نظرة عامة على تكوينات أجهزة VPN الشريكة
توفر هذه المقالة نظرة عامة عن تكوين أجهزة VPN المحلية للاتصال ببوابات Azure VPN. يتم استخدام نموذج إعداد شبكة Azure الظاهرية وبوابة VPN لتوضيح كيفية الاتصال بتكوينات مختلفة لجهاز VPN محلي باستخدام المعلمات نفسها.
متطلبات الجهاز
تستخدم بوابات Azure VPN مجموعات بروتوكولات IPsec/IKE القياسية لأنفاق VPN من موقع إلى موقع (S2S). للحصول على قائمة بمعلمات IPsec/IKE وخوارزميات التشفير لبوابات Azure VPN، راجع عن أجهزة VPN. يمكنك أيضاً تحديد الخوارزميات الدقيقة ونقاط القوة الرئيسية لاتصال معين كما هو موضح في عن متطلبات التشفير.
نفق VPN مفرد
يتكون التكوين الأول في العينة من نفق S2S VPN واحد بين بوابة Azure VPN وجهاز VPN محلي. يمكنك اختيارياً تكوين بروتوكول بوابة الحدود (BGP) عبر نفق VPN.
للحصول على إرشادات تفصيلية لإعداد نفق VPN واحد، راجع تكوين اتصال من موقع إلى موقع. تحدد الأقسام التالية معلمات الاتصال لتكوين العينة وتوفر برنامج PowerShell نصياً لمساعدتك على البدء.
معلمات الاتصال
يسرد هذا القسم معلمات الأمثلة الموضحة في الأقسام السابقة.
المعلمة | القيمة |
---|---|
بادئات عناوين الشبكة الظاهرية | 10.11.0.0/16 10.12.0.0/16 |
IP بوابة Azure VPN | IP بوابة Azure VPN |
بادئات العناوين المحلية | 10.51.0.0/16 10.52.0.0/16 |
IP لجهاز VPN محلي | IP لجهاز VPN محلي |
* شبكة افتراضية BGP ASN | 65010 |
* IP نظير Azure BGP | 10.12.255.30 |
* BGP ASN محلي | 65050 |
* IP نظير BGP محلي | 10.52.255.254 |
* معلمة اختيارية لـBGP فقط.
عينة البرنامج النصي PowerShell
يوفر هذا القسم نموذجاً للبرنامج النصي للبدء. للحصول على إرشادات مفصلة، راجع إنشاء اتصال S2S VPN باستخدام PowerShell.
# Declare your variables
$Sub1 = "Replace_With_Your_Subscription_Name"
$RG1 = "TestRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$VNet1ASN = 65010
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GWIPName1 = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15 = "VNet1toSite5"
$LNGName5 = "Site5"
$LNGPrefix50 = "10.52.255.254/32"
$LNGPrefix51 = "10.51.0.0/16"
$LNGPrefix52 = "10.52.0.0/16"
$LNGIP5 = "Your_VPN_Device_IP"
$LNGASN5 = 65050
$BGPPeerIP5 = "10.52.255.254"
# Connect to your subscription and create a new resource group
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
# Create virtual network
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
# Create VPN gateway
$gwpip1 = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN
# Create local network gateway
New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
# Create the S2S VPN connection
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng5gw = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False
(اختياري) استخدام نهج IPsec/IKE المخصص مع UsePolicyBasedTrafficSelectors
إذا كانت أجهزة VPN الخاصة بك لا تدعم أي محددات نسبة استخدام شبكة، مثل التكوينات المستندة إلى المسار أو المستندة إلى VTI، فقم بإنشاء نهج IPsec/IKE مخصص باستخدام الخيار UsePolicyBasedTrafficSelectors.
هام
يجب عليك إنشاء نهج IPsec / IKE لتمكين خيار UsePolicyBasedTrafficSelectors على الاتصال.
ينشئ البرنامج النصي النموذجي نهج IPsec/IKE باستخدام الخوارزميات والمعلمات التالية:
- IKEv2: AES256، SHA384، DHGroup24
- IPsec: AES256 ولوغاريتم التجزئة الآمن 1 وPFS24 ومدة بقاء SA 7,200 ثانية و20,480,000 كيلوبايت (20 جيجابايت)
يطبق البرنامج النصي نهج IPsec/IKE ويمكّن الخيار UsePolicyBasedTrafficSelectors على الاتصال.
$ipsecpolicy5 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng5gw = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True
(اختياري) استخدم BGP على اتصال S2S VPN
عند إنشاء اتصال S2S VPN، يمكنك اختيارياً استخدام BGP لبوابة VPN. هناك اختلافان في هذه الطريقة:
يمكن أن تكون بادئات العناوين المحلية عنوان مضيف واحداً. يتم تحديد عنوان IP النظير BGP المحلي على النحو التالي:
New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
عند إنشاء الاتصال، يجب عليك تعيين الخيار -EnableBGP على $True:
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
الخطوات التالية
للحصول على إرشادات تفصيلية لإعداد بوابات VPN النشطة/النشطة، راجع تكوين بوابات VPN النشطة/النشطة للاتصالات عبر المباني وVNet-to-VNet.