實作 Azure VPN 選項

  • 13 分鐘

Contoso 的資料中心支援遠端連線,讓使用者可以從遠端工作。 此外,有些分公司會透過站對站 VPN 連線到總公司的資料中心。 身為首席系統工程師,您必須實作 VPN 解決方案,以持續支援目前的使用案例。

VPN 閘道設計

您可以使用 Azure 閘道實作下列各種類型的 VPN 連線,以滿足您的組織需求:

  • S2S
  • 多網站
  • P2S
  • VNet 對 VNet

站對站

您可以透過網際網路通訊協定安全性 (IPsec)/網際網路金鑰交換 (IKE) 實作 S2S 連線。 您可以使用 S2S 連線,支援跨單位和混合式設定。 若要實作 S2S 連線,您必須使用具有公用 IP 位址的 VPN 裝置,如下列圖表所示。

一般 S2S VPN 設定的圖表。標示為 VNet1 的 VNet (IP: 10.10.0.0/16) 透過 IPsec/IKE VPN 通道經由 VPN 閘道裝置 (IP:131.1.1.) 連線到位於總公司 LocalSite1 中的 VPN 裝置 (IP:33.2.1.5)。

多網站

多網站連線是 S2S 連線的變化。 您可以使用此連線類型,從 VNet 閘道建立多個 VPN 連線。 當您實作多網站連線時,您必須使用 RouteBased VPN 類型。

顧名思義,您通常會使用此連線類型連線到多個內部部署網站,如下列圖表所示。

一般多網站 VPN 設定的圖表。位於美國西部的 VNet1 透過 VPN 閘道 (IP:131.1.1.1) 進行連線。閘道有兩個 IPsec/IKE VPN 通道。一個連線到 LocalSite1(IP:128.8.8.8),另一個連線到 LocalSite2 (IP:139.9.9.9)。

提示

VNet 只能有一個 VPN 閘道,因此所有連線會共用頻寬。

點對站

P2S VPN 連線可讓使用者從遠端網路 (例如家中) 或公用 Wi-Fi 熱點連線到您的組織。 使用者通常會起始 P2S 連線,如下列圖表所示。 在圖表中,其中兩名使用者起始安全通訊端通道通訊協定 (SSTP) 連線,而第三名使用者則使用 IKEv2。 與 S2S 連線不同的是,您不需要內部部署公眾對應 IP 位址或 VPN 裝置,即可實作 P2S 連線。

一般 P2S 設定的圖表。位於美國東部的 VNet1 連線到 VPN 閘道 (IP:131.1.1.1)。三個 VPN 通道輸入連線到 VPN 閘道。其中兩個是 SSTP 類型,而第三個是 IKEv2。用戶端使用者和裝置顯示在通道的遠端,各自有從集區配置的私人 IP 位址。

提示

您可以透過相同的 VPN 閘道,搭配 S2S 連線使用 P2S 連線。

VNet 對 VNet

在某些方面,實作 VNet 對 VNet 連線類似於將單一 VNet 連線到一個內部部署網站位置 (S2S)。 在這兩種情況下,您都會使用 VPN 閘道實作 IPsec/IKE 通道。

注意

當您透過 VPN 閘道實作 VNet 對 VNet 連線時,Vnet 不需要位於相同的 Azure 區域或訂閱中。

提示

您也可以使用對等互連功能連線 VNet,而不論位置或訂用帳戶為何。 這種方法可能更快且更具資源效率。

一般 Vnet 對 Vnet 連線的圖表。位於美國東部的 VNet1 透過 VPN 閘道 (IP:131.1.1.1) 進行連線。一個 IPsec/IKE 通道連線到位於美國西部區域 VNet4 邊緣的 VPN 閘道 (IP:151.2.2.2)。

ExpressRoute 連線

您可以使用 Azure ExpressRoute 連線,加速從內部部署網路到 Microsoft Cloud 或到您組織內其他網站的私人連線。 由於網路連線是私人的,因此不僅更安全,也可能大幅提升效能。 您可以使用 VNet 閘道設定 ExpressRoute 連線。 不過,使用 ExpressRoute 連線時,您會將 VNet 閘道設定為 [ExpressRoute] 閘道類型,而不是 [VPN]

提示

雖然預設不會加密透過 ExpressRoute 線路傳送的流量,但您可以設定連線來傳送加密的流量。

您也可以結合 ExpressRoute 與 S2S 連線,如下列圖表所示。 例如,您可以設定 S2S VPN:

  • 作為 ExpressRoute 的安全容錯移轉路徑。
  • 連線到不屬於您網路但透過 ExpressRoute 連線的網站。

此圖表顯示從美國東部 VNet1 透過 ExpressRoute 閘道和 VPN 閘道 (IP:131.1.1.1) 的雙重連線。ExpressRoute 連線提供內部部署總部網站 (IP:141.4.4.4) 的私人連線。總部網站也有連線到 VNet1 的 IPsec/IKE 通道。最後,VNet1 使用 VPN 閘道透過 IPsec/IKE 通道連線到 LocalSite2。

實作 VPN 閘道

當設定 VPN 閘道時,您必須選取並進行一些設定。 首先,您必須決定要實作原則型或路由型設定。

原則型

如果您選擇實作原則型閘道 (以靜態路由為基礎),您必須定義閘道用來判斷封包目的地的 IP 位址集合。 閘道會根據這些 IP 位址集合評估每個封包,以判斷要透過哪一個通道加密和路由傳送封包。

路由型

您可以使用路由型閘道,不用特別定義每個通道背後的 IP 位址。 使用路由型閘道時,IP 路由會判斷要透過哪一個通道介面傳送每個封包。

提示

您應該針對內部部署裝置選取路由型 VPN,因為其面對拓撲變更的彈性更高 (例如,如果您在 VNet 中建立新的子網路)。

請務必針對下列連線類型選擇路由型 VPN 閘道:

  • 虛擬網路之間的連線
  • P2S 連線
  • 多網站連線
  • 與 Azure ExpressRoute 閘道並存

其他設定

此外,您也必須定義下列設定以實作 VPN 閘道:

  • VPN 或 ExpressRoute。 選擇基本連線類型。
  • 閘道子網路位址範圍。 指定與 VPN 閘道相關聯的私人 IP 位址範圍。
  • 公用 IP 位址。 指定會與 VPN 閘道建立關聯的公用 IP 位址物件。

建立 VNet

若要實作 VPN 閘道,您必須有 VNet。 您可以在 VPN 閘道設定之前或期間建立此項目。 我們會先建立一個 VNet。 若要執行這項操作,請開啟 Azure 入口網站並完成下列程序:

  1. 選取 [建立資源],然後搜尋並選取 [虛擬網路]

  2. 在 [虛擬網路] 窗格上,選取 [建立]

  3. 指定下列適當的屬性以建立 VNet:[訂用帳戶]、[資源群組]、[名稱] 和 [區域]

    [建立虛擬網路] 頁面的螢幕擷取畫面。系統管理員已定義訂閱,並選取 ContosoResourceGroup。VNet 名稱為 ContosoVPN1,並位於美國東部區域。

  4. 選取 [下一步: IP 位址 >]

  5. 接受預設設定或進行您自己的設定,以設定您想要與 VNet 建立關聯的子網路。

  6. 選取 [檢閱 + 建立],然後選取 [建立]。

建立閘道

建立適當的 VNet 之後,您現在必須建立 VPN 閘道。 例如,若要使用 Azure 入口網站建立路由型 VPN 閘道,請使用下列程序:

  1. 在 Azure 入口網站中,搜尋並選取 [虛擬網路閘道]

  2. 在 [虛擬網路閘道] 刀鋒視窗上,選取 [建立]

  3. 在 [建立虛擬網路閘道] 刀鋒視窗上,指定下列適當的屬性以建立閘道:[訂閱]、[名稱] 和 [區域]

  4. 然後選擇您要實作 [VPN] 或 [ExpressRoute] 連線。

  5. 針對 VPN,選取 [Route-based] (路由型) 或 [Policy-based] (原則型)

    [建立虛擬網路閘道] 頁面的螢幕擷取畫面。系統管理員已定義訂用帳戶。[名稱] 為 ContosoVPNGateway,並位於美國東部區域。[閘道類型] 為 [VPN],而 [VPN 類型] 為 [路由型]。

  6. 選取您稍早建立的虛擬網路。

  7. 進行 [閘道子網路位址範圍] 和 [公用 IP 位址] 設定。

    [建立虛擬網路閘道] 頁面的螢幕擷取畫面。系統管理員已選取閘道子網路位址範圍 (10.3.1.0/24),並選擇建立名為 ContosoVPNPublic 的新公用 IP 位址。其他選項則為停用狀態。

  8. 選取 [檢閱 + 建立],然後選取 [建立]。

試試看

如果您想要使用 Azure VPN,請試做這些實驗室練習。 這些練習是以沙箱環境為基礎,不需要 Azure 訂閱即可完成: