Share via

Globális és központi VPN-profilok letöltése felhasználói VPN-ügyfelek számára

  • Cikk

Az Azure Virtual WAN kétféle kapcsolatprofilt kínál a felhasználói VPN-ügyfelek számára: globális profilokat és központprofilokat. A választott profil típusa attól függ, hogy a VPN-ügyfél földrajzilag elosztott WAN-szintű profilhoz (globális profilhoz) szeretne-e csatlakozni, vagy korlátozni szeretné, hogy a VPN-ügyfél csak egy adott központhoz (központprofilhoz) csatlakozzon. Ez a cikk segít VPN-ügyfélkonfigurációs fájlok létrehozásában mindkét profiltípushoz.

Globális profilok

A felhasználói VPN-konfigurációhoz társított globális profil egy Global Traffic Managerre mutat. A Global Traffic Manager tartalmazza az összes aktív felhasználói VPN-központot, amely ezt a felhasználói VPN-konfigurációt használja. Azonban szükség esetén kizárhatja a központokat a Global Traffic Managerből. A globális profilhoz csatlakozó felhasználó a felhasználó földrajzi helyéhez legközelebb eső központra lesz irányítva. Ez különösen akkor hasznos, ha a felhasználók gyakran utaznak több hely között.

A felhasználói VPN-konfiguráció például két különböző központtal van társítva ugyanahhoz a virtuális WAN-hoz, egy az USA nyugati régiójában és egy Délkelet-Ázsiában. Ha egy felhasználó a felhasználói VPN-konfigurációhoz társított globális profilhoz csatlakozik, a tartózkodási helyük alapján a legközelebbi Virtual WAN-központhoz csatlakozik.

Fontos

Ha egy globális profilhoz használt pont–hely VPN-konfiguráció a FELHASZNÁLÓK RADIUS-protokoll használatával történő hitelesítésére van konfigurálva, győződjön meg arról, hogy a "Távoli/helyszíni RADIUS-kiszolgáló használata" beállítás be van kapcsolva az összes pont–hely VPN-átjáró esetében. Emellett győződjön meg arról, hogy a RADIUS-kiszolgáló úgy van konfigurálva, hogy ezzel a VPN-konfigurációval fogadja el az összes pont–hely VPN-átjáró RADIUS-proxy IP-címéről érkező hitelesítési kéréseket.

Globális VPN-profil letöltése

A VPN-ügyfélprofil konfigurációs fájljainak létrehozásához és letöltéséhez kövesse az alábbi lépéseket:

  1. Nyissa meg a Virtual WAN-t.

  2. A bal oldali panelen válassza a Felhasználói VPN-konfigurációk lehetőséget.

  3. A Felhasználói VPN-konfigurációk lapon láthatja a virtuális WAN-hoz létrehozott összes felhasználói VPN-konfigurációt. A Hub oszlopban láthatja az egyes felhasználói VPN-konfigurációkhoz társított központokat. Kattintson a ikonra a > központnevek kibontásához és megtekintéséhez.

    Screenshot that shows hubs list expanded.

  4. Az alábbi példában több olyan sor jelenik meg, amelyek hubjai ugyanazt a felhasználói VPN-konfigurációt használják. Globális profilban, amikor a hubok ugyanazt a felhasználói VPN-konfigurációt használják, bármelyik olyan hubsorra kattinthat, amely rendelkezik a kívánt felhasználói VPN-konfigurációval. Az oldalról létrehozott profilfájlok nem egy adott központhoz, hanem a felhasználói VPN-konfigurációhoz igazodnak. Ha korlátozni szeretné, hogy a VPN-felhasználók csak egy központhoz csatlakozzanak (nem szeretne globális profilt használni), használja inkább a Hub profil lépéseit.

    Screenshot that shows selections for downloading a global profile.

    A példában a Hub2 vonalát választottuk ki, de a Hub3 vagy a Hub1 kiválasztása ugyanazokat a profilkonfigurációs fájlokat eredményezné. Ha azonban a Hub6-tal jelöltük ki a sort, a profilkonfigurációs fájlok eltérőek lennének, mivel a Hub6 más felhasználói VPN-konfigurációt használ.

    Kattintson a használni kívánt felhasználói VPN-konfigurációt tartalmazó sorra. Ez kiemeli a teljes sort. Ezután kattintson a Virtuális WAN-felhasználói VPN-profil letöltése elemre.

  5. A Virtuális WAN-felhasználó VPN-letöltési lapján válassza az EAPTLS lehetőséget, majd kattintson a Profil létrehozása és letöltése elemre. A rendszer létrehoz egy VPN-ügyfélkonfigurációs beállításokat tartalmazó profilcsomagot (zip-fájlt), és letölti a számítógépére. A csomag tartalma a kiválasztott konfigurációhoz tartozó huboktól, valamint a hitelesítési és alagúttípus-beállításoktól függ.

    Screenshot the authentication type and generate and download profile.

Központ belefoglalása vagy kizárása globális profilból

Alapértelmezés szerint minden olyan központ, amely ugyanazt a felhasználói VPN-konfigurációt használja, szerepel a létrehozott és letöltött globális VPN-profilban. Dönthet úgy is, hogy kizár egy központot a globális VPN-profilból. Ha így tesz, a VPN-ügyfél nem lesz terheléselosztásban az adott központ átjáróhoz való csatlakozáshoz.

  1. Annak ellenőrzéséhez, hogy egy központ szerepel-e a globális VPN-profilban, nyissa meg a Virtual WAN-t.

  2. Az Áttekintés lapon válassza a Hubs lehetőséget.

  3. A Hubs lapon kattintson a központra.

  4. A Virtual Hub lap bal oldali ablaktábláján válassza a Felhasználói VPN (Pont–hely) lehetőséget.

  5. A Felhasználói VPN (Pont–hely) lapon tekintse meg az átjáró mellékletének állapotát annak megállapításához, hogy ez a központ szerepel-e a globális VPN-profilban. Ha az állapot csatlakoztatva van, a központ is megjelenik. Ha az állapot leválasztva van, a központ nem lesz benne.

    Screenshot that shows the attachment state of a gateway.

  6. A központ globális VPN-profilból való belefoglalásához vagy kizárásához (csatolásához vagy leválasztásához) válassza az Átjáró belefoglalása/kizárása a globális profilból lehetőséget.

  7. Az Include/Exclude (Belefoglalás/kizárás ) lapon válasszon az alábbi lehetőségek közül.

    • Kattintson a Kizárás gombra, ha el szeretné távolítani a központ átjáróját a Virtual WAN globális felhasználói VPN-profiljából. A hubprofilt használó felhasználók továbbra is csatlakozhatnak a központ átjáróhoz. Azok a felhasználók, akik ezt a globális profilt használják, nem fognak tudni csatlakozni a központ átjáróhoz.

    • Kattintson a Belefoglalás gombra, ha fel szeretné venni ennek a központnak az átjáróját a Virtual WAN globális felhasználói VPN-profiljába. A globális profilt használó felhasználók csatlakozhatnak a központ átjáróhoz.

Ajánlott eljárások a globális profilhoz

Több kiszolgáló érvényesítési tanúsítványának hozzáadása

Ez a szakasz az OpenVPN-alagúttípust és az Azure VPN-ügyfél 2.1963.44.0-s vagy újabb verzióját használó kapcsolatokat ismerteti.

A központi P2S-átjáró konfigurálásakor az Azure egy belső tanúsítványt rendel az átjáróhoz. Ez eltér a tanúsítványhitelesítés hitelesítési módszerként való használatakor megadott főtanúsítvány-adatoktól. A központhoz rendelt belső tanúsítvány minden hitelesítési típushoz használható. Ez az érték a kiszolgálóvalidation/cert/hash fájlként létrehozott profilkonfigurációs fájlokban jelenik meg. A VPN-ügyfél ezt az értéket használja a kapcsolati folyamat részeként.

Ha több központtal rendelkezik különböző földrajzi régiókban, mindegyik központ használhat egy másik Azure-szintű kiszolgáló-érvényesítési tanúsítványt. A globális profil tartalmazza az összes központ kiszolgálóérvényesítési tanúsítvány kivonatának értékét. Ez azt jelenti, hogy ha az adott központ tanúsítványa valamilyen okból nem működik megfelelően, az ügyfél továbbra is rendelkezik a szükséges kiszolgáló-érvényesítési tanúsítvány kivonatértékével a többi központhoz.

Fontos

Az Azure VPN-ügyfél konfigurálása az összes központ tanúsítványkivonat-értékével csak akkor szükséges, ha a hubok eltérő kiszolgálói gyökérkibocsátókkal rendelkeznek.

Ajánlott eljárásként javasoljuk, hogy frissítse a VPN-ügyfélprofil konfigurációs fájlját úgy, hogy tartalmazza a globális profilhoz csatolt összes központ tanúsítványkivonat-értékét, majd konfigurálja az Azure VPN-ügyfelet a frissített fájl használatával.

  1. Hozza létre és töltse le a globális profilfájlokat . A azurevpnconfig.xml fájl megnyitásához használjon szövegszerkesztőt.

  2. Az alábbi XML-példában konfigurálja az Azure VPN-ügyfelet az egyes központokhoz tartozó kiszolgálóérvényesítési tanúsítvány kivonatát tartalmazó globális profilkonfigurációs fájl használatával.

      </protocolconfig>
  <serverlist>
    <ServerEntry>
      <displayname
        i:nil="true" />
      <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn>
    </ServerEntry>
  </serverlist>
  <servervalidation>
    <cert>
      <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash>
      <issuer
        i:nil="true" />
    </cert>

Központi profilok

Ezt a profiltípust akkor használja, ha azt szeretné, hogy a VPN-felhasználók csak egyetlen megadott központhoz tudjanak csatlakozni. A központi szinten létrehozott és letöltött fájlok különböző beállításokat tartalmaznak, mint a WAN-szintű globális profilban létrehozott és letöltött fájlok.

Központi VPN-profil letöltése

A VPN-ügyfélprofil konfigurációs fájljainak létrehozásához és letöltéséhez kövesse az alábbi lépéseket:

  1. Nyissa meg a virtuális központot.

  2. A bal oldali panelen válassza a Felhasználói VPN (Pont–hely) lehetőséget.

  3. Válassza a Virtuális központ felhasználói VPN-profil letöltése lehetőséget.

    Screenshot that shows how to download a hub profile.

  4. A letöltési lapon válassza az EAPTLS, majd a Profil létrehozása és letöltése lehetőséget. Létrejön egy profilcsomag (zip-fájl), amely tartalmazza az ügyfélkonfigurációs beállításokat, és letölti a számítógépet. A csomag tartalma a központtól, valamint a konfiguráció hitelesítési és alagúttípus-választási lehetőségeitől függ.

Következő lépések

A felhasználói VPN-ekkel kapcsolatos további információkért lásd : Felhasználói VPN-pontok közötti kapcsolatok létrehozása.