安全 VPN 连接，包括点到站点和站点到站点

请务必了解 VPN 网关连接可以使用不同的配置。 你需要确定哪种配置最符合你的需求。 在以下部分中，可以查看有关以下 VPN 网关连接的设计信息和拓扑关系图。 使用关系图和说明来帮助选择连接拓扑以满足你的要求。 关系图显示了主要基线拓扑，但可以使用关系图作为准则生成更复杂的配置。

站对站 VPN

站点到站点 （S2S） VPN 网关连接是通过 IPsec/IKE（IKEv1 或 IKEv2） VPN 隧道建立的连接。 S2S 连接可用于跨站点和混合配置。 S2S 连接需要位于本地的 VPN 设备，并且该设备具有一个公共 IP 地址。

VPN 网关可以在主动-备用模式下使用一个公共 IP 配置，也可以在主动-主动模式下使用两个公共 IP 配置。 在主动-待机模式下，一个 IPsec 隧道处于活动状态，另一个隧道处于备用状态。 在此设置中，流量流经活动隧道，如果此隧道出现问题，流量将切换到备用隧道。 建议在主动-主动模式下设置 VPN 网关，其中两个 IPsec 隧道同时处于活动状态，同时数据流经两个隧道。 主动-主动模式的另一个优点是，客户能体验到更高的吞吐量。

可以从虚拟网络网关创建多个 VPN 连接，通常连接到多个本地站点。 使用多个连接时，必须使用基于路由的 VPN 类型（在使用经典 VNet 时称作动态网关）。 由于每个虚拟网络只能有一个 VPN 网关，因此通过网关的所有连接共享可用的带宽。 这种连接有时称为“多站点”连接。

点对站点虚拟专用网络

站点到站点（P2S） VPN 网关连接允许您从单个客户端计算机与虚拟网络创建安全连接。 要建立 P2S 连接，需要从客户端计算机启动它。 此解决方案适用于想要从远程位置（例如从家中或会议处）连接到 Azure 虚拟网络的远程办公人员。 当只有少数客户端需要连接到 VNet 时，P2S VPN 作为一种替代 S2S VPN 的有用解决方案。

与 S2S 连接不同，P2S 连接不需要本地面向公众的 IP 地址或 VPN 设备。 只要这两个连接的所有配置要求都兼容，P2S 连接就可以通过同一 VPN 网关与 S2S 连接一起使用。

VNet 到 VNet 连接（互联网协议安全/互联网密钥交换虚拟专用网络隧道）

将一个虚拟网络连接到另一个虚拟网络（VNet 到 VNet）类似于将 VNet 连接到本地站点。 这两种连接类型都使用 VPN 网关来提供使用 IPsec/IKE 的安全隧道。 甚至可以将 VNet 到 VNet 通信与多站点连接配置相结合。 这样，便可以建立将跨界连接与虚拟网络间连接相结合的网络拓扑。

连接的 VNet 可以是：

• 位于相同或不同的区域中
• 位于相同或不同的订阅中
• 在相同或不同的部署模型中

部署模型之间的连接

Azure 目前有两种部署模型：经典部署模型和 Resource Manager。 如果已使用 Azure 一段时间，则可能在经典 VNet 中运行 Azure VM 和实例角色。 较新的 VM 和角色实例可能在 Resource Manager 中创建的 VNet 中运行。 可以在 VNet 之间创建连接，以允许一个 VNet 中的资源直接与另一个 VNet 中的资源通信。

VNet 对等互连

如果你的虚拟网络满足某些要求，你就有可能使用 VNet 对等互连来创建连接。 VNet 对等互连不使用虚拟网络网关。

站点间和 ExpressRoute 共存连接

ExpressRoute 是从您的 WAN（而不是通过公共 Internet）到 Microsoft 服务（包括 Azure）的直接、专用连接。 站点到站点 VPN 流量通过公共 Internet 进行加密。 能够为同一虚拟网络配置站点到站点 VPN 和 ExpressRoute 连接有几个优点。

可以将站点到站点 VPN 配置为 ExpressRoute 的安全故障转移路径，或使用站点到站点 VPN 连接到不属于网络但通过 ExpressRoute 连接的站点。 请注意，此配置需要同一虚拟网络的两个虚拟网络网关，一个使用网关类型“Vpn”，另一个使用网关类型 ExpressRoute。