Skip to main content

什么是Azure VPN网关?

分类:  Azure入门 标签:  #Azure #基础 #Azure入门 #入门 发布于: 2023-06-15 14:22:30

VPN在另一网络内使用加密隧道。 通常,部署VPN的目的是,通过不受信任的网络(通常是公共 Internet)将两个或更多个受信任的专用网络相互连接。 通过不受信任的网络传输时会加密流量,用于防止窃听或其他攻击。

VPN网关

VPN网关是一种虚拟网络网关。 Azure VPN网关实例部署在Azure虚拟网络实例中,可实现以下连接:

  • 通过站点到站点连接将本地数据中心连接到虚拟网络。
  • 通过点到站点连接将各个设备连接虚拟网络。
  • 通过网络到网络连接将虚拟网络连接到其他虚拟网络。


所有传输的数据在通过Internet时都会在一个专用隧道中进行加密。 每个虚拟网络中只能部署一个VPN网关,但可使用一个网关连接到多个位置,包括其他虚拟网络或本地数据中心。

部署VPN网关时,可以指定VPN类型:基于策略或基于路由。 这两种类型的VPN的主要区别在于如何指定要加密的流量。 在Azure中,两种类型的VPN网关都使用预共享密钥作为唯一的身份验证方法。 这两种类型还依赖于版本 1 或版本 2 的Internet密钥交换 (IKE) 和Internet协议安全性(IPSec)。 IKE 用于在两个终结点之间建立安全关联(加密协议)。 然后将此关联传递给IPSec套件,该套件对封装在VPN隧道中的数据包进行加密和解密。

基于策略的VPN

基于策略的VPN网关通过静态方式指定应通过每个隧道加密的数据包的IP地址。 这种类型的设备根据这些IP地址集评估每个数据包,以选择将用于发送该数据包的隧道。

Azure中基于策略的VPN网关的主要功能包括:

  • 仅支持 IKEv1。
  • 使用静态路由,其中来自两个网络的地址前缀的组合控制如何通过 VPN 隧道加密和解密流量。 隧道网络的源和目标在策略中声明,不需要在路由表中声明。
  • 基于策略的 VPN 必须在需要它们的特定场景中使用,例如为了与旧的本地 VPN 设备兼容。

基于路由的VPN

如果定义每个隧道后面的IP地址过于麻烦,可以使用基于路由的网关。 通过基于路由的网关,将IPSec隧道建模为网络接口或虚拟隧道接口。 IP路由(静态路由或动态路由协议)决定在发送每个数据包时使用哪一个隧道接口。 基于路由的VPN是本地设备的首选连接方法。 它们具有更高的复原能力,能够适应拓扑更改,例如创建的新子网。

如果需要以下任何类型的连接,请使用基于路由的 VPN 网关:

  • 虚拟网络之间的连接
  • 点到站点连接
  • 多站点连接
  • Azure ExpressRoute网关共存

Azure中基于路由的VPN网关的主要功能包括:

  • 支持 IKEv2
  • 使用任意到任意(通配符)流量选择器
  • 可以使用动态路由协议,其中路由表/转发表将流量定向到不同的 IPSec 隧道。在这种情况下,源和目标网络不是静态定义的,因为它们处于基于策略的 VPN 中,甚至处于具有静态路由的基于路由的 VPN 中。 相反,数据包是基于使用诸如边界网关协议 (BGP) 之类的路由协议通过动态方式创建的网络路由表来加密的。

VPN 网关大小

VPN网关的功能由所部署的SKU或大小决定。 下表显示了每个可用SKU的主要功能。

SKU站点到站点/网络到网络隧道聚合吞吐量基准BGP支持
基本 [见备注]上限:10100 Mbps不支持
VpnGw1/Az上限:30650 Mbps支持
VpnGw2/Az上限:301 Gbps支持
VpnGw3/Az上限:301.25 Gbps支持

备注
基本VPN网关仅可用于开发/测试工作负载。 此外, 稍后必须删除网关并重新部署,然后才可将它从基本层迁移到 VpnGW1/2/3/Az SKU。

部署VPN网关

在部署VPN网关之前,需要一些Azure和本地资源。

所需的Azure资源

在部署可操作的VPN网关之前,需要以下Azure 资源:

  • 虚拟网络: 部署虚拟网络,使其具有足够地址空间可用于另一个要用于 VPN 网关的子网。 此虚拟网络的地址空间不得与要连接的本地网络重叠。 只能在虚拟网络中部署一个VPN网关。
  • GatewaySubnet: 为VPN网关部署名为GatewaySubnet的子网。 至少使用一个 /27 地址掩码,确保在子网中拥有足够的 IP 地址以满足将来的增长需要。 不能将此子网用于任何其他服务。
  • 公共 IP 地址。 如果使用不可感知区域的网关,请创建基本SKU动态公共IP地址。 此地址提供公共可路由的 IP 地址作为本地 VPN 设备的目标。 此 IP 地址是动态的,但它在删除并重新创建 VPN 网关之前不会改变。
  • 本地网络网关。 创建本地网络网关以定义本地网络的配置,例如VPN网关将连接到的位置和内容。 此配置包括本地VPN设备的公共IPv4地址和本地可路由网络。 VPN网关使用此信息来路由通过IPSec隧道发往本地网络的数据包。
  • 虚拟网络网关。 创建虚拟网络网关以在虚拟网络和本地数据中心或其他虚拟网络之间路由流量。 虚拟网络网关可以是VPNExpressRoute网关。
  • 连接: 创建连接资源以在 VPN 网关和本地网络网关之间创建逻辑连接。

    • 该连接的目标是本地网络网关定义的本地 VPN 设备的 IPv4 地址。

    • 该连接的源是虚拟网络网关及其关联的公共 IP 地址。

      可以创建多个连接。

下图显示了这种资源组合及其关系,可帮助你更好地了解部署 VPN 网关所需的内容。


所需的本地资源

若要将数据中心连接到 VPN 网关,需要以下本地资源:

  • 支持基于策略或基于路由的 VPN 网关的 VPN 设备
  • 公网的 IPv4 地址