關於點對站 VPN

發行項
09/18/2023

點對站 (P2S) VPN 閘道連線可讓您建立從個別用戶端電腦到您的虛擬網路的安全連線。建立的點對站連線始自用戶端電腦。此解決方案適合於想要從遠端位置 (例如從住家或會議) 連線到 Azure VNet 的遠距工作者。當您只有少數用戶端必須連線至 VNet 時，P2S VPN 也是很實用的解決方案 (而不是 S2S VPN)。本文適用於 Resource Manager 部署模型。

P2S 使用哪種通訊協定？

店對站 VPN 可以使用下列其中一個通訊協定：

OpenVPN® 通訊協定，這是以 SSL/TLS 為基礎的 VPN 通訊協定。 TLS VPN 解決方案可以穿透防火牆，因為大部分防火牆都會開啟 TLS 使用的輸出 TCP 連接埠 443。 OpenVPN 可用於從 Android、iOS (11.0 版和更新版本)、Windows、Linux 和 Mac 裝置 (macOS 10.13 版和更新版本) 連線。
安全通訊端通道通訊協定 (SSTP)，這是以 TLS 為基礎的專屬 VPN 通訊協定。 TLS VPN 解決方案可以穿透防火牆，因為大部分防火牆都會開啟 TLS 使用的輸出 TCP 連接埠 443。 SSTP 僅在 Microsoft 裝置上提供支援。 Azure 支援所有具有 SSTP 且支援 TLS 1.2 的 Windows 版本 (Windows 8.1 和更新版本)。
IKEv2 VPN，標準型 IPsec VPN 解決方案。 IKEv2 VPN 可用於從 Mac 裝置連線 (macOS 版本 10.11 和更新版本)。

注意

適用於 P2S 的 IKEv2 與 OpenVPN 僅供 Resource Manager 部署模型使用。它們不適用於傳統部署模型。

P2S VPN 用戶端的驗證方式

在 Azure 接受 P2S VPN 連線之前，使用者必須先進行驗證。 Azure 提供兩個機制來驗證連線使用者。

憑證驗證

使用原生 Azure 憑證驗證時，裝置上存在的用戶端憑證會用來驗證連線使用者。用戶端憑證是從根憑證產生，然後安裝在每部用戶端電腦上。您可以使用透過企業解決方案所產生的根憑證，也可以產生自我簽署憑證。

用戶端憑證的驗證是由 VPN 閘道執行，並在建立 P2S VPN 連線期間發生。驗證需要根憑證，而且必須上傳至 Azure。

Azure Active Directory 驗證

Azure AD 驗證可讓使用者使用其 Azure Active Directory 認證來連線至 Azure。原生 Azure AD 驗證僅支援 OpenVPN 通訊協定，也需要使用Azure VPN Client。支援的用戶端作業系統Windows 10或更新版本和 macOS。

使用原生 Azure AD 驗證，您可以使用 Azure AD 的條件式存取和 Multi-Factor Authentication (適用于 VPN 的 MFA) 功能。

概括而言，您必須執行下列步驟以設定 Azure AD 驗證：

設定 Azure AD 租用戶
在閘道上啟用 Azure AD 驗證
使用以下連結之一下載最新版本的 Azure VPN 用戶端安裝檔案：
- 使用 [用戶端安裝檔案] 進行安裝：https://aka.ms/azvpnclientdownload。
- 在用戶端電腦上登入時直接安裝：Microsoft Store。

Active Directory (AD) Domain Server

AD 網域驗證可讓使用者使用其組織網域認證來連線至 Azure。它需要可與 AD 伺服器整合的 RADIUS 伺服器。組織也可以使用其現有的 RADIUS 部署。

RADIUS 伺服器可以部署在內部部署環境或 Azure VNet 中。在驗證期間，Azure VPN 閘道可作為 RADIUS 伺服器與連線裝置之間的通道，雙向轉送驗證訊息。所以閘道觸達 RADIUS 伺服器的能力很重要。如果 RADIUS 伺服器位於內部部署環境，則需要從 Azure 到內部部署網站的 VPN S2S 連線才能觸達。

RADIUS 伺服器也可以與 AD 憑證服務整合。這可讓您對 P2S 憑證驗證使用 RADIUS 伺服器和企業憑證部署，來替代 Azure 憑證驗證。優點是，您不需要將根憑證及撤銷的憑證上傳至 Azure。

RADIUS 伺服器也可以與其他外部身分識別系統整合。這會開啟 P2S VPN 的許多驗證選項，包括多重因素選項。

顯示具有內部部署網站的點對站 VPN 的圖表。

設定用戶端有哪些需求？

用戶端設定需求會根據您使用的 VPN 用戶端、驗證類型和通訊協定而有所不同。下表顯示每個組態的可用用戶端和對應的發行項。

驗證	通道類型	HowTo 文章
Azure 憑證	IKEv2、OpenVPN、SSTP	Windows
Azure 憑證	IKEv2、OpenVPN	macOS-iOS
Azure 憑證	IKEv2、OpenVPN	Linux
Azure AD	OpenVPN (SSL)	Windows
Azure AD	OpenVPN (SSL)	macOS
RADIUS - 憑證	-	發行項
RADIUS - 密碼	-	發行項
RADIUS - 其他方法	-	發行項

重要

從 2018 年 7 月 1 日起，對 TLS 1.0 和 1.1 的支援將會從 Azure VPN 閘道移除。 VPN 閘道僅支援 TLS 1.2。只有點對站連線會受到影響；站對站連線不受影響。如果您對 Windows 10 或更新用戶端上的點對站 VPN 使用 TLS，則不需要採取任何動作。如果您針對 Windows 7 和 Windows 8 用戶端上的點對站連線使用 TLS，請參閱 VPN 閘道常見問題集以取得更新指示。

哪些閘道 SKU 支援 P2S VPN？

VPN 閘道世代	SKU	S2S/VNet-to-VNet 通道	P2S SSTP 連線	P2S IKEv2/OpenVPN Connections	Aggregate 輸送量基準	BGP	區域備援
Generation1	基本	最大值 10	最大 128	不支援	100 Mbps	不支援	否
Generation1	VpnGw1	最大值 30	最大值 128	最大 250	650 Mbps	支援	否
Generation1	VpnGw2	最大值 30	最大值 128	最大 500	1 Gbps	支援	否
Generation1	VpnGw3	最大 30	最大 128	最大 1000	1.25 Gbps	支援	否
Generation1	VpnGw1AZ	最大 30	最大 128	最大 250	650 Mbps	支援	是
Generation1	VpnGw2AZ	最大值 30	最大值 128	最大 500	1 Gbps	支援	是
Generation1	VpnGw3AZ	最大 30	最大值 128	最大 1000	1.25 Gbps	支援	是

Generation2	VpnGw2	最大 30	最大 128	最大 500	1.25 Gbps	支援	否
Generation2	VpnGw3	最大 30	最大 128	最大 1000	2.5 Gbps	支援	否
Generation2	VpnGw4	最大值 100*	最大值 128	最大值 5000	5 Gbps	支援	否
Generation2	VpnGw5	最大 100*	最大值 128	最大 10000	10 Gbps	支援	否
Generation2	VpnGw2AZ	最大值 30	最大 128	最大 500	1.25 Gbps	支援	是
Generation2	VpnGw3AZ	最大 30	最大 128	最大 1000	2.5 Gbps	支援	是
Generation2	VpnGw4AZ	最大 100*	最大 128	最大 5000	5 Gbps	支援	是
Generation2	VpnGw5AZ	最大 100*	最大 128	最大 10000	10 Gbps	支援	是

(*) 如果您需要超過 100 個 S2S VPN 通道，請使用虛擬 WAN。

VpnGw SKU 的大小重新調整可在相同世代內進行，但「基本」SKU 的大小重新調整除外。「基本」SKU 是舊版 SKU，而且有功能限制。若要從「基本」移到另一個 SKU，您必須刪除「基本」SKU VPN 閘道，並使用所需的世代和 SKU 大小組合建立新閘道。 (請參閱使用舊版 SKU)。
基本 SKU 只能使用 PowerShell 或 Azure CLI 進行設定。
這些連線數限制是個別的。例如，您在 VpnGw1 SKU 上可以有 128 個 SSTP 連線和 250 個 IKEv2 連線。
在價格頁面上可以找到價格資訊。
可以在 SLA 頁面上找到 SLA (服務等級協定) 資訊。
如果您有許多 P2S 連線，可能會對 S2S 連線造成負面影響。匯總輸送量基準測試是藉由將 S2S 和 P2S 連線的組合最大化以進行測試。單一 P2S 或 S2S 連線可能具有較低的輸送量。
請注意，由於網際網路流量狀況和您的應用程式行為，因此無法保證所有基準測試均可行

為了協助我們的客戶了解 SKU 使用不同演算法的相對效能，我們使用了可公開取得的 iPerf 和 CTSTraffic 工具來測量站對站連線的效能。下表列出 VpnGw SKU 的效能測試結果。如您所見，當我們針對 IPsec 加密和完整性使用 GCMAES256 演算法時，將會取得最佳效能。當您針對 IPsec 加密和完整性使用 AES256 和 SHA256 時，我們會取得平均效能。當您針對 IPsec 加密和完整性使用 DES3 和 SHA256 時，我們會取得最低效能。

VPN 通道會連線至 VPN 閘道執行個體。上述輸送量資料表中會提及每個執行個體輸送量，而且可在所有連線至該執行個體的通道中進行匯總。

下表針對不同的閘道 SKU 顯示每個通道觀察到的頻寬和每秒封包輸送量。所有測試都是在具有 100 個連線以及在標準負載情況下的不同區域中，在 Azure 內的閘道 (端點) 之間執行。

世代	SKU	演算法已使用	輸送量每個通道觀察到	每個通道的每秒封包數觀察到
第 1 代	VpnGw1	GCMAES256 AES256 & SHA256 DES3 & SHA256	650 Mbps 500 Mbps 130 Mbps	62,000 47,000 12,000
第 1 代	VpnGw2	GCMAES256 AES256 & SHA256 DES3 & SHA256	1.2 Gbps 650 Mbps 140 Mbps	100,000 61,000 13,000
第 1 代	VpnGw3	GCMAES256 AES256 & SHA256 DES3 & SHA256	1.25 Gbps 700 Mbps 140 Mbps	120,000 66,000 13,000
第 1 代	VpnGw1AZ	GCMAES256 AES256 & SHA256 DES3 & SHA256	650 Mbps 500 Mbps 130 Mbps	62,000 47,000 12,000
第 1 代	VpnGw2AZ	GCMAES256 AES256 & SHA256 DES3 & SHA256	1.2 Gbps 650 Mbps 140 Mbps	110,000 61,000 13,000
第 1 代	VpnGw3AZ	GCMAES256 AES256 & SHA256 DES3 & SHA256	1.25 Gbps 700 Mbps 140 Mbps	120,000 66,000 13,000

第 2 代	VpnGw2	GCMAES256 AES256 & SHA256 DES3 & SHA256	1.25 Gbps 550 Mbps 130 Mbps	120,000 52,000 12,000
第 2 代	VpnGw3	GCMAES256 AES256 & SHA256 DES3 & SHA256	1.5 Gbps 700 Mbps 140 Mbps	140,000 66,000 13,000
第 2 代	VpnGw4	GCMAES256 AES256 & SHA256 DES3 & SHA256	2.3 Gbps 700 Mbps 140 Mbps	220,000 66,000 13,000
第 2 代	VpnGw5	GCMAES256 AES256 & SHA256 DES3 & SHA256	2.3 Gbps 700 Mbps 140 Mbps	220,000 66,000 13,000
第 2 代	VpnGw2AZ	GCMAES256 AES256 & SHA256 DES3 & SHA256	1.25 Gbps 550 Mbps 130 Mbps	120,000 52,000 12,000
第 2 代	VpnGw3AZ	GCMAES256 AES256 & SHA256 DES3 & SHA256	1.5 Gbps 700 Mbps 140 Mbps	140,000 66,000 13,000
第 2 代	VpnGw4AZ	GCMAES256 AES256 & SHA256 DES3 & SHA256	2.3 Gbps 700 Mbps 140 Mbps	220,000 66,000 13,000
第 2 代	VpnGw5AZ	GCMAES256 AES256 & SHA256 DES3 & SHA256	2.3 Gbps 700 Mbps 140 Mbps	220,000 66,000 13,000

如需閘道 SKU 建議，請參閱關於 VPN 閘道設定。

注意

基本 SKU 不支援 IKEv2 或 RADIUS 驗證。

哪些 IKE/IPsec 原則是在 VPN 閘道上針對 P2S 設定？

IKEv2

加密	完整性	PRF	DH 群組
GCM_AES256	GCM_AES256	SHA384	GROUP_24
GCM_AES256	GCM_AES256	SHA384	GROUP_14
GCM_AES256	GCM_AES256	SHA384	GROUP_ECP384
GCM_AES256	GCM_AES256	SHA384	GROUP_ECP256
GCM_AES256	GCM_AES256	SHA256	GROUP_24
GCM_AES256	GCM_AES256	SHA256	GROUP_14
GCM_AES256	GCM_AES256	SHA256	GROUP_ECP384
GCM_AES256	GCM_AES256	SHA256	GROUP_ECP256
AES256	SHA384	SHA384	GROUP_24
AES256	SHA384	SHA384	GROUP_14
AES256	SHA384	SHA384	GROUP_ECP384
AES256	SHA384	SHA384	GROUP_ECP256
AES256	SHA256	SHA256	GROUP_24
AES256	SHA256	SHA256	GROUP_14
AES256	SHA256	SHA256	GROUP_ECP384
AES256	SHA256	SHA256	GROUP_ECP256
AES256	SHA256	SHA256	GROUP_2

IPsec

加密	完整性	PFS 群組
GCM_AES256	GCM_AES256	GROUP_NONE
GCM_AES256	GCM_AES256	GROUP_24
GCM_AES256	GCM_AES256	GROUP_14
GCM_AES256	GCM_AES256	GROUP_ECP384
GCM_AES256	GCM_AES256	GROUP_ECP256
AES256	SHA256	GROUP_NONE
AES256	SHA256	GROUP_24
AES256	SHA256	GROUP_14
AES256	SHA256	GROUP_ECP384
AES256	SHA256	GROUP_ECP256
AES256	SHA1	GROUP_NONE

哪些 TLS 原則是在 VPN 閘道上針對 P2S 設定？

TLS

原則
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

如何設定 P2S 連線？

P2S 設定需要相當多的特定步驟。下列文章包含逐步引導您完成一般 P2S 設定步驟的步驟。

移除 P2S 連線的設定

您可以使用 PowerShell 或 CLI 移除連線的設定。如需範例，請參閱常見問題集。

P2S 路由的運作方式為何？

查看下列文章：

常見問題集

P2S 有多個關於驗證的常見問題章節。

後續步驟

「OpenVPN」是 OpenVPN Inc. 的商標