البرنامج التعليمي: إنشاء اتصال شبكة ظاهرية خاصة من موقع إلى موقع في مدخل Azure
في هذا البرنامج التعليمي، يمكنك استخدام مدخل Microsoft Azure لإنشاء اتصال بوابة VPN من موقع إلى موقع (S2S) بين شبكتك المحلية وشبكة ظاهرية. يمكنك أيضا إنشاء هذا التكوين باستخدام Azure PowerShell أو Azure CLI.
في هذا البرنامج التعليمي، سوف تتعلّم:
- أنشئ شبكة ظاهرية.
- نشاء بوابة VPN.
- إنشاء بوابة شبكة محلية.
- إنشاء اتصال VPN.
- تحقق من الاتصال.
- الاتصال بجهاز ظاهري.
المتطلبات الأساسية
تحتاج إلى حساب "Azure" مع اشتراك مفعل. إذا لم يكن لديك مثل هذا الحساب، فيمكنك إنشاء واحد مجانًا.
إذا لم تكن على دراية بنطاقات عناوين IP الموجودة في تكوين شبكتك المحلية، فأنت بحاجة إلى التنسيق مع شخص يمكنه توفير هذه التفاصيل لك. عند إنشاء هذا التكوين، يجب تحديد بادئات نطاق عناوين IP التي يوجهها Azure إلى موقعك المحلي. لا يمكن أن تتداخل أي من الشبكات الفرعية للشبكة المحلية مع الشبكات الفرعية للشبكة الظاهرية التي تريد الاتصال بها.
أجهزة VPN:
- تأكد من أن لديك جهاز VPN متوافقا وشخصا يمكنه تكوينه. لمزيد من المعلومات حول أجهزة VPN المتوافقة وتكوين الجهاز، راجع حول أجهزة VPN.
- تحقق أن لديك عنوان IPv4 عام خارجياً لجهاز VPN الخاص بك.
- تحقق من أن جهاز VPN يدعم بوابات الوضع النشط-النشط. تنشئ هذه المقالة بوابة VPN في الوضع النشط-النشط، والتي يوصى بها للاتصال عالي التوفر. يحدد الوضع النشط-النشط أن كلا مثيلي الجهاز الظاهري للبوابة نشطان ويستخدمان عنواني IP عامين، أحدهما لكل مثيل جهاز ظاهري للبوابة. يمكنك تكوين جهاز VPN للاتصال بعنوان IP لكل مثيل جهاز ظاهري للبوابة. إذا كان جهاز VPN الخاص بك لا يدعم هذا الوضع، فلا تقم بتمكين هذا الوضع للبوابة الخاصة بك. لمزيد من المعلومات، راجع تصميم اتصال عالي التوفر لاتصالات الشبكات المشتركة واتصالات VNet إلى VNet وحول بوابات VPN في الوضع النشط-النشط.
إنشاء شبكة ظاهرية
في هذا القسم، يمكنك إنشاء شبكة ظاهرية باستخدام القيم التالية:
- مجموعة الموارد: TestRG1
- الاسم: VNet1
- المنطقة: (الولايات المتحدة) شرق الولايات المتحدة
- مساحة عنوان IPv4: 10.1.0.0/16
- اسم الشبكة الفرعية: FrontEnd
- مساحة عنوان الشبكة الفرعية:
إشعار
عند استخدام شبكة ظاهرية كجزء من بنية داخلية، تأكد من التنسيق مع مسؤول الشبكة المحلي الخاص بك لنحت نطاق عنوان IP الذي يمكنك استخدامه خصيصا لهذه الشبكة الظاهرية. إذا تكرر وجود نطاق عنوان على جانبي اتصال VPN، فسيتم توجيه حركة المرور بطريقة غير متوقعة. بالإضافة إلى ذلك، إذا كنت تريد توصيل هذه الشبكة الظاهرية بشبكة ظاهرية أخرى، فلا يمكن أن تتداخل مساحة العنوان مع الشبكة الظاهرية الأخرى. خطط لتكوين الشبكة وفقاً لذلك.
قم بتسجيل الدخول إلى بوابة Azure.
في البحث عن الموارد والخدمة والمستندات (G+/) في أعلى صفحة المدخل، أدخل الشبكة الظاهرية. حدد Virtual network من نتائج بحث Marketplace لفتح صفحة Virtual network .
في صفحة Virtual network ، حدد Create لفتح صفحة Create virtual network .
في علامة التبويب Basics، قم بتكوين إعدادات الشبكة الظاهرية لتفاصيل Project وتفاصيل المثيل. تظهر علامة اختيار خضراء عند التحقق من صحة القيم التي تدخلها. يمكنك ضبط القيم المعروضة في المثال وفقا للإعدادات التي تحتاجها.
- Subscription: تحقق من أن الاشتراك المذكور هو الاشتراك الصحيح. يمكنك تغيير الاشتراكات باستخدام مربع القائمة المنسدلة.
- مجموعة الموارد: حدد مجموعة موارد موجودة أو حدد إنشاء جديد لإنشاء مجموعة جديدة. لمزيد من المعلومات حول مجموعات الموارد، يرجى الاطلاع على نظرة عامة حول مدير موارد Azure.
- الاسم: أدخل اسم الشبكة الظاهرية.
- المنطقة: حدد موقع الشبكة الظاهرية. يحدد الموقع مكان وجود الموارد التي تقوم بنشرها إلى هذه الشبكة الظاهرية.
حدد التالي أو الأمان للانتقال إلى علامة التبويب الأمان . لهذا التمرين، اترك القيم الافتراضية لكافة الخدمات في هذه الصفحة.
حدد عناوين IP للانتقال إلى علامة التبويب عناوين IP. في علامة التبويب عناوين IP، قم بتكوين الإعدادات.
مساحة عنوان IPv4: بشكل افتراضي، يتم إنشاء مساحة عنوان تلقائيا. يمكنك تحديد مساحة العنوان وتعديلها لتعكس قيمك الخاصة. يمكنك أيضا إضافة مساحة عنوان مختلفة وإزالة الافتراضي الذي تم إنشاؤه تلقائيا. على سبيل المثال، يمكنك تحديد عنوان البدء ك 10.1.0.0 وتحديد حجم مساحة العنوان ك /16. ثم حدد إضافة لإضافة مساحة العنوان هذه.
+إضافة شبكة فرعية: إذا كنت تستخدم مساحة العنوان الافتراضية، يتم إنشاء شبكة فرعية افتراضية تلقائياً. إذا قمت بتغيير مساحة العنوان، أضف شبكة فرعية جديدة ضمن مساحة العنوان هذه. حدد + إضافة شبكة فرعية لفتح نافذة إضافة شبكة فرعية. قم بتكوين الإعدادات التالية، ثم حدد إضافة في أسفل الصفحة لإضافة القيم.
- اسم الشبكة الفرعية: يمكنك استخدام الافتراضي، أو تحديد الاسم. مثال: FrontEnd.
- نطاق عناوين الشبكة الفرعية: نطاق العنوان لهذه الشبكة الفرعية. الأمثلة هي 10.1.0.0 و /24.
راجع صفحة عناوين IP وأزل أي مساحات عناوين أو شبكات فرعية لا تحتاج إليها.
حدد Review + create للتحقق من صحة إعدادات الشبكة الظاهرية.
بعد التحقق من صحة الإعدادات، حدد Create لإنشاء الشبكة الظاهرية.
بعد إنشاء شبكتك الظاهرية، يمكنك تكوين Azure DDoS Protection اختياريا. يعد Azure DDoS Protection بسيطا لتمكينه على أي شبكة ظاهرية جديدة أو موجودة، ولا يتطلب أي تغييرات في التطبيق أو المورد. لمزيد من المعلومات حول Azure DDoS Protection، راجع ما هي Azure DDoS Protection؟.
إنشاء شبكة فرعية للبوابة
تتطلب بوابة الشبكة الظاهرية شبكة فرعية معينة تسمى GatewaySubnet. تعد الشبكة الفرعية للبوابة جزءا من نطاق عناوين IP لشبكتك الظاهرية وتحتوي على عناوين IP التي تستخدمها موارد وخدمات بوابة الشبكة الظاهرية.
عند إنشاء الشبكة الفرعية للبوابة، يمكنك تحديد عدد عناوين بروتوكولات الإنترنت التي تحتوي عليها الشبكة الفرعية. يعتمد عدد عناوين "بروتوكولات الإنترنت" المطلوبة على تهيئة بوابة الـ VPN التي تريد إنشاؤها. تتطلب بعض التكوينات عناوين بروتوكولات الإنترنت أكثر من غيرها. من الأفضل تحديد /27 أو أكبر (/26 و/25 وما إلى ذلك) للشبكة الفرعية للبوابة.
- في صفحة الشبكة الظاهرية، في الجزء الأيمن، حدد الشبكات الفرعية لفتح صفحة الشبكات الفرعية .
- في أعلى الصفحة، حدد + Gateway subnet لفتح جزء Add subnet .
- يتم إدخال الاسم تلقائيا ك GatewaySubnet. اضبط قيمة نطاق عنوان IP، إذا لزم الأمر. مثال على ذلك هو 10.1.255.0/27.
- لا تضبط القيم الأخرى على الصفحة. حدد حفظ في أسفل الصفحة لحفظ الشبكة الفرعية.
هام
مجموعات أمان الشبكة (NSGs) على الشبكة الفرعية للبوابة غير مدعومة. قد يؤدي إقران مجموعة أمان الشبكة بهذه الشبكة الفرعية إلى توقف بوابة الشبكة الظاهرية (VPN وبوابات ExpressRoute) عن العمل كما هو متوقع. لمزيد من المعلومات حول مجموعات أمان الشبكة، راجع ما هي مجموعة أمان الشبكة؟
نشاء بوابة VPN
في هذه الخطوة، يمكنك إنشاء بوابة شبكة ظاهرية (بوابة VPN) لشبكتك الظاهرية. قد يستغرق إنشاء بوابة 45 دقيقة أو أكثر، اعتماداً على بوابة SKU المحددة.
نشاء بوابة VPN
إنشاء بوابة شبكة ظاهرية (بوابة VPN) باستخدام القيم التالية:
- الاسم: VNet1GW
- نوع البوابة: VPN
- SKU: VpnGw2AZ
- الجيل: الجيل الثاني
- الشبكة الظاهرية: VNet1
- نطاق عنوان الشبكة الفرعية للبوابة: 10.1.255.0/27
- عنوان IP العام: أنشئ جديدًا
- اسم عنوان IP العام: VNet1GWpip1
- عنوان IP العام SKU: قياسي
- التعيين: ثابت
- اسم عنوان IP العام الثاني: VNet1GWpip2
- تمكين الوضع النشط-النشط: مُمكّن
- تكوين BGP: معطل
في Search resources, services, and docs (G+/)، أدخل virtual network gateway. حدد موقع بوابة الشبكة الظاهرية في نتائج بحث Marketplace وحددها لفتح صفحة إنشاء بوابة شبكة ظاهرية.
في علامة التبويب أساسيات، املأ قيم معلومات المشروعومعلومات المثيل.
الاشتراك: حدد الاشتراك الذي تريد استخدامه من القائمة المنسدلة.
مجموعة الموارد: يتم ملء هذه القيمة تلقائيا عند تحديد الشبكة الظاهرية في هذه الصفحة.
الاسم: هذا هو اسم كائن البوابة الذي تقوم بإنشاءه. يختلف هذا عن الشبكة الفرعية للبوابة التي سيتم نشر موارد البوابة إليها.
المنطقة: حدد المنطقة التي تريد إنشاء هذا المصدر بها. ينبغي لمنطقة العبارة أن تكون نفس الشبكة الظاهرية.
نوع العبارة: حدد VPN. تستخدم عبارات VPN نوع عبارة الشبكة الظاهرية VPN.
SKU: من القائمة المنسدلة، حدد بوابة SKU تدعم الميزات التي تريد استخدامها.
- نوصي بتحديد SKU ينتهي ب AZ عندما يكون ذلك ممكنا. تدعم وحدات AZ SKUs مناطق التوفر.
- لا يتوفر Basic SKU في المدخل. لتكوين بوابة SKU أساسية، يجب استخدام PowerShell أو CLI.
Generation: حدد Generation2 من القائمة المنسدلة.
الشبكة الظاهرية: من القائمة المنسدلة، حدد الشبكة الظاهرية التي تريد إضافة هذه البوابة إليها. إذا لم تتمكن من رؤية الشبكة الظاهرية التي تريد استخدامها، فتأكد من تحديد الاشتراك والمنطقة الصحيحين في الإعدادات السابقة.
نطاق عنوان الشبكة الفرعية للبوابة أو الشبكة الفرعية: الشبكة الفرعية للبوابة مطلوبة لإنشاء بوابة VPN.
حاليا، يمكن أن يعرض هذا الحقل خيارات إعدادات مختلفة، اعتمادا على مساحة عنوان الشبكة الظاهرية وما إذا كنت قد أنشأت بالفعل شبكة فرعية تسمى GatewaySubnet لشبكتك الظاهرية.
إذا لم يكن لديك شبكة فرعية للبوابة ولم تتمكن من رؤية خيار إنشاء واحدة على هذه الصفحة، فارجع إلى شبكتك الظاهرية وأنشئ الشبكة الفرعية للبوابة. ثم ارجع إلى هذه الصفحة وقم بتكوين بوابة VPN.
حدد قيم عنوان IP العام. تحدد هذه الإعدادات كائنات عنوان IP العامة التي سيتم إقرانها ببوابة VPN. يتم تعيين عنوان IP عام لكل كائن عنوان IP عام عند إنشاء بوابة VPN. المرة الوحيدة التي يتغير فيها عنوان IP العام المعين هي عند حذف البوابة وإعادة إنشائها. لا تتغير عناوين IP عبر تغيير الحجم أو إعادة التعيين أو الصيانة/الترقيات الداخلية الأخرى لبوابة VPN الخاصة بك.
نوع عنوان IP العام: إذا ظهر هذا الخيار، فحدد قياسي.
عنوان IP العام: اترك Create new محددا.
اسم عنوان IP العام: في مربع النص، أدخل اسما لمثيل عنوان IP العام.
عنوان IP العام SKU: يتم تحديد الإعداد تلقائيا إلى SKU القياسي.
التعيين: عادة ما يتم تحديد التعيين تلقائيا ويجب أن يكون ثابتا.
منطقة التوفر: يتوفر هذا الإعداد لوحدات SKU لبوابة AZ في المناطق التي تدعم مناطق التوفر. حدد Zone-redundant، إلا إذا كنت تعرف أنك تريد تحديد منطقة.
تمكين الوضع النشط-النشط: نوصي بتحديد تمكين للاستفادة من فوائد بوابة الوضع النشط-النشط. إذا كنت تخطط لاستخدام هذه البوابة لاتصال من موقع إلى موقع، فخذ بعين الاعتبار ما يلي:
- تحقق من التصميم النشط-النشط الذي تريد استخدامه. يجب تكوين الاتصالات بجهاز VPN المحلي خصيصا للاستفادة من الوضع النشط-النشط.
- لا تدعم بعض أجهزة VPN الوضع النشط-النشط. إذا لم تكن متأكدا، فتحقق من مورد جهاز VPN الخاص بك. إذا كنت تستخدم جهاز VPN لا يدعم الوضع النشط-النشط، يمكنك تحديد معطل لهذا الإعداد.
عنوان IP العام الثاني: حدد إنشاء جديد. يتوفر هذا فقط إذا قمت بتحديد تمكين لإعداد تمكين الوضع النشط-النشط.
اسم عنوان IP العام: في مربع النص، أدخل اسما لمثيل عنوان IP العام.
عنوان IP العام SKU: يتم تحديد الإعداد تلقائيا إلى SKU القياسي.
منطقة التوفر: حدد المنطقة المكررة، إلا إذا كنت تعرف أنك تريد تحديد منطقة.
تكوين BGP: حدد Disabled ما لم يتطلب التكوين هذا الإعداد على وجه التحديد. إذا كنت تحتاج إلى هذا الإعداد، يكون ASN الافتراضي هو 65515، على الرغم من أنه يمكن تغيير هذه القيمة.
تمكين الوصول إلى Key Vault: حدد معطل ما لم يتطلب التكوين هذا الإعداد على وجه التحديد.
حدد Review + create لتشغيل التحقق من الصحة.
بعد اجتياز التحقق من الصحة، حدد Create لنشر بوابة VPN.
يمكن أن يستغرق إنشاء البوابة وتوزيعها بالكامل 45 دقيقة أو أكثر. يمكنك مشاهدة حالة النشر في صفحة Overview للبوابة الخاصة بك.
هام
مجموعات أمان الشبكة (NSGs) على الشبكة الفرعية للبوابة غير مدعومة. قد يؤدي إقران مجموعة أمان الشبكة بهذه الشبكة الفرعية إلى توقف بوابة الشبكة الظاهرية (VPN وبوابات ExpressRoute) عن العمل كما هو متوقع. لمزيد من المعلومات حول مجموعات أمان الشبكة، راجع ما هي مجموعة أمان الشبكة؟
عرض عنوان IP العام
لعرض عنوان IP المقترن بكل مثيل VM لبوابة الشبكة الظاهرية، انتقل إلى بوابة الشبكة الظاهرية في المدخل.
- انتقل إلى صفحة خصائص بوابة الشبكة الظاهرية (وليس صفحة نظرة عامة). قد تحتاج إلى توسيع الإعدادات لمشاهدة صفحة الخصائص في القائمة.
- إذا كانت بوابتك في الوضع النشط-الخامل، فسترى عنوان IP واحدا فقط. إذا كانت بوابتك في الوضع النشط-النشط، فسترى عنواني IP عامين مدرجين، أحدهما لكل مثيل جهاز ظاهري للبوابة. عند إنشاء اتصال من موقع إلى موقع، يجب تحديد كل عنوان IP عند تكوين جهاز VPN لأن كلا الجهازين الظاهريين للبوابة نشطان.
- لعرض مزيد من المعلومات حول كائن عنوان IP، انقر فوق ارتباط عنوان IP المقترن.
إنشاء بوابة شبكة محلية
بوابة الشبكة المحلية هي كائن معين تم نشره إلى Azure يمثل موقعك المحلي (الموقع) لأغراض التوجيه. يمكنك إعطاء الموقع اسما يمكن من خلاله ل Azure الرجوع إليه، ثم تحديد عنوان IP لجهاز VPN المحلي الذي تقوم بإنشاء اتصال به. يمكنك أيضا تحديد بادئات عنوان IP التي يتم توجيهها من خلال بوابة VPN إلى جهاز VPN. بادئات العنوان التي تحددها هي البادئات الموجودة على الشبكة المحلية الخاصة بك. إذا تغيرت الشبكة المحلية الخاصة بك أو كنت بحاجة إلى تغيير عنوان IP العام لجهاز VPN، فيمكنك بسهولة تحديث القيم لاحقاً. يمكنك إنشاء بوابة شبكة محلية منفصلة لكل جهاز VPN تريد الاتصال به. تحدد بعض تصميمات الاتصال عالية التوفر أجهزة VPN محلية متعددة.
إنشاء بوابة شبكة محلية باستخدام القيم التالية:
- الاسم: Site1
- مجموعة الموارد: TestRG1
- الموقع: شرق الولايات المتحدة
اعتبارات التكوين:
- تدعم بوابة VPN عنوان IPv4 واحدا فقط لكل FQDN. إذا تم حل اسم المجال إلى عناوين IP متعددة، فإن بوابة VPN تستخدم عنوان IP الأول الذي تم إرجاعه بواسطة خوادم DNS. لإزالة عدم اليقين، نوصي بأن يتم حل FQDN دومًا إلى عنوان IPv4 واحد. IPv6 غير مدعوم.
- تحتفظ بوابة VPN بذاكرة تخزين مؤقت DNS يتم تحديثها كل 5 دقائق. تحاول البوابة حل FQDNs للأنفاق التي تم قطع اتصالها فقط. تؤدي إعادة تعيين البوابة أيضا إلى تشغيل دقة FQDN.
- على الرغم من أن بوابة VPN تدعم اتصالات متعددة ببوابات شبكة محلية مختلفة مع FQDNs مختلفة، يجب حل جميع FQDNs إلى عناوين IP مختلفة.
في المدخل، انتقل إلى بوابات الشبكة المحلية وافتح صفحة إنشاء بوابة شبكة محلية.
في علامة التبويب Basics ، حدد القيم لبوابة الشبكة المحلية.
- Subscription: يتحقق من أن الاشتراك المذكور هو الاشتراك الصحيح.
- مجموعة الموارد: حدد مجموعة الموارد التي تريد استخدامها. يمكنك إما إنشاء مجموعة موارد جديدة، أو تحديد مجموعة أنشأتها بالفعل.
- المنطقة: حدد المنطقة لهذا الكائن. قد تحتاج إلى تحديد نفس الموقع حيث توجد شبكتك الظاهرية، ولكن ليس عليك القيام بذلك.
- الاسم: حدد اسما لكائن بوابة الشبكة المحلية.
- نقطة النهاية: حدد نوع نقطة النهاية لجهاز VPN المحلي كعنوان IP أو FQDN (اسم المجال المؤهل بالكامل).
- عنوان IP: إذا كان لديك عنوان IP عام ثابت مخصص من موفر خدمة الإنترنت (ISP) لجهاز VPN الخاص بك، فحدد خيار عنوان IP. املأ عنوان IP كما هو موضح في المثال. هذا العنوان هو عنوان IP العام لجهاز VPN الذي تريد أن تتصل به بوابة Azure VPN. إذا لم يكن لديك عنوان IP الآن، يمكنك استخدام القيم الموضحة في المثال. لاحقا، يجب عليك العودة واستبدال عنوان IP للعنوان النائب بعنوان IP العام لجهاز VPN الخاص بك. وإلا، لا يمكن ل Azure الاتصال.
- FQDN: إذا كان لديك عنوان IP عام ديناميكي يمكن أن يتغير بعد فترة زمنية معينة، وغالبا ما يحدده موفر خدمة الإنترنت، يمكنك استخدام اسم DNS ثابت مع خدمة DNS ديناميكية للإشارة إلى عنوان IP العام الحالي لجهاز VPN الخاص بك. تقوم بوابة Azure VPN بحل FQDN لتحديد عنوان IP العام للاتصال به.
- مساحة العنوان: تشير مساحة العنوان إلى نطاقات العناوين للشبكة التي تمثلها هذه الشبكة المحلية. يمكنك إضافة نطاقات مساحة عنوان متعددة. تأكد من عدم تداخل النطاقات التي تحددها هنا مع نطاقات الشبكات الأخرى التي تريد الاتصال بها. يوجه Azure نطاق العنوان الذي تحدده إلى عنوان IP لجهاز VPN المحلي. استخدم القيم الخاصة بك هنا إذا كنت تريد الاتصال بموقعك المحلي، وليس القيم الموضحة في المثال.
في علامة التبويب خيارات متقدمة ، يمكنك تكوين إعدادات BGP، إذا لزم الأمر.
بعد تحديد القيم، حدد Review + create في أسفل الصفحة للتحقق من صحة الصفحة.
حدد إنشاء لإنشاء عنصر بوابة الشبكة المحلية.
تكوين جهاز VPN
تتطلب اتصالات موقع إلى موقع بشبكة محلية جهاز VPN. في هذه الخطوة، تقوم بتكوين جهاز VPN الخاص بك. عند تكوين جهاز VPN الخاص بك، تحتاج إلى القيم التالية:
- المفتاح المشترك: هذا المفتاح المشترك هو نفس المفتاح الذي تحدده عند إنشاء اتصال VPN من موقع إلى موقع. في أمثلتنا، نستخدم مفتاحا مشتركا بسيطا. نوصي بإنشاء مفتاح أكثر تعقيداً لاستخدامه.
- عناوين IP العامة لمثيلات بوابة الشبكة الظاهرية: احصل على عنوان IP لكل مثيل جهاز ظاهري. إذا كانت بوابتك في الوضع النشط-النشط، فسيكون لديك عنوان IP لكل مثيل جهاز ظاهري للبوابة. تأكد من تكوين جهازك باستخدام عنواني IP، واحد لكل جهاز ظاهري للبوابة النشطة. تحتوي بوابات وضع الاستعداد النشط على عنوان IP واحد فقط.
إشعار
بالنسبة لاتصالات S2S مع بوابة VPN في الوضع النشط-النشط، تأكد من إنشاء أنفاق لكل مثيل جهاز ظاهري للبوابة. إذا قمت بإنشاء نفق لمثيل VM لبوابة واحدة فقط، فسيتعطل الاتصال أثناء الصيانة. إذا كان جهاز VPN الخاص بك لا يدعم هذا الإعداد، فكون بوابتك لوضع الاستعداد النشط بدلا من ذلك.
اعتمادا على جهاز VPN الذي لديك، قد تتمكن من تنزيل برنامج نصي لتكوين جهاز VPN. لمزيد من المعلومات، راجع تنزيل البرامج النصية لتكوين جهاز VPN.
لمزيد من معلومات التكوين، راجع الارتباطات التالية:
- للحصول على معلومات حول أجهزة VPN المتوافقة، راجع أجهزة VPN.
- قبل تكوين جهاز VPN الخاص بك، تحقق من وجود أي مشكلات معروفة في توافق الجهاز لجهاز VPN الذي تريد استخدامه.
- للحصول على ارتباطات لإعدادات تكوين الجهاز، راجع أجهزة VPN التي تم التحقق من صحتها. يتم توفير روابط تكوين الجهاز على أساس أفضل جهد. من الأفضل دائمًا التحقق من الشركة المصنعة للجهاز للحصول على أحدث معلومات التكوين. تعرض القائمة الإصدارات التي اختبرناها. إذا لم يكن نظام التشغيل الخاص بك على تلك القائمة، فمن الممكن أن يكون الإصدار متوافق بالفعل. تحقق من الشركة المصنعة لجهازك للتحقق من توافق إصدار نظام التشغيل لجهاز VPN الخاص بك.
- للحصول على نظرة عامة حول تكوين جهاز VPN، راجع نظرة عامة على تكوينات جهاز VPN لجهة خارجية.
- للحصول على معلومات حول تحرير نماذج تكوين الجهاز، راجع تحرير العينات.
- للحصول على متطلبات التشفير، راجع حول متطلبات التشفير وبوابات Azure VPN.
- للحصول على معلومات حول معلمات IPsec/IKE، راجع حول أجهزة VPN ومعلمات IPsec/IKE لاتصالات بوابة VPN من موقع إلى موقع. يعرض هذا الارتباط معلومات حول إصدار IKE ومجموعة Diffie-Hellman وطريقة المصادقة وخوارزميات التشفير والتجزئة ومدة بقاء SA وPFS وDPD، بالإضافة إلى معلومات المعلمات الأخرى التي تحتاجها لإكمال التكوين الخاص بك.
- للحصول على خطوات تكوين نهج IPsec/IKE، راجع تكوين نهج IPsec/IKE لاتصالات VPN من موقع إلى موقع أو VNet-to-VNet.
- لتوصيل أجهزة VPN متعددة مستندة إلى النهج، راجع توصيل بوابات Azure VPN بأجهزة VPN متعددة مستندة إلى النهج المحلي باستخدام PowerShell.
إنشاء اتصالات الشبكة الظاهرية الخاصة
قم بإنشاء اتصال الشبكة الظاهرية الخاصة من موقع إلى موقع بين بوابة الشبكة الظاهرية الخاصة بك وجهاز VPN المحلي. إذا كنت تستخدم بوابة الوضع النشط-النشط (مستحسن)، فإن كل مثيل لبوابة VM له عنوان IP منفصل. لتكوين الاتصال عالي التوفر بشكل صحيح، يجب إنشاء نفق بين كل مثيل جهاز ظاهري وجهاز VPN الخاص بك. كلا النفقين جزء من نفس الاتصال.
إنشاء اتصال باستخدام القيم التالية:
- اسم بوابة الشبكة المحلية: Site1
- اسم الاتصال: VNet1toSite1
- المفتاح المشترك: في هذا المثال، يمكنك استخدام abc123. ولكن يمكنك استخدام كل ما هو متوافق مع أجهزة VPN الخاصة بك. الشيء المهم هو أن القيم تتطابق على جانبي الاتصال.
في المدخل، انتقل إلى بوابة الشبكة الظاهرية وافتحها.
في صفحة العبارة، حدد الاتصالات.
في أعلى صفحة الاتصالات ، حدد + إضافة لفتح صفحة إنشاء اتصال .
في صفحة Create connection ، في علامة التبويب Basics ، قم بتكوين قيم الاتصال:
ضمن تفاصيل المشروع، حدد الاشتراك ومجموعة الموارد حيث توجد مواردك.
ضمن تفاصيل المثيل، قم بتكوين الإعدادات التالية:
- نوع الاتصال: حدد من موقع إلى موقع (IPSec).
- الاسم: اسم الاتصال الخاص بك.
- المنطقة: حدد المنطقة لهذا الاتصال.
حدد علامة التبويب Settings وقم بتكوين القيم التالية:
- بوابة الشبكة الظاهرية: حدد بوابة الشبكة الظاهرية من القائمة المنسدلة.
- بوابة الشبكة المحلية: حدد بوابة الشبكة المحلية من القائمة المنسدلة.
- المفتاح المشترك: يجب أن تتطابق القيمة هنا مع القيمة التي تستخدمها لجهاز VPN المحلي. إذا لم يظهر هذا الحقل على صفحة المدخل، أو كنت تريد تحديث هذا المفتاح لاحقا، يمكنك القيام بذلك بمجرد إنشاء كائن الاتصال. انتقل إلى كائن الاتصال الذي قمت بإنشائه (اسم المثال: VNet1toSite1) وقم بتحديث المفتاح في صفحة المصادقة .
- بروتوكول IKE: حدد IKEv2.
- استخدام عنوان IP الخاص ب Azure: لا تحدد.
- تمكين BGP: لا تحدد.
- FastPath: لا تحدد.
- نهج IPsec/IKE: حدد Default.
- استخدام محدد حركة المرور المستندة إلى النهج: حدد تعطيل.
- مهلة DPD بالثواني: حدد 45.
- وضع الاتصال: حدد افتراضي. يستخدم هذا الإعداد لتحديد البوابة التي يمكنها بدء الاتصال. لمزيد من المعلومات، راجع إعدادات بوابة VPN - أوضاع الاتصال.
بالنسبة إلى اقترانات قواعد NAT، اترك كلا من الدخول والخروج ك 0 محددين.
حدد Review + create للتحقق من صحة إعدادات الاتصال.
حدد إنشاء لإنشاء الاتصال.
بعد الانتهاء من النشر، يمكنك عرض الاتصال على صفحة الاتصالات لبوابة الشبكة الظاهرية. تتغير الحالة من غير معروف إلى الاتصال ثم إلى نجاح.
تكوين المزيد من إعدادات الاتصال (اختياري)
يمكنك تكوين المزيد من الإعدادات لاتصالك، إذا لزم الأمر. وإلا، فتخط هذا المقطع واترك الإعدادات الافتراضية في مكانها. لمزيد من المعلومات، راجع تكوين نهج اتصال IPsec/IKE المخصصة.
انتقل إلى بوابة الشبكة الظاهرية وحدد الاتصالات لفتح صفحة الاتصالات .
حدد اسم الاتصال الذي تريد تكوينه لفتح صفحة الاتصال.
على الجانب الأيسر من صفحة الاتصال ، حدد التكوين لفتح صفحة التكوين . قم بإجراء أي تغييرات ضرورية ثم حدد حفظ.
في لقطات الشاشة التالية، يتم تمكين الإعدادات بحيث يمكنك مشاهدة إعدادات التكوين المتوفرة في المدخل. حدد لقطة الشاشة لمشاهدة طريقة العرض الموسعة. عند تكوين اتصالاتك، قم بتكوين الإعدادات التي تحتاجها فقط. وإلا، اترك الإعدادات الافتراضية في مكانها.
التحقق من اتصال VPN
في مدخل Azure، يمكنك عرض حالة اتصال بوابة VPN عن طريق الانتقال إلى الاتصال. توضح الخطوات التالية طريقة واحدة للانتقال إلى الاتصال والتحقق.
- في قائمة مدخل Microsoft Azure، حدد All resources أو ابحث عن All resources وحددها من أي صفحة.
- حدد بوابة الشبكة الظاهرية.
- في الجزء الخاص ببوابة الشبكة الظاهرية، حدد Connections. يمكنك الاطلاع على حالة كل اتصال.
- حدد اسم الاتصال الذي تريد التحقق منه لفتح Essentials. في جزء Essentials ، يمكنك عرض مزيد من المعلومات حول اتصالك. الحالة هي Succeeded و Connected بعد إجراء اتصال ناجح.
الاتصال بجهاز ظاهري
يمكنك الاتصال بجهاز ظاهري يتم نشره إلى شبكتك الظاهرية عن طريق إنشاء اتصال سطح المكتب البعيد بجهازك الظاهري. تتمثل أفضل طريقة للتحقق من إمكانية الاتصال بأي جهاز افتراضي في الاتصال باستخدام عنوان بروتوكول الإنترنت الخاص به بدلاً من اسم الكمبيوتر. بهذه الطريقة، تختبر لمعرفة ما إذا كان يمكنك الاتصال، وليس ما إذا كان تحليل الاسم قد تم تكوينه بشكل صحيح.
حدد موقع عنوان بروتوكول الإنترنت الخاص بك. يمكنك العثور على عنوان IP الخاص للجهاز الظاهري إما بالنظر إلى خصائص الجهاز الظاهري في مدخل Microsoft Azure أو باستخدام PowerShell.
مدخل Microsoft Azure: حدد موقع الجهاز الظاهري في مدخل Microsoft Azure. اعرض خصائص الجهاز الافتراضي. أدرج عنوان بروتوكول الإنترنت الخاص.
PowerShell: استخدم المثال لعرض قائمة بالأجهزة الظاهرية وعناوين IP الخاصة من مجموعات الموارد الخاصة بك. لا تحتاج إلى تعديل هذا المثال قبل استخدامه.
$VMs = Get-AzVM $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null foreach ($Nic in $Nics) { $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod Write-Output "$($VM.Name): $Prv,$Alloc" }
تحقق من اتصالك بشبكتك الظاهرية.
افتح اتصال سطح المكتب البعيد عن طريق إدخال RDP أو اتصال سطح المكتب البعيد في مربع البحث على شريط المهام. ثم حدد اتصال سطح المكتب البعيد. يمكنك أيضا فتح اتصال سطح المكتب البعيد باستخدام
mstsc
الأمر في PowerShell.في الاتصال بسطح المكتب البعيد، أدخل عنوان IP خاص بالجهاز الظاهري. يمكنك تحديد إظهار الخيارات لضبط الإعدادات الأخرى ثم الاتصال.
إذا كنت تواجه مشكلة في الاتصال بجهاز ظاهري عبر اتصال VPN، فتحقق من النقاط التالية:
- تحقق من نجاح اتصال VPN الخاص بك.
- تحقق من الاتصال بعنوان IP الخاص بالجهاز الظاهري.
- إذا كان يمكنك الاتصال بالجهاز الظاهري باستخدام عنوان IP الخاص ولكن ليس اسم الكمبيوتر، فتحقق من تكوين DNS بشكل صحيح. لمزيد من المعلومات حول كيفية عمل تحليل الاسم للأجهزة الظاهرية، راجع تحليل الاسم للأجهزة الظاهرية.
لمزيد من المعلومات حول اتصالات RDP، راجع استكشاف أخطاء اتصالات سطح المكتب البعيد بجهاز ظاهري وإصلاحها.
خطوات اختيارية
إعادة تعيين بوابة
تعد إعادة تعيين بوابة Azure VPN مفيدة إذا فقدت اتصال شبكة ظاهرية خاصة عبر أماكن العمل على واحد أو أكثر من أنفاق الشبكة الظاهرية الخاصة من موقع إلى موقع. في هذه الحالة، تعمل جميع أجهزة VPN المحلية بشكل صحيح ولكنها غير قادرة على إنشاء أنفاق IPsec باستخدام بوابات Azure VPN. إذا كنت بحاجة إلى إعادة تعيين بوابة نشطة-نشطة، يمكنك إعادة تعيين كلا المثيلين باستخدام المدخل. يمكنك أيضا استخدام PowerShell أو CLI لإعادة تعيين كل مثيل بوابة بشكل منفصل باستخدام مثيل VIPs. لمزيد من المعلومات، راجع إعادة تعيين اتصال أو بوابة.
- في المدخل، انتقل إلى بوابة الشبكة الظاهرية التي تريد إعادة تعيينها.
- في صفحة بوابة الشبكة الظاهرية، في الجزء الأيمن، قم بالتمرير وحدد موقع التعليمات -> إعادة تعيين.
- في صفحة إعادة تعيين، حدد إعادة تعيين. بعد إصدار الأمر، تتم إعادة تشغيل المثيل النشط الحالي لبوابة Azure VPN على الفور. تؤدي إعادة تعيين البوابة إلى وجود فجوة في اتصال VPN وقد تحد من تحليل السبب الجذري للمشكلة في المستقبل.
إضافة اتصال آخر
يمكن أن تحتوي البوابة على اتصالات متعددة. إذا كنت تريد تكوين اتصالات إلى مواقع محلية متعددة من نفس بوابة VPN، فلا يمكن أن تتداخل مساحات العناوين بين أي من الاتصالات.
- إذا كنت تتصل باستخدام VPN من موقع إلى موقع ولم يكن لديك بوابة شبكة محلية للموقع الذي تريد الاتصال به، قم بإنشاء بوابة شبكة محلية أخرى وحدد تفاصيل الموقع. لمزيد من المعلومات، راجع إنشاء بوابة شبكة محلية.
- لإضافة اتصال، انتقل إلى بوابة VPN ثم حدد الاتصالات لفتح صفحة الاتصالات .
- حدد + إضافة لإضافة اتصالك. اضبط نوع الاتصال ليعكس إما VNet-to-VNet (إذا كان الاتصال ببوابة شبكة ظاهرية أخرى) أو من موقع إلى موقع.
- حدد المفتاح المشترك الذي تريد استخدامه ثم حدد موافق لإنشاء الاتصال.
تحديث مفتاح مشترك للاتصال
يمكنك تحديد مفتاح مشترك مختلف لاتصالك.
- في المدخل، انتقل إلى الاتصال.
- تغيير المفتاح المشترك في صفحة المصادقة .
- احفظ تغييراتك.
- قم بتحديث جهاز VPN الخاص بك باستخدام المفتاح المشترك الجديد حسب الضرورة.
تغيير حجم بوابة SKU أو تغييرها
يمكنك تغيير حجم بوابة SKU، أو يمكنك تغيير بوابة SKU. هناك قواعد محددة تتعلق بالخيار المتوفر، اعتمادا على SKU الذي تستخدمه البوابة حاليا. لمزيد من المعلومات، راجع تغيير حجم وحدات SKU الخاصة بالبوابة أو تغييرها.
مزيد من اعتبارات التكوين
يمكنك تخصيص تكوينات من موقع إلى موقع بطرق مختلفة. لمزيد من المعلومات، راجع المقالات التالية:
- للحصول على معلومات حول BGP، راجع نظرة عامة على BGP وكيفية تكوين BGP.
- للحصول على معلومات حول النفق المفروض، راجع حول النفق المفروض.
- للحصول على معلومات حول الاتصالات النشطة-النشطة المتوفرة بشكل كبير، راجع الاتصال عبر المباني واتصال VNet-to-VNet المتوفر بشكل كبير.
- للحصول على معلومات حول كيفية تقييد نسبة استخدام الشبكة للموارد في شبكة ظاهرية، راجع أمان الشبكة.
- للحصول على معلومات حول كيفية توجيه Azure لنسبة استخدام الشبكة بين موارد Azure والموارد المحلية وموارد الإنترنت، راجع توجيه نسبة استخدام الشبكة الظاهرية.
تنظيف الموارد
إذا كنت لن تستمر في استخدام هذا التطبيق أو انتقل إلى البرنامج التعليمي التالي، فاحذف هذه الموارد.
- أدخِل اسم مجموعة مواردك في المربع Search الموجود أعلى المدخل وحدده من نتائج البحث.
- حدد Delete resource group.
- أدخل مجموعة مواردك لـ TYPE THE RESOURCE GROUP NAME وحدد Delete.
الخطوات التالية
بعد تكوين اتصال من موقع إلى موقع، يمكنك إضافة اتصال من نقطة إلى موقع إلى نفس البوابة.