问：带有故障转移的 Azure S2S VNet VPN

Question

我正在尝试设置从 Azure 中的 VLAN 到本地的 VPN 连接。我们有两个不同的本地 ISP，我想设置 Azure 并通过 VPN 连接到两者，这样如果主 ISP 关闭，Azure 将尝试使用辅助 ISP 进行连接。

问题是我不能将两个网关添加到一个 VLAN 中，并且一个网关不允许我添加两个具有相同 IP 地址范围的 VPN 连接。我可以理解，如果我希望两者都处于活动状态，但我希望一个处于待机状态并且仅在第一个断开连接时使用。

这甚至可能吗？任何指针都会很棒？

我一直在查看https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-highlyavailable#a-name--activeactiveonpremamultiple-on-premises-vpn-devices，但这仅涵盖了我不想要的主动-主动设置。

我希望 VNET 资源和本地资源通过相同的 IP 地址相互访问，无论连接的是主 VPN 还是辅助 VPN。

我知道 Azure 通过备用网关在其一侧进行故障转移，但我希望在本地关闭时进行故障转移，而不是 Azure。

Answer 1

更新

我知道 Azure 已通过备用网关在其一侧进行故障转移， 但我希望在本地关闭时进行故障转移，而不是 Azure。

很遗憾，本地故障转移没有自动解决方案，您可以手动执行，这与如果本地网关 IP 更改需要更新相同的条目相同。您需要更新 Azure 端的本地网络网关（包括本地网关 IP 和私有范围）以及本地端连接 VPN 的 ISP 设置。请期待一些停机时间，因为 ISAKMP、PH1 和 PH2 的 IPSEC 会话将再次发生。

此外，如果您有多个 ISP 并且需要到 Azure 的冗余连接。 Azure 现在支持redundant Site to Site VPNs。

通过基于 BGP 的自动故障转移支持 VNet 和本地站点之间的多条隧道

您可以在 Azure VNet 和 您的本地 VPN 设备位于同一位置。这种能力 在两个网络之间提供多个隧道（路径） 主动-主动配置。如果其中一条隧道断开， 相应的路由将通过BGP和流量撤回 自动转移到剩余的隧道。

下图显示了这种高可用性设置的简单示例：

注意

• Azure VpnGw1、VpnGw2、VpnGw3、标准和高性能 VPN 网关支持 BGP。不支持基本 SKU。
• 仅基于路由的 VPN 网关支持 BGP。