你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

关于点到站点 VPN

点到站点 (P2S) VPN 网关连接用于创建从单个客户端计算机到虚拟网络的安全连接。 可通过从客户端计算机启动连接来建立 P2S 连接。 对于要从远程位置(例如从家里或会议室)连接到 Azure VNet 的远程工作者,此解决方案很有用。 如果只有一些客户端需要连接到 VNet,则还可以使用 P2S VPN 这一解决方案来代替 S2S VPN。 本文适用于资源管理器部署模型

P2S 使用哪种协议?

点到站点 VPN 可使用以下协议之一:

  • OpenVPN® 协议,一种基于 SSL/TLS 的 VPN 协议。 由于大多数防火墙都会打开 TLS 所用的出站 TCP 端口 443,因此 TLS VPN 解决方案可以穿透防火墙。 OpenVPN 可用于从 Android、iOS(11.0 及更高版本)、Windows、Linux 和 Mac 设备(macOS 10.13 及更高版本)进行连接。

  • 安全套接字隧道协议 (SSTP),一个基于 TLS 的专属 VPN 协议。 由于大多数防火墙都会打开 TLS 所用的出站 TCP 端口 443,因此 TLS VPN 解决方案可以穿透防火墙。 只有 Windows 设备支持 SSTP。 Azure 支持所有采用 SSTP 并支持 TLS 1.2 的 Windows 版本(Windows 8.1 及更高版本)。

  • IKEv2 VPN,这是一种基于标准的 IPsec VPN 解决方案。 IKEv2 VPN 可用于从 Mac 设备进行连接(macOS 10.11 和更高版本)。

注意

P2S 的 IKEv2 和 OpenVPN 仅可用于资源管理器部署模型。 它们不可用于经典部署模型。

如何对 P2S VPN 客户端进行身份验证?

在 Azure 接受 P2S VPN 连接之前,必须先对用户进行身份验证。 Azure 提供两种机制用于对连接方用户进行身份验证。

使用本机 Azure 证书身份验证进行身份验证

使用本机 Azure 证书身份验证时,设备上的客户端证书用于对连接方用户进行身份验证。 客户端证书从受信任的根证书生成,并安装在每台客户端计算机上。 可以使用通过企业解决方案生成的根证书,也可以生成自签名证书。

客户端证书的验证由 VPN 网关执行,在建立 P2S VPN 连接期间发生。 验证时需要使用根证书,必须将该证书上传到 Azure。

使用本机 Azure Active Directory 身份验证进行身份验证

通过 Azure AD 身份验证,用户可使用其 Azure Active Directory 凭据连接到 Azure。 本机 Azure AD 身份验证只有 OpenVPN 协议和 Windows 10 及更高版本支持,并且需要使用 Azure VPN Client。 支持的客户端操作系统Windows 10或更高版本和 macOS。

凭借本机 Azure AD 身份验证,你可以利用 Azure AD 的条件访问以及适用于 VPN 的多重身份验证 (MFA) 功能。

大致说来,需要执行以下步骤来配置 Azure AD 身份验证:

  1. 配置 Azure AD 租户

  2. 在网关上启用 Azure AD 身份验证

  3. 使用下列其中一个链接下载最新版本的 Azure VPN 客户端安装文件:

使用 Active Directory (AD) 域服务器进行身份验证

AD 域身份验证可让用户使用其组织域凭据连接到 Azure。 它需要一台与 AD 服务器集成的 RADIUS 服务器。 组织也可以利用其现有的 RADIUS 部署。

可将 RADIUS 服务器部署到本地或 Azure VNet 中。 在身份验证期间,Azure VPN 网关充当传递设备,在 RADIUS 服务器与连接方设备之间来回转发身份验证消息。 因此,RADIUS 服务器必须能够访问网关。 如果 RADIUS 服务器位于本地,需要建立从 Azure 到本地站点的 VPN S2S 连接,才能实现这种访问。

RADIUS 服务器还能与 AD 证书服务集成。 这样,便可以使用 RADIUS 服务器以及用于 P2S 证书身份验证的企业证书部署,作为 Azure 证书身份验证的替代方法。 此方法的优点是不需要将根证书和吊销的证书上传到 Azure。

RADIUS 服务器还能与其他外部标识系统集成。 这样就为 P2S VPN 提供了大量的身份验证选项,包括多重身份验证选项。

显示本地站点中的点到站点 VPN 的图示。

客户端配置要求是什么?

注意

对于 Windows 客户端,你必须具有客户端设备上的管理员权限,才能发起从客户端设备到 Azure 的 VPN 连接。

用户使用 Windows 和 Mac 设备上的本机 VPN 客户端建立 P2S 连接。 Azure 提供一个 VPN 客户端配置 zip 文件,其中包含这些本机客户端连接到 Azure 时所需的设置。

  • 对于 Windows 设备,VPN 客户端配置包括用户在其设备上安装的安装程序包。
  • 对于 Mac 设备,该配置包括用户在其设备上安装的 mobileconfig 文件。

该 zip 文件还提供 Azure 端上的一些重要设置的值,使用这些设置可为这些设备创建你自己的配置文件。 其中一些值包括 VPN 网关地址、配置的隧道类型、路由,以及用于网关验证的根证书。

注意

从 2018 年 7 月 1 日开始,Azure VPN 网关将不再支持 TLS 1.0 和 1.1。 VPN 网关将仅支持 TLS 1.2。 仅点到站点连接会受到影响;站点到站点连接不受影响。 如果你在 Windows 10 及更高版本客户端上将 TLS 用于点到站点 VPN,则你无需采取任何操作。 如果在 Windows 7 和 Windows 8 客户端上使用 TLS 建立点到站点连接,请参阅 VPN 网关常见问题解答,了解更新说明。

哪些网关 SKU 支持 P2S VPN?

VPN
网关
代系
SKU S2S/VNet 到 VNet
隧道
P2S
SSTP 连接
P2S
IKEv2/OpenVPN 连接
聚合
吞吐量基准
BGP 区域冗余
第 1 代 基本 最大 10 最大 128 不支持 100 Mbps 不支持
第 1 代 VpnGw1 最大 30 最大 128 最大 250 650 Mbps 支持
第 1 代 VpnGw2 最大 30 最大 128 最大 500 1 Gbps 支持
第 1 代 VpnGw3 最大 30 最大 128 最大 1000 1.25 Gbps 支持
第 1 代 VpnGw1AZ 最大 30 最大 128 最大 250 650 Mbps 支持
第 1 代 VpnGw2AZ 最大 30 最大 128 最大 500 1 Gbps 支持
第 1 代 VpnGw3AZ 最大 30 最大 128 最大 1000 1.25 Gbps 支持
第 2 代 VpnGw2 最大 30 最大 128 最大 500 1.25 Gbps 支持
第 2 代 VpnGw3 最大 30 最大 128 最大 1000 2.5 Gbps 支持
第 2 代 VpnGw4 最大 100* 最大 128 最大 5000 5 Gbps 支持
第 2 代 VpnGw5 最大 100* 最大 128 最大 10000 10 Gbps 支持
第 2 代 VpnGw2AZ 最大 30 最大 128 最大 500 1.25 Gbps 支持
第 2 代 VpnGw3AZ 最大 30 最大 128 最大 1000 2.5 Gbps 支持
第 2 代 VpnGw4AZ 最大 100* 最大 128 最大 5000 5 Gbps 支持
第 2 代 VpnGw5AZ 最大 100* 最大 128 最大 10000 10 Gbps 支持

(*) 如果需要 100 个以上的 S2S VPN 隧道,请使用虚拟 WAN

  • 在同一代中允许调整 VpnGw SKU 的大小,但基本 SKU 的大小调整除外。 基本 SKU 是旧版 SKU,并且具有功能限制。 若要从基本 SKU 移到其他 SKU,必须删除基本 SKU VPN 网关,并使用所需代系和 SKU 大小组合来创建新网关。 (请参阅使用旧版 SKU)。

  • 这些连接限制是独立的。 例如,在 VpnGw1 SKU 上可以有 128 个 SSTP 连接,还可以有 250 个 IKEv2 连接。

  • 可在 定价 页上找到定价信息。

  • 可在 SLA 页上查看 SLA(服务级别协议)信息。

  • 如果你有很多 P2S 连接,可能会对 S2S 连接带来负面影响。 聚合吞吐量基准是通过最大化 S2S 和 P2S 连接的组合来测试的。 单个 P2S 或 S2S 连接的吞吐量可能会低很多。

  • 请注意,鉴于 Internet 流量情况和你的应用程序行为,不能保证达到所有基准

为了帮助我们的客户了解使用不同算法的 SKU 的相对性能,我们使用市售 iPerf 和 CTSTraffic 工具来衡量站点到站点连接的性能。 下表列出了 VpnGw SKU 的性能测试结果。 可以看到,对 IPsec 加密和完整性使用 GCMAES256 算法时,可获得最佳性能。 对 IPsec 加密使用 AES256 以及对完整性使用 SHA256 时,可获得平均性能。 对 IPsec 加密使用 DES3 以及对完整性使用 SHA256 可获得最低性能。

VPN 隧道连接到 VPN 网关实例。 上述吞吐量表中提到了每个实例的吞吐量,该吞吐量可在连接到该实例的所有隧道中聚合。

下表显示了不同网关 SKU 每条隧道的观察带宽和每秒数据包吞吐量。 所有测试都是在 Azure 内跨具有 100 个连接且具备标准负载条件的不同地区的网关(终结点)之间进行的。

代系 SKU 算法
(使用的)
吞吐量
按隧道观察到的
每隧道每秒数据包数
(观察到的)
第 1 代 VpnGw1 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
第 1 代 VpnGw2 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.2 Gbps
650 Mbps
140 Mbps
100,000
61,000
13,000
第 1 代 VpnGw3 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
第 1 代 VpnGw1AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
第 1 代 VpnGw2AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.2 Gbps
650 Mbps
140 Mbps
110,000
61,000
13,000
第 1 代 VpnGw3AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
第 2 代 VpnGw2 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
第 2 代 VpnGw3 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
第 2 代 VpnGw4 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
第 2 代 VpnGw5 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
第 2 代 VpnGw2AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
第 2 代 VpnGw3AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
第 2 代 VpnGw4AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
第 2 代 VpnGw5AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000

注意

基本 SKU 不支持 IKEv2 或 RADIUS 身份验证。

在 P2S 的 VPN 网关上配置了哪些 IKE/IPsec 策略?

IKEv2

Cipher 完整性 PRF DH 组
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

IPsec

Cipher 完整性 PFS 组
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

在 P2S 的 VPN 网关上配置了哪些 TLS 策略?

TLS

策略
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

如何配置 P2S 连接?

P2S 配置需要相当多的特定步骤。 以下文章包含引导你完成 P2S 配置的步骤,以及用于配置 VPN 客户端设备的链接:

删除 P2S 连接的配置

可以使用 PowerShell 或 CLI 删除某个连接的配置。 有关示例,请参阅常见问题解答

P2S 路由的工作原理是什么?

请参阅以下文章:

常见问题解答

关于 P2S,有多个基于身份验证的“常见问题解答”部分。

后续步骤

“OpenVPN”是 OpenVPN Inc. 的商标。