下载用户 VPN 客户端的全局和中心 VPN 配置文件

Azure 虚拟 WAN为用户 VPN 客户端提供两种类型的连接配置文件:全局配置文件和中心配置文件。 选择的配置文件类型取决于是希望 VPN 客户端连接到地理上负载均衡的 WAN 级配置文件(全局配置文件),还是要限制 VPN 客户端仅连接到特定中心(中心配置文件)。 本文可帮助你为这两种类型的配置文件生成 VPN 客户端配置文件。

全局配置

与用户 VPN 配置关联的全局配置文件指向全局流量管理器。 全局流量管理器包含所有使用该 User VPN 配置的处于活动状态的 User VPN 中心。 但是,如有必要,可以选择从全局流量管理器中排除中心。 连接到全局配置文件的用户将定向到离用户地理位置最近的中心。 如果你的用户经常在多个位置之间旅行,这尤其有用。

例如,用户 VPN 配置与同一虚拟 WAN 的两个不同的中心相关联,一个位于中国东部 2,另一个位于中国北部 3。 如果用户连接到与用户 VPN 配置关联的全局配置文件,则会根据其所在位置连接到最近的虚拟 WAN 中心。

重要

如果将用于全局配置文件的点到站点 VPN 配置配置为使用 RADIUS 协议对用户进行身份验证,请确保对使用该配置的所有点到站点 VPN 网关启用“使用远程/本地 RADIUS 服务器”。 此外,请确保 RADIUS 服务器已配置为接受来自使用此 VPN 配置的所有点到站点 VPN 网关的 RADIUS 代理 IP 地址的身份验证请求。

下载全局 VPN 配置文件

若要生成和下载 VPN 客户端配置文件配置文件,请使用以下步骤:

  1. 转到虚拟 WAN

  2. 在左侧窗格中,选择“用户 VPN 配置”。

  3. “用户 VPN 配置 ”页上,你将看到为虚拟 WAN 创建的所有用户 VPN 配置。 在 “中心” 列中,你将看到与每个用户 VPN 配置关联的中心。 单击>以展开并查看集线器名称。

    显示已展开的枢纽列表的屏幕截图。

  4. 在以下示例中,会看到多个包含使用相同用户 VPN 配置的中心的行。 在全局配置文件中,当中心使用相同的用户 VPN 配置时,可以单击具有所需用户 VPN 配置的任何中心行。 从此页面生成的配置文件对应于“用户 VPN 配置”,而非某个特定中心。 如果要限制 VPN 用户仅连接到一个中心(你不想使用全局配置文件),请改用 中心配置文件 步骤。

    显示下载全局配置文件所需选项的屏幕截图。

    在本示例中,我们选择了带有 Hub2 的那一行,但如果选择 Hub3 或 Hub1,也会生成相同的配置文件。 但是,如果我们选择 Hub6 所在的行,配置文件会有所不同,因为 Hub6 使用的是不同的用户 VPN 配置。

    单击包含您要使用的用户 VPN 配置的行。 这会突出显示整行。 然后单击“ 下载虚拟 WAN 用户 VPN 配置文件”。

  5. “下载虚拟 WAN 用户 VPN ”页上,选择 EAPTLS,然后单击“ 生成并下载配置文件”。 将生成包含 VPN 客户端配置设置的配置文件包(zip 文件),并将其下载到计算机。 软件包的内容取决于您所选配置中的集线器,以及身份验证类型和隧道类型选择。

    截取身份验证类型的屏幕截图,并生成和下载配置文件。

将 Hub 纳入或排除在全局配置文件之外

默认情况下,使用相同用户 VPN 配置的每个中心都包含在生成和下载的全局 VPN 配置文件中。 但是,您可以选择将某个 Hub 从全局 VPN 配置文件中排除。 如果这样做,VPN 客户端不会进行负载均衡,无法连接到中心的网关。

  1. 若要检查全局 VPN 配置文件中是否包含中心,请转到虚拟 WAN

  2. 在“ 概述 ”页上,选择 “中心”。

  3. Hubs 页面上,单击该集线器。

  4. 虚拟中心页上的左窗格中,选择“用户 VPN”(指向站点)。

  5. “用户 VPN”(点到站点) 页上,查看 网关附件状态 ,以确定此中心是否包含在全局 VPN 配置文件中。 如果状态为已附加,则包括该集线器。 如果状态为detached,则不包含该集线器。

    显示网关的附件状态的屏幕截图。

  6. 若要从全局 VPN 配置文件中包括或排除中心(附加或分离),请 从全局配置文件中选择“包括/排除网关”。

  7. “包括/排除 ”页上,进行以下选择之一。

    • 如果要从虚拟 WAN全局用户 VPN 配置文件中删除此中心的网关,请单击“排除”。 使用该中心配置的用户仍然能够连接到该中心的网关。 使用此全局配置文件的用户将无法连接到此 Hub 的网关。

    • 如果要将此中心的网关包含在虚拟 WAN全局用户 VPN 配置文件中,请单击“包含”。 使用此全局配置的用户将能够连接到此 Hub 的网关。

全局配置最佳实践

添加多个服务器验证证书

本部分介绍使用 OpenVPN 隧道类型和 Azure VPN 客户端版本 2.1963.44.0 或更高版本的连接。

配置中心 P2S 网关时,Azure向网关分配内部证书。 这与想要使用证书身份验证作为身份验证方法时指定的根证书信息不同。 分配给中心的内部证书用于所有身份验证类型。 此值在您生成的配置文件中表示为 servervalidation/cert/hash。 VPN 客户端将此值用作连接过程的一部分。

如果不同地理区域中有多个中心,每个中心可以使用不同的Azure级服务器验证证书。 全局配置文件包含所有中心的服务器验证证书哈希值。 这意味着,如果该中心的证书因任何原因无法正常工作,客户端仍将具有其他中心所需的服务器验证证书哈希值。

重要

仅当中心具有不同的服务器根颁发者时,才需要配置具有所有中心的证书哈希值的 Azure VPN 客户端。

最佳做法是,建议更新 VPN 客户端配置文件配置文件,以包含附加到全局配置文件的所有中心的证书哈希值,然后使用更新的文件配置 Azure VPN 客户端。

  1. 生成并下载 全局配置文件 。 使用文本编辑器打开 azurevpnconfig.xml 文件。

  2. 给定以下 xml 示例,请使用包含每个中心的服务器验证证书哈希的全局配置文件配置文件配置 Azure VPN 客户端。

      </protocolconfig>
  <serverlist>
    <ServerEntry>
      <displayname
        i:nil="true" />
      <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn>
    </ServerEntry>
  </serverlist>
  <servervalidation>
    <cert>
      <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash>
      <issuer
        i:nil="true" />
    </cert>

枢纽配置文件

如果希望 VPN 用户能够仅连接到单个指定中心,请使用这种类型的配置文件。 在中心级别生成和下载的文件包含的设置不同于在 WAN 级 全局配置文件中生成和下载的文件。

下载中心 VPN 配置文件

若要生成和下载 VPN 客户端配置文件配置文件,请使用以下步骤:

  1. 转到 虚拟中心

  2. 在左窗格中,选择 用户 VPN(点到站点)

  3. 选择 “下载虚拟中心用户 VPN 配置文件”。

    显示如何下载中心配置文件的屏幕截图。

  4. 在下载页上,选择“EAPTLS”,然后选择“生成并下载配置文件”。 系统将生成包含客户端配置设置的配置文件包(zip 文件),并将其下载到计算机。 软件包的内容取决于集线器,以及你为配置所选择的身份验证类型和隧道类型。

后续步骤

有关用户 VPN 的详细信息,请参阅 “创建用户 VPN 点到站点连接”。

  • Last updated on