Поделиться через

Скачивание глобальных профилей и профилей VPN на основе концентратора для VPN-клиентов пользователя

  • Статья

Виртуальная глобальная сеть Azure предлагает два типа профилей подключений для VPN-клиентов пользователя: глобальные профили и профили на основе концентратора. Тип выбранного профиля зависит от того, требуется ли VPN-клиент для подключения к географическому профилю уровня глобальной сети с балансировкой нагрузки (глобальному профилю) или ограничить VPN-клиент подключением только к определенному концентратору (профиль на основе концентратора). Эта статья поможет создать файлы конфигурации VPN-клиента для обоих типов профилей.

Глобальные профили

Глобальный профиль, связанный с конфигурацией VPN пользователя, указывает на глобальный Диспетчер трафика. Глобальный Диспетчер трафика включает все активные VPN-концентраторы пользователя, использующие пользовательскую конфигурацию VPN. Однако при необходимости можно исключить центры из глобального Диспетчер трафика. Пользователь, подключенный к глобальному профилю, направляется в концентратор, ближайший к географическому расположению пользователя. Это особенно полезно, если у вас есть пользователи, которые часто путешествуют между несколькими расположениями.

Например, конфигурация VPN пользователя связана с двумя разными концентраторами для одной виртуальной глобальной сети, один из которых находится в западной части США, а другой — в Юго-Восточной Азии. Если пользователь подключается к глобальному профилю, связанному с конфигурацией VPN пользователя, он будет подключаться к ближайшему концентратору виртуальной глобальной сети в зависимости от их расположения.

Важно!

Если конфигурация VPN "точка — сеть", используемая для глобального профиля, настроена для проверки подлинности пользователей с помощью протокола RADIUS, убедитесь, что для всех VPN-шлюзов типа "точка — сеть" включен параметр "Использовать удаленный или локальный сервер RADIUS" с помощью этой конфигурации. Кроме того, убедитесь, что RADIUS-сервер настроен для приема запросов проверки подлинности с IP-адресов прокси-сервера RADIUS всех VPN-шлюзов типа "точка — сеть" с помощью этой конфигурации VPN.

Скачивание глобального профиля VPN

Чтобы создать и скачать файлы конфигурации профиля VPN-клиента, выполните следующие действия.

  1. Перейдите в виртуальную глобальную сеть.

  2. В области слева выберите Пользовательские конфигурации VPN.

  3. На странице конфигураций VPN пользователя вы увидите все конфигурации VPN пользователя, созданные для виртуальной глобальной сети. В столбце Концентратор вы увидите концентраторы, связанные с каждой конфигурацией VPN пользователя. Щелкните >, чтобы развернуть и просмотреть имена концентраторов.

    Screenshot that shows hubs list expanded.

  4. В следующем примере вы увидите несколько строк с концентраторами, которые используют одну и ту же конфигурацию VPN пользователя. В глобальном профиле, когда концентраторы используют ту же конфигурацию VPN пользователя, можно щелкнуть любую строку концентратора с нужной конфигурацией VPN пользователя. Файлы профилей, создаваемые на этой странице, соответствуют конфигурации VPN пользователя, а не определенному концентратору. Если вы хотите ограничить VPN пользователей подключением только к одному концентратору (вы не хотите применять глобальный профиль), тогда используйте действия профиля на основе концентратора.

    Screenshot that shows selections for downloading a global profile.

    В примере мы выбрали строку с Hub2, но при выборе Hub3 или Hub1 будут создаваться такие же файлы конфигурации профиля. Однако если выбрана строка с Hub6, файлы конфигурации профиля будут отличаться, так как Hub6 использует другую конфигурацию VPN пользователя.

    Щелкните строку, содержащую конфигурацию VPN пользователя, которую вы хотите использовать. При этом выделяется вся строка. Затем щелкните Скачать профиль VPN пользователя виртуальной глобальной сети.

  5. На странице Скачать VPN пользователя виртуальной глобальной сети выберите EAPTLS, а затем щелкните Создать и скачать профиль. Будет создан и скачан на ваш компьютер пакет профиля (ZIP-файл) с параметрами конфигурации VPN-клиента. Содержимое пакета зависит от выбранных вами параметров концентраторов, проверки подлинности и типа туннеля для конфигурации.

    Screenshot the authentication type and generate and download profile.

Включение или исключение концентратора из глобального профиля

По умолчанию каждый концентратор, использующий одну и ту же конфигурацию VPN пользователя, включается в глобальный профиль VPN, который вы создаете и скачиваете. Но вы можете исключить концентратор из глобального профиля VPN. В этом случае VPN-клиент не будет распределять нагрузку пользователя при подключении к шлюзу концентратора.

  1. Чтобы проверить, включен ли концентратор в глобальный профиль VPN, перейдите к Виртуальная глобальная сеть.

  2. На странице Обзор выберите Концентраторы.

  3. На странице Концентраторы щелкните концентратор.

  4. На странице Виртуальный концентратор в области слева выберите VPN пользователя (точка — сеть).

  5. Чтобы определить, включен ли этот концентратор в глобальный профиль VPN, см. сведения в разделе Состояние подключения шлюза на странице VPN пользователя (точка — сеть). Если указано состояние Подключено, концентратор включен. Если указано состояние Не подключено, центр не включен.

    Screenshot that shows the attachment state of a gateway.

  6. Чтобы включить или исключить (добавить или удалить) концентратор из глобального профиля VPN, выберите Включить или исключить шлюз из глобального профиля.

  7. На странице Включение/Исключение выберите один из следующих вариантов.

    • Щелкните Исключить, если вы хотите удалить шлюз этого концентратора из глобального профиля VPN пользователя Виртуальной глобальной сети. Пользователи, которые используют профиль на основе концентратора, по-прежнему смогут подключаться к этому шлюзу концентратора. Пользователи, использующие глобальный профиль, не смогут подключаться к этому шлюзу концентратора.

    • Щелкните Включить, если вы хотите включить шлюз этого концентратора в глобальный профиль VPN пользователя Виртуальной глобальной сети. Пользователи, использующие глобальный профиль, смогут подключаться к этому шлюзу концентратора.

Рекомендации для глобального профиля

Добавление сертификатов проверки нескольких серверов

Этот раздел относится к подключениям с использованием типа туннеля OpenVPN и VPN-клиента Azure версии 2.1963.44.0 или выше.

При настройке шлюза P2S концентратора Azure назначает шлюзу внутренний сертификат. Это отличается от сведений о корневом сертификате, которые вы указываете, когда хотите использовать проверку подлинности сертификата в качестве способа проверки подлинности. Внутренний сертификат, назначенный концентратору, используется для всех типов проверки подлинности. Это значение представлено в файлах конфигурации профиля, создаваемых как servervalidation/cert/hash. VPN-клиент использует это значение в процессе подключения.

Если у вас несколько центров в разных географических регионах, каждый концентратор может использовать другой сертификат проверки сервера на уровне Azure. Глобальный профиль содержит хэш-значение сертификата проверки сервера для всех центров. Это означает, что если сертификат для этого концентратора не работает должным образом по какой-либо причине, клиент по-прежнему будет иметь необходимое хэш-значение сертификата проверки сервера для других центров.

Важно!

Настройка VPN-клиента Azure с хэш-значением сертификатов всех центров требуется только в том случае, если центры имеют разные корневые издатели сервера.

Рекомендуем обновить файл конфигурации профиля VPN-клиента, чтобы включить хэш-значение сертификата для всех концентраторов, подключенных к глобальному профилю, а затем настроить VPN-клиент Azure с помощью обновленного файла.

  1. Создайте и скачайте файлы глобального профиля. Откройте файл azurevpnconfig.xml с помощью текстового редактора.

  2. Учитывая следующий xml-пример, настройте VPN-клиент Azure с помощью файла конфигурации глобального профиля, содержащего хэш сертификата проверки сервера для каждого концентратора.

      </protocolconfig>
  <serverlist>
    <ServerEntry>
      <displayname
        i:nil="true" />
      <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn>
    </ServerEntry>
  </serverlist>
  <servervalidation>
    <cert>
      <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash>
      <issuer
        i:nil="true" />
    </cert>

Профили на основе концентратора

Используйте этот тип профиля, если вы хотите, чтобы пользователи VPN могли подключаться только к одному указанному концентратору. Файлы, которые вы создаете и скачиваете на уровне концентратора, содержат параметры, отличные от параметров файлов, которые вы создаете и скачиваете в глобальном профиле на уровне глобальной сети.

Скачивание профиля VPN на основе концентратора

Чтобы создать и скачать файлы конфигурации профиля VPN-клиента, выполните следующие действия.

  1. Перейдите в виртуальный концентратор.

  2. В области слева выберите VPN пользователя (точка — сеть).

  3. Щелкните Скачать профиль VPN пользователя виртуального концентратора.

    Screenshot that shows how to download a hub profile.

  4. На странице скачивания выберите EAPTLS, а затем — Создать и скачать профиль. Будет создан и скачан на ваш компьютер пакет профиля (ZIP-файл) с параметрами конфигурации клиента. Содержимое пакета зависит от параметров концентратора, проверки подлинности и типа туннеля для конфигурации.

Следующие шаги

Дополнительные сведения о пользовательских VPN-подключениях см. в статье о создании пользовательского соединения VPN с типа "точка — сеть".