基于Radius身份验证的Azure P2S访问
前文中,我们谈到过Microsoft Azure中的点到站点的VPN访问支持证书和RADIUS身份验证两种访问机制,前面我们已经详细介绍了基于证书的访问控制,今天我们主要介绍如何基于RADIUS身份验证实现P2S的站点访问。
Windows Server AD域身份验证可让用户使用其企业AD域凭据登录到Azure。 它需要一台与AD服务器集成的RADIUS服务器。也可以利用其现有的RADIUS 部署。
RADIUS 服务器可以放置在企业IDC本地或Azure VNet中。在身份验证期间,VPN 网关充当传递设备,在RADIUS服务器与连接方设备之间来回转发身份验证消息。VPN网关必须能够访问RADIUS服务器。
- 如果RADIUS 服务器位于公司IDC机房本地,需要建立从Azure到本地的VPN站点到站点的网络连接。
- 只能使用VPN站点到站点连接来与本地RADIUS服务器建立连接,而不能使用 ExpressRoute 连接。
本实验将需要的RADIUS 服务器放置在Azure中。
创建资源组、VNet 和公共 IP 地址
|
New-AzureRmResourceGroup -Name “P2SAccess” -Location ‘China East 2’ |
为虚拟网络创建子网配置,并将其命名为 P2SvNet-MGMT和GatewaySubnet。
|
$p2ssub = New-AzureRmVirtualNetworkSubnetConfig -Name “P2SvNet-MGMT” -AddressPrefix “172.16.1.0/24” $gwsub = New-AzureRmVirtualNetworkSubnetConfig -Name “GatewaySubnet” -AddressPrefix “172.16.200.0/24” New-AzureRmVirtualNetwork -Name “P2SvNet” -ResourceGroupName “P2SAccess” -Location ‘China East 2’ -AddressPrefix “172.16.0.0/16” -Subnet $p2ssub, $gwsub -DnsServer 172.16.1.4 |
VPN网关必须具有公共IP地址,因此我们需要先创建公共IP地址,然后在创建虚拟网关时关联该公共IP。
|
$vnet = Get-AzureRmVirtualNetwork -Name “P2SvNet” -ResourceGroupName “P2SAccess” $subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name “GatewaySubnet” -VirtualNetwork $vnet $pip = New-AzureRmPublicIpAddress -Name “PIP-VNet1-GW” -ResourceGroupName “P2SAccess” -Location ‘China East 2’ -AllocationMethod Dynamic $ipconf = New-AzureRmVirtualNetworkGatewayIpConfig -Name “gwipconf” -Subnet $subnet -PublicIpAddress $pip |
创建Azure VPN网关
|
New-AzureRmVirtualNetworkGateway -Name P2S-Radius-GW -ResourceGroupName “P2SAccess” -Location ‘China East 2’ -IpConfigurations $ipconf -GatewayType Vpn -VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1 |
配置点到站点连接信息
部署一台Windows Server AD并集成Radius功能
安装并配置Radius服务器
我们还可以根据需要,当处于非活动状态时,自动断开
配置Radius客户端信息
配置NPS审计。这是一个可选项,主要有助于连接日志记录和故障排除。您可以记录几种不同的方式,并选择此处只是将文本文件用于我创建的名为”AzureVPN”的子文件夹。
下载P2S VP客户端
此时连接成功
我们可以返回查看审计日志,该日志向我们显示该用户的成功身份验证
通过VPN直接访问Azure VM
以上,即时整个基于Radius身份验证的Azure P2S的实现方式
