为 P2S 用户 VPN 配置用户组和 IP 地址池

P2S 用户 VPN 支持通过创建用户组,以基于用户的标识或身份验证凭据从特定地址池为用户分配 IP 地址。 本文帮助你配置用户组和组成员并指定组的优先级。 有关使用用户组的详细信息,请参阅关于用户组

先决条件

在开始之前,请确保已配置一个使用一种或多种身份验证方法的虚拟 WAN。 有关步骤,请参阅教程:创建虚拟 WAN 用户 VPN P2S 连接

工作流

本文使用以下工作流来帮助你为 P2S VPN 连接设置用户组和 IP 地址池。

  1. 考虑有哪些配置要求

  2. 选择身份验证机制

  3. 创建一个用户组

  4. 配置网关设置

步骤 1:考虑有哪些配置要求

本部分列出了用户组和 IP 地址池的配置要求和限制。

  • 单个点到站点 VPN 网关可引用的最大组数为 90 个。 组中分配给网关的最大策略/组成员数(用于确定正在连接的用户所属的组的标准)为 390。 但是,如果某个组已分配到同一网关上的多个连接配置,则此组及其成员将多次计入限制。 例如,如果包含 10 个成员的策略组已分配到网关上的 3 个 VPN 连接配置, 此配置将计为 3 个总共包含 30 个成员的组,而不是 1 个包含 10 个成员的组。 请注意,连接到网关的并发用户总数受网关缩放单元和分配给每个用户组的 IP 地址数的限制,但不受与网关关联的策略/组成员数的限制。
  • 将某个组创建为 VPN 服务器配置的一部分后,无法修改该组的名称和默认设置。  
  • 组名应该不同。
  • 数字优先级较低的组在数字优先级较高的组之前进行处理。 如果连接用户是多个组的成员,则网关在分配 IP 地址时,会将其视为数字优先级较低的组的成员。
  • 无法删除现有点到站点 VPN 网关正在使用的组。  
  • 可以通过单击与该组对应的上下箭头按钮来重新排列组的优先级。
  • 在公共预览版中,VPN 服务器配置的修改(例如,添加/删除成员、更改优先级)不会自动传播到网关。 为了确保网关使用最新版本的 VPN 服务器配置,请更改与 VPN 连接配置关联的地址池。
  • 地址池不能与同一虚拟 WAN 中其他连接配置(相同或不同网关)使用的地址池重叠。 地址池也不能与虚拟网络地址空间、虚拟中心地址空间或本地地址重叠。
  • 地址池不能与同一虚拟 WAN 中其他连接配置(相同或不同网关)使用的地址池重叠。

  • 地址池也不能与虚拟网络地址空间、虚拟中心地址空间或本地地址重叠。

  • 地址池不能小于 /24。 例如,不能分配 /25 或 /26 的范围。

步骤 2:选择身份验证机制

以下部分列出了创建用户组时可以使用哪些身份验证机制。

Microsoft Entra 组

若要创建和管理 Active Directory 组,请参阅管理 Microsoft Entra 组和组成员身份

  • 需要将 Microsoft Entra 组对象 ID(而不是组名)指定为虚拟 WAN 点到站点用户 VPN 配置的一部分。
  • 可将 Microsoft Entra 用户分配为多个 Active Directory 组的一部分,但虚拟 WAN 会将用户视为数字优先级最低的虚拟 WAN 用户/策略组的一部分。

RADIUS - NPS 供应商特定的属性

有关网络策略服务器 (NPS) 供应商特定的属性配置信息,请参阅 RADIUS - 为供应商特定的属性配置 NPS

证书

若要生成自签名证书,请参阅为用户 VPN P2S 连接生成和导出证书:PowerShell。 若要生成具有特定公用名的证书,请在运行 New-SelfSignedCertificate PowerShell 命令时将 Subject 参数更改为相应的值(例如 xx@domain.com)。

步骤 3:创建一个用户组

使用以下步骤来创建一个用户组。

  1. 在 Azure 门户中,转到“虚拟 WAN”->“用户 VPN 配置”页。

  2. 在“用户 VPN 配置”页上,选择要编辑的用户 VPN 配置,然后选择“编辑配置”。

  3. 在“编辑用户 VPN 配置”页上,打开“用户组”选项卡。

    启用用户组的屏幕截图。

  4. 选择“是”以启用用户组。 将此服务器配置分配到 P2S VPN 网关时,将为属于相同用户组的用户分配相同地址池中的 IP 地址。 为属于不同组的用户分配不同组中的 IP 地址。 使用此功能时,必须为创建的组之一选择“默认”组。

  5. 若要开始创建新用户组,请使用第一个组的名称填写名称参数。

  6. 在“组名”旁边,选择“配置组”打开“配置组设置”页。

    创建新组的屏幕截图。

  7. 在“配置组设置”页上,为你要包含在此组中的每个成员填写值。 一个组可以包含多个组成员。

    • 通过填写“名称”字段创建新成员。

    • 从下拉列表中选择“身份验证: 设置类型”。 系统会根据用户 VPN 配置的选定身份验证方法自动填充下拉列表。

    • 填写“值”字段。 有关有效值,请参阅关于用户组

    为用户组成员配置值的屏幕截图。

  8. 为组创建完设置后,选择“添加”和“确定”。

  9. 创建任何其他组。

  10. 选择至少一个组作为默认组。 不属于网关上指定的任何组的用户将分配到网关上的默认组。 另请注意,在创建组后,无法修改该组的“默认”状态。

    选择默认组的屏幕截图。

  11. 选择箭头以调整组优先级顺序。

    调整优先级顺序的屏幕截图。

  12. 选择“查看 + 创建”以创建和配置。 创建用户 VPN 配置后,配置网关服务器配置设置以使用用户组功能。

步骤 4:配置网关设置

  1. 在门户中,转到你的虚拟中心并选择“用户 VPN(点到站点)”。

  2. 在“点到站点”页上,选择“网关缩放单元”链接打开“编辑用户 VPN 网关”。 在下拉列表中调整“网关缩放单元”值以确定网关吞吐量。

  3. 对于“点到站点服务器配置”,请选择为用户组配置的用户 VPN 配置。 如果你尚未配置这些设置,请参阅创建用户组

  4. 通过键入新的“配置名称”来创建新的点到站点配置。

  5. 选择要与此配置关联的一个或多个组。 将为与此配置关联的组中的所有用户分配相同 IP 地址池中的 IP 地址。

    在此网关的所有配置中,必须选择一个(且只能是一个)默认用户组。

    “编辑用户 VPN 网关”页的屏幕截图,其中选择了组。

  6. 对于“地址池”,请选择“配置”打开“指定地址池”页。 在此页上,将新地址池与此配置相关联。 将为关联到此配置的组的成员用户分配指定池中的 IP 地址。 根据关联到网关的网关缩放单元数量,可能需要指定多个地址池。 地址池不能小于 /24。 例如,如果你要为用户组分配较小的地址池范围,则不能分配 /25 或 /26 的范围。 最小前缀为 /24。 选择“添加”和“确定”以保存地址池。

    “指定地址池”页的屏幕截图。

  7. 对于应该为其分配不同地址池中的 IP 地址的每个组,都需要创建一个配置。 重复上述步骤创建更多配置。 有关地址池和组的要求与限制,请参阅步骤 1

  8. 创建所需的配置后,选择“编辑”,然后单击“确认”以保存设置。

    确认设置的屏幕截图。

故障排除

  1. 验证数据包是否拥有正确的属性?:Wireshark 或其他数据包捕获可以在 NPS 模式下运行,并使用共享密钥解密数据包。 可以验证数据包是否从 RADIUS 服务器发送到配置了正确 RADIUS VSA 的点到站点 VPN 网关。
  2. 给用户分配的 IP 是否错误?:设置并检查用于身份验证的 NPS 事件日志记录,无论用户是否与策略匹配。
  3. 地址池出现问题? 网关上指定的每个地址池。 地址池拆分为两个地址池,将分配到点到站点 VPN 网关对中的每个主动-主动实例。 这些拆分的地址应显示在有效路由表中。 例如,如果指定“10.0.0.0/24”,则应在有效路由表中看到两个“/25”路由。 如果不是这样,请尝试更改网关上定义的地址池。
  4. P2S 客户端无法接收路由? 确保所有点到站点 VPN 连接配置已关联到 defaultRouteTable 并传播到同一组路由表。 如果使用的是门户,则应会自动配置此设置;但如果使用的是 REST、PowerShell 或 CLI,请确保正确设置所有传播和关联。
  5. 无法使用 Azure VPN 客户端启用多池? 如果使用的是 Azure VPN 客户端,请确保安装在用户设备上的 Azure VPN 客户端是最新版本。 需要再次下载客户端才能启用此功能。
  6. 所有用户都被分配到默认组? 如果使用 Microsoft Entra 身份验证,请确保服务器配置 (https://login.chinacloudapi.cn/<tenant ID>) 中输入的租户 URL 不以 \ 结尾。 如果输入的 URL 以 \ 结尾,网关将无法正确处理 Microsoft Entra 用户组,并且所有用户都分配到默认组。 要进行修正,请修改服务器配置,删除结尾的 \,并修改网关上配置的地址池以将更改应用到网关。 这是已知问题。
  7. 尝试邀请外部用户使用多池功能? 如果使用 Microsoft Entra 身份验证,并计划邀请外部用户(不属于 VPN 网关上配置的 Microsoft Entra 域的用户)连接到虚拟 WAN 点到站点 VPN 网关,请确保外部用户的用户类型为“成员”而不是“来宾”。 此外,请确保将用户的“名称”设置为用户的电子邮件地址。 如果连接用户的用户类型和名称未按照如上所述正确设置,或者你无法将外部成员设置为 Microsoft Entra 域的“成员”,则会将该连接用户分配到默认组,并从默认 IP 地址池中分配 IP。

后续步骤