Kullanıcı VPN (noktadan siteye) kavramları
Aşağıdaki makalede, Sanal WAN Kullanıcı VPN noktadan siteye (P2S) yapılandırmaları ve ağ geçitleriyle ilişkili kavramlar ve müşteri tarafından yapılandırılabilir seçenekler açıklanmaktadır. Bu makale, P2S VPN sunucusu yapılandırma kavramlarıyla ilgili bölümler ve P2S VPN ağ geçidi kavramlarıyla ilgili bölümler de dahil olmak üzere birden çok bölüme ayrılmıştır.
VPN sunucusu yapılandırma kavramları
VPN sunucusu yapılandırmaları, kullanıcıların kimliğini doğrulamak ve IP adresleri atamak ve trafiği şifrelemek için kullanılan kimlik doğrulama, şifreleme ve kullanıcı grubu parametrelerini tanımlar. P2S ağ geçitleri P2S VPN sunucusu yapılandırmalarıyla ilişkilendirilir.
Yaygın kavramlar
| Kavram | Açıklama | Notlar |
|---|---|---|
| Tünel Türü | P2S VPN ağ geçidi ile kullanıcıları bağlama arasında kullanılan protokoller. | Kullanılabilir parametreler: IKEv2, OpenVPN veya her ikisi. IKEv2 sunucu yapılandırmaları için yalnızca RADIUS ve sertifika tabanlı kimlik doğrulaması kullanılabilir. Açık VPN sunucusu yapılandırmaları için RADIUS, sertifika tabanlı ve Microsoft Entra ID tabanlı kimlik doğrulaması kullanılabilir. Ayrıca, aynı sunucu yapılandırmasında birden çok kimlik doğrulama yöntemi (örneğin, aynı yapılandırmada sertifika ve RADIUS) yalnızca OpenVPN için desteklenir. IKEv2 ayrıca 255 rotalık bir protokol düzeyi sınırına, OpenVPN ise 1000 rota sınırına sahiptir. |
| Özel IPsec Parametreleri | P2S VPN ağ geçidi tarafından IKEv2 kullanan ağ geçitleri için kullanılan şifreleme parametreleri. | Kullanılabilir parametreler için bkz . Noktadan siteye VPN için özel IPsec parametreleri. Bu parametre OpenVPN kimlik doğrulaması kullanan ağ geçitleri için geçerli değildir. |
Azure Sertifika Kimlik Doğrulaması kavramları
Aşağıdaki kavramlar, sertifika tabanlı kimlik doğrulaması kullanan sunucu yapılandırmalarıyla ilgilidir.
| Kavram | Açıklama | Notlar |
|---|---|---|
| Kök sertifika adı | Azure tarafından müşteri kök sertifikalarını tanımlamak için kullanılan ad. | Herhangi bir ad olacak şekilde yapılandırılabilir. Birden çok kök sertifikanız olabilir. |
| Genel sertifika verileri | İstemci sertifikalarının verildiği kök sertifikalar. | Kök sertifika genel verilerine karşılık gelen dizeyi yazın. Kök sertifika genel verilerini alma örneği için aşağıdaki sertifika oluşturma belgesindeki 8. adıma bakın. |
| İptal edilen sertifika | İptal edilecek sertifikaları belirlemek için Azure tarafından kullanılan ad. | Herhangi bir ad olacak şekilde yapılandırılabilir. |
| İptal edilen sertifika parmak izi | Ağ geçidine bağlanamaması gereken son kullanıcı sertifikalarının parmak izi. | Bu parametrenin girişi bir veya daha fazla sertifika parmak izidir. Her kullanıcı sertifikası tek tek iptal edilmelidir. Ara sertifikayı veya kök sertifikayı iptal etme, tüm alt sertifikaları otomatik olarak iptal etmez. |
RADIUS Kimlik Doğrulaması kavramları
P2S VPN ağ geçidi RADIUS tabanlı kimlik doğrulaması kullanacak şekilde yapılandırılmışsa, P2S VPN ağ geçidi, kimlik doğrulama isteklerini müşteri RADIUS sunucularına iletmek için Ağ İlkesi Sunucusu (NPS) Ara Sunucusu işlevi görür. Ağ geçitleri, kimlik doğrulama isteklerini işlemek için bir veya iki RADIUS sunucusu kullanabilir. Kimlik doğrulama istekleri, birden çok sunucu sağlanmışsa RADIUS sunucuları arasında otomatik olarak yük dengelemesi yapılır.
| Kavram | Açıklama | Notlar |
|---|---|---|
| Birincil sunucu gizli dizisi | Radius protokolü tarafından şifreleme için kullanılan müşterinin birincil RADIUS sunucusunda yapılandırılan sunucu gizli dizisi. | Paylaşılan gizli dizi dizeleri. |
| Birincil sunucu IP adresi | RADIUS sunucusunun özel IP adresi | Bu IP, Sanal Hub tarafından erişilebilen özel bir IP olmalıdır. RADIUS sunucusunu barındıran bağlantının ağ geçidiyle hub'ın defaultRouteTable'ına yaydığından emin olun. |
| İkincil sunucu gizli dizisi | RADIUS protokolü tarafından şifreleme için kullanılan ikinci RADIUS sunucusunda yapılandırılan sunucu gizli dizisi. | Sağlanan herhangi bir paylaşılan gizli dizi dizesi. |
| İkincil sunucu IP adresi | RADIUS sunucusunun özel IP adresi | Bu IP, sanal hub tarafından erişilebilen özel bir IP olmalıdır. RADIUS sunucusunu barındıran bağlantının ağ geçidiyle hub'ın defaultRouteTable'ına yaydığından emin olun. |
| RADIUS sunucusu kök sertifikası | RADIUS sunucusu kök sertifikası genel verileri. | Bu alan isteğe bağlıdır. RADIUS kök sertifikası genel verilerine karşılık gelen dizeleri yazın. Birden çok kök sertifika giriş yapabilirsiniz. Kimlik doğrulaması için sunulan tüm istemci sertifikalarının belirtilen kök sertifikalardan verilmesi gerekir. Sertifika genel verilerini alma örneği için aşağıdaki sertifika oluşturma hakkındaki 8. adıma bakın. |
| İptal edilen istemci sertifikaları | İptal edilen RADIUS istemci sertifikalarının parmak izleri. İptal edilmiş sertifikalar sunan istemciler bağlanamaz. | Bu alan isteğe bağlıdır. Her kullanıcı sertifikası tek tek iptal edilmelidir. Ara sertifikayı veya kök sertifikayı iptal etme, tüm alt sertifikaları otomatik olarak iptal etmez. |
Microsoft Entra kimlik doğrulaması kavramları
Aşağıdaki kavramlar, Microsoft Entra ID tabanlı kimlik doğrulaması kullanan sunucu yapılandırmalarıyla ilgilidir. Microsoft Entra ID tabanlı kimlik doğrulaması yalnızca tünel türü OpenVPN ise kullanılabilir.
| Kavram | Açıklama | Kullanılabilir Parametreler |
|---|---|---|
| Hedef Kitle | Microsoft Entra kiracınızda kayıtlı Azure VPN Kurumsal Uygulamasının Uygulama Kimliği. | Azure VPN uygulamasını kiracınıza kaydetme ve uygulama kimliğini bulma hakkında daha fazla bilgi için bkz . P2S kullanıcısı VPN OpenVPN protokol bağlantıları için kiracı yapılandırma |
| Sertifikayı veren | Active Directory'nizle ilişkili Güvenlik Belirteci Hizmeti'ne (STS) karşılık gelen tam URL. | Dize aşağıdaki biçimdedir: https://sts.windows.net/<your Directory ID>/ |
| Microsoft Entra kiracısı | Ağ geçidinde kimlik doğrulaması için kullanılan Active Directory Kiracısına karşılık gelen tam URL. | Active Directory Kiracısının dağıtıldığı buluta göre değişir. Bulut başına ayrıntılar için aşağıya bakın. |
Microsoft Entra kiracı kimliği
Aşağıdaki tabloda, Microsoft Entra KIMLIĞINIn dağıtıldığı buluta göre Microsoft Entra URL'sinin biçimi açıklanmaktadır.
| Bulut | Parametre Biçimi |
|---|---|
| Azure Genel Bulutu | https://login.microsoftonline.com/{AzureAD TenantID} |
| Azure Kamu Bulut | https://login.microsoftonline.us/{AzureAD TenantID} |
| China 21Vianet Cloud | https://login.chinacloudapi.cn/{AzureAD TenantID} |
Kullanıcı grubu (çoklu havuz) kavramları
Sanal WAN'daki kullanıcı grupları (çoklu havuzlar) ile ilgili aşağıdaki kavramlar. Kullanıcı grupları, kullanıcıları kimlik bilgilerine göre bağlamak için farklı IP adresleri atamanıza olanak tanıyarak iş yüklerinin güvenliğini sağlamak için Erişim Denetim Listeleri (ACL' ler) ve Güvenlik duvarı kurallarını yapılandırmanıza olanak tanır. Daha fazla bilgi ve örnek için bkz . Çoklu havuz kavramları.
Sunucu yapılandırması grupların tanımlarını içerir ve ardından gruplar ağ geçitlerinde sunucu yapılandırma gruplarını IP adreslerine eşlemek için kullanılır.
| Kavram | Açıklama | Notlar |
|---|---|---|
| Kullanıcı grubu / ilke grubu | Kullanıcı Grubu veya ilke grubu, aynı adres havuzundan IP adresleri atanması gereken bir kullanıcı grubunun mantıksal bir gösterimidir. | Daha fazla bilgi için bkz . kullanıcı grupları hakkında. |
| Varsayılan grup | Kullanıcılar kullanıcı grubu özelliğini kullanarak bir ağ geçidine bağlanmaya çalıştığında, ağ geçidine atanan hiçbir grupla eşleşmeyen kullanıcılar otomatik olarak varsayılan grubun parçası olarak kabul edilir ve bu grupla ilişkili bir IP adresi atanır. | Sunucu yapılandırmasındaki her grup varsayılan grup veya varsayılan olmayan grup olarak belirtilebilir ve grup oluşturulduktan sonra bu ayar değiştirilemez. Atanan sunucu yapılandırmasında birden çok varsayılan grup olsa bile her P2S VPN ağ geçidine tam olarak bir varsayılan grup atanabilir. |
| Grup önceliği | Bir ağ geçidine birden çok grup atandığında, bağlanan bir kullanıcı birden çok grupla eşleşen kimlik bilgileri sunabilir. Sanal WAN, bir ağ geçidine atanan grupları artan öncelik sırasına göre işler. | Öncelikler pozitif tamsayılardır ve daha düşük sayısal önceliğe sahip gruplar işlenir. Her grubun ayrı bir önceliği olmalıdır. |
| Grup ayarları/üyeleri | Kullanıcı grupları üyelerden oluşur. Üyeler tek tek kullanıcılara karşılık gelmez, bunun yerine bağlanan kullanıcının hangi grubun parçası olduğunu belirlemek için kullanılan ölçütleri/eşleştirme koşullarını tanımlar. Bir grup bir ağ geçidine atandıktan sonra, kimlik bilgileri grubun üyelerinden biri için belirtilen ölçütlerle eşleşen bir bağlantı kullanıcısı, bu grubun bir parçası olarak kabul edilir ve uygun bir IP adresi atanabilir. | Kullanılabilir ölçütlerin tam listesi için bkz . kullanılabilir grup ayarları. |
Ağ geçidi yapılandırma kavramları
Aşağıdaki bölümlerde P2S VPN ağ geçidiyle ilişkili kavramlar açıklanmaktadır. Her ağ geçidi bir VPN sunucusu yapılandırmasıyla ilişkilendirilir ve diğer birçok yapılandırılabilir seçeneğe sahiptir.
Genel ağ geçidi kavramları
| Kavram | Açıklama | Notlar |
|---|---|---|
| Ağ Geçidi Ölçek Birimi | Ağ geçidi ölçek birimi, bir P2S VPN ağ geçidinin ne kadar toplam aktarım hızını ve eşzamanlı kullanıcıları destekleyebileceğini tanımlar. | Ağ geçidi ölçek birimleri 1-200 arasında değişebilir ve ağ geçidi başına 500 ila 100.000 kullanıcıyı destekler. |
| P2S sunucu yapılandırması | P2S VPN ağ geçidinin gelen kullanıcıların kimliğini doğrulamak için kullandığı kimlik doğrulama parametrelerini tanımlar. | Sanal WAN ağ geçidiyle ilişkili tüm P2S sunucu yapılandırmaları. Bir ağ geçidinin buna başvurması için sunucu yapılandırmasının başarıyla oluşturulması gerekir. |
| Yönlendirme tercihi | Azure ile İnternet arasındaki trafiğin nasıl yönlendirileceğini seçmenize olanak tanır. | Trafiği Microsoft ağı veya ISS ağı (genel ağ) üzerinden yönlendirmeyi seçebilirsiniz. Bu ayar hakkında daha fazla bilgi için bkz. Yönlendirme tercihi nedir? Ağ geçidi oluşturulduktan sonra bu ayar değiştirilemez. |
| Özel DNS Sunucuları | Kullanıcıları bağlayan DNS sunucularının IP adresleri DNS isteklerini adresine iletmelidir. | Yönlendirilebilir herhangi bir IP adresi. |
| Varsayılan yolu yay | Sanal WAN hub'ı 0.0.0.0/0 varsayılan yolu (varsayılan yol tablosunda statik yol veya şirket içinden tanıtılan 0.0.0.0/0 statik yol) ile yapılandırılmışsa, bu ayar 0.0.0.0/0 yolunun bağlanan kullanıcılara tanıtılıp tanıtılmayacağını denetler. | Bu alan doğru veya yanlışolarak ayarlanabilir. |
RADIUS'a özgü kavramlar
| Kavram | Açıklama | Notlar |
|---|---|---|
| Uzak/Şirket içi RADIUS sunucu ayarını kullanma | Sanal WAN'in RADIUS kimlik doğrulama paketlerini şirket içinde veya farklı bir Sanal Hub'a bağlı bir Sanal Ağ barındırılan RADIUS sunucularına iletip iletemeyeceğini denetler. | Bu ayarın true veya false şeklinde iki değeri vardır. Sanal WAN RADIUS tabanlı kimlik doğrulaması kullanacak şekilde yapılandırıldığında Sanal WAN P2S ağ geçidi, RADIUS sunucularınıza kimlik doğrulama istekleri gönderen bir RADIUS ara sunucusu görevi görür. Bu ayar (doğruysa), Sanal WAN ağ geçidinin şirket içinde veya farklı bir hub'a bağlı bir Sanal Ağ dağıtılan RADIUS sunucularıyla iletişim kurmasına olanak tanır. False ise, Sanal WAN yalnızca ağ geçidiyle hub'a bağlı Sanal Ağ'lerde barındırılan RADIUS sunucularında kimlik doğrulaması yapabilir. |
| RADIUS Proxy IP'leri | P2S VPN ağ geçidi tarafından RADIUS sunucunuza gönderilen RADIUS kimlik doğrulama paketleri, RADIUS Proxy IP'sinin alanı tarafından belirtilen kaynak IP'lere sahiptir. Bu IP'lerin RADIUS sunucunuzda RADIUS istemcileri olarak izin ver olarak listelenmiş olması gerekir. | Bu parametre doğrudan yapılandırılamaz. 'Uzak/Şirket İçi RADIUS sunucusunu kullan' true olarak ayarlanırsa, RADIUS Proxy IP'leri otomatik olarak ağ geçidinde belirtilen istemci adres havuzlarından IP adresleri olarak yapılandırılır. Bu ayar false ise IP'ler hub adres alanının içinden ip adresleridir. RADIUS proxy IP'leri Azure portalında P2S VPN ağ geçidi sayfasında bulunabilir. |
Bağlantı yapılandırma kavramları
P2S VPN ağ geçidinde bir veya daha fazla bağlantı yapılandırması olabilir. Her bağlantı yapılandırmasının bir yönlendirme yapılandırması vardır (uyarılar için aşağıya bakın) ve aynı adres havuzlarından IP adresleri atanmış bir kullanıcı grubunu veya kesimini temsil eder.
| Kavram | Açıklama | Notlar |
|---|---|---|
| Yapılandırma Adı | P2S VPN yapılandırmasının adı | Herhangi bir ad sağlanabilir. Kullanıcı grupları/çoklu havuz özelliğinden yararlanan bir ağ geçidinde birden fazla bağlantı yapılandırmanız olabilir. Bu özelliği kullanmıyorsanız ağ geçidi başına yalnızca bir yapılandırma olabilir. |
| Kullanıcı Grupları | Bir yapılandırmaya karşılık gelen kullanıcı grupları | VPN Server yapılandırmasında başvurulan tüm kullanıcı grupları. Bu parametre isteğe bağlıdır. Daha fazla bilgi için bkz . kullanıcı grupları hakkında. |
| Adres Havuzları | Adres havuzları, bağlanan kullanıcıların atandığı özel IP adresleridir. | Adres havuzları herhangi bir Sanal Hub adres alanıyla çakışmayan herhangi bir CIDR bloğu, Sanal WAN bağlı Sanal Ağ'lerde kullanılan IP adresleri veya şirket içinden tanıtılan adresler olarak belirtilebilir. Ağ geçidinde belirtilen ölçek birimine bağlı olarak, birden fazla CIDR bloğuna ihtiyacınız olabilir. Daha fazla bilgi için adres havuzları hakkında bilgi edinin. |
| Yönlendirme yapılandırması | Sanal Hub'a yapılan her bağlantının, bağlantının hangi yönlendirme tablosuyla ilişkili olduğunu ve yönlendirme tablosunun hangi yönlendirme tablolarına yayıldığını tanımlayan bir yönlendirme yapılandırması vardır. | Aynı hub'a tüm dal bağlantıları (ExpressRoute, VPN, NVA) defaultRouteTable ile ilişkilendirilmeli ve aynı yol tabloları kümesine yayılmalıdır. Dal bağlantıları için farklı yaymalara sahip olmak beklenmeyen yönlendirme davranışlarına neden olabilir, Sanal WAN bir dal için yönlendirme yapılandırmasını seçer ve tüm dallara uygular ve bu nedenle şirket içinden öğrenilen yollar. |
Sonraki adımlar
Sonraki adımlar için buraya birkaç makalenin bağlantılarını ekleyin.