Udostępnij za pośrednictwem

Konfigurowanie grup użytkowników i pul adresów IP dla sieci VPN użytkowników P2S

  • Artykuł

Sieci VPN użytkownika P2S zapewniają możliwość przypisywania adresów IP użytkowników z określonych pul adresów na podstawie ich tożsamości lub poświadczeń uwierzytelniania przez utworzenie grup użytkowników. Ten artykuł ułatwia konfigurowanie grup użytkowników, członków grupy i określania priorytetów grup. Aby uzyskać więcej informacji na temat pracy z grupami użytkowników, zobacz About user groups (Informacje o grupach użytkowników).

Wymagania wstępne

Przed rozpoczęciem upewnij się, że skonfigurowano wirtualną sieć WAN, która używa co najmniej jednej metody uwierzytelniania. Aby uzyskać instrukcje, zobacz Samouczek: tworzenie połączenia P2S użytkownika wirtualnej sieci WAN.

Przepływ pracy

W tym artykule użyto następującego przepływu pracy, aby ułatwić konfigurowanie grup użytkowników i pul adresów IP dla połączenia sieci VPN punkt-lokacja.

  1. Rozważ wymagania dotyczące konfiguracji

  2. Wybieranie mechanizmu uwierzytelniania

  3. Tworzenie grupy użytkowników

  4. Konfigurowanie ustawień bramy

Krok 1. Rozważ wymagania dotyczące konfiguracji

W tej sekcji wymieniono wymagania dotyczące konfiguracji i ograniczenia dotyczące grup użytkowników i pul adresów IP.

  • Maksymalna liczba grup, do których można się odwoływać przez pojedynczą bramę sieci VPN typu punkt-lokacja, wynosi 90. Maksymalna liczba członków zasad/grupy (kryteria używane do identyfikowania grupy, której grupy jest częścią) w grupach przypisanych do bramy jest 390. Jeśli jednak grupa jest przypisana do wielu konfiguracji połączeń w tej samej bramie, ta grupa i jej członkowie są liczone wiele razy w kierunku limitów. Jeśli na przykład istnieje grupa zasad z 10 elementami członkowskimi przypisanymi do trzech konfiguracji połączenia sieci VPN w bramie. Ta konfiguracja będzie liczyć jako trzy grupy z 30 całkowitymi członkami, w przeciwieństwie do jednej grupy z 10 członkami. Łączna liczba równoczesnych użytkowników łączących się z bramą jest ograniczona przez jednostkę skalowania bramy oraz liczbę adresów IP przydzielonych do każdej grupy użytkowników, a nie liczbę członków zasad/grup skojarzonych z bramą.

  • Po utworzeniu grupy w ramach konfiguracji serwera sieci VPN nie można zmodyfikować nazwy i domyślnego ustawienia grupy.

  • Nazwy grup powinny być unikatowe.

  • Grupy, które mają niższy priorytet liczbowy, są przetwarzane przed grupami z wyższym priorytetem liczbowym. Jeśli użytkownik łączący jest członkiem wielu grup, brama uzna je za członka grupy o niższym priorytecie liczbowym na potrzeby przypisywania adresów IP.

  • Nie można usunąć grup używanych przez istniejące bramy sieci VPN typu punkt-lokacja.

  • Priorytety grup można zmienić, klikając przyciski strzałki w górę w dół odpowiadające tej grupie.

  • Pule adresów nie mogą nakładać się na pule adresów używane w innych konfiguracjach połączeń (tych samych lub różnych bram) w tej samej wirtualnej sieci WAN.

  • Pule adresów nie mogą również nakładać się na przestrzenie adresowe sieci wirtualnej, przestrzenie adresowe koncentratora wirtualnego ani adresy lokalne.

  • Pule adresów nie mogą być mniejsze niż /24. Na przykład nie można przypisać zakresu /25 lub /26.

Krok 2. Wybieranie mechanizmu uwierzytelniania

W poniższych sekcjach wymieniono dostępne mechanizmy uwierzytelniania, których można użyć podczas tworzenia grup użytkowników.

Grupy Microsoft Entra

Aby utworzyć grupy usługi Active Directory i zarządzać nimi, zobacz Zarządzanie grupami i członkostwem w grupach firmy Microsoft.

  • Identyfikator obiektu grupy Entra firmy Microsoft (a nie nazwa grupy) należy określić jako część konfiguracji sieci VPN użytkownika usługi Virtual WAN typu punkt-lokacja.
  • Użytkownicy firmy Microsoft Entra mogą być częścią wielu grup usługi Active Directory, ale usługa Virtual WAN uważa użytkowników za część grupy użytkowników/zasad usługi Virtual WAN, która ma najniższy priorytet liczbowy.

RADIUS — atrybuty specyficzne dla dostawcy serwera NPS

Aby uzyskać informacje o konfiguracji atrybutów specyficznych dla dostawcy (NPS) serwera zasad sieciowych, zobacz RADIUS — konfigurowanie serwera NPS dla atrybutów specyficznych dla dostawcy.

Certyfikaty

Aby wygenerować certyfikaty z podpisem własnym, zobacz Generowanie i eksportowanie certyfikatów dla połączeń punkt-lokacja sieci VPN użytkownika: PowerShell. Aby wygenerować certyfikat o określonej nazwie pospolitej, zmień parametr Temat na odpowiednią wartość (na przykład xx@domain.com) podczas uruchamiania New-SelfSignedCertificate polecenia programu PowerShell.

Krok 3. Tworzenie grupy użytkowników

Wykonaj poniższe kroki, aby utworzyć grupę użytkowników.

  1. W witrynie Azure Portal przejdź do strony Konfiguracje sieci VPN użytkownika usługi Virtual WAN>.

  2. Na stronie Konfiguracje sieci VPN użytkownika wybierz konfigurację sieci VPN użytkownika, którą chcesz edytować, a następnie wybierz pozycję Edytuj konfigurację.

  3. Na stronie Edytowanie konfiguracji sieci VPN użytkownika otwórz kartę Grupy użytkowników.

    Screenshot of enabling User Groups.

  4. Wybierz pozycję Tak , aby włączyć grupy użytkowników. Po przypisaniu tej konfiguracji serwera do bramy sieci VPN typu punkt-lokacja użytkownicy, którzy są częścią tych samych grup użytkowników, są przypisywani adresy IP z tych samych pul adresów. Użytkownicy, którzy są częścią różnych grup, mają przypisane adresy IP z różnych grup. W przypadku korzystania z tej funkcji należy wybrać grupę domyślną dla jednej z utworzonych grup.

  5. Aby rozpocząć tworzenie nowej grupy użytkowników, wypełnij parametr name nazwą pierwszej grupy.

  6. Obok pozycji Nazwa grupy wybierz pozycję Konfiguruj grupę, aby otworzyć stronę Konfigurowanie grupy Ustawienia.

    Screenshot of creating a new group.

  7. Na stronie Konfigurowanie Ustawienia grupy wypełnij wartości dla każdego elementu członkowskiego, który ma zostać uwzględniny w tej grupie. Grupa może zawierać wielu członków grupy.

    • Utwórz nowy element członkowski, wypełniając pole Nazwa .

    • Wybierz pozycję Uwierzytelnianie: Typ ustawienia z listy rozwijanej. Lista rozwijana jest wypełniana automatycznie na podstawie wybranych metod uwierzytelniania dla konfiguracji sieci VPN użytkownika.

    • Wpisz wartość. Aby uzyskać prawidłowe wartości, zobacz About user groups (Informacje o grupach użytkowników).

    Screenshot of configuring values for User Group members.

  8. Po zakończeniu tworzenia ustawień dla grupy wybierz pozycję Dodaj i ok.

  9. Utwórz wszystkie dodatkowe grupy.

  10. Wybierz co najmniej jedną grupę jako domyślną. Użytkownicy, którzy nie są częścią żadnej grupy określonej w bramie, zostaną przypisani do grupy domyślnej w bramie. Pamiętaj również, że po utworzeniu grupy nie można zmodyfikować stanu "domyślnego".

    Screenshot of selecting the default group.

  11. Wybierz strzałki, aby dostosować kolejność priorytetu grupy.

    Screenshot of adjusting the priority order.

  12. Wybierz pozycję Przejrzyj i utwórz , aby utworzyć i skonfigurować. Po utworzeniu konfiguracji sieci VPN użytkownika skonfiguruj ustawienia konfiguracji serwera bramy, aby korzystały z funkcji grup użytkowników.

Krok 4. Konfigurowanie ustawień bramy

  1. W portalu przejdź do koncentratora wirtualnego i wybierz pozycję Sieć VPN użytkownika (punkt-lokacja).

  2. Na stronie punkt-lokacja wybierz link Jednostki skalowania bramy, aby otworzyć bramę edytuj bramę sieci VPN użytkownika. Dostosuj wartość jednostek skalowania bramy z listy rozwijanej, aby określić przepływność bramy.

  3. W obszarze Konfiguracja serwera lokacji punkt-lokacja wybierz konfigurację sieci VPN użytkownika skonfigurowaną dla grup użytkowników. Jeśli te ustawienia nie zostały jeszcze skonfigurowane, zobacz Tworzenie grupy użytkowników.

  4. Utwórz nową konfigurację punktu do lokacji, wpisując nową nazwę konfiguracji.

  5. Wybierz co najmniej jedną grupę, która ma być skojarzona z tą konfiguracją. Wszyscy użytkownicy, którzy są częścią grup skojarzonych z tą konfiguracją, zostaną przypisani adresy IP z tych samych pul adresów IP.

    We wszystkich konfiguracjach tej bramy należy wybrać dokładnie jedną domyślną grupę użytkowników.

    Screenshot of Edit User VPN gateway page with groups selected.

  6. W polu Pule adresów wybierz pozycję Konfiguruj , aby otworzyć stronę Określanie pul adresów . Na tej stronie skojarz nowe pule adresów z tą konfiguracją. Użytkownicy, którzy są członkami grup skojarzonych z tą konfiguracją, zostaną przypisani adresy IP z określonych pul. Na podstawie liczby jednostek skalowania bramy skojarzonych z bramą może być konieczne określenie więcej niż jednej puli adresów. Pule adresów nie mogą być mniejsze niż /24. Na przykład nie można przypisać zakresu /25 lub /26, jeśli chcesz mieć mniejszy zakres puli adresów dla grup użytkowników. Minimalny prefiks to /24. Wybierz pozycję Dodaj i Oky, aby zapisać pule adresów.

    Screenshot of Specify Address Pools page.

  7. Potrzebujesz jednej konfiguracji dla każdego zestawu grup, które powinny być przypisane adresy IP z różnych pul adresów. Powtórz kroki, aby utworzyć więcej konfiguracji. Zobacz Krok 1 , aby uzyskać informacje o wymaganiach i ograniczeniach dotyczących pul adresów i grup.

  8. Po utworzeniu potrzebnych konfiguracji wybierz pozycję Edytuj, a następnie potwierdź , aby zapisać ustawienia.

    Screenshot of Confirm settings.

Rozwiązywanie problemów

  1. Sprawdź, czy pakiety mają odpowiednie atrybuty?: Narzędzie Wireshark lub inne przechwytywanie pakietów można uruchomić w trybie serwera NPS i odszyfrować pakiety przy użyciu klucza współużytkowanego. Możesz sprawdzić, czy pakiety są wysyłane z serwera RADIUS do bramy sieci VPN typu punkt-lokacja z skonfigurowanym odpowiednim programem VSA usługi RADIUS.
  2. Czy użytkownicy otrzymują niewłaściwy adres IP?: Skonfiguruj i sprawdź rejestrowanie zdarzeń serwera NPS pod kątem uwierzytelniania, czy użytkownicy są zgodni z zasadami.
  3. Masz problemy z pulami adresów? Każda pula adresów jest określona w bramie. Pule adresów są podzielone na dwie pule adresów i przypisane do każdego wystąpienia aktywne-aktywne w parze bramy sieci VPN typu punkt-lokacja. Te podzielone adresy powinny być wyświetlane w obowiązującej tabeli tras. Jeśli na przykład określisz "10.0.0.0/24", w obowiązującej tabeli tras powinny być widoczne dwie trasy "/25". Jeśli tak nie jest, spróbuj zmienić pule adresów zdefiniowane w bramie.
  4. Klient P2S nie może odbierać tras? Upewnij się, że wszystkie konfiguracje połączeń sieci VPN typu punkt-lokacja są skojarzone z domyślną tabeląRouteTable i propagowane do tego samego zestawu tabel tras. Ta opcja powinna zostać skonfigurowana automatycznie, jeśli używasz portalu, ale jeśli używasz interfejsu wiersza polecenia, programu REST, programu PowerShell lub interfejsu wiersza polecenia, upewnij się, że wszystkie propagacje i skojarzenia zostały odpowiednio ustawione.
  5. Nie można włączyć puli wielopulowej przy użyciu klienta sieci VPN platformy Azure? Jeśli używasz klienta sieci VPN platformy Azure, upewnij się, że klient sieci VPN platformy Azure zainstalowany na urządzeniach użytkowników jest najnowszą wersją. Aby włączyć tę funkcję, należy ponownie pobrać klienta.
  6. Wszyscy użytkownicy są przypisani do grupy domyślnej? Jeśli używasz uwierzytelniania microsoft Entra, upewnij się, że dane wejściowe adresu URL dzierżawy w konfiguracji (https://login.microsoftonline.com/<tenant ID>) serwera nie kończą się na \. Jeśli adres URL jest wejściowy na końcu \elementu , brama nie będzie mogła prawidłowo przetworzyć grup użytkowników firmy Microsoft Entra, a wszyscy użytkownicy są przypisani do grupy domyślnej. Aby skorygować, zmodyfikuj konfigurację serwera, aby usunąć końcowe \ i zmodyfikować pule adresów skonfigurowane w bramie, aby zastosować zmiany do bramy. Jest to znany problem.
  7. Próbujesz zaprosić użytkowników zewnętrznych do korzystania z funkcji multipool? Jeśli używasz uwierzytelniania firmy Microsoft Entra i planujesz zapraszać użytkowników zewnętrznych (użytkowników, którzy nie są częścią domeny Microsoft Entra skonfigurowanej w bramie sieci VPN), aby nawiązać połączenie z bramą sieci VPN typu punkt-lokacja usługi Virtual WAN, upewnij się, że typ użytkownika zewnętrznego to "Członek", a nie "Gość". Upewnij się również, że wartość "Nazwa" użytkownika jest ustawiona na adres e-mail użytkownika. Jeśli typ użytkownika i nazwa połączonego użytkownika nie jest poprawnie ustawiona zgodnie z powyższym opisem lub nie można ustawić zewnętrznego elementu członkowskiego jako "Członka" domeny Microsoft Entra, łączący użytkownika jest przypisany do grupy domyślnej i przypisany adres IP z domyślnej puli adresów IP.

Następne kroki