إنشاء اتصال VPN لمستخدم P2S باستخدام Azure Virtual WAN - مصادقة Microsoft Entra

  • مقالة

توضح لك هذه المقالة كيفية استخدام شبكة WAN الافتراضية للاتصال بمواردك في Azure. في هذه المقالة، يمكنك إنشاء اتصال VPN للمستخدم من نقطة إلى موقع بشبكة Virtual WAN التي تستخدم مصادقة Microsoft Entra. تتوفر مصادقة Microsoft Entra فقط للبوابات التي تستخدم بروتوكول OpenVPN.

إشعار

مصادقة Microsoft Entra مدعومة فقط لاتصالات بروتوكول OpenVPN® وتتطلب عميل Azure VPN.

في هذه المقالة، ستتعرف على كيفية:

  • إنشاء شبكة WAN ظاهرية
  • إنشاء تكوين VPN للمستخدم
  • تنزيل ملف تعريف VPN لمستخدم WAN الظاهري
  • إنشاء مركز ظاهري
  • تحرير مركز لإضافة بوابة P2S
  • اتصال شبكة ظاهرية بمركز ظاهري
  • تنزيل وتطبيق تكوين عميل VPN الخاص بالمستخدم
  • عرض virtual WAN الخاصة بك

رسم تخطيطي افتراضي للشبكة الواسعة.

قبل البدء

تحقق من استيفائك للمعايير الآتية قبل بدء تكوينك:

  • لديك شبكة افتراضية تريد الاتصال بها. تحقق من أن أي من الشبكات الفرعية من الشبكات المحلية تتداخل مع الشبكات الظاهرية التي ترغب في الاتصال بها. لإنشاء شبكة افتراضية في بوابة Azure، راجع مقالة التشغيل السريع.

  • لا تتضمن شبكتك الظاهرية أي بوابات شبكة ظاهرية. إذا كان لدى الشبكة الافتراضية عبارة (إما VPN أو ExpressRoute)، يجب إزالة جميع العبارات. يتطلب هذا التكوين ألا تتصل الشبكات الافتراضية إلا بعبارة Virtual WAN.

  • احصل على نطاق عنوان IP لمنطقة Virtual WAN الخاصة بك. المركز الافتراضي عبارة عن شبكة افتراضية يتم إنشاؤها واستخدامها من قبل Virtual WAN. لا يمكن أن يتداخل نطاق العنوان الذي تحدده للمركز مع أي شبكة من الشبكات الظاهرية الموجودة التي تتصل بها. كما لا يمكن أن تتداخل مع نطاقات العناوين التي تتصل بها محليًا. إذا لم تكن معتاداً على نطاقات عناوين IP الموجودة في تكوين الشبكة المحلية، فنسق مع شخص يمكنه تقديم هذه التفاصيل لك.

  • إذا لم يكن لديك اشتراك Azure، فأنشئ حسابًا مجانًا.

إنشاء شبكة WAN ظاهرية

من المستعرض، انتقل إلى مدخل Azure وسجِّل الدخول باستخدام حساب Azure الخاص بك.

  1. في المدخل، في شريط موارد البحث، اكتب شبكة WAN الظاهرية في مربع البحث وحدد إدخال.

  2. حدد شبكات WAN الظاهرية من النتائج. في صفحة شبكات WAN الظاهرية، حدد + إنشاء لفتح صفحة إنشاء WAN.

  3. في الصفحة إنشاء WAN، في علامة التبويب الأساسيات، قم بتعبئة الحقول. قم بتعديل قيم المثال لتطبيقها على البيئة الخاصة بك.

    لقطة شاشة تعرض جزء إنشاء WAN مع تحديد علامة التبويب

    • الاشتراك: حدد الاشتراك الذي تريد استخدامه.
    • مجموعة الموارد: أنشئ جديدًا أو استخدِم الموجود.
    • موقع مجموعة الموارد: اختر موقع مورد من القائمة المنسدلة. تعد WAN مصدراً عالمياً ولا تعيش في منطقة معينة. ومع ذلك، يجب عليك تحديد منطقة من أجل إدارة مورد WAN الذي تقوم بإنشائه وتحديد موقعه بسهولة أكبر.
    • الاسم: اكتب الاسم الذي تريد استدعاء شبكة WAN الظاهرية.
    • النوع: أساسي أو قياسي. حدد قياسي. إذا قمت بتحديد أساسي، فعليك أن تُدرك أن شبكات WAN الظاهرية الأساسية يمكن أن تحتوي فقط على لوحات الوصل الأساسية. يمكن استخدام لوحات الوصل الأساسية للاتصالات من موقع إلى موقع فقط.

  4. بعد الانتهاء من ملء الحقول، حدد مراجعة +إنشاء في أسفل الصفحة.

  5. بمجرد انتهاء التحقق من الصحة، انقر فوق إنشاء لإنشاء شبكة WAN الظاهرية.

إنشاء تكوين VPN للمستخدم

يحدد تكوين VPN الخاص بالمستخدم معلمات توصيل العملاء البعيدين. من المهم إنشاء تكوين User VPN قبل تكوين المحور الافتراضي الخاص بك باستخدام إعدادات P2S، حيث يجب عليك تحديد تكوين User VPN الذي تريد استخدامه.

  1. انتقل إلى صفحة تكوينات Vpn لـ Virtual WAN ->User وانقر فوق +Create user VPN config.

    لقطة شاشة لإنشاء تكوين مستخدم V P N.

  2. في صفحة Basics، حدد المعلمات.

    لقطة شاشة للصفحة

    • اسم التكوين - أدخل الاسم الذي تريد استدعاء تكوين VPN للمستخدم الخاص بك.
    • نوع النفق - حدد OpenVPN من القائمة المنسدلة.

  3. انقر فوق معرف Microsoft Entra لفتح الصفحة.

    لقطة شاشة لصفحة معرف Microsoft Entra.

    قم بتبديل معرف Microsoft Entra إلى نعم وقم بتوفير القيم التالية استنادا إلى تفاصيل المستأجر. يمكنك عرض القيم الضرورية في صفحة معرف Microsoft Entra لتطبيقات المؤسسة في المدخل.

    • أسلوب المصادقة - حدد معرف Microsoft Entra.

    • Audience - اكتب معرف التطبيق لتطبيق Azure VPN Enterprise المسجل في مستأجر Microsoft Entra.

    • مصدر الشهادة - https://sts.windows.net/<your Directory ID>/

    • مستأجر Microsoft Entra: TenantID لمستأجر Microsoft Entra. تأكد من عدم / وجود عنوان URL لمستأجر Microsoft Entra في نهاية .

      • إدخال https://login.microsoftonline.com/{AzureAD TenantID} لمصمم تطبيق Azure Public
      • أدخال https://login.microsoftonline.us/{AzureAD TenantID} مصمم التطبيق Azure Government
      • أدخال https://login-us.microsoftonline.de/{AzureAD TenantID} لمصمم التطبيق Azure Germany
      • أدخال https://login.chinacloudapi.cn/{AzureAD TenantID} للصين 21Vianet AD

  4. انقر فوق إنشاء لإنشاء تكوين VPN للمستخدم. ستحدد هذا التكوين لاحقًا في التمرين.

إنشاء مركز فارغ

لهذا التمرين، نقوم بإنشاء مركز ظاهري فارغ في هذه الخطوة، وفي القسم التالي، يمكنك إضافة بوابة P2S إلى هذا المركز. ومع ذلك، يمكنك دمج هذه الخطوات وإنشاء المركز مع إعدادات بوابة P2S كلها في وقت واحد. والنتيجة هي نفسها في كلتا الحالتين. بعد تكوين الإعدادات، انقر فوق Review + create للتحقق من الصحة، ثم Create.

  1. انتقل إلى شبكة WAN الظاهرية التي قمت بإنشائها. في الجزء الأيسر من صفحة شبكة WAN الظاهرية، أسفل Connectivity حدد Hubs.

  2. في صفحة المراكز، حدد +مركز جديد لفتح صفحة إنشاء مركز ظاهري.

    لقطة شاشة تعرض جزء إنشاء مركز ظاهري مع تحديد علامة التبويب الأساسيات.

  3. في الصفحة إنشاء مركز ظاهري، علامة التبويب الأساسيات، أكمل الحقول التالية:

    • المنطقة: حدد المنطقة التي تريد نشر المركز الظاهري فيها.
    • الاسم: الاسم الذي تريد أن يُعرف به المركز الظاهري.
    • "Hub private address space": نطاق عنوان المركز في رمز CIDR. الحد الأدنى لمساحة العنوان هو /24 لإنشاء مركز.
    • Virtual hub capacity: حدد من القائمة المنسدلة. لمزيد من المعلومات، راجع إعدادات المركز الظاهري.
    • تفضيل توجيه المركز: اتركه كافتراضي. لمزيد من المعلومات، راجع تفضيل توجيه المركز الظاهري.

إضافة بوابة P2S إلى مركز

يوضح لك هذا القسم كيفية إضافة بوابة إلى مركز ظاهري موجود بالفعل. قد تستغرق هذه الخطوة ما يصل إلى 30 دقيقة حتى يكتمل تحديث الموزع.

  1. انتقل إلى صفحة Hubs ضمن virtual WAN.

  2. انقر فوق اسم المركز الذي تريد تحريره لفتح صفحة المركز.

  3. انقر فوق Edit virtual hub في أعلى الصفحة لفتح صفحة Edit virtual hub .

  4. في صفحة Edit virtual hub، حدد خانات الاختيار تضمين بوابة vpn لمواقع VPNوتضمين بوابة من نقطة إلى موقع للكشف عن الإعدادات. ثم قم بتكوين القيم.

    تظهر لقطة الشاشة تحرير المركز الظاهري.

    • "Gateway scale units": حدد قيمة "Gateway scale units" من القائمة المنسدلة. تمثل وحدات القياس السعة الإجمالية لبوابة مستخدم VPN. إذا قمت بتحديد 40 أو أكثر من وحدات مقياس البوابة، فقم بتخطيط قائمة عناوين العملاء وفقًا لذلك. للحصول على معلومات حول كيفية تأثير هذا الإعداد على قائمة عناوين العملاء، راجع حول قائمة عناوين العملاء. للحصول على معلومات حول وحدات مقياس البوابة، راجع الأسئلة الشائعة.
    • تكوين VPN للمستخدم: حدد التكوين الذي قمت بإنشائه سابقًا.
    • تعيين مجموعات المستخدمين لتجمعات العناوين: للحصول على معلومات حول هذا الإعداد، راجع تكوين مجموعات المستخدمين وتجمعات عناوين IP ل P2S User VPNs (معاينة).

  5. بعد تكوين الإعدادات، انقر فوق تأكيد لتحديث المركز. قد يستغرق تحديث المركز ما يصل إلى 30 دقيقة.

اتصال الشبكة الظاهرية بالمركز

في هذا القسم، يمكنك إنشاء اتصال بين المركز الظاهري والشبكة الظاهرية الخاصة بك.

  1. في مدخل Microsoft Azure، انتقل إلى Virtual WAN في الجزء الأيمن، وحدد Virtual network connections.

  2. في صفحة Virtual network connections ، حدد + Add connection.

  3. في صفحة إضافة اتصال ، قم بتكوين إعدادات الاتصال. للحصول على معلومات حول إعدادات التوجيه، راجع حول التوجيه.

    لقطة شاشة لصفحة إضافة اتصال.

    • Connection name: اسم الاتصال.
    • المراكز: حدد المركز الذي تريد إقرانه بهذا الاتصال.
    • الاشتراك: تحقق من الاشتراك.
    • مجموعة الموارد: حدد مجموعة الموارد التي تحتوي على الشبكة الظاهرية التي تريد الاتصال بها.
    • الشبكة الظاهرية: حدد الشبكة الظاهرية التي تريد الاتصال بها. لا يمكن أن تكون للشبكة الظاهرية التي تحددها بوابة شبكة ظاهرية موجودة بالفعل.
    • النشر إلى بلا: يتم تعيين هذا إلى لا بشكل افتراضي. يؤدي تغيير المفتاح إلى نعم إلى جعل خيارات التكوين للنشر إلى جداول التوجيه ونشر إلى التسميات غير متوفرة للتكوين.
    • إقران جدول التوجيه: من القائمة المنسدلة، يمكنك تحديد جدول توجيه تريد إقرانه.
    • النشر إلى التسميات: التسميات هي مجموعة منطقية من جداول التوجيه. لهذا الإعداد، حدد من القائمة المنسدلة.
    • المسارات الثابتة: تكوين المسارات الثابتة، إذا لزم الأمر. تكوين المسارات الثابتة للأجهزة الظاهرية للشبكة (إن أمكن). تدعم شبكة WAN الظاهرية مرحلة IP التالية للمسار الثابت في اتصال الشبكة الظاهرية. على سبيل المثال، إذا كان لديك جهاز ظاهري منفصل لتدفق حركة مرور الدخول والخروج، فمن الأفضل أن يكون لديك الأجهزة الظاهرية في شبكات ظاهرية منفصلة وإرفاق الشبكات الظاهرية بالمركز الظاهري.
    • تجاوز عنوان IP الوثب التالي لأحمال العمل داخل الشبكة الظاهرية هذه: يتيح لك هذا الإعداد نشر NVAs وأحمال العمل الأخرى في نفس الشبكة الظاهرية دون فرض جميع حركة المرور من خلال NVA. يمكن تكوين هذا الإعداد فقط عند تكوين اتصال جديد. إذا كنت تريد استخدام هذا الإعداد لاتصال قمت بإنشائه بالفعل، فاحذف الاتصال، ثم أضف اتصالا جديدا.
    • نشر مسار ثابت: يتم حاليا نشر هذا الإعداد. يتيح لك هذا الإعداد نشر المسارات الثابتة المحددة في قسم المسارات الثابتة لتوجيه الجداول المحددة في نشر إلى جداول التوجيه. بالإضافة إلى ذلك، سيتم نشر التوجيهات إلى جداول التوجيه التي تحتوي على تسميات محددة على أنها نشر إلى التسميات. يمكن نشر هذه المسارات بين المراكز، باستثناء المسار الافتراضي 0/0. هذه الميزة قيد الطرح. إذا كنت بحاجة إلى تمكين هذه الميزة، فيرجى التواصل مع vwanpm@microsoft.com

  4. بمجرد الانتهاء من الإعدادات التي تريد تكوينها، انقر فوق إنشاء لإنشاء الاتصال.

تنزيل ملف تعريف VPN للمستخدم

يتم تضمين كافة إعدادات التكوين الضرورية لعملاء VPN في ملف تكوين عميل VPN مضغوط. تُساعدك الإعدادات الموجودة في الملف المضغوط على تكوين عملاء VPN بسهولة. تُعدّ ملفات تكوين عميل VPN التي تقوم بإنشائها مُخصصة لتكوين VPN للمستخدم للبوابة الخاصة بك. يمكنك تنزيل ملفات تعريف عمومية (على مستوى WAN) أو ملف تعريف لمركز معين. للحصول على معلومات وإرشادات إضافية، راجع تنزيل ملفات التعريف العمومية وملفات تعريف المركز. ترشدك الخطوات التالية خلال تنزيل ملف تعريف عالمي على مستوى WAN.

  1. لإنشاء حزمة تكوين عميل VPN لملف تعريف عمومي على مستوى WAN، انتقل إلى شبكة WAN الظاهرية (وليس المركز الظاهري).

  2. في الجزء الأيمن، حدد تكوينات VPN للمستخدم.

  3. حدد التكوين الذي تريد تنزيل ملف التعريف له. إذا كان لديك مراكز متعددة معينة إلى نفس ملف التعريف، فقم بتوسيع ملف التعريف لإظهار المراكز، ثم حدد أحد المراكز التي تستخدم ملف التعريف.

  4. حدد تنزيل ملف تعريف VPN للمستخدم في WAN الظاهري.

  5. في صفحة التنزيل، حدد EAPTLS، ثم Generate and download profile. يتم إنشاء حزمة ملف تعريف (ملف مضغوط) تحتوي على إعدادات تكوين العميل وتنزيلها على الكمبيوتر لديك. تعتمد محتويات الحزمة على المصادقة وخيارات النفق للتكوين الخاص بك.

تكوين عملاء VPN للمستخدم

يجب أن يحتوي كل كمبيوتر يتصل على عميل مثبت. يمكنك تكوين كل عميل باستخدام ملفات ملف تعريف عميل مستخدم VPN التي قمت بتنزيلها في الخطوات السابقة. استخدم المقالة المتعلقة بنظام التشغيل الذي تريد توصيله.

لتكوين عملاء macOS VPN (إصدار أولي)

للحصول على إرشادات عميل macOS، راجع تكوين عميل VPN - macOS (إصدار أولي).

لتكوين عملاء Windows VPN

  1. قم بتنزيل أحدث إصدار من ملفات تثبيت Azure VPN Client باستخدام أحد الارتباطات التالية:

  2. قم بتثبيت عالميل الخاص بـ Azure VPN على كل كمبيوتر.

  3. تأكد من أن عميل Azure VPN لديه إذن للتشغيل في الخلفية. لمعرفة الخطوات، راجع نافذة تطبيقات الخلفية.

  4. للتحقق من الإصدار الخاص بالعميل المثبت، افتح عميل Azure VPN. انتقل إلى الجزء السفلي من البرنامج وانقر فوق ... - >؟ مساعدة . في الجزء الأيسر، تستطيع رؤية رقم إصدار العميل.

لاستيراد ملف تعريف عميل VPN (Windows)

  1. في الصفحة، حدداستيراد.

    لقطة شاشة تظهرصفحة الاستيراد.

  2. استعرض للوصول إلى ملف تعريف xml وقم بتحديده. مع تحديد ملف، حدد فتح.

    لقطة شاشة تعرض مربع حوار فتح يمكنك تحديد ملف فيه.

  3. حدد الاسم الخاص بملف التعريف وحدد حفظ.

    لقطة شاشة تعرض اسم الاتصال المضاف والزر

  4. حدد الاتصال للاتصال بالشبكة الظاهرية الخاصة.

    لقطة شاشة تعرض الزر

  5. في وقت الاتصال، سيتحول الرمز إلى اللون الأخضر ويقول متصل.

    لقطة شاشة تعرض الاتصال في حالة الاتصال مع خيار قطع الاتصال.

لحذف ملف خاص بتعريف عميل - Windows

  1. حدد علامة الحذف (...) بجوار ملف تعريف العميل الذي تريد حذفه. ثم، قم بتحديد إزالة.

    لقطة شاشة توضح خيار الإزالة المحدد من القائمة.

  2. حدد إزالة للحذف.

    لقطة شاشة تعرض مربع حوار للتأكيد مع خيار Remove أو Cancel.

تشخيص مشكلات الاتصال - Windows

  1. لتشخيص مشاكل الاتصال، تستطيع استخدام أداة التشخيص . حدد علامة الحذف (...) بجوار اتصال VPN الذي تريد تشخيصه للكشف عن القائمة. ثم حدد التشخيص.

    لقطة شاشة توضح اختيار

  2. في صفحة خصائص الاتصال ، حدد تشغيل التشخيص.

    لقطة شاشة تعرض الزر Run Diagnosis للاتصال.

  3. سجل الدخول باستخدام معلومات تسجيل الدخول الخاصة بك

    لقطة شاشة تعرض مربع حوار

  4. عرض نتائج التشخيصات.

    لقطة شاشة تظهر نتائج التشخيص.

عرض virtual WAN الخاصة بك

  1. انتقل إلى صفحة WAN الافتراضية.
  2. في صفحة "Overview"، تُمثّل كل نقطة على الخريطة مركزاً.
  3. في قسم "Hubs and connections"، يُمكنك عرض حالة المركز، والموقع، والمنطقة، وحالة اتصال VPN، ووحدات البايت الواردة والصادرة.

تنظيف الموارد

عندما لا تعود بحاجة إلى الموارد التي أنشأتها، قم بحذفها. يجب حذف بعض موارد Virtual WAN بترتيب مُعين بسبب التبعيات. يُمكن أن يستغرق اكتمال الحذف حوالي 30 دقيقة.

  1. افتح شبكة WAN الافتراضية التي قمت بإنشائها.

  2. حدد المركز الافتراضي المقترن بشبكة WAN الافتراضية لفتح صفحة المركز.

  3. احذف جميع كيانات البوابة التي تتبع الترتيب أدناه لكل نوع بوابة. يمكن أن يستغرق إكمال المركز حوالي 30 دقيقة.

    VPN:

    • افصل مواقع VPN
    • إعداد اتصالات VPN
    • احذف بوابات VPN

    الطريق السريع:

    • احذف اتصالات ExpressRoute
    • احذف بوابات ExpressRoute

  4. كرر لجميع المراكز المقترنة بشبكة WAN الافتراضية.

  5. يمكنك إما حذف المراكز في هذه المرحلة، أو حذف المراكز لاحقًا عند حذف مجموعة الموارد.

  6. انتقل إلى مجموعة الموارد في بوابة Azure.

  7. حدد Delete resource group. يؤدي ذلك إلى حذف الموارد الأخرى في مجموعة الموارد، بما في ذلك الموزعات وWAN الظاهرية.

الخطوات التالية

للحصول على الأسئلة المتداولة حول Virtual WAN، راجع الأسئلة المتداولة حول Virtual WAN.