تكوين ExpressRoute والاتصالات المتعايشة من موقع إلى موقع (كلاسيكي)

• PowerShell - إدارة الموارد
• PowerShell - كلاسيكي

تساعدك هذه المقالة على تكوين الاتصالات المتعايشة لـ ExpressRoute وVPN من موقع إلى موقع. يتمتع امتلاك القدرة على تكوين VPN من موقع إلى موقع وExpressRoute بالعديد من المزايا. يمكنك تكوين اتصال VPN من موقع إلى موقع كمسار آمن يتجاوز الفشل لـ ExpressRoute، أو استخدام الشبكات الظاهرية الخاصة من Site-to-Site للاتصال بالمواقع غير المتصلة من خلال ExpressRoute. نغطي خطوات تكوين كلا السيناريوهين في هذه المقالة. تنطبق هذه المقالة على نموذج التوزيع الكلاسيكي. هذا التكوين غير متوفر في المدخل.

هام

اعتباراً من 1 مارس 2017، لا يمكنك إنشاء دوائر ExpressRoute جديدة في نموذج النشر الكلاسيكي.

• يمكنك نقل دائرة ExpressRoute موجودة من نموذج النشر الكلاسيكي إلى نموذج نشر Azure Resource Manager بدون مواجهة أي وقت تعطل للاتصال. لمزيد من المعلومات، راجع نقل دائرة موجودة.
• يمكنك الاتصال بالشبكات الظاهرية في نموذج النشر الكلاسيكي عن طريق تعيين allowClassicOperations إلى "صحيح".

استخدم الارتباطات التالية لإنشاء دوائر ExpressRoute وإدارتها في نموذج نشر Azure Resource Manager:

• إنشاء وإدارة دوائر ExpressRoute
  
• تكوين التوجيه (التناظر) لدارات ExpressRoute

حول نماذج توزيع Azure

في الوقت الحالي، يعمل Azure مع نموذجين النشر: نموذج Azure Resource Manager والنموذج الكلاسيكي. كلا النموذجين لا يتوافقان تماماً مع بعضها بعضاً. قبل البدء، أنت بحاجة إلى تحديد النموذج الذي تريد العمل فيه. للحصول على معلومات حول نماذج النشر، راجع فهم نماذج النشر. إذا كنت مستخدماً جديداً لـ Azure، فنوصيك باستخدام نموذج نشر Azure Resource Manager.

هام

يجب تكوين دائرة ExpressRoute مسبقا قبل اتباع الإرشادات الواردة في هذه المقالة. تأكد من اتباع الدلائل لإنشاء دائرة ExpressRouteوتكوين التوجيه قبل المتابعة.

الحدود والقيود

• توجيه العبور غير مدعوم. لا يمكنك توجيه (عبر Azure) بين شبكتك المحلية المتصلة عبر VPN من موقع إلى موقع والشبكة المحلية المتصلة عبر ExpressRoute.
• من نقطة إلى موقع غير مدعوم. لا يمكنك تمكين اتصالات VPN من نقطة إلى موقع إلى نفس الشبكة الظاهرية المتصلة بـ ExpressRoute. لا يمكن أن تتعايش VPN من نقطة إلى موقع وExpressRoute لنفس الشبكة الظاهرية.
• لا يمكن تمكين التوجيه لأسفل القسري على بوابة VPN من موقع إلى موقع. يمكنك فقط "إجبار" جميع نسب استخدام الشبكة المرتبطة بالإنترنت على العودة إلى شبكتك المحلية عبر ExpressRoute.
• بوابة SKU الأساسية غير مدعومة. يجب استخدام بوابة SKU غير أساسية لكل من بوابة ExpressRoute وبوابة VPN.
• يتم دعم بوابة VPN المستندة إلى توجيه فقط. يجب استخدام بوابة VPN المستندة إلى المسار.
• يجب تكوين مسار ثابت لبوابة VPN الخاصة بك. إذا كانت الشبكة المحلية متصلة بكل من ExpressRoute وVPN من موقع إلى موقع، يجب أن يكون لديك مسار ثابت تم تكوينه في الشبكة المحلية لتوجيه اتصال VPN من موقع إلى موقع إلى الإنترنت العام.

تصاميم التكوين

تكوين VPN من موقع إلى موقع كمسار تجاوز الفشل لـ ExpressRoute

يمكنك تكوين اتصال VPN من موقع إلى موقع كنسخة احتياطية لـ ExpressRoute. ينطبق هذا الإعداد فقط على الشبكات الظاهرية المرتبطة بمسار نظير Azure الخاص. لا يوجد حل تجاوز فشل يستند إلى VPN للخدمات التي يمكن الوصول إليها من خلال نظراء Azure العامين وMicrosoft. دائماً ما تكون دائرة ExpressRoute هي الرابط الأساسي. تدفق البيانات عبر مسار VPN من موقع إلى موقع فقط إذا فشلت دائرة ExpressRoute.

ملاحظة

بينما تُفضل دائرة ExpressRoute على VPN من موقع إلى موقع عندما يكون المساران كلاهما متماثلين، تستخدم Azure أطول بادئة مطابقة لاختيار المسار الموجه نحو وجهة الحزمة.

تكوين VPN من موقع إلى موقع للاتصال بالمواقع غير المتصلة من خلال ExpressRoute

يمكنك تكوين الشبكة حيث تتصل بعض المواقع مباشرة بـ Azure عبر VPN من موقع إلى موقع، وتتصل بعض المواقع من خلال ExpressRoute.

ملاحظة

لا يمكنك تكوين شبكة ظاهرية كموجه عبور.

تحديد الخطوات التي يجب استخدامها

هناك مجموعتان مختلفتان من الإجراءات للاختيار من بينها لتكوين الاتصالات التي يمكن أن تتعايش. يعتمد إجراء التكوين الذي تحدده على ما إذا كانت لديك شبكة ظاهرية موجودة تريد الاتصال بها، أو تريد إنشاء شبكة ظاهرية جديدة.

• ليس لديك VNet وتحتاج إلى إنشاء واحدة.

  إذا لم يكن لديك شبكة ظاهرية بالفعل، فإن هذا الإجراء يرشدك خلال إنشاء شبكة ظاهرية جديدة باستخدام نموذج النشر الكلاسيكي وإنشاء اتصالات ExpressRoute وVPN من موقع إلى موقع جديدة. للتكوين، اتبع الخطوات الواردة في القسم لإنشاء شبكة اتصال ظاهرية جديدة واتصالات متعايشة من المقالة.

• لدي بالفعل شبكة ظاهرية لنموذج النشر الكلاسيكي.

  قد يكون لديك بالفعل شبكة ظاهرية في مكان مع اتصال VPN موقع إلى موقع موجود أو اتصال ExpressRoute. يرشدك قسم المقالة لتكوين الاتصالات المتعايشة لشبكة ظاهرية موجودة بالفعل خلال حذف البوابة، ثم إنشاء اتصالات ExpressRoute وVPN من موقع إلى موقع جديدة. عند إنشاء اتصالات جديدة، يجب إكمال الخطوات بترتيب معين. لا تستخدم الإرشادات الموجودة في مقالات أخرى لإنشاء البوابات والاتصالات.

  في هذا الإجراء، يتطلب منك إنشاء اتصالات يمكن أن تتعايش حذف البوابة الخاصة بك، ثم تكوين بوابات جديدة. تواجه وقت تعطل للاتصالات عبر المباني أثناء حذف البوابة والاتصالات وإعادة إنشائها، ولكنك لا تحتاج إلى ترحيل أي من الأجهزة الظاهرية أو الخدمات إلى شبكة ظاهرية جديدة. لا يزال بإمكان الأجهزة الظاهرية والخدمات الاتصال من خلال موازن التحميل أثناء تكوين البوابة الخاصة بك إذا تم تكوينها للقيام بذلك.

تثبيت أوامر PowerShell cmdlets

ثبّت أحدث إصدارات وحدات PowerShell النمطية في Azure Service Management (SM) ووحدة ExpressRoute النمطية. لا يمكنك استخدام بيئة Azure CloudShell لتشغيل وحدات Azure Service Management النمطية.

1. استخدم الإرشادات الموجودة في مقالة تثبيت وحدة Azure Service Management النمطية لتثبيت وحدة Azure Service Management النمطية. إذا كانت لديك وحدة نمطية من Az أو Azure Resource Manager مثبتة بالفعل، فتأكد من استخدام "-AllowClobber".

2. استورد الوحدات النمطية المثبتة. عند استخدام المثال التالي، اضبط المسار لعكس موقع وإصدار وحدات PowerShell النمطية المثبتة.

   Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1'
   Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'
   

3. لتسجيل الدخول إلى حسابك في Azure، افتح وحدة تحكم PowerShell بحقوق غير مقيدة، ثم اتصل بحسابك. استخدم المثال التالي لمساعدتك في الاتصال باستخدام وحدة Azure Service Management النمطية:

   Add-AzureAccount
   

لإنشاء شبكة اتصال ظاهرية جديدة واتصالات متعايشة

يرشدك هذا الإجراء خلال إنشاء شبكة ظاهرية وينشئ اتصالات من موقع إلى موقع وExpressRoute التي تتعايش.

1. تحتاج إلى تثبيت أحدث إصدار من Azure PowerShell cmdlets. قد تختلف cmdlets التي تستخدمها لهذا التكوين قليلاً عن ما قد تكون مألوفة. تأكد من استخدام cmdlets المحددة في هذه الإرشادات.

2. إنشاء مخطط للشبكة الظاهرية. لمزيد من المعلومات حول مخطط التكوين، راجع مخطط تكوين شبكة Azure الظاهرية.

   عند إنشاء المخطط الخاص بك، تأكد من استخدام القيم التالية:

   • يجب أن تكون الشبكة الفرعية لبوابة الشبكة الظاهرية /27 أو بادئة أقصر (مثل /26 أو /25).
   • نوع اتصال البوابة مخصص.

   <VirtualNetworkSite name="MyAzureVNET" Location="Central US">
     <AddressSpace>
       <AddressPrefix>10.17.159.192/26</AddressPrefix>
     </AddressSpace>
     <Subnets>
       <Subnet name="Subnet-1">
         <AddressPrefix>10.17.159.192/27</AddressPrefix>
       </Subnet>
       <Subnet name="GatewaySubnet">
         <AddressPrefix>10.17.159.224/27</AddressPrefix>
         /Subnet>
     </Subnets>
     <Gateway>
       <ConnectionsToLocalNetwork>
         <LocalNetworkSiteRef name="MyLocalNetwork">
           <Connection type="Dedicated" />
         </LocalNetworkSiteRef>
       </ConnectionsToLocalNetwork>
     </Gateway>
   </VirtualNetworkSite>
   

3. بعد إنشاء ملف مخطط xml وتكوينه، قم بتحميل الملف لإنشاء شبكتك الظاهرية.

   استخدم cmdlet التالية لتحميل ملفك، واستبدال القيمة بتلك الخاصة بك.

   Set-AzureVNetConfig -ConfigurationPath 'C:\NetworkConfig.xml'
   

4. إنشاء بوابة ExpressRoute. تأكد من تحديد GatewaySKU كـ "Standard" ،أو "HighPerformance" ،أو "UltraPerformance" وGatewayType كـ "DynamicRouting" .

   استخدم النموذج التالي، استبدال القيم بتلك الخاصة بك.

   New-AzureVNetGateway -VNetName MyAzureVNET -GatewayType DynamicRouting -GatewaySKU HighPerformance
   

5. ربط بوابة ExpressRoute إلى دائرة ExpressRoute. بعد إتمام هذه الخطوة، يتم تأسيس الاتصال بين الشبكة المحلية وAzure، من خلال ExpressRoute.

   New-AzureDedicatedCircuitLink -ServiceKey <service-key> -VNetName MyAzureVNET
   

6. بعد ذلك، أنشئ بوابة VPN من موقع إلى موقع. يجب أن تكون GatewaySKU كـ "Standard" ،أو "HighPerformance" ،أو "UltraPerformance" ويجب أن يكون GatewayType كـ "DynamicRouting" .

   New-AzureVirtualNetworkGateway -VNetName MyAzureVNET -GatewayName S2SVPN -GatewayType DynamicRouting -GatewaySKU  HighPerformance
   

   لاسترداد إعدادات بوابة الشبكة الظاهرية، بما في ذلك معرف البوابة وIP العام استخدم cmdlet Get-AzureVirtualNetworkGateway.

   Get-AzureVirtualNetworkGateway
   
   GatewayId            : 348ae011-ffa9-4add-b530-7cb30010565e
   GatewayName          : S2SVPN
   LastEventData        :
   GatewayType          : DynamicRouting
   LastEventTimeStamp   : 5/29/2015 4:41:41 PM
   LastEventMessage     : Successfully created a gateway for the following virtual network: GNSDesMoines
   LastEventID          : 23002
   State                : Provisioned
   VIPAddress           : 104.43.x.y
   DefaultSite          :
   GatewaySKU           : HighPerformance
   Location             :
   VnetId               : 979aabcf-e47f-4136-ab9b-b4780c1e1bd5
   SubnetId             :
   EnableBgp            : False
   OperationDescription : Get-AzureVirtualNetworkGateway
   OperationId          : 42773656-85e1-a6b6-8705-35473f1e6f6a
   OperationStatus      : Succeeded
   

7. إنشاء كيان بوابة VPN لموقع محلي. لا يقوم هذا الأمر بتكوين بوابة VPN المحلية. بدلاً من ذلك، فإنه يسمح لك بتوفير إعدادات العبارة المحلية، مثل IP العام ومساحة العنوان المحلي، بحيث يمكن الاتصال به عبر بوابة Azure VPN.

   هام

   لم يتم تعريف الموقع المحلي لـ VPN من موقع إلى موقع في netcfg. بدلاً من ذلك، يجب استخدام cmdlet هذا لتحديد معلمات الموقع المحلي. لا يمكنك تعريفه باستخدام المدخل أو ملف netcfg.

   استخدم النموذج التالي، استبدال القيم بتلك الخاصة بك.

   New-AzureLocalNetworkGateway -GatewayName MyLocalNetwork -IpAddress <MyLocalGatewayIp> -AddressSpace <MyLocalNetworkAddress>
   

   ملاحظة

   إذا كان للشبكة المحلية عدة مسارات، يمكنك تمريرها جميعاً كصفيف. $MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")

   لاسترداد إعدادات بوابة الشبكة الظاهرية، بما في ذلك معرف البوابة وIP العام استخدم cmdlet Get-AzureVirtualNetworkGateway. انظر المثال الآتي.

   Get-AzureLocalNetworkGateway
   
   GatewayId            : 532cb428-8c8c-4596-9a4f-7ae3a9fcd01b
   GatewayName          : MyLocalNetwork
   IpAddress            : 23.39.x.y
   AddressSpace         : {10.1.2.0/24}
   OperationDescription : Get-AzureLocalNetworkGateway
   OperationId          : ddc4bfae-502c-adc7-bd7d-1efbc00b3fe5
   OperationStatus      : Succeeded
   

8. تكوين جهاز VPN المحلي للاتصال بالبوابة الجديدة. استخدم المعلومات التي قمت باستردادها في الخطوة 6 عند تكوين جهاز VPN الخاص بك. لمزيد من المعلومات حول تكوين جهاز VPN، راجع تكوين جهاز VPN.

9. ربط بوابة VPN من موقع إلى موقع على Azure إلى البوابة المحلية.

   في هذا المثال، يمثل connectedEntityId معرّف البوابة المحلية، والتي يمكنك العثور عليها عن طريق تشغيل Get-AzureLocalNetworkGateway. يمكنك العثور على virtualNetworkGatewayId باستخدام cmdlet Get-AzureVirtualNetworkGateway. بعد هذه الخطوة، يتم تأسيس الاتصال بين الشبكة المحلية وAzure عبر اتصال VPN من موقع إلى موقع.

   New-AzureVirtualNetworkGatewayConnection -connectedEntityId <local-network-gateway-id> -gatewayConnectionName Azure2Local -gatewayConnectionType IPsec -sharedKey abc123 -virtualNetworkGatewayId <azure-s2s-vpn-gateway-id>
   

لتكوين اتصالات موجودة ل VNet موجودة بالفعل

إذا كان لديك شبكة ظاهرية موجودة، تحقق من حجم الشبكة الفرعية للبوابة. إذا كانت الشبكة الفرعية للبوابة /28 أو /29، يجب عليك أولاً حذف بوابة الشبكة الظاهرية وزيادة حجم الشبكة الفرعية للبوابة. توضح لك الخطوات الواردة في هذا القسم كيفية القيام بذلك.

إذا كانت الشبكة الفرعية للبوابة /27 أو أكبر وكانت الشبكة الظاهرية متصلة عبر ExpressRoute، يمكنك تخطي هذه الخطوات والمتابعة إلى "الخطوة 6 - إنشاء بوابة VPN من موقع إلى موقع" في القسم السابق.

ملاحظة

عند حذف البوابة الموجودة، ستفقد أماكن العمل المحلية الاتصال بالشبكة الظاهرية أثناء العمل على هذا التكوين.

1. تحتاج إلى تثبيت أحدث إصدار من Azure Resource Manager PowerShell cmdlets. قد تختلف cmdlets التي تستخدمها لهذا التكوين قليلاً عن ما قد تكون مألوفة. تأكد من استخدام cmdlets المحددة في هذه الإرشادات.

2. حذف بوابة ExpressRoute أو بوابة VPN من موقع إلى موقع. استخدم cmdlet التالية، استبدال القيم بتلك الخاصة بك.

   Remove-AzureVNetGateway –VnetName MyAzureVNET
   

3. تصدير مخطط الشبكة الظاهرية. استخدم PowerShell cmdlet التالية، استبدال القيم بتلك الخاصة بك.

   Get-AzureVNetConfig –ExportToFile "C:\NetworkConfig.xml"
   

4. تحرير مخطط ملف تكوين الشبكة بحيث تكون الشبكة الفرعية للبوابة /27 أو بادئة أقصر (مثل /26 أو /25). انظر المثال الآتي.

   ملاحظة

   إذا لم يكن لديك ما يكفي من عناوين IP المتبقية في الشبكة الظاهرية لزيادة حجم الشبكة الفرعية للبوابة، فأنت بحاجة إلى إضافة مساحة أكبر لعنوان IP. لمزيد من المعلومات حول مخطط التكوين، راجع مخطط تكوين شبكة Azure الظاهرية.

   <Subnet name="GatewaySubnet">
     <AddressPrefix>10.17.159.224/27</AddressPrefix>
   </Subnet>
   

5. إذا كانت البوابة السابقة VPN من موقع إلى موقع، يجب عليك أيضاً تغيير نوع الاتصال إلى "Dedicated" .

   <Gateway>
     <ConnectionsToLocalNetwork>
       <LocalNetworkSiteRef name="MyLocalNetwork">
         <Connection type="Dedicated" />
       </LocalNetworkSiteRef>
     </ConnectionsToLocalNetwork>
   </Gateway>
   

6. في هذه المرحلة، لديك شبكة ظاهرية بدون بوابات. لإنشاء بوابات جديدة وإكمال الاتصالات الخاصة بك، يمكنك المتابعة مع الخطوة 4 - إنشاء بوابة ExpressRoute، الموجودة في مجموعة الخطوات السابقة.

الخطوات التالية

لمزيد من المعلومات حول ExpressRoute، راجع الأسئلة المتداولة حول ExpressRoute