Apple 裝置的 IKEv2 MDM 設定
了解如何使用支援的 IKEv2 功能和此處描述的對應設定描述檔來設定 IKEv2 VPN。
機器認證方法
IKEv2 支援下列機器認證方法。你可使用 AuthenticationMethod 鍵值來指定它們的認證層次:
無:無需機器認證。
共享的密鑰:由你所製作的預設組密鑰。
證書:為進行證書認證,通常會使用 LocalIdentifier 和 RemoteIdentifier 鍵值來識別 IKEv2 用户端和 IKEv2 伺服器。
LocalIdentifier 鍵值通常應符合用户/裝置證書的身份(SubjectAltName 或 Subject CommonName),因為伺服器實作可能會要求相符來驗證用户端的身份。
RemoteIdentifier 鍵值應符合伺服器證書的身份(SubjectAltName 或 Subject CommonName)。
附註:如 RemoteIdentifier 不符合伺服器證書的身份,ServerCertificateCommonName 鍵值可用來指定伺服器證書的身份。
你也會使用 ServerCertificateIssuerCommonName 鍵值來指定伺服器的 CA 通用名稱。指定此鍵值會觸發要傳送至伺服器的 IKEv2 CERTREQ(部份實作會要求此操作)。
EAP:EAP–MSCHAPv2、EAP–TLS 和 EAP–PEAP
你必須使用 ExtendedAuthEnabled 鍵值來啟用 EAP:
為 EAP-MSCHAPv2 指定 AuthName 和 AuthPassword
為 EAP-TLS 指定用户/裝置證書。EAP-TLS 需有 ServerCertificateIssuerCommonName 鍵值
請同時指定 AuthName 和 AuthPassword,以及為 EAP-PEAP 指定用户/裝置證書
如為伺服器認證,你也會使用 AuthenticationMethod 鍵值來指定認證的 IKEv2 層次。
IKE 與子提議
IKEv2 支援一個 IKE 提議與一個子提議。每個提議允許使用一個加密演算法、一個完整性演算法及一個「Diffie-Hellman 群組」的規格。伺服器配置必須允許用户端 IKE 和子提議。
IKE 和子提議也允許針對用户端啟動之 IKE 和子更新密鑰使用規格。此外,伺服器啟動的更新密鑰不受用户端啟動的更新密鑰影響,並可在你的伺服器上配置。針對「總是開啟 VPN」,建議停用伺服器啟動的更新密鑰。
斷線端偵測
IKEv2 支援斷線端偵測。伺服器斷線端偵測不受用户端斷線端偵測影響,並可在你的伺服器上配置。針對「總是開啟 VPN」,建議停用伺服器的斷線端偵測。
分割通道
IKEv2 支援分割通道。依照預設,分割通道路由是由你的伺服器透過 IKEv2「流量選取器」來傳送至用户端。如你的伺服器實作要求 INTERNAL_IP4_SUBNET 與 INTERNAL_IP6_SUBNET 屬性將路徑傳送至用户端,你可使用 UseConfigurationAttributeInternalIPSubnet 鍵值。
附註:IKEv2 不支援從伺服器分割 DNS。然而,iOS 和 iPadOS VPN 承載資料支援允許分割 DNS 的 DNS 目錄。
MOBIKE、伺服器轉址和完全前向保密(Perfect Forward Secrecy)
IKEv2 支援 MOBIKE、伺服器轉址以及完全前向保密(PFS),這些都具備預設值。需有伺服器支援和配置,才能達成以下選項的完整功能性:
MOBIKE:預設為啟用。請使用 DisableMOBIKE 鍵值來將其停用。
伺服器轉址:預設為啟用。請使用 DisableRedirect 鍵值來將其停用。
PFS(需有子 Diffie-Hellman 群組):預設為停用。請使用 EnablePFS 鍵值來將其啟用。
NAT 持續活動卸載
IKEv2 針對「總是開啟 VPN」連線支援 NAT 持續活動卸載,且預設為啟用。當裝置處於睡眠時,此功能會卸載對硬件的 NAT 持續活動。NATKeepAliveInterval 鍵值會用來控制持續活動卸載資料的頻率,而 NATKeepAliveOffloadEnable 鍵值則用來將其啟用和停用。此功能會讓 Always-On IKEv2 連線在裝置的各睡眠週期間保持開啟。