نبذة عن VPN نقطة إلى موقع

يتيح لك اتصال بوابة VPN Point-to-Site (P2S) إنشاء اتصال آمن إلى شبكة الاتصال الظاهرية الخاصة بك من كمبيوتر عميل فردي. يتم تأسيس اتصال نقطة إلى موقع عن طريق بدء تشغيل من الكمبيوتر العميل. يفيد هذا الحل للذين يرغبون في الاتصال ب Azure VNets من موقع بعيد، مثل من المنزل أو المؤتمر. تعتبر الشبكة الظاهرية الخاصة نقطة إلى موقع أيضا حل مفيد لاستخدامه بدلًا من الشبكة الظاهرية الخاصة موقع إلى موقع عندما يكون لديك عدد قليل من العملاء الذين يحتاجون إلى الاتصال بشبكة ظاهرية. تنطبق هذه المقالة على نموذج نشر Resource Manager.

ما هو البروتوكول الذي يستخدمه P2S؟

يمكن أن يستخدم اتصال شبكة ظاهرية خاصة نقطة إلى موقع من خلال البروتوكولات الأتية:

  • بروتوكول OpenVPN® ‎، وهو بروتوكول VPN قائم على SSL/TLS ‏. يمكن أن يخترق حل بروتوكول أمان طبقة النقل لشبكة ظاهرية خاصة جدران الحماية، حيث أن معظم جدران الحماية تفتح منفذ TCP 443 الصادر الذي يستخدمه بروتوكول أمان طبقة النقل. يمكن استخدام OpenVPN للاتصال من أجهزة أندرويد و iOS (الإصدارات 11.0 وما فوق) Windows و Linux و Mac (إصدارات macOS 10.13 وما فوق).

  • بروتوكول نفق مأخذ التوصيل الآمن (SSTP)، وهو بروتوكول VPN خاص قائم على TLS. يمكن أن يخترق حل بروتوكول أمان طبقة النقل لشبكة ظاهرية خاصة جدران الحماية، حيث أن معظم جدران الحماية تفتح منفذ TCP 443 الصادر الذي يستخدمه بروتوكول أمان طبقة النقل. يتم اعتماد SSTP فقط على أجهزة Windows. يدعم Azure جميع إصدارات Windows التي تحتوي على SSTP وتدعم TLS 1.2 (Windows 8.1 والإصدارات الأحدث).

  • IKEv2 VPN وهو أحد حلول أمان IPsec VPN القائمة على المعايير. يمكن استخدام مفتاح الإنترنت التبادلي لشبكة ظاهرية خاصة للاتصال من أجهزة Mac (إصدارات macOS 10.11 وما فوق).

ملاحظة

يتوفر IKEv2 وOpenVPN لـ P2S لنموذج نشر Resource Manager فقط. وهما غير متوفرين لنموذج النشر الكلاسيكي.

كيف تتم مصادقة عملاء P2S VPN؟

قبل أن يقبل Azure اتصال P2S VPN، يجب أن تتم مصادقة المستخدم أولاً. هناك آليتان تقدمهما Azure لمصادقة مستخدم متصل.

المصادقة باستخدام مصادقة شهادة Azure الأصلية

عند استخدام مصادقة شهادة Azure الأصلية، يتم استخدام شهادة عميل موجودة على الجهاز لمصادقة المستخدم الذي يقوم بالاتصال. يتم إنشاء شهادات العميل من شهادة جذر موثوق بها ثم تثبيتها على كل كمبيوتر عميل. يمكنك استخدام شهادة جذر تم إنشاؤها باستخدامEnterprise solution، أو يمكنك إنشاء شهادة موقعة ذاتيًا.

يتم تنفيذ التحقق من صحة شهادة العميل من قبل بوابة شبكة ظاهرية خاصة ويحدث أثناء إنشاء اتصال شبكة ظاهرية خاصة من نقطة إلى موقع. شهادة الجذر مطلوبة للتحقق من الصحة ويجب تحميلها إلى Azure.

المصادقة باستخدام مصادقةMicrosoft Azure Active Directory الأصلية

تسمح مصادقة Azure AD للمستخدمين بالاتصال ب Azure باستخدام معلومات تسجيل الدخول Azure Active Directory الخاصة بهم. مصادقة Azure AD الأصلية مدعومة فقط لبروتوكول OpenVPN وWindows 10 والإصدارات الأحدث وتتطلب أيضًا استخدام عميل Azure VPN.

باستخدام مصادقة Azure AD الأصلية، يمكنك الاستفادة من الوصول المشروط إلى Azure AD بالإضافة إلى ميزات المصادقة متعددة العوامل (MFA) لـ VPN.

على مستوى عال، تحتاج إلى تنفيذ الخطوات التالية لتكوين مصادقة Azure Active Directory:

  1. إنشاء مستأجر Azure Active Directory

  2. تمكين مصادقة Azure Active Directory على البوابة

  3. قم بتنزيل أحدث إصدار من ملفات تثبيت Azure VPN Client باستخدام أحد الروابط التالية:

المصادقة باستخدام Active Directory (AD) Domain Server

تسمح مصادقة مجال AD للمستخدمين بالاتصال بـ Azure باستخدام بيانات اعتماد مجال مؤسستهم. يتطلب خادم RADIUS الذي يتكامل مع خادم AD. يمكن للمؤسسات أيضًا الاستفادة من توزيع RADIUS الموجود بها.

يتم نشر خادم خدمة المصادقة عن بُعد لمستخدم طلب هاتفي (RADIUS) محلياً أو في شبكة Azure الظاهرية. أثناء المصادقة، تعمل بوابة Azure VPN كمرور عبر رسائل المصادقة وتعيد توجيهها عدة مرات بين خادم RADIUS والجهاز الذي يقوم بالاتصال. لذا، فإن إمكانية وصول البوابة إلى خادم RADIUS أمر مهم. إذا كان خادم RADUS موجودًا محليا، فإن اتصال الشبكة الظاهرية الخاصة موقع إلى موقع من Azure إلى الموقع المحلي مطلوب للوصول.

يمكن أيضا تكامل خادم RADIUS مع خدمات شهادات AD. يتيح لك هذا استخدام خادم RADIUS وتوزيع شهادة المؤسسة الخاصة بك لمصادقة شهادة من نقطة إلى موقع كبديل لمصادقة شهادة Azure. الميزة هي أنك لست بحاجة إلى تحميل شهادات الجذر والشهادات المُبطلة إلى Azure.

يمكن أيضا دمج خادم RADIUS مع أنظمة الهوية الخارجية الأخرى. يفتح هذا العديد من خيارات المصادقة لـ P2S VPN، بما في ذلك خيارات متعددة العوامل.

رسم تخطيطي يوضح شبكة VPN من نقطة إلى موقع باستخدام موقع محلي.

ما هي متطلبات تكوين العميل؟

ملاحظة

بالنسبة إلى عملاء Windows، يجب أن يكون لديك حقوق المسؤول على جهاز العميل من أجل بدء اتصال VPN من جهاز العميل إلى Azure.

يستخدم المستخدمون عملاء الشبكة الظاهرية الخاصة الأصليين على أجهزة Windows وMac من نقطة إلى موقع. يوفر Azure ملف مضغوط تكوين عميل الشبكة الظاهرية الخاصة الذي يحتوي على الإعدادات المطلوبة من قبل هؤلاء العملاء الأصليين لتصال Azure.

  • بالنسبة لأجهزة Windows، يتكون تكوين عميل الشبكة الظاهرية الخاصة من حزمة مثبت يقوم المستخدمون بتثبيتها على أجهزتهم.
  • بالنسبة لأجهزة Mac، تتكون من ملف تكوين الجوال الذي يقوم المستخدمون بتثبيته على أجهزتهم.

يوفر الملف المضغوط أيضا قيم بعض الإعدادات الهامة على جانب Azure التي يمكنك استخدامها لإنشاء ملف التعريف الخاص بك لهذه الأجهزة. تتضمن بعض القيم عنوان بوابة شبكة ظاهرية خاصة وأنواع النفق المكونة والمسارات والشهادة الجذر للتحقق من صحة البوابة.

ملاحظة

بدءًا من 1 يوليو 2018، تتم إزالة الدعم لـ TLS 1.0 و1.1 من بوابة Azure VPN. ستدعم بوابة VPN TLS 1.2 فقط. تتأثر الاتصالات من نقطة إلى موقع فقط؛ لن تتأثر الاتصالات من موقع إلى موقع. إذا كنت تستخدم TLS لشبكات VPN من نقطة إلى موقع على عملاء Windows 10 أو أحدث، فلن تحتاج إلى اتخاذ أي إجراء. إذا كنت تستخدم بروتوكول أمان طبقة النقل للاتصالات من نقطة إلى موقع على عملاء Windows 7 وWindows 8، فراجع الأسئلة الشائعة بشأن بوابة VPN للحصول على إرشادات التحديث.

ما هي وحدات حفظ المخزون (SKU) للبوابة التي تدعم P2S VPN؟

الشبكة الخاصة الظاهرية (VPN)
‏‏البوابة
الجيل
⁩SKU⁧ S2S/VNet-to-VNet
الأنفاق
اتصالات P2S
اتصالات SSTP
اتصالات P2S
اتصالات IKEv2/OpenVPN
التجميع
معيار معدل النقل
BGP Zone-redundant
Generation1 أساسي حد أقصى. 10 حد أقصى. 128 غير مدعومة يبلغ 100 ميغابت في الثانية غير مدعومة لا
Generation1 VpnGw1 الحد الأقصى. 30 الحد الأقصى. 128 حد أقصى. 250 650 ميغابت في الثانية مدعوم لا
Generation1 VpnGw2 الحد الأقصى. 30 الحد الأقصى. 128 حد أقصى. 500 يبلغ 1 جيجابت في الثانية مدعوم لا
Generation1 VpnGw3 الحد الأقصى. 30 الحد الأقصى. 128 حد أقصى. 1000 1.25 غيغابت في الثانية مدعوم لا
Generation1 VpnGw1AZ الحد الأقصى. 30 الحد الأقصى. 128 حد أقصى. 250 650 ميغابت في الثانية مدعوم نعم
Generation1 VpnGw2AZ الحد الأقصى. 30 الحد الأقصى. 128 حد أقصى. 500 يبلغ 1 جيجابت في الثانية مدعوم نعم
Generation1 VpnGw3AZ الحد الأقصى. 30 الحد الأقصى. 128 حد أقصى. 1000 1.25 غيغابت في الثانية مدعوم نعم
Generation2 VpnGw2 الحد الأقصى. 30 الحد الأقصى. 128 حد أقصى. 500 1.25 غيغابت في الثانية مدعوم لا
Generation2 VpnGw3 الحد الأقصى. 30 الحد الأقصى. 128 حد أقصى. 1000 2.5 غيغابت في الثانية مدعوم لا
Generation2 VpnGw4 الحد الأقصى. 100* حد أقصى. 128 حد أقصى. 5000 5 غيغابت في الثانية مدعوم لا
Generation2 VpnGw5 الحد الأقصى. 100* حد أقصى. 128 حد أقصى. 10000 10 جيجابت لكل ثانية مدعوم لا
Generation2 VpnGw2AZ الحد الأقصى. 30 الحد الأقصى. 128 حد أقصى. 500 1.25 غيغابت في الثانية مدعوم نعم
Generation2 VpnGw3AZ الحد الأقصى. 30 الحد الأقصى. 128 حد أقصى. 1000 2.5 غيغابت في الثانية مدعوم نعم
Generation2 VpnGw4AZ الحد الأقصى. 100* حد أقصى. 128 حد أقصى. 5000 5 غيغابت في الثانية مدعوم نعم
Generation2 VpnGw5AZ الحد الأقصى. 100* حد أقصى. 128 حد أقصى. 10000 10 جيجابت لكل ثانية مدعوم نعم

(*) استخدم Virtual WAN إذا كنت بحاجة إلى أكثر من 100 نفقاً لشبكة S2S VPN.

  • يسمح تغيير حجم SKU VpnGw داخل نفس الجيل، باستثناء تغيير حجم Basic SKU. Basic SKU هي وحدة حفظ مخزون قديمة ولها حدود في الميزة. للانتقال من Basic إلى SKU آخر، يجب عليك حذف بوابة Basic SKU VPN وإنشاء بوابة جديدة باستخدام المزيج من Generation وحجم SKU المطلوب. (راجع العمل مع وحدات SKU القديمة).

  • حدود الاتصال هذه منفصلة. على سبيل المثال، يمكن أن يكون لديك 128 اتصالاً من SSTP وأيضاً 250 اتصالاً من IKEv2 على VpnGw1 SKU.

  • يمكنك العثور على معلومات التسعير في صفحةالتسعير.

  • يمكن العثور على معلومات اتفاقية مستوى الخدمة (SLA) في صفحةاتفاقية مستوى الخدمة

  • إذا كان لديك الكثير من اتصالات P2S، فإنها ستؤثر سلباً على اتصالات S2S خاصتك. تم اختبار معايير إجمالي معدل النقل من خلال زيادة مزيج من اتصالات S2S وP2S. يمكن أن يكون لاتصال P2S أو S2S منفرد معدل نقل أقل بكثير.

  • لاحظ أن جميع المعايير ليست مضمونة بسبب ظروف حركة المرور (نسبة استخدام الشبكة) (نسبة استخدام الشبكة) على الإنترنت وسلوكيات التطبيق الخاص بك

لمساعدة عملائنا على فهم الأداء النسبي لوحدات حفظ المخزون (SKU) باستخدام خوارزميات مختلفة، استخدمنا أدوات iPerf وCTSTraffic المتاحة للجمهور لقياس أداء الاتصالات من الموقع إلى الموقع. يسرد الجدول أدناه نتائج اختبارات الأداء لوحدات وحدة حفظ المخزون الخاصة بـ VpnGw. كما تري، يتم الحصول على أفضل أداء عندما استخدمنا خوارزمية GCMAES256 لكل من التشفير والنزاهة IPsec. حصلنا على متوسط الأداء عند استخدام AES256 لتشفير IPsec وSHA256 للتكامل. عندما استخدمنا DES3 لتشفير IPsec وSHA256 للتكامل، حصلنا على أدنى أداء.

يتصل نفق VPN بمثيل بوابة VPN. يتم ذكر كل معدل نقل مثيل في جدول معدلات النقل أعلاه وهي متوفرة مجمعة عبر كافة الأنفاق المتصلة بهذا المثيل.

يوضح الجدول أدناه عرض النطاق الترددي المرصود والحزم لكل معدل نقل بالثانية لكل نفق لوحدات حفظ المخزون المختلفة للبوابة. تم إجراء جميع الاختبارات بين البوابات (نقاط النهاية) داخل Azure عبر مناطق مختلفة مع 100 اتصال وتحت ظروف تحميل قياسية.

الجيل ⁩SKU⁧ الخوارزميات
used
معدل النقل
لوحظ في كل نفق
الحزم في الثانية لكل نفق
لوحظ
Generation1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 ميغابت في الثانية
500 ميغابت لكل ثانية
130 ميجابايت في الثانية
62,000
47,000
12,000
Generation1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.2 جيجابايت في الثانية
650 ميغابت في الثانية
140 ميجابايت في الثانية
100,000
61,000
13,000
Generation1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 غيغابت في الثانية
700 ميجابايت في الثانية
140 ميجابايت في الثانية
120,000
66,000
13,000
Generation1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 ميغابت في الثانية
500 ميغابت لكل ثانية
130 ميجابايت في الثانية
62,000
47,000
12,000
Generation1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.2 جيجابايت في الثانية
650 ميغابت في الثانية
140 ميجابايت في الثانية
110,000
61,000
13,000
Generation1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 غيغابت في الثانية
700 ميجابايت في الثانية
140 ميجابايت في الثانية
120,000
66,000
13,000
Generation2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 غيغابت في الثانية
550 ميغابايت في الثانية
130 ميجابايت في الثانية
120,000
52,000
12,000
Generation2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.5 جيجابايت في الثانية
700 ميجابايت في الثانية
140 ميجابايت في الثانية
140,000
66,000
13,000
Generation2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 جيجابايت في الثانية
700 ميجابايت في الثانية
140 ميجابايت في الثانية
220,000
66,000
13,000
Generation2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 جيجابايت في الثانية
700 ميجابايت في الثانية
140 ميجابايت في الثانية
220,000
66,000
13,000
Generation2 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 غيغابت في الثانية
550 ميغابايت في الثانية
130 ميجابايت في الثانية
120,000
52,000
12,000
Generation2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.5 جيجابايت في الثانية
700 ميجابايت في الثانية
140 ميجابايت في الثانية
140,000
66,000
13,000
Generation2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 جيجابايت في الثانية
700 ميجابايت في الثانية
140 ميجابايت في الثانية
220,000
66,000
13,000
Generation2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 جيجابايت في الثانية
700 ميجابايت في الثانية
140 ميجابايت في الثانية
220,000
66,000
13,000

ملاحظة

لا تدعم وحدة SKU الأساسية مصادقة IKEv2 أو RADIUS.

ما هي نُهُج IKE/IPsec التي تم تكوينها على بوابات VPN لـ P2S؟

الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي)

التشفير تكامل البيانات PRF مجموعة DH
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

IPsec

التشفير تكامل البيانات مجموعة PFS
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

ما هي نُهُج TLS التي كُونت على بوابات VPN لـ P2S؟

TLS

النُهج
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

كيف يمكنني تكوين اتصال P2S؟

يتطلب تكوين P2S بضع خطوات محددة. يرد في المقالات التالية الخطوات اللازمة لإرشادك خلال تكوين P2S مع روابط لتكوين أجهزة عميل VPN:

كيفية إزالة تكوين اتصال P2S

يمكنك إزالة تكوين أي اتصال باستخدام PowerShell أو CLI. على سبيل المثال، راجع الأسئلة المتداولة.

كيف يعمل توجيه P2S؟

راجع المقالات التالية:

‏‫الأسئلة المتداولة

هناك العديد من أقسام الأسئلة الشائعة حول P2S والتي تدور حول عملية المصادقة.

الخطوات التالية

"OpenVPN" هي علامة تجارية لشركة OpenVPN Inc.