閱讀英文

共用方式為


使用者 VPN (點對站) 概念

下列文章說明概念和可由客戶設定的選項,這些內容與虛擬 WAN 使用者 VPN 點對站 (P2S) 設定及閘道相關聯。 本文分成多個章節,包括 P2S VPN 伺服器設定概念的相關章節,以及 P2S VPN 閘道概念的相關章節。

VPN 伺服器設定概念

VPN 伺服器設定會定義用來驗證使用者的驗證、加密和使用者群組參數,以及指派 IP 位址和加密流量。 P2S 閘道與 P2S VPN 伺服器設定相關聯。

常見概念

概念 描述 附註
通道類型 P2S VPN 閘道與連線使用者之間所用的通訊協定。 可用的參數:IKEv2、OpenVPN 或兩者。 針對 IKEv2 伺服器設定,僅可使用 RADIUS 和憑證型驗證。 針對 OPEN VPN 伺服器設定,可以使用 RADIUS、憑證型和 Microsoft Entra ID 型驗證。 此外,相同伺服器設定上的多個驗證方法 (例如相同設定上的憑證和 RADIUS) 僅支援 OpenVPN。 IKEv2 也有 255 個路由的通訊協定層級限制,而 OpenVPN 有 1000 個路由的限制。
自訂 IPsec 參數 針對使用了 IKEv2 的閘道,P2S VPN 閘道是使用加密參數。 如需可用的參數,請參閱點對站 VPN 的自訂 IPsec 參數。 此參數不適用於使用 OpenVPN 驗證的閘道。

Azure 憑證驗證概念

下列概念與使用憑證型驗證的伺服器設定相關。

概念 描述 附註
根憑證名稱 Azure 用來識別客戶根憑證的名稱。 可設定為任何名稱。 您可以有多個跟證書。
公開憑證資料 用戶端憑證所核發的根憑證。 輸入對應至根憑證公開資料的字串。 如需如何取得根憑證公開資料的範例,請參閱下列文件中的步驟 8:產生憑證
撤銷的憑證 Azure 用來識別要撤銷的憑證名稱。 可設定為任何名稱。
撤銷的憑證指紋 不應該連線到閘道的終端使用者憑證指紋。 此參數的輸入是一或多個憑證指紋。 每個使用者憑證都必須個別撤銷。 撤銷中繼憑證或根憑證不會自動撤銷所有子憑證。

RADIUS 驗證概念

如果 P2S VPN 閘道設定為使用 RADIUS 型驗證,P2S VPN 閘道會作為網路原則伺服器 (NPS) Proxy,將驗證要求轉送給客戶 RADIUS 伺服器。 閘道可以使用一或兩個 RADIUS 伺服器來處理驗證要求。 如果提供多個伺服器,驗證要求會自動在 RADIUS 伺服器間進行負載平衡。

概念 描述 附註
主要伺服器密碼 在客戶的主要 RADIUS 伺服器上設定的伺服器密碼,是用於 RADIUS 通訊協定的加密程序。 任何共用的密碼字串。
主要伺服器 IP 位址 RADIUS 伺服器的私人 IP 位址 此 IP 必須是虛擬中樞可連線的私人 IP。 請確定裝載了 RADIUS 伺服器的連線會透過閘道傳播至中樞內 defaultRouteTable。
次要伺服器密碼 在第二個 RADIUS 伺服器上設定的伺服器密碼,是用於 RADIUS 通訊協定的加密程序。 任何提供的共用密碼字串。
次要伺服器 IP 位址 RADIUS 伺服器的私人 IP 位址 此 IP 必須是虛擬中樞可連線的私人 IP。 請確定裝載了 RADIUS 伺服器的連線會透過閘道傳播至中樞內 defaultRouteTable。
RADIUS 伺服器根憑證 RADIUS 伺服器根憑證公開資料。 這是選用欄位。 輸入對應至 RADIUS 根憑證公開資料的字串。 您可以輸入多個跟證書。 所有用於驗證的用戶端憑證都必須由指定根憑證核發。 如需如何取得憑證公開資料的範例,請參閱下列文件中的步驟 8:產生憑證
撤銷的用戶端憑證 撤銷的 RADIUS 用戶端憑證指紋。 出示已撤銷憑證的用戶端將無法進行連線。 這是選用欄位。 每個使用者憑證都必須個別撤銷。 撤銷中繼憑證或根憑證不會自動撤銷所有子憑證。

Microsoft Entra 驗證概念

下列概念與使用 Microsoft Entra ID 型驗證的伺服器設定相關。 只有在通道類型為 OpenVPN 時,才能使用 Microsoft Entra ID 型驗證。

概念 描述 可用參數
對象 在 Microsoft Entra 租用戶中註冊的 Azure VPN 企業應用程式所用應用程式識別碼。 若要深入了解如何在租用戶中註冊 Azure VPN 應用程式及尋找應用程式識別碼,請參閱為 P2S 使用者 VPN OpenVPN 通訊協定連線設定租用戶
Issuer 與您的 Active Directory 相關聯,並對應至 Security Token Service (STS) 的完整 URL。 請使用下列格式的字串:https://sts.windows.net/<your Directory ID>/
Microsoft Entra 租使用者 對應至 Active Directory 租用戶的完整 URL,是用於閘道上的驗證程序。 該 URL 會根據 Active Directory 租用戶所在的雲端部署環境而有所不同。 如需每個雲端環境的詳細資料,請參閱下文。

Microsoft Entra 租用戶識別碼

下表描述 Microsoft Entra URL 的格式,該格式是依據 Microsoft Entra ID 所在的雲端部署環境。

雲端 參數格式
Azure 公用雲端 https://login.microsoftonline.com/{AzureAD TenantID}
Azure Government 雲端 https://login.microsoftonline.us/{AzureAD TenantID}
China 21Vianet Cloud https://login.chinacloudapi.cn/{AzureAD TenantID}

使用者群組 (多集區) 概念

下列概念與虛擬 WAN 中的使用者群組 (多集區) 相關。 使用者群組可讓您根據連線使用者的憑證,將不同 IP 位址指派給連線使用者;也可讓您設定存取控制清單 (ACL) 和防火牆規則以保護工作負載。 如需詳細資訊和範例,請參閱多集區概念

伺服器設定包含群組的定義,接著會在閘道上使用群組,將伺服器設定群組對應至 IP 位址。

概念 描述 附註
使用者群組/原則群組 使用者群組或原則群組是使用者群組的邏輯表示法,該群組應從相同位址集區獲指派 IP 位址。 如需詳細資訊,請參閱關於使用者群組
預設群組 當使用者嘗試使用「使用者群組」功能連線到閘道時,若有使用者不符合任何已指派給閘道的群組,系統會自動將其視為預設群組的一部份,並獲指派與該群組相關聯的 IP 位址。 伺服器設定中的每個群組都可以指定為預設群組或非預設群組,且建立群組後就無法變更此設定。 只有一個預設群組可以指派給每個 P2S VPN 閘道,即使指派的伺服器設定有多個預設群組亦然。
群組優先順序 將多個群組指派給閘道時,連線的使用者可能會出示符合多個群組的認證。 虛擬 WAN 會處理指派給閘道的群組,以提升優先順序。 優先順序為正整數,且系統會先處理優先順序中具有較低數值的群組。 每個群組都必須有不同的優先順序。
群組設定/成員 使用者群組包含成員。 成員不會對應至個別使用者,而是定義用於判斷連線使用者所屬群組的準則或比對條件。 將群組指派給閘道後,若連線使用者憑證符合針對其中一個群組成員所指定的準則,則會將使用者視為該群組的一部份,並可獲指派適當的 IP 位址。 如需可用準則的完整清單,請參閱可用的群組設定

閘道設定概念

下列各節說明與 P2S VPN 閘道相關聯的概念。 每個閘道都與一個 VPN 伺服器設定相關聯,而且具有許多其他可設定的選項。

一般閘道概念

概念 描述 附註
閘道縮放單位 閘道縮放單位會定義 P2S VPN 閘道可支援的彙總輸送量和並行使用者人數。 閘道縮放單位的範圍可以從 1 到 200,每個閘道支援 500 到 100,000 位使用者。
P2S 伺服器設定 定義 P2S VPN 閘道用來驗證傳入使用者的驗證參數。 與虛擬 WAN 閘道相關聯的任何 P2S 伺服器設定。 必須成功建立伺服器設定,才能讓閘道參考該設定。
路由喜好設定 可讓您選擇流量在 Azure 與網際網路間路由傳送的方式。 您可以選擇透過 Microsoft 網路或經由 ISP 網路 (公用網際網路) 來路由傳送流量。 如需此設定的詳細資訊,請參閱什麼是路由喜好設定?建立閘道之後,就無法修改此設定。
自訂 DNS 伺服器 連線使用者的 DNS 伺服器 IP 位址應該轉送 DNS 要求。 任何可路由傳送的 IP 位址。
傳播預設路由 如果虛擬 WAN 中樞已設定為 0.0.0.0/0 預設路由 (預設路由表中的靜態路由,或從內部部署公告的 0.0.0.0/0/0),則此設定可控制 0.0.0.0/0 路由是否會公告給連線使用者。 此欄位可以設為 true 或 false。

RADIUS 特定概念

概念 描述 附註
使用遠端/內部部署 RADIUS 伺服器設定 控制虛擬 WAN 是否可以將 RADIUS 驗證封包轉送至以內部部署方式裝載的 RADIUS 伺服器,或連線至不同虛擬中樞的虛擬網路中。 此設定有兩個值:true 或 false。 當虛擬 WAN 設定為使用 RADIUS 型驗證時,虛擬 WAN P2S 閘道會作為 RADIUS Proxy,將驗證要求傳送至 RADIUS 伺服器。 此設定 (若為 true) 可讓虛擬 WAN 閘道與內部部署的 RADIUS 伺服器通訊,或與連線至不同中樞的虛擬網路通訊。 若為 false,虛擬 WAN 將只能透過閘道,對 RADIUS 伺服器 (裝載於連線至中樞的虛擬網路) 進行驗證。
RADIUS Proxy IP P2S VPN 閘道傳送至 RADIUS 伺服器的 RADIUS 驗證封包,具有 RADIUS Proxy IP 欄位所指定的來源 IP。 這些 IP 必須位於 RADIUS 伺服器上的 RADIUS 用戶端允許清單。 此參數無法直接設定。 如果 [使用遠端/內部部署 RADIUS 伺服器] 設定為 true,則 RADIUS Proxy IP 會自動設定為閘道上指定的用戶端位址集區 IP 位址。 如果此設定為 false,則 IP 是來自中樞位址空間內的 IP 位址。 您可以在 P2S VPN 閘道頁面上的 Azure 入口網站找到 RADIUS Proxy IP。

連線設定概念

P2S VPN 閘道上可以有一或多個連線設定。 每個連線設定都有路由傳送設定 (請參閱下方的注意事項),並代表從相同位址集區獲指派 IP 位址的使用者群組或區段。

概念 描述 附註
組態名稱 P2S VPN 設定名稱 可以提供任何名稱。 如果您使用使用者群組/多集區功能,可以在閘道上進行多個連線設定。 如果您未使用此功能,則每個閘道只能有一個設定。
使用者群組 對應至設定的使用者群組 VPN 伺服器設定中所參考的任何使用者群組。 這是選擇性參數。 如需詳細資訊,請參閱關於使用者群組
位址集區 位址集區是連線使用者獲指派的私人 IP 位址。 位址集區可以指定為未與任何虛擬中樞位址空間重疊的 CIDR 區塊、用於連線至虛擬 WAN 的虛擬網路 IP 位址,或從內部部署公告的位址。 視閘道上指定的縮放單位而定,您可能需要多個 CIDR 區塊。 如需詳細資訊,請參閱關於位址集區
路由設定 虛擬中樞的每個連線都有路由傳送設定,其會定義與連線相關聯的路由表,以及路由表傳播至哪個路由表。 相同中樞 (ExpressRoute、VPN、NVA) 的所有分支連線都必須與 defaultRouteTable 產生關聯,並傳播至相同的路由表集。 分支連線有不同的傳播可能會導致非預期的路由行為,因為虛擬WAN 會選擇一個分支的路由組態,並將其套用至所有分支,因此路由會從內部部署學習。

下一步

在此處新增幾篇文章的連結,以進行後續步驟。