Begrepp för användar-VPN (punkt-till-plats)
I följande artikel beskrivs begrepp och kundkonfigurerbara alternativ som är associerade med P2S-konfigurationer och gatewayer (Virtual WAN User VPN point-to-site). Den här artikeln är uppdelad i flera avsnitt, inklusive avsnitt om konfigurationsbegrepp för P2S VPN-server och avsnitt om begrepp för P2S VPN-gateway.
Konfigurationsbegrepp för VPN-server
VPN-serverkonfigurationer definierar de autentiserings-, krypterings- och användargruppsparametrar som används för att autentisera användare och tilldela IP-adresser och kryptera trafik. P2S-gatewayer är associerade med P2S VPN-serverkonfigurationer.
Vanliga begrepp
| Begrepp | beskrivning | Kommentar |
|---|---|---|
| Tunneltyp | Protokoll som används mellan P2S VPN-gatewayen och anslutande användare. | Tillgängliga parametrar: IKEv2, OpenVPN eller båda. För IKEv2-serverkonfigurationer är endast RADIUS och certifikatbaserad autentisering tillgängliga. För Open VPN-serverkonfigurationer är RADIUS, certifikatbaserad och Microsoft Entra ID-baserad autentisering tillgängliga. Dessutom stöds flera autentiseringsmetoder på samma serverkonfiguration (till exempel certifikat och RADIUS i samma konfiguration) endast för OpenVPN. IKEv2 har också en gräns på 255 vägar på protokollnivå, medan OpenVPN har en gräns på 1 000 vägar. |
| Anpassade IPsec-parametrar | Krypteringsparametrar som används av P2S VPN-gatewayen för gatewayer som använder IKEv2. | Tillgängliga parametrar finns i Anpassade IPsec-parametrar för punkt-till-plats-VPN. Den här parametern gäller inte för gatewayer med OpenVPN-autentisering. |
Begrepp för Azure-certifikatautentisering
Följande begrepp gäller serverkonfigurationer som använder certifikatbaserad autentisering.
| Begrepp | beskrivning | Kommentar |
|---|---|---|
| Rotcertifikatets namn | Namn som används av Azure för att identifiera kundrotcertifikat. | Kan konfigureras som valfritt namn. Du kan ha flera rotcertifikat. |
| Offentliga certifikatdata | Rotcertifikat från vilka klientcertifikat utfärdas. | Ange strängen som motsvarar offentliga rotcertifikatdata. Ett exempel på hur du hämtar offentliga rotcertifikatdata finns i steg 8 i följande dokument om att generera certifikat. |
| Återkallat certifikat | Namn som används av Azure för att identifiera certifikat som ska återkallas. | Kan konfigureras som valfritt namn. |
| Återkallat tumavtryck för certifikat | Tumavtryck för slutanvändarcertifikat som inte ska kunna ansluta till gatewayen. | Indata för den här parametern är ett eller flera tumavtryck för certifikat. Varje användarcertifikat måste återkallas individuellt. Om du återkallar ett mellanliggande certifikat eller ett rotcertifikat återkallas inte automatiskt alla underordnade certifikat. |
RADIUS-autentiseringsbegrepp
Om en P2S VPN-gateway har konfigurerats för att använda RADIUS-baserad autentisering fungerar P2S VPN-gatewayen som en NPS-proxy (Network Policy Server) för att vidarebefordra autentiseringsbegäranden till kundens RADIUS-server. Gatewayer kan använda en eller två RADIUS-intervall för att bearbeta autentiseringsbegäranden. Autentiseringsbegäranden belastningsbelastas automatiskt mellan RADIUS-servrarna om flera tillhandahålls.
| Begrepp | beskrivning | Kommentar |
|---|---|---|
| Primär serverhemlighet | Serverhemlighet konfigurerad på kundens primära RADIUS-server som används för kryptering av RADIUS-protokoll. | Alla delade hemliga strängar. |
| Ip-adress för primär server | Privat IP-adress för RADIUS-servern | Den här IP-adressen måste vara en privat IP-adress som kan nås av den virtuella hubben. Kontrollera att anslutningen som är värd för RADIUS-servern sprids till defaultRouteTable för hubben med gatewayen. |
| Sekundär serverhemlighet | Serverhemlighet konfigurerad på den andra RADIUS-servern som används för kryptering av RADIUS-protokollet. | Alla angivna delade hemlighetssträngar. |
| IP-adress för sekundär server | RADIUS-serverns privata IP-adress | Den här IP-adressen måste vara en privat IP-adress som kan nås av den virtuella hubben. Kontrollera att anslutningen som är värd för RADIUS-servern sprids till defaultRouteTable för hubben med gatewayen. |
| RADIUS-serverns rotcertifikat | Offentliga data för RADIUS-serverns rotcertifikat. | Det här fältet är valfritt. Ange de strängar som motsvarar offentliga data för RADIUS-rotcertifikatet. Du kan ange flera rotcertifikat. Alla klientcertifikat som presenteras för autentisering måste utfärdas från de angivna rotcertifikaten. Ett exempel på hur du hämtar offentliga certifikatdata finns i steg 8 i följande dokument om att generera certifikat. |
| Återkallade klientcertifikat | Tumavtryck för återkallade RADIUS-klientcertifikat. Klienter som presenterar återkallade certifikat kommer inte att kunna ansluta. | Det här fältet är valfritt. Varje användarcertifikat måste återkallas individuellt. Om du återkallar ett mellanliggande certifikat eller ett rotcertifikat återkallas inte automatiskt alla underordnade certifikat. |
Microsoft Entra-autentiseringsbegrepp
Följande begrepp gäller serverkonfigurationer som använder Microsoft Entra ID-baserad autentisering. Microsoft Entra ID-baserad autentisering är endast tillgänglig om tunneltypen är OpenVPN.
| Begrepp | beskrivning | Tillgängliga parametrar |
|---|---|---|
| Målgrupp | Program-ID för Azure VPN Enterprise-programmet som är registrerat i din Microsoft Entra-klientorganisation. | Mer information om hur du registrerar Azure VPN-programmet i din klientorganisation och hittar program-ID :t finns i Konfigurera en klientorganisation för P2S-användares VPN OpenVPN-protokollanslutningar |
| Utfärdare | Fullständig URL som motsvarar säkerhetstokentjänsten (STS) som är associerad med din Active Directory. | Sträng i följande format: https://sts.windows.net/<your Directory ID>/ |
| Microsoft Entra-klientorganisation | Fullständig URL som motsvarar den Active Directory-klient som används för autentisering på gatewayen. | Varierar beroende på vilket moln Active Directory-klientorganisationen distribueras i. Se nedan för information per moln. |
Klient-ID för Microsoft Entra
I följande tabell beskrivs formatet för Microsoft Entra-URL:en baserat på vilket Moln-Microsoft Entra-ID som distribueras i.
| Moln | Parameterformat |
|---|---|
| Offentligt Azure-moln | https://login.microsoftonline.com/{AzureAD TenantID} |
| Azure Government Cloud | https://login.microsoftonline.us/{AzureAD TenantID} |
| Kina 21Vianet Cloud | https://login.chinacloudapi.cn/{AzureAD TenantID} |
Begrepp för användargrupper (flera pooler)
Följande begrepp som rör användargrupper (flera pooler) i Virtual WAN. Med användargrupper kan du tilldela olika IP-adresser till anslutande användare baserat på deras autentiseringsuppgifter, så att du kan konfigurera åtkomstkontrollistor (ACL) och brandväggsregler för att skydda arbetsbelastningar. Mer information och exempel finns i begrepp med flera pooler.
Serverkonfigurationen innehåller definitionerna av grupper och grupperna används sedan på gatewayer för att mappa serverkonfigurationsgrupper till IP-adresser.
| Begrepp | beskrivning | Kommentar |
|---|---|---|
| Användargrupp/principgrupp | En användargrupp eller principgrupp är en logisk representation av en grupp användare som ska tilldelas IP-adresser från samma adresspool. | Mer information finns i om användargrupper. |
| Standardgrupp | När användare försöker ansluta till en gateway med hjälp av användargruppsfunktionen anses användare som inte matchar någon grupp som tilldelats gatewayen automatiskt vara en del av standardgruppen och tilldelas en IP-adress som är associerad till den gruppen. | Varje grupp i en serverkonfiguration kan anges som en standardgrupp eller en grupp som inte är standard och den här inställningen kan inte ändras när gruppen har skapats. Exakt en standardgrupp kan tilldelas till varje P2S VPN-gateway, även om den tilldelade serverkonfigurationen har flera standardgrupper. |
| Gruppprioritet | När flera grupper tilldelas till en gateway kan en anslutande användare visa autentiseringsuppgifter som matchar flera grupper. Virtuella WAN-processer grupper som tilldelats en gateway i ökad prioritetsordning. | Prioriteringar är positiva heltal och grupper med lägre numeriska prioriteringar bearbetas först. Varje grupp måste ha en särskild prioritet. |
| Gruppinställningar/medlemmar | Användargrupper består av medlemmar. Medlemmar motsvarar inte enskilda användare utan definierar snarare de villkor/matchningsvillkor som används för att avgöra vilken grupp en anslutande användare är en del av. När en grupp har tilldelats en gateway anses en anslutande användare vars autentiseringsuppgifter matchar de kriterier som angetts för en av gruppens medlemmar vara en del av den gruppen och kan tilldelas en lämplig IP-adress. | En fullständig lista över tillgängliga villkor finns i tillgängliga gruppinställningar. |
Konfigurationsbegrepp för gateway
I följande avsnitt beskrivs begrepp som är associerade med P2S VPN-gatewayen. Varje gateway är associerad med en VPN-serverkonfiguration och har många andra konfigurerbara alternativ.
Allmänna gatewaybegrepp
| Begrepp | beskrivning | Kommentar |
|---|---|---|
| Gateway-skalningsenhet | En gatewayskalningsenhet definierar hur mycket aggregerat dataflöde och samtidiga användare som en P2S VPN-gateway kan stödja. | Gatewayskalningsenheter kan vara mellan 1 och 200, vilket stöder 500 till 100 000 användare per gateway. |
| P2S-serverkonfiguration | Definierar de autentiseringsparametrar som P2S VPN-gatewayen använder för att autentisera inkommande användare. | Alla P2S-serverkonfigurationer som är associerade med Virtual WAN-gatewayen. Serverkonfigurationen måste skapas för att en gateway ska kunna referera till den. |
| Routningsprioritet | Gör att du kan välja hur trafikvägar mellan Azure och Internet ska användas. | Du kan välja att dirigera trafik antingen via Microsoft-nätverket eller via Internetleverantörens nätverk (offentligt nätverk). Mer information om den här inställningen finns i Vad är routningsinställningar? Den här inställningen kan inte ändras när gatewayen har skapats. |
| Anpassade DNS-servrar | IP-adresserna för de DNS-servrar som ansluter användare bör vidarebefordra DNS-begäranden till. | Alla dirigerbara IP-adresser. |
| Sprida standardväg | Om virtual WAN-hubben har konfigurerats med en standardväg på 0.0.0.0/0 (statisk väg i standardvägstabellen eller 0.0.0.0/0 som annonseras lokalt, styr den här inställningen om 0.0.0.0.0/0-vägen annonseras till anslutande användare eller inte. | Fältet kan anges som sant eller falskt. |
RADIUS-specifika begrepp
| Begrepp | beskrivning | Kommentar |
|---|---|---|
| Använda fjärr-/lokal RADIUS-serverinställning | Styr om Virtual WAN kan vidarebefordra RADIUS-autentiseringspaket till RADIUS-servrar som finns lokalt eller i ett virtuellt nätverk som är anslutet till en annan virtuell hubb. | Den här inställningen har två värden, true eller false. När Virtual WAN har konfigurerats för att använda RADIUS-baserad autentisering fungerar Virtual WAN P2S-gatewayen som en RADIUS-proxy som skickar autentiseringsbegäranden till radius-intervallen. Med den här inställningen (om sant) kan Virtual WAN-gateway kommunicera med RADIUS-servrar som distribuerats lokalt eller i ett virtuellt nätverk som är anslutet till en annan hubb. Om det är falskt kan Virtual WAN bara autentisera med RADIUS-servrar som finns i virtuella nätverk som är anslutna till hubben med gatewayen. |
| RADIUS-proxy-IP-adresser | RADIUS-autentiseringspaket som skickas av P2S VPN-gatewayen till RADIUS-servern har käll-IP-adresser som anges av RADIUS-proxy-IP-fältet. Dessa IP-adresser måste vara tillåtna som RADIUS-klienter på RADIUS-servern. | Den här parametern kan inte konfigureras direkt. Om "Använd fjärr-/lokal RADIUS-server" har angetts till true konfigureras RADIUS-proxy-IP-adresserna automatiskt som IP-adresser från klientadresspooler som anges på gatewayen. Om den här inställningen är false är IP-adresserna IP-adresser inifrån hubbadressutrymmet. RADIUS-proxy-IP-adresser finns på Azure Portal på P2S VPN-gatewaysidan. |
Anslutningskonfigurationsbegrepp
Det kan finnas en eller flera anslutningskonfigurationer på en P2S VPN-gateway. Varje anslutningskonfiguration har en routningskonfiguration (se nedan för varningar) och representerar en grupp eller ett segment av användare som har tilldelats IP-adresser från samma adresspooler.
| Begrepp | beskrivning | Kommentar |
|---|---|---|
| Konfigurationsnamn | Namn på en P2S VPN-konfiguration | Valfritt namn kan anges. Du kan ha mer än en anslutningskonfiguration på en gateway om du använder användargrupper/funktionen för flera pooler. Om du inte använder den här funktionen kan det bara finnas en konfiguration per gateway. |
| Användargrupper | Användargrupper som motsvarar en konfiguration | Alla användargrupper som refereras i VPN Server-konfigurationen. Den här parametern är valfri. Mer information finns i om användargrupper. |
| Adresspooler | Adresspooler är privata IP-adresser som ansluter användare tilldelas. | Adresspooler kan anges som alla CIDR-block som inte överlappar med virtuella hubbadressutrymmen, IP-adresser som används i virtuella nätverk som är anslutna till Virtual WAN eller adresser som annonseras lokalt. Beroende på vilken skalningsenhet som anges på gatewayen kan du behöva mer än ett CIDR-block. Mer information finns i om adresspooler. |
| Dirigeringskonfiguration | Varje anslutning till Virtual Hub har en routningskonfiguration som definierar vilken routningstabell anslutningen är associerad med och vilka routningstabeller som routningstabellen sprids till. | Alla grenanslutningar till samma hubb (ExpressRoute, VPN, NVA) måste associeras med defaultRouteTable och spridas till samma uppsättning routningstabeller. Om du har olika spridningar för grenar kan det leda till oväntade routningsbeteenden, eftersom Virtual WAN väljer routningskonfigurationen för en gren och tillämpar den på alla grenar och därför vägar som har lärts lokalt. |
Nästa steg
Lägg till länkar här till ett par artiklar för nästa steg.