Apple 裝置的「總是開啟 VPN」設定描述檔
iPhone 和 iPad 裝置是以單一使用者模式執行。裝置識別身分與使用者識別身分之間並無區分。當裝置建立對 IKEv2 伺服器的 IKEv2 通道時,伺服器會將裝置視為單一對點實體。一般說來,在裝置和 VPN 伺服器之間有一個通道。因為「總是開啟 VPN」會導入介面層級的通道,因此在單一裝置與 IKEv2 伺服器之間可能同時會有多個通道。「總是開啟 VPN」設定支援兩種設定。
僅限行動網路的裝置
如果您的組織選擇在僅有行動網路的裝置上部署「總是開啟 VPN」(其中 Wi-Fi 介面被永久移除或停用),便會在每部裝置和 IKEv2 伺服器之間建立透過行動網路 IP 介面的 IKEv2 通道。這與傳統 VPN 模型相同。裝置作為一個 IKEv2 用戶端,一個識別身分(例如,一個用戶端憑證或一個使用者和密碼)會與 IKEv2 伺服器建立一個 IKEv2 通道。
行動網路和 Wi-Fi 裝置
如果您的組織為具有行動網路與 Wi-Fi 介面的裝置部署「總是開啟 VPN」,將會從該裝置建立兩個同時進行的 IKEv2 通道。以下兩個情境用於可透過行動網路和 Wi-Fi 連線的裝置:
行動網路通道與 Wi-Fi 通道終止於個別 IKEv2 伺服器。
「總是開啟 VPN」的介面層級通道設定鍵值可讓組織設定裝置,建立對一個 IKEv2 伺服器的行動網路通道,和對第二個 IKEv2 伺服器的 Wi-Fi 通道。此模型的優勢之一是,裝置可為兩個通道使用相同的用戶端識別身分(即用戶端憑證或使用者/密碼),因為通道是在不同的伺服器上終止。透過不同的伺服器,您的組織也可對介面類型的流量(行動網路流量與 Wi-Fi 流量)區分和控管具有更大的彈性。缺點是您的組織必須在相同的用戶端認證原則下維護兩個不同的 IKEv2 伺服器。
行動網路通道與 Wi-Fi 通道終止於相同 IKEv2 伺服器。
「總是開啟 VPN」的介面層級通道設定也可讓您的組織設定裝置,對相同的 IKEv2 伺服器建立行動網路通道和 Wi-Fi 通道。
每部裝置一個用戶端識別身分:若 IKEv2 伺服器支援每個用戶端可有多個通道,您的組織可為行動網路通道和 Wi-Fi 通道設定相同的用戶端識別身分(即一個用戶端憑證或一組使用者/密碼)。優勢是您可以避免每個裝置使用額外的用戶端識別身分,且伺服器上不會造成額外的設定/資源負擔。缺點是當裝置移入和移出網路時,便會建立新通道,而舊通道就會失去用途。視伺服器實作而定,伺服器可能無法有效率且精確地清除作廢的通道。您的組織必須導入策略來清除伺服器上作廢的通道。
每部裝置兩個用戶端識別身分:您的組織可以設定兩個用戶端識別身分(即兩個用戶端憑證或兩組使用者/密碼),一個用於行動網路通道,而一個用於 Wi-Fi 通道。IKEv2 伺服器在建立其本身的通道時會看到兩個不同的用戶端。此模型的優勢是它適用於多數的伺服器實作,因為許多伺服器依其用戶端的識別身分來區分通道,每個用戶端僅允許一個通道。此模型的缺點是伺服器上的用戶端識別身分、設定及資源管理等需求都會加倍。
決定要使用的設定後,您可以套用 IKEv2「總是開啟 VPN」設定詳細資訊。