نظرة عامة على تكوينات أجهزة VPN الشريكة

توفر هذه المقالة نظرة عامة عن تكوين أجهزة VPN المحلية للاتصال ببوابات Azure VPN. يتم استخدام نموذج إعداد شبكة Azure الظاهرية وبوابة VPN لتوضيح كيفية الاتصال بتكوينات مختلفة لجهاز VPN محلي باستخدام المعلمات نفسها.

متطلبات الجهاز

تستخدم بوابات Azure VPN مجموعات بروتوكولات IPsec/IKE القياسية لأنفاق VPN من موقع إلى موقع (S2S). للحصول على قائمة بمعلمات IPsec/IKE وخوارزميات التشفير لبوابات Azure VPN، راجع عن أجهزة VPN. يمكنك أيضاً تحديد الخوارزميات الدقيقة ونقاط القوة الرئيسية لاتصال معين كما هو موضح في عن متطلبات التشفير.

نفق VPN مفرد

يتكون التكوين الأول في العينة من نفق S2S VPN واحد بين بوابة Azure VPN وجهاز VPN محلي. يمكنك اختيارياً تكوين بروتوكول بوابة الحدود (BGP) عبر نفق VPN.

رسم تخطيطي لنفق S2S VPN واحد

للحصول على إرشادات تفصيلية لإعداد نفق VPN واحد، راجع تكوين اتصال من موقع إلى موقع. تحدد الأقسام التالية معلمات الاتصال لتكوين العينة وتوفر برنامج PowerShell نصياً لمساعدتك على البدء.

معلمات الاتصال

يسرد هذا القسم معلمات الأمثلة الموضحة في الأقسام السابقة.

المعلمة القيمة
بادئات عناوين الشبكة الظاهرية 10.11.0.0/16
10.12.0.0/16
IP بوابة Azure VPN IP بوابة Azure VPN
بادئات العناوين المحلية 10.51.0.0/16
10.52.0.0/16
IP لجهاز VPN محلي IP لجهاز VPN محلي
* شبكة افتراضية BGP ASN 65010
* IP نظير Azure BGP 10.12.255.30
* BGP ASN محلي 65050
* IP نظير BGP محلي 10.52.255.254

* معلمة اختيارية لـBGP فقط.

عينة البرنامج النصي PowerShell

يوفر هذا القسم نموذجاً للبرنامج النصي للبدء. للحصول على إرشادات مفصلة، راجع إنشاء اتصال S2S VPN باستخدام PowerShell.

# Declare your variables

$Sub1          = "Replace_With_Your_Subscription_Name"
$RG1           = "TestRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$VNet1ASN      = 65010
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GWIPName1     = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15  = "VNet1toSite5"
$LNGName5      = "Site5"
$LNGPrefix50   = "10.52.255.254/32"
$LNGPrefix51   = "10.51.0.0/16"
$LNGPrefix52   = "10.52.0.0/16"
$LNGIP5        = "Your_VPN_Device_IP"
$LNGASN5       = 65050
$BGPPeerIP5    = "10.52.255.254"

# Connect to your subscription and create a new resource group

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

# Create virtual network

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

# Create VPN gateway

$gwpip1    = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1     = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1   = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN

# Create local network gateway

New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5

# Create the S2S VPN connection

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False

(اختياري) استخدام نهج IPsec/IKE المخصص مع UsePolicyBasedTrafficSelectors

إذا كانت أجهزة VPN الخاصة بك لا تدعم أي محددات نسبة استخدام شبكة، مثل التكوينات المستندة إلى المسار أو المستندة إلى VTI، فقم بإنشاء نهج IPsec/IKE مخصص باستخدام الخيار UsePolicyBasedTrafficSelectors.

هام

يجب عليك إنشاء نهج IPsec / IKE لتمكين خيار UsePolicyBasedTrafficSelectors على الاتصال.

ينشئ البرنامج النصي النموذجي نهج IPsec/IKE باستخدام الخوارزميات والمعلمات التالية:

  • IKEv2: AES256، SHA384، DHGroup24
  • IPsec: AES256 ولوغاريتم التجزئة الآمن 1 وPFS24 ومدة بقاء SA 7,200 ثانية و20,480,000 كيلوبايت (20 جيجابايت)

يطبق البرنامج النصي نهج IPsec/IKE ويمكّن الخيار UsePolicyBasedTrafficSelectors على الاتصال.

$ipsecpolicy5 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True

(اختياري) استخدم BGP على اتصال S2S VPN

عند إنشاء اتصال S2S VPN، يمكنك اختيارياً استخدام BGP لبوابة VPN. هناك اختلافان في هذه الطريقة:

  • يمكن أن تكون بادئات العناوين المحلية عنوان مضيف واحداً. يتم تحديد عنوان IP النظير BGP المحلي على النحو التالي:

    New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
    
  • عند إنشاء الاتصال، يجب عليك تعيين الخيار -EnableBGP على $True:

    New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
    

الخطوات التالية

للحصول على إرشادات تفصيلية لإعداد بوابات VPN النشطة/النشطة، راجع تكوين بوابات VPN النشطة/النشطة للاتصالات عبر المباني وVNet-to-VNet.