مخطط بوابة VPN وتصميمها

هناك العديد من خيارات التكوين المختلفة المتاحة لاتصالات بوابة VPN. لمساعدتك في تحديد مخطط الاتصال الذي يلبي متطلباتك، استخدم الرسومات التخطيطية والأوصاف في الأقسام التالية. تُظهر المخططات هياكل الخط الأساسي، ولكن من الممكن بناء تكوينات أكثر تعقيدًا باستخدام المخططات كإرشادات.

VPN من موقع إلى موقع

اتصال بوابة VPN من موقع إلى موقع (S2S) هو اتصال عبر نفق VPN IPsec/IKE (IKEv1 أو IKEv2). يمكن استخدام الاتصالات من موقع إلى موقع للتكوينات المحلية والتكوينات المختلطة. يتطلب الاتصال من موقع إلى موقع جهاز VPN موجود محليا يحتوي على عنوان IP عام مخصص له.

رسم تخطيطي لاتصالات VPN Gateway من موقع إلى موقع عبر أماكن العمل.

يمكنك إنشاء أكثر من اتصال VPN واحد من بوابة الشبكة الافتراضية خاصتك، وعادة ما تتصل بمواقع متعددة محلية. عند العمل مع اتصالات متعددة، يجب استخدام نوع RouteBased VPN. نظرًا إلى أن كل شبكة افتراضية يمكن أن تحتوي على بوابة VPN واحدة فقط، فإن جميع الاتصالات من خلال البوابة تشترك في عرض النطاق الترددي المتاح. يشار إلى هذا النوع من تصميم الاتصال أحيانا على أنه متعدد المواقع.

رسم تخطيطي لاتصالات VPN Gateway المشتركة من موقع إلى موقع مع مواقع متعددة.

إذا كنت ترغب في إنشاء تصميم لاتصال البوابة عالي التوفر، يمكنك تكوين البوابة لتكون في الوضع النشط-النشط. يتيح لك هذا الوضع تكوين نفقين نشطين (واحد من كل مثيل جهاز ظاهري للبوابة) إلى نفس جهاز VPN لإنشاء اتصال عالي التوفر. بالإضافة إلى كونه تصميم اتصال عالي التوفر، هناك ميزة أخرى من الوضع النشط-النشط وهي أن العملاء يعانون من معدل نقل أعلى.

نماذج وطرق النشر لـ S 2 S

نموذج النشر مدخل Azure PowerShell Azure CLI
Resource Manager تعليمي تعليمي تعليمي

VPN من نقطة إلى موقع

يتيح لك اتصال بوابة VPN من نقطة إلى موقع (P2S) إنشاء اتصال آمن بشبكتك الظاهرية من كمبيوتر عميل فردي. يتم إنشاء اتصال من نقطة إلى موقع عن طريق تشغيله من كمبيوتر العميل. يعد هذا الحل مفيدا للمتحكمين عن بعد الذين يرغبون في الاتصال بشبكات Azure الظاهرية من موقع بعيد، مثل من المنزل أو المؤتمر. تعد VPN من نقطة إلى موقع أيضا حلا مفيدا لاستخدامه بدلا من VPN من موقع إلى موقع عندما يكون لديك عدد قليل من العملاء الذين يحتاجون إلى الاتصال بشبكة ظاهرية.

على عكس الاتصالات من موقع إلى موقع، لا تتطلب الاتصالات من نقطة إلى موقع عنوان IP محلي عام أو جهاز VPN. يمكن استخدام اتصالات من نقطة إلى موقع مع اتصالات من موقع إلى موقع من خلال نفس بوابة VPN، طالما أن جميع متطلبات التكوين لكلا الاتصالين متوافقة. لمزيد من المعلومات حول اتصالات من نقطة إلى موقع، راجع حول VPN من نقطة إلى موقع.

رسم تخطيطي للاتصالات من نقطة إلى موقع.

نماذج وطرق النشر لـ P 2 S

أسلوب المصادقة مقالة
شهادة تعليمي
كيفية القيام بها
Microsoft Entra ID كيفية القيام بها
RADIUS كيفية القيام بها

تكوين عميل P2S VPN

المصادقة نوع النفق نظام تشغيل العميل عميل VPN
شهادة
IKEv2، SSTP Windows عميل VPN الأصلي
الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) macOS عميل VPN الأصلي
الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) Linux strongSwan
OpenVPN Windows عميل Azure VPN
OpenVPN client version 2.x
OpenVPN client version 3.x
OpenVPN macOS عميل OpenVPN
OpenVPN iOS عميل OpenVPN
OpenVPN Linux عميل Azure VPN
عميل OpenVPN
Microsoft Entra ID
OpenVPN Windows عميل Azure VPN
OpenVPN macOS عميل Azure VPN
OpenVPN Linux عميل Azure VPN

اتصالات VNet إلى VNet (نفق IPsec/IKE VPN)

يشبه توصيل شبكة ظاهرية بشبكة ظاهرية أخرى (VNet-to-VNet) توصيل شبكة ظاهرية بموقع موقع محلي. يستخدم كلا نوعي الاتصال بوابة VPN لتوفير نفق آمن باستخدام IPsec/IKE. يُمْكنك حتى الجمع بين اتصال VNet إلى VNet مع تكوينات اتصال متعددة المواقع. يتيح لك هذا إنشاء هياكل الشبكة التي تجمع بين الاتصال عبر الأماكن والاتصال الشبكي بين الخلايا.

يمكن أن تكون الشبكات الظاهرية التي تتصل بها:

  • في نفس المناطق أو مناطق مختلفة
  • في نفس الاشتراكات أو في اشتراكات مختلفة
  • في نفس نماذج النشر أو نماذج مختلفة

رسم تخطيطي لاتصالات VNet إلى VNet.

نماذج وطرق النشر لشبكة VNet - to - VNet

نموذج النشر مدخل Azure PowerShell Azure CLI
Resource Manager البرنامج التعليمي+ تعليمي تعليمي

(+) يشير إلى أن أسلوب النشر هذا متوفر فقط ل VNets في نفس الاشتراك.

في بعض الحالات، قد تحتاج إلى استخدام نظير الشبكة الظاهرية بدلا من VNet-to-VNet لتوصيل الشبكات الظاهرية. لا يستخدم نظير الشبكة الظاهرية بوابة شبكة ظاهرية. للحصول على المزيد من المعلومات، راجع تناظر الشبكة الافتراضية.

اتصالات متعايشة من موقع إلى موقع وExpressRoute

ExpressRoute هو اتصال خاص ومباشر من شبكة واسعة النطاق (وليس عبر الإنترنت العام) إلى خدمات Microsoft، بما في ذلك Azure. تنتقل نسبة استخدام الشبكة VPN من موقع إلى موقع مشفرة عبر الإنترنت العام. القدرة على تكوين اتصالات VPN وExpressRoute من موقع إلى موقع لنفس الشبكة الظاهرية له العديد من المزايا.

يمكنك تكوين VPN من موقع إلى موقع كمسار آمن لتجاوز الفشل ل ExpressRoute، أو استخدام الشبكات الظاهرية الخاصة من موقع إلى موقع للاتصال بالمواقع التي ليست جزءا من شبكتك، ولكنها متصلة من خلال ExpressRoute. لاحظ أن هذا التكوين يتطلب بوابتي شبكة ظاهرية لنفس الشبكة الظاهرية، واحدة تستخدم نوع البوابة Vpn، والأخرى باستخدام نوع البوابة ExpressRoute.

رسم تخطيطي لاتصالات ExpressRoute وبوابة VPN المتعايشة.

نماذج التوزيع وأساليب اتصالات S2S وExpressRoute المتعايشة

نموذج النشر مدخل Azure PowerShell
Resource Manager تعليمي تعليمي

التوصيلات المتاحة بشكل كبير

لتخطيط وتصميم الاتصالات عالية التوفر، بما في ذلك تكوينات الوضع النشط-النشط، راجع تصميم اتصال البوابة المتوفرة بشكل كبير للاتصالات عبر المباني واتصالات VNet إلى VNet.

الخطوات التالية