نبذة عن VPN نقطة إلى موقع
يتيح لك اتصال بوابة VPN Point-to-Site (P2S) إنشاء اتصال آمن إلى شبكة الاتصال الظاهرية الخاصة بك من كمبيوتر عميل فردي. يتم تأسيس اتصال نقطة إلى موقع عن طريق بدء تشغيل من الكمبيوتر العميل. يفيد هذا الحل للذين يرغبون في الاتصال ب Azure VNets من موقع بعيد، مثل من المنزل أو المؤتمر. تعتبر الشبكة الظاهرية الخاصة نقطة إلى موقع أيضا حل مفيد لاستخدامه بدلًا من الشبكة الظاهرية الخاصة موقع إلى موقع عندما يكون لديك عدد قليل من العملاء الذين يحتاجون إلى الاتصال بشبكة ظاهرية. تنطبق هذه المقالة على نموذج نشر Resource Manager.
ما هو البروتوكول الذي يستخدمه P2S؟
يمكن أن يستخدم اتصال شبكة ظاهرية خاصة نقطة إلى موقع من خلال البروتوكولات الأتية:
بروتوكول OpenVPN® ، وهو بروتوكول VPN قائم على SSL/TLS . يمكن أن يخترق حل بروتوكول أمان طبقة النقل لشبكة ظاهرية خاصة جدران الحماية، حيث أن معظم جدران الحماية تفتح منفذ TCP 443 الصادر الذي يستخدمه بروتوكول أمان طبقة النقل. يمكن استخدام OpenVPN للاتصال من أجهزة أندرويد و iOS (الإصدارات 11.0 وما فوق) Windows و Linux و Mac (إصدارات macOS 10.13 وما فوق).
بروتوكول نفق مأخذ التوصيل الآمن (SSTP)، وهو بروتوكول VPN خاص قائم على TLS. يمكن أن يخترق حل بروتوكول أمان طبقة النقل لشبكة ظاهرية خاصة جدران الحماية، حيث أن معظم جدران الحماية تفتح منفذ TCP 443 الصادر الذي يستخدمه بروتوكول أمان طبقة النقل. يتم اعتماد SSTP فقط على أجهزة Windows. يدعم Azure جميع إصدارات Windows التي تحتوي على SSTP وتدعم TLS 1.2 (Windows 8.1 والإصدارات الأحدث).
IKEv2 VPN وهو أحد حلول أمان IPsec VPN القائمة على المعايير. يمكن استخدام مفتاح الإنترنت التبادلي لشبكة ظاهرية خاصة للاتصال من أجهزة Mac (إصدارات macOS 10.11 وما فوق).
ملاحظة
يتوفر IKEv2 وOpenVPN لـ P2S لنموذج نشر Resource Manager فقط. وهما غير متوفرين لنموذج النشر الكلاسيكي.
كيف تتم مصادقة عملاء P2S VPN؟
قبل أن يقبل Azure اتصال P2S VPN، يجب أن تتم مصادقة المستخدم أولاً. هناك آليتان تقدمهما Azure لمصادقة مستخدم متصل.
المصادقة باستخدام مصادقة شهادة Azure الأصلية
عند استخدام مصادقة شهادة Azure الأصلية، يتم استخدام شهادة عميل موجودة على الجهاز لمصادقة المستخدم الذي يقوم بالاتصال. يتم إنشاء شهادات العميل من شهادة جذر موثوق بها ثم تثبيتها على كل كمبيوتر عميل. يمكنك استخدام شهادة جذر تم إنشاؤها باستخدامEnterprise solution، أو يمكنك إنشاء شهادة موقعة ذاتيًا.
يتم تنفيذ التحقق من صحة شهادة العميل من قبل بوابة شبكة ظاهرية خاصة ويحدث أثناء إنشاء اتصال شبكة ظاهرية خاصة من نقطة إلى موقع. شهادة الجذر مطلوبة للتحقق من الصحة ويجب تحميلها إلى Azure.
المصادقة باستخدام مصادقةMicrosoft Azure Active Directory الأصلية
تسمح مصادقة Azure AD للمستخدمين بالاتصال ب Azure باستخدام معلومات تسجيل الدخول Azure Active Directory الخاصة بهم. مصادقة Azure AD الأصلية مدعومة فقط لبروتوكول OpenVPN وWindows 10 وWindows 11 وتتطلب استخدام عميل Azure VPN.
باستخدام مصادقة Azure AD الأصلية، يمكنك الاستفادة من الوصول المشروط إلى Azure AD بالإضافة إلى ميزات المصادقة متعددة العوامل (MFA) لـ VPN.
على مستوى عال، تحتاج إلى تنفيذ الخطوات التالية لتكوين مصادقة Azure Active Directory:
المصادقة باستخدام Active Directory (AD) Domain Server
تسمح مصادقة مجال AD للمستخدمين بالاتصال بـ Azure باستخدام بيانات اعتماد مجال مؤسستهم. يتطلب خادم RADIUS الذي يتكامل مع خادم AD. يمكن للمؤسسات أيضًا الاستفادة من توزيع RADIUS الموجود بها.
يتم نشر خادم خدمة المصادقة عن بُعد لمستخدم طلب هاتفي (RADIUS) محلياً أو في شبكة Azure الظاهرية. أثناء المصادقة، تعمل بوابة Azure VPN كمرور عبر رسائل المصادقة وتعيد توجيهها عدة مرات بين خادم RADIUS والجهاز الذي يقوم بالاتصال. لذا، فإن إمكانية وصول البوابة إلى خادم RADIUS أمر مهم. إذا كان خادم RADUS موجودًا محليا، فإن اتصال الشبكة الظاهرية الخاصة موقع إلى موقع من Azure إلى الموقع المحلي مطلوب للوصول.
يمكن أيضا تكامل خادم RADIUS مع خدمات شهادات AD. يتيح لك هذا استخدام خادم RADIUS وتوزيع شهادة المؤسسة الخاصة بك لمصادقة شهادة من نقطة إلى موقع كبديل لمصادقة شهادة Azure. الميزة هي أنك لست بحاجة إلى تحميل شهادات الجذر والشهادات المُبطلة إلى Azure.
يمكن أيضا دمج خادم RADIUS مع أنظمة الهوية الخارجية الأخرى. يفتح هذا العديد من خيارات المصادقة لـ P2S VPN، بما في ذلك خيارات متعددة العوامل.
ما هي متطلبات تكوين العميل؟
ملاحظة
بالنسبة إلى عملاء Windows، يجب أن يكون لديك حقوق المسؤول على جهاز العميل من أجل بدء اتصال VPN من جهاز العميل إلى Azure.
يستخدم المستخدمون عملاء الشبكة الظاهرية الخاصة الأصليين على أجهزة Windows وMac من نقطة إلى موقع. يوفر Azure ملف مضغوط تكوين عميل الشبكة الظاهرية الخاصة الذي يحتوي على الإعدادات المطلوبة من قبل هؤلاء العملاء الأصليين لتصال Azure.
- بالنسبة لأجهزة Windows، يتكون تكوين عميل الشبكة الظاهرية الخاصة من حزمة مثبت يقوم المستخدمون بتثبيتها على أجهزتهم.
- بالنسبة لأجهزة Mac، تتكون من ملف تكوين الجوال الذي يقوم المستخدمون بتثبيته على أجهزتهم.
يوفر الملف المضغوط أيضا قيم بعض الإعدادات الهامة على جانب Azure التي يمكنك استخدامها لإنشاء ملف التعريف الخاص بك لهذه الأجهزة. تتضمن بعض القيم عنوان بوابة شبكة ظاهرية خاصة وأنواع النفق المكونة والمسارات والشهادة الجذر للتحقق من صحة البوابة.
ملاحظة
بدءاً من 1 يوليو 2018، سيُزال الدعم لـ TLS 1.0 و1.1 من بوابة Azure VPN. ستقوم بوابة VPN بدعم TLS 1.2 فقط. وستتأثر التوصيلات من نقطة إلى موقع فقط؛ ولن تتأثر التوصيلات من موقع إلى موقع. إذا كنت تستخدم TLS لشبكات VPN من نقطة إلى موقع على عملاء Windows 10، فلن تحتاج إلى اتخاذ أي إجراء. إذا كنت تستخدم TLS للاتصالات من نقطة إلى موقع في نظامي التشغيل Windows 7 وWindows 8، فراجع الأسئلة الشائعة حول بوابة VPN للحصول على إرشادات التحديث.
ما هي وحدات حفظ المخزون (SKU) للبوابة التي تدعم P2S VPN؟
| الشبكة الخاصة الظاهرية (VPN) البوابة الجيل |
SKU | S2S/VNet-to-VNet الأنفاق |
اتصالات P2S اتصالات SSTP |
اتصالات P2S اتصالات IKEv2/OpenVPN |
التجميع معيار معدل النقل |
BGP | Zone-redundant |
|---|---|---|---|---|---|---|---|
| Generation1 | أساسي | حد أقصى. 10 | حد أقصى. 128 | غير مدعومة | يبلغ 100 ميغابت في الثانية | غير مدعومة | لا |
| Generation1 | VpnGw1 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 250 | 650 ميغابت في الثانية | مدعوم | لا |
| Generation1 | VpnGw2 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 500 | يبلغ 1 جيجابت في الثانية | مدعوم | لا |
| Generation1 | VpnGw3 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 1000 | 1.25 غيغابت في الثانية | مدعوم | لا |
| Generation1 | VpnGw1AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 250 | 650 ميغابت في الثانية | مدعوم | نعم |
| Generation1 | VpnGw2AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 500 | يبلغ 1 جيجابت في الثانية | مدعوم | نعم |
| Generation1 | VpnGw3AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 1000 | 1.25 غيغابت في الثانية | مدعوم | نعم |
| Generation2 | VpnGw2 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 500 | 1.25 غيغابت في الثانية | مدعوم | لا |
| Generation2 | VpnGw3 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 1000 | 2.5 غيغابت في الثانية | مدعوم | لا |
| Generation2 | VpnGw4 | الحد الأقصى. 100* | حد أقصى. 128 | حد أقصى. 5000 | 5 غيغابت في الثانية | مدعوم | لا |
| Generation2 | VpnGw5 | الحد الأقصى. 100* | حد أقصى. 128 | حد أقصى. 10000 | 10 جيجابت لكل ثانية | مدعوم | لا |
| Generation2 | VpnGw2AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 500 | 1.25 غيغابت في الثانية | مدعوم | نعم |
| Generation2 | VpnGw3AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 1000 | 2.5 غيغابت في الثانية | مدعوم | نعم |
| Generation2 | VpnGw4AZ | الحد الأقصى. 100* | حد أقصى. 128 | حد أقصى. 5000 | 5 غيغابت في الثانية | مدعوم | نعم |
| Generation2 | VpnGw5AZ | الحد الأقصى. 100* | حد أقصى. 128 | حد أقصى. 10000 | 10 جيجابت لكل ثانية | مدعوم | نعم |
(*) استخدم Virtual WAN إذا كنت بحاجة إلى أكثر من 100 نفقًا لشبكة S2S VPN.
يسمح تغيير حجم SKU VpnGw داخل نفس الجيل، باستثناء تغيير حجم Basic SKU. Basic SKU هي وحدة حفظ مخزون قديمة ولها حدود في الميزة. للانتقال من Basic إلى SKU آخر، يجب عليك حذف بوابة Basic SKU VPN وإنشاء بوابة جديدة باستخدام المزيج من Generation وحجم SKU المطلوب. (راجع العمل مع وحدات SKU القديمة).
حدود الاتصال هذه منفصلة. على سبيل المثال، يمكن أن يكون لديك 128 اتصالاً من SSTP وأيضاً 250 اتصالاً من IKEv2 على VpnGw1 SKU.
يمكنك العثور على معلومات التسعير في صفحةالتسعير.
يمكن العثور على معلومات اتفاقية مستوى الخدمة (SLA) في صفحةاتفاقية مستوى الخدمة
يقلل IPsec من معدل نقل بوابة VPN واحدة (كل من اتصالات S2S وP2S) إلى 1.25 جيجابت في الثانية. إذا كان لديك الكثير من اتصالات P2S، فإنها ستؤثر سلباً على اتصالات S2S خاصتك. تم اختبار معايير إجمالي معدل النقل من خلال زيادة مزيج من اتصالات S2S وP2S. سيكون لاتصال P2S الواحد معدل نقل أقل بكثير من حد 1.25 جيجابت في الثانية.
لاحظ أن جميع المعايير غير مضمونة بسبب ظروف حركة المرور على الإنترنت وسلوكيات التطبيق خاصتك
لمساعدة عملائنا على فهم الأداء النسبي لوحدات حفظ المخزون (SKU) باستخدام خوارزميات مختلفة، استخدمنا أدوات iPerf وCTSTraffic المتاحة للجمهور لقياس أداء الاتصالات من الموقع إلى الموقع. يسرد الجدول أدناه نتائج اختبارات الأداء لـGeneration 1، وحدات VpnGw SKUs. كما تري، يتم الحصول على أفضل أداء عندما استخدمنا خوارزمية GCMAES256 لكل من التشفير والنزاهة IPsec. حصلنا على متوسط الأداء عند استخدام AES256 لتشفير IPsec وSHA256 للتكامل. عندما استخدمنا DES3 لتشفير IPsec وSHA256 للتكامل، حصلنا على أدنى أداء.
يتصل نفق VPN بمثيل بوابة VPN. يتم ذكر كل معدل نقل مثيل في جدول معدلات النقل أعلاه وهي متوفرة مجمعة عبر كافة الأنفاق المتصلة بهذا المثيل.
| الجيل | SKU | الخوارزميات used |
معدل النقل لوحظ في كل نفق |
الحزم في الثانية لكل نفق لوحظ |
|---|---|---|---|---|
| Generation1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 ميغابت في الثانية 500 ميغابت لكل ثانية 120 ميغابايت في الثانية |
58,000 50,000 50,000 |
| Generation1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
يبلغ 1 جيجابت في الثانية 500 ميغابت لكل ثانية 120 ميغابايت في الثانية |
90,000 80,000 55,000 |
| Generation1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 غيغابت في الثانية 550 ميغابايت في الثانية 120 ميغابايت في الثانية |
105,000 90,000 60,000 |
| Generation1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 ميغابت في الثانية 500 ميغابت لكل ثانية 120 ميغابايت في الثانية |
58,000 50,000 50,000 |
| Generation1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
يبلغ 1 جيجابت في الثانية 500 ميغابت لكل ثانية 120 ميغابايت في الثانية |
90,000 80,000 55,000 |
| Generation1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 غيغابت في الثانية 550 ميغابايت في الثانية 120 ميغابايت في الثانية |
105,000 90,000 60,000 |
- للحصول على توصيات وحدة حفظ مخزون البوابة (SKU)، انظر نبذة عن إعدادات بوابة VPN.
ملاحظة
لا تدعم وحدة SKU الأساسية مصادقة IKEv2 أو RADIUS.
ما هي نُهُج IKE/IPsec التي تم تكوينها على بوابات VPN لـ P2S؟
الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي)
| التشفير | تكامل البيانات | PRF | مجموعة DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| التشفير | تكامل البيانات | مجموعة PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
ما هي نُهُج TLS التي كُونت على بوابات VPN لـ P2S؟
TLS
| النُهج |
|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
كيف يمكنني تكوين اتصال P2S؟
يتطلب تكوين P2S بضع خطوات محددة. يرد في المقالات التالية الخطوات اللازمة لإرشادك خلال تكوين P2S مع روابط لتكوين أجهزة عميل VPN:
كيفية إزالة تكوين اتصال P2S
يمكنك إزالة تكوين أي اتصال باستخدام PowerShell أو CLI. على سبيل المثال، راجع الأسئلة المتداولة.
كيف يعمل توجيه P2S؟
راجع المقالات التالية:
الأسئلة المتداولة
هناك العديد من أقسام الأسئلة الشائعة حول P2S والتي تدور حول عملية المصادقة.
الخطوات التالية
"OpenVPN" هي علامة تجارية لشركة OpenVPN Inc.