下載使用者 VPN 用戶端的全域和中樞 VPN 設定檔
Azure Virtual WAN 提供兩種類型的使用者 VPN 用戶端連線設定檔:全域設定檔和中樞設定檔。 所選設定檔的類型取決於您要將 VPN 用戶端連線至各地負載平衡 WAN 層級設定檔 (全域設定檔) 或要將 VPN 用戶端限制為僅連線至特定中樞 (中樞設定檔)。 本文協助您產生兩種類型設定檔的 VPN 用戶端組態檔。
全域設定檔
與使用者 VPN 設定相關聯的全域設定檔會指向全域流量管理員。 全域流量管理員包含所有使用該使用者 VPN 設定的作用中使用者 VPN 中樞。 不過,如有必要,您可以選擇從全域流量管理員排除中樞。 連線到全域設定檔的使用者會導向最接近使用者地理位置的中樞。 如果您有經常在多個位置之間移動的使用者,這會對您特別實用。
例如,使用者 VPN 設定與相同虛擬 WAN 的兩個不同中樞相關聯,一個位於美國西部,另一個位於東南亞。 如果使用者連線到與使用者 VPN 設定相關聯的全域設定檔,他們將會根據其位置連線到最接近的虛擬 WAN中樞。
重要
如果全域設定檔所使用的點對站 VPN 設定已設定為使用 RADIUS 通訊協定來驗證使用者,請確定所有使用該設定的點對站 VPN 閘道都已開啟「使用遠端/內部部署 RADIUS 伺服器」。 此外,請確定您的 RADIUS 伺服器已進行設定,可接受「所有」使用此 VPN 設定的點對站 VPN 閘道的 RADIUS Proxy IP 位址向其發出驗證要求。
下載全域 VPN 設定檔
若要產生和下載 VPN 用戶端設定檔組態檔,請使用下列步驟:
移至 [虛擬 WAN]。
在左窗格中,選取 [使用者 VPN 設定]。
在 [使用者 VPN 設定] 頁面上,您會看到為 Virtual WAN 建立的所有使用者 VPN 設定。 在 [中樞] 資料行中,您會看到與每個使用者 VPN 設定相關聯的中樞。 按一下 >,展開並檢視中樞名稱。
在下列範例中,您會看到多個資料列,其中包含使用相同使用者 VPN 設定的中樞。 在全域設定檔中,中樞使用相同使用者 VPN 設定時,您可以按一下任何具有所要使用者 VPN 設定檔的中樞資料列。 此頁面中產生的設定檔會與使用者 VPN 設定一致,而不是與特定中樞一致。 如果您想要將 VPN 使用者限制為僅連線至一個中樞 (您不想要使用全域設定檔),請改為使用中樞設定檔步驟。
在此範例中,我們已選取包含 Hub2 的行,但選取包含 Hub3 或 Hub1 的行也會產生相同的設定檔組態檔。 不過,如果我們選取包含 Hub6 的行,則設定檔的設定檔案會不同,因為 Hub6 使用不同的使用者 VPN 設定。
按一下包含所要使用使用者 VPN 設定的行。 這會醒目提示整個行。 接著,按一下 [下載虛擬 WAN 使用者 VPN 設定檔]。
在 [下載虛擬 WAN 使用者 VPN 設定檔] 頁面,選取 [EAPTLS],然後按一下 [產生並下載設定檔]。 設定檔套件 (ZIP 檔案) 包含會產生並下載到您電腦中的 VPN 用戶端組態設定。 套件的內容取決於所選組態的中樞和驗證與通道類型。
在全域設定檔中包含或排除中樞
根據預設,每個使用相同使用者 VPN 設定的中樞都會包含在所產生並下載的全域 VPN 設定檔。 不過,您可以選擇從全域 VPN 設定檔中排除中樞。 如果您已選擇,VPN 用戶端不會負載平衡以連線至該中樞的閘道。
若要檢查全域 VPN 設定檔中是否包含中樞,請移至 [虛擬 WAN]。
在 [概觀] 頁面上,選取 [中樞]。
在 [中樞] 頁面上,按一下中樞。
在 [虛擬中樞] 頁面上,選取左窗格中的 [使用者 VPN (點對站)]。
在 [使用者 VPN (點對站)] 頁面上,查看 [閘道連結狀態],以判斷此中樞是否包含在全域 VPN 設定檔中。 如果狀態是已連結,則表示包含中樞。 如果狀態是已中斷連結,則表示不包含中樞。
若要在全域 VPN 設定檔中包含或排除 (連結或中斷連結) 中樞,請選取 [在全域設定檔中包含/排除閘道]。
在 [包含/排除] 頁面上,選擇下列其中一個選項。
如果您想要從虛擬 WAN全域使用者 VPN 設定檔中移除此中樞的閘道,請按一下 [排除]。 使用中樞設定檔的使用者仍然可以連線到此中樞的閘道。 使用此全域設定檔的使用者無法連線到此中樞的閘道。
如果您想要在虛擬 WAN全域使用者 VPN 設定檔中包含此中樞的閘道,請按一下 [包含]。 使用此全域設定檔的使用者將能夠連線到此中樞的閘道。
全預設定檔最佳做法
新增多個伺服器驗證憑證
本節說明使用 OpenVPN 通道類型和 Azure VPN Client 2.1963.44.0 或更高版本的連線。
當您設定中樞 P2S 閘道時,Azure 會將內部憑證指派給閘道。 這與您想要使用憑證驗證作為驗證方法時所指定的根憑證資訊不同。 指派給中樞的內部憑證會用於所有驗證類型。 此值會在您產生作為 servervalidation/cert/hash 的設定檔群組態檔中呈現。 VPN 用戶端會使用此值作為連線程序的一部分。
如果您在不同地理區域中有多個中樞,每個中樞可能會使用不同的 Azure 層級伺服器驗證憑證。 全域設定檔會包含所有中樞的伺服器驗證憑證雜湊值。 這表示如果該中樞的憑證因任何原因而無法正常運作,則用戶端依然會具有其他中樞必要的伺服器驗證憑證雜湊值。
重要
只有在中樞具有不同的伺服器根簽發者時,才需要設定具有所有中樞憑證雜湊值的 Azure VPN 用戶端。
最佳做法是建議您更新 VPN 用戶端設定檔群組態檔,以包含附加至全域設定檔的所有中樞憑證雜湊值,然後使用更新的檔案來設定 Azure VPN Client。
產生並下載全域設定檔檔案。 使用文字編輯器開啟 azurevpnconfig.xml 檔案。
請依據下列 xml 範例,使用包含每個中樞之伺服器驗證憑證雜湊的全域設定檔組態檔來設定 Azure VPN Client。
</protocolconfig> <serverlist> <ServerEntry> <displayname i:nil="true" /> <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn> </ServerEntry> </serverlist> <servervalidation> <cert> <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash> <issuer i:nil="true" /> </cert> <cert> <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash> <issuer i:nil="true" /> </cert> <cert> <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash> <issuer i:nil="true" /> </cert>
中樞設定檔
當您想要 VPN 使用者僅能連線至單一指定的中樞時,請使用此類型的設定檔。 您在中樞層級產生並下載的檔案包含與在 WAN 層級全域設定檔產生並下載檔案不同的設定。
下載中樞 VPN 設定檔
若要產生和下載 VPN 用戶端設定檔組態檔,請使用下列步驟:
移至虛擬中樞。
在左窗格中,選取 [使用者 VPN (點對站)]。
選取 [下載虛擬中樞使用者 VPN 設定檔]。
在下載頁面上選取 [EAPTLS],然後選取 [產生並下載設定檔]。 設定檔套件 (ZIP 檔案) 包含會產生並下載到您電腦中的用戶端組態設定。 套件的內容取決於您為組態選擇的中樞驗證與通道類型。
下一步
如需使用者 VPN 的詳細資訊,請參閱建立使用者 VPN 點對站連線。