تكوين IPsec عبر ExpressRoute لـ Virtual WAN

  • مقالة

يوضح لك هذا القسم كيفية استخدام Azure Virtual WAN لإنشاء اتصال IPsec/IKE VPN من شبكتك المحلية إلى Azure عبر الإقران الخاص لدائرة Azure ExpressRoute. يمكن أن توفر هذه التقنية انتقالاً مشفراً بين الشبكات المحلية وشبكات Azure الظاهرية عبر ExpressRoute، دون المرور عبر الإنترنت العام أو استخدام عناوين IP العامة.

الطوبولوجيا والتوجيه

يوضح الرسم التخطيطي التالي مثالاً على اتصال شبكة VPN عبر إقران ExpressRoute الخاص:

رسم تخطيطي لشبكة VPN عبر ExpressRoute.

يوضح الرسم التخطيطي شبكة داخل شبكة الاتصال المحلية المتصلة ببوابة Azure hub VPN عبر إقران ExpressRoute الخاص. إنشاء الاتصال واضح ومباشر:

  1. أنشئ اتصال ExpressRoute مع الإقران الخاص ودائرة ExpressRoute.
  2. قم بإنشاء اتصال VPN باستخدام الخطوات الواردة في هذه المقالة.

تتمثل أحد الجوانب المهمة لهذا التكوين في التوجيه بين الشبكات المحلية وAzure عبر مسارات ExpressRoute وVPN.

حركة نقل البيانات من الشبكات المحلية إلى Azure

بالنسبة لحركة نقل البيانات من الشبكات المحلية إلى Azure، يتم الإعلان عن بادئات Azure (بما في ذلك المركز الظاهري وجميع الشبكات الظاهرية المحورية المتصلة بالمركز) عبر كل من BGP لإقران ExpressRoute الخاص وVPN BGP. ينتج عن هذا توجيهان للشبكة (مساران) باتجاه Azure من الشبكات المحلية:

  • واحد عبر المسار المحمي بـ IPsec
  • واحد عبر ExpressRoute مباشرة دون حماية IPsec

لتطبيق التشفير على الاتصال، يجب التأكد من تفضيل الشبكة المتصلة بشبكة VPN في الرسم التخطيطي لتوجيه Azure عبر بوابة VPN المحلية على مسار ExpressRoute المباشر.

حركة نقل البيانات من Azure إلى الشبكات المحلية

ينطبق المطلب نفسه على حركة نقل البيانات من Azure إلى الشبكات المحلية. لضمان تفضيل مسار IPsec عبر مسار ExpressRoute المباشر (دون IPsec)، لديك خياران:

  • الإعلان عن بادئات أكثر تحديداً على جلسة VPN BGP للشبكة المتصلة بـ VPN. يمكنك الإعلان عن نطاق أكبر يشمل الشبكة المتصلة بـ VPN عبر إقران ExpressRoute الخاص، ثم نطاقات أكثر تحديداً في جلسة VPN BGP. على سبيل المثال، الإعلان عن 10.0.0.0/16 عبر ExpressRoute، و10.0.1.0/24 عبر VPN.

  • الإعلان عن بادئات منفصلة لـ VPN وExpressRoute. إذا كانت نطاقات الشبكات المتصلة بالشبكة الظاهرية الخاصة منفصلة عن الشبكات الأخرى المتصلة ب ExpressRoute، فيمكنك الإعلان عن البادئات في جلسات VPN وExpressRoute BGP على التوالي. على سبيل المثال، الإعلان عن 10.0.0.0/24 عبر ExpressRoute، و10.0.1.0/24 عبر VPN.

في كلا هذين المثالين، سيرسل Azure حركة نقل البيانات إلى 10.0.1.0/24 عبر اتصال VPN بدلاً من إرسالها مباشرة عبر ExpressRoute بدون حماية VPN.

تحذير

إذا قمت بالإعلان عن نفس البادئات على كل من اتصالات ExpressRoute و VPN، فسيستخدم Azure مسار ExpressRoute مباشرة دون حماية VPN.

قبل أن تبدأ

قبل بدء التكوين، تحقق من استيفاء المعايير التالية:

  • إذا كان لديك بالفعل شبكة ظاهرية تريد الاتصال بها، فتحقق من عدم تداخل أي من الشبكات الفرعية للشبكة المحلية معها. لا تتطلب شبكتك الظاهرية شبكة فرعية للبوابة ولا يمكن أن تحتوي على أي بوابات شبكة ظاهرية. إذا لم يكن لديك شبكة ظاهرية، يمكنك إنشاء واحدة باستخدام الخطوات الواردة في هذه المقالة.
  • احصل على نطاق عنوان IP لمنطقة Virtual WAN الخاصة بك. المركز عبارة عن شبكة ظاهرية، ولا يمكن أن يتداخل نطاق العناوين الذي تحدده لمنطقة المركز مع شبكة ظاهرية موجودة تتصل بها. كما لا يمكن أن تتداخل مع نطاقات العناوين التي تتصل بها محليًا. إذا لم تكن على دراية بنطاقات عناوين IP الموجودة في تكوين الشبكة المحلية، فقم بالتنسيق مع شخص يمكنه تقديم هذه التفاصيل لك.
  • إذا لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانياً قبل أن تبدأ.

1. إنشاء شبكة WAN ظاهرية ومركز مع البوابات

يجب أن تكون موارد Azure التالية والتكوينات المحلية المقابلة في مكانها قبل المتابعة:

للحصول على خطوات لإنشاء Azure Virtual WAN ومركز مع اقتران ExpressRoute، راجع إنشاء اقتران ExpressRoute باستخدام Azure Virtual WAN. للحصول على خطوات إنشاء بوابة شبكة ظاهرية خاصة VPN في شبكة WAN الظاهرية، راجع إنشاء اتصال من موقع إلى موقع باستخدام Azure Virtual WAN.

2. إنشاء موقع للشبكة المحلية

مورد الموقع هو نفس مواقع VPN غير ExpressRoute لشبكة WAN ظاهرية. الآن يمكن أن يكون عنوان IP لجهاز VPN المحلي عنوان عام أو خاص في الشبكة المحلية ويمكن الوصول إليه عبر نظير ExpressRoute الخاص الذي تم إنشاؤه في الخطوة 1.

ملاحظة

يجب أن يكون عنوان IP لجهاز VPN المحلي جزءًا من بادئات العنوان المعلن عنها لمركز WAN الظاهري عبر نظير Azure ExpressRoute الخاص.

  1. انتقل إلى مواقع YourVirtualWAN > VPN وأنشئ موقعا لشبكتك المحلية. للحصول على الخطوات الأساسية، راجع إنشاء موقع. ضع في اعتبارك قيم الإعدادات التالية:

    • بروتوكول بوابة الحدود: حدد "تمكين" إذا كانت الشبكة المحلية تستخدم BGP.
    • ⁩مساحة العنوان الخاصة⁧⁩: مساحة عنوان IP الموجودة في الموقع المحلي. يتم توجيه نسبة استخدام الشبكة الموجهة لمساحة العنوان هذه إلى الشبكة المحلية عبر بوابة VPN.

  2. حدد ارتباطات لإضافة معلومات حول الارتباطات الفعلية. ضع في اعتبارك معلومات الإعدادات التالية:

    • اسم الموفر: اسم موفر خدمة الإنترنت لهذا الموقع. بالنسبة لشبكة ExpressRoute المحلية، فهو اسم موفر خدمة ExpressRoute.

    • السرعة: سرعة ارتباط خدمة الإنترنت أو دائرة ExpressRoute.

    • عنوان IP: عنوان IP العام لجهاز VPN الموجود على موقعك المحلي. أو، بالنسبة لـ ExpressRoute المحلي، إنه عنوان IP الخاص لجهاز VPN عبر ExpressRoute.

    • إذا تم تمكين BGP، فإنه ينطبق على جميع الاتصالات التي تم إنشاؤها لهذا الموقع في Azure. تكوين BGP على WAN ظاهري يعادل تكوين BGP على بوابة Azure VPN.

    • يجب ألا يكون عنوان نظير BGP الخاص بك في الموقع هو نفسه عنوان IP العام لجهاز VPN أو مساحة عنوان الشبكة الظاهرية لبوابة VPN. استخدم عنوان IP مختلفًا على جهاز VPN لعنوان IP الخاص بـ BGP. يمكن أن يكون عنوانًا مخصصًا لواجهة الاسترجاع على الجهاز. ومع ذلك، لا يمكن أن يكون APIPA (169.254. x. x) العنوان. حدد هذا العنوان في موقع VPN المقابل الذي يمثل الموقع. للحصول على متطلبات BGP، راجع ⁧⁩حول BGP مع بوابة Azure VPN⁧⁩.

  3. حدد Next: Review + create > للتحقق من قيم الإعداد وإنشاء موقع VPN، ثم إنشاء الموقع.

  4. بعد ذلك، قم بتوصيل الموقع بالمركز باستخدام هذه الخطوات الأساسية كإرشادات. قد يستغرق تحديث البوابة ما يصل إلى 30 دقيقة.

3. تحديث إعداد اتصال VPN لاستخدام ExpressRoute

بعد إنشاء موقع VPN والاتصال بالمركز، استخدم الخطوات التالية لتكوين الاتصال لاستخدام نظير ExpressRoute الخاص:

  1. انتقل إلى المركز الظاهري. يمكنك إما القيام بذلك عن طريق الانتقال إلى Virtual WAN وتحديد المركز لفتح صفحة المركز، أو يمكنك الانتقال إلى المركز الظاهري المتصل من موقع VPN.

  2. ضمن الاتصالية، حدد VPN (من موقع إلى موقع).

  3. حدد علامة الحذف (...) أو انقر بزر الماوس الأيمن فوق موقع VPN عبر ExpressRoute، وحدد تحرير اتصال VPN بهذا المركز.

  4. في صفحة الأساسيات ، اترك الإعدادات الافتراضية.

  5. في صفحة Link connection 1 ، قم بتكوين الإعدادات التالية:

    • لاستخدام عنوان IP خاص Azure، حدد نعم. يقوم الإعداد بتكوين بوابة الشبكة الظاهرية الخاصة المركزية لاستخدام عناوين IP الخاصة داخل نطاق عناوين المركز على البوابة لهذا الاتصال، بدلا من عناوين IP العامة. وهذا يضمن أن نسبة استخدام الشبكة من الشبكة المحلية تجتاز مسارات التناظر الخاصة ExpressRoute بدلا من استخدام الإنترنت العام لاتصال VPN هذا.

  6. انقر فوق إنشاء لتحديث الإعدادات. بعد إنشاء الإعدادات، ستستخدم بوابة VPN المركزية عناوين IP الخاصة على بوابة VPN لإنشاء اتصالات IPsec/IKE مع جهاز VPN المحلي عبر ExpressRoute.

4. الحصول على عناوين IP الخاصة لبوابة VPN المركزية

قم بتنزيل تكوين جهاز VPN للحصول على عناوين IP الخاصة لبوابة VPN المركزية. تحتاج إلى هذه العناوين لتكوين جهاز VPN المحلي.

  1. في صفحة المركز الخاص بك، حدد VPN (من موقع إلى موقع) ضمن الاتصالية.

  2. في الجزء العلوي من صفحة نظرة عامة، حدد تنزيل تكوين VPN.

    ينشئ Azure حساب تخزين في مجموعة الموارد "microsoft-network-[location]"، حيث الموقع هو موقع شبكة WAN. بعد تطبيق التكوين على أجهزة VPN الخاصة بك، يمكنك حذف حساب التخزين هذا.

  3. بعد إنشاء الملف، حدد الارتباط لتنزيله.

  4. تطبيق برنامج التكوين النصي على جهاز VPN.

ملف تكوين جهاز VPN

يحتوي ملف تكوين الجهاز على الإعدادات التي يجب استخدامها عند تكوين جهاز VPN المحلي. عند عرض هذا الملف، لاحظ المعلومات التالية:

  • vpnSiteConfiguration: يشير هذا القسم إلى تفاصيل الجهاز الذي جرى إعداده كموقع متصل بشبكة WAN الظاهرية. حيث يتضمن الاسم وعنوان IP العام للجهاز الفرعي.

  • vpnSiteConnections: يوفر هذا القسم معلومات حول الإعدادات التالية:

    • مساحة العنوان لشبكة الظاهرية المركزية.
      مثال:"AddressSpace":"10.51.230.0/24"
    • مساحة العنوان للشبكات الظاهرية المتصلة بالمركز.
      مثال:"ConnectedSubnets":["10.51.231.0/24"]
    • عناوين IP الخاصة ببوابة VPN للمركز الظاهري. نظرًا لأن كل اتصال لبوابة VPN يتكون من نفقين بتكوين متزامن، فسترى عنواني IP مدرجين في هذا الملف. في هذا المثال، ترى Instance0 و Instance1 لكل موقع، وهي عناوين IP خاصة بدلا من عناوين IP العامة.
      مثال: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • تفاصيل التكوين لاتصال بوابة VPN، مثل BGP والمفتاح المشترك مسبقا. يتم إنشاء المفتاح المشترك مسبقا تلقائيا من أجلك. يمكنك دائما تحرير الاتصال في صفحة نظرة عامة لمفتاح مخصص مشترك مسبقا.

مثال ملف تكوين الجهاز

[{
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-ER-site",
        "IPAddress":"172.24.127.211",
        "LinkName":"VPN-over-ER"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"10.51.230.4",
            "Instance1":"10.51.230.5"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
    },
    {
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-INet-site",
        "IPAddress":"13.75.195.234",
        "LinkName":"VPN-over-INet"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"51.143.63.104",
            "Instance1":"52.137.90.89"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
}]

تكوين جهاز VPN الخاص بك

إذا كنت بحاجة إلى إرشادات لتكوين جهازك، فيمكنك استخدام الإرشادات الموجودة في صفحة البرامج النصية لتكوين جهاز VPN مع التحذيرات التالية:

  • لا تتم كتابة الإرشادات الموجودة على صفحة جهاز VPN لشبكة WAN ظاهرية. ولكن يمكنك استخدام قيم WAN الظاهرية من ملف التكوين لتكوين جهاز VPN يدويا.
  • لا تعمل نصوص تكوين الجهاز القابلة للتنزيل الخاصة ببوابة VPN مع WAN الظاهري، حيث أن التكوين مختلف.
  • يمكن لشبكة WAN الظاهرية الجديدة أن تدعم كلًّا من IKEv1 وIKEv2.
  • يمكن لشبكة WAN الظاهرية استخدام كل من أجهزة VPN القائمة على النهج والمستندة إلى المسار وتعليمات الجهاز.

5. عرض WAN الظاهرية الخاصة بك

  1. انتقل إلى شبكة WAN الظاهرية.
  2. في صفحة "Overview" ، تُمثّل كل نقطة على الخريطة مركزاً.
  3. في قسم Hubs and connections، يُمكنك عرض حالة المركز، والموقع، والمنطقة، وحالة اتصال VPN، ووحدات البايت الواردة والصادرة. يمكنك أيضا عرض وحدات البايت الداخلة والخارجة.

6. مراقبة اتصال

إنشاء اتصال لمراقبة الاتصال بين جهاز Azure الظاهري (VM) وموقع بعيد. للحصول على معلومات حول كيفية إعداد مراقب اتصال، راجع مراقبة اتصال الشبكة. الحقل المصدر هو عنوان IP للجهاز الظاهري في Azure، وعنوان IP الوجهة هو عنوان IP للموقع.

7. تنظيف الموارد

عند انتهاء الحاجة لتلك الموارد، يمكنك استخدام Remove-AzResourceGroup لإزالة مجموعة الموارد وجميع الموارد ذات الصلة. قم بتشغيل أمر PowerShell التالي، واستبدل myResourceGroup باسم مجموعة الموارد الخاصة بك:

Remove-AzResourceGroup -Name myResourceGroup -Force

الخطوات التالية

تساعدك هذه المقالة على إنشاء اتصال VPN عبر نظير ExpressRoute الخاص باستخدام Virtual WAN. لمعرفة المزيد حول Virtual WAN والميزات ذات الصلة، راجع نظرة عامة على Virtual WAN.