關於 VPN 閘道組態設定
VPN 閘道連線結構依賴於多個資源的設定,每一個都包含可設定的設定。 本文各節討論與虛擬網路 VPN 閘道相關的資源和設定。 您可以在 VPN 閘道拓撲和設計一文中找到每個連線解決方案的描述和拓撲圖。
本文中的值特別適用於 VPN 閘道 (使用 -GatewayType Vpn 的虛擬網路閘道)。 如果您要尋找下列閘道類型的相關訊息,請參閱下列文章:
- 如需適用於 -GatewayType 'ExpressRoute' 的值,請參閱 ExpressRoute 的虛擬網路閘道。
- 如需了解區域備援閘道,請參閱關於區域備援閘道。
- 針對虛擬 WAN 閘道,請參閱關於虛擬 WAN。
閘道和閘道類型
虛擬網路閘道是由自動設定及部署到特定子網路 (由您所建立並稱為閘道子網路) 的兩部或多部 Azure 受控 VM 所組成。 網路閘道 VM 包含路由表,並且會執行特定的網路閘道服務。 建立虛擬網路閘道時,閘道 VM 會自動部署到閘道子網路 (一律命名為 GatewaySubnet),並使用您指定的設定進行設定。 視您選取的閘道 SKU 而定,程序可能需要 45 分鐘或更長的時間才能完成。
您在建立虛擬網路閘道時指定的其中一個設定是閘道類型。 閘道類型會決定使用虛擬網路閘道的方式,以及閘道所採取的動作。 虛擬網路可以有兩個虛擬網路閘道;一個是 VPN 閘道和一個 ExpressRoute 閘道。 -GatewayType 'Vpn' 會將所建立的虛擬網路閘道類型指定為 [VPN 閘道]。 這可區分它與 ExpressRoute 閘道。
閘道 SKU 和效能
如需閘道 SKU、效能和支援功能的最新詳細資訊,請參閱關於閘道 SKU 一文。
VPN 類型
Azure 針對 VPN 閘道支援兩個不同的 VPN 類型:原則型和路由型。 路由型 VPN 閘道建置在與原則型 VPN 閘道不同的平台上。 這會導致不同的閘道規格。 下表顯示支援每個 VPN 類型的閘道 SKU,以及相關聯的支援 IKE 版本。
| 閘道 VPN 類型 | 閘道 SKU | 支援的 IKE 版本 |
|---|---|---|
| 原則型閘道 | 基本 | IKEv1 |
| 路由型閘道 | 基本 | IKEv2 |
| 路由型閘道 | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 和 IKEv2 |
| 路由型閘道 | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 和 IKEv2 |
在大部分情況中,您將建立路由型 VPN 閘道。 先前,舊版閘道 SKU 並不支援路由型閘道使用 IKEv1。 現在,大部分目前的閘道 SKU 都支援 IKEv1 和 IKEv2。
自 2023 年 10 月 1 日起,原則型閘道只能使用 PowerShell 或 CLI 進行設定,且無法在 Azure 入口網站中使用。 若要建立原則型閘道,請參閱使用 PowerShell 建立基本 SKU VPN 閘道。
如果您已有原則型閘道,除非您想要使用需要路由型閘道的設定,例如點對站,否則不需要將閘道變更為路由型閘道。
您無法將原則型閘道轉換成路由型閘道。 您必須刪除現有的閘道,然後建立路由型的新閘道。
主動-主動模式閘道
Azure VPN 閘道可以設定為主動-待命或主動-主動。 在主動-主動設定中,閘道 VM 的兩個執行個體會在您的內部部署 VPN 裝置上建立站對站 VPN 通道。 主動-主動模式閘道是高可用性閘道連線設計的關鍵部分。 如需詳細資訊,請參閱下列文章:
連線類型
每個連線都需要特定的虛擬網路閘道連線類型。 New-AzVirtualNetworkGatewayConnection -Connection Type 可用的 PowerShell 值包括:IPsec、Vnet2Vnet、ExpressRoute、VPNClient。
連線模式
連線模式屬性僅適用於使用 IKEv2 連線的路由型 VPN 閘道。 連線模式會定義連線起始方向,並且僅適用於初始 IKE 連線建立。 任何合作對象都可以起始重設金鑰和進一步訊息。 InitiatorOnly 表示必須由 Azure 起始連線。 ResponderOnly 表示必須由內部部署裝置起始連線。 預設行為是接受並撥打第一個連接者。
閘道子網路
建立 VPN 閘道之前,您必須先建立閘道子網路。 閘道子網路包含虛擬網路閘道 VM 與服務所使用的 IP 位址。 建立虛擬網路閘道時,會將閘道 VM 部署到閘道子網路,並為 VM 設定必要的 VPN 閘道設定。 絕不要將任何其他項目 (例如更多 VM) 部署到閘道子網路。 此閘道子網路必須命名為 'GatewaySubnet' 才能正常運作。 將閘道子網路命名為 'GatewaySubnet' 可讓 Azure 知道應該將虛擬網路閘道 VM 和服務部署到這個子網路。
當您建立閘道子網路時,您可指定子網路包含的 IP 位址數目。 閘道子網路中的 IP 位址會配置給閘道 VM 和閘道服務。 有些組態需要的 IP 位址比其他組態多。
當您規劃閘道子網路大小時,請參閱您打算建立的設定文件。 例如,ExpressRoute/VPN 閘道並存設定相較於大部分的其他設定,需要較大的閘道子網路。 雖然可以建立小到 /29 的閘道子網路 (僅適用於基本 SKU),但所有其他 SKU 都需要大小為 /27 以上的閘道子網路 (/27、/26、/25 等)。 建議您建立大於 /27 的閘道子網路,讓子網路有足夠的 IP 位址來容納可能的未來設定。
下列 PowerShell 範例顯示名為 GatewaySubnet 的閘道子網路。 您可以看到 CIDR 標記法指定 /27,這可提供足以供大多數現有組態使用的 IP 位址。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
考量:
不支援具有 0.0.0.0/0 目的地的使用者定義路由和 GatewaySubnet 上的 NSG。 系統會禁止建立採用此設定的閘道。 閘道需要存取管理控制器,才能正常運作。 GatewaySubnet 上的 BGP 路由傳播應該設定為 [已啟用],以確保閘道的可用性。 如果 BGP 路由傳播設定為停用,閘道將無法運作。
如果使用者定義的路由與閘道子網路範圍或閘道公用 IP 範圍重疊,診斷、資料路徑和控制路徑可能會受到影響。
區域網路閘道
區域網路閘道與虛擬網路閘道並不相同。 使用 VPN 閘道站對站架構時,區域網路閘道通常代表您的內部部署網路和對應的 VPN 裝置。
設定區域網路閘道時,您會指定名稱、內部部署 VPN 裝置的公用 IP 位址或完整網域名稱 (FQDN),以及位於內部部署位置的位址首碼。 Azure 會查看網路流量的目的地位址首碼、查閱您為區域網路閘道指定的設定,然後根據這些來路由封包。 如果您在 VPN 裝置上使用邊界閘道協定 (BGP),您將會提供 VPN 裝置的 BGP 對等互連 IP 位址,以及內部部署網路 (ASN) 的自治號碼。 您也可以針對使用 VPN 閘道連線的 VNet 對 VNet 組態指定區域網路閘道。
下列 PowerShell 範例會建立新的區域網路閘道︰
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
有時,您會需要修改區域網路閘道設定。 例如,當您新增或修改位址範圍時,或 VPN 裝置的 IP 位址變更時。 如需詳細資訊,請參閱修改區域網路閘道設定。
REST API、PowerShell Cmdlet、CLI
如需使用 REST API、PowerShell Cmdlet 或 Azure CLI 來設定 VPN 閘道設定時的技術資源和特定語法需求,請參閱下列頁面:
下一步
如需有關可用連線組態的詳細資訊,請參閱關於 VPN 閘道。