用户 VPN(点到站点)概念
本文介绍了与虚拟 WAN 用户 VPN 点到站点 (P2S) 配置和网关相关的概念及客户可配置的选项。 本文分为多个部分,包括有关 P2S VPN 服务器配置概念的部分,以及有关 P2S VPN 网关概念的部分。
VPN 服务器配置概念
VPN 服务器配置定义了用于对用户进行身份验证、分配 IP 地址和加密流量的身份验证、加密和用户组参数。 P2S 网关与 P2S VPN 服务器配置相关联。
常见概念
| 概念 | 说明 | 说明 |
|---|---|---|
| 隧道类型 | 在 P2S VPN 网关和连接用户之间使用的协议。 | 可用参数:IKEv2 和/或 OpenVPN。 对于 IKEv2 服务器配置,只能使用 RADIUS 和基于证书的身份验证。 对于 Open VPN 服务器配置,可以使用 RADIUS、基于证书和基于 Microsoft Entra ID 的身份验证。 此外,只有 OpenVPN 支持在同一服务器配置中使用多种身份验证方法(例如,在同一配置中使用证书和 RADIUS)。 IKEv2 还存在 255 个路由的协议级限制,而 OpenVPN 的限制为 1000 个路由。 |
| 自定义 IPsec 参数 | P2S VPN 网关对使用 IKEv2 的网关使用的加密参数。 | 有关可用参数,请参阅点到站点 VPN 的自定义 IPsec 参数。 此参数不适用于使用 OpenVPN 身份验证的网关。 |
Azure 证书身份验证概念
以下概念与使用基于证书的身份验证的服务器配置相关。
| 概念 | 说明 | 说明 |
|---|---|---|
| 根证书名称 | 由 Azure 用来标识客户根证书的名称。 | 可配置为任意名称。 可以输入多个根证书。 |
| 公共证书数据 | 从中颁发客户端证书的根证书。 | 输入与根证书公共数据对应的字符串。 有关如何获取根证书公共数据的示例,请参阅以下有关生成证书的文档中的步骤 8。 |
| 吊销的证书 | 由 Azure 用来标识要吊销的证书的名称。 | 可配置为任意名称。 |
| 吊销的证书指纹 | 不能连接到网关的最终用户证书的指纹。 | 此参数的输入是一个或多个证书指纹。 必须单独吊销每个用户证书。 吊销中间证书或根证书不会自动吊销所有子证书。 |
RADIUS 身份验证概念
如果 P2S VPN 网关配置为使用基于 RADIUS 的身份验证,则 P2S VPN 网关将充当网络策略服务器 (NPS) 代理,将身份验证请求转发到客户的 RADIUS 服务器。 网关可以使用一个或两个 RADIUS 服务器来处理身份验证请求。 如果提供了多个 RADIUS 服务器,则身份验证请求会自动在服务器之间进行负载均衡。
| 概念 | 说明 | 说明 |
|---|---|---|
| 主服务器机密 | 在客户的 RADIUS 主服务器上配置的服务器机密,用于通过 RADIUS 协议进行加密。 | 任何共享机密字符串。 |
| 主服务器 IP 地址 | RADIUS 服务器的专用 IP 地址 | 此 IP 必须是虚拟中心可访问的专用 IP。 确保托管 RADIUS 服务器的连接传播到具有网关的中心的 defaultRouteTable。 |
| 辅助服务器机密 | 在第二个 RADIUS 服务器上配置的服务器机密,用于通过 RADIUS 协议进行加密。 | 提供的任何共享机密字符串。 |
| 辅助服务器 IP 地址 | RADIUS 服务器的专用 IP 地址 | 此 IP 必须是虚拟中心可访问的专用 IP。 确保托管 RADIUS 服务器的连接传播到具有网关的中心的 defaultRouteTable。 |
| RADIUS 服务器根证书 | RADIUS 服务器根证书公共数据。 | 此字段是可选的。 输入与 RADIUS 根证书公共数据对应的字符串。 可以输入多个根证书。 所有用于身份验证的客户端证书必须从指定的根证书颁发。 有关如何获取证书公共数据的示例,请参阅以下有关生成证书的文档中的步骤 8。 |
| 已吊销的客户端证书 | 已吊销的 RADIUS 客户端证书的指纹。 提供已吊销的证书的客户端将无法连接。 | 此字段是可选的。 必须单独吊销每个用户证书。 吊销中间证书或根证书不会自动吊销所有子证书。 |
Microsoft Entra 身份验证概念
以下概念与使用基于 Microsoft Entra ID 的身份验证的服务器配置相关。 仅当隧道类型为 OpenVPN 时,才可使用基于 Microsoft Entra ID 的身份验证。
| 概念 | 说明 | 可用参数 |
|---|---|---|
| 受众 | 在 Microsoft Entra 租户中注册的 Azure VPN 企业应用程序的应用程序 ID。 | 有关如何在租户中注册 Azure VPN 应用程序和查找应用程序 ID 的详细信息,请参阅为 P2S 用户 VPN OpenVPN 协议连接配置租户 |
| 颁发者 | 与 Active Directory 关联的安全令牌服务 (STS) 对应的完整 URL。 | 采用以下格式的字符串:https://sts.chinacloudapi.cn/<your Directory ID>/ |
| Microsoft Entra 租户 | 与用于在网关上进行身份验证的 Active Directory 租户对应的完整 URL。 | 根据部署 Active Directory 租户的云而异。 有关每个云中的配置的详细信息,请参阅下文。 |
Microsoft Entra 租户 ID
下表根据部署 Microsoft Entra ID 的云描述了 Microsoft Entra URL 的格式。
| 云 | 参数格式 |
|---|---|
| Azure 公有云 | https://login.partner.microsoftonline.cn/{AzureAD TenantID} |
| 由世纪互联运营的 Microsoft Azure | https://login.chinacloudapi.cn/{AzureAD TenantID} |
| 中国世纪互联云 | https://login.chinacloudapi.cn/{AzureAD TenantID} |
用户组(多池)概念
以下概念与虚拟 WAN 中的用户组(多池)相关。 用户组允许根据连接用户的凭据为他们分配不同的 IP 地址,从而可以配置访问控制列表 (ACL) 和防火墙规则来保护工作负载。 有关详细信息和示例,请参阅多池概念。
服务器配置包含组的定义,可以在网关上使用这些组将服务器配置组映射到 IP 地址。
| 概念 | 说明 | 说明 |
|---|---|---|
| 用户组/策略组 | 用户组或策略组是应为其分配同一地址池中的 IP 地址的一组用户的逻辑表示形式。 | 有关详细信息,请参阅关于用户组。 |
| 默认组 | 当用户尝试使用用户组功能连接到网关时,与分配到网关的任何组都不匹配的用户将自动被视为默认组的成员,并为其分配一个与该组关联的 IP 地址。 | 可将服务器配置中的每个组指定为默认组或非默认组,创建组后无法更改此设置。 可为每个 P2S VPN 网关分配一个(且只能是一个)默认组,即使分配的服务器配置包含多个默认组,也是如此。 |
| 组优先级 | 将多个组分配到网关时,连接用户可以提供与多个组匹配的凭据。 虚拟 WAN 按递增的优先级顺序处理分配到网关的组。 | 优先级是正整数,首先处理优先级数值较低的组。 每个组的优先级必须不同。 |
| 组设置/成员 | 用户组由成员构成。 成员不对应于单个用户,而是定义了条件/匹配条件用于确定连接用户属于哪个组。 将某个组分配到网关后,其凭据与为该组的成员之一指定的条件匹配的连接用户将被视为该组的成员,并可为其分配适当的 IP 地址。 | 有关可用条件的完整列表,请参阅可用的组设置。 |
网关配置概念
以下部分介绍与 P2S VPN 网关相关的概念。 每个网关与一个 VPN 服务器配置相关联,并具有其他许多可配置选项。
一般网关概念
| 概念 | 说明 | 说明 |
|---|---|---|
| 网关缩放单元 | 网关缩放单元定义一个 P2S VPN 网关可以支持的聚合吞吐量和并发用户数。 | 网关缩放单元的数量范围为 1 到 200 个,每个网关支持 500 到 100,000 个用户。 |
| P2S 服务器配置 | 定义由 P2S VPN 网关用来对传入用户进行身份验证的身份验证参数。 | 与虚拟 WAN 网关关联的任何 P2S 服务器配置。 必须成功创建服务器配置,网关才能引用该配置。 |
| 自定义 DNS 服务器 | 连接用户应将 DNS 请求转发到的 DNS 服务器的 IP 地址。 | 任何可路由的 IP 地址。 |
| 传播默认路由 | 如果为虚拟 WAN 中心配置了 0.0.0.0/0 默认路由(默认路由表中的静态路由或从本地播发的 0.0.0.0/0),此设置控制是否将 0.0.0.0/0 路由播发到连接用户。 | 此字段可设置为 true 或 false。 |
特定于 RADIUS 的概念
| 概念 | 说明 | 说明 |
|---|---|---|
| 使用远程/本地 RADIUS 服务器设置 | 控制虚拟 WAN 是否可以将 RADIUS 身份验证数据包转发到本地托管的 RADIUS 服务器,或已连接到其他虚拟中心的虚拟网络中的 RADIUS 服务器。 | 此设置有两个值:true 或 false。 将虚拟 WAN 配置为使用基于 RADIUS 的身份验证时,虚拟 WAN P2S 网关将充当 RADIUS 代理,将身份验证请求发送到 RADIUS 服务器。 此设置(如果为 true)允许虚拟 WAN 网关与本地部署的或已连接到其他中心的虚拟网络中的 RADIUS 服务器通信。 如果为 false,则虚拟 WAN 只能使用网关对已连接到中心的虚拟网络中托管的 RADIUS 服务器进行身份验证。 |
| RADIUS 代理 IP | 由 P2S VPN 网关发送到 RADIUS 服务器的 RADIUS 身份验证数据包具有 RADIUS 代理 IP 字段指定的源 IP。 需要将这些 IP 作为 RADIUS 服务器上的 RADIUS 客户端加入允许列表。 | 无法直接配置此参数。 如果“使用远程/本地 RADIUS 服务器”设置为 true,则会自动将 RADIUS 代理 IP 配置为网关上指定的客户端地址池中的 IP 地址。 如果此设置为 false,则 IP 是中心地址空间中的 IP 地址。 可以在 Azure 门户中的 P2S VPN 网关页上找到 RADIUS 代理 IP。 |
连接配置概念
P2S VPN 网关上可以使用一个或多个连接配置。 每个连接配置包括一个路由配置(参阅下面的注意事项),表示分配有同一地址池中 IP 地址的用户组或用户段。
| 概念 | 说明 | 说明 |
|---|---|---|
| 配置名称 | P2S VPN 配置的名称 | 可以提供任意名称。 如果利用用户组/多池功能,则可以在网关上使用多个连接配置。 如果未使用此功能,则每个网关只能有一个配置。 |
| 用户组 | 对应于配置的用户组 | VPN 服务器配置中引用的任何用户组。 此参数是可选的。 有关详细信息,请参阅关于用户组。 |
| 地址池 | 地址池是为连接用户分配的专用 IP 地址。 | 可将地址池指定为不与任何虚拟中心地址空间重叠的任何 CIDR 块、已连接到虚拟 WAN 的虚拟网络中使用的 IP 地址,或从本地播发的地址。 根据网关上指定的缩放单元,可能需要多个 CIDR 块。 有关详细信息,请参阅关于地址池。 |
| 路由配置 | 与虚拟中心建立的每个连接都有一个路由配置,该配置定义连接要关联到哪个路由表,以及该路由表要传播到其他哪些路由表。 | 与同一中心建立的所有分支连接(ExpressRoute、VPN、NVA)必须关联到 defaultRouteTable 并传播到同一组路由表。 为分支连接设置不同的传播可能导致意外的路由行为,因为虚拟 WAN 将为一个分支选择路由配置并将其应用于所有分支,因而会从本地获知路由。 |
后续步骤
在此处添加介绍后续步骤的几篇文章的链接。