Konfigurowanie grup użytkowników i pul adresów IP dla sieci VPN użytkowników P2S
Sieci VPN użytkownika P2S zapewniają możliwość przypisywania adresów IP użytkowników z określonych pul adresów na podstawie ich tożsamości lub poświadczeń uwierzytelniania przez utworzenie grup użytkowników. Ten artykuł ułatwia konfigurowanie grup użytkowników, członków grupy i określania priorytetów grup. Aby uzyskać więcej informacji na temat pracy z grupami użytkowników, zobacz About user groups (Informacje o grupach użytkowników).
Wymagania wstępne
Przed rozpoczęciem upewnij się, że skonfigurowano wirtualną sieć WAN, która używa co najmniej jednej metody uwierzytelniania. Aby uzyskać instrukcje, zobacz Samouczek: tworzenie połączenia P2S użytkownika wirtualnej sieci WAN.
Przepływ pracy
W tym artykule użyto następującego przepływu pracy, aby ułatwić konfigurowanie grup użytkowników i pul adresów IP dla połączenia sieci VPN punkt-lokacja.
Rozważ wymagania dotyczące konfiguracji
Wybieranie mechanizmu uwierzytelniania
Tworzenie grupy użytkowników
Konfigurowanie ustawień bramy
Krok 1. Rozważ wymagania dotyczące konfiguracji
W tej sekcji wymieniono wymagania dotyczące konfiguracji i ograniczenia dotyczące grup użytkowników i pul adresów IP.
Maksymalna liczba grup: pojedyncza brama sieci VPN P2S może odwoływać się do 90 grup.
Maksymalna liczba członków: całkowita liczba członków zasad/grup we wszystkich grupach przypisanych do bramy wynosi 390.
Wiele przypisań: jeśli grupa jest przypisana do wielu konfiguracji połączeń w tej samej bramie, i jej składowe są liczone wiele razy. Przykład: grupa zasad z 10 członkami przypisanymi do trzech konfiguracji połączenia sieci VPN liczy się jako trzy grupy z 30 członkami, a nie jedną grupą z 10 członkami.
Użytkownicy współbieżni: łączna liczba współbieżnych użytkowników jest określana przez jednostkę skalowania bramy i liczbę adresów IP przydzielonych do każdej grupy użytkowników. Nie jest określana przez liczbę członków zasad/grupy skojarzonych z bramą.
Po utworzeniu grupy w ramach konfiguracji serwera sieci VPN nie można zmodyfikować nazwy i domyślnego ustawienia grupy.
Nazwy grup powinny być unikatowe.
Grupy, które mają niższy priorytet liczbowy, są przetwarzane przed grupami z wyższym priorytetem liczbowym. Jeśli użytkownik łączący jest członkiem wielu grup, brama uzna je za członka grupy o niższym priorytecie liczbowym na potrzeby przypisywania adresów IP.
Nie można usunąć grup używanych przez istniejące bramy sieci VPN typu punkt-lokacja.
Priorytety grup można zmienić, klikając przyciski strzałki w górę w dół odpowiadające tej grupie.
Pule adresów nie mogą nakładać się na pule adresów używane w innych konfiguracjach połączeń (tych samych lub różnych bram) w tej samej wirtualnej sieci WAN.
Pule adresów nie mogą również nakładać się na przestrzenie adresowe sieci wirtualnej, przestrzenie adresowe koncentratora wirtualnego ani adresy lokalne.
Pule adresów nie mogą być mniejsze niż /24. Na przykład nie można przypisać zakresu /25 lub /26.
Krok 2. Wybieranie mechanizmu uwierzytelniania
W poniższych sekcjach wymieniono dostępne mechanizmy uwierzytelniania, których można użyć podczas tworzenia grup użytkowników.
Grupy Microsoft Entra
Aby utworzyć grupy usługi Active Directory i zarządzać nimi, zobacz Zarządzanie grupami i członkostwem w grupach firmy Microsoft.
- Identyfikator obiektu grupy Entra firmy Microsoft (a nie nazwa grupy) należy określić jako część konfiguracji sieci VPN użytkownika usługi Virtual WAN typu punkt-lokacja.
- Użytkownicy firmy Microsoft Entra mogą być częścią wielu grup usługi Active Directory, ale usługa Virtual WAN uważa użytkowników za część grupy użytkowników/zasad usługi Virtual WAN, która ma najniższy priorytet liczbowy.
RADIUS — atrybuty specyficzne dla dostawcy serwera NPS
Aby uzyskać informacje o konfiguracji atrybutów specyficznych dla dostawcy (NPS) serwera zasad sieciowych, zobacz RADIUS — konfigurowanie serwera NPS dla atrybutów specyficznych dla dostawcy.
Certyfikaty
Aby wygenerować certyfikaty z podpisem własnym, zobacz Generowanie i eksportowanie certyfikatów dla połączeń punkt-lokacja sieci VPN użytkownika: PowerShell. Aby wygenerować certyfikat o określonej nazwie pospolitej, zmień parametr Temat na odpowiednią wartość (na przykład xx@domain.com) podczas uruchamiania New-SelfSignedCertificate
polecenia programu PowerShell. Można na przykład wygenerować certyfikaty z następującym tematem:
Pole certyfikatu cyfrowego | Wartość | opis |
---|---|---|
Temat | CN = cert@marketing.contoso.com | certyfikat cyfrowy dla działu marketingu |
Temat | CN = cert@sale.contoso.com | certyfikat cyfrowy dla działu sprzedaży |
Temat | CN = cert@engineering.contoso.com | certyfikat cyfrowy dla działu inżynierii |
Temat | CN = cert@finance.contoso.com | certyfikat cyfrowy dla działu finansowego |
Uwaga
Funkcja wielu puli adresów z uwierzytelnianiem certyfikatu cyfrowego ma zastosowanie do określonej grupy użytkowników na podstawie pola Podmiot . Kryteria wyboru nie działają z certyfikatami alternatywnej nazwy podmiotu (SAN).
Krok 3. Tworzenie grupy użytkowników
Wykonaj poniższe kroki, aby utworzyć grupę użytkowników.
W witrynie Azure Portal przejdź do strony Konfiguracje sieci VPN użytkownika usługi Virtual WAN>.
Na stronie Konfiguracje sieci VPN użytkownika wybierz konfigurację sieci VPN użytkownika, którą chcesz edytować, a następnie wybierz pozycję Edytuj konfigurację.
Na stronie Edytowanie konfiguracji sieci VPN użytkownika otwórz kartę Grupy użytkowników.
Wybierz pozycję Tak , aby włączyć grupy użytkowników. Po przypisaniu tej konfiguracji serwera do bramy sieci VPN typu punkt-lokacja użytkownicy, którzy są częścią tych samych grup użytkowników, są przypisywani adresy IP z tych samych pul adresów. Użytkownicy, którzy są częścią różnych grup, mają przypisane adresy IP z różnych grup. W przypadku korzystania z tej funkcji należy wybrać grupę domyślną dla jednej z utworzonych grup.
Aby rozpocząć tworzenie nowej grupy użytkowników, wypełnij parametr name nazwą pierwszej grupy.
Obok pozycji Nazwa grupy wybierz pozycję Konfiguruj grupę, aby otworzyć stronę Konfigurowanie ustawień grupy.
Na stronie Konfigurowanie ustawień grupy wypełnij wartości dla każdego elementu członkowskiego, który chcesz uwzględnić w tej grupie. Grupa może zawierać wielu członków grupy.
Utwórz nowy element członkowski, wypełniając pole Nazwa .
Wybierz pozycję Uwierzytelnianie: Typ ustawienia z listy rozwijanej. Lista rozwijana jest wypełniana automatycznie na podstawie wybranych metod uwierzytelniania dla konfiguracji sieci VPN użytkownika.
Wpisz wartość. Aby uzyskać prawidłowe wartości, zobacz About user groups (Informacje o grupach użytkowników).
Po zakończeniu tworzenia ustawień dla grupy wybierz pozycję Dodaj i ok.
Utwórz wszystkie dodatkowe grupy.
Wybierz co najmniej jedną grupę jako domyślną. Użytkownicy, którzy nie są częścią żadnej grupy określonej w bramie, zostaną przypisani do grupy domyślnej w bramie. Pamiętaj również, że po utworzeniu grupy nie można zmodyfikować stanu "domyślnego".
Wybierz strzałki, aby dostosować kolejność priorytetu grupy.
Wybierz pozycję Przejrzyj i utwórz , aby utworzyć i skonfigurować. Po utworzeniu konfiguracji sieci VPN użytkownika skonfiguruj ustawienia konfiguracji serwera bramy, aby korzystały z funkcji grup użytkowników.
Krok 4. Konfigurowanie ustawień bramy
W portalu przejdź do koncentratora wirtualnego i wybierz pozycję Sieć VPN użytkownika (punkt-lokacja).
Na stronie punkt-lokacja wybierz link Jednostki skalowania bramy, aby otworzyć bramę edytuj bramę sieci VPN użytkownika. Dostosuj wartość jednostek skalowania bramy z listy rozwijanej, aby określić przepływność bramy.
W obszarze Konfiguracja serwera lokacji punkt-lokacja wybierz konfigurację sieci VPN użytkownika skonfigurowaną dla grup użytkowników. Jeśli te ustawienia nie zostały jeszcze skonfigurowane, zobacz Tworzenie grupy użytkowników.
Utwórz nową konfigurację punktu do lokacji, wpisując nową nazwę konfiguracji.
Wybierz co najmniej jedną grupę, która ma być skojarzona z tą konfiguracją. Wszyscy użytkownicy, którzy są częścią grup skojarzonych z tą konfiguracją, zostaną przypisani adresy IP z tych samych pul adresów IP.
We wszystkich konfiguracjach tej bramy należy wybrać dokładnie jedną domyślną grupę użytkowników.
W polu Pule adresów wybierz pozycję Konfiguruj , aby otworzyć stronę Określanie pul adresów . Na tej stronie skojarz nowe pule adresów z tą konfiguracją. Użytkownicy, którzy są członkami grup skojarzonych z tą konfiguracją, zostaną przypisani adresy IP z określonych pul. Na podstawie liczby jednostek skalowania bramy skojarzonych z bramą może być konieczne określenie więcej niż jednej puli adresów. Pule adresów nie mogą być mniejsze niż /24. Na przykład nie można przypisać zakresu /25 lub /26, jeśli chcesz mieć mniejszy zakres puli adresów dla grup użytkowników. Minimalny prefiks to /24. Wybierz pozycję Dodaj i Oky, aby zapisać pule adresów.
Potrzebujesz jednej konfiguracji dla każdego zestawu grup, które powinny być przypisane adresy IP z różnych pul adresów. Powtórz kroki, aby utworzyć więcej konfiguracji. Zobacz Krok 1 , aby uzyskać informacje o wymaganiach i ograniczeniach dotyczących pul adresów i grup.
Po utworzeniu potrzebnych konfiguracji wybierz pozycję Edytuj, a następnie potwierdź , aby zapisać ustawienia.
Rozwiązywanie problemów
- Sprawdź, czy pakiety mają odpowiednie atrybuty?: Narzędzie Wireshark lub inne przechwytywanie pakietów można uruchomić w trybie serwera NPS i odszyfrować pakiety przy użyciu klucza współużytkowanego. Możesz sprawdzić, czy pakiety są wysyłane z serwera RADIUS do bramy sieci VPN typu punkt-lokacja z skonfigurowanym odpowiednim programem VSA usługi RADIUS.
- Czy użytkownicy otrzymują niewłaściwy adres IP?: Skonfiguruj i sprawdź rejestrowanie zdarzeń serwera NPS pod kątem uwierzytelniania, czy użytkownicy są zgodni z zasadami.
- Masz problemy z pulami adresów? Każda pula adresów jest określona w bramie. Pule adresów są podzielone na dwie pule adresów i przypisane do każdego wystąpienia aktywne-aktywne w parze bramy sieci VPN typu punkt-lokacja. Te podzielone adresy powinny być wyświetlane w obowiązującej tabeli tras. Jeśli na przykład określisz "10.0.0.0/24", w obowiązującej tabeli tras powinny być widoczne dwie trasy "/25". Jeśli tak nie jest, spróbuj zmienić pule adresów zdefiniowane w bramie.
- Klient P2S nie może odbierać tras? Upewnij się, że wszystkie konfiguracje połączeń sieci VPN typu punkt-lokacja są skojarzone z domyślną tabeląRouteTable i propagowane do tego samego zestawu tabel tras. Ta opcja powinna zostać skonfigurowana automatycznie, jeśli używasz portalu, ale jeśli używasz interfejsu wiersza polecenia, programu REST, programu PowerShell lub interfejsu wiersza polecenia, upewnij się, że wszystkie propagacje i skojarzenia zostały odpowiednio ustawione.
- Nie można włączyć puli wielopulowej przy użyciu klienta sieci VPN platformy Azure? Jeśli używasz klienta sieci VPN platformy Azure, upewnij się, że klient sieci VPN platformy Azure zainstalowany na urządzeniach użytkowników jest najnowszą wersją. Aby włączyć tę funkcję, należy ponownie pobrać klienta.
- Wszyscy użytkownicy są przypisani do grupy domyślnej? Jeśli używasz uwierzytelniania microsoft Entra, upewnij się, że dane wejściowe adresu URL dzierżawy w konfiguracji
(https://login.microsoftonline.com/<tenant ID>)
serwera nie kończą się na\
. Jeśli adres URL jest wejściowy na końcu\
elementu , brama nie będzie mogła prawidłowo przetworzyć grup użytkowników firmy Microsoft Entra, a wszyscy użytkownicy są przypisani do grupy domyślnej. Aby skorygować, zmodyfikuj konfigurację serwera, aby usunąć końcowe\
i zmodyfikować pule adresów skonfigurowane w bramie, aby zastosować zmiany do bramy. Jest to znany problem. - Próbujesz zaprosić użytkowników zewnętrznych do korzystania z funkcji multipool? Jeśli używasz uwierzytelniania firmy Microsoft Entra i planujesz zapraszać użytkowników zewnętrznych (użytkowników, którzy nie są częścią domeny Microsoft Entra skonfigurowanej w bramie sieci VPN), aby nawiązać połączenie z bramą sieci VPN typu punkt-lokacja usługi Virtual WAN, upewnij się, że typ użytkownika zewnętrznego to "Członek", a nie "Gość". Upewnij się również, że wartość "Nazwa" użytkownika jest ustawiona na adres e-mail użytkownika. Jeśli typ użytkownika i nazwa połączonego użytkownika nie jest poprawnie ustawiona zgodnie z powyższym opisem lub nie można ustawić zewnętrznego elementu członkowskiego jako "Członka" domeny Microsoft Entra, łączący użytkownika jest przypisany do grupy domyślnej i przypisany adres IP z domyślnej puli adresów IP.
Następne kroki
- Aby uzyskać więcej informacji na temat grup użytkowników, zobacz About user groups and IP address pools for P2S User VPN (Informacje o grupach użytkowników i pulach adresów IP dla sieci VPN użytkowników P2S).