حول إعدادات تكوين VPN Gateway
تعتمد بنية اتصال بوابة VPN على تكوين موارد متعددة، كل منها يحتوي على إعدادات قابلة للتكوين. تناقش الأقسام في هذه المقالة الموارد والإعدادات التي تتعلق ببوابة VPN لشبكة ظاهرية تم إنشاؤها في نموذج توزيع Resource Manager. يمكنك العثور على الأوصاف والرسومات التخطيطية للطوبولوجيا لكل حل اتصال في طوبولوجيا بوابة VPN ومقالة التصميم .
تنطبق القيم الواردة في هذه المقالة بشكل خاص على بوابات VPN (بوابات الشبكة الظاهرية التي تستخدم -GatewayType Vpn). إذا كنت تبحث عن معلومات حول الأنواع التالية من البوابات، فشاهد المقالات التالية:
- للحصول على القيم التي تنطبق على -GatewayType 'ExpressRoute'، راجع بوابات الشبكة الظاهرية ل ExpressRoute.
- بالنسبة للبوابات المكررة للمنطقة، راجع حول بوابات المنطقة المكررة.
- للبوابات النشطة، راجع حول الاتصال ذي قابلية الوصول العالية.
- بالنسبة لبوابات Virtual WAN، راجع حول Virtual WAN.
أنواع البوابات والبوابات
تتكون بوابة الشبكة الظاهرية من جهازين أو أكثر من الأجهزة الظاهرية المدارة بواسطة Azure التي يتم تكوينها ونشرها تلقائيا إلى شبكة فرعية معينة تقوم بإنشائها تسمى الشبكة الفرعية للبوابة. تحتوي بوابات الشبكة الظاهرية على جداول التوجيه وهي مسؤولة عن تشغيل خدمات محددة في البوابة.
عند إنشاء بوابة شبكة ظاهرية، يتم نشر الأجهزة الظاهرية للبوابة تلقائيا إلى الشبكة الفرعية للبوابة (تسمى دائما GatwaySubnet)، ويتم تكوينها بالإعدادات التي حددتها. قد تستغرق هذه العملية 45 دقيقة أو أكثر حتى تكتمل، استنادًا إلى رمز SKU للبوابة الذي حددته.
أحد الإعدادات التي تحددها عند إنشاء بوابة شبكة ظاهرية هو نوع البوابة. يحدد نوع البوابة كيفية استخدام بوابة الشبكة الظاهرية والإجراءات التي تتخذها البوابة. يمكن أن تكون الشبكة الظاهرية على بوابتين لشبكة الاتصال الظاهرية؛ بوابة VPN وبوابة ExpressRo. يحدد نوع البوابة "Vpn" أن نوع بوابة الشبكة الظاهرية التي تم إنشاؤها هو بوابة VPN. هذا يميزه عن بوابة ExpressRoute الذي يستخدم نوع بوابة مختلفة.
عند إنشاء بوابة شبكة ظاهرية، يجب التأكد من صحة نوع البوابة للتكوين الخاص بك. القيم المتوفرة لـ -GatewayType هي:
- Vpn
- ExpressRoute
تتطلب بوابة VPN -GatewayTypeVpn.
مثال:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
وحدات SKU الخاصة بالبوابة والأداء
راجع مقالة حول وحدات SKU للبوابة للحصول على أحدث المعلومات حول وحدات SKU الخاصة بالبوابة والأداء والميزات المدعومة.
أنواع الشبكة الظاهرية الخاصة
يدعم Azure نوعين مختلفين من VPN لبوابات VPN: المستندة إلى النهج والمستندة إلى المسار. بوابات VPN المستندة إلى المسار مبنية على نظام أساسي مختلف عن بوابات VPN المستندة إلى النهج. يؤدي هذا إلى مواصفات بوابة مختلفة.
في معظم الحالات، ستقوم بإنشاء بوابة VPN مستندة إلى المسار. في السابق، لم تكن وحدات SKU القديمة للبوابة تدعم IKEv1 للبوابات المستندة إلى المسار. الآن، تدعم معظم وحدات SKU للبوابة الحالية كلا من IKEv1 وIKEv2. إذا كان لديك بالفعل بوابة مستندة إلى النهج، فلن يطلب منك ترقية بوابتك إلى مستندة إلى التوجيه.
إذا كنت ترغب في إنشاء بوابة مستندة إلى النهج، فاستخدم PowerShell أو CLI. اعتبارا من 1 أكتوبر 2023، لا يمكنك إنشاء بوابة VPN مستندة إلى النهج من خلال مدخل Microsoft Azure، تتوفر فقط البوابات المستندة إلى المسار.
| نوع Gateway VPN | بوابة SKU | إصدارات IKE المدعومة |
|---|---|---|
| البوابة المستندة إلى النهج | أساسي | IKEv1 |
| البوابة المستندة إلى المسار | أساسي | الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) |
| البوابة المستندة إلى المسار | VpnGw1، VpnGw2، VpnGw3، VpnGw4، VpnGw5 | IKEv1 و IKEv2 |
| البوابة المستندة إلى المسار | VpnGw1AZ، VpnGw2AZ، VpnGw3AZ، VpnGw4AZ، VpnGw5AZ | IKEv1 و IKEv2 |
أنواع الاتصال
في نموذج توزيع Resource Manager يتطلب كل تكوين نوع اتصال بوابة شبكة ظاهرية معين. قيم PowerShell Resource Manager المتوفرة هي -ConnectionType:
- IPsec
- Vnet2Vnet
- ExpressRoute
- عميل VPN
في المثال PowerShell التالي، نقوم بإنشاء اتصال S2S يتطلب نوع الاتصال IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
أوضاع الاتصال
تنطبق خاصية وضع الاتصال فقط على بوابات VPN المستندة إلى التوجيه التي تستخدم اتصالات IKEv2. تحدد أوضاع الاتصال اتجاه بدء الاتصال وتنطبق فقط على إنشاء اتصال IKE الأولي. يمكن لأي طرف بدء إعادة المفاتيح ورسائل أخرى. البادئ يعني أن الاتصال يحتاج إلى بدء بواسطة Azure. ResponderOnly يعني أنه يجب بدء الاتصال بواسطة الجهاز المحلي. السلوك الافتراضي هو قبول طلب أي اتصال أولا.
شبكة فرعية للبوابة
قبل إنشاء بوابة VPN يجب إنشاء شبكة فرعية للبوابة. تحتوي الشبكة الفرعية للعبارة على عناوين برتوكول إنترنت التي تستخدمها أجهزة وخدمات بوابة الشبكة الظاهرية والخدمات. عند إنشاء بوابة الشبكة الظاهرية الخاصة بك، يتم توزيع أجهزة البوابة إلى بوابة الشبكة الفرعية وتكوينها مع إعدادات بوابة الشبكة الظاهرية الخاصة المطلوبة. لا تنشر أي شيء آخر (على سبيل المثال، المزيد من الأجهزة الظاهرية) إلى الشبكة الفرعية للبوابة. يجب تسمية الشبكة الفرعية للبوابة 'GatewaySubnet' للعمل بشكل صحيح. يتيح تسمية الشبكة الفرعية للبوابة "GatewaySubnet" ل Azure معرفة أن هذه هي الشبكة الفرعية التي يجب أن تقوم بنشر الأجهزة الظاهرية والخدمات لبوابة الشبكة الظاهرية لها.
عند إنشاء الشبكة الفرعية للبوابة، يمكنك تحديد عدد عناوين بروتوكولات الإنترنت التي تحتوي عليها الشبكة الفرعية. تُخصص عناوين بروتوكولات الإنترنت في الشبكة الفرعية للبوابة إلى خدمات والأجهزة الظاهرية للبوابة. تتطلب بعض التكوينات عناوين بروتوكولات الإنترنت أكثر من غيرها.
عند التخطيط لحجم الشبكة الفرعية للبوابة، راجع الوثائق الخاصة بالتكوين الذي تخطط لإنشاءه. على سبيل المثال، يتطلب تواجد تكوين بوابة الشبكة الظاهرية الخاصة ExpressRoute بوابة شبكة فرعية أكبر من معظم التكوينات الأخرى. في حين أنه من الممكن إنشاء شبكة فرعية للبوابة صغيرة مثل /29 (تنطبق على SKU الأساسية فقط)، تتطلب جميع وحدات SKU الأخرى شبكة فرعية للبوابة بحجم /27 أو أكبر (/27، /26، /25 وما إلى ذلك). قد تحتاج إلى إنشاء شبكة فرعية للبوابة أكبر من /27 بحيث تحتوي الشبكة الفرعية على عناوين IP كافية لاستيعاب التكوينات المستقبلية المحتملة.
يظهر مثال Resource Manager PowerShell التالي شبكة فرعية للبوابة المسماة GatewaySubnet. يمكنك مشاهدة تحديد رمز CIDR /27، والذي يسمح بعناوين IP كافية لمعظم التكوينات الموجودة حالياً.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
الاعتبارات:
التوجيهات المعرفة من قبل المستخدم مع وجهة 0.0.0.0/0 وNSGs على GatewaySubnet غير مدعومة. يتم حظر البوابات التي بها هذا التكوين من الإنشاء. تتطلب البوابات الوصول إلى وحدات تحكم الإدارة لكي تعمل بشكل صحيح. يجب تعيين نشر مسار BGP إلى "Enabled" على GatewaySubnet لضمان توفر البوابة. إذا تم تعيين نشر مسار BGP إلى معطل، فلن تعمل البوابة.
يمكن أن تتأثر التشخيصات ومسار البيانات ومسار التحكم إذا تداخل مسار معرف من قبل المستخدم مع نطاق الشبكة الفرعية للبوابة أو نطاق IP العام للبوابة.
بوابات شبكة محلية
تختلف بوابة شبكة محلية عن بوابة شبكة ظاهرية. عندما تعمل مع بنية بوابة VPN من موقع إلى موقع، تمثل بوابة الشبكة المحلية عادة شبكتك المحلية وجهاز VPN المقابل. في نموذج التوزيع الكلاسيكي، يشار إلى بوابة الشبكة المحلية باسم موقع محلي.
عند تكوين بوابة شبكة محلية، يمكنك تحديد الاسم وعنوان IP العام أو اسم المجال المؤهل بالكامل (FQDN) لجهاز VPN المحلي وبادئات العنوان الموجودة في الموقع المحلي. يبحث Azure في بادئات عنوان الوجهة لنسبة استخدام الشبكة، ويتشاور مع التكوين الذي حددته لبوابة الشبكة المحلية، ويوجه الحزم وفقا لذلك. إذا كنت تستخدم بروتوكول بوابة الحدود (BGP) على جهاز VPN الخاص بك، فإنك توفر عنوان IP نظير BGP لجهاز VPN ورقم النظام المستقل (ASN) للشبكة المحلية. يمكنك أيضًا تحديد بوابات الشبكة المحلية لتكوينات VNet إلى VNet التي تستخدم اتصال بوابة VPN.
ينشئ المثال PowerShell التالي بوابة شبكة محلية جديدة:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
في بعض الأحيان تحتاج إلى تعديل إعدادات بوابة الشبكة المحلية. على سبيل المثال، عند إضافة نطاق العناوين أو تعديله، أو إذا تغير عنوان IP لجهاز VPN. لمزيد من المعلومات، راجع تعديل إعدادات بوابة الشبكة المحلية.
واجهات برمجة تطبيقات REST، وPowerShell cmdlets وCLI
للحصول على الموارد التقنية ومتطلبات بناء الجملة المحددة عند استخدام واجهات برمجة تطبيقات REST أو PowerShell cmdlets أو Azure CLI لتكوينات بوابة VPN، راجع الصفحات التالية:
| كلاسيكي | Resource Manager |
|---|---|
| بوويرشيل | بوويرشيل |
| واجهة برمجة التطبيقات REST | واجهة برمجة التطبيقات REST |
| غير مدعوم | Azure CLI |
الخطوات التالية
لمزيد من المعلومات حول تكوينات الاتصال المتوفرة، راجع حول VPN Gateway.