مخطط بوابة VPN وتصميمها

  • مقالة

هناك العديد من خيارات التكوين المختلفة المتاحة لاتصالات بوابة VPN. استخدم الرسومات التخطيطية والأوصاف في الأقسام التالية لمساعدتك في تحديد مخطط الاتصال الذي يلبي متطلباتك. تُظهر المخططات هياكل الخط الأساسي، ولكن من الممكن بناء تكوينات أكثر تعقيدًا باستخدام المخططات كإرشادات.

VPN من موقع إلى موقع

اتصال بوابة VPN من موقع إلى موقع (S2S) هو اتصال عبر نفق VPN IPsec/IKE (IKEv1 أو IKEv2). يمكن استخدام الاتصالات من موقع إلى موقع للتكوينات المحلية والتكوينات المختلطة. يتطلب الاتصال من موقع إلى موقع جهاز VPN موجود محليا يحتوي على عنوان IP عام مخصص له. للحصول على معلومات حول تحديد جهاز VPN، راجع الأسئلة المتداولة حول بوابة VPN - أجهزة VPN.

Diagram of site-to-site VPN Gateway cross-premises connections.

يمكن تكوين بوابة VPN في وضع الاستعداد النشط باستخدام عنوان IP عام واحد أو في وضع نشط باستخدام اثنين من عناوين IP العامة. في وضع الاستعداد النشط، يكون نفق IPsec نشطًا ويكون النفق الآخر في وضع الاستعداد. في هذا الإعداد، تتدفق حركة المرور عبر النفق النشط، وإذا حدثت بعض المشكلات مع هذا النفق، تنتقل حركة المرور إلى النفق الاحتياطي. يوصى بإعداد بوابة VPN في الوضع النشط-النشط حيث يكون كلا نفقي IPsec نشطين في وقت واحد، مع تدفق البيانات عبر كلا النفقين في نفس الوقت. ميزة أخرى من الوضع النشط-النشط هو أن العملاء يعانون من معدل نقل أعلى.

يمكنك إنشاء أكثر من اتصال VPN واحد من بوابة الشبكة الافتراضية خاصتك، وعادة ما تتصل بمواقع متعددة محلية. عند العمل مع اتصالات متعددة، يجب عليك استخدام نوع VPN قائم على RouteBased (المعروف باسم بوابة ديناميكية عند العمل مع VNets الكلاسيكية). نظرًا إلى أن كل شبكة افتراضية يمكن أن تحتوي على بوابة VPN واحدة فقط، فإن جميع الاتصالات من خلال البوابة تشترك في عرض النطاق الترددي المتاح. يُشار أحيانًا إلى هذا النوع من الاتصال باسم اتصال "متعدد المواقع".

Diagram of site-to-site VPN Gateway cross-premises connections with multiple sites.

نماذج وطرق النشر لـ S 2 S

نموذج/طريقة النشر مدخل Microsoft Azure بوويرشيل Azure CLI
Resource Manager تعليمي تعليمي تعليمي
كلاسيكي (نموذج نشر قديم) تعليمي** تعليمي غير معتمد

(**) تشير إلى أن هذه الطريقة تحتوي على خطوات تتطلب PowerShell.

VPN من نقطة إلى موقع

يتيح لك اتصال بوابة VPN من نقطة إلى موقع (P2S) إنشاء اتصال آمن بشبكتك الظاهرية من كمبيوتر عميل فردي. يتم إنشاء اتصال من نقطة إلى موقع عن طريق تشغيله من كمبيوتر العميل. يعد هذا الحل مفيدا للمتحكمين عن بعد الذين يرغبون في الاتصال بشبكات Azure الظاهرية من موقع بعيد، مثل من المنزل أو المؤتمر. تعد VPN من نقطة إلى موقع أيضا حلا مفيدا لاستخدامه بدلا من VPN من موقع إلى موقع عندما يكون لديك عدد قليل من العملاء الذين يحتاجون إلى الاتصال بشبكة ظاهرية.

على عكس الاتصالات من موقع إلى موقع، لا تتطلب الاتصالات من نقطة إلى موقع عنوان IP محلي عام أو جهاز VPN. يمكن استخدام اتصالات من نقطة إلى موقع مع اتصالات من موقع إلى موقع من خلال نفس بوابة VPN، طالما أن جميع متطلبات التكوين لكلا الاتصالين متوافقة. لمزيد من المعلومات حول اتصالات من نقطة إلى موقع، راجع حول VPN من نقطة إلى موقع.

Diagram of point-to-site connections.

نماذج وطرق النشر لـ P 2 S

مصادقة شهادة Azure الأصلية نموذج/طريقة النشر مدخل Microsoft Azure بوويرشيل
Resource Manager تعليمي تعليمي
كلاسيكي (نموذج نشر قديم) تعليمي مدعوم
مصادقة Microsoft Entra نموذج/طريقة النشر الماده
Resource Manager إنشاء مستأجر
Resource Manager تكوين الوصول- المستخدمين والمجموعات
مصادقة RADIUS نموذج/طريقة النشر مدخل Microsoft Azure بوويرشيل
Resource Manager مدعوم تعليمي
كلاسيكي (نموذج نشر قديم) غير معتمد غير معتمد

تكوين عميل P2S VPN

المصادقة نوع النفق إنشاء ملفات التكوين تكوين عميل VPN
شهادة Azure IKEv2، SSTP Windows عميل VPN الأصلي
شهادة Azure OpenVPN Windows - عميل OpenVPN
- عميل Azure VPN
شهادة Azure IKEv2، و OpenVPN macOS-iOS macOS-iOS
شهادة Azure IKEv2، و OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) ماك ماك
RADIUS - شهادة - الماده الماده
RADIUS - رمز الوصول - الماده الماده
RADIUS - طرق أخرى - الماده الماده

اتصالات VNet إلى VNet (نفق IPsec/IKE VPN)

يشبه الاتصال شبكة ظاهرية بشبكة ظاهرية أخرى (VNet-to-VNet) توصيل شبكة ظاهرية بموقع موقع محلي. يستخدم كلا نوعي الاتصال بوابة VPN لتوفير نفق آمن باستخدام IPsec/IKE. يُمْكنك حتى الجمع بين اتصال VNet إلى VNet مع تكوينات اتصال متعددة المواقع. يتيح لك هذا إنشاء هياكل الشبكة التي تجمع بين الاتصال عبر الأماكن والاتصال الشبكي بين الخلايا.

يمكن أن تكون الشبكات الظاهرية التي تتصل بها:

  • في نفس المناطق أو مناطق مختلفة
  • في نفس الاشتراكات أو في اشتراكات مختلفة
  • في نفس نماذج النشر أو نماذج مختلفة

Diagram of VNet-to-VNet connections.

نماذج وطرق النشر لشبكة VNet - to - VNet

نموذج/طريقة النشر مدخل Microsoft Azure بوويرشيل Azure CLI
Resource Manager البرنامج التعليمي+ تعليمي تعليمي
كلاسيكي (نموذج نشر قديم) تعليمي* مدعوم غير معتمد
الاتصال بين Resource Manager ونماذج التوزيع الكلاسيكية (القديمة) تعليمي* تعليمي غير معتمد

(+) تشير إلى أن طريقة النشر هذه متاحة فقط لـ VNets في نفس الاشتراك.
(*) يشير إلى أن طريقة النشر هذه تتطلب أيضًا PowerShell.

في بعض الحالات، قد تحتاج إلى استخدام نظير الشبكة الظاهرية بدلا من VNet-to-VNet لتوصيل الشبكات الظاهرية. لا يستخدم نظير الشبكة الظاهرية بوابة شبكة ظاهرية. للحصول على المزيد من المعلومات، راجع تناظر الشبكة الافتراضية.

اتصالات متعايشة من موقع إلى موقع وExpressRoute

ExpressRoute هو اتصال خاص ومباشر من شبكة واسعة النطاق (وليس عبر الإنترنت العام) إلى خدمات Microsoft، بما في ذلك Azure. تنتقل نسبة استخدام الشبكة VPN من موقع إلى موقع مشفرة عبر الإنترنت العام. القدرة على تكوين اتصالات VPN وExpressRoute من موقع إلى موقع لنفس الشبكة الظاهرية له العديد من المزايا.

يمكنك تكوين VPN من موقع إلى موقع كمسار آمن لتجاوز الفشل ل ExpressRoute، أو استخدام الشبكات الظاهرية الخاصة من موقع إلى موقع للاتصال بالمواقع التي ليست جزءا من شبكتك، ولكنها متصلة من خلال ExpressRoute. لاحظ أن هذا التكوين يتطلب بوابتي شبكة ظاهرية لنفس الشبكة الظاهرية، واحدة تستخدم نوع البوابة Vpn، والأخرى باستخدام نوع البوابة ExpressRoute.

Diagram of ExpressRoute and VPN Gateway coexisting connections.

نماذج التوزيع وأساليب اتصالات S2S وExpressRoute المتعايشة

نموذج/طريقة النشر مدخل Microsoft Azure بوويرشيل
Resource Manager دعم تعليمي
كلاسيكي (نموذج نشر قديم) غير معتمد تعليمي

التوصيلات المتاحة بشكل كبير

للتخطيط والتصميم للاتصالات عالية التوفر، راجع الاتصالات عالية التوفر.

الخطوات التالية