Основные понятия VPN пользователя (точка — сеть)
В следующей статье описываются основные понятия и настраиваемые клиентом параметры, связанные с конфигурациями и шлюзами vpn-подключения пользователей типа Виртуальная глобальная сеть "точка — сеть" (P2S). Эта статья разделена на несколько разделов, включая разделы о концепциях конфигурации VPN-сервера P2S и разделах о концепциях VPN-шлюза P2S.
Основные понятия конфигурации VPN-сервера
Конфигурации VPN-сервера определяют параметры проверки подлинности, шифрования и группы пользователей, используемые для проверки подлинности пользователей, а также назначение IP-адресов и шифрование трафика. Шлюзы P2S связаны с конфигурациями VPN-сервера P2S.
Общие понятия
| Концепция | Описание | Основание |
|---|---|---|
| Тип туннеля | Протоколы, используемые между VPN-шлюзом P2S и подключением пользователей. | Доступные параметры: IKEv2, OpenVPN или оба. Для конфигураций сервера IKEv2 доступна только проверка подлинности на основе сертификатов и RADIUS. Для конфигураций открытого VPN-сервера доступны проверки подлинности на основе сертификата и проверки подлинности на основе идентификатора Microsoft Entra. Кроме того, для OpenVPN поддерживаются несколько методов проверки подлинности в одной конфигурации сервера (например, сертификат и RADIUS в одной конфигурации). IKEv2 также имеет ограничение на уровне протокола 255 маршрутов, в то время как OpenVPN имеет ограничение в 1000 маршрутов. |
| Пользовательские параметры IPsec | Параметры шифрования, используемые VPN-шлюзом P2S для шлюзов, использующих IKEv2. | Доступные параметры см. в разделе "Пользовательские параметры IPsec" для VPN типа "точка — сеть". Этот параметр не применяется для шлюзов с помощью проверки подлинности OpenVPN. |
Основные понятия проверки подлинности сертификатов Azure
Следующие понятия связаны с конфигурациями сервера, используюющими проверку подлинности на основе сертификатов.
| Концепция | Описание | Основание |
|---|---|---|
| Имя корневого сертификата | Имя, используемое Azure для идентификации корневых сертификатов клиента. | Может быть настроено любое имя. У вас может быть несколько корневых сертификатов. |
| Данные общедоступного сертификата | Корневые сертификаты, из которых выдаются сертификаты клиента. | Введите строку, соответствующую общедоступным данным корневого сертификата. Пример получения общедоступных данных корневого сертификата см. в шаге 8 в следующем документе о создании сертификатов. |
| Отозванный сертификат | Имя, используемое Azure для идентификации сертификатов для отзыва. | Может быть настроено любое имя. |
| Отозванный отпечаток сертификата | Отпечаток сертификатов конечных пользователей, которые не должны быть в состоянии подключиться к шлюзу. | Входные данные для этого параметра — один или несколько отпечаток сертификата. Каждый сертификат пользователя должен быть отозван по отдельности. Отмена промежуточного сертификата или корневого сертификата не будет автоматически отзывать все дочерние сертификаты. |
Основные понятия проверки подлинности RADIUS
Если VPN-шлюз P2S настроен для использования проверки подлинности на основе RADIUS, VPN-шлюз P2S выступает в качестве прокси-сервера политики сети (NPS) для пересылки запросов проверки подлинности в сервер RADIUS клиента. Шлюзы могут использовать один или два сервера RADIUS для обработки запросов проверки подлинности. Запросы проверки подлинности автоматически балансируют нагрузку на серверах RADIUS при наличии нескольких.
| Концепция | Описание | Основание |
|---|---|---|
| Секрет основного сервера | Секрет сервера, настроенный на основном сервере RADIUS клиента, который используется для шифрования по протоколу RADIUS. | Любая общая строка секрета. |
| IP-адрес основного сервера | Частный IP-адрес сервера RADIUS | Этот IP-адрес должен быть частным IP-адресом, доступным виртуальным концентратором. Убедитесь, что подключение, на котором размещен сервер RADIUS, распространяется на концентратор по умолчанию с помощью шлюза. |
| Секрет дополнительного сервера | Секрет сервера, настроенный на втором сервере RADIUS, который используется для шифрования по протоколу RADIUS. | Любая предоставленная общая строка секрета. |
| IP-адрес вторичного сервера | Частный IP-адрес сервера RADIUS | Этот IP-адрес должен быть частным IP-адресом, доступным виртуальным концентратором. Убедитесь, что подключение, на котором размещен сервер RADIUS, распространяется на концентратор по умолчанию с помощью шлюза. |
| Корневой сертификат сервера RADIUS | Общедоступные данные корневого сертификата RADIUS-сервера. | Это поле необязательно. Введите строки, соответствующие общедоступным данным корневого сертификата RADIUS. Вы можете ввести несколько корневых сертификатов. Все сертификаты клиента, представленные для проверки подлинности, должны быть выданы из указанных корневых сертификатов. Пример получения общедоступных данных сертификата см. в шаге 8 в следующем документе о создании сертификатов. |
| Отозванные сертификаты клиента | Отпечаток отозванных сертификатов клиента RADIUS. Клиенты, которые представляют отозванные сертификаты, не смогут подключаться. | Это поле необязательно. Каждый сертификат пользователя должен быть отозван по отдельности. Отмена промежуточного сертификата или корневого сертификата не будет автоматически отзывать все дочерние сертификаты. |
Основные понятия проверки подлинности Microsoft Entra
Следующие понятия связаны с конфигурациями сервера, используюющими проверку подлинности на основе идентификаторов Microsoft Entra. Проверка подлинности на основе идентификаторов Microsoft Entra доступна только в том случае, если тип туннеля — OpenVPN.
| Концепция | Description | Доступные параметры |
|---|---|---|
| Аудитория | Идентификатор приложения Azure VPN Enterprise Application, зарегистрированного в клиенте Microsoft Entra. | Дополнительные сведения о регистрации VPN-приложения Azure в клиенте и поиске идентификатора приложения см . в настройке клиента для подключений протокола VPN OpenVPN пользователя P2S. |
| Издатель | Полный URL-адрес, соответствующий службе маркеров безопасности (STS), связанному с Active Directory. | Строка в следующем формате: https://sts.windows.net/<your Directory ID>/ |
| Клиент Microsoft Entra | Полный URL-адрес, соответствующий клиенту Active Directory, используемому для проверки подлинности на шлюзе. | Зависит от того, в каком облаке развертывается клиент Active Directory. Дополнительные сведения см. ниже. |
Идентификатор клиента Microsoft Entra
В следующей таблице описывается формат URL-адреса Microsoft Entra на основе того, в каком облаке развертывается идентификатор Microsoft Entra.
| Облако | Формат параметров |
|---|---|
| Общедоступное облако Azure | https://login.microsoftonline.com/{AzureAD TenantID} |
| Облако Azure для государственных организаций. | https://login.microsoftonline.us/{AzureAD TenantID} |
| Китай 21Vianet Cloud | https://login.chinacloudapi.cn/{AzureAD TenantID} |
Основные понятия группы пользователей (с несколькими пулами)
Следующие понятия, связанные с группами пользователей (несколькими пулами) в Виртуальная глобальная сеть. Группы пользователей позволяют назначать разные IP-адреса для подключения пользователей на основе своих учетных данных, что позволяет настраивать правила контроль доступа списков (ACL) и брандмауэра для защиты рабочих нагрузок. Дополнительные сведения и примеры см . в концепциях с несколькими пулами.
Конфигурация сервера содержит определения групп, а затем группы используются на шлюзах для сопоставления групп конфигурации сервера с IP-адресами.
| Концепция | Описание | Основание |
|---|---|---|
| Группа пользователей или группа политик | Группа пользователей или группа политик — это логическое представление группы пользователей, которым следует назначать IP-адреса из одного пула адресов. | Дополнительные сведения см. в разделе о группах пользователей. |
| Группа по умолчанию | Когда пользователи пытаются подключиться к шлюзу с помощью функции группы пользователей, пользователи, которые не соответствуют какой-либо группе, назначенной шлюзу, автоматически считаются частью группы по умолчанию и назначают IP-адрес, связанный с этой группой. | Каждую группу в конфигурации сервера можно указать в качестве группы по умолчанию или не по умолчанию, и этот параметр нельзя изменить после создания группы. Точно одна группа по умолчанию может быть назначена каждому VPN-шлюзу P2S, даже если назначенная конфигурация сервера имеет несколько групп по умолчанию. |
| Приоритет группы | При назначении нескольких групп шлюзу, подключающегося пользователя, могут представлять учетные данные, соответствующие нескольким группам. Виртуальная глобальная сеть обрабатывает группы, назначенные шлюзу, в порядке приоритета. | Приоритеты являются положительными целыми числами и группами с более низкими числовыми приоритетами сначала обрабатываются. Каждая группа должна иметь отдельный приоритет. |
| Параметры и члены группы | Группы пользователей состоят из членов. Члены не соответствуют отдельным пользователям, а определяют условия или условия соответствия, используемые для определения группы, в которую входит подключающийся пользователь. Когда группа назначается шлюзу, подключающийся пользователь, учетные данные которого соответствуют критериям, указанным для одного из членов группы, считается частью этой группы и может быть назначен соответствующий IP-адрес. | Полный список доступных условий см . в разделе "Доступные параметры группы". |
Основные понятия конфигурации шлюза
В следующих разделах описываются понятия, связанные с VPN-шлюзом P2S. Каждый шлюз связан с одной конфигурацией VPN-сервера и имеет множество других настраиваемых параметров.
Общие понятия шлюза
| Концепция | Описание | Основание |
|---|---|---|
| Единица масштабирования шлюза | Единица масштабирования шлюза определяет, сколько агрегированной пропускной способности и одновременных пользователей может поддерживать VPN-шлюз P2S. | Единицы масштабирования шлюза могут варьироваться от 1 до 200, поддерживая 500 до 100 000 пользователей на шлюз. |
| Конфигурация сервера P2S | Определяет параметры проверки подлинности, используемые VPN-шлюзом P2S для проверки подлинности входящих пользователей. | Любая конфигурация сервера P2S, связанная с шлюзом Виртуальная глобальная сеть. Для ссылки на него необходимо успешно создать конфигурацию сервера. |
| Предпочтительный вариант маршрутизации | Позволяет выбрать маршруты трафика между Azure и Интернетом. | Вы можете перенаправить трафик через сеть Майкрософт или через сеть ISP (общедоступная сеть). Дополнительные сведения об этом параметре см. в разделе "Что такое предпочтения маршрутизации? Этот параметр нельзя изменить после создания шлюза. |
| Настраиваемые серверы DNS | IP-адреса DNS-серверов, подключающих пользователей, должны пересылать DNS-запросы. | Любой маршрутизируемый IP-адрес. |
| Распространение маршрута по умолчанию | Если центр Виртуальная глобальная сеть настроен с использованием маршрута по умолчанию 0.0.0.0/0 (статический маршрут в таблице маршрутов по умолчанию или 0.0.0.0/0/0, объявленный из локальной среды, этот параметр определяет, объявляется ли маршрут 0.0.0.0/0 для подключения пользователей. | В этом поле можно установить значение true или false. |
Основные понятия, относящиеся к RADIUS
| Концепция | Описание | Основание |
|---|---|---|
| Использование параметра удаленного или локального сервера RADIUS | Определяет, могут ли Виртуальная глобальная сеть пересылать пакеты проверки подлинности RADIUS на серверы RADIUS, размещенные локально или в виртуальная сеть подключенных к другому виртуальному концентратору. | Этот параметр имеет два значения, true или false. Если Виртуальная глобальная сеть настроено для использования проверки подлинности на основе RADIUS, Виртуальная глобальная сеть шлюз P2S служит прокси-сервером RADIUS, который отправляет запросы проверки подлинности в серверы RADIUS. Этот параметр (если true) позволяет шлюзу Виртуальная глобальная сеть взаимодействовать с серверами RADIUS, развернутыми локально или в виртуальная сеть подключенных к другому концентратору. Если значение false, Виртуальная глобальная сеть сможет пройти проверку подлинности только с помощью серверов RADIUS, размещенных в виртуальная сеть, подключенных к концентратору с помощью шлюза. |
| IP-адреса прокси-сервера RADIUS | Пакеты проверки подлинности RADIUS, отправленные VPN-шлюзом P2S на сервер RADIUS, имеют исходные IP-адреса, указанные в поле IP-адреса прокси-сервера RADIUS. Эти IP-адреса должны быть разрешены в качестве клиентов RADIUS на сервере RADIUS. | Этот параметр не настраивается напрямую. Если для параметра "Использовать удаленный или локальный сервер RADIUS" задано значение true, IP-адреса прокси-сервера RADIUS автоматически настраиваются в качестве IP-адресов из пулов адресов клиента, указанных в шлюзе. Если этот параметр имеет значение false, IP-адреса — это IP-адреса из центральной адресной области. IP-адреса прокси-сервера RADIUS можно найти на портал Azure на странице VPN-шлюза P2S. |
Основные понятия конфигурации Подключение ion
В VPN-шлюзе P2S может быть одна или несколько конфигураций подключения. Каждая конфигурация подключения имеет конфигурацию маршрутизации (см. ниже для предостережения) и представляет группу или сегмент пользователей, которым назначены IP-адреса из одного пула адресов.
| Концепция | Описание | Основание |
|---|---|---|
| Имя конфигурации | Имя конфигурации VPN P2S | Любое имя можно указать. В шлюзе может быть несколько конфигураций подключения, если вы используете функцию групп пользователей или нескольких пулов. Если вы не используете эту функцию, на шлюз может быть только одна конфигурация. |
| Пользовательские группы | Группы пользователей, соответствующие конфигурации | Все группы пользователей, на которые ссылается конфигурация VPN-сервера. Это необязательный параметр. Дополнительные сведения см. в разделе о группах пользователей. |
| Пулы адресов | Пулы адресов — это частные IP-адреса, которые назначаются пользователям. | Пулы адресов можно указать как любой блок CIDR, который не перекрывается с адресными пространствами виртуального концентратора, IP-адресами, используемыми в виртуальная сеть, подключенных к Виртуальная глобальная сеть или адресам, объявленным из локальной среды. В зависимости от единицы масштабирования, указанной в шлюзе, может потребоваться несколько блоков CIDR. Дополнительные сведения см. в разделе о пулах адресов. |
| Конфигурация маршрутизации | Каждое подключение к Виртуальному концентратору имеет конфигурацию маршрутизации, которая определяет, какая таблица маршрутов связана с подключением и какие таблицы маршрутов распространяются на таблицу маршрутов. | Все подключения ветви к одному концентратору (ExpressRoute, VPN, NVA) должны связываться со значением defaultRouteTable и распространяться к одному набору таблиц маршрутов. При разных распространениях подключений филиалов может возникнуть непредвиденное поведение маршрутизации, так как Виртуальная глобальная сеть выберет конфигурацию маршрутизации для одной ветви и применит ее ко всем ветвям и поэтому маршруты, полученные из локальной среды. |
Следующие шаги
Добавьте ссылки на несколько статей для дальнейших действий.