A felhasználói VPN (pont–hely) fogalmai

Az alábbi cikk a Virtual WAN felhasználói VPN pont–hely (P2S) konfigurációihoz és átjáróihoz kapcsolódó fogalmakat és ügyfél által konfigurálható beállításokat ismerteti. Ez a cikk több szakaszra van felosztva, beleértve a P2S VPN-kiszolgáló konfigurációs fogalmait és a P2S VPN Gateway-fogalmakat ismertető szakaszokat.

A VPN-kiszolgáló konfigurációs fogalmai

A VPN-kiszolgáló konfigurációi határozzák meg a felhasználók hitelesítéséhez, ip-címek hozzárendeléséhez és a forgalom titkosításához használt hitelesítési, titkosítási és felhasználói csoportparamétereket. A P2S-átjárók a P2S VPN-kiszolgáló konfigurációihoz vannak társítva.

Általános fogalmak

Fogalom Leírás Jegyzetek
Alagút típusa A P2S VPN-átjáró és a csatlakozó felhasználók között használt protokoll(ok). Elérhető paraméterek: IKEv2, OpenVPN vagy mindkettő. IKEv2-kiszolgálókonfigurációk esetén csak RADIUS- és tanúsítványalapú hitelesítés érhető el. Nyílt VPN-kiszolgálókonfigurációk esetén a RADIUS, a tanúsítványalapú és az Azure Active Directory-alapú hitelesítés érhető el. Emellett ugyanazon a kiszolgálókonfiguráción (például a tanúsítványon és a RADIUS-on ugyanazon a konfiguráción) több hitelesítési módszer is csak az OpenVPN-hez támogatott. Az IKEv2 protokollszintű korlátja 255 útvonal, míg az OpenVPN-nek 1000 útvonalkorlátja van.
Egyéni IPsec-paraméterek A P2S VPN-átjáró által az IKEv2-t használó átjárók titkosítási paraméterei. Az elérhető paraméterekért lásd: Pont–hely VPN egyéni IPsec-paraméterei. Ez a paraméter nem vonatkozik az OpenVPN-hitelesítést használó átjárókra.

Az Azure-tanúsítványhitelesítés fogalmai

Az alábbi fogalmak a tanúsítványalapú hitelesítést használó kiszolgálókonfigurációkhoz kapcsolódnak.

Fogalom Leírás Jegyzetek
Főtanúsítvány neve Az Azure által az ügyfél főtanúsítványainak azonosítására használt név. Bármilyen névre konfigurálható. Több főtanúsítvánnyal is rendelkezhet.
Nyilvános tanúsítványadatok Főtanúsítvány(ok), amelyekből az ügyféltanúsítványok ki vannak adva. Adja meg a főtanúsítvány nyilvános adatainak megfelelő sztringet. A főtanúsítvány nyilvános adatainak lekérésére példaként tekintse meg a tanúsítványok létrehozásával kapcsolatos alábbi dokumentum 8. lépését.
Visszavont tanúsítvány Az Azure által a visszavonandó tanúsítványok azonosítására használt név. Bármilyen névre konfigurálható.
Visszavont tanúsítvány ujjlenyomata Azon végfelhasználói tanúsítvány(ok) ujjlenyomata, amelyeknek nem kellene tudniuk csatlakozni az átjáróhoz. A paraméter bemenete egy vagy több tanúsítvány ujjlenyomata. Minden felhasználói tanúsítványt külön-külön kell visszavonni. A köztes vagy főtanúsítvány visszavonása nem vonja vissza automatikusan az összes gyermektanúsítványt.

RADIUS-hitelesítési fogalmak

Ha egy P2S VPN-átjáró RADIUS-alapú hitelesítés használatára van konfigurálva, a P2S VPN-átjáró hálózati házirend-kiszolgálói (NPS-) proxyként működik a hitelesítési kérelmeknek az ügyfél RADIUS-kiszolgáló(ok) felé történő továbbításához. Az átjárók egy vagy két RADIUS-elemet használhatnak a hitelesítési kérések feldolgozásához. A hitelesítési kérések automatikusan terheléselosztást kapnak a RADIUS-kiszolgálók között, ha több van megadva.

Fogalom Leírás Jegyzetek
Elsődleges kiszolgáló titkos kódja Az ügyfél elsődleges RADIUS-kiszolgálóján konfigurált kiszolgálói titkos kód, amelyet a RADIUS-protokoll titkosításra használ. Bármely megosztott titkos kód sztringje.
Elsődleges kiszolgáló IP-címe A RADIUS-kiszolgáló privát IP-címe Ennek az IP-címnek a virtuális központ által elérhető privát IP-címnek kell lennie. Győződjön meg arról, hogy a RADIUS-kiszolgálót futtató kapcsolat az átjáróval a központ defaultRouteTable-jára propagálja.
Másodlagos kiszolgáló titkos kódja A második RADIUS-kiszolgálón konfigurált kiszolgálói titkos kód, amelyet a RADIUS-protokoll titkosításra használ. Bármely megadott megosztott titkoskód-sztring.
Másodlagos kiszolgáló IP-címe A RADIUS-kiszolgáló privát IP-címe Ennek az IP-címnek a virtuális központ által elérhető privát IP-címnek kell lennie. Győződjön meg arról, hogy a RADIUS-kiszolgálót futtató kapcsolat az átjáróval a központ defaultRouteTable-jára propagálja.
RADIUS-kiszolgáló főtanúsítványa A RADIUS-kiszolgáló főtanúsítványának nyilvános adatai. A mező nem kötelező. Adja meg a RADIUS főtanúsítvány nyilvános adatainak megfelelő sztring(ek)et. Több főtanúsítványt is megadhat. A hitelesítéshez bemutatott összes ügyféltanúsítványt a megadott főtanúsítványokból kell kiállítani. A tanúsítvány nyilvános adatainak lekérésére példaként tekintse meg a tanúsítványok létrehozásával kapcsolatos alábbi dokumentum 8. lépését.
Visszavont ügyféltanúsítványok Visszavont RADIUS-ügyféltanúsítványok ujjlenyomata(i). A visszavont tanúsítványokat bemutató ügyfelek nem tudnak csatlakozni. A mező nem kötelező. Minden felhasználói tanúsítványt külön-külön kell visszavonni. A köztes vagy főtanúsítvány visszavonása nem vonja vissza automatikusan az összes gyermektanúsítványt.

Az Azure Active Directory hitelesítési fogalmai

Az alábbi fogalmak az Azure Active Directory-alapú hitelesítést használó kiszolgálókonfigurációkhoz kapcsolódnak. Az Azure Active Directory-alapú hitelesítés csak akkor érhető el, ha az alagút típusa OpenVPN.

Fogalom Description Elérhető paraméterek
Célközönség A Azure AD-bérlőben regisztrált Azure VPN Enterprise-alkalmazás alkalmazásazonosítója. Az Azure VPN-alkalmazás bérlőben való regisztrálásával és az alkalmazásazonosító megkeresésével kapcsolatos további információkért lásd: Bérlő konfigurálása P2S-felhasználó VPN OpenVPN protokollkapcsolataihoz
Kiállító Az Active Directoryhoz társított biztonsági jogkivonat-szolgáltatásnak (STS) megfelelő teljes URL-cím. Sztring a következő formátumban: https://sts.windows.net/<your Directory ID>/
Azure Active Directory-bérlő Az átjáró hitelesítéséhez használt Active Directory-bérlő teljes URL-címe. Attól függően változik, hogy az Active Directory-bérlő melyik felhőben van üzembe helyezve. A felhőnkénti részletekért lásd alább.

Az Azure AD-bérlő azonosítója

Az alábbi táblázat az Azure Active Directory URL-cím formátumát ismerteti annak alapján, hogy melyik felhőben van üzembe helyezve az Azure Active Directory.

Felhőbeli Paraméterformátum
Nyilvános Azure-felhő https://login.microsoftonline.com/{AzureAD TenantID}
Azure Government Felhő https://login.microsoftonline.us/{AzureAD TenantID}
Kína 21Vianet Cloud https://login.chinacloudapi.cn/{AzureAD TenantID}

A felhasználói csoportok (többkészletes) fogalmai

A Virtual WAN felhasználói csoportjaival (többkészletes) kapcsolatos alábbi fogalmak. A felhasználói csoportok lehetővé teszik, hogy különböző IP-címeket rendeljen a felhasználókhoz a hitelesítő adataik alapján, így Access Control listákat (ACL-eket) és tűzfalszabályokat konfigurálhat a számítási feladatok védelméhez. További információkért és példákért lásd a többkészletes fogalmakat.

A kiszolgáló konfigurációja tartalmazza a csoportok definícióit, majd a csoportokat az átjárókon használják a kiszolgáló konfigurációs csoportjainak IP-címekre való leképezéséhez.

Fogalom Leírás Jegyzetek
Felhasználói csoport/szabályzatcsoport A felhasználói csoport vagy szabályzatcsoport olyan felhasználói csoport logikai ábrázolása, amelyet ugyanabból a címkészletből kell IP-címeket hozzárendelni. További információt a felhasználói csoportokról szóló cikkben talál.
Alapértelmezett csoport Amikor a felhasználók a felhasználói csoport funkcióval próbálnak csatlakozni egy átjáróhoz, a rendszer automatikusan az alapértelmezett csoporthoz tartozónak tekinti azokat a felhasználókat, akik nem egyeznek meg az átjáróhoz rendelt csoporttal, és hozzárendelnek egy, a csoporthoz társított IP-címet. A kiszolgálókonfigurációban minden csoport megadható alapértelmezett csoportként vagy nem alapértelmezett csoportként, és ez a beállítás nem módosítható a csoport létrehozása után. Pontosan egy alapértelmezett csoport rendelhető hozzá minden P2S VPN-átjáróhoz, még akkor is, ha a hozzárendelt kiszolgáló konfigurációja több alapértelmezett csoporttal rendelkezik.
Csoport prioritása Ha több csoport van hozzárendelve egy átjáróhoz, a csatlakozó felhasználó több csoportnak megfelelő hitelesítő adatokat jeleníthet meg. Virtual WAN az átjáróhoz rendelt csoportokat növekvő prioritási sorrendben dolgozza fel. A prioritások pozitív egész számok, és az alacsonyabb numerikus prioritású csoportok feldolgozása történik meg először. Minden csoportnak külön prioritással kell rendelkeznie.
Csoportbeállítások/tagok A felhasználói csoportok tagokból állnak. A tagok nem felelnek meg az egyes felhasználóknak, hanem meg kell határozniuk azokat a feltétel(ek)et, amelyek alapján meghatározható, hogy a csatlakozó felhasználó melyik csoport tagja. Miután hozzárendelt egy csoportot egy átjáróhoz, a csatlakozást végző felhasználó, akinek a hitelesítő adatai megfelelnek a csoport egyik tagjához megadott feltételeknek, a csoport részét képezi, és hozzárendelhető egy megfelelő IP-címhez. Az elérhető feltételek teljes listájáért tekintse meg az elérhető csoportbeállításokat.

Átjárókonfigurációs fogalmak

A következő szakaszok a P2S VPN-átjáróval kapcsolatos fogalmakat ismertetik. Minden átjáró egy VPN-kiszolgáló konfigurációjával van társítva, és számos más konfigurálható lehetőséggel is rendelkezik.

Az átjárók általános fogalmai

Fogalom Leírás Jegyzetek
Átjáró skálázási egysége Az átjáró-skálázási egység határozza meg, hogy egy P2S VPN-átjáró mennyi összesített átviteli sebességet és egyidejű felhasználókat támogathat. Az átjáró skálázási egységei 1–200 közöttiek lehetnek, és átjárónként 500–100 000 felhasználót támogatnak.
P2S-kiszolgáló konfigurálása Meghatározza a P2S VPN-átjáró által a bejövő felhasználók hitelesítéséhez használt hitelesítési paramétereket. Az Virtual WAN-átjáróhoz társított P2S-kiszolgáló konfigurációja. A kiszolgálókonfigurációt sikeresen létre kell hozni ahhoz, hogy az átjáró hivatkozzon rá.
Útválasztási beállítás Lehetővé teszi az Azure és az internet közötti forgalom útvonalának kiválasztását. Dönthet úgy, hogy a forgalmat a Microsoft hálózatán vagy az ISP-hálózaton (nyilvános hálózaton) keresztül irányítja. További információ erről a beállításról: Mi az útválasztási beállítás? Ez a beállítás az átjáró létrehozása után nem módosítható.
Egyéni DNS-kiszolgálók A felhasználókat összekötő DNS-kiszolgáló(k) IP-címeinek továbbítaniuk kell a DNS-kéréseket. Bármely irányítható IP-cím.
Alapértelmezett útvonal propagálása Ha a Virtual WAN hub 0.0.0.0/0 alapértelmezett útvonallal van konfigurálva (statikus útvonal az alapértelmezett útvonaltáblában vagy a helyszíni 0.0.0.0/0, akkor ez a beállítás azt szabályozza, hogy a 0.0.0.0/0 útvonal legyen-e meghirdetve a csatlakozó felhasználók számára. Ez a mező true (igaz) vagy false (hamis) értékre állítható.

RADIUS-specifikus fogalmak

Fogalom Leírás Jegyzetek
Távoli/helyszíni RADIUS-kiszolgáló beállításainak használata Azt szabályozza, hogy Virtual WAN továbbíthatják-e a RADIUS-hitelesítési csomagokat a helyszínen vagy egy másik virtuális központhoz csatlakoztatott Virtual Network üzemeltetett RADIUS-kiszolgálókra. Ez a beállítás két értékkel rendelkezik: igaz vagy hamis. Ha Virtual WAN RADIUS-alapú hitelesítés használatára van konfigurálva, Virtual WAN P2S-átjáró RADIUS-proxyként szolgál, amely hitelesítési kéréseket küld a RADIUS-átjáróknak. Ez a beállítás (ha igaz) lehetővé teszi, hogy Virtual WAN átjáró kommunikáljon a helyszínen vagy egy másik központhoz csatlakoztatott Virtual Network üzembe helyezett RADIUS-kiszolgálókkal. Ha hamis, a Virtual WAN csak az átjáróval a központhoz csatlakoztatott virtuális hálózatokban üzemeltetett RADIUS-kiszolgálókon lehet hitelesíteni.
RADIUS-proxy IP-címei A P2S VPN-átjáró által a RADIUS-kiszolgálónak küldött RADIUS-hitelesítési csomagok forrás IP-címeit a RADIUS-proxy IP-címe határozza meg. Ezeknek az IP-címeknek RADIUS-ügyfelekként kell szerepelniük a RADIUS-kiszolgálón. Ez a paraméter nem konfigurálható közvetlenül. Ha a "Távoli/helyszíni RADIUS-kiszolgáló használata" beállítás true (igaz) értékre van állítva, a RADIUS-proxy IP-címei automatikusan IP-címként vannak konfigurálva az átjárón megadott ügyfélcímkészletekből. Ha ez a beállítás hamis, az IP-címek a központi címtérből származó IP-címek. A RADIUS-proxy IP-címei a P2S VPN-átjáró oldalán található Azure Portal.

Kapcsolatkonfigurációs fogalmak

A P2S VPN-átjárón egy vagy több kapcsolatkonfiguráció is lehet. Minden kapcsolatkonfiguráció rendelkezik útválasztási konfigurációval (lásd alább a kikötéseket), és a felhasználók egy csoportját vagy szegmensét jelöli, amelyek ugyanabból a címkészletből kapnak IP-címeket.

Fogalom Leírás Jegyzetek
Konfiguráció neve P2S VPN-konfiguráció neve Bármilyen nevet megadhat. Ha a felhasználói csoportokat/többkészletes funkciót használja, több kapcsolatkonfigurációt is használhat egy átjárón. Ha nem használja ezt a funkciót, átjárónként csak egy konfiguráció lehet.
Felhasználói csoportok Konfigurációnak megfelelő felhasználói csoportok A VPN-kiszolgáló konfigurációjában hivatkozott felhasználói csoportok. Ezt a paramétert nem kötelező megadni. További információt a felhasználói csoportokról szóló cikkben talál.
Címkészletek A címkészletek olyan magánhálózati IP-címek, amelyek összekapcsolják a felhasználókat. A címkészletek bármely OLYAN CIDR-blokkként megadhatóak, amely nem fedi át a virtuális központ címtereit, az Virtual WAN csatlakoztatott virtuális hálózatokban használt IP-címeket, vagy a helyszínen meghirdetett címeket. Az átjárón megadott skálázási egységtől függően több CIDR-blokkra is szükség lehet. További információt a címkészletekről szóló cikkben talál.
Útválasztási konfiguráció A Virtuális központhoz való minden kapcsolat rendelkezik egy útválasztási konfigurációval, amely meghatározza, hogy melyik útválasztási táblához van társítva a kapcsolat, és mely útválasztási táblákra propagálja az útválasztási táblázatot. Az ugyanahhoz a központhoz (ExpressRoute, VPN, NVA) tartozó összes ágkapcsolatnak társítva kell lennie a defaultRouteTable táblához, és ugyanarra az útválasztási táblázatkészletre kell propagálást végeznie. Az ágak közötti kapcsolatok eltérő propagálása váratlan útválasztási viselkedést eredményezhet, mivel Virtual WAN kiválasztja az egyik ág útválasztási konfigurációját, és alkalmazza azt az összes ágra, és így a helyszínen tanult útvonalakra.

Következő lépések

A következő lépésekhez hivatkozásokat adhat hozzá néhány cikkhez.