护时段?
当你在共存方案中使用 VPN 和 ExpressRoute 时,或者当你有充当备份的资源时,建议设置单独的维护时段。 此方法可确保维护不会同时影响备份资源。
我为我的一项资源安排了一个未来日期的维护时段。 在此日期之前,该资源的维护活动是否会暂停?
不会,在计划性维护时段之前的时段内,不会在你的资源上暂停维护活动。 对于维护计划中未涵盖的日期,资源的维护将照常进行。
如何了解有关客户控制的网关维护的详细信息?
有关详细信息,请参阅为 VPN 网关配置客户控制的网关维护一文。
相关内容
- 有关 VPN 网关的详细信息,请参阅什么是 Azure VPN 网关?。
- 有关 VPN 网关配置设置的详细信息,请参阅关于 VPN 网关配置设置。
“OpenVPN”是 OpenVPN Inc. 的商标。