Share via

P2S felhasználói VPN-kapcsolat létrehozása az Azure Virtual WAN használatával – Microsoft Entra-hitelesítés

  • Cikk

Ez a cikk bemutatja, hogyan csatlakozhat a Virtual WAN használatával az Azure-beli erőforrásaihoz. Ebben a cikkben egy pont–hely felhasználói VPN-kapcsolatot hoz létre a Virtual WAN-hoz, amely Microsoft Entra-hitelesítést használ. A Microsoft Entra-hitelesítés csak az OpenVPN protokollt használó átjárók esetében érhető el.

Feljegyzés

A Microsoft Entra-hitelesítés csak OpenVPN® protokollkapcsolatok esetén támogatott, és az Azure VPN-ügyfélre van szükség.

Ebben a cikkben az alábbiakkal ismerkedhet meg:

  • Virtuális WAN létrehozása
  • Felhasználói VPN-konfiguráció létrehozása
  • Virtuális WAN felhasználói VPN-profil letöltése
  • Virtuális központ létrehozása
  • Központ szerkesztése P2S-átjáró hozzáadásához
  • Virtuális hálózat Csatlakozás virtuális központba
  • A felhasználói VPN-ügyfél konfigurációjának letöltése és alkalmazása
  • A virtuális WAN megtekintése

Virtual WAN-diagram.

Mielőtt elkezdené

A konfiguráció megkezdése előtt ellenőrizze, hogy teljesítette-e a következő feltételeket:

  • Van egy virtuális hálózata, amelyhez csatlakozni szeretne. Ellenőrizze, hogy a helyszíni hálózatok egyik alhálózata sem fedi-e át azokat a virtuális hálózatokat, amelyekhez csatlakozni szeretne. Ha virtuális hálózatot szeretne létrehozni az Azure Portalon, tekintse meg a rövid útmutatót.

  • A virtuális hálózat nem rendelkezik virtuális hálózati átjárókkal. Ha a virtuális hálózat rendelkezik átjáróval (VPN vagy ExpressRoute), el kell távolítania az összes átjárót. Ehhez a konfigurációhoz virtuális hálózatoknak kell csatlakozniuk a Virtual WAN hub átjáróhoz.

  • Igényeljen egy IP-címtartományt az elosztó régiójában. A központ egy virtuális hálózat, amelyet a Virtual WAN hoz létre és használ. A központhoz megadott címtartomány nem fedheti át a meglévő virtuális hálózatokat, amelyekhez csatlakozik. Nem lehet átfedésben a helyszíni címtartományokkal. Ha nem ismeri a helyszíni hálózati konfigurációban található IP-címtartományokat, koordináljon valakivel, aki meg tudja adni önnek ezeket az adatokat.

  • Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy ingyenes fiókot.

Virtuális WAN létrehozása

Egy böngészőből lépjen az Azure Portalra, majd jelentkezzen be az Azure-fiókjával.

  1. A portál Erőforrás keresése sávján írja be a Virtual WAN kifejezést a keresőmezőbe, és válassza az Enter lehetőséget.

  2. Válassza ki a virtuális WAN-okat az eredmények közül. A Virtual WANs lapon válassza a + Létrehozás lehetőséget a WAN létrehozása lap megnyitásához.

  3. Töltse ki a mezőket a WAN létrehozása lap Alapszintű beállítások lapján. Módosítsa a példaértékeket úgy, hogy a környezetre vonatkozzanak.

    Képernyőkép a WAN létrehozása panelről, amelyen az Alapok lap van kijelölve.

    • Előfizetés: Válassza ki a használni kívánt előfizetést.
    • Erőforráscsoport: Hozzon létre újat, vagy használja a meglévőt.
    • Erőforráscsoport helye: Válasszon egy erőforráshelyet a legördülő listából. A WAN egy globális erőforrás, és nem egy adott régióban él. A létrehozott WAN-erőforrás kezeléséhez és megkereséséhez azonban ki kell választania egy régiót.
    • Név: Írja be a virtuális WAN-nak hívni kívánt nevet.
    • Típus: Alapszintű vagy Standard. Válassza a Standard lehetőséget. Ha az Alapszintű lehetőséget választja, ismerje meg, hogy az alapszintű virtuális WAN-k csak alapszintű központokat tartalmazhatnak. Az alapszintű központok csak helyek közötti kapcsolatokhoz használhatók.

  4. Miután kitöltötte a mezőket, a lap alján válassza a Véleményezés +Létrehozás lehetőséget.

  5. Az ellenőrzés sikeres befejezése után kattintson a Létrehozás gombra a virtuális WAN létrehozásához.

Felhasználói VPN-konfiguráció létrehozása

A felhasználói VPN-konfiguráció határozza meg a távoli ügyfelek csatlakoztatásának paramétereit. Fontos, hogy a felhasználói VPN-konfigurációt a virtuális központ P2S-beállításokkal való konfigurálása előtt hozza létre, mivel meg kell adnia a használni kívánt felhasználói VPN-konfigurációt.

  1. Lépjen a Virtual WAN –>Felhasználói VPN-konfigurációk lapra, és kattintson a +Felhasználói VPN-konfiguráció létrehozása elemre.

    Képernyőkép a Felhasználó létrehozása V P N konfigurációról.

  2. Az Alapszintű beállítások lapon adja meg a paramétereket.

    Képernyőkép az Alapismeretek lapról.

    • Konfiguráció neve – Adja meg a felhasználó VPN-konfigurációjának meghívni kívánt nevet.
    • Alagút típusa – Válassza az OpenVPN lehetőséget a legördülő menüből.

  3. Kattintson a Microsoft Entra ID gombra a lap megnyitásához.

    Képernyőkép a Microsoft Entra ID oldaláról.

    Állítsa a Microsoft Entra-azonosítót Igen értékre, és adja meg a következő értékeket a bérlő adatai alapján. A szükséges értékeket a Microsoft Entra id oldalán tekintheti meg a nagyvállalati alkalmazásokhoz a portálon.

    • Hitelesítési módszer – Válassza ki a Microsoft Entra-azonosítót.

    • Célközönség – Írja be a Microsoft Entra-bérlőben regisztrált Azure VPN Enterprise-alkalmazás alkalmazásazonosítóját.

    • Kibocsátó - https://sts.windows.net/<your Directory ID>/

    • Microsoft Entra-bérlő: A Microsoft Entra-bérlő bérlőazonosítója. Győződjön meg arról, hogy a Microsoft Entra-bérlő URL-címének végén nincs / .

      • Adja meg https://login.microsoftonline.com/{AzureAD TenantID} az Azure Public AD-t
      • Adja meg https://login.microsoftonline.us/{AzureAD TenantID} az Azure Government AD-t
      • Adja meg https://login-us.microsoftonline.de/{AzureAD TenantID} az Azure Germany AD-t
      • Adja meg https://login.chinacloudapi.cn/{AzureAD TenantID} a China 21Vianet AD-t

  4. Kattintson a Létrehozás gombra a felhasználói VPN-konfiguráció létrehozásához. Ezt a konfigurációt a gyakorlat későbbi részében fogja kiválasztani.

Üres központ létrehozása

Ebben a gyakorlatban létrehozunk egy üres virtuális központot ebben a lépésben, és a következő szakaszban egy P2S-átjárót adunk hozzá ehhez a központhoz. Ezeket a lépéseket azonban kombinálhatja, és egyszerre hozhatja létre a központot a P2S-átjáró beállításaival. Az eredmény mindkét esetben megegyezik. A beállítások konfigurálása után kattintson a Véleményezés + létrehozás gombra az ellenőrzéshez, majd a Létrehozás parancsra.

  1. Nyissa meg a létrehozott virtuális WAN-t. A virtuális WAN lap bal oldali paneljén, a Csatlakozás ivity alatt válassza a Hubs lehetőséget.

  2. A Hubs lapon válassza az +Új központ lehetőséget a Virtuális központ létrehozása lap megnyitásához.

    Képernyőkép a Virtuális központ létrehozása panelről, amelyen az Alapismeretek lap van kijelölve.

  3. A Virtuális központ létrehozása lap Alapszintű beállítások lapján töltse ki a következő mezőket:

    • Régió: Válassza ki azt a régiót, amelyben telepíteni szeretné a virtuális központot.
    • Név: Az a név, amellyel a virtuális központ ismert lesz.
    • Központi magáncímtér: A központ címtartománya a CIDR-jelölésben. A minimális címtér a /24 a központ létrehozásához.
    • Virtuális központ kapacitása: Válassza ki a legördülő listából. További információ: Virtuális központ beállításai.
    • Központi útválasztási beállítás: Hagyja meg alapértelmezettként. További információ: Virtuális központ útválasztási beállításai.

P2S-átjáró hozzáadása egy központhoz

Ez a szakasz bemutatja, hogyan adhat hozzá átjárót egy már meglévő virtuális központhoz. Ez a lépés akár 30 percet is igénybe vehet, amíg a központ befejezi a frissítést.

  1. Lépjen a Hubs lapra a virtuális WAN alatt.

  2. Kattintson a szerkeszteni kívánt központ nevére a központ lapjának megnyitásához.

  3. Kattintson a lap tetején található Virtuális központ szerkesztése elemre a Virtuális központ szerkesztése lap megnyitásához.

  4. A virtuális központ szerkesztése lapon jelölje be a VPN-átjáró belefoglalása vpn-webhelyekhez és a pont–hely átjáró belefoglalása jelölőnégyzetet a beállítások megjelenítéséhez. Ezután konfigurálja az értékeket.

    Képernyőkép a Virtuális központ szerkesztése szolgáltatásról.

    • Átjáró méretezési egységei: Válassza ki az átjáró méretezési egységét. A méretezési egységek a felhasználói VPN-átjáró összesített kapacitását jelölik. Ha 40 vagy több átjáróméretegységet választ ki, ennek megfelelően tervezze meg az ügyfélcímkészletet. További információ arról, hogy ez a beállítás milyen hatással van az ügyfélcímkészletre: Tudnivalók az ügyfélcímkészletekről. Az átjáró skálázási egységeivel kapcsolatos információkért tekintse meg a gyakori kérdéseket.
    • Felhasználói VPN-konfiguráció: Válassza ki a korábban létrehozott konfigurációt.
    • Felhasználói csoportok címkészlet-leképezése: Erről a beállításról további információt a P2S felhasználói VPN-ek felhasználói csoportjainak és IP-címkészleteinek konfigurálása (előzetes verzió) című témakörben talál.

  5. A beállítások konfigurálása után kattintson a Megerősítés gombra a központ frissítéséhez. A központ frissítése akár 30 percet is igénybe vehet.

Csatlakozás virtuális hálózatot a központba

Ebben a szakaszban kapcsolatot hoz létre a virtuális központ és a virtuális hálózat között.

  1. Az Azure Portalon nyissa meg a Virtual WAN-t a bal oldali panelen, és válassza a Virtuális hálózati kapcsolatok lehetőséget.

  2. A Virtuális hálózati kapcsolatok lapon válassza a + Kapcsolat hozzáadása lehetőséget.

  3. A Kapcsolat hozzáadása lapon konfigurálja a kapcsolat beállításait. Az útválasztási beállításokkal kapcsolatos információkért lásd: Útválasztás.

    Képernyőkép a Kapcsolat hozzáadása lapról.

    • Csatlakozás ion neve: Adja meg a kapcsolatot.
    • Központok: Válassza ki a kapcsolatot társítani kívánt központot.
    • Előfizetés: Ellenőrizze az előfizetést.
    • Erőforráscsoport: Válassza ki azt az erőforráscsoportot, amely tartalmazza azt a virtuális hálózatot, amelyhez csatlakozni szeretne.
    • Virtuális hálózat: Válassza ki a központhoz csatlakozni kívánt virtuális hálózatot. A kiválasztott virtuális hálózat nem rendelkezhet már meglévő virtuális hálózati átjáróval.
    • Propagálás egyikre sem: Ez alapértelmezés szerint Nem értékre van állítva. Ha igenre módosítja a kapcsolót, akkor a Propagálás útvonaltáblákra és Propagálás címkére beállítási beállításai nem érhetők el a konfigurációhoz.
    • Útvonaltábla társítása: A legördülő listában kiválaszthatja a társítani kívánt útvonaltáblát.
    • Propagálás címkékre: A címkék az útvonaltáblák logikai csoportja. Ehhez a beállításhoz válassza ki a legördülő menüt.
    • Statikus útvonalak: Szükség esetén konfigurálja a statikus útvonalakat. Konfigurálja a hálózati virtuális berendezések statikus útvonalait (ha van ilyen). A Virtual WAN egyetlen következő ugrási IP-címet támogat a virtuális hálózati kapcsolat statikus útvonalához. Ha például külön virtuális berendezéssel rendelkezik a bejövő és kimenő forgalom áramlásához, a legjobb, ha a virtuális berendezéseket külön virtuális hálózatokban használja, és csatolja a virtuális hálózatokat a virtuális központhoz.
    • Megkerülheti a következő ugrási IP-címet a virtuális hálózaton belüli számítási feladatokhoz: Ez a beállítás lehetővé teszi, hogy az NVA-kat és más számítási feladatokat ugyanabba a virtuális hálózatba telepítse anélkül, hogy az összes forgalmat az NVA-n keresztül kényszeríti. Ez a beállítás csak új kapcsolat konfigurálásakor konfigurálható. Ha ezt a beállítást egy már létrehozott kapcsolathoz szeretné használni, törölje a kapcsolatot, majd vegyen fel egy új kapcsolatot.
    • Statikus útvonal propagálása: Ez a beállítás jelenleg ki van állítva. Ez a beállítás lehetővé teszi a Statikus útvonalak szakaszban meghatározott statikus útvonalak propagálását a Propagálás útvonaltáblákra való átirányításához. Emellett az útvonalak propagálása olyan táblákra is megtörténik, amelyek címkéi propagálásként vannak megadva a címkékre. Ezek az útvonalak az alapértelmezett 0/0 útvonal kivételével terjeszthetők a központon keresztül. Ez a funkció a bevezetés folyamatában van. Ha engedélyezni szeretné ezt a funkciót, forduljon a vwanpm@microsoft.com

  4. Miután befejezte a konfigurálni kívánt beállításokat, kattintson a Létrehozás gombra a kapcsolat létrehozásához.

Felhasználói VPN-profil letöltése

A VPN-ügyfelek összes szükséges konfigurációs beállítását egy VPN-ügyfél konfigurációs zip-fájlja tartalmazza. A zip-fájl beállításai megkönnyítik a VPN-ügyfelek konfigurálását. A létrehozott VPN-ügyfélkonfigurációs fájlok az átjáró felhasználói VPN-konfigurációjához tartoznak. Letöltheti a globális (WAN-szintű) profilokat, vagy egy adott központ profilját. További információkért és további utasításokért tekintse meg a globális és a központi profilok letöltését ismertető cikket. Az alábbi lépések végigvezetik egy globális WAN-szintű profil letöltésén.

  1. WAN-szintű globális profilú VPN-ügyfélkonfigurációs csomag létrehozásához nyissa meg a virtuális WAN-t (nem a virtuális központot).

  2. A bal oldali panelen válassza a Felhasználói VPN-konfigurációk lehetőséget.

  3. Válassza ki azt a konfigurációt, amelyhez le szeretné tölteni a profilt. Ha több hub van hozzárendelve ugyanahhoz a profilhoz, bontsa ki a profilt a hubok megjelenítéséhez, majd válassza ki a profilt használó központokat.

  4. Válassza a Virtual WAN felhasználói VPN-profil letöltése lehetőséget.

  5. A letöltési lapon válassza az EAPTLS, majd a Profil létrehozása és letöltése lehetőséget. Létrejön egy profilcsomag (zip-fájl), amely tartalmazza az ügyfélkonfigurációs beállításokat, és letölti a számítógépet. A csomag tartalma a konfiguráció hitelesítési és alagútválasztási lehetőségeitől függ.

Felhasználói VPN-ügyfelek konfigurálása

Minden csatlakozó számítógépen telepítve kell lennie egy ügyfélnek. Az egyes ügyfeleket az előző lépésekben letöltött VPN-felhasználói ügyfélprofil-fájlokkal konfigurálhatja. Használja a csatlakoztatni kívánt operációs rendszerre vonatkozó cikket.

MacOS VPN-ügyfelek konfigurálása (előzetes verzió)

A macOS-ügyfél utasításait lásd : VPN-ügyfél konfigurálása – macOS (előzetes verzió).

Windows VPN-ügyfelek konfigurálása

  1. Töltse le az Azure VPN-ügyfél telepítési fájljainak legújabb verzióját az alábbi hivatkozások egyikével:

  2. Telepítse az Azure VPN-ügyfelet minden számítógépre.

  3. Ellenőrizze, hogy az Azure VPN-ügyfél rendelkezik-e engedéllyel a háttérben való futtatásra. A lépésekért tekintse meg a Windows háttéralkalmazásait.

  4. A telepített ügyfélverzió ellenőrzéséhez nyissa meg az Azure VPN-ügyfelet. Lépjen az ügyfél aljára, és kattintson a ... -> ? Súgó. A jobb oldali panelen láthatja az ügyfél verziószámát.

VPN-ügyfélprofil importálása (Windows)

  1. A lapon válassza az Importálás lehetőséget.

    Képernyőkép az importálási oldalról.

  2. Tallózással keresse meg a profil xml-fájlja, és válassza ki. Ha a fájl ki van jelölve, válassza a Megnyitás lehetőséget.

    Képernyőkép egy Megnyitás párbeszédpanelről, ahol kiválaszthat egy fájlt.

  3. Adja meg a profil nevét, és válassza a Mentés lehetőséget.

    Képernyőkép a hozzáadott Csatlakozás ion-névről és a Kijelölt Mentés gombról.

  4. Válassza Csatlakozás a VPN-hez való csatlakozáshoz.

    Képernyőkép az imént létrehozott kapcsolat Csatlakozás gombjáról.

  5. Miután csatlakozott, az ikon zöldre vált, és azt mondja, Csatlakozás.

    Képernyőkép egy Csatlakozás állapotban lévő kapcsolatról a kapcsolat bontásának lehetőségével.

Ügyfélprofil törlése – Windows

  1. Válassza ki a törölni kívánt ügyfélprofil melletti három pontot (...). Ezután válassza az Eltávolítás lehetőséget.

    Képernyőkép: A menüből kijelölt eltávolítás.

  2. Kattintson az Eltávolítás gombra a törléshez.

    Képernyőkép egy megerősítést kérő párbeszédpanelről, amelyen az Eltávolítás vagy a Mégse lehetőség látható.

Csatlakozási problémák diagnosztizálása – Windows

  1. A kapcsolati problémák diagnosztizálásához használhatja a Diagnosztikai eszközt. Válassza ki a diagnosztizálni kívánt VPN-kapcsolat melletti három pontot (...) a menü megjelenítéséhez. Ezután válassza a Diagnosztizálás lehetőséget.

    Képernyőkép a menüből kiválasztott Diagnosztizálás beállításról.

  2. A Csatlakozás ion Tulajdonságok lapján válassza a Diagnosztika futtatása lehetőséget.

    Képernyőkép egy kapcsolat Diagnosztikák futtatása gombjáról.

  3. Jelentkezzen be a hitelesítő adataival.

    A művelet bejelentkezési párbeszédpaneljének képernyőképe.

  4. A diagnózis eredményeinek megtekintése.

    Képernyőkép a diagnózis eredményeiről.

A virtuális WAN megtekintése

  1. Lépjen a virtuális WAN-ra.
  2. Az Áttekintés lapon a térképen látható pontok mindegyike egy elosztót jelöl.
  3. Az elosztók és kapcsolatok szakaszában láthatja az elosztók állapotát, helyét, régióját, VPN-kapcsolati állapotát, valamint a bájtban kifejezett be- és kimenő forgalmát.

Az erőforrások eltávolítása

Ha már nincs szüksége a létrehozott erőforrásokra, törölje őket. A Virtual WAN egyes erőforrásait függőségek miatt bizonyos sorrendben törölni kell. A törlés nagyjából 30 percet vesz igénybe.

  1. Nyissa meg a létrehozott virtuális WAN-t.

  2. Válassza ki a virtuális WAN-hoz társított virtuális központot a központ oldalának megnyitásához.

  3. Törölje az összes átjáró-entitást az egyes átjárótípusokhoz tartozó alábbi sorrend szerint. Ez 30 percet is igénybe vehet.

    VPN:

    • VPN-webhelyek leválasztása
    • VPN-kapcsolatok törlése
    • VPN-átjárók törlése

    ExpressRoute:

    • ExpressRoute-kapcsolatok törlése
    • ExpressRoute-átjárók törlése

  4. Ismételje meg az ismétlést a virtuális WAN-hoz társított összes központ esetében.

  5. Ezen a ponton törölheti a központokat, vagy az erőforráscsoport törlésekor később törölheti a központokat.

  6. Lépjen az Azure Portal erőforráscsoportjához.

  7. Válassza az Erőforráscsoport törlése elemet. Ez törli az erőforráscsoport többi erőforrását, beleértve a központokat és a virtuális WAN-t is.

Következő lépések

A Virtual WAN-nal kapcsolatos gyakori kérdésekért tekintse meg a Virtual WAN gyakori kérdéseit.