使用 Azure 虚拟 WAN 创建 P2S 用户 VPN 连接 - Microsoft Entra 身份验证

本文介绍如何使用虚拟 WAN 连接到 Azure 中的资源。 在本文中，你将创建与虚拟 WAN 的点到站点用户 VPN 连接，虚拟 WAN 使用 Microsoft Entra 身份验证。 Microsoft Entra 身份验证仅适用于使用 OpenVPN 协议的网关。

在本文中，学习如何：

• 创建虚拟 WAN
• 创建用户 VPN 配置
• 下载虚拟 WAN 用户 VPN 配置文件
• 创建虚拟中心
• 编辑中心以添加 P2S 网关
• 将 VNet 连接到虚拟中心
• 下载并应用用户 VPN 客户端配置
• 查看虚拟 WAN

开始之前

在开始配置之前，请验证你是否符合以下条件：

• 你拥有一个要连接到的虚拟网络。 确认本地网络的任何子网都不会与要连接到的虚拟网络重叠。 要在 Azure 门户中创建虚拟网络，请参阅快速入门。

• 虚拟网络不包含任何虚拟网络网关。 如果虚拟网络包含网关（VPN 或 ExpressRoute），则必须删除所有网关。 此配置要求将虚拟网络改为连接到虚拟 WAN 中心网关。

• 获取中心区域的 IP 地址范围。 该中心是虚拟 WAN 创建和使用的虚拟网络。 为中心指定的地址范围不能与要连接到的任何现有虚拟网络重叠。 此外，它也不能与本地连接到的地址范围重叠。 如果不熟悉本地网络配置中的 IP 地址范围，请咨询能够提供此类详细信息的人员。

• 如果没有 Azure 订阅，请创建一个试用版版订阅。

创建虚拟 WAN

从浏览器导航到 Azure 门户并使用 Azure 帐户登录。

1. 在门户中的“搜索资源”栏中，在搜索框中键入“虚拟 WAN”，然后选择 Enter 。

2. 从结果中选择“虚拟 WAN”。 在“虚拟 WAN”页面上，选择“+ 创建”以打开“创建 WAN”页面 。

3. 在“创建 WAN”页的“基本信息”选项卡上，填写以下字段 。 修改示例值以应用于你的环境。

   

   • 订阅：选择要使用的订阅。
   • 资源组：新建资源组或使用现有的资源组。
   • 资源组位置：从下拉列表中选择资源位置。 WAN 是一个全局资源，不会驻留在某个特定区域。 但是，必须选择一个区域才能管理和查找所创建的 WAN 资源。
   • 名称：键入要用于称呼虚拟 WAN 的名称。
   • 类型：基本或标准。 选择“标准”。 如果选择“基本”，请了解基本虚拟 WAN 只能包含基本中心。 基本中心只能用于站点到站点连接。

4. 填写完字段后，在页面底部，选择“查看 + 创建”。

5. 验证通过后，单击“创建”以创建虚拟 WAN。

创建用户 VPN 配置

用户 VPN 配置定义连接远程客户端的参数。 请务必在使用 P2S 设置配置虚拟中心之前创建用户 VPN 配置，因为必须指定要使用的用户 VPN 配置。

1. 导航到“虚拟 WAN -> 用户 VPN 配置”页，然后单击“+ 创建用户 VPN 配置”。

   

2. 在“基本”页上，指定参数。

   

   • 配置名称 - 输入要用来调用用户 VPN 配置的名称。
   • 隧道类型 - 从下拉菜单中选择“OpenVPN”。

3. 单击“Microsoft Entra ID”以打开页面。

   

   将“Microsoft Entra ID”切换为“是”，并基于租户详细信息提供以下值。 可以在门户中企业应用程序的“Microsoft Entra ID”页上查看所需的值。

   • 身份验证方法 - 选择“Microsoft Entra ID”。
   • 受众 - 键入在 Microsoft Entra 租户中注册的 Azure VPN 企业应用程序的应用程序 ID。
   • 颁发者 - https://sts.chinacloudapi.cn/<your Directory ID>/
   • Microsoft Entra 租户 - https://login.chinacloudapi.cn/<your Directory ID>

4. 单击“创建”以创建用户 VPN 配置。 稍后将在练习中选择此配置。

创建空白的中心

在本练习中，我们将在此步骤中创建一个空虚拟中心，并在下一部分中，将 P2S 网关添加到此中心。 但是，也可以将这些步骤结合起来，一次性创建具有 P2S 网关设置的中心。 无论哪种方式，结果都是相同的。 配置设置后，单击“查看 + 创建”进行验证，然后单击“创建”。

1. 转到你创建的虚拟 WAN。 在虚拟 WAN 页左侧窗格上的“连接性”下，选择“中心”。

2. 在“中心”页上，选择“+ 新建中心”以打开“创建虚拟中心”页 。

   

3. 在“创建虚拟中心”页上的“基本”选项卡上，请填写以下字段 ：

   • 区域：选择要在其中部署虚拟中心的区域。
   • 名称：想要用于称呼虚拟中心的名称。
   • 中心专用地址空间：用 CIDR 表示法来表示的中心地址范围。 用于创建中心的最小地址空间为 /24。
   • 虚拟中心容量：从下拉列表中选择。 有关详细信息，请参阅虚拟中心设置。

将 P2S 网关添加到中心

本节演示如何将网关添加到现有的虚拟中心。 此步骤最多可能需要 30 分钟才能让中心完成更新。

1. 导航到虚拟 WAN 下的“中心”页。

2. 单击要编辑的中心的名称，以打开该中心对应的页。

3. 单击页面顶部的“编辑虚拟中心”以打开“编辑虚拟中心”页。

4. 在“编辑虚拟中心”页上，选中“包含 VPN 站点的 VPN 网关”和“包含点到站点网关”的复选框以显示设置。 然后配置这些值。

   

   • 网关缩放单元：选择“网关缩放单元”。 缩放单元表示用户 VPN 网关的聚合容量。 如果选择 40 或更多网关缩放单元，请相应地规划客户端地址池。 有关此设置如何影响客户端地址池的信息，请参阅关于客户端地址池。 有关网关缩放单元的信息，请参阅常见问题解答。
   • 用户 VPN 配置：选择之前创建的配置。
   • 用户组到地址池的映射：有关此设置的信息，请参阅为 P2S 用户 VPN 配置用户组和 IP 地址池（预览版）。

5. 配置设置后，单击“确认”以更新中心。 更新中心最多可能需要 30 分钟。

将 VNet 连接到中心

在本部分中，你会创建虚拟中心与 VNet 之间的连接。

1. 在 Azure 门户中，转到“虚拟 WAN”->“虚拟网络连接”页。

2. 在“添加连接”页上，配置连接设置。 有关路由设置的信息，请参阅关于路由。

   

   • 连接名称：为连接命名。
   • 中心：选择要与此连接关联的中心。
   • 订阅：验证订阅。
   • 资源组：选择包含要连接的虚拟网络的资源组。
   • 虚拟网络：选择要连接到此中心的虚拟网络。 选择的虚拟网络不能包含现有的虚拟网络网关。
   • 不传播到任何内容：默认设置为“否”。 将开关更改为“是”会使“传播到路由表”和“传播到标签”的配置选项对配置不可用 。
   • 关联路由表：从下拉列表中，可以选择要关联的路由表。
   • 传播到标签：标签是路由表的逻辑组。 对于此设置，请从下拉列表中选择。
   • 静态路由：如有必要，请配置静态路由。 为网络虚拟设备配置静态路由（如果适用）。 对于虚拟网络连接中的静态路由，虚拟 WAN 支持单个下一跃点 IP。 例如，如果你有一个单独的虚拟设备用于入口和出口流量，则最好将虚拟设备置于单独的 VNet 中，并将 VNet 连接到虚拟中心。
   • 绕过此 VNet 中的工作负载的下一个跃点 IP：此设置允许将 NVA 和其他工作负载部署到同一个 VNet 中，而无需强制所有流量通过 NVA。 只有在配置新连接时，才能配置此设置。 如果要将此设置用于已创建的连接，请删除该连接，然后添加新连接。

3. 完成要配置的设置后，单击“创建”以创建连接。

下载用户 VPN 配置文件

VPN 客户端的所有必需配置设置都包含在 VPN 客户端 zip 配置文件中。 zip 文件中的设置有助于轻松配置 VPN 客户端。 生成的 VPN 客户端配置文件特定于网关的用户 VPN 配置。 可以下载全局（WAN 级）配置文件或特定中心的配置文件。 有关信息和补充说明，请参阅下载全局配置文件和中心配置文件。 以下步骤将指导你下载全局 WAN 级配置文件。

1. 若要生成 WAN 级全局配置文件 VPN 客户端配置包，请转到“虚拟 WAN”（而不是虚拟中心）。

2. 在左侧窗格中，选择“用户 VPN 配置”。

3. 选择要下载其配置文件的配置。 如果有多个中心分配给同一个配置文件，请展开配置文件以显示中心，然后选择使用配置文件的中心之一。

4. 选择“下载虚拟 WAN 用户 VPN 配置文件”。

5. 在下载页上，选择“EAPTLS”，然后选择“生成并下载配置文件”。 系统将生成包含客户端配置设置的配置文件包（zip 文件），并将其下载到计算机。 包的内容取决于适用于你的配置的身份验证和隧道选项。

配置用户 VPN 客户端

连接的每台计算机都必须安装客户端。 可以使用在前面步骤中下载的 VPN 用户客户端配置文件来配置每个客户端。 阅读与要连接的操作系统有关的文章。

配置 macOS VPN 客户端（预览版）

有关 macOS 客户端说明，请参阅配置 VPN 客户端 - macOS（预览版）。

配置 Windows VPN 客户端

1. 使用下列其中一个链接下载最新版本的 Azure VPN 客户端安装文件：

   • 使用客户端安装文件安装：https://aka.ms/azvpnclientdownload。
   • 在客户端计算机上登录时直接安装：Microsoft Store。

2. 将 Azure VPN 客户端安装到每台计算机。

3. 验证 Azure VPN 客户端是否有权在后台运行。 有关步骤，请参阅 Windows 后台应用。

4. 若要验证已安装的客户端版本，请打开 Azure VPN 客户端。 转到客户端底部并单击“... -> ? 帮助”。 在右窗格中，可以看到客户端版本号。

导入 VPN 客户端配置文件 (Windows)

1. 在页面上，选择“导入”。

   

2. 浏览到 XML 配置文件并将其选中。 选择该文件后，选择“打开”。

   

3. 指定配置文件的名称，并选择“保存”。

   

4. 选择“连接”以连接到 VPN。

   

5. 连接后，图标将变为绿色并指示“已连接”。

   

删除客户端配置文件 - Windows

1. 选择要删除的客户端配置文件旁边的省略号图标 (...)。 然后选择“删除” 。

   

2. 选择“删除”以删除配置文件。

   

诊断连接问题 - Windows

1. 若要诊断连接问题，可以使用“诊断”工具。 选择要诊断的 VPN 连接旁边的省略号图标 (...) 以显示菜单。 然后选择“诊断”。

   

2. 在“连接属性”页上，选择“运行诊断”。

   

3. 使用凭据登录。

   

4. 查看诊断结果。

   

查看虚拟 WAN

1. 导航到虚拟 WAN。
2. 在“概述”页上，地图中的每个点表示一个中心。
3. 在“中心和连接”部分，可以查看中心状态、站点、区域、VPN 连接状态和传入与传出字节数。

清理资源

当不再需要所创建的资源时，请将其删除。 由于存在依赖关系，必须按特定顺序删除某些虚拟 WAN 资源。 大约需要 30 分钟才能完成删除。

1. 打开所创建的虚拟 WAN。

2. 选择与虚拟 WAN 关联的虚拟中心来打开中心页面。

3. 按以下顺序删除每种网关类型的所有网关实体。 此步骤可能需要 30 分钟才能完成。

   VPN：

   • 断开 VPN 站点连接
   • 删除 VPN 连接
   • 删除 VPN 网关

   ExpressRoute：

   • 删除 ExpressRoute 连接
   • 删除 ExpressRoute 网关

4. 对与虚拟 WAN 关联的所有中心重复此操作。

5. 你可在此时删除中心，也可稍后在删除资源组时删除它。

6. 在 Azure 门户中，导航到资源组。

7. 选择“删除资源组”。 这将删除资源组中的其他资源，包括中心和虚拟 WAN。

后续步骤

关于虚拟 WAN 常见问题解答，请参阅虚拟 WAN 常见问题解答。