Koncepty sítě VPN uživatele (point-to-site)
Následující článek popisuje koncepty a možnosti konfigurovatelné zákazníky spojené s konfiguracemi a bránami P2S (Virtual WAN User VPN point-to-site). Tento článek je rozdělený do několika částí, včetně oddílů týkajících se konceptů konfigurace serveru VPN typu P2S a částí o konceptech brány VPN typu point-to-site.
Koncepty konfigurace serveru VPN
Konfigurace serveru VPN definují parametry ověřování, šifrování a skupiny uživatelů používané k ověřování uživatelů a přiřazování IP adres a šifrování provozu. Brány P2S jsou přidružené ke konfiguraci serverů VPN typu P2S.
Běžné koncepty
| Koncept | Popis | Notes |
|---|---|---|
| Typ tunelu | Protokoly používané mezi bránou P2S VPN a připojením uživatelů. | Dostupné parametry: IKEv2, OpenVPN nebo obojí. Pro konfigurace serveru IKEv2 je k dispozici pouze ověřování pomocí protokolu RADIUS a certifikátů. Pro konfigurace open VPN serveru, RADIUS, ověřování založené na certifikátech a Ověřování založené na Microsoft Entra ID jsou k dispozici. Kromě toho se pro OpenVPN podporuje více metod ověřování ve stejné konfiguraci serveru (například certifikát a RADIUS ve stejné konfiguraci). IKEv2 má také limit na úrovni protokolu 255 tras, zatímco OpenVPN má limit 1 000 tras. |
| Vlastní parametry protokolu IPsec | Parametry šifrování používané bránou VPN typu P2S pro brány, které používají protokol IKEv2. | Dostupné parametry najdete v tématu Vlastní parametry protokolu IPsec pro síť VPN typu point-to-site. Tento parametr se nevztahuje na brány používající ověřování OpenVPN. |
Koncepty ověřování certifikátů Azure
Následující koncepty souvisejí s konfiguracemi serveru, které používají ověřování založené na certifikátech.
| Koncept | Popis | Notes |
|---|---|---|
| Název kořenového certifikátu | Název používaný Azure k identifikaci kořenových certifikátů zákazníků. | Dá se nakonfigurovat tak, aby byl libovolný název. Můžete mít více kořenových certifikátů. |
| Data veřejného certifikátu | Kořenové certifikáty, ze kterých se vydávají klientské certifikáty. | Zadejte řetězec odpovídající veřejným datům kořenového certifikátu. Příklad, jak získat veřejná data kořenového certifikátu, najdete v kroku 8 v následujícím dokumentu o generování certifikátů. |
| Odvolaný certifikát | Název používaný Azure k identifikaci certifikátů, které se mají odvolat. | Dá se nakonfigurovat tak, aby byl libovolný název. |
| Kryptografický otisk odvolaných certifikátů | Kryptografický otisk certifikátů koncových uživatelů, které by se neměly připojit k bráně. | Vstup pro tento parametr je jeden nebo více kryptografických otisků certifikátu. Každý uživatelský certifikát musí být odvolán jednotlivě. Odvolání zprostředkujícího certifikátu nebo kořenového certifikátu automaticky neodvolá všechny podřízené certifikáty. |
Koncepty ověřování RADIUS
Pokud je brána VPN typu P2S nakonfigurovaná tak, aby používala ověřování na základě protokolu RADIUS, brána VPN typu P2S funguje jako proxy server NPS (Network Policy Server) k předávání žádostí o ověření na servery RADIUS zákazníka. Brány můžou ke zpracování žádostí o ověření použít jeden nebo dva servery RADIUS. Požadavky na ověřování se automaticky vyrovnávají zatížení mezi servery RADIUS, pokud je k dispozici více.
| Koncept | Popis | Notes |
|---|---|---|
| Tajný klíč primárního serveru | Tajný klíč serveru nakonfigurovaný na primárním serveru RADIUS zákazníka, který se používá k šifrování protokolem RADIUS. | Jakýkoli sdílený tajný řetězec. |
| IP adresa primárního serveru | Privátní IP adresa serveru RADIUS | Tato IP adresa musí být privátní IP adresa dostupná službou Virtual Hub. Ujistěte se, že se připojení hostující server RADIUS šíří do výchozí tabulkyRouteTable centra s bránou. |
| Tajný klíč sekundárního serveru | Tajný klíč serveru nakonfigurovaný na druhém serveru RADIUS, který se používá k šifrování protokolem RADIUS. | Všechny poskytnuté sdílené tajné řetězce. |
| IP adresa sekundárního serveru | Privátní IP adresa serveru RADIUS | Tato IP adresa musí být privátní IP adresa dostupná virtuálním centrem. Ujistěte se, že se připojení hostující server RADIUS šíří do výchozí tabulkyRouteTable centra s bránou. |
| Kořenový certifikát serveru RADIUS | Veřejná data kořenového certifikátu serveru RADIUS. | Toto pole je nepovinné. Zadejte řetězce odpovídající veřejným datům kořenového certifikátu RADIUS. Můžete zadat více kořenových certifikátů. Všechny klientské certifikáty prezentované pro ověřování musí být vystaveny ze zadaných kořenových certifikátů. Příklad získání veřejných dat certifikátu najdete v kroku 8 v následujícím dokumentu o generování certifikátů. |
| Odvolané klientské certifikáty | Kryptografické otisky odvolaných klientských certifikátů RADIUS Klienti, kteří prezentují odvolané certifikáty, se nebudou moct připojit. | Toto pole je nepovinné. Každý uživatelský certifikát musí být odvolán jednotlivě. Odvolání zprostředkujícího certifikátu nebo kořenového certifikátu automaticky neodvolá všechny podřízené certifikáty. |
Koncepty ověřování Microsoft Entra
Následující koncepty souvisejí s konfiguracemi serveru, které používají ověřování založené na ID microsoftu Entra. Ověřování založené na ID Microsoftu je k dispozici pouze v případě, že je typ tunelu OpenVPN.
| Koncept | Popis | Dostupné parametry |
|---|---|---|
| Cílová skupina | ID aplikace podnikové aplikace Azure VPN zaregistrované ve vašem tenantovi Microsoft Entra | Další informace o registraci aplikace Azure VPN ve vašem tenantovi a vyhledání ID aplikace najdete v tématu Konfigurace tenanta pro připojení protokolu VPN typu P2S uživatele VPN OpenVPN. |
| Issuer | Úplná adresa URL odpovídající službě tokenů zabezpečení přidružené k vaší službě Active Directory | Řetězec v následujícím formátu: https://sts.windows.net/<your Directory ID>/ |
| Tenant Microsoft Entra | Úplná adresa URL odpovídající tenantovi služby Active Directory, který se používá k ověřování brány. | Liší se podle toho, ve kterém cloudu se tenant Active Directory nasadí. Podrobnosti o jednotlivých cloudech najdete níže. |
ID tenanta Microsoft Entra
Následující tabulka popisuje formát adresy URL Microsoft Entra na základě toho, ve kterém cloudovém ID Microsoft Entra je nasazeno.
| Cloud | Formát parametru |
|---|---|
| Veřejný cloud Azure | https://login.microsoftonline.com/{AzureAD TenantID} |
| Azure Government Cloud | https://login.microsoftonline.us/{AzureAD TenantID} |
| Čína 21Vianet Cloud | https://login.chinacloudapi.cn/{AzureAD TenantID} |
Koncepty skupin uživatelů (více fondů)
Následující koncepty týkající se skupin uživatelů (více fondů) ve službě Virtual WAN. Skupiny uživatelů umožňují přiřazovat uživatelům různé IP adresy na základě jejich přihlašovacích údajů, což umožňuje konfigurovat seznamy řízení přístupu (ACL) a pravidla brány firewall pro zabezpečení úloh. Další informace a příklady najdete v tématu Koncepty více fondů.
Konfigurace serveru obsahuje definice skupin a skupiny se pak používají na branách k mapování skupin konfigurace serveru na IP adresy.
| Koncept | Popis | Notes |
|---|---|---|
| Skupina uživatelů / skupina zásad | Skupina uživatelů nebo skupina zásad je logická reprezentace skupiny uživatelů, kteří by měli mít přiřazené IP adresy ze stejného fondu adres. | Další informace najdete v tématu o skupinách uživatelů. |
| Výchozí skupina | Když se uživatelé pokusí připojit k bráně pomocí funkce skupiny uživatelů, uživatelé, kteří neodpovídají žádné skupině přiřazené k bráně, se automaticky považují za součást výchozí skupiny a přiřadí se k ní IP adresa přidružená. | Každou skupinu v konfiguraci serveru je možné zadat jako výchozí skupinu nebo skupinu, která není výchozí a po vytvoření skupiny nelze toto nastavení změnit. Ke každé bráně VPN typu point-to-site je možné přiřadit přesně jednu výchozí skupinu, i když má přiřazená konfigurace serveru více výchozích skupin. |
| Priorita skupiny | Pokud je k bráně přiřazeno více skupin, může spojovací uživatel předložit přihlašovací údaje, které odpovídají více skupinám. Virtual WAN zpracovává skupiny přiřazené bráně ve větším pořadí podle priority. | Priority jsou kladná celá čísla a skupiny s nižšími číselnými prioritami se zpracovávají jako první. Každá skupina musí mít odlišnou prioritu. |
| Nastavení skupiny /členové | Skupiny uživatelů se skládají z členů. Členové neodpovídají jednotlivým uživatelům, ale místo toho definují kritéria nebo podmínky shody používané k určení skupiny, do které je připojený uživatel součástí. Jakmile je skupina přiřazená k bráně, je propojovací uživatel, jehož přihlašovací údaje odpovídají kritériím zadaným pro jednoho z členů skupiny, považován za součást této skupiny a může být přiřazena příslušná IP adresa. | Úplný seznam dostupných kritérií najdete v nastavení dostupné skupiny. |
Koncepty konfigurace brány
Následující části popisují koncepty spojené s bránou VPN typu P2S. Každá brána je přidružená k jedné konfiguraci serveru VPN a má mnoho dalších konfigurovatelných možností.
Obecné koncepty brány
| Koncept | Popis | Notes |
|---|---|---|
| Jednotka škálování brány | Jednotka škálování brány definuje, kolik agregované propustnosti a souběžných uživatelů může brána VPN typu P2S podporovat. | Jednotky škálování brány můžou být v rozsahu od 1 do 200 a podporují 500 až 100 000 uživatelů na bránu. |
| Konfigurace serveru P2S | Definuje parametry ověřování, které brána VPN typu P2S používá k ověřování příchozích uživatelů. | Jakákoli konfigurace serveru P2S přidružená k bráně Virtual WAN. Aby na ni brána odkazovat, musí být úspěšně vytvořena konfigurace serveru. |
| Předvolba směrování | Umožňuje zvolit způsob směrování provozu mezi Azure a internetem. | Můžete se rozhodnout směrovat provoz buď přes síť Microsoftu, nebo přes síť isP (veřejnou síť). Další informace o tomto nastavení najdete v tématu Co je předvolba směrování? Toto nastavení nelze po vytvoření brány změnit. |
| Vlastní servery DNS | IP adresy serverů DNS připojujících se uživatelům by měly předávat požadavky DNS. | Libovolná směrovatelná IP adresa. |
| Šíření výchozí trasy | Pokud je centrum Virtual WAN nakonfigurované s výchozí trasou 0.0.0.0/0 (statická trasa ve výchozí směrovací tabulce nebo 0.0.0.0/0 inzerovaná z místního prostředí, toto nastavení určuje, jestli je trasa 0.0.0.0/0 inzerovaná pro uživatele. | Toto pole lze nastavit na true nebo false. |
Koncepty specifické pro protokol RADIUS
| Koncept | Popis | Notes |
|---|---|---|
| Použití nastavení vzdáleného nebo místního serveru RADIUS | Určuje, jestli může Virtual WAN předávat pakety ověřování RADIUS na servery RADIUS hostované místně nebo ve virtuální síti připojené k jinému virtuálnímu centru. | Toto nastavení má dvě hodnoty, true nebo false. Pokud je služba Virtual WAN nakonfigurovaná tak, aby používala ověřování pomocí protokolu RADIUS, brána virtual WAN P2S slouží jako proxy server RADIUS, který odesílá požadavky na ověřování na vaše servery RADIUS. Toto nastavení (pokud je pravda) umožňuje bráně Virtual WAN komunikovat se servery RADIUS nasazenými místně nebo ve virtuální síti připojené k jinému centru. Pokud je hodnota false, virtual WAN se bude moct ověřit jenom pomocí serverů RADIUS hostovaných ve virtuálních sítích připojených k centru s bránou. |
| IP adresy proxy serveru RADIUS | Ověřovací pakety RADIUS odeslané bránou VPN typu P2S na server RADIUS mají zdrojové IP adresy určené polem PROTOKOLU RADIUS Proxy. Tyto IP adresy musí být na serveru RADIUS uvedené jako klienty RADIUS. | Tento parametr není přímo konfigurovatelný. Pokud je možnost Použít vzdálený nebo místní server RADIUS nastavená na hodnotu true, IP adresy proxy serveru RADIUS se automaticky konfigurují jako IP adresy z fondů adres klientů zadaných v bráně. Pokud je toto nastavení false, IP adresy jsou IP adresy z adresního prostoru centra. IP adresy proxy serveru RADIUS najdete na webu Azure Portal na stránce brány VPN typu P2S. |
Koncepty konfigurace připojení
V bráně VPN typu P2S může existovat jedna nebo více konfigurací připojení. Každá konfigurace připojení má konfiguraci směrování (viz níže pro upozornění) a představuje skupinu nebo segment uživatelů, kteří mají přiřazené IP adresy ze stejných fondů adres.
| Koncept | Popis | Notes |
|---|---|---|
| Název konfigurace | Název konfigurace P2S VPN | Můžete zadat libovolný název. Pokud využíváte funkce skupin uživatelů nebo více fondů, můžete v bráně mít více než jednu konfiguraci připojení. Pokud tuto funkci nepoužíváte, může existovat pouze jedna konfigurace pro každou bránu. |
| Skupiny uživatelů | Skupiny uživatelů, které odpovídají konfiguraci | Všechny skupiny uživatelů odkazované v konfiguraci serveru VPN. Tento parametr je volitelný. Další informace najdete v tématu o skupinách uživatelů. |
| Fondy adres | Fondy adres jsou privátní IP adresy, které připojují uživatele. | Fondy adres je možné zadat jako jakýkoli blok CIDR, který se nepřekrývá s žádnými adresními prostory virtuálního centra, IP adresami používanými ve virtuálních sítích připojených k virtual WAN nebo adresami inzerovanými z místního prostředí. V závislosti na jednotce škálování zadané v bráně možná budete potřebovat více než jeden blok CIDR. Další informace najdete v tématu o fondech adres. |
| Konfigurace směrování | Každé připojení k virtuálnímu centru má konfiguraci směrování, která definuje, ke které směrovací tabulce je připojení přidruženo a na které směrovací tabulky se směrovací tabulka rozšíří. | Všechna připojení větví ke stejnému centru (ExpressRoute, VPN, NVA) musí být přidružená k výchozí tabulceRouteTable a rozšíří se do stejné sady směrovacích tabulek. Různé šíření připojení větví můžou vést k neočekávanému chování směrování, protože Virtual WAN zvolí konfiguraci směrování pro jednu větev a použije ji pro všechny větve a proto trasy získané z místního prostředí. |
Další kroky
Tady přidejte odkazy na několik článků pro další kroky.