Informacje o sieci VPN typu punkt-lokacja

Połączenie bramy VPN Gateway typu punkt-lokacja pozwala utworzyć bezpieczne połączenie z siecią wirtualną z indywidualnego komputera klienckiego. Połączenie typu punkt-lokacja jest ustanawiane przez uruchomienie z komputera klienckiego. To rozwiązanie jest przydatne dla osób pracujących zdalnie, które chcą łączyć się z sieciami wirtualnymi platformy Azure z lokalizacji zdalnej, na przykład z domu lub sali konferencyjnej. Połączenie sieci VPN typu punkt-lokacja jest również przydatne zamiast połączenia sieci VPN typu lokacja-lokacja w przypadku niewielkiej liczby klientów, którzy muszą się łączyć z siecią wirtualną. Ten artykuł dotyczy modelu Resource Manager wdrażania.

Jakiego protokołu używa protokół P2S?

Sieć VPN typu punkt-lokacja może używać jednego z następujących protokołów:

  • OpenVPN® Protocol, protokół sieci VPN oparty na protokole SSL/TLS. Rozwiązanie sieci VPN protokołu TLS może przechodzić przez zapory, ponieważ większość zapór otwiera port TCP 443 dla ruchu wychodzącego, z którego korzysta protokół TLS. Za pomocą sieci OpenVPN można łączyć się z urządzeń z systemami Android, iOS (w wersji 11.0 lub starszej), Windows, Linux i Mac (system macOS w wersji 10.13 lub starszej).

  • Secure Socket Tunneling Protocol (SSTP), zastrzeżony protokół sieci VPN oparty na protokole TLS. Rozwiązanie sieci VPN protokołu TLS może przechodzić przez zapory, ponieważ większość zapór otwiera port TCP 443 dla ruchu wychodzącego, z którego korzysta protokół TLS. SSTP jest obsługiwany tylko na Windows urządzeń. Platforma Azure obsługuje wszystkie wersje Windows z obsługą protokołu SSTP i obsługą protokołu TLS 1.2 (Windows 8.1 i nowszych).

  • Sieć VPN z protokołem IKEv2 to oparte na standardach rozwiązanie sieci VPN korzystające z protokołu IPsec. Sieci VPN z protokołem IKEv2 można używać do nawiązywania połączeń z urządzeń Mac (system macOS w wersji 10.11 lub starszej).

Uwaga

IKEv2 i OpenVPN for P2S są dostępne tylko dla Resource Manager wdrażania. Nie są one dostępne dla klasycznego modelu wdrażania.

Jak są uwierzytelniani klienci sieci VPN P2S?

Zanim platforma Azure zaakceptuje połączenie sieci VPN P2S, użytkownik musi zostać najpierw uwierzytelniony. Istnieją dwa mechanizmy, które platforma Azure oferuje do uwierzytelniania łączącego się użytkownika.

Uwierzytelnianie przy użyciu natywnego uwierzytelniania certyfikatu platformy Azure

W przypadku korzystania z natywnego uwierzytelniania certyfikatu platformy Azure certyfikat klienta, który znajduje się na urządzeniu, jest używany do uwierzytelniania połączonego użytkownika. Certyfikaty klienta są generowane na podstawie zaufanego certyfikatu głównego, a następnie instalowane na każdym komputerze klienckim. Możesz użyć certyfikatu głównego wygenerowanego przy użyciu rozwiązania Enterprise lub wygenerować certyfikat z podpisem własnym.

Walidacja certyfikatu klienta jest wykonywana przez bramę sieci VPN i odbywa się podczas ustanawiania połączenia sieci VPN typu P2S. Certyfikat główny jest wymagany do weryfikacji i musi zostać przekazany na platformę Azure.

Uwierzytelnianie przy użyciu natywnego Azure Active Directory uwierzytelniania

Uwierzytelnianie usługi Azure AD umożliwia użytkownikom łączenie się z platformą Azure przy użyciu Azure Active Directory poświadczeń. Natywne uwierzytelnianie usługi Azure AD jest obsługiwane tylko w przypadku protokołu OpenVPN i Windows 10 wymaga użycia Azure VPN Client .

Za pomocą natywnego uwierzytelniania usługi Azure AD można korzystać z dostępu warunkowego usługi Azure AD, a także funkcji uwierzytelniania wieloskładnikowego (MFA) dla sieci VPN.

Na wysokim poziomie należy wykonać następujące kroki, aby skonfigurować uwierzytelnianie usługi Azure AD:

  1. Konfigurowanie dzierżawy usługi Azure AD

  2. Włączanie uwierzytelniania usługi Azure AD w bramie

  3. Pobieranie i konfigurowanie Azure VPN Client

Uwierzytelnianie przy użyciu serwera domeny usługi Active Directory (AD)

Uwierzytelnianie domeny usługi AD umożliwia użytkownikom łączenie się z platformą Azure przy użyciu poświadczeń domeny organizacji. Wymaga serwera RADIUS, który integruje się z serwerem usługi AD. Organizacje mogą również korzystać z istniejącego wdrożenia usługi RADIUS.

Serwer RADIUS można wdrożyć lokalnie lub w sieci wirtualnej platformy Azure. Podczas uwierzytelniania usługa Azure VPN Gateway działa jako przekazywanie i przekazywanie komunikatów uwierzytelniania między serwerem RADIUS i połączonym urządzeniem. Dlatego ważna jest osiągalność bramy do serwera RADIUS. Jeśli serwer RADIUS znajduje się w środowisku lokalnym, połączenie S2S sieci VPN z platformy Azure do lokacji lokalnej jest wymagane w celu osiągnięcia osiągalności.

Serwer RADIUS można również zintegrować z usługami certyfikatów AD. Dzięki temu można użyć serwera RADIUS i wdrożenia certyfikatu przedsiębiorstwa do uwierzytelniania certyfikatu P2S jako alternatywy dla uwierzytelniania certyfikatów platformy Azure. Zaletą jest to, że nie trzeba przekazywać certyfikatów głównych i odwołanych certyfikatów na platformę Azure.

Serwer RADIUS można również zintegrować z innymi zewnętrznymi systemami tożsamości. Spowoduje to otwarcie wielu opcji uwierzytelniania dla sieci VPN typu P2S, w tym opcji wieloskładnikowych.

Diagram przedstawiający sieć VPN typu punkt-lokacja z lokacją lokalną.

Jakie są wymagania dotyczące konfiguracji klienta?

Uwaga

Aby Windows klientów, musisz mieć uprawnienia administratora na urządzeniu klienckim, aby zainicjować połączenie sieci VPN z urządzenia klienckiego do platformy Azure.

Użytkownicy korzystają z natywnych klientów sieci VPN na Windows komputerach Mac na potrzeby połączeń P2S. Platforma Azure udostępnia plik zip konfiguracji klienta sieci VPN, który zawiera ustawienia wymagane przez tych klientów natywnych do łączenia się z platformą Azure.

  • W Windows konfiguracji klienta sieci VPN składa się z pakietu instalatora, który użytkownicy instalują na swoich urządzeniach.
  • W przypadku urządzeń Mac składa się z pliku mobileconfig, który użytkownicy instalują na swoich urządzeniach.

Plik zip zawiera również wartości niektórych ważnych ustawień po stronie platformy Azure, których można użyć do utworzenia własnego profilu dla tych urządzeń. Niektóre wartości obejmują adres bramy sieci VPN, skonfigurowane typy tuneli, trasy i certyfikat główny na celu weryfikacji bramy.

Uwaga

Od 1 lipca 2018 r. z usługi Azure VPN Gateway zostanie usunięta obsługa techniczna protokołów TLS 1.0 i 1.1. Usługa VPN Gateway będzie obsługiwać tylko protokół TLS 1.2. Wpływ dotyczy tylko połączeń punkt-lokacja; nie wpłynie to na połączenia lokacja-lokacja. Jeśli używasz protokołu TLS do połączeń sieci VPN typu punkt-lokacja na klientach z systemem Windows 10, nie musisz podejmować żadnych działań. Jeśli używasz protokołu TLS do połączeń punkt-lokacja na klientach z systemem Windows 7 i Windows 8, zapoznaj się z instrukcjami dotyczącymi VPN Gateway często zadawanych pytań dotyczących aktualizacji.

Które jednostki SKU bramy obsługują sieć VPN P2S?

Generowanie
bramy SIECI
VPN
SKU Połączenia typu lokacja-lokacja/Połączenia między sieciami wirtualnymi
Tunele
Połączenia typu punkt-lokacja
Połączenia SSTP
Połączenia P2S
IKEv2/OpenVPN
Test porównawczy
agregowanej przepływności
BGP Strefowo nadmiarowy
Generacja 1 Podstawowa Maksymalnie z 10 Maksymalnie z 128 Nieobsługiwane 100 Mb/s Nieobsługiwane Nie
Generacja 1 VpnGw1 Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 250 650 Mb/s Obsługiwane Nie
Generacja 1 VpnGw2 Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 500 1 Gb/s Obsługiwane Nie
Generacja 1 VpnGw3 Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 1000 1,25 Gb/s Obsługiwane Nie
Generacja 1 VpnGw1AZ Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 250 650 Mb/s Obsługiwane Tak
Generacja 1 VpnGw2AZ Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 500 1 Gb/s Obsługiwane Tak
Generacja 1 VpnGw3AZ Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 1000 1,25 Gb/s Obsługiwane Tak
Generacja 2 VpnGw2 Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 500 1,25 Gb/s Obsługiwane Nie
Generacja 2 VpnGw3 Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 1000 2,5 Gb/s Obsługiwane Nie
Generacja 2 VpnGw4 Maksymalnie z 100* Maksymalnie z 128 Maksymalnie z 5000 5 Gb/s Obsługiwane Nie
Generacja 2 VpnGw5 Maksymalnie z 100* Maksymalnie z 128 Maksymalnie z 10 000 10 Gb/s Obsługiwane Nie
Generacja 2 VpnGw2AZ Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 500 1,25 Gb/s Obsługiwane Tak
Generacja 2 VpnGw3AZ Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 1000 2,5 Gb/s Obsługiwane Tak
Generacja 2 VpnGw4AZ Maksymalnie z 100* Maksymalnie z 128 Maksymalnie z 5000 5 Gb/s Obsługiwane Tak
Generacja 2 VpnGw5AZ Maksymalnie z 100* Maksymalnie z 128 Maksymalnie z 10 000 10 Gb/s Obsługiwane Tak

(*) Użyj Virtual WAN, jeśli potrzebujesz więcej niż 100 tuneli sieci VPN S2S.

  • Zmiana rozmiaru jednostki SKU VpnGw jest dozwolona w ramach tej samej generacji, z wyjątkiem zmiany rozmiaru podstawowej jednostki SKU. Podstawowa wersja SKU to starsza wersja SKU, która ma ograniczenia funkcji. Aby przejść z podstawowej do innej wersji SKU VpnGw, musisz usunąć podstawową bramę sieci VPN SKU i utworzyć nową bramę z odpowiednią kombinacją generacji i rozmiaru SKU. Rozmiar bramy podstawowej można zmienić tylko na inną starszą jednostkę SKU (zobacz Praca ze starszymi jednostkami SKU).

  • Te limity połączeń są niezależne. Przykładowo dla jednostki SKU VpnGw1 można mieć 128 połączeń SSTP, a oprócz tego 250 połączeń IKEv2.

  • Informacje o cenach znajdują się na stronie Cennik.

  • Informacje na temat umowy SLA (Service Level Agreement) można znaleźć na stronie SLA.

  • W jednym tunelu można osiągnąć maksymalną przepływność 1 Gb/s. Test porównawczy zagregowanej przepływności w powyższej tabeli jest oparty na pomiarach wielu tuneli zagregowanych za pośrednictwem jednej bramy. Test porównawczy agregowanej przepływności dla bramy sieci VPN bazuje na sumie wartości dla połączeń typu lokacja-lokacja i punkt-lokacja. Posiadanie dużej liczby połączeń typu punkt-lokacja może negatywnie wpływać na połączenie typu lokacja-lokacja z powodu ograniczeń przepustowości. Ze względu na warunki ruchu internetowego i zachowania aplikacji test porównawczy agregowanej przepływności nie pokazuje przepływności gwarantowanej.

Aby ułatwić naszym klientom zrozumienie względnej wydajności jednostki SKU przy użyciu różnych algorytmów, do mierzenia wydajności umyliśmy publicznie dostępnych narzędzi iPerf i CTSTraffic. W poniższej tabeli wymieniono wyniki testów wydajności dla generacji 1, jednostki SKU VpnGw. Jak widać, najlepszą wydajność uzyskuje się, gdy umyliśmy algorytm GCMAES256 zarówno do szyfrowania IPsec, jak i integralności. Podczas korzystania z algorytmu AES256 dla szyfrowania IPsec i algorytmu SHA256 w celu zachowania integralności osiągliśmy średnią wydajność. Gdy ubraliśmy des3 do szyfrowania IPsec i SHA256 dla integralności, mamy najniższą wydajność.

Generowanie SKU Używane
algorytmy
Zaobserwowana
przepływność
Obserwowane pakiety na sekundę
na tunel
Generacja 1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mb/s
500 Mb/s
120 Mb/s
58,000
50 000
50 000
Generacja 1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gb/s
500 Mb/s
120 Mb/s
90 000
80 000
55,000
Generacja 1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/s
550 Mb/s
120 Mb/s
105,000
90 000
60 000
Generacja 1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mb/s
500 Mb/s
120 Mb/s
58,000
50 000
50 000
Generacja 1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gb/s
500 Mb/s
120 Mb/s
90 000
80 000
55,000
Generacja 1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/s
550 Mb/s
120 Mb/s
105,000
90 000
60 000
  • Aby uzyskać informacje na temat zaleceń dotyczących VPN Gateway SKU bramy, zobacz About VPN Gateway settings (Informacje o VPN Gateway SKU bramy).

Uwaga

Podstawowa jednostka SKU nie obsługuje uwierzytelniania za pomocą protokołu IKEv2 ani usługi RADIUS.

Jakie zasady protokołu IKE/IPsec są konfigurowane w bramach sieci VPN dla połączeń P2S?

IKEv2

Szyfrowania Integralność PRF Grupa DH
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

IPsec

Szyfrowania Integralność Grupa PFS
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

Jakie zasady TLS są konfigurowane w bramach sieci VPN dla połączeń P2S?

TLS

Zasady
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

Jak mogę skonfigurować połączenie P2S?

Konfiguracja połączenia P2S wymaga kilku określonych kroków. Poniższe artykuły zawierają instrukcje dotyczące konfiguracji połączenia P2S oraz linki do konfigurowania urządzeń klienckich sieci VPN:

Aby usunąć konfigurację połączenia P2S

Konfigurację połączenia można usunąć przy użyciu programu PowerShell lub interfejsu wiersza polecenia. Przykłady można znaleźć w artykule Faq (Często zadawane pytania).

Jak działa routing P2S?

Zobacz następujące artykuły:

Często zadawane pytania

Istnieje wiele sekcji często zadawanych pytań dla P2S, na podstawie uwierzytelniania.

Następne kroki

"OpenVPN" jest znakiem towarowym firmy OpenVPN Inc.