تكوين ExpressRoute والاتصالات المتعايشة من موقع إلى موقع باستخدام PowerShell

مقالة
06/15/2023

تساعدك هذه المقالة على تكوين اتصالات ExpressRoute واتصالات VPN من موقع إلى موقع التي تتعايش. تتمتع القدرة على تكوين VPN من موقع إلى موقع وExpressRoute بالعديد من المزايا. يمكنك تكوين VPN من موقع إلى موقع كمسار آمن لتجاوز الفشل ل ExpressRoute، أو استخدام الشبكات الظاهرية الخاصة من موقع إلى موقع للاتصال بالمواقع غير المتصلة من خلال ExpressRoute. نغطي خطوات تكوين كلا السيناريوهين في هذه المقالة. تنطبق هذه المقالة على نموذج نشر Resource Manager.

تكوين اتصالات VPN من موقع إلى موقع واتصالات ExpressRoute المتعايشة له العديد من المزايا:

يمكنك تكوين VPN من موقع إلى موقع كمسار آمن لتجاوز الفشل ل ExpressRoute.
بدلا من ذلك، يمكنك استخدام الشبكات الظاهرية الخاصة من موقع إلى موقع للاتصال بالمواقع غير المتصلة من خلال ExpressRoute.

تتم تغطية الخطوات لتكوين كلا السيناريوهين في هذه المقالة. تنطبق هذه المقالة على طراز نشر إدارة الموارد وتستخدم PowerShell. يمكنك أيضا تكوين هذه السيناريوهات باستخدام مدخل Microsoft Azure، على الرغم من أن الوثائق غير متوفرة بعد. يمكنك تكوين أي من البوابتين أولاً. عادة، لا تواجه أي وقت تعطل عند إضافة بوابة جديدة أو اتصال بوابة جديدة.

إشعار

إذا كنت ترغب في إنشاء VPN من موقع إلى موقع عبر دائرة ExpressRoute، فشاهد VPN من موقع إلى موقع عبر نظير Microsoft.

الحدود والقيود

يتم دعم بوابة VPN المستندة إلى توجيه فقط. إنشاء بوابة VPN المستندة إلى المسار. يمكنك أيضاً استخدام بوابة VPN مستندة إلى توجيه مع اتصال VPN تم تكوينه "لمحددات حركة الانتقال المستندة إلى النهج" كما هو موضح في الاتصال إلى أجهزة VPN متعددة مستندة إلى النهج.
تكوينات بوابة ExpressRoute-VPN المتعايشة غير مدعومة على وحدة SKU الأساسية.
إذا كنت ترغب في استخدام توجيه النقل بين ExpressRoute وVPN، يجب تعيين ASN لبوابة Azure VPN إلى 65515، ويجب استخدام Azure Route Server. تدعم بوابة Azure VPN بروتوكول توجيه BGP. لكي تعمل ExpressRoute وAzure VPN معاً، يجب أن تحتفظ برقم النظام المستقل لبوابة Azure VPN الخاصة بك عند قيمتها الافتراضية التي تبلغ 65515. إذا حددت ASN يختلف عن 65515 مسبقاً وقمت بتغيير الإعداد إلى 65515، يجب إعادة تعيين بوابة VPN حتى يسري الإعداد.
يجب أن تكون الشبكة الفرعية للبوابة /27 أو بادئة أقصر، مثل /26 أو /25، أو تتلقى رسالة خطأ عند إضافة بوابة الشبكة الظاهرية ExpressRoute.
التعايش في شبكة ظاهرية مزدوجة المكدس غير مدعوم. إذا كنت تستخدم دعم ExpressRoute IPv6 وبوابة ExpressRoute مزدوجة المكدس، فلا يمكن التعايش مع بوابة VPN.

تصاميم التكوين

تكوين VPN من موقع إلى موقع كمسار تجاوز الفشل ل ExpressRoute

يمكنك تكوين اتصال VPN من موقع إلى موقع كنسخة احتياطية لاتصال ExpressRoute. ينطبق هذا الاتصال فقط على الشبكات الظاهرية المرتبطة بمسار إقران Azure الخاص. لا يوجد حل تجاوز فشل قائم على VPN للخدمات التي يمكن الوصول إليها من خلال Azure العام وتناظر Azure Microsoft. دائماً ما تكون دائرة ExpressRoute هي الرابط الأساسي. تتدفق البيانات عبر مسار VPN من موقع إلى موقع فقط إذا فشلت دائرة ExpressRoute. لتجنب التوجيه غير المتماثل، يجب أن يفضل تكوين الشبكة المحلية أيضا دائرة ExpressRoute على VPN من موقع إلى موقع. يمكنك تفضيل مسار ExpressRoute عن طريق تعيين تفضيل محلي أعلى للمسارات التي تلقت ExpressRoute.

إشعار

إذا كان لديك تناظر ExpressRoute Microsoft ممكنا، يمكنك تلقي عنوان IP العام لبوابة Azure VPN على اتصال ExpressRoute. لإعداد اتصال VPN من موقع إلى موقع على هيئة نسخة احتياطية، يجب عليك تكوين شبكتك المحلية حتى يتم توجيه اتصال VPN إلى الإنترنت.
بينما يفضل مسار دائرة ExpressRoute على VPN من موقع إلى موقع عندما يكون كلا المسارين متماثلين، يستخدم Azure أطول تطابق بادئة لاختيار المسار نحو وجهة الحزمة.

Diagram that shows a site-to-site VPN connection as a backup for ExpressRoute.

تكوين VPN من موقع إلى موقع للاتصال بالمواقع غير المتصلة من خلال ExpressRoute

يمكنك تكوين شبكتك حيث تتصل بعض المواقع مباشرة ب Azure عبر VPN من موقع إلى موقع، وتتصل بعض المواقع من خلال ExpressRoute.

Coexist

تحديد الخطوات التي يجب استخدامها

هناك مجموعتان مختلفتان من الإجراءات للاختيار من بينها. يعتمد إجراء التكوين الذي تحدده على ما إذا كانت لديك شبكة ظاهرية موجودة تريد الاتصال بها، أو تريد إنشاء شبكة ظاهرية جديدة.

ليس لديك VNet وتحتاج إلى إنشاء واحدة.

إذا لم يكن لديك شبكة ظاهرية بالفعل، فإن هذا الإجراء يرشدك خلال إنشاء شبكة ظاهرية جديدة باستخدام نموذج توزيع Resource Manager وإنشاء اتصالات ExpressRoute واتصالات VPN من موقع إلى موقع.
لدي بالفعل نموذج توزيع إدارة الموارد VNet.

قد يكون لديك بالفعل شبكة ظاهرية موجودة مع اتصال VPN موجود من موقع إلى موقع أو اتصال ExpressRoute. في هذا السيناريو، إذا كانت بادئة الشبكة الفرعية للبوابة هي /28 أو أكبر (/29/ 30، وما إلى ذلك)، يجب حذف البوابة الموجودة. ترشدك خطوات تكوين الاتصالات المتعايشة لقسم VNet موجود بالفعل خلال حذف البوابة، ثم إنشاء اتصالات ExpressRoute واتصالات VPN من موقع إلى موقع.

إذا قمت بحذف البوابة وإعادة إنشائها، فإنك تواجه وقت تعطل للاتصالات المحلية. ومع ذلك، يمكن للأجهزة الظاهرية والخدمات الاتصال عبر الإنترنت أثناء تكوين البوابة الخاصة بك إذا تم تكوينها للقيام بذلك.

قبل البدء

تستخدم الخطوات والأمثلة الموجودة في هذه المقالة الوحدات النمطية Azure PowerShell Az. لتثبيت وحدات Az النمطية محليا على جهاز الكمبيوتر الخاص بك، راجع تثبيت Azure PowerShell. لمعرفة المزيد حول الوحدة النمطية Az الجديدة، راجع تقديم الوحدة النمطية Azure PowerShell Az الجديدة. تحديث cmdlets PowerShell بشكل متكرر إذا لم تكن تستخدم أحدث إصدار، فقد تفشل القيم المُحددة في الإرشادات. للعثور على الإصدارات المثبتة من PowerShell على النظام الخاص بك، استخدم Get-Module -ListAvailable Az cmdlet.

يمكنك استخدام Azure Cloud Shell لتشغيل معظم أوامر Cmdlets وCLI PowerShell، بدلاً من تثبيت Azure PowerShell أو CLI محليًا. Azure Cloud Shell هي بيئة تفاعلية مجانية تحتوي على أدوات Azure الشائعة مثبتة مسبقًا وتم تكوينها للاستخدام مع حسابك. لتشغيل أي رمز موجود في هذه المقالة على Azure Cloud Shell، افتح جلسة عمل Cloud Shell، استخدم الزر نسخ على كتلة التعليمات البرمجية لنسخ التعليمات البرمجية، ولصقها في جلسة عمل Cloud Shell باستخدام Ctrl+Shift+V على Windows وLinux، أو Cmd+Shift+V على macOS. لن يتم تنفيذ النص الملصق تلقائيًا، اضغط على زر إدخال لتشغيل التعليمات البرمجية.

هناك بعض الطرق لتشغيل Cloud Shell:

الخيار	الارتباط‬
انقر فوق جربه في الزاوية العلوية اليسرى من كتلة التعليمات البرمجية.
انتقل إلى لفتح Cloud Shell في متصفحك.
انقر فوق الزر Cloud Shell في القائمة في أعلى يمين مدخل Azure.

شبكة ظاهرية جديدة واتصالات متعايشة
شبكة ظاهرية موجودة مع بوابة

يرشدك هذا الإجراء خلال إنشاء شبكة ظاهرية واتصالات من موقع إلى موقع واتصالات ExpressRoute التي تتعايش. قد تختلف cmdlets التي تستخدمها لهذا التكوين قليلاً عن ما قد تكون مألوفة. تأكد من استخدام cmdlets المحددة في هذه الإرشادات.

سجل الدخول وحدد اشتراكك.

إذا كنت تستخدم Azure Cloud Shell، يمكنك تسجيل الدخول إلى حساب Azure الخاص بك تلقائيًا بعد النقر فوق "جربه". لتسجيل الدخول محليًا، افتح وحدة تحكم PowerShell بامتيازات مسؤول وافتح cmdlet للاتصال.
```
Connect-AzAccount
```
إذا كان لديك أكثر من اشتراك واحد، فاحصل على قائمة باشتراكات Azure.
```
Get-AzSubscription
```
حدد الاشتراك المراد استخدامه.
```
Select-AzSubscription -SubscriptionName "Name of subscription"
```

تعريف المتغيرات وإنشاء مجموعة موارد.

$location = "Central US"
$resgrp = New-AzResourceGroup -Name "ErVpnCoex" -Location $location
$VNetASN = 65515

إنشاء شبكة ظاهرية بما في GatewaySubnetذلك . لمزيد من المعلومات حول إنشاء شبكة اتصال ظاهرية، راجع إنشاء شبكة اتصال ظاهرية. لمزيد من المعلومات حول إنشاء شبكات فرعية، راجع إنشاء شبكة فرعية

هام

يجب أن تكون GatewaySubnet /27 أو بادئة أقصر، مثل /26 أو /25.

إنشاء شبكة ظاهرية جديدة.
```
$vnet = New-AzVirtualNetwork -Name "CoexVnet" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AddressPrefix "10.200.0.0/16"
```
أضف شبكتين فرعيتين باسم App و GatewaySubnet.
```
Add-AzVirtualNetworkSubnetConfig -Name "App" -VirtualNetwork $vnet -AddressPrefix "10.200.1.0/24"
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"
```
حفظ تكوين الشبكة الظاهرية.
```
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
```
بعد ذلك، قم بإنشاء بوابة VPN من موقع إلى موقع. لمزيد من المعلومات حول تكوين بوابة VPN، راجع تكوين شبكة ظاهرية مع اتصال من موقع إلى موقع. تُدعم GatewaySku فقط لـ VpnGw1،VpnGw2، VpnGw3، Standard، وبوابات VPN عHighPerformance. تكوينات بوابة ExpressRoute-VPN غير مدعومة في وحدة SKU الأساسية. يجب أن يكون نوع Vpn RouteBased.
```
$gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$gwIP = New-AzPublicIpAddress -Name "VPNGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
$gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "VPNGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"
```
تدعم بوابة Azure VPN بروتوكول توجيه BGP. يمكنك تحديد ASN (AS Number) للشبكة الظاهرية عن طريق إضافة العلامة -Asn في الأمر التالي. عدم تحديد المعلمة Asn افتراضيا إلى رقم AS إلى 65515.
```
$azureVpn = New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"
```
إشعار

للبوابات المتوافقة، يجب استخدام ASN الافتراضي 65515. لمزيد من المعلومات، راجع الحدود والقيود.

يمكنك العثور على IP نظير BGP ورقم AS الذي يستخدمه Azure لبوابة VPN عن طريق تشغيل $azureVpn.BgpSettings.BgpPeeringAddress و $azureVpn.BgpSettings.Asn. للمزيد من المعلومات حول BGP، راجع تكوين BGP لبوابة VPN.
إنشاء كيان بوابة VPN لموقع محلي. لا يقوم هذا الأمر بتكوين بوابة VPN المحلية. بدلاً من ذلك، فإنه يسمح لك بتوفير إعدادات العبارة المحلية، مثل IP العام ومساحة العنوان المحلي، بحيث يمكن الاتصال به عبر بوابة Azure VPN.

إذا كان جهاز VPN المحلي يدعم التوجيه الثابت فقط، فيمكنك تكوين التوجيهات الثابتة بالطريقة التالية:
```
$MyLocalNetworkAddress = @("10.100.0.0/16","10.101.0.0/16","10.102.0.0/16")
$localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress *<Public IP>* -AddressPrefix $MyLocalNetworkAddress
```
إذا كان جهاز VPN المحلي يدعم BGP وتريد تمكين التوجيه الديناميكي، فأنت بحاجة إلى معرفة IP نظير BGP ورقم AS لجهاز VPN المحلي.
```
$localVPNPublicIP = "<Public IP>"
$localBGPPeeringIP = "<Private IP for the BGP session>"
$localBGPASN = "<ASN>"
$localAddressPrefix = $localBGPPeeringIP + "/32"
$localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress $localVPNPublicIP -AddressPrefix $localAddressPrefix -BgpPeeringAddress $localBGPPeeringIP -Asn $localBGPASN
```
قم بتكوين جهاز VPN المحلي للاتصال ببوابة Azure VPN الجديدة. لمزيد من المعلومات حول أجهزة VPN المتوافقة وتكوين الجهاز، راجع تكوين أجهزة VPN.

ربط بوابة VPN من موقع إلى موقع على Azure بالبوابة المحلية.

$azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
New-AzVirtualNetworkGatewayConnection -Name "VPNConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $azureVpn -LocalNetworkGateway2 $localVpn -ConnectionType IPsec -SharedKey <yourkey>

إذا كنت تتصل بدوائرة ExpressRoute موجودة، فتخط الخطوات 8 و9، ثم انتقل إلى الخطوة 10. تكوين دوائر ExpressRoute. لمزيد من المعلومات حول تكوين دائرة ExpressRoute، انظر إنشاء دائرة ExpressRoute.
تكوين نظير Azure الخاص عبر دائرة ExpressRoute. لمزيدٍ من المعلومات عن تكوين نظير Azure الخاص عبر دائرة ExpressRoute، راجع تكوين التناظر

إنشاء بوابة ExpressRoute. لمزيد من المعلومات حول تكوين عبارة ExpressRoute، انظر تكوين بوابة ExpressRoute. يجب أن يكون GatewaySKU Standard، أو HighPerformance أو UltraPerformance.

$gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
$gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
$gw = New-AzVirtualNetworkGateway -Name "ERGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard

ربط بوابة ExpressRoute إلى دائرة ExpressRoute. بعد إتمام هذه الخطوة، يتم تأسيس الاتصال بين شبكة الاتصال المحلية وAzure، من خلال ExpressRoute. لمزيد من المعلومات حول عملية الارتباط، راجع ارتباط VNets إلى ExpressRoute.
```
$ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute
```

إذا كانت لديك شبكة ظاهرية تحتوي على بوابة شبكة ظاهرية واحدة فقط وتريد إضافة بوابة أخرى من نوع مختلف، فتحقق أولا من حجم الشبكة الفرعية للبوابة. إذا كانت الشبكة الفرعية للبوابة /27 أو أكبر، يمكنك تخطي الخطوات الواردة في هذا القسم واتباع الخطوات الواردة في القسم السابق لإضافة بوابة VPN من موقع إلى موقع أو بوابة ExpressRoute. إذا كانت الشبكة الفرعية للبوابة /28 أو /29، يجب عليك أولاً حذف عبارة الشبكة الظاهرية وزيادة حجم الشبكة الفرعية للبوابة. توضح لك الخطوات الواردة في هذا القسم كيفية القيام بذلك.

احذف بوابة ExpressRoute أو بوابة VPN من موقع إلى موقع.

Remove-AzVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup>

حذف الشبكة الفرعية للبوابة.

$vnet = Get-AzVirtualNetwork -Name <yourvnetname> -ResourceGroupName <yourresourcegroup> Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

إضافة شبكة فرعية للبوابة /27 أو أكبر.

إشعار

إذا لم يكن لديك ما يكفي من عناوين IP المتبقية في الشبكة الظاهرية لزيادة حجم الشبكة الفرعية للبوابة، فأنت بحاجة إلى إضافة مساحة أكبر لعنوان IP.
```
$vnet = Get-AzVirtualNetwork -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"
```
حفظ تكوين VNet.
```
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
```

عند هذه النقطة، لديك شبكة اتصال ظاهرية مع أي بوابة. لإنشاء بوابات جديدة وإعداد الاتصالات، استخدم الأمثلة التالية:

تعيين المتغيرات.

$gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
$gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id

إنشاء البوابة.

$gw = New-AzVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup> -Location <yourlocation> -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard

إنشاء الاتصال.

$ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute

لإضافة تكوين من نقطة إلى موقع إلى عبارة VPN

يمكنك اتباع هذه الخطوات لإضافة تكوين من نقطة إلى موقع إلى بوابة VPN الخاصة بك في إعداد التعايش. لتحميل شهادة الجذر VPN، يجب إما تثبيت PowerShell محلياً إلى الكمبيوتر الخاص بك، أو استخدام المدخل Azure.

إضافة تجمع عناوين عميل VPN.

$azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $azureVpn -VpnClientAddressPool "10.251.251.0/24"

تحميل شهادة الجذر VPN إلى Azure لبوابة VPN الخاصة بك. في هذا المثال، نفترض أن الشهادة الجذر يتم تخزينها في الجهاز المحلي حيث يتم تشغيل أوامر PowerShell cmdlets التالية وأنك تقوم بتشغيل PowerShell محليا. يمكنك أيضاً تحميل الشهادة باستخدام مدخل Azure.

$p2sCertFullName = "RootErVpnCoexP2S.cer" 
$p2sCertMatchName = "RootErVpnCoexP2S" 
$p2sCertToUpload=get-childitem Cert:\CurrentUser\My | Where-Object {$_.Subject -match $p2sCertMatchName} 
if ($p2sCertToUpload.count -eq 1){write-host "cert found"} else {write-host "cert not found" exit} 
$p2sCertData = [System.Convert]::ToBase64String($p2sCertToUpload.RawData) 
Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $p2sCertFullName -VirtualNetworkGatewayname $azureVpn.Name -ResourceGroupName $resgrp.ResourceGroupName -PublicCertData $p2sCertData

لمزيد من المعلومات حول VPN من نقطة إلى موقع، انظر تكوين اتصال من نقطة إلى موقع.

لتمكين توجيه العبور بين ExpressRoute وAzure VPN

إذا كنت ترغب في تمكين الاتصال بين إحدى الشبكات المحلية المتصلة ب ExpressRoute وشبكة محلية أخرى متصلة باتصال VPN من موقع إلى موقع، فأنت بحاجة إلى إعداد Azure Route Server.

الخطوات التالية

لمزيد من المعلومات حول ExpressRoute، راجع الأسئلة الشائعة حول ExpressRoute.