P2S felhasználói VPN-kapcsolat létrehozása az Azure Virtual WAN használatával – Microsoft Entra-hitelesítés
Ez a cikk bemutatja, hogyan csatlakozhat a Virtual WAN használatával az Azure-beli erőforrásaihoz. Ebben a cikkben egy pont–hely felhasználói VPN-kapcsolatot hoz létre a Virtual WAN-hoz, amely Microsoft Entra-hitelesítést használ. A Microsoft Entra-hitelesítés csak az OpenVPN protokollt használó átjárók esetében érhető el.
Feljegyzés
A Microsoft Entra-hitelesítés csak OpenVPN® protokollkapcsolatok esetén támogatott, és az Azure VPN-ügyfélre van szükség.
Ebben a cikkben az alábbiakkal ismerkedhet meg:
- Virtuális WAN létrehozása
- Felhasználói VPN-konfiguráció létrehozása
- Virtuális WAN felhasználói VPN-profil letöltése
- Virtuális központ létrehozása
- Központ szerkesztése P2S-átjáró hozzáadásához
- Virtuális hálózat Csatlakozás virtuális központba
- A felhasználói VPN-ügyfél konfigurációjának letöltése és alkalmazása
- A virtuális WAN megtekintése
Mielőtt elkezdené
A konfiguráció megkezdése előtt ellenőrizze, hogy teljesítette-e a következő feltételeket:
Van egy virtuális hálózata, amelyhez csatlakozni szeretne. Ellenőrizze, hogy a helyszíni hálózatok egyik alhálózata sem fedi-e át azokat a virtuális hálózatokat, amelyekhez csatlakozni szeretne. Ha virtuális hálózatot szeretne létrehozni az Azure Portalon, tekintse meg a rövid útmutatót.
A virtuális hálózat nem rendelkezik virtuális hálózati átjárókkal. Ha a virtuális hálózat rendelkezik átjáróval (VPN vagy ExpressRoute), el kell távolítania az összes átjárót. Ehhez a konfigurációhoz virtuális hálózatoknak kell csatlakozniuk a Virtual WAN hub átjáróhoz.
Igényeljen egy IP-címtartományt az elosztó régiójában. A központ egy virtuális hálózat, amelyet a Virtual WAN hoz létre és használ. A központhoz megadott címtartomány nem fedheti át a meglévő virtuális hálózatokat, amelyekhez csatlakozik. Nem lehet átfedésben a helyszíni címtartományokkal. Ha nem ismeri a helyszíni hálózati konfigurációban található IP-címtartományokat, koordináljon valakivel, aki meg tudja adni önnek ezeket az adatokat.
Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy ingyenes fiókot.
Virtuális WAN létrehozása
Egy böngészőből lépjen az Azure Portalra, majd jelentkezzen be az Azure-fiókjával.
A portál Erőforrás keresése sávján írja be a Virtual WAN kifejezést a keresőmezőbe, és válassza az Enter lehetőséget.
Válassza ki a virtuális WAN-okat az eredmények közül. A Virtual WANs lapon válassza a + Létrehozás lehetőséget a WAN létrehozása lap megnyitásához.
Töltse ki a mezőket a WAN létrehozása lap Alapszintű beállítások lapján. Módosítsa a példaértékeket úgy, hogy a környezetre vonatkozzanak.
- Előfizetés: Válassza ki a használni kívánt előfizetést.
- Erőforráscsoport: Hozzon létre újat, vagy használja a meglévőt.
- Erőforráscsoport helye: Válasszon egy erőforráshelyet a legördülő listából. A WAN egy globális erőforrás, és nem egy adott régióban él. A létrehozott WAN-erőforrás kezeléséhez és megkereséséhez azonban ki kell választania egy régiót.
- Név: Írja be a virtuális WAN-nak hívni kívánt nevet.
- Típus: Alapszintű vagy Standard. Válassza a Standard lehetőséget. Ha az Alapszintű lehetőséget választja, ismerje meg, hogy az alapszintű virtuális WAN-k csak alapszintű központokat tartalmazhatnak. Az alapszintű központok csak helyek közötti kapcsolatokhoz használhatók.
Miután kitöltötte a mezőket, a lap alján válassza a Véleményezés +Létrehozás lehetőséget.
Az ellenőrzés sikeres befejezése után kattintson a Létrehozás gombra a virtuális WAN létrehozásához.
Felhasználói VPN-konfiguráció létrehozása
A felhasználói VPN-konfiguráció határozza meg a távoli ügyfelek csatlakoztatásának paramétereit. Fontos, hogy a felhasználói VPN-konfigurációt a virtuális központ P2S-beállításokkal való konfigurálása előtt hozza létre, mivel meg kell adnia a használni kívánt felhasználói VPN-konfigurációt.
Lépjen a Virtual WAN –>Felhasználói VPN-konfigurációk lapra, és kattintson a +Felhasználói VPN-konfiguráció létrehozása elemre.
Az Alapszintű beállítások lapon adja meg a paramétereket.
- Konfiguráció neve – Adja meg a felhasználó VPN-konfigurációjának meghívni kívánt nevet.
- Alagút típusa – Válassza az OpenVPN lehetőséget a legördülő menüből.
Kattintson a Microsoft Entra ID gombra a lap megnyitásához.
Állítsa a Microsoft Entra-azonosítót Igen értékre, és adja meg a következő értékeket a bérlő adatai alapján. A szükséges értékeket a Microsoft Entra id oldalán tekintheti meg a nagyvállalati alkalmazásokhoz a portálon.
Hitelesítési módszer – Válassza ki a Microsoft Entra-azonosítót.
Célközönség – Írja be a Microsoft Entra-bérlőben regisztrált Azure VPN Enterprise-alkalmazás alkalmazásazonosítóját.
Kibocsátó -
https://sts.windows.net/<your Directory ID>/
Microsoft Entra-bérlő: A Microsoft Entra-bérlő bérlőazonosítója. Győződjön meg arról, hogy a Microsoft Entra-bérlő URL-címének végén nincs
/
.- Adja meg
https://login.microsoftonline.com/{AzureAD TenantID}
az Azure Public AD-t - Adja meg
https://login.microsoftonline.us/{AzureAD TenantID}
az Azure Government AD-t - Adja meg
https://login-us.microsoftonline.de/{AzureAD TenantID}
az Azure Germany AD-t - Adja meg
https://login.chinacloudapi.cn/{AzureAD TenantID}
a China 21Vianet AD-t
- Adja meg
Kattintson a Létrehozás gombra a felhasználói VPN-konfiguráció létrehozásához. Ezt a konfigurációt a gyakorlat későbbi részében fogja kiválasztani.
Üres központ létrehozása
Ebben a gyakorlatban létrehozunk egy üres virtuális központot ebben a lépésben, és a következő szakaszban egy P2S-átjárót adunk hozzá ehhez a központhoz. Ezeket a lépéseket azonban kombinálhatja, és egyszerre hozhatja létre a központot a P2S-átjáró beállításaival. Az eredmény mindkét esetben megegyezik. A beállítások konfigurálása után kattintson a Véleményezés + létrehozás gombra az ellenőrzéshez, majd a Létrehozás parancsra.
Nyissa meg a létrehozott virtuális WAN-t. A virtuális WAN lap bal oldali paneljén, a Csatlakozás ivity alatt válassza a Hubs lehetőséget.
A Hubs lapon válassza az +Új központ lehetőséget a Virtuális központ létrehozása lap megnyitásához.
A Virtuális központ létrehozása lap Alapszintű beállítások lapján töltse ki a következő mezőket:
- Régió: Válassza ki azt a régiót, amelyben telepíteni szeretné a virtuális központot.
- Név: Az a név, amellyel a virtuális központ ismert lesz.
- Központi magáncímtér: A központ címtartománya a CIDR-jelölésben. A minimális címtér a /24 a központ létrehozásához.
- Virtuális központ kapacitása: Válassza ki a legördülő listából. További információ: Virtuális központ beállításai.
- Központi útválasztási beállítás: Hagyja meg alapértelmezettként. További információ: Virtuális központ útválasztási beállításai.
P2S-átjáró hozzáadása egy központhoz
Ez a szakasz bemutatja, hogyan adhat hozzá átjárót egy már meglévő virtuális központhoz. Ez a lépés akár 30 percet is igénybe vehet, amíg a központ befejezi a frissítést.
Lépjen a Hubs lapra a virtuális WAN alatt.
Kattintson a szerkeszteni kívánt központ nevére a központ lapjának megnyitásához.
Kattintson a lap tetején található Virtuális központ szerkesztése elemre a Virtuális központ szerkesztése lap megnyitásához.
A virtuális központ szerkesztése lapon jelölje be a VPN-átjáró belefoglalása vpn-webhelyekhez és a pont–hely átjáró belefoglalása jelölőnégyzetet a beállítások megjelenítéséhez. Ezután konfigurálja az értékeket.
- Átjáró méretezési egységei: Válassza ki az átjáró méretezési egységét. A méretezési egységek a felhasználói VPN-átjáró összesített kapacitását jelölik. Ha 40 vagy több átjáróméretegységet választ ki, ennek megfelelően tervezze meg az ügyfélcímkészletet. További információ arról, hogy ez a beállítás milyen hatással van az ügyfélcímkészletre: Tudnivalók az ügyfélcímkészletekről. Az átjáró skálázási egységeivel kapcsolatos információkért tekintse meg a gyakori kérdéseket.
- Felhasználói VPN-konfiguráció: Válassza ki a korábban létrehozott konfigurációt.
- Felhasználói csoportok címkészlet-leképezése: Erről a beállításról további információt a P2S felhasználói VPN-ek felhasználói csoportjainak és IP-címkészleteinek konfigurálása (előzetes verzió) című témakörben talál.
A beállítások konfigurálása után kattintson a Megerősítés gombra a központ frissítéséhez. A központ frissítése akár 30 percet is igénybe vehet.
Csatlakozás virtuális hálózatot a központba
Ebben a szakaszban kapcsolatot hoz létre a virtuális központ és a virtuális hálózat között.
Az Azure Portalon nyissa meg a Virtual WAN-t a bal oldali panelen, és válassza a Virtuális hálózati kapcsolatok lehetőséget.
A Virtuális hálózati kapcsolatok lapon válassza a + Kapcsolat hozzáadása lehetőséget.
A Kapcsolat hozzáadása lapon konfigurálja a kapcsolat beállításait. Az útválasztási beállításokkal kapcsolatos információkért lásd: Útválasztás.
- Csatlakozás ion neve: Adja meg a kapcsolatot.
- Központok: Válassza ki a kapcsolatot társítani kívánt központot.
- Előfizetés: Ellenőrizze az előfizetést.
- Erőforráscsoport: Válassza ki azt az erőforráscsoportot, amely tartalmazza azt a virtuális hálózatot, amelyhez csatlakozni szeretne.
- Virtuális hálózat: Válassza ki a központhoz csatlakozni kívánt virtuális hálózatot. A kiválasztott virtuális hálózat nem rendelkezhet már meglévő virtuális hálózati átjáróval.
- Propagálás egyikre sem: Ez alapértelmezés szerint Nem értékre van állítva. Ha igenre módosítja a kapcsolót, akkor a Propagálás útvonaltáblákra és Propagálás címkére beállítási beállításai nem érhetők el a konfigurációhoz.
- Útvonaltábla társítása: A legördülő listában kiválaszthatja a társítani kívánt útvonaltáblát.
- Propagálás címkékre: A címkék az útvonaltáblák logikai csoportja. Ehhez a beállításhoz válassza ki a legördülő menüt.
- Statikus útvonalak: Szükség esetén konfigurálja a statikus útvonalakat. Konfigurálja a hálózati virtuális berendezések statikus útvonalait (ha van ilyen). A Virtual WAN egyetlen következő ugrási IP-címet támogat a virtuális hálózati kapcsolat statikus útvonalához. Ha például külön virtuális berendezéssel rendelkezik a bejövő és kimenő forgalom áramlásához, a legjobb, ha a virtuális berendezéseket külön virtuális hálózatokban használja, és csatolja a virtuális hálózatokat a virtuális központhoz.
- Megkerülheti a következő ugrási IP-címet a virtuális hálózaton belüli számítási feladatokhoz: Ez a beállítás lehetővé teszi, hogy az NVA-kat és más számítási feladatokat ugyanabba a virtuális hálózatba telepítse anélkül, hogy az összes forgalmat az NVA-n keresztül kényszeríti. Ez a beállítás csak új kapcsolat konfigurálásakor konfigurálható. Ha ezt a beállítást egy már létrehozott kapcsolathoz szeretné használni, törölje a kapcsolatot, majd vegyen fel egy új kapcsolatot.
- Statikus útvonal propagálása: Ez a beállítás jelenleg ki van állítva. Ez a beállítás lehetővé teszi a Statikus útvonalak szakaszban meghatározott statikus útvonalak propagálását a Propagálás útvonaltáblákra való átirányításához. Emellett az útvonalak propagálása olyan táblákra is megtörténik, amelyek címkéi propagálásként vannak megadva a címkékre. Ezek az útvonalak az alapértelmezett 0/0 útvonal kivételével terjeszthetők a központon keresztül. Ez a funkció a bevezetés folyamatában van. Ha engedélyezni szeretné ezt a funkciót, forduljon a vwanpm@microsoft.com
Miután befejezte a konfigurálni kívánt beállításokat, kattintson a Létrehozás gombra a kapcsolat létrehozásához.
Felhasználói VPN-profil letöltése
A VPN-ügyfelek összes szükséges konfigurációs beállítását egy VPN-ügyfél konfigurációs zip-fájlja tartalmazza. A zip-fájl beállításai megkönnyítik a VPN-ügyfelek konfigurálását. A létrehozott VPN-ügyfélkonfigurációs fájlok az átjáró felhasználói VPN-konfigurációjához tartoznak. Letöltheti a globális (WAN-szintű) profilokat, vagy egy adott központ profilját. További információkért és további utasításokért tekintse meg a globális és a központi profilok letöltését ismertető cikket. Az alábbi lépések végigvezetik egy globális WAN-szintű profil letöltésén.
WAN-szintű globális profilú VPN-ügyfélkonfigurációs csomag létrehozásához nyissa meg a virtuális WAN-t (nem a virtuális központot).
A bal oldali panelen válassza a Felhasználói VPN-konfigurációk lehetőséget.
Válassza ki azt a konfigurációt, amelyhez le szeretné tölteni a profilt. Ha több hub van hozzárendelve ugyanahhoz a profilhoz, bontsa ki a profilt a hubok megjelenítéséhez, majd válassza ki a profilt használó központokat.
Válassza a Virtual WAN felhasználói VPN-profil letöltése lehetőséget.
A letöltési lapon válassza az EAPTLS, majd a Profil létrehozása és letöltése lehetőséget. Létrejön egy profilcsomag (zip-fájl), amely tartalmazza az ügyfélkonfigurációs beállításokat, és letölti a számítógépet. A csomag tartalma a konfiguráció hitelesítési és alagútválasztási lehetőségeitől függ.
Felhasználói VPN-ügyfelek konfigurálása
Minden csatlakozó számítógépen telepítve kell lennie egy ügyfélnek. Az egyes ügyfeleket az előző lépésekben letöltött VPN-felhasználói ügyfélprofil-fájlokkal konfigurálhatja. Használja a csatlakoztatni kívánt operációs rendszerre vonatkozó cikket.
MacOS VPN-ügyfelek konfigurálása (előzetes verzió)
A macOS-ügyfél utasításait lásd : VPN-ügyfél konfigurálása – macOS (előzetes verzió).
Windows VPN-ügyfelek konfigurálása
Töltse le az Azure VPN-ügyfél telepítési fájljainak legújabb verzióját az alábbi hivatkozások egyikével:
- Telepítés ügyféltelepítési fájlokkal: https://aka.ms/azvpnclientdownload.
- Telepítse közvetlenül, amikor bejelentkezett egy ügyfélszámítógépre: Microsoft Store.
Telepítse az Azure VPN-ügyfelet minden számítógépre.
Ellenőrizze, hogy az Azure VPN-ügyfél rendelkezik-e engedéllyel a háttérben való futtatásra. A lépésekért tekintse meg a Windows háttéralkalmazásait.
A telepített ügyfélverzió ellenőrzéséhez nyissa meg az Azure VPN-ügyfelet. Lépjen az ügyfél aljára, és kattintson a ... -> ? Súgó. A jobb oldali panelen láthatja az ügyfél verziószámát.
VPN-ügyfélprofil importálása (Windows)
A lapon válassza az Importálás lehetőséget.
Tallózással keresse meg a profil xml-fájlja, és válassza ki. Ha a fájl ki van jelölve, válassza a Megnyitás lehetőséget.
Adja meg a profil nevét, és válassza a Mentés lehetőséget.
Válassza Csatlakozás a VPN-hez való csatlakozáshoz.
Miután csatlakozott, az ikon zöldre vált, és azt mondja, Csatlakozás.
Ügyfélprofil törlése – Windows
Válassza ki a törölni kívánt ügyfélprofil melletti három pontot (...). Ezután válassza az Eltávolítás lehetőséget.
Kattintson az Eltávolítás gombra a törléshez.
Csatlakozási problémák diagnosztizálása – Windows
A kapcsolati problémák diagnosztizálásához használhatja a Diagnosztikai eszközt. Válassza ki a diagnosztizálni kívánt VPN-kapcsolat melletti három pontot (...) a menü megjelenítéséhez. Ezután válassza a Diagnosztizálás lehetőséget.
A Csatlakozás ion Tulajdonságok lapján válassza a Diagnosztika futtatása lehetőséget.
Jelentkezzen be a hitelesítő adataival.
A diagnózis eredményeinek megtekintése.
A virtuális WAN megtekintése
- Lépjen a virtuális WAN-ra.
- Az Áttekintés lapon a térképen látható pontok mindegyike egy elosztót jelöl.
- Az elosztók és kapcsolatok szakaszában láthatja az elosztók állapotát, helyét, régióját, VPN-kapcsolati állapotát, valamint a bájtban kifejezett be- és kimenő forgalmát.
Az erőforrások eltávolítása
Ha már nincs szüksége a létrehozott erőforrásokra, törölje őket. A Virtual WAN egyes erőforrásait függőségek miatt bizonyos sorrendben törölni kell. A törlés nagyjából 30 percet vesz igénybe.
Nyissa meg a létrehozott virtuális WAN-t.
Válassza ki a virtuális WAN-hoz társított virtuális központot a központ oldalának megnyitásához.
Törölje az összes átjáró-entitást az egyes átjárótípusokhoz tartozó alábbi sorrend szerint. Ez 30 percet is igénybe vehet.
VPN:
- VPN-webhelyek leválasztása
- VPN-kapcsolatok törlése
- VPN-átjárók törlése
ExpressRoute:
- ExpressRoute-kapcsolatok törlése
- ExpressRoute-átjárók törlése
Ismételje meg az ismétlést a virtuális WAN-hoz társított összes központ esetében.
Ezen a ponton törölheti a központokat, vagy az erőforráscsoport törlésekor később törölheti a központokat.
Lépjen az Azure Portal erőforráscsoportjához.
Válassza az Erőforráscsoport törlése elemet. Ez törli az erőforráscsoport többi erőforrását, beleértve a központokat és a virtuális WAN-t is.
Következő lépések
A Virtual WAN-nal kapcsolatos gyakori kérdésekért tekintse meg a Virtual WAN gyakori kérdéseit.