你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:使用 Azure 虚拟 WAN 创建 P2S 用户 VPN 连接 - 证书或 RADIUS 身份验证

本教程介绍如何使用虚拟 WAN 连接到 Azure 中的资源。 在本教程中,你将使用 Azure 门户通过 OpenVPN 或 IPsec/IKE (IKEv2) 创建点到站点用户 VPN 连接。 此类连接要求在每个正在连接的客户端计算机上配置本机 VPN 客户端。

在本教程中,你将了解如何执行以下操作:

  • 创建虚拟 WAN
  • 创建用户 VPN 配置
  • 创建虚拟中心和网关
  • 生成客户端配置文件
  • 配置 VPN 客户端
  • 连接到 VNet
  • 查看虚拟 WAN
  • 修改设置

虚拟 WAN 关系图的屏幕截图。

先决条件

  • 你有一个 Azure 订阅。 如果还没有 Azure 订阅,可以创建一个免费帐户

  • 有一个要连接到的虚拟网络。

    • 确认本地网络的任何子网都不会与要连接到的虚拟网络重叠。
    • 若要在 Azure 门户中创建虚拟网络,请参阅快速入门一文。
  • 虚拟网络不能包含任何现有虚拟网络网关。

    • 如果虚拟网络已有网关(VPN 或 ExpressRoute),必须先删除所有网关再继续。
    • 此配置要求虚拟网络仅连接到虚拟 WAN 中心网关。
  • 确定要用于虚拟中心专用地址空间的 IP 地址范围。 配置虚拟中心时,将使用此信息。 虚拟中心是虚拟 WAN 创建和使用的虚拟网络。 这是区域中虚拟 WAN 网络的核心。 地址空间范围必须符合某些规则:

    • 为中心指定的地址范围不能与连接到的任何现有虚拟网络重叠。
    • 地址范围不能与连接到的本地地址范围重叠。
    • 如果不熟悉本地网络配置中的 IP 地址范围,请咨询能够提供此类详细信息的人员。

创建虚拟 WAN

  1. 在门户中的“搜索资源”栏中,在搜索框中键入“虚拟 WAN”,然后选择 Enter 。

  2. 从结果中选择“虚拟 WAN”。 在“虚拟 WAN”页面上,选择“+ 创建”以打开“创建 WAN”页面 。

  3. 在“创建 WAN”页的“基本信息”选项卡上,填写以下字段 。 修改示例值以应用于你的环境。

    屏幕截图显示已选择“基本”选项卡的“创建 WAN”窗格。

    • 订阅:选择要使用的订阅。
    • 资源组:新建资源组或使用现有的资源组。
    • 资源组位置:从下拉列表中选择资源位置。 WAN 是一个全局资源,不会驻留在某个特定区域。 但是,必须选择一个区域才能管理和查找所创建的 WAN 资源。
    • 名称:键入要用于称呼虚拟 WAN 的名称。
    • 类型:基本或标准。 选择“标准”。 如果选择“基本”,请了解基本虚拟 WAN 只能包含基本中心。 基本中心只能用于站点到站点连接。
  4. 填写完字段后,在页面底部,选择“查看 + 创建”。

  5. 验证通过后,单击“创建”以创建虚拟 WAN。

创建用户 VPN 配置

用户 VPN (P2S) 配置定义参数以便远程客户端进行连接。 在中心创建 P2S 网关之前,先创建用户 VPN 配置。 可以创建多个用户 VPN 配置。 创建 P2S 网关时,选择要使用的用户 VPN 配置。

遵循的说明取决于要使用的身份验证方法。 在本练习中,我们选择“OpenVpn 和 IKEv2”并进行证书身份验证。 但是,其他配置也可用。 每种身份验证方法都有特定的要求。

  • Azure 证书: 此配置需要证书。 你需要生成或获取证书。 每个客户端都需要客户端证书。 此外,需要上传根证书信息(公钥)。 有关所需证书的详细信息,请参阅生成和导出证书

  • 基于 RADIUS 的身份验证: 获取 RADIUS 服务器 IP、RADIUS 服务器机密和证书信息。

  • Microsoft Entra 身份验证:请参阅配置用户 VPN 连接 - Microsoft Entra 身份验证

配置步骤

  1. 导航到你已创建的虚拟 WAN。

  2. 从左侧菜单中选择“用户 VPN 配置”。

  3. 在“用户 VPN 配置”页上,选择“+ 创建用户 VPN 配置” 。

    “用户 VPN 配置”页的屏幕截图。

  4. 在“创建新用户 VPN 配置”页的“基本信息”选项卡上,在“实例详细信息”下,输入要分配给 VPN 配置的“名称” 。

    已切换到“自定义”的 IPsec 开关的屏幕截图。

  5. 对于“隧道类型”,请从下拉列表中选择所需的隧道类型。 隧道类型选项包括:“IKEv2 VPN、OpenVPN”以及“OpenVpn 和 IKEv2” 。 每种隧道类型都有特定的必需设置。 选择的隧道类型对应于可用的身份验证选项。

    要求和参数:

    IKEv2 VPN

    • 要求: 选择“IKEv2”隧道类型时,会显示一条消息,指示你选择一种身份验证方法。 对于 IKEv2,你可以指定多种身份验证方法。 可以选择 Azure 证书和/或基于 RADIUS 的身份验证。

    • IPSec 自定义参数: 若要自定义 IKE 阶段 1 和 IKE 阶段 2 的参数,请将 IPsec 开关切换到“自定义”,然后选择参数值。 有关可自定义参数的详细信息,请参阅自定义 IPsec 一文。

    OpenVPN

    • 要求: 选择“OpenVPN”隧道类型时,会显示一条消息,指示你选择一种身份验证机制。 如果选择“OpenVPN”作为隧道类型,则可以指定多种身份验证方法。 可以选择 Azure 证书、Microsoft Entra ID 和基于 RADIUS 的身份验证的任何子集。 对于基于 RADIUS 的身份验证,可以提供辅助 RADIUS 服务器 IP 地址和服务器机密。

    OpenVPN 和 IKEv2

    • 要求:选择“OpenVPN和 IKEv2”隧道类型时,会显示一条消息,指示你选择一种身份验证机制。 如果选择“OpenVPN 和 IKEv2”作为隧道类型,则可以指定多种身份验证方法。 你可选择 Microsoft Entra ID 以及 Azure 证书或基于 RADIUS 的身份验证。 对于基于 RADIUS 的身份验证,可以提供辅助 RADIUS 服务器 IP 地址和服务器机密。
  6. 配置要使用的身份验证方法。 每种身份验证方法都在单独的选项卡中:“Azure 证书”、“RADIUS 身份验证”和“Microsoft Entra ID”。 某些身份验证方法仅适用于特定隧道类型。

    在要配置的身份验证方法选项卡上,选择“是”以显示可用的配置设置。

    • 示例 - 证书身份验证

      若要配置此设置,“基本信息”页上的隧道类型可以是 IKEv2、OpenVPN 或 OpenVPN 和 IKEv2。

      选择了“是”的屏幕截图。

    • 示例 - RADIUS 身份验证

      若要配置此设置,“基本信息”页上的隧道类型可以是 Ikev2、OpenVPN 或 OpenVPN 和 IKEv2。

      RADIUS 身份验证页的屏幕截图。

    • 示例 - Microsoft Entra 身份验证

      若要配置此设置,“基本信息”页上的隧道类型必须是 OpenVPN。 只有 OpenVPN 支持基于 Microsoft Entra ID 的身份验证。

      Microsoft Entra 身份验证页。

  7. 配置完设置后,选择页面底部的“查看 + 创建”。

  8. 选择“创建”以创建用户 VPN 配置。

创建虚拟中心和网关

“基本信息”页

  1. 转到你创建的虚拟 WAN。 在虚拟 WAN 页左侧窗格上的“连接性”下,选择“中心”。

  2. 在“中心”页上,选择“+ 新建中心”以打开“创建虚拟中心”页 。

    屏幕截图显示已选择“基本”选项卡的“创建虚拟中心”窗格。

  3. 在“创建虚拟中心”页上的“基本”选项卡上,请填写以下字段 :

    • 区域:选择要在其中部署虚拟中心的区域。
    • 名称:想要用于称呼虚拟中心的名称。
    • 中心专用地址空间:用 CIDR 表示法来表示的中心地址范围。 用于创建中心的最小地址空间为 /24。
    • 虚拟中心容量:从下拉列表中选择。 有关详细信息,请参阅虚拟中心设置
    • 中心路由首选项:保留为默认值。 有关详细信息,请参阅虚拟中心路由首选项

“点到站点”页

  1. 单击“点到站点”选项卡,打开点到站点的配置页。 若要查看点到站点设置,请单击“是”。

    选择了点到站点的虚拟中心配置的屏幕截图。

  2. 配置下列设置:

    • 网关缩放单元 - 这表示用户 VPN 网关的聚合容量。 如果选择 40 或更多网关缩放单元,请相应地规划客户端地址池。 有关此设置如何影响客户端地址池的信息,请参阅关于客户端地址池。 有关网关缩放单元的信息,请参阅常见问题解答

    • 点到站点配置 - 选择你在上一步中创建的用户 VPN 配置。

    • 路由首选项 - Azure 路由首选项允许你选择流量在 Azure 和 Internet 之间的路由方式。 可以选择通过 Microsoft 网络或通过 ISP 网络(公共 Internet)来路由流量。 这些选项也分别称为“冷土豆路由”和“热土豆路由”。 虚拟 WAN 中的公共 IP 地址由服务基于所选路由选项分配。 有关通过 Microsoft 网络或 ISP 设置路由首选项的详细信息,请参阅路由首选项

    • 使用远程/本地 RADIUS 服务器 - 将虚拟 WAN 用户 VPN 网关配置为使用基于 RADIUS 的身份验证时,用户 VPN 网关将充当代理,将 RADIUS 访问请求发送到 RADIUS 服务器。 默认情况下,“使用远程/本地 RADIUS 服务器”设置处于禁用状态,这意味着用户 VPN 网关只能将身份验证请求转发到连接到网关中心的虚拟网络中的 RADIUS 服务器。 启用此设置将使用户 VPN 网关能够通过与远程中心连接或本地部署的 RADIUS 服务器进行身份验证。

      注意

      仅当网关配置为使用基于 RADIUS 的身份验证时,才使用远程/本地 RADIUS 服务器设置和相关代理 IP。 如果网关未配置为使用基于 RADIUS 的身份验证,则将忽略此设置。

      如果用户要连接到全局 VPN 配置文件而不是基于中心的配置文件,则必须启用“使用远程/本地 RADIUS 服务器”。 有关详细信息,请参阅全局和中心级配置文件

      创建用户 VPN 网关后转到网关,并记下 RADIUS 代理 IP 字段。 RADIUS 代理 IP 是用户 VPN 网关发送到 RADIUS 服务器的 RADIUS 数据包的源 IP。 因此,RADIUS 服务器需要配置为接受来自 RADIUS 代理 IP 的身份验证请求。 如果 RADIUS 代理 IP 字段为空或无,请将 RADIUS 服务器配置为接受来自中心地址空间的身份验证请求。

      此外,请确保设置将托管 RADIUS 服务器的连接的关联和传播(VNet 或本地)传播到使用点到站点 VPN 网关部署的中心的 defaultRouteTable,并且将点到站点 VPN 配置传播到托管 RADIUS 服务器的连接的路由表。 这是必需的,以确保网关可以与 RADIUS 服务器通信,反之亦然。

      使用 RADIUS 代理 IP 的用户 VPN 配置的屏幕截图。

    • 客户端地址池 - 自动从中将 IP 地址分配到 VPN 客户端的地址池。 地址池必须是唯一的。 地址池之间不能有重叠。 有关详细信息,请参阅关于客户端地址池

    • 自定义 DNS 服务器 - 客户端将使用的 DNS 服务器的 IP 地址。 最多可以指定 5 个。

  3. 选择“查看 + 创建”以验证自己的设置 。

  4. 验证通过后,选择“创建”。 创建一个中心可能需要 30 分钟或更长时间才能完成。

创建新的中心时,你可能会注意到门户中引用路由器版本的警告消息。 在预配路由器时,有时会发生这种情况。 完全预配路由器后,将不再显示此消息。

生成客户端配置文件

使用用户 VPN (P2S) 连接到 VNet 时,可以使用在连接的操作系统上本机安装的 VPN 客户端。 VPN 客户端的所有必需配置设置都包含在 VPN 客户端 zip 配置文件中。 zip 文件中的设置有助于轻松配置 VPN 客户端。 生成的 VPN 客户端配置文件特定于网关的用户 VPN 配置。 在本部分中,你会生成并下载用于配置 VPN 客户端的文件。

可以下载两种不同类型的配置文件:全局配置文件和中心配置文件。 全局配置文件是 WAN 级配置文件。 下载 WAN 级配置文件时,你将获得内置的基于流量管理器的用户 VPN 配置文件。 使用全局配置文件时,如果中心由于某种原因而不可用,则该服务提供的内置流量管理可确保(通过不同的中心)连接到点到站点用户的 Azure 资源。 有关详细信息,或者要下载中心级配置文件 VPN 客户端配置包,请参阅全局和中心配置文件

  1. 若要生成 WAN 级全局配置文件 VPN 客户端配置包,请转到“虚拟 WAN”(而不是虚拟中心)。

  2. 在左侧窗格中,选择“用户 VPN 配置”。

  3. 选择要下载其配置文件的配置。 如果有多个中心分配给同一个配置文件,请展开配置文件以显示中心,然后选择使用配置文件的中心之一。

  4. 选择“下载虚拟 WAN 用户 VPN 配置文件”。

  5. 在下载页上,选择“EAPTLS”,然后选择“生成并下载配置文件”。 系统将生成包含客户端配置设置的配置文件包(zip 文件),并将其下载到计算机。 包的内容取决于适用于你的配置的身份验证和隧道选项。

配置 VPN 客户端

使用下载的配置文件包在计算机上配置本机 VPN 客户端。 每个操作系统的过程各不相同。 按照适用于你的系统的说明进行操作。 完成客户端配置后,即可连接。

IKEv2

在用户 VPN 配置中,如果指定了 IKEv2 VPN 隧道类型,则可以配置本机 VPN 客户端(Windows 和 macOS Catalina 或更高版本)。

以下步骤适用于 Windows。 对于 macOS,请参阅 IKEv2-macOS 步骤。

  1. 根据 Windows 计算机的体系结构选择 VPN 客户端配置文件。 对于 64 位处理器体系结构,请选择“VpnClientSetupAmd64”安装程序包。 对于 32 位处理器体系结构,请选择“VpnClientSetupX86”安装程序包。

  2. 双击所需的包进行安装。 如果看到弹出 SmartScreen,选择“详细信息”,然后选择“仍要运行” 。

  3. 在客户端计算机上,导航到“网络设置”,并选择“VPN” 。 VPN 连接显示所连接到的虚拟网络的名称。

  4. 在要通过此用户 VPN 配置连接的每台计算机上安装客户端证书。 使用本机 Azure 证书身份验证类型时,客户端证书是身份验证必需的。 有关生成证书的详细信息,请参阅生成证书。 有关如何安装客户端证书的信息,请参阅安装客户端证书

OpenVPN

在用户 VPN 配置中,如果指定了 OpenVPN 隧道类型,则可以下载并配置 Azure VPN 客户端,或者在某些情况下,可以使用 OpenVPN 客户端软件。 有关步骤,请使用与配置对应的链接。

将 VNet 连接到中心

在本部分中,你会创建虚拟中心与 VNet 之间的连接。 对于本教程,无需配置路由设置。

  1. 在 Azure 门户中,转到“虚拟 WAN”,在左侧窗格中,选择“虚拟网络连接”。

  2. 在“虚拟网络连接”页上,选择“+ 添加连接”。

  3. 在“添加连接”页上,配置连接设置。 有关路由设置的信息,请参阅关于路由

    “添加连接”页的屏幕截图。

    • 连接名称:为连接命名。
    • 中心:选择要与此连接关联的中心。
    • 订阅:验证订阅。
    • 资源组:选择包含要连接的虚拟网络的资源组。
    • 虚拟网络:选择要连接到此中心的虚拟网络。 选择的虚拟网络不能包含现有的虚拟网络网关。
    • 不传播到任何内容:默认设置为“否”。 将开关更改为“是”会使“传播到路由表”和“传播到标签”的配置选项对配置不可用 。
    • 关联路由表:从下拉列表中,可以选择要关联的路由表。
    • 传播到标签:标签是路由表的逻辑组。 对于此设置,请从下拉列表中选择。
    • 静态路由:如有必要,请配置静态路由。 为网络虚拟设备配置静态路由(如果适用)。 对于虚拟网络连接中的静态路由,虚拟 WAN 支持单个下一跃点 IP。 例如,如果你有一个单独的虚拟设备用于入口和出口流量,则最好将虚拟设备置于单独的 VNet 中,并将 VNet 连接到虚拟中心。
    • 绕过此 VNet 中的工作负载的下一个跃点 IP:此设置允许将 NVA 和其他工作负载部署到同一个 VNet 中,而无需强制所有流量通过 NVA。 只有在配置新连接时,才能配置此设置。 如果要将此设置用于已创建的连接,请删除该连接,然后添加新连接。
    • 传播静态路由:目前正在推出此设置。可通过此设置将“静态路由”部分定义的静态路由传播到在“传播到路由表”中定义的路由表。 此外,路由将会传播到标签指定为“传播到标签”的路由表。 这些路由可以在中心之间传播,默认路由 0/0 除外。 此功能正在推出。如果需要启用此功能,请创建支持案例
  4. 完成要配置的设置后,单击“创建”以创建连接。

点到站点会话仪表板

  1. 若要查看活动的点到站点会话,请单击“点到站点会话”。 这将显示连接到用户 VPN 网关的所有活动的点到站点用户。 屏幕截图显示虚拟 WAN 中的点到站点边栏选项卡。

  2. 若要断开用户与用户 VPN 网关的连接,请单击 ... 上下文菜单,然后单击“断开连接”。

屏幕截图显示点到站会话仪表板。

修改设置

修改客户端地址池

  1. 导航到“虚拟中心”->“用户 VPN (点到站点)”。

  2. 单击“网关缩放单元”旁边的值,以打开“编辑用户 VPN 网关”页面 。

  3. 在“编辑用户 VPN 网关”页上,编辑设置。

  4. 单击页面底部的“编辑”以验证您的设置。

  5. 单击“确认”以保存设置。 此页上的任何更改可能需要长达 30 分钟才能完成。

修改 DNS 服务器

  1. 导航到“虚拟中心”->“用户 VPN (点到站点)”。

  2. 单击“自定义 DNS 服务器”旁边的值,以打开“编辑用户 VPN 网关”页面 。

  3. 在“编辑用户 VPN 网关”页面上,编辑“自定义 DNS 服务器”字段 。 在“自定义 DNS 服务器”文本框中输入 DNS 服务器 IP 地址。 最多可指定五个 DNS 服务器。

  4. 单击页面底部的“编辑”以验证您的设置。

  5. 单击“确认”以保存设置。 此页上的任何更改可能需要长达 30 分钟才能完成。

清理资源

当不再需要所创建的资源时,请将其删除。 由于存在依赖关系,必须按特定顺序删除某些虚拟 WAN 资源。 大约需要 30 分钟才能完成删除。

  1. 打开所创建的虚拟 WAN。

  2. 选择与虚拟 WAN 关联的虚拟中心来打开中心页面。

  3. 按以下顺序删除每种网关类型的所有网关实体。 此步骤可能需要 30 分钟才能完成。

    VPN:

    • 断开 VPN 站点连接
    • 删除 VPN 连接
    • 删除 VPN 网关

    ExpressRoute:

    • 删除 ExpressRoute 连接
    • 删除 ExpressRoute 网关
  4. 对与虚拟 WAN 关联的所有中心重复此操作。

  5. 你可在此时删除中心,也可稍后在删除资源组时删除它。

  6. 在 Azure 门户中,导航到资源组。

  7. 选择“删除资源组”。 这将删除资源组中的其他资源,包括中心和虚拟 WAN。

后续步骤