حول مجموعات المستخدمين وتجمعات عناوين IP ل P2S User VPNs
يمكنك تكوين P2S User VPNs لتعيين عناوين IP للمستخدمين من تجمعات عناوين محددة استنادا إلى هويتهم أو بيانات اعتماد المصادقة الخاصة بهم عن طريق إنشاء مجموعات المستخدمين. توضح هذه المقالة التكوينات والمعلمات المختلفة التي تستخدمها بوابة VPN WAN P2S الظاهرية لتحديد مجموعات المستخدمين وتعيين عناوين IP. للحصول على خطوات التكوين، راجع تكوين مجموعات المستخدمين وتجمعات عناوين IP ل P2S User VPNs.
تتناول هذه المقالة المفاهيم التالية:
- مفاهيم تكوين الخادم
- مجموعات الاعضاء
- أعضاء المجموعة
- مجموعة النهج الافتراضية
- أولوية المجموعة
- إعدادات المجموعة المتوفرة
- مفاهيم البوابة
- متطلبات التكوين وقيوده
- حالات الاستخدام
مفاهيم تكوين الخادم
تشرح الأقسام التالية المصطلحات والقيم الشائعة المستخدمة لتكوين الخادم.
مجموعات المستخدمين (مجموعات النهج)
مجموعة المستخدمين أو مجموعة النهج هي تمثيل منطقي لمجموعة من المستخدمين التي يجب تعيين عناوين IP لها من نفس تجمع العناوين.
أعضاء المجموعة (أعضاء النهج)
تتكون مجموعات المستخدمين من أعضاء. لا يتوافق الأعضاء مع المستخدمين الفرديين بل يحددون المعايير المستخدمة لتحديد المجموعة التي يمثل المستخدم المتصل جزءا منها. يمكن أن يكون لمجموعة واحدة عدة أعضاء. إذا تطابق مستخدم متصل مع المعايير المحددة لأحد أعضاء المجموعة، يعتبر المستخدم جزءا من تلك المجموعة ويمكن تعيين عنوان IP مناسب له. تعتمد أنواع معلمات الأعضاء المتوفرة على أساليب المصادقة المحددة في تكوين خادم VPN. للحصول على قائمة كاملة بالمعايير المتوفرة ، راجع قسم إعدادات المجموعة المتوفرة في هذه المقالة.
مجموعة النهج/المستخدم الافتراضية
لكل تكوين خادم VPN P2S، يجب تحديد مجموعة واحدة كافتراضية. يعتبر المستخدمون الذين يقدمون بيانات الاعتماد التي لا تتطابق مع أي إعدادات مجموعة جزءا من المجموعة الافتراضية. بمجرد إنشاء مجموعة، لا يمكن تغيير الإعداد الافتراضي لتلك المجموعة.
أولوية المجموعة
كما يتم تعيين أولوية رقمية لكل مجموعة. يتم تقييم المجموعات ذات الأولوية الأقل أولا. وهذا يعني أنه إذا قدم مستخدم بيانات اعتماد تطابق إعدادات مجموعات متعددة، فيعتبر جزءا من المجموعة بأقل أولوية. على سبيل المثال، إذا قدم المستخدم A بيانات اعتماد تتوافق مع مجموعة تكنولوجيا المعلومات (الأولوية 3) والمجموعة المالية (الأولوية 4)، يعتبر المستخدم A جزءا من مجموعة تكنولوجيا المعلومات لأغراض تعيين عناوين IP.
إعدادات المجموعة المتوفرة
يصف القسم التالي المعلمات المختلفة التي يمكن استخدامها لتحديد أعضاء المجموعات التي يشكلون جزءا منها. تختلف المعلمات المتوفرة استنادا إلى أساليب المصادقة المحددة. يلخص الجدول التالي أنواع الإعدادات المتوفرة والقيم المقبولة. لمزيد من المعلومات التفصيلية حول كل نوع من أنواع قيمة العضو، اعرض القسم المطابق لنوع المصادقة.
| نوع المصادقة | نوع العضو | قيم الأعضاء | مثال للقيمة |
|---|---|---|---|
| Microsoft Entra ID | AADGroupID | معرف عنصر مجموعة Microsoft Entra | {قيمة معرف الكائن} |
| RADIUS | AzureRADIUSGroupID | قيمة السمة الخاصة بالمورد (سداسي عشري) (يجب أن تبدأ ب 6ad1bd) | 6ad1bd23 |
| شهادة | AzureCertificateID | اسم مجال الاسم الشائع للشهادة (CN=user@red.com) | red |
مصادقة Microsoft Entra (OpenVPN فقط)
يمكن للبوابات التي تستخدم مصادقة Microsoft Entra استخدام معرفات عناصر مجموعة Microsoft Entra لتحديد مجموعة المستخدمين التي ينتمي إليها المستخدم. إذا كان المستخدم جزءا من مجموعات Microsoft Entra متعددة، اعتباره جزءا من مجموعة مستخدمي P2S VPN التي لها أقل أولوية رقمية.
ومع ذلك، إذا كنت تخطط لجعل المستخدمين الخارجيين (المستخدمين الذين ليسوا جزءا من مجال Microsoft Entra الذي تم تكوينه على بوابة VPN) يتصلون ببوابة VPN من نقطة إلى موقع، فتأكد من أن نوع المستخدم للمستخدم الخارجي هو "عضو" وليس "ضيف". تأكد أيضا من تعيين "اسم" المستخدم إلى عنوان البريد الإلكتروني للمستخدم. إذا لم يتم تعيين نوع المستخدم واسم المستخدم المتصل بشكل صحيح كما هو موضح أعلاه أو لم تتمكن من تعيين عضو خارجي ليكون "عضوا" في مجال Microsoft Entra الخاص بك، تعيين مستخدم الاتصال إلى المجموعة الافتراضية وتعيين IP من تجمع عناوين IP الافتراضي.
يمكنك أيضا تحديد ما إذا كان المستخدم خارجيا أم لا من خلال النظر إلى "اسم المستخدم الأساسي" للمستخدم. لدى المستخدمين الخارجيين #EXT في "اسم المستخدم الأساسي".
شهادة Azure (OpenVPN وIKEv2)
تستخدم البوابات التي تستخدم المصادقة المستندة إلى الشهادة اسم مجال شهادة المستخدم الأسماء الشائعة (CN) لتحديد المجموعة التي يوجد فيها مستخدم متصل. يجب أن تكون الأسماء الشائعة بأحد التنسيقات التالية:
- نطاق/اسم المستخدم
- username@domain.com
تأكد من أن المجال هو الإدخال كعضو في المجموعة.
خادم RADIUS (OpenVPN وIKEv2)
تستخدم البوابات التي تستخدم المصادقة المستندة إلى RADIUS سمة جديدة خاصة بالمورد (VSA) لتحديد مجموعات مستخدمي VPN. عند تكوين المصادقة المستندة إلى RADIUS على بوابة P2S، تعمل البوابة كوكيل خادم نهج الشبكة (NPS). وهذا يعني أن بوابة P2S VPN بمثابة عميل لمصادقة المستخدمين مع خادم RADIUS الخاص بك باستخدام بروتوكول RADIUS.
بعد أن يتحقق خادم RADIUS بنجاح من بيانات اعتماد المستخدم، يمكن تكوين خادم RADIUS لإرسال سمة جديدة خاصة بالمورد (VSA) كجزء من حزم Access-Accept. تعالج بوابة P2S VPN VSA في حزم Access-Accept وتعين عناوين IP محددة للمستخدمين استنادا إلى قيمة VSAs.
لذلك، يجب تكوين خوادم RADIUS لإرسال VSA بنفس القيمة لجميع المستخدمين الذين يشكلون جزءا من نفس المجموعة.
إشعار
يجب أن تكون قيمة VSA سلسلة سداسية عشرية ثماني على خادم RADIUS وAzure. يجب أن تبدأ سلسلة الثماني هذه ب 6ad1bd. يمكن تكوين آخر رقمين سداسي عشريين بحرية. على سبيل المثال، 6ad1bd98 صالح ولكن 6ad12323 و6a1bd2 لن يكونا صالحين.
VSA الجديد هو MS-Azure-Policy-ID.
يتم استخدام MS-Azure-Policy-ID VSA بواسطة خادم RADIUS لإرسال معرف يستخدمه خادم P2S VPN لمطابقة نهج مستخدم RADIUS مصادق عليه تم تكوينه على جانب Azure. يتم استخدام هذا النهج لتحديد تكوين IP/ التوجيه (عنوان IP المعين) للمستخدم.
يجب تعيين حقول MS-Azure-Policy-ID كما يلي:
- نوع المورد: عدد صحيح غير موقع 8 بت يجب تعيينه إلى 0x41 (عدد صحيح: 65).
- طول المورد: عدد صحيح 8 بت غير موقع يجب تعيينه إلى طول سلسلة الثماني في قيمة السمة الخاصة بالإضافة إلى 2.
- قيمة خاصة بالسمة: سلسلة ثماني تحتوي على معرف النهج الذي تم تكوينه على خادم VPN من نقطة إلى موقع Azure.
للحصول على معلومات التكوين، راجع RADIUS - تكوين NPS للسمات الخاصة بالمورد.
مفاهيم البوابة
عندما يتم تعيين تكوين خادم VPN ل Virtual WAN P2S الذي يستخدم مجموعات المستخدم/النهج، يمكنك إنشاء تكوينات اتصال P2S VPN متعددة على البوابة.
يمكن أن يحتوي كل تكوين اتصال على مجموعة مستخدم تكوين خادم VPN واحدة أو أكثر. ثم يتم تعيين كل تكوين اتصال إلى تجمع عناوين IP واحد أو أكثر. يتم تعيين عنوان IP للمستخدمين الذين يتصلون بهذه البوابة استنادا إلى هويتهم وبيانات الاعتماد والمجموعة الافتراضية والأولوية.
في هذا المثال، يحتوي تكوين خادم VPN على المجموعات التالية المكونة:
| الإعداد الافتراضي | أولوية | اسم المجموعة | نوع المصادقة | قيمة العضو |
|---|---|---|---|---|
| نعم | 0 | الهندسة | Microsoft Entra ID | groupObjectId1 |
| لا | 1 | التمويل | Microsoft Entra ID | groupObjectId2 |
| لا | 2 | مدير مشروعات | Microsoft Entra ID | groupObjectId3 |
يمكن تعيين تكوين خادم VPN هذا إلى بوابة P2S VPN في Virtual WAN مع:
| التكوين | المجموعات | تجمعات العناوين |
|---|---|---|
| التكوين 0 | الهندسة، رئيس الوزراء | x.x.x.x/yy |
| التكوين1 | التمويل | a.a.a.a/bb |
النتيجة التالية هي:
- سيتم تعيين عنوان للمستخدمين الذين يتصلون ببوابة P2S VPN هذه من x.x.x.x/yy إذا كانوا جزءا من مجموعات Engineering أو PM Microsoft Entra.
- يتم تعيين عناوين IP للمستخدمين الذين هم جزء من مجموعة Finance Microsoft Entra من a.a.a.a/bb.
- نظرا لأن Engineering هي المجموعة الافتراضية، يفترض أن المستخدمين الذين ليسوا جزءا من أي مجموعة مكونة جزءا من Engineering وتعيين عنوان IP من x.x.x.x/yy.
اعتبارات التكوين
يسرد هذا القسم متطلبات التكوين وقيود مجموعات المستخدمين وتجمعات عناوين IP.
الحد الأقصى للمجموعات: يمكن أن تشير بوابة P2S VPN واحدة إلى ما يصل إلى 90 مجموعة.
الحد الأقصى للأعضاء: العدد الإجمالي لأعضاء النهج/المجموعة عبر جميع المجموعات المعينة إلى بوابة هو 390.
تعيينات متعددة: إذا تم تعيين مجموعة لتكوينات اتصال متعددة على نفس البوابة، يتم حسابها وأعضائها عدة مرات. مثال: مجموعة نهج تضم 10 أعضاء تم تعيينهم لثلاثة تكوينات اتصال VPN تحسب على أنها ثلاث مجموعات تضم 30 عضوا، وليس مجموعة واحدة تضم 10 أعضاء.
المستخدمون المتزامنون: يتم تحديد العدد الإجمالي للمستخدمين المتزامنين بواسطة وحدة مقياس البوابة وعدد عناوين IP المخصصة لكل مجموعة مستخدمين. لا يتم تحديده من خلال عدد أعضاء النهج/المجموعة المقترنة بالبوابة.
بمجرد إنشاء مجموعة كجزء من تكوين خادم VPN، لا يمكن تعديل اسم المجموعة وإعدادها الافتراضي.
يجب أن تكون أسماء المجموعات مميزة.
تتم معالجة المجموعات ذات الأولوية الرقمية الأقل قبل المجموعات ذات الأولوية الرقمية الأعلى. إذا كان المستخدم المتصل عضوا في مجموعات متعددة، فإن البوابة تعتبره عضوا في المجموعة ذات أولوية رقمية أقل لأغراض تعيين عناوين IP.
لا يمكن حذف المجموعات التي تستخدمها بوابات VPN الموجودة من نقطة إلى موقع.
يمكنك إعادة ترتيب أولويات المجموعات بالنقر فوق أزرار الأسهم لأعلى لأسفل المقابلة لتلك المجموعة.
لا يمكن أن تتداخل تجمعات العناوين مع تجمعات العناوين المستخدمة في تكوينات الاتصال الأخرى (نفس البوابات أو بوابات مختلفة) في نفس شبكة WAN الظاهرية.
لا يمكن أن تتداخل تجمعات العناوين أيضا مع مساحات عناوين الشبكة الظاهرية أو مساحات عناوين المركز الظاهري أو العناوين المحلية.
حالات الاستخدام
تتكون شركة Contoso من أقسام وظيفية متعددة، مثل Finance و Human Resources و Engineering. تستخدم Contoso Azure Virtual WAN للسماح للعمال عن بعد (المستخدمين) بالاتصال بشبكة WAN الظاهرية والوصول إلى الموارد المستضافة محليا أو في شبكة ظاهرية متصلة بمركز WAN الظاهري.
ومع ذلك، لدى Contoso نهج أمان داخلي حيث يمكن للمستخدمين من قسم الشؤون المالية الوصول فقط إلى قواعد بيانات معينة وأجهزة ظاهرية، ويمكن للمستخدمين من الموارد البشرية الوصول إلى تطبيقات حساسة أخرى.
يمكن ل Contoso تكوين مجموعات مستخدمين مختلفة لكل قسم من أقسامهم الوظيفية. يضمن هذا تعيين عناوين IP للمستخدمين من كل قسم من تجمع عناوين محدد مسبقا على مستوى القسم.
يمكن لمسؤول شبكة Contoso بعد ذلك تكوين قواعد جدار الحماية أو مجموعات أمان الشبكة (NSG) أو قوائم التحكم في الوصول (ACLs) للسماح لبعض المستخدمين بالوصول إلى الموارد أو رفضها استنادا إلى عناوين IP الخاصة بهم.
الخطوات التالية
- لإنشاء مجموعات المستخدمين، راجع إنشاء مجموعات مستخدمين ل P2S User VPN.