Pojęcia dotyczące sieci VPN użytkownika (punkt-lokacja)
W poniższym artykule opisano pojęcia i opcje konfigurowalne dla klienta skojarzone z konfiguracjami i bramami punkt-lokacja sieci VPN użytkownika usługi Virtual WAN. Ten artykuł jest podzielony na wiele sekcji, w tym sekcje dotyczące koncepcji konfiguracji serwera sieci VPN P2S oraz sekcje dotyczące koncepcji bramy sieci VPN P2S.
Pojęcia dotyczące konfiguracji serwera sieci VPN
Konfiguracje serwera sieci VPN definiują parametry uwierzytelniania, szyfrowania i grupy użytkowników używane do uwierzytelniania użytkowników oraz przypisywania adresów IP i szyfrowania ruchu. Bramy P2S są skojarzone z konfiguracjami serwera sieci VPN punkt-lokacja.
Typowe pojęcia
| Koncepcja | opis | Uwagi |
|---|---|---|
| Typ tunelu | Protokoły używane między bramą sieci VPN punkt-lokacja i łączenie użytkowników. | Dostępne parametry: IKEv2, OpenVPN lub oba. W przypadku konfiguracji serwera IKEv2 dostępna jest tylko usługa RADIUS i uwierzytelnianie oparte na certyfikatach. W przypadku konfiguracji serwera Open VPN dostępne są uwierzytelnianie oparte na certyfikatach i microsoft Entra ID. Ponadto wiele metod uwierzytelniania w tej samej konfiguracji serwera (na przykład certyfikat i radius w tej samej konfiguracji) są obsługiwane tylko w przypadku protokołu OpenVPN. Protokół IKEv2 ma również limit na poziomie protokołu 255 tras, podczas gdy protokół OpenVPN ma limit 1000 tras. |
| Niestandardowe parametry protokołu IPsec | Parametry szyfrowania używane przez bramę sieci VPN typu punkt-lokacja dla bram używających protokołu IKEv2. | Aby uzyskać dostępne parametry, zobacz Niestandardowe parametry protokołu IPsec dla sieci VPN typu punkt-lokacja. Ten parametr nie ma zastosowania do bram przy użyciu uwierzytelniania OpenVPN. |
Pojęcia dotyczące uwierzytelniania certyfikatów platformy Azure
Poniższe pojęcia są związane z konfiguracjami serwera korzystającymi z uwierzytelniania opartego na certyfikatach.
| Koncepcja | opis | Uwagi |
|---|---|---|
| Nazwa certyfikatu głównego | Nazwa używana przez platformę Azure do identyfikowania certyfikatów głównych klientów. | Można skonfigurować jako dowolną nazwę. Można mieć wiele certyfikatów głównych. |
| Dane certyfikatu publicznego | Certyfikaty główne, z których są wystawiane certyfikaty klienta. | Wprowadź ciąg odpowiadający publicznym danym certyfikatu głównego. Aby zapoznać się z przykładem pobierania danych publicznych certyfikatu głównego, zobacz krok 8 w poniższym dokumencie dotyczącym generowania certyfikatów. |
| Odwołany certyfikat | Nazwa używana przez platformę Azure do identyfikowania certyfikatów do odwołania. | Można skonfigurować jako dowolną nazwę. |
| Odwołany odcisk palca certyfikatu | Odcisk palca certyfikatów użytkownika końcowego, które nie powinny być w stanie nawiązać połączenia z bramą. | Dane wejściowe dla tego parametru to co najmniej jeden odcisk palca certyfikatu. Każdy certyfikat użytkownika musi zostać odwołany indywidualnie. Odwołanie certyfikatu pośredniego lub certyfikat główny nie spowoduje automatycznego odwołania wszystkich certyfikatów podrzędnych. |
Pojęcia dotyczące uwierzytelniania usługi RADIUS
Jeśli brama sieci VPN typu punkt-lokacja jest skonfigurowana do używania uwierzytelniania opartego na usłudze RADIUS, brama sieci VPN typu punkt-lokacja działa jako serwer proxy zasad sieciowych (NPS) do przekazywania żądań uwierzytelniania do serwerów RADIUS klienta. Bramy mogą używać jednego lub dwóch serwerów RADIUS do przetwarzania żądań uwierzytelniania. Żądania uwierzytelniania są automatycznie wyważone na serwerach RADIUS, jeśli podano wiele.
| Koncepcja | opis | Uwagi |
|---|---|---|
| Klucz tajny serwera podstawowego | Wpis tajny serwera skonfigurowany na podstawowym serwerze RADIUS klienta używanym do szyfrowania za pomocą protokołu RADIUS. | Dowolny wspólny ciąg wpisu tajnego. |
| Adres IP serwera podstawowego | Prywatny adres IP serwera RADIUS | Ten adres IP musi być prywatnym adresem IP dostępnym przez koncentrator wirtualny. Upewnij się, że połączenie hostujące serwer RADIUS jest propagowane do domyślnej tabeliRouteTable centrum z bramą. |
| Klucz tajny serwera pomocniczego | Wpis tajny serwera skonfigurowany na drugim serwerze RADIUS używanym do szyfrowania za pomocą protokołu RADIUS. | Dowolny udostępniony ciąg wpisu tajnego. |
| Adres IP serwera pomocniczego | Prywatny adres IP serwera RADIUS | Ten adres IP musi być prywatnym adresem IP dostępnym przez koncentrator wirtualny. Upewnij się, że połączenie hostujące serwer RADIUS jest propagowane do domyślnej tabeliRouteTable centrum z bramą. |
| Certyfikat główny serwera RADIUS | Publiczne dane certyfikatu głównego serwera RADIUS. | To pole jest opcjonalne. Wprowadź ciągi odpowiadające publicznym danym certyfikatu głównego usługi RADIUS. Można wprowadzić wiele certyfikatów głównych. Wszystkie certyfikaty klienta przedstawione do uwierzytelniania muszą być wystawiane z określonych certyfikatów głównych. Aby zapoznać się z przykładem pobierania danych publicznych certyfikatu, zobacz krok 8 w poniższym dokumencie dotyczącym generowania certyfikatów. |
| Odwołane certyfikaty klienta | Odciski palca odwołanych certyfikatów klienta usługi RADIUS. Klienci prezentujący odwołane certyfikaty nie będą mogli nawiązać połączenia. | To pole jest opcjonalne. Każdy certyfikat użytkownika musi zostać odwołany indywidualnie. Odwołanie certyfikatu pośredniego lub certyfikat główny nie spowoduje automatycznego odwołania wszystkich certyfikatów podrzędnych. |
Pojęcia dotyczące uwierzytelniania w usłudze Microsoft Entra
Poniższe pojęcia są związane z konfiguracjami serwerów korzystającymi z uwierzytelniania opartego na identyfikatorze Entra firmy Microsoft. Uwierzytelnianie oparte na identyfikatorze Entra firmy Microsoft jest dostępne tylko wtedy, gdy typ tunelu to OpenVPN.
| Koncepcja | opis | Dostępne parametry |
|---|---|---|
| Odbiorcy | Identyfikator aplikacji dla przedsiębiorstw sieci VPN platformy Azure zarejestrowany w dzierżawie firmy Microsoft Entra. | Aby uzyskać więcej informacji na temat rejestrowania aplikacji sieci VPN platformy Azure w dzierżawie i znajdowania identyfikatora aplikacji, zobacz Konfigurowanie dzierżawy dla połączeń protokołu VPN OpenVPN użytkownika P2S |
| Wystawca | Pełny adres URL odpowiadający usłudze tokenu zabezpieczającego (STS) skojarzony z usługą Active Directory. | Ciąg w następującym formacie: https://sts.windows.net/<your Directory ID>/ |
| Dzierżawa Microsoft Entra | Pełny adres URL odpowiadający dzierżawie usługi Active Directory używany do uwierzytelniania w bramie. | Różni się w zależności od chmury, w której jest wdrażana dzierżawa usługi Active Directory. Zobacz poniżej, aby uzyskać szczegółowe informacje o poszczególnych chmurach. |
Identyfikator dzierżawy entra firmy Microsoft
W poniższej tabeli opisano format adresu URL usługi Microsoft Entra w oparciu o to, w którym chmurze wdrożono identyfikator Entra firmy Microsoft.
| Chmura | Format parametru |
|---|---|
| Chmura publiczna platformy Azure | https://login.microsoftonline.com/{AzureAD TenantID} |
| Azure Government Cloud | https://login.microsoftonline.us/{AzureAD TenantID} |
| Chiny 21Vianet Cloud | https://login.chinacloudapi.cn/{AzureAD TenantID} |
Pojęcia dotyczące grupy użytkowników (z wieloma pulami)
Poniższe pojęcia związane z grupami użytkowników (wieloma pulami) w usłudze Virtual WAN. Grupy użytkowników umożliwiają przypisywanie różnych adresów IP do łączenia użytkowników na podstawie ich poświadczeń, co umożliwia skonfigurowanie list kontroli dostępu (ACL) i reguł zapory w celu zabezpieczenia obciążeń. Aby uzyskać więcej informacji i przykładów, zobacz pojęcia dotyczące wielu puli.
Konfiguracja serwera zawiera definicje grup, a grupy są następnie używane w bramach do mapowania grup konfiguracji serwera na adresy IP.
| Koncepcja | opis | Uwagi |
|---|---|---|
| Grupa użytkowników/grupa zasad | Grupa użytkowników lub grupa zasad jest logiczną reprezentacją grupy użytkowników, które powinny być przypisane adresy IP z tej samej puli adresów. | Aby uzyskać więcej informacji, zobacz informacje o grupach użytkowników. |
| Grupa domyślna | Gdy użytkownicy próbują nawiązać połączenie z bramą przy użyciu funkcji grupy użytkowników, użytkownicy, którzy nie pasują do żadnej grupy przypisanej do bramy, są automatycznie traktowani jako część grupy domyślnej i przypisani adres IP skojarzony z tą grupą. | Każdą grupę w konfiguracji serwera można określić jako grupę domyślną lub grupę inną niż domyślna, a to ustawienie nie może zostać zmienione po utworzeniu grupy. Do każdej bramy sieci VPN P2S można przypisać dokładnie jedną grupę domyślną, nawet jeśli przypisana konfiguracja serwera ma wiele grup domyślnych. |
| Priorytet grupy | Gdy do bramy jest przypisanych wiele grup, użytkownik łączący może przedstawiać poświadczenia zgodne z wieloma grupami. Grupy procesów usługi Virtual WAN przypisane do bramy w kolejności rosnącej priorytetu. | Priorytety to dodatnie liczby całkowite i grupy o niższych priorytetach liczbowych są przetwarzane jako pierwsze. Każda grupa musi mieć odrębny priorytet. |
| Ustawienia grupy/elementy członkowskie | Grupy użytkowników składają się z członków. Członkowie nie odpowiadają poszczególnym użytkownikom, ale raczej definiują kryteria/warunki dopasowania używane do określania, która grupa jest częścią połączenia użytkownika. Po przypisaniu grupy do bramy użytkownik łączący, którego poświadczenia spełniają kryteria określone dla jednego z członków grupy, jest uważany za część tej grupy i może zostać przypisany odpowiedni adres IP. | Aby uzyskać pełną listę dostępnych kryteriów, zobacz dostępne ustawienia grupy. |
Pojęcia dotyczące konfiguracji bramy
W poniższych sekcjach opisano pojęcia związane z bramą sieci VPN punkt-lokacja. Każda brama jest skojarzona z jedną konfiguracją serwera sieci VPN i ma wiele innych opcji konfigurowalnych.
Ogólne pojęcia dotyczące bramy
| Koncepcja | opis | Uwagi |
|---|---|---|
| Jednostka skalowania bramy | Jednostka skalowania bramy określa, ile zagregowanej przepływności i równoczesnych użytkowników może obsługiwać brama sieci VPN P2S. | Jednostki skalowania bramy mogą obejmować od 1 do 200, obsługując od 500 do 100 000 użytkowników na bramę. |
| Konfiguracja serwera P2S | Definiuje parametry uwierzytelniania używane przez bramę sieci VPN typu punkt-lokacja do uwierzytelniania przychodzących użytkowników. | Dowolna konfiguracja serwera P2S skojarzona z bramą usługi Virtual WAN. Aby brama odwoływała się do niej, należy pomyślnie utworzyć konfigurację serwera. |
| Preferencja routingu | Umożliwia wybranie sposobu kierowania ruchu między platformą Azure i Internetem. | Możesz kierować ruch za pośrednictwem sieci firmy Microsoft lub sieci usługodawcy internetowego (sieci publicznej). Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Co to jest preferencja routingu? Tego ustawienia nie można zmodyfikować po utworzeniu bramy. |
| Niestandardowe serwery DNS | Adresy IP serwerów DNS łączących użytkowników powinny przekazywać żądania DNS. | Dowolny routingowy adres IP. |
| Propagacja trasy domyślnej | Jeśli koncentrator usługi Virtual WAN jest skonfigurowany z domyślną trasą 0.0.0.0/0 (trasa statyczna w domyślnej tabeli tras lub 0.0.0.0/0 anonsowana ze środowiska lokalnego, to ustawienie określa, czy trasa 0.0.0.0.0/0 jest anonsowana do łączenia użytkowników. | To pole może mieć wartość true (prawda) lub false (fałsz). |
Pojęcia specyficzne dla usługi RADIUS
| Koncepcja | opis | Uwagi |
|---|---|---|
| Użyj ustawienia zdalnego/lokalnego serwera RADIUS | Określa, czy usługa Virtual WAN może przekazywać pakiety uwierzytelniania RADIUS do serwerów RADIUS hostowanych lokalnie lub w sieci wirtualnej połączonej z innym koncentratorem wirtualnym. | To ustawienie ma dwie wartości, prawda lub fałsz. Gdy usługa Virtual WAN jest skonfigurowana do korzystania z uwierzytelniania opartego na usłudze RADIUS, brama usługi Virtual WAN P2S służy jako serwer proxy usługi RADIUS, który wysyła żądania uwierzytelniania do serwerów RADIUS. To ustawienie (jeśli prawda) umożliwia bramie wirtualnej sieci WAN komunikację z serwerami RADIUS wdrożonym lokalnie lub w sieci wirtualnej połączonej z innym koncentratorem. Jeśli wartość false, usługa Virtual WAN będzie mogła uwierzytelniać się tylko za pomocą serwerów RADIUS hostowanych w sieciach wirtualnych połączonych z koncentratorem z bramą. |
| Adresy IP serwera proxy usługi RADIUS | Pakiety uwierzytelniania usługi RADIUS wysyłane przez bramę sieci VPN typu punkt-lokacja do serwera RADIUS mają źródłowe adresy IP określone przez pole adresu IP serwera proxy usługi RADIUS. Te adresy IP muszą być wymienione jako klienci RADIUS na serwerze RADIUS. | Ten parametr nie jest bezpośrednio konfigurowalny. Jeśli ustawienie "Użyj zdalnego/lokalnego serwera RADIUS" ma wartość true, adresy IP serwera proxy usługi RADIUS są automatycznie konfigurowane jako adresy IP z pul adresów klienta określonych w bramie. Jeśli to ustawienie ma wartość false, adresy IP to adresy IP z przestrzeni adresowej centrum. Adresy IP serwera proxy usługi RADIUS można znaleźć w witrynie Azure Portal na stronie bramy sieci VPN P2S. |
Pojęcia dotyczące konfiguracji połączeń
W bramie sieci VPN punkt-lokacja może istnieć co najmniej jedna konfiguracja połączenia. Każda konfiguracja połączenia ma konfigurację routingu (patrz poniżej pod kątem zastrzeżeń) i reprezentuje grupę lub segment użytkowników, którym przypisano adresy IP z tych samych pul adresów.
| Koncepcja | opis | Uwagi |
|---|---|---|
| Nazwa konfiguracji | Nazwa konfiguracji sieci VPN punkt-lokacja | Można podać dowolną nazwę. Jeśli korzystasz z grup użytkowników/funkcji wielu puli, możesz mieć więcej niż jedną konfigurację połączenia w bramie. Jeśli nie używasz tej funkcji, może istnieć tylko jedna konfiguracja na bramę. |
| Grupy użytkowników | Grupy użytkowników, które odpowiadają konfiguracji | Wszystkie grupy użytkowników, do których odwołuje się konfiguracja serwera sieci VPN. Ten parametr jest opcjonalny. Aby uzyskać więcej informacji, zobacz informacje o grupach użytkowników. |
| Pule adresów | Pule adresów to prywatne adresy IP, które łączą użytkowników. | Pule adresów można określić jako dowolny blok CIDR, który nie nakłada się na żadne przestrzenie adresowe koncentratora wirtualnego, adresy IP używane w sieciach wirtualnych połączonych z usługą Virtual WAN lub adresy anonsowane ze środowiska lokalnego. W zależności od jednostki skalowania określonej w bramie może być konieczne więcej niż jeden blok CIDR. Aby uzyskać więcej informacji, zobacz informacje o pulach adresów. |
| Konfiguracja rozsyłania | Każde połączenie z koncentratorem wirtualnym ma konfigurację routingu, która definiuje tabelę tras, z którą jest skojarzone połączenie, oraz do której tabel tras jest propagowana tabela tras. | Wszystkie połączenia gałęzi z tym samym koncentratorem (ExpressRoute, VPN, NVA) muszą skojarzyć się z domyślną tabeląRouteTable i propagować je do tego samego zestawu tabel tras. Posiadanie różnych propagacji dla połączeń gałęzi może spowodować nieoczekiwane zachowanie routingu, ponieważ usługa Virtual WAN wybierze konfigurację routingu dla jednej gałęzi i zastosuje ją do wszystkich gałęzi, a w związku z tym trasy wyciągnięte ze środowiska lokalnego. |
Następne kroki
Dodaj tutaj linki do kilku artykułów w celu wykonania następnych kroków.