Pobieranie globalnych i centrowych profilów sieci VPN dla klientów sieci VPN użytkownika
Usługa Azure Virtual WAN oferuje dwa typy profilów połączeń dla klientów sieci VPN użytkownika: profile globalne i profile koncentratora. Wybrany typ profilu zależy od tego, czy klient sieci VPN ma łączyć się z profilem na poziomie sieci WAN z równoważeniem obciążenia geograficznie (profil globalny), czy też ograniczyć klientowi sieci VPN połączenie tylko z określonym koncentratorem (profil koncentratora). Ten artykuł ułatwia generowanie plików konfiguracji klienta sieci VPN dla obu typów profilów.
Profile globalne
Profil globalny skojarzony z konfiguracją sieci VPN użytkownika wskazuje usługę Global Traffic Manager. Usługa Global Traffic Manager zawiera wszystkie aktywne koncentratory sieci VPN użytkownika korzystające z tej konfiguracji sieci VPN użytkownika. Jednak w razie potrzeby można wykluczyć koncentratory z usługi Global Traffic Manager. Użytkownik połączony z profilem globalnym jest kierowany do centrum znajdującego się najbliżej lokalizacji geograficznej użytkownika. Jest to szczególnie przydatne, jeśli użytkownicy często podróżują między wieloma lokalizacjami.
Na przykład konfiguracja sieci VPN użytkownika jest skojarzona z dwoma różnymi koncentratorami dla tej samej wirtualnej sieci WAN, jedną w regionie Zachodnie stany USA i jedną w Azji Południowo-Wschodniej. Jeśli użytkownik łączy się z profilem globalnym skojarzonym z konfiguracją sieci VPN użytkownika, połączy się z najbliższym koncentratorem usługi Virtual WAN w oparciu o ich lokalizację.
Ważne
Jeśli konfiguracja sieci VPN typu punkt-lokacja używana dla profilu globalnego jest skonfigurowana do uwierzytelniania użytkowników przy użyciu protokołu RADIUS, upewnij się, że opcja "Użyj zdalnego/lokalnego serwera RADIUS" jest włączona dla wszystkich bram sieci VPN typu punkt-lokacja przy użyciu tej konfiguracji. Ponadto upewnij się, że serwer RADIUS jest skonfigurowany do akceptowania żądań uwierzytelniania z adresów IP serwera proxy usługi RADIUS wszystkich bram sieci VPN typu punkt-lokacja przy użyciu tej konfiguracji sieci VPN.
Pobieranie globalnego profilu sieci VPN
Aby wygenerować i pobrać pliki konfiguracji profilu klienta sieci VPN, wykonaj następujące kroki:
Przejdź do wirtualnej sieci WAN.
W okienku po lewej stronie wybierz pozycję Konfiguracje sieci VPN użytkownika.
Na stronie Konfiguracje sieci VPN użytkownika zobaczysz wszystkie konfiguracje sieci VPN użytkownika utworzone dla wirtualnej sieci WAN. W kolumnie Centrum zobaczysz koncentratory skojarzone z każdą konfiguracją sieci VPN użytkownika. Kliknij przycisk , > aby rozwinąć i wyświetlić nazwy centrum.
W poniższym przykładzie zobaczysz wiele wierszy z koncentratorami, które używają tej samej konfiguracji sieci VPN użytkownika. W profilu globalnym, gdy koncentratory korzystają z tej samej konfiguracji sieci VPN użytkownika, możesz kliknąć dowolny wiersz centrum z wybraną konfiguracją sieci VPN użytkownika. Pliki profilów generowane na tej stronie są zgodne z konfiguracją sieci VPN użytkownika, a nie określonym koncentratorem. Jeśli chcesz ograniczyć użytkownikom sieci VPN połączenie tylko z jednym koncentratorem (nie chcesz używać profilu globalnego), zamiast tego wykonaj kroki profilu centrum.
W tym przykładzie wybrano wiersz z usługą Hub2, ale wybranie pozycji Hub3 lub Hub1 spowoduje wygenerowanie tych samych plików konfiguracji profilu. Jeśli jednak wybrano wiersz z usługą Hub6, pliki konfiguracji profilu będą inne, ponieważ usługa Hub6 używa innej konfiguracji sieci VPN użytkownika.
Kliknij wiersz zawierający konfigurację sieci VPN użytkownika, której chcesz użyć. Spowoduje to podkreślnie całej linii. Następnie kliknij pozycję Pobierz profil sieci VPN użytkownika wirtualnej sieci WAN.
Na stronie Pobieranie sieci VPN użytkownika wirtualnej sieci WAN wybierz pozycję EAPTLS, a następnie kliknij pozycję Generuj i pobierz profil. Pakiet profilu (plik zip) zawierający ustawienia konfiguracji klienta sieci VPN jest generowany i pobierany na komputer. Zawartość pakietu zależy od centrów oraz opcji uwierzytelniania i typu tunelu dla wybranej konfiguracji.
Dołączanie lub wykluczanie centrum z profilu globalnego
Domyślnie każde centrum korzystające z tej samej konfiguracji sieci VPN użytkownika jest uwzględniane w globalnym profilu sieci VPN, który generujesz i pobierasz. Można jednak wykluczyć koncentrator z globalnego profilu sieci VPN. W takim przypadku klient sieci VPN nie będzie w stanie zrównoważyć obciążenia w celu nawiązania połączenia z bramą tego centrum.
Aby sprawdzić, czy koncentrator jest uwzględniony w globalnym profilu sieci VPN, przejdź do usługi Virtual WAN.
Na stronie Przegląd wybierz pozycję Koncentratory.
Na stronie Koncentratory kliknij centrum.
Na stronie Koncentrator wirtualny w okienku po lewej stronie wybierz pozycję Sieć VPN użytkownika (punkt-lokacja).
Na stronie Sieć VPN użytkownika (punkt-lokacja) zobacz Stan załącznika bramy, aby określić, czy ten koncentrator jest uwzględniony w globalnym profilu sieci VPN. Jeśli stan jest dołączony, koncentrator jest dołączony. Jeśli stan jest odłączony, koncentrator nie jest dołączony.
Aby dołączyć lub wykluczyć (dołączyć lub odłączyć) centrum z globalnego profilu sieci VPN, wybierz pozycję Uwzględnij/Wyklucz bramę z profilu globalnego.
Na stronie Dołączanie/wykluczanie wprowadź jedną z następujących opcji.
Kliknij pozycję Wyklucz , jeśli chcesz usunąć bramę tego centrum z profilu globalnej sieci VPN użytkownika usługi Virtual WAN. Użytkownicy korzystający z profilu centrum nadal będą mogli łączyć się z bramą tego centrum. Użytkownicy korzystający z tego profilu globalnego nie będą mogli łączyć się z bramą tego centrum.
Kliknij pozycję Uwzględnij , jeśli chcesz uwzględnić bramę tego centrum w profilu globalnej sieci VPN użytkownika usługi Virtual WAN. Użytkownicy korzystający z tego profilu globalnego będą mogli łączyć się z bramą tego centrum.
Najlepsze rozwiązania dotyczące profilu globalnego
Dodawanie wielu certyfikatów weryfikacji serwera
Ta sekcja dotyczy połączeń przy użyciu typu tunelu OpenVPN i klienta sieci VPN platformy Azure w wersji 2.1963.44.0 lub nowszej.
Podczas konfigurowania bramy punkt-lokacja koncentratora platforma Azure przypisuje wewnętrzny certyfikat do bramy. Różni się to od informacji o certyfikacie głównym, które określisz, kiedy chcesz użyć uwierzytelniania certyfikatu jako metody uwierzytelniania. Wewnętrzny certyfikat przypisany do centrum jest używany dla wszystkich typów uwierzytelniania. Ta wartość jest reprezentowana w plikach konfiguracji profilu generowanych jako servervalidation/cert/hash. Klient sieci VPN używa tej wartości w ramach procesu połączenia.
Jeśli masz wiele centrów w różnych regionach geograficznych, każde centrum może używać innego certyfikatu weryfikacji serwera na poziomie platformy Azure. Profil globalny zawiera wartość skrótu certyfikatu weryfikacji serwera dla wszystkich centrów. Oznacza to, że jeśli certyfikat dla tego centrum nie działa prawidłowo z jakiegokolwiek powodu, klient nadal będzie miał wymaganą wartość skrótu certyfikatu weryfikacji serwera dla innych koncentratorów.
Ważne
Skonfigurowanie klienta sieci VPN platformy Azure z wartością skrótu certyfikatu dla wszystkich centrów jest wymagane tylko wtedy, gdy koncentratory mają różnych wystawców głównych serwerów.
Najlepszym rozwiązaniem jest zaktualizowanie pliku konfiguracji profilu klienta sieci VPN w celu uwzględnienia wartości skrótu certyfikatu wszystkich centrów dołączonych do profilu globalnego, a następnie skonfigurowania klienta sieci VPN platformy Azure przy użyciu zaktualizowanego pliku.
Generowanie i pobieranie plików profilów globalnych. Otwórz plik azurevpnconfig.xml za pomocą edytora tekstów.
Biorąc pod uwagę poniższy przykład xml, skonfiguruj klienta sieci VPN platformy Azure przy użyciu pliku konfiguracji profilu globalnego zawierającego skrót certyfikatu weryfikacji serwera dla każdego centrum.
</protocolconfig> <serverlist> <ServerEntry> <displayname i:nil="true" /> <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn> </ServerEntry> </serverlist> <servervalidation> <cert> <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash> <issuer i:nil="true" /> </cert> <cert> <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash> <issuer i:nil="true" /> </cert> <cert> <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash> <issuer i:nil="true" /> </cert>
Profile koncentratora
Użyj tego typu profilu, jeśli użytkownicy sieci VPN mają mieć możliwość łączenia się tylko z jednym określonym koncentratorem. Pliki generowane i pobierane na poziomie centrum zawierają inne ustawienia niż pliki generowane i pobierane na poziomie globalnym sieci WAN.
Pobieranie profilu sieci VPN koncentratora
Aby wygenerować i pobrać pliki konfiguracji profilu klienta sieci VPN, wykonaj następujące kroki:
Przejdź do koncentratora wirtualnego.
W okienku po lewej stronie wybierz pozycję Sieć VPN użytkownika (punkt-lokacja).
Wybierz pozycję Pobierz profil sieci VPN użytkownika koncentratora wirtualnego.
Na stronie pobierania wybierz pozycję EAPTLS, a następnie pozycję Generuj i pobierz profil. Pakiet profilu (plik zip) zawierający ustawienia konfiguracji klienta jest generowany i pobierany na komputer. Zawartość pakietu zależy od centrum oraz opcji uwierzytelniania i typu tunelu dla konfiguracji.
Następne kroki
Aby uzyskać więcej informacji na temat sieci VPN użytkowników, zobacz Create User VPN point-to-site connections (Tworzenie połączeń punkt-lokacja sieci VPN użytkownika).