مشاركة عبر

تكوين اتصالات ExpressRoute والاتصالات المتواجدة جنباً إلى جنب Site-to-Site باستخدام مدخل Azure

  • مقالة

تساعدك هذه المقالة على تكوين اتصالات ExpressRoute واتصالات VPN المتعايشة من موقع إلى موقع. يتمتع امتلاك القدرة على تكوين VPN من موقع إلى موقع وExpressRoute بالعديد من المزايا. يمكنك تكوين اتصال VPN من موقع إلى موقع كمسار آمن يتجاوز الفشل لـ ExpressRoute، أو استخدام الشبكات الظاهرية الخاصة من Site-to-Site للاتصال بالمواقع غير المتصلة من خلال ExpressRoute. نغطي خطوات تكوين كلا السيناريوهين في هذه المقالة. تنطبق هذه المقالة على نموذج نشر Resource Manager.

يتمتع تكوين اتصالات VPN من موقع إلى موقع وExpressRoute المتوافقة بالعديد من المزايا:

  • يمكنك تكوين VPN من موقع إلى موقع كمسار آمن لتجاوز الفشل لـ ExpressRoute.
  • بدلاً من ذلك، يمكنك استخدام Site-to-Site VPNs للاتصال بالمواقع غير المتصلة عبر ExpressRoute.

تتم تغطية الخطوات لتكوين كلا السيناريوهين في هذه المقالة. يمكنك تكوين أي من البوابتين أولاً. عادة، لا تتحمل أي وقت تعطل عند إضافة بوابة جديدة أو اتصال بوابة جديدة.

إشعار

  • إذا كنت ترغب في إنشاء Site-to-Site VPN عبر اتصال ExpressRoute، فراجع Site-to-site عبر تناظر Microsoft.
  • بالنسبة إلى تعايش بوابة ExpressRoute-VPN، إذا قمت بالفعل بنشر ExpressRoute، فلن تحتاج إلى إنشاء شبكة ظاهرية وشبكة فرعية للبوابة لأن هذه هي المتطلبات الأساسية لإنشاء ExpressRoute.
  • بالنسبة إلى Encrypted Express Route Gateway، يتم إجراء MSS Clamping عبر بوابة Azure VPN لشبك حجم حزمة TCP ب 1250 بايت

الحدود والقيود

  • يتم دعم بوابة VPN المستندة إلى توجيه فقط. إنشاء بوابة VPN المستندة إلى المسار. يمكنك أيضاً استخدام بوابة VPN مستندة إلى توجيه مع اتصال VPN تم تكوينه "لمحددات حركة الانتقال المستندة إلى النهج" كما هو موضح في الاتصال إلى أجهزة VPN متعددة مستندة إلى النهج.
  • تكوينات بوابة ExpressRoute-VPN غير مدعومة على SKU الأساسية.
  • يجب أن تكون كل من بوابات ExpressRoute وVPN قادرة على التواصل مع بعضها البعض عبر BGP لتعمل بشكل صحيح. إذا كنت تستخدم UDR على الشبكة الفرعية للبوابة، فتأكد من أنها لا تتضمن مسارا لنطاق الشبكة الفرعية للبوابة نفسها لأن هذا سيتداخل مع حركة مرور BGP.
  • إذا أردت استخدام توجيه العبور بين ExpressRoute وVPN، يجب تعيين ASN الخاص ببوابة Azure VPN إلى 65515. تدعم Azure VPN Gateway بروتوكول التوجيه BGP. لكي تعمل ExpressRoute وAzure VPN معاً، يجب أن تحتفظ برقم النظام المستقل لبوابة Azure VPN الخاصة بك عند قيمتها الافتراضية التي تبلغ 65515. إذا حددت ASN يختلف عن 65515 مسبقاً وقمت بتغيير الإعداد إلى 65515، يجب إعادة تعيين بوابة VPN حتى يسري الإعداد.
  • يجب أن تكون الشبكة الفرعية للبوابة /27 أو بادئة أقصر، مثل /26 أو /25، أو تتلقى رسالة خطأ عند إضافة بوابة الشبكة الظاهرية ExpressRoute.

تصاميم التكوين

تكوين VPN من موقع إلى موقع كمسار تجاوز الفشل لـ ExpressRoute

يمكنك تكوين اتصال VPN من موقع إلى موقع كنسخة احتياطية لـ ExpressRoute. ينطبق هذا الاتصال فقط على الشبكات الظاهرية المرتبطة بمسار إقران Azure الخاص. لا يوجد حل تجاوز فشل قائم على VPN للخدمات التي يمكن الوصول إليها من خلال Azure العام وتناظر Azure Microsoft. دائماً ما تكون دائرة ExpressRoute هي الرابط الأساسي. تتدفق البيانات عبر مسار VPN من موقع إلى موقع فقط إذا فشلت دائرة ExpressRoute. لتجنب التوجيه غير المتماثل، يجب أن يفضل تكوين الشبكة المحلية الخاصة بك دائرة ExpressRoute على VPN من موقع إلى موقع. يمكنك تفضيل مسار ExpressRoute عن طريق تعيين تفضيل محلي أعلى للمسارات التي تلقت ExpressRoute.

إشعار

إذا مكّنت إقران Microsoft لـ ExpressRoute، يمكنك تلقي عنوان IP العام لبوابة Azure VPN الخاصة بك على اتصال ExpressRoute. لإعداد اتصال VPN من موقع إلى موقع على هيئة نسخة احتياطية، يجب عليك تكوين شبكتك المحلية حتى يتم توجيه اتصال VPN إلى الإنترنت.

إشعار

بينما تُفضل دائرة ExpressRoute على VPN من موقع إلى موقع عندما يكون المساران كلاهما متماثلين، تستخدم Azure أطول بادئة مطابقة لاختيار المسار الموجه نحو وجهة الحزمة.

رسم تخطيطي لاتصال VPN من موقع إلى موقع يستخدم كنسخة احتياطية ل ExpressRoute.

تكوين VPN من موقع إلى موقع للاتصال بالمواقع غير المتصلة من خلال ExpressRoute

يمكنك تكوين الشبكة حيث تتصل بعض المواقع مباشرة ب Azure عبر VPN من موقع إلى موقع، وتتصل بعض المواقع من خلال ExpressRoute.

رسم تخطيطي لاتصال VPN من موقع إلى موقع يتعايش مع اتصال ExpressRoute لموقعين مختلفين.

تحديد الخطوات التي يجب استخدامها

هناك مجموعتان مختلفتان من الإجراءات للاختيار من بينها. يعتمد إجراء التكوين الذي تحدده على ما إذا كانت لديك شبكة ظاهرية موجودة تريد الاتصال بها، أو تريد إنشاء شبكة ظاهرية جديدة.

  • ليس لديك VNet وتحتاج إلى إنشاء واحدة.

    إذا لم تكن لديك شبكة ظاهرية بالفعل، فهذا الإجراء يرشدك إلى إنشاء شبكة ظاهرية جديدة باستخدام نموذج نشر إدارة الموارد وإنشاء اتصالات جديدة مع ExpressRoute وVPN من موقع إلى موقع. لتكوين شبكة ظاهرية، اتبع الخطوات الموجودة في لإنشاء شبكة اتصال ظاهرية جديدة واتصالات متعايشة.

  • لدي بالفعل نموذج توزيع إدارة الموارد VNet.

    قد يكون لديك بالفعل شبكة ظاهرية في مكان مع اتصال VPN موقع إلى موقع موجود أو اتصال ExpressRoute. في هذا السيناريو، إذا كانت بادئة الشبكة الفرعية للبوابة هي /28 أو أكبر (/29/ 30، وما إلى ذلك)، يجب حذف البوابة الموجودة. لتكوين الاتصالات الموجودة لمقطع VNet موجود بالفعل يرشدك خلال حذف البوابة، ثم إنشاء اتصالات ExpressRoute واتصالات VPN من موقع إلى موقع.

    إذا قمت بحذف البوابة وإعادة إنشائها، فلديك وقت تعطل للاتصالات المحلية. ومع ذلك، يمكن للأجهزة الظاهرية والخدمات الاتصال من خلال موازن التحميل أثناء تكوين البوابة الخاصة بك إذا تم تكوينها للقيام بذلك.

لإنشاء شبكة اتصال ظاهرية جديدة واتصالات متعايشة

يرشدك هذا الإجراء خلال إنشاء VNet واتصالات من موقع إلى موقع وExpressRoute التي تتعايش.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. في الجانب العلوي الأيسر من الشاشة، حدد + Create a resource وابحث عن Virtual network.

  3. حدد إنشاء لبدء تكوين الشبكة الظاهرية.

    لقطة شاشة لصفحة إنشاء شبكة ظاهرية.

  4. في علامة التبويب أساسيات، حدد أو أنشئ مجموعة موارد جديدة لتخزين الشبكة الظاهرية. ثم أدخِل الاسم وحدد المنطقة لتوزيع الشبكة الظاهرية. حدد التالي: عناوين > لتكوين مساحة العنوان والشبكات الفرعية.

    لقطة شاشة لعلامة تبويب الأساسيات لإنشاء شبكة ظاهرية.

  5. في علامة التبويب عناوين IP، بادر بتكوين مساحة عنوان الشبكة الظاهرية. ثم بادر بتعريف الشبكات الفرعية التي تريد إنشاءها، بما في ذلك الشبكة الفرعية للبوابة. حدد مراجعة + إنشاء، ثم حدد إنشاء* لتوزيع الشبكة الظاهرية. لمزيد من المعلومات حول إنشاء شبكة اتصال ظاهرية، راجع إنشاء شبكة اتصال ظاهرية. لمزيد من المعلومات حول إنشاء شبكات فرعية، راجع إنشاء شبكة فرعية

    هام

    يجب أن تكون الشبكة الفرعية للعبارة /27 أو بادئة أقصر (مثل /26 أو /25).

    لقطة شاشة لعلامة تبويب عناوين IP لإنشاء شبكة ظاهرية.

  6. إنشاء بوابة site-to-site VPN وبوابة الشبكة المحلية. لمزيد من المعلومات حول تكوين عبارة VPN، راجع تكوين VNet مع اتصال من موقع إلى موقع. تُدعم GatewaySku فقط لـ VpnGw1، VpnGw2، VpnGw3، Standard، وبوابات VPN عHighPerformance. تكوينات بوابة ExpressRoute-VPN غير مدعومة في وحدة SKU الأساسية. يجب أن يكون نوع Vpn RouteBased.

  7. قم بتكوين جهاز VPN المحلي للاتصال ببوابة Azure VPN الجديدة. لمزيد من المعلومات حول أجهزة VPN المتوافقة وتكوين الجهاز، راجع تكوين أجهزة VPN.

  8. إذا كنت تتصل بدوائرة ExpressRoute موجودة، فتخط الخطوات 8 و9، ثم انتقل إلى الخطوة 10. تكوين دوائر ExpressRoute. لمزيد من المعلومات حول تكوين دائرة ExpressRoute، انظر إنشاء دائرة ExpressRoute.

  9. تكوين نظير Azure الخاص عبر دائرة ExpressRoute. لمزيدٍ من المعلومات عن تكوين نظير Azure الخاص عبر دائرة ExpressRoute، راجع تكوين التناظر

  10. حدد + إنشاء مورد ثم ابحث عن بوابة الشبكة الظاهرية. وبعد ذلك، حدد إنشاء.

  11. حدد نوع البوابة ExpressRouteSKU الملائم والشبكة الظاهرية لتوزيع البوابة إلى.

    لقطة شاشة لإنشاء بوابة شبكة ظاهرية ل ExpressRoute.

  12. ربط بوابة ExpressRoute إلى دائرة ExpressRoute. بعد إتمام هذه الخطوة، يتم تأسيس الاتصال بين شبكة الاتصال المحلية وAzure، من خلال ExpressRoute. لمزيد من المعلومات حول عملية الارتباط، راجع ارتباط VNets إلى ExpressRoute.

لتكوين اتصالات موجودة ل VNet موجودة بالفعل

إذا كانت لديك شبكة ظاهرية تحتوي على بوابة شبكة ظاهرية واحدة فقط، على سبيل المثال، بوابة VPN من موقع إلى موقع وتريد إضافة بوابة أخرى من نوع مختلف، على سبيل المثال، بوابة ExpressRoute، فتحقق من حجم الشبكة الفرعية للبوابة. إذا كانت الشبكة الفرعية للبوابة /27 أو أكبر، يمكنك تخطي الخطوات التالية واتباع الخطوات الواردة في القسم السابق لإضافة إما بوابة VPN من موقع إلى موقع أو بوابة ExpressRoute. إذا كانت الشبكة الفرعية للبوابة /28 أو /29، يجب عليك أولاً حذف عبارة الشبكة الظاهرية وزيادة حجم الشبكة الفرعية للبوابة. توضح لك الخطوات الواردة في هذا القسم كيفية القيام بذلك.

  1. حذف عبارة ExpressRoute أو بوابة Site-to-site VPN.

  2. حذف وإعادة إنشاء GatewaySubnet أن يكون بادئة /27 أو أقصر.

  3. تكوين شبكة ظاهرية مع اتصال Site-to-Site ثم كوِّن بوابة ExpressRoute.

  4. بمجرد توزيع بوابة ExpressRoute، يمكنك ربط الشبكة الظاهرية إلى دائرة ExpressRoute.

لإضافة تكوين من نقطة إلى موقع إلى عبارة VPN

يمكنك إضافة تكوين نقطة إلى موقع إلى مجموعة التعايش الخاصة بك باتباع الإرشادات الواردة في تكوين اتصال VPN من نقطة إلى موقع باستخدام مصادقة شهادة Azure

لتمكين توجيه العبور بين ExpressRoute وAzure VPN

إذا كنت ترغب في تمكين الاتصال بين إحدى الشبكات المحلية المتصلة ب ExpressRoute وشبكة محلية أخرى متصلة باتصال VPN من موقع إلى موقع، فأنت بحاجة إلى إعداد Azure Route Server.

الخطوات التالية

لمزيد من المعلومات حول ExpressRoute، راجع الأسئلة الشائعة حول ExpressRoute.