使用憑證驗證設定點對站連線 (傳統)
本文顯示如何使用經典 (舊版) 部署模型,建立具有點對站連線方式的 VNet。 此組態會使用自我簽署或 CA 核發的憑證來驗證連線用戶端。 這些指示適用於傳統部署模型。 您無法再使用傳統部署模型來建立閘道。 請改為參閱本文的 Resource Manager 版本。
重要
您無法再為傳統部署模型 (服務管理) 虛擬網路建立新的虛擬網路閘道。 只有 Resource Manager 虛擬網路可以建立新的虛擬網路閘道。
您可以使用點對站 (P2S) VPN 閘道來建立從個別用戶端電腦到虛擬網路的安全連線。 當您想要從遠端位置連線到您的 VNet 時,點對站 VPN 連線很實用。 當您只有一些用戶端需要連線至 VNet 時,P2S VPN 會是很實用的解決方案 (而不是使用站對站 VPN)。 P2S VPN 連線的建立方式是從用戶端電腦開始。
重要
傳統部署模型僅支援 Windows VPN 用戶端,並且使用安全通訊端通道通訊協定 (SSTP),這是 SSL 型 VPN 通訊協定。 若要支援非 Windows VPN 用戶端,您必須使用 Resource Manager 部署模型來建立 VNet。 除了 SSTP 以外,Resource Manager 部署模型還支援 IKEv2 VPN。 如需詳細資料,請參閱關於 P2S 連線。
注意
本文針對傳統 (舊版) 部署模型而撰寫。 建議您改用最新的 Azure 部署模型。 Resource Manager 部署模型是最新的部署模型,可提供比傳統部署模型更多的選項和功能相容性。 若要了解這兩個部署模型之間的差異,請參閱了解部署模型和資源的狀態。
如果您想要使用本文的不同版本,請使用左窗格中的目錄。
設定和需求
需求
點對站連線驗證連線需要下列項目。 本文中的步驟可協助您建立。
- 動態 VPN 閘道。
- 已上傳至 Azure 之根憑證的公開金鑰 (.cer 檔案)。 此金鑰會被視為受信任的憑證並且用於驗證。
- 用戶端憑證是從根憑證產生,並安裝在每部即將連線的用戶端電腦上。 此憑證用於用戶端驗證。
- 必須在每部連線的用戶端電腦上產生並安裝 VPN 用戶端組態套件。 用戶端組態套件會使用連線到 VNet 的必要資訊,設定已在作業系統上的原生 VPN 用戶端。
點對站連線不需要 VPN 裝置或內部部署公眾對應 IP 位址。 已透過 SSTP (安全通訊端通道通訊協定) 建立 VPN 連線。 我們在伺服器端上支援 SSTP 1.0、1.1 和 1.2 版。 用戶端會決定要使用的版本。 若為 Windows 8.1 和更新版本,SSTP 預設使用 1.2。
範例設定
請使用下列值來建立測試環境,或參考這些值來進一步了解本文中的範例:
- 資源群組:TestRG
- VNet 名稱︰VNet1
- 位址空間:192.168.0.0/16
在此範例中,我們只使用一個位址空間。 您可以針對 VNet 使用一個以上的位址空間。 - 子網路名稱:FrontEnd
- 子網路位址範圍:192.168.1.0/24
- GatewaySubnet:192.168.200.0/24
- 區域:(美國) 美國東部
- 用戶端位址空間:172.16.201.0/24
使用這個點對站連線來連線到 VNet 的 VPN 用戶端,會收到來自指定集區的 IP 位址。 - 連線類型:選取點對站。
在開始之前,請確認您有 Azure 訂用帳戶。 如果您還沒有 Azure 訂用帳戶,則可以啟用 MSDN 訂戶權益或註冊免費帳戶。
建立虛擬網路
如果您已經有 VNet,請驗證設定是否與您的 VPN 閘道設計相容。 請特別注意任何可能與其他網路重疊的子網路。
- 透過瀏覽器瀏覽至 Azure 入口網站 ,並視需要使用您的 Azure 帳戶登入。
- 選取 [+建立資源]。 在 [搜尋 Marketplace] 欄位中,輸入「虛擬網路」。 在傳回的清單中找出 [虛擬網路],然後選取以開啟 [虛擬網路] 頁面。
- 在 [虛擬網路] 頁面的 [建立] 按鈕下方,您會看到「使用 Resource Manager 部署 (變更為傳統版)」。 Resource Manager 是建立 VNet 的預設值。 您不想要建立 Resource Manager VNet。 選取 [(變更為傳統版)] 以建立傳統 VNet。 然後,選取 [概觀] 索引標籤,然後選取 [建立]。
- 在 [建立虛擬網路 (傳統版)] 頁面的 [基本] 索引標籤上,使用範例值設定 VNet 設定。
- 選取 [檢閱 + 建立] 以驗證您的 VNet。
- 驗證執行。 驗證 VNet 之後,請選取 [建立]。
DNS 設定不是此設定的必要部分,但如果您想要 VM 之間的名稱解析,則需要 DNS。 指定一個值並不會建立新的 DNS 伺服器。 您指定的 DNS 伺服器 IP 位址應該是可以解析您所連線之資源名稱的 DNS 伺服器。
建立虛擬網路之後,您可以新增 DNS 伺服器的 IP 位址,以便處理名稱解析。 開啟您的虛擬網路設定、按一下 DNS 伺服器,然後新增您要用於名稱解析的 DNS 伺服器 IP 位址。
- 在入口網站中找出虛擬網路。
- 在您的虛擬網路頁面上,選取 [設定] 區段下方的 [DNS 伺服器]。
- 新增 DNS 伺服器。
- 若要儲存您的設定,選取頁面頂端的 [儲存]。
建立 VPN 閘道
瀏覽至您所建立的 VNet。
在 [VNet] 頁面的 [設定] 底下,選取 [閘道]。 在 [閘道] 頁面上,您可以看到虛擬網路的閘道。 此虛擬網路還沒有閘道。 按一下 [按一下這裡新增連線與閘道] 的附注。
在 [設定 VPN 連接和閘道] 頁面上,選取下列設定:
- 連線類型:點對站
- 用戶端位址空間:新增 VPN 用戶端在連線時,所要接收的 IP 位址所在的 IP 位址範圍。 使用不會重疊的私人 IP 位址範圍搭配您從其連線的內部部署位置,或搭配您連線至的 VNet。
將 [目前不要設定閘道] 核取方塊保留為未選取狀態。 我們將建立閘道。
選取頁面底部的 [下一步:閘道 >]。
在 [閘道] 索引標籤上,選取下列值:
- 大小:是虛擬網路閘道的閘道 SKU。 在 Azure 入口網站中,預設的 SKU 是預設。 如需關於閘道 SKU 的資訊,請參閱關於 VPN 閘道設定。
- 路由類型:您必須選取 [動態] 以進行點對站設定。 靜態路由無法運作。
- 閘道子網路:此欄位已自動填入。 您無法變更名稱。 如果您嘗試使用 PowerShell 或任何其他方式來變更名稱,閘道將無法正常運作。
- 位址範圍 (CIDR 區塊):雖然您可以建立小至 /29 的閘道子網路,我們建議您選取至少 /28 或 /27,建立包含更多位址的較大子網路。 這麼做將回有足夠的位址可供容納您未來可能需要的其他組態。 使用閘道子網路時,請避免將網路安全性群組 (NSG) 與閘道子網路建立關聯。 將網路安全性群組與此子網路產生關聯,可能會導致您的 VPN 閘道未能如預期般運作。
選取 [檢閱 + 建立] 以驗證您的設定。
通過驗證後,選取 [建立]。 視您選取的閘道 SKU 而定,VPN 閘道可能需要 45 分鐘的時間才能完成。
建立憑證
針對點對站 VPN,Azure 會使用憑證來驗證 VPN 用戶端。 您會將根憑證的公開金鑰資訊上傳至 Azure。 公開金鑰就會被視為「受信任」。 用戶端憑證必須從信任的根憑證產生,然後安裝在 Certificates-Current User\Personal\Certificates 憑證存放區中的每部用戶端電腦上。 用戶端在連線至 VNet 時會使用此憑證來進行驗證。
如果您使用自我簽署憑證,則必須使用特定參數來建立這些憑證。 您可以依循 PowerShell 和 Windows 10 或更新版本的指示或 MakeCert 建立自我簽署憑證。 當您使用自我簽署的根憑證並從自我簽署的根憑證產生用戶端憑證時,請務必遵循這些指示中的步驟。 否則,您建立的憑證將無法與 P2S 連線相容,而且您會收到連線錯誤的訊息。
取得根憑證的公開金鑰 (.cer)
取得根憑證的 .cer 檔案。 您可以使用透過企業解決方案產生的根憑證 (建議),或產生自我簽署憑證。 建立根憑證之後,將公開憑證資料 (不是私密金鑰) 匯出為 Base64 編碼的 X.509 .cer 檔案。 稍後將此檔案上傳至 Azure。
企業憑證:如果您是使用企業解決方案,則可以使用現有的憑證鏈結。 取得您想要使用的根憑證 .cer 檔案。
自我簽署根憑證:如果您未使用企業憑證解決方案,請建立自我簽署的根憑證。 否則,您所建立的憑證將無法與 P2S 連線相容,而且用戶端會在嘗試連線時收到連線錯誤訊息。 您可以使用 Azure PowerShell、MakeCert 或 OpenSSL。 下列文章中的步驟將說明如何產生相容的自我簽署根憑證:
- 針對 Windows 10 或更新版本的 PowerShell 指示:這些指示在執行 Windows 10 或更新版本的電腦上需要 PowerShell。 從根憑證產生的用戶端憑證可以安裝於任何支援的 P2S 用戶端上。
- MakeCert 指示:如果您無法存取執行 Windows 10 或更新版本的電腦,則可使用 MakeCert 來產生憑證。 雖然 MakeCert 已被取代,但您仍可用它來產生憑證。 從根憑證產生的用戶端憑證可以安裝於任何支援的 P2S 用戶端上。
- Linux - OpenSSL 指示
- Linux - strongSwan 指示
產生用戶端憑證
每個使用點對站連線來連線至 VNet 的用戶端電腦都必須安裝用戶端憑證。 您會從根憑證產生用戶端憑證,並將其安裝在每部用戶端電腦上。 如果您沒有安裝有效的用戶端憑證,用戶端嘗試連線至 VNet 時所進行的驗證將會失敗。
您可以為每個用戶端產生唯一的憑證,也可以對多個用戶端使用相同的憑證。 產生唯一用戶端憑證的優點是能夠撤銷單一憑證。 否則,如果多個用戶端使用相同的用戶端憑證進行驗證,而您要撤銷它時,就必須為每個使用該憑證的用戶端產生並安裝新的憑證。
您可以使用下列方法來產生用戶端憑證︰
企業憑證︰
如果您使用企業憑證解決方案,請以一般的名稱值格式 name@yourdomain.com 產生用戶端憑證。 請使用此格式,而不是「網域名稱\使用者名稱」的格式。
請確定用戶端憑證所根據的憑證範本,是將「用戶端驗證」列為使用者清單中第一個項目的使用者憑證範本。 按兩下憑證,然後檢視 [詳細資料] 索引標籤中的 [增強金鑰使用方法],即可檢查憑證。
自我簽署根憑證:請遵循下列任一 P2S 憑證文章中的步驟,讓您建立的用戶端憑證可與 P2S 連線相容。
當您從自我簽署根憑證產生用戶端憑證時,此憑證會自動安裝在您用來產生它的電腦上。 如果您想要在另一部用戶端電腦上安裝用戶端憑證,請將其匯出為 .pfx 檔案 (包含整個憑證鏈結)。 這麼做將會建立一個 .pfx 檔案,其中包含用戶端進行驗證所需的根憑證資訊。
這些文章中的步驟都會產生相容的用戶端憑證,您可以接著進行匯出並散發。
Windows 10 或更新版本 PowerShell 指示:這些指示需要 Windows 10 或更新版本和 PowerShell,以產生憑證。 產生的憑證可以安裝在任何支援的 P2S 用戶端。
MakeCert 指示:如果您無法存取 Windows 10 或更新版本電腦來產生憑證,則可以使用 MakeCert。 雖然 MakeCert 已被取代,但您仍可用它來產生憑證。 您可以將產生的憑證安裝在任何支援的 P2S 用戶端。
Linux:請參閱 strongSwan 或 OpenSSL 指示。
上傳根憑證 .cer 檔案
建立閘道之後,請將受信任根憑證的 .cer 檔案 (其中包含公開金鑰資訊) 上傳至 Azure 伺服器。 請勿上傳根憑證的私密金鑰。 您上傳憑證之後,Azure 就可以用它來驗證已安裝從受信任根憑證產生之用戶端憑證的用戶端。 如有需要,您稍後可以上傳其他受信任的根憑證檔案 (最多 20 個)。
- 瀏覽至您建立的虛擬網路。
- 在 [設定] 下方,選取 [點對站連線]。
- 選取 [管理憑證]。
- 選取上傳。
- 在 [上傳憑證] 窗格中,選取資料夾圖示,然後瀏覽至您想要上傳的憑證。
- 選取上傳。
- 憑證上傳成功之後,您可以在 [管理憑證] 頁面上加以查看。 您可能需要選取 [重新整理],才能查看您剛剛上傳的憑證。
設定用戶端
若要使用點對站 VPN 連線至 VNet,每個用戶端都必須安裝用來設定原生 Windows VPN 用戶端的套件。 此設定套件會使用連線至虛擬網路所需的設定來設定原生 Windows VPN 用戶端。
您可以在每個用戶端電腦上使用相同的 VPN 用戶端組態套件,只要版本符合用戶端的架構。 如需支援的用戶端作業系統清單,請參閱關於點對站連接和常見問題。
產生和安裝 VPN 用戶端組態套件
瀏覽至您 VNet 的點對站連線設定。
在頁面頂端,選取對應至將安裝下載套件用戶端作業系統的下載套件:
- 若為 64 位元用戶端,請選取 [VPN 用戶端 (64 位元)]。
- 若為 32 位元用戶端,請選取 [VPN 用戶端 (32 位元)]。
Azure 會使用用戶端所需的特定設定產生套件。 每次變更 VNet 或閘道時,您都需要下載新的用戶端設定套件,並將其安裝在用戶端電腦上。
封裝產生之後,請選取 [下載]。
在用戶端電腦上安裝用戶端設定套件。 安裝時,如果您看到 SmartScreen 快顯視窗,指出 Windows 保護您的電腦,請選取 [其他資訊],然後選取 [仍要執行]。 您也可以儲存要在其他用戶端電腦上安裝的套件。
安裝用戶端憑證
在此練習中,當您產生用戶端憑證時,該憑證會自動安裝在您的電腦上。 若要從不同於用來產生用戶端憑證的用戶端電腦建立 P2S 連線,您必須在該電腦上安裝產生的用戶端憑證。
安裝用戶端憑證時,您需要匯出用戶端憑證時所建立的密碼。 一般而言,只要對憑證按兩下即可安裝該憑證。 如需詳細資訊,請參閱安裝匯出的用戶端憑證。
連接到您的 VNet
注意
您必須在您所連線的用戶端電腦上具有系統管理員權限。
- 在用戶端電腦上,移至 [VPN 設定]。
- 選取您所建立的 VPN。 如果您使用範例設定,連接將會標示為 [Group TestRG VNet1]。
- 選取 Connect。
- 在 [Windows Azure 虛擬網路] 方塊中,選取 [連線]。 如果出現有關憑證的快顯訊息,請選取 [繼續] 以使用較高的權限,並選取 [是] 以接受設定變更。
- 當連線成功時,您將會看到已連線通知。
如果您連線時遇到問題,請檢查下列項目︰
如果您已使用憑證匯出精靈來匯出用戶端憑證,請確定您已將其匯出為 .pfx 檔案,並且已選取 [如果可能的話,包含憑證路徑中的所有憑證]。 當您使用此值匯出它時,根憑證資訊也會一併匯出。 當您在用戶端電腦上安裝憑證後,.pfx 檔案中的根憑證也會一併安裝。 若要確認是否已安裝根憑證,可開啟 [管理使用者憑證],然後選取 Trusted Root Certification Authorities\Certificates。 確認其中已列出根憑證,如此才能讓驗證正常運作。
如果您使用由企業 CA 解決方案簽發的憑證,但您無法進行驗證,請檢查用戶端憑證上的驗證順序。 按兩下用戶端憑證,依序選取 [詳細資料] 索引標籤和 [增強金鑰使用方法],即可檢查驗證清單順序。 請確定清單中的第一個項目是「用戶端驗證」。 如果不是,請根據以「用戶端驗證」作為清單中第一個項目的「使用者」範本來簽發用戶端憑證。
如需其他 P2S 疑難排解詳細資訊,請參閱針對 P2S 連線進行疑難排解。
驗證 VPN 連線
請確認您的 VPN 連線為作用中狀態。 在用戶端電腦上開啟提升權限的命令提示字元,然後執行 ipconfig/all。
檢視結果。 請注意,您接收到的 IP 位址是建立 VNet 時所指定之點對站連線位址範圍內的其中一個位址。 結果應該類似此範例:
PPP adapter VNet1: Connection-specific DNS Suffix .: Description.....................: VNet1 Physical Address................: DHCP Enabled....................: No Autoconfiguration Enabled.......: Yes IPv4 Address....................: 172.16.201.11 (Preferred) Subnet Mask.....................: 255.255.255.255 Default Gateway.................: NetBIOS over Tcpip..............: Enabled
連線至虛擬機器
建立遠端桌面連線來連線至部署至 VNet 的 VM。 確認您可以連線至 VM 的最佳方法是使用其私人 IP 位址 (而不是電腦名稱) 進行連線。 這樣一來,您會測試以查看您是否可以連線,而不是否已正確設定名稱解析。
- 找出 VM 的私人 IP 位址。 若要找出 VM 的私人 IP 位址,請在 Azure 入口網站中查看 VM 的屬性或使用 PowerShell。
- 確認您已使用點對站 VPN 連線來連線至 VNet。
- 若要開啟遠端桌面連線,請在工作列上的搜尋方塊中輸入「RDP」或「遠端桌面連線」,然後選取 [遠端桌面連線]。 您也可以使用 PowerShell 中的 mstsc 命令來開啟遠端桌面連線。
- 在 [遠端桌面連線] 中,輸入 VM 的私人 IP 位址。 如有必要,您可以選取 [顯示選項] 來調整其他設定,然後進行連線。
針對 VM 的 RDP 連線進行疑難排解
如果您無法透過 VPN 連線與虛擬機器連線,您可以檢查幾件事。
- 確認您的 VPN 連線成功。
- 確認您正連線至 VM 的私人 IP 位址。
- 輸入 ipconfig 來檢查指派給所連線電腦上乙太網路介面卡的 IPv4 位址。 如果 IP 位址位在您要連線的 VNet 位址範圍內,或在您 VPNClientAddressPool 的位址範圍內,就會發生重疊位址空間。 當您的位址空間以這種方式重疊時,網路流量不會連線到 Azure,它會保留在本機網路上。
- 如果您可以使用私人 IP 位址 (而非電腦名稱) 來連線至 VM,請確認您已正確設定 DNS。 如需 VM 的名稱解析運作方式的詳細資訊,請參閱 VM 的名稱解析。
- 請確認 VPN 用戶端設定套件是在您為 VNet 指定 DNS 伺服器 IP 位址之後產生。 如果您更新 DNS 伺服器 IP 位址,請產生並安裝新的 VPN 用戶端設定套件。
如需疑難排解詳細資訊,請參閱針對 VM 的遠端桌面連線進行疑難排解。
新增或移除受信任的根憑證
您可以從 Azure 新增和移除受信任的根憑證。 當您移除根憑證時,從該根憑證產生憑證的用戶端就無法再進行驗證並連線。 若要讓這些用戶端可以再次進行驗證和連線,您必須安裝從 Azure 信任的根憑證所產生的新用戶端憑證。
新增受信任的根憑證
您可以使用您用來新增第一個受信任根憑證的相同程式,將最多 20 個受信任的根憑證 .cer 檔案新增至 Azure。
移除受信任的根憑證
- 在 VNet 頁面的 [點對站連線] 區段中,選取 [管理憑證]。
- 選取您要移除的憑證旁邊的省略號,然後選取 [刪除]。
若要撤銷用戶端憑證
如有必要,您可以撤銷用戶端憑證。 憑證撤銷清單可讓您選擇性地拒絕以個別的用戶端憑證為基礎的點對站連線。 此方法不同於移除受信任的根憑證。 若您從 Azure 移除受信任的根憑證 .cer,就會撤銷所有由撤銷的根憑證所產生/簽署的用戶端憑證之存取權。 撤銷用戶端憑證,而不是根憑證,可以讓從根憑證產生的憑證繼續用於點對站連線的驗證。
常見的做法是使用根憑證管理小組或組織層級的存取權,然後使用撤銷的用戶端憑證針對個別使用者進行細部的存取控制。
您可以藉由將指紋新增至撤銷清單來撤銷用戶端憑證。
- 擷取用戶端憑證指紋。 如需詳細資訊,請參閱做法:擷取憑證的指紋。
- 將資訊複製到文字編輯器,並移除其空格,讓其成為連續字串。
- 瀏覽至 [點對站 VPN 連線],然後選取 [管理憑證]。
- 選取 [撤銷清單] 來開啟 [撤銷清單] 頁面。
- 在 [指紋] 中,貼上連續一行文字且不含空格的憑證指紋。
- 選取 [+ 新增至清單],將憑證指紋新增至 (CRL) 的憑證撤銷清單。
更新完成之後,憑證無法再用於連線。 嘗試使用此憑證進行連線的用戶端會收到訊息,指出憑證不再有效。
常見問題集
這個常見問題集適用於使用傳統部署模型的 P2S 連線。
可以使用哪些用戶端作業系統來搭配點對站?
以下為支援的用戶端作業系統:
- Windows 7 (32 位元和 64 位元)
- Windows Server 2008 R2 (僅限 64 位元)
- Windows 8 (32 位元和 64 位元)
- Windows 8.1 (32 位元和 64 位元)
- Windows Server 2012 (僅限 64 位元)
- Windows Server 2012 R2 (僅限 64 位元)
- Windows 10
- Windows 11
是否任何支援 SSTP 的軟體 VPN 用戶端都適用於點對站功能?
否。 僅支援列出的 Windows 作業系統版本。
在我的點對站組態中可以有多少個 VPN 用戶端端點?
VPN 用戶端端點的數目取決於您的閘道 sku 和通訊協定。
VPN 閘道 世代 |
SKU | S2S/VNet-to-VNet 通道 |
P2S SSTP 連線 |
P2S IKEv2/OpenVPN 連線 |
彙總 輸送量基準 |
BGP | 區域備援 | 虛擬網路中支援的 VM 數目 |
---|---|---|---|---|---|---|---|---|
Generation1 | 基本 | 最大值。 10 | 最大值。 128 | 不支援 | 100 Mbps | 不支援 | No | 200 |
Generation1 | VpnGw1 | 最大值。 30 | 最大值。 128 | 最大 250 | 650 Mbps | 支援 | No | 450 |
Generation1 | VpnGw2 | 最大值。 30 | 最大值。 128 | 最大 500 | 1 Gbps | 支援 | No | 1300 |
Generation1 | VpnGw3 | 最大值。 30 | 最大值。 128 | 最大 1000 | 1.25 Gbps | 支援 | No | 4000 |
Generation1 | VpnGw1AZ | 最大值。 30 | 最大值。 128 | 最大 250 | 650 Mbps | 支援 | Yes | 1000 |
Generation1 | VpnGw2AZ | 最大值。 30 | 最大值。 128 | 最大 500 | 1 Gbps | 支援 | Yes | 2000 |
Generation1 | VpnGw3AZ | 最大值。 30 | 最大值。 128 | 最大 1000 | 1.25 Gbps | 支援 | Yes | 5000 |
Generation2 | VpnGw2 | 最大值。 30 | 最大值。 128 | 最大 500 | 1.25 Gbps | 支援 | No | 685 |
Generation2 | VpnGw3 | 最大值。 30 | 最大值。 128 | 最大 1000 | 2.5 Gbps | 支援 | No | 2240 |
Generation2 | VpnGw4 | 最大值。 100* | 最大值。 128 | 最大 5000 | 5 Gbps | 支援 | No | 5300 |
Generation2 | VpnGw5 | 最大值。 100* | 最大值。 128 | 最大 10000 | 10 Gbps | 支援 | No | 6700 |
Generation2 | VpnGw2AZ | 最大值。 30 | 最大值。 128 | 最大 500 | 1.25 Gbps | 支援 | Yes | 2000 |
Generation2 | VpnGw3AZ | 最大值。 30 | 最大值。 128 | 最大 1000 | 2.5 Gbps | 支援 | Yes | 3300 |
Generation2 | VpnGw4AZ | 最大值。 100* | 最大值。 128 | 最大 5000 | 5 Gbps | 支援 | Yes | 4400 |
Generation2 | VpnGw5AZ | 最大值。 100* | 最大值。 128 | 最大 10000 | 10 Gbps | 支援 | Yes | 9000 |
是否可以使用自己的內部 PKI 根 CA 進行點對站台連線?
是。 先前只能使用自我簽署的根憑證。 您仍可將 20 個根憑證上傳。
是否可以使用點對站功能周遊 Proxy 和防火牆?
是。 我們使用安全通訊端通道通訊協定 (SSTP) 穿過防火牆。 此通道將會顯示為 HTTPS 連線。
如果我重新啟動針對點對站台設定的用戶端電腦,VPN 將自動重新連線嗎?
用戶端電腦預設為不會自動重新建立 VPN 連線。
在 VPN 用戶端上點對站功能支援自動重新連線和 DDNS 嗎?
否。 點對站 VPN 目前不支援自動重新連接和 DDNS。
可以對相同虛擬網路使用站對站和點對站組態嗎?
是。 如果閘道是路由式 VPN 類型,這兩個解決方案都可正常運作。 如果是傳統部署模型,則需要動態閘道。 靜態路由 VPN 閘道或使用 -VpnType PolicyBased Cmdlet 的閘道不支援點對站。
是否可以將點對站台用戶端設定為同時連接到多個虛擬網路?
是。 但是虛擬網路不能有重疊的 IP 前置詞,而且點對站台位址空間在虛擬網路之間不得重疊。
透過網站間或點對站台連線可以獲得多少輸送量?
很難維護 VPN 通道的確切輸送量。 IPsec 和 SSTP 為加密嚴謹的 VPN 通訊協定。 輸送量也會受限於內部部署與網際網路之間的延遲和頻寬。
下一步
連線完成後,就可以將虛擬機器新增至您的虛擬網路。 如需詳細資訊,請參閱虛擬機器。
若要深入了解網路與 Linux 虛擬機器,請參閱 Azure 與 Linux VM 網路概觀。
如需 P2S 疑難排解的相關資訊,請參閱針對 Azure 點對站連線進行疑難排解。