Tworzenie połączenia sieci VPN użytkownika typu punkt-lokacja przy użyciu usługi Azure Virtual WAN — uwierzytelnianie firmy Microsoft

  • Artykuł

W tym artykule pokazano, jak używać usługi Virtual WAN do łączenia się z zasobami na platformie Azure. W tym artykule utworzysz połączenie sieci VPN użytkownika typu punkt-lokacja z wirtualną siecią WAN, które używa uwierzytelniania firmy Microsoft Entra. Uwierzytelnianie Firmy Microsoft Entra jest dostępne tylko dla bram korzystających z protokołu OpenVPN.

Uwaga

Uwierzytelnianie firmy Microsoft Entra jest obsługiwane tylko w przypadku połączeń protokołu OpenVPN® i wymaga klienta sieci VPN platformy Azure.

W tym artykule omówiono sposób wykonywania następujących zadań:

  • Tworzenie wirtualnej sieci WAN
  • Tworzenie konfiguracji sieci VPN użytkownika
  • Pobieranie profilu sieci VPN użytkownika wirtualnej sieci WAN
  • Tworzenie koncentratora wirtualnego
  • Edytowanie koncentratora w celu dodania bramy punkt-lokacja
  • Połączenie sieci wirtualnej do koncentratora wirtualnego
  • Pobieranie i stosowanie konfiguracji klienta sieci VPN użytkownika
  • Wyświetlanie wirtualnej sieci WAN

Diagram wirtualnej sieci WAN.

Zanim rozpoczniesz

Przed rozpoczęciem konfiguracji sprawdź, czy zostały spełnione następujące kryteria:

  • Masz sieć wirtualną, z którą chcesz nawiązać połączenie. Sprawdź, czy żadna z podsieci sieci lokalnych nie nakłada się na sieci wirtualne, z którymi chcesz się połączyć. Aby utworzyć sieć wirtualną w witrynie Azure Portal, zobacz Przewodnik Szybki start.

  • Sieć wirtualna nie ma żadnych bram sieci wirtualnych. Jeśli sieć wirtualna ma bramę (sieć VPN lub ExpressRoute), musisz usunąć wszystkie bramy. Ta konfiguracja wymaga połączenia sieci wirtualnych z bramą koncentratora usługi Virtual WAN.

  • Uzyskaj zakres adresów IP w regionie koncentratora. Koncentrator to sieć wirtualna, która jest tworzona i używana przez usługę Virtual WAN. Zakres adresów określony dla centrum nie może pokrywać się z żadnymi istniejącymi sieciami wirtualnymi, z którymi nawiązujesz połączenie. Nie może również nakładać się na zakresy adresów, z którymi łączysz się lokalnie. Jeśli nie znasz zakresów adresów IP znajdujących się w konfiguracji sieci lokalnej, koordynuj się z osobą, która może podać te szczegóły.

  • Jeśli nie masz subskrypcji platformy Azure, utwórz bezpłatne konto.

Tworzenie wirtualnej sieci WAN

Przejdź w przeglądarce do witryny Azure Portal i zaloguj się przy użyciu konta platformy Azure.

  1. W portalu na pasku Wyszukaj zasoby wpisz Virtual WAN w polu wyszukiwania i wybierz klawisz Enter.

  2. Wybierz pozycję Wirtualne sieci WAN z wyników. Na stronie Wirtualne sieci WAN wybierz pozycję + Utwórz, aby otworzyć stronę Tworzenie sieci WAN.

  3. Na stronie Tworzenie sieci WAN na karcie Podstawy wypełnij pola. Zmodyfikuj przykładowe wartości, aby zastosować je do środowiska.

    Zrzut ekranu przedstawiający okienko Tworzenie sieci WAN z wybraną kartą Podstawowe.

    • Subskrypcja: wybierz subskrypcję, której chcesz użyć.
    • Grupa zasobów: utwórz nową lub użyj istniejącej.
    • Lokalizacja grupy zasobów: wybierz lokalizację zasobu z listy rozwijanej. Sieć WAN jest zasobem globalnym i nie mieszka w określonym regionie. Należy jednak wybrać region, aby zarządzać utworzonym zasobem sieci WAN i lokalizować go.
    • Nazwa: wpisz nazwę, którą chcesz wywołać wirtualną sieć WAN.
    • Typ: Podstawowa lub Standardowa. Wybierz opcję Standardowa. Jeśli wybierzesz pozycję Podstawowa, dowiedz się, że wirtualne sieci WAN w warstwie Podstawowa mogą zawierać tylko podstawowe koncentratory. Podstawowe koncentratory mogą być używane tylko w przypadku połączeń typu lokacja-lokacja.

  4. Po zakończeniu wypełniania pól w dolnej części strony wybierz pozycję Przejrzyj +Utwórz.

  5. Po zakończeniu walidacji kliknij przycisk Utwórz , aby utworzyć wirtualną sieć WAN.

Tworzenie konfiguracji sieci VPN użytkownika

Konfiguracja sieci VPN użytkownika definiuje parametry łączenia klientów zdalnych. Przed skonfigurowaniem koncentratora wirtualnego przy użyciu ustawień punkt-lokacja należy utworzyć konfigurację sieci VPN użytkownika, ponieważ należy określić konfigurację sieci VPN użytkownika, której chcesz użyć.

  1. Przejdź do strony Konfiguracje sieci VPN użytkownika usługi Virtual WAN> i kliknij pozycję +Utwórz konfigurację sieci VPN użytkownika.

    Zrzut ekranu przedstawiający konfigurację Create User V P N (Tworzenie użytkownika V N).

  2. Na stronie Podstawowe określ parametry.

    Zrzut ekranu przedstawiający stronę Podstawy.

    • Nazwa konfiguracji — wprowadź nazwę, którą chcesz wywołać konfigurację sieci VPN użytkownika.
    • Typ tunelu — wybierz pozycję OpenVPN z menu rozwijanego.

  3. Kliknij pozycję Microsoft Entra ID , aby otworzyć stronę.

    Zrzut ekranu przedstawiający stronę Identyfikator entra firmy Microsoft.

    Przełącz wartość Microsoft Entra ID na wartość Tak i podaj następujące wartości na podstawie szczegółów dzierżawy. Niezbędne wartości można wyświetlić na stronie Identyfikator entra firmy Microsoft dla aplikacji dla przedsiębiorstw w portalu.

    • Metoda uwierzytelniania — wybierz pozycję Microsoft Entra ID.

    • Odbiorcy — wpisz identyfikator aplikacji azure VPN Enterprise Application zarejestrowanej w dzierżawie firmy Microsoft Entra.

    • Emitenta - https://sts.windows.net/<your Directory ID>/

    • Dzierżawa firmy Microsoft Entra: TenantID dla dzierżawy firmy Microsoft Entra. Upewnij się, że na końcu adresu URL dzierżawy firmy Microsoft entra nie / ma adresu URL.

      • Wprowadź https://login.microsoftonline.com/{AzureAD TenantID} dla usługi Azure Public AD
      • Wprowadź https://login.microsoftonline.us/{AzureAD TenantID} dla usługi Azure Government AD
      • Wprowadź https://login-us.microsoftonline.de/{AzureAD TenantID} dla usługi Azure (Niemcy)
      • Wprowadź https://login.chinacloudapi.cn/{AzureAD TenantID} dla aplikacji China 21Vianet AD

  4. Kliknij przycisk Utwórz , aby utworzyć konfigurację sieci VPN użytkownika. Ta konfiguracja zostanie wybrana w dalszej części ćwiczenia.

Tworzenie pustego koncentratora

W tym ćwiczeniu utworzymy puste centrum wirtualne w tym kroku i w następnej sekcji dodasz bramę punkt-lokacja do tego centrum. Można jednak połączyć te kroki i utworzyć centrum z ustawieniami bramy punkt-lokacja jednocześnie. Wynik jest taki sam. Po skonfigurowaniu ustawień kliknij pozycję Przejrzyj i utwórz , aby zweryfikować, a następnie pozycję Utwórz.

  1. Przejdź do utworzonej wirtualnej sieci WAN. W okienku po lewej stronie wirtualnej sieci WAN w obszarze Połączenie ivity wybierz pozycję Koncentratory.

  2. Na stronie Koncentratory wybierz pozycję +Nowe centrum, aby otworzyć stronę Tworzenie koncentratora wirtualnego.

    Zrzut ekranu przedstawiający okienko Tworzenie koncentratora wirtualnego z wybraną kartą Podstawowe.

  3. Na karcie Tworzenie koncentratora wirtualnego wypełnij następujące pola:

    • Region: wybierz region, w którym chcesz wdrożyć koncentrator wirtualny.
    • Nazwa: nazwa, według której ma być znane centrum wirtualne.
    • Prywatna przestrzeń adresowa centrum: zakres adresów centrum w notacji CIDR. Minimalna przestrzeń adresowa to /24, aby utworzyć koncentrator.
    • Pojemność koncentratora wirtualnego: wybierz z listy rozwijanej. Aby uzyskać więcej informacji, zobacz Ustawienia koncentratora wirtualnego.
    • Preferencja routingu koncentratora: pozostaw wartość domyślną. Aby uzyskać więcej informacji, zobacz Preferencja routingu koncentratora wirtualnego.

Dodawanie bramy punkt-lokacja do koncentratora

W tej sekcji pokazano, jak dodać bramę do istniejącego koncentratora wirtualnego. Ukończenie aktualizacji centrum może potrwać do 30 minut.

  1. Przejdź do strony Koncentratory w obszarze wirtualnej sieci WAN.

  2. Kliknij nazwę centrum, które chcesz edytować, aby otworzyć stronę centrum.

  3. Kliknij pozycję Edytuj koncentrator wirtualny w górnej części strony, aby otworzyć stronę Edytowanie koncentratora wirtualnego.

  4. Na stronie Edytowanie koncentratora wirtualnego zaznacz pola wyboru Uwzględnij bramę sieci VPN dla lokacji sieci VPN i Uwzględnij bramę punkt-lokacja, aby wyświetlić ustawienia. Następnie skonfiguruj wartości.

    Zrzut ekranu przedstawiający centrum wirtualne Edytowanie.

  5. Po skonfigurowaniu ustawień kliknij przycisk Potwierdź , aby zaktualizować centrum. Zaktualizowanie centrum może potrwać do 30 minut.

Połączenie sieci wirtualnej do centrum

W tej sekcji utworzysz połączenie między koncentratorem wirtualnym a siecią wirtualną.

  1. W witrynie Azure Portal przejdź do usługi Virtual WAN W okienku po lewej stronie wybierz pozycję Połączenia sieci wirtualnej.

  2. Na stronie Połączenia sieci wirtualnej wybierz pozycję + Dodaj połączenie.

  3. Na stronie Dodawanie połączenia skonfiguruj ustawienia połączenia. Aby uzyskać informacje o ustawieniach routingu, zobacz Informacje o routingu.

    Zrzut ekranu przedstawiający stronę Dodawanie połączenia.

    • nazwa Połączenie ion: Nazwij połączenie.
    • Koncentratory: wybierz koncentrator, który chcesz skojarzyć z tym połączeniem.
    • Subskrypcja: Zweryfikuj subskrypcję.
    • Grupa zasobów: wybierz grupę zasobów zawierającą sieć wirtualną, z którą chcesz nawiązać połączenie.
    • Sieć wirtualna: wybierz sieć wirtualną, którą chcesz połączyć z tym koncentratorem. Wybrana sieć wirtualna nie może mieć już istniejącej bramy sieci wirtualnej.
    • Propagacja na wartość none: jest ona domyślnie ustawiona na Nie . Zmiana przełącznika na Tak powoduje, że opcje konfiguracji propagacji do tabel tras i propagują do etykiet niedostępnych dla konfiguracji.
    • Skojarz tabelę tras: z listy rozwijanej możesz wybrać tabelę tras, którą chcesz skojarzyć.
    • Propagacja do etykiet: Etykiety są logiczną grupą tabel tras. Dla tego ustawienia wybierz z listy rozwijanej.
    • Trasy statyczne: w razie potrzeby skonfiguruj trasy statyczne. Skonfiguruj trasy statyczne dla wirtualnych urządzeń sieciowych (jeśli ma to zastosowanie). Usługa Virtual WAN obsługuje pojedynczy adres IP następnego przeskoku dla trasy statycznej w połączeniu sieci wirtualnej. Jeśli na przykład masz oddzielne urządzenie wirtualne dla przepływów ruchu przychodzącego i wychodzącego, najlepiej byłoby mieć urządzenia wirtualne w oddzielnych sieciach wirtualnych i dołączyć sieci wirtualne do koncentratora wirtualnego.
    • Pomiń adres IP następnego przeskoku dla obciążeń w tej sieci wirtualnej: to ustawienie umożliwia wdrażanie urządzeń WUS i innych obciążeń w tej samej sieci wirtualnej bez wymuszania całego ruchu przez urządzenie WUS. To ustawienie można skonfigurować tylko podczas konfigurowania nowego połączenia. Jeśli chcesz użyć tego ustawienia dla połączenia, które zostało już utworzone, usuń połączenie, a następnie dodaj nowe połączenie.
    • Propagacja trasy statycznej: to ustawienie jest obecnie wdrażane. To ustawienie umożliwia propagację tras statycznych zdefiniowanych w sekcji Trasy statyczne do tabel tras określonych w sekcji Propagacja do tabel tras. Ponadto trasy będą propagowane do tabel tras, które mają etykiety określone jako Propagacja do etykiet. Te trasy można propagować między koncentratorami, z wyjątkiem trasy domyślnej 0/0. Ta funkcja jest w trakcie wdrażania. Jeśli ta funkcja jest włączona, skontaktuj się z vwanpm@microsoft.com

  4. Po zakończeniu ustawień, które chcesz skonfigurować, kliknij przycisk Utwórz , aby utworzyć połączenie.

Pobieranie profilu sieci VPN użytkownika

Wszystkie niezbędne ustawienia konfiguracji dla klientów sieci VPN są zawarte w pliku zip konfiguracji klienta sieci VPN. Ustawienia w pliku zip ułatwiają konfigurowanie klientów sieci VPN. Wygenerowane pliki konfiguracji klienta sieci VPN są specyficzne dla konfiguracji sieci VPN użytkownika dla bramy. Możesz pobrać profile globalne (na poziomie sieci WAN) lub profil dla określonego centrum. Aby uzyskać informacje i dodatkowe instrukcje, zobacz Pobieranie profilów globalnych i centrów. W poniższych krokach przedstawiono proces pobierania globalnego profilu na poziomie sieci WAN.

  1. Aby wygenerować pakiet konfiguracji klienta sieci VPN profilu globalnego na poziomie sieci WAN, przejdź do wirtualnej sieci WAN (a nie koncentratora wirtualnego).

  2. W okienku po lewej stronie wybierz pozycję Konfiguracje sieci VPN użytkownika.

  3. Wybierz konfigurację, dla której chcesz pobrać profil. Jeśli masz wiele centrów przypisanych do tego samego profilu, rozwiń profil, aby wyświetlić koncentratory, a następnie wybierz jeden z koncentratorów korzystających z profilu.

  4. Wybierz pozycję Pobierz profil sieci VPN użytkownika wirtualnej sieci WAN.

  5. Na stronie pobierania wybierz pozycję EAPTLS, a następnie pozycję Generuj i pobierz profil. Pakiet profilu (plik zip) zawierający ustawienia konfiguracji klienta jest generowany i pobierany na komputer. Zawartość pakietu zależy od opcji uwierzytelniania i tunelu dla konfiguracji.

Konfigurowanie klientów sieci VPN użytkownika

Każdy komputer, który nawiązuje połączenie, musi mieć zainstalowanego klienta. Każdy klient jest konfigurowany przy użyciu plików profilu klienta użytkownika sieci VPN pobranych w poprzednich krokach. Skorzystaj z artykułu odnoszącego się do systemu operacyjnego, z którym chcesz nawiązać połączenie.

Aby skonfigurować klientów sieci VPN systemu macOS (wersja zapoznawcza)

Aby uzyskać instrukcje dotyczące klienta systemu macOS , zobacz Konfigurowanie klienta sieci VPN — macOS (wersja zapoznawcza).

Aby skonfigurować klientów sieci VPN z systemem Windows

  1. Pobierz najnowszą wersję plików instalacyjnych klienta sieci VPN platformy Azure, korzystając z jednego z następujących linków:

  2. Zainstaluj klienta sieci VPN platformy Azure na każdym komputerze.

  3. Sprawdź, czy klient sieci VPN platformy Azure ma uprawnienia do uruchamiania w tle. Aby uzyskać instrukcje, zobacz Aplikacje w tle systemu Windows.

  4. Aby sprawdzić zainstalowaną wersję klienta, otwórz klienta sieci VPN platformy Azure. Przejdź do dołu klienta i kliknij przycisk ... -> ? Pomoc. W okienku po prawej stronie zobaczysz numer wersji klienta.

Aby zaimportować profil klienta sieci VPN (Windows)

  1. Na stronie wybierz pozycję Importuj.

    Zrzut ekranu przedstawiający stronę importu.

  2. Przejdź do pliku XML profilu i wybierz go. Po wybraniu pliku wybierz pozycję Otwórz.

    Zrzut ekranu przedstawia okno dialogowe Otwieranie, w którym można wybrać plik.

  3. Określ nazwę profilu i wybierz pozycję Zapisz.

    Zrzut ekranu przedstawia dodaną nazwę Połączenie ion i wybrany przycisk Zapisz.

  4. Wybierz Połączenie, aby nawiązać połączenie z siecią VPN.

    Zrzut ekranu przedstawia przycisk Połączenie dla właśnie utworzonego połączenia.

  5. Po nawiązaniu połączenia ikona zmieni kolor na zielony i powiedz Połączenie.

    Zrzut ekranu przedstawia połączenie w stanie Połączenie z opcją rozłączenia.

Aby usunąć profil klienta — Windows

  1. Wybierz wielokropek (...) obok profilu klienta, który chcesz usunąć. Następnie wybierz pozycję Usuń.

    Zrzut ekranu przedstawiający pozycję Usuń wybrane z menu.

  2. Wybierz pozycję Usuń , aby usunąć.

    Zrzut ekranu przedstawia okno dialogowe potwierdzenia z opcją Usuń lub Anuluj.

Diagnozowanie problemów z połączeniem — Windows

  1. Aby zdiagnozować problemy z połączeniem, możesz użyć narzędzia Diagnozowanie . Wybierz wielokropek (...) obok połączenia sieci VPN, które chcesz zdiagnozować, aby wyświetlić menu. Następnie wybierz pozycję Diagnozuj.

    Zrzut ekranu przedstawiający pozycję Diagnozuj wybraną z menu.

  2. Na stronie Właściwości Połączenie ion wybierz pozycję Uruchom diagnostykę.

    Zrzut ekranu przedstawia przycisk Uruchom diagnostykę dla połączenia.

  3. Zaloguj się przy użyciu poświadczeń.

    Zrzut ekranu przedstawiający okno dialogowe Logowanie dla tej akcji.

  4. Wyświetl wyniki diagnostyki.

    Zrzut ekranu przedstawia wyniki diagnostyki.

Wyświetlanie wirtualnej sieci WAN

  1. Przejdź do wirtualnej sieci WAN.
  2. Na stronie Przegląd każdy punkt na mapie przedstawia koncentrator.
  3. W sekcji dotyczącej koncentratorów i połączeń możesz wyświetlić stan koncentratora, lokację, region, stan połączenia sieci VPN oraz bajty przychodzące i wychodzące.

Czyszczenie zasobów

Gdy nie potrzebujesz już utworzonych zasobów, usuń je. Niektóre zasoby usługi Virtual WAN muszą zostać usunięte w określonej kolejności z powodu zależności. Usunięcie może potrwać około 30 minut.

  1. Otwórz utworzoną wirtualną sieć WAN.

  2. Wybierz koncentrator wirtualny skojarzony z wirtualną siecią WAN, aby otworzyć stronę centrum.

  3. Usuń wszystkie jednostki bramy zgodnie z poniższą kolejnością dla każdego typu bramy. Ukończenie tego procesu może potrwać 30 minut.

    VPN:

    • Rozłącz lokacje sieci VPN
    • Usuwanie połączeń sieci VPN
    • Usuwanie bram sieci VPN

    ExpressRoute:

    • Usuwanie połączeń usługi ExpressRoute
    • Usuwanie bram usługi ExpressRoute

  4. Powtórz wszystkie koncentratory skojarzone z wirtualną siecią WAN.

  5. W tym momencie możesz usunąć koncentratory lub usunąć koncentratory później po usunięciu grupy zasobów.

  6. Przejdź do grupy zasobów w witrynie Azure Portal.

  7. Wybierz pozycję Usuń grupę zasobów. Spowoduje to usunięcie innych zasobów w grupie zasobów, w tym koncentratorów i wirtualnej sieci WAN.

Następne kroki

Aby uzyskać odpowiedzi na często zadawane pytania dotyczące usługi Virtual WAN, zobacz Często zadawane pytania dotyczące usługi Virtual WAN.