حول إعدادات تكوين VPN Gateway

تعتمد بنية اتصال بوابة VPN على تكوين موارد متعددة، كل منها يحتوي على إعدادات قابلة للتكوين. تناقش الأقسام في هذه المقالة الموارد والإعدادات التي تتعلق ببوابة VPN لشبكة ظاهرية. يمكنك العثور على الأوصاف والرسومات التخطيطية للطوبولوجيا لكل حل اتصال في طوبولوجيا بوابة VPN ومقالة التصميم .

تنطبق القيم الواردة في هذه المقالة بشكل خاص على بوابات VPN (بوابات الشبكة الظاهرية التي تستخدم -GatewayType Vpn). إذا كنت تبحث عن معلومات حول الأنواع التالية من البوابات، فشاهد المقالات التالية:

أنواع البوابات والبوابات

تتكون بوابة الشبكة الظاهرية من جهازين أو أكثر من الأجهزة الظاهرية المدارة بواسطة Azure التي يتم تكوينها ونشرها تلقائيا إلى شبكة فرعية معينة تقوم بإنشائها تسمى الشبكة الفرعية للبوابة. تحتوي بوابات الشبكة الظاهرية على جداول التوجيه وهي مسؤولة عن تشغيل خدمات محددة في البوابة. عند إنشاء بوابة شبكة ظاهرية، يتم نشر الأجهزة الظاهرية للبوابة تلقائيا إلى الشبكة الفرعية للبوابة (تسمى دائما GatewaySubnet)، ويتم تكوينها بالإعدادات التي حددتها. قد تستغرق العملية 45 دقيقة أو أكثر لإكمالها، اعتمادا على بوابة SKU التي حددتها.

أحد الإعدادات التي تحددها عند إنشاء بوابة شبكة ظاهرية هو نوع البوابة. يحدد نوع البوابة كيفية استخدام بوابة الشبكة الظاهرية والإجراءات التي تتخذها البوابة. يمكن أن تكون الشبكة الظاهرية على بوابتين لشبكة الاتصال الظاهرية؛ بوابة VPN وبوابة ExpressRo. يحدد نوع -GatewayType 'Vpn' أن نوع بوابة الشبكة الظاهرية التي تم إنشاؤها هو بوابة VPN. وهذا يميزها عن بوابة ExpressRoute.

وحدات SKU الخاصة بالبوابة والأداء

راجع مقالة حول وحدات SKU للبوابة للحصول على أحدث المعلومات حول وحدات SKU الخاصة بالبوابة والأداء والميزات المدعومة.

أنواع الشبكة الظاهرية الخاصة

يدعم Azure نوعين مختلفين من VPN لبوابات VPN: المستندة إلى النهج والمستندة إلى المسار. بوابات VPN المستندة إلى المسار مبنية على نظام أساسي مختلف عن بوابات VPN المستندة إلى النهج. يؤدي هذا إلى مواصفات بوابة مختلفة. يعرض الجدول التالي وحدات SKU للبوابة التي تدعم كل نوع من أنواع VPN وإصدارات IKE المدعومة المقترنة.

نوع Gateway VPN بوابة SKU إصدارات IKE المدعومة
البوابة المستندة إلى النهج أساسي IKEv1
البوابة المستندة إلى المسار أساسي الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي)
البوابة المستندة إلى المسار VpnGw1، VpnGw2، VpnGw3، VpnGw4، VpnGw5 IKEv1 و IKEv2
البوابة المستندة إلى المسار VpnGw1AZ، VpnGw2AZ، VpnGw3AZ، VpnGw4AZ، VpnGw5AZ IKEv1 و IKEv2

في معظم الحالات، ستقوم بإنشاء بوابة VPN مستندة إلى المسار. في السابق، لم تكن وحدات SKU القديمة للبوابة تدعم IKEv1 للبوابات المستندة إلى المسار. الآن، تدعم معظم وحدات SKU للبوابة الحالية كلا من IKEv1 وIKEv2.

  • اعتبارا من 1 أكتوبر 2023، يمكن تكوين البوابات المستندة إلى النهج فقط باستخدام PowerShell أو CLI، ولا تتوفر في مدخل Microsoft Azure. لإنشاء بوابة مستندة إلى النهج، راجع إنشاء بوابة SKU VPN أساسية باستخدام PowerShell.

  • إذا كان لديك بالفعل بوابة مستندة إلى نهج، فلن يطلب منك تغيير البوابة إلى مستندة إلى توجيه ما لم تكن تريد استخدام تكوين يتطلب بوابة تستند إلى توجيه، مثل نقطة إلى موقع.

  • لا يمكنك تحويل بوابة مستندة إلى نهج إلى بوابة تستند إلى التوجيه. يجب حذف البوابة الموجودة، ثم إنشاء بوابة جديدة استنادا إلى المسار.

بوابات الوضع النشط-النشط

يمكن تكوين بوابات Azure VPN على أنها نشطة في وضع الاستعداد أو نشطة- نشطة. في التكوين النشط-النشط، يقوم كلا مثيلي الأجهزة الظاهرية للبوابة بإنشاء أنفاق VPN من موقع إلى موقع إلى جهاز VPN المحلي. تعد بوابات الوضع النشط-النشط جزءا أساسيا من تصميم اتصال البوابة المتوفرة بشكل كبير. لمزيد من المعلومات، راجع المقالات التالية:

عناوين IP الخاصة بالبوابة

يتم استخدام هذا الإعداد لتكوينات نظير ExpressRoute خاصة معينة. لمزيد من المعلومات، راجع تكوين اتصال VPN من موقع إلى موقع عبر نظير ExpressRoute الخاص.

أنواع الاتصال

يتطلب كل اتصال نوع اتصال بوابة شبكة ظاهرية محددة. قيم PowerShell المتوفرة ل New-AzVirtualNetworkGatewayConnection -Connection Type هي: IPsec وVnet2Vnet وExpressRoute وVPNClient.

أوضاع الاتصال

تنطبق خاصية وضع الاتصال فقط على بوابات VPN المستندة إلى التوجيه التي تستخدم اتصالات IKEv2. تحدد أوضاع الاتصال اتجاه بدء الاتصال وتنطبق فقط على إنشاء اتصال IKE الأولي. يمكن لأي طرف بدء إعادة المفاتيح ورسائل أخرى. البادئ يعني أن الاتصال يحتاج إلى بدء بواسطة Azure. ResponderOnly يعني أنه يجب بدء الاتصال بواسطة الجهاز المحلي. السلوك الافتراضي هو قبول طلب أي اتصال أولا.

شبكة فرعية للبوابة

قبل إنشاء بوابة VPN يجب إنشاء شبكة فرعية للبوابة. تحتوي الشبكة الفرعية للعبارة على عناوين برتوكول إنترنت التي تستخدمها أجهزة وخدمات بوابة الشبكة الظاهرية والخدمات. عند إنشاء بوابة الشبكة الظاهرية الخاصة بك، يتم توزيع أجهزة البوابة إلى بوابة الشبكة الفرعية وتكوينها مع إعدادات بوابة الشبكة الظاهرية الخاصة المطلوبة. لا تنشر أي شيء آخر (على سبيل المثال، المزيد من الأجهزة الظاهرية) إلى الشبكة الفرعية للبوابة. يجب تسمية الشبكة الفرعية للبوابة 'GatewaySubnet' للعمل بشكل صحيح. يتيح تسمية الشبكة الفرعية للبوابة "GatewaySubnet" ل Azure معرفة أن هذه هي الشبكة الفرعية التي يجب أن تقوم بنشر الأجهزة الظاهرية والخدمات لبوابة الشبكة الظاهرية لها.

عند إنشاء الشبكة الفرعية للبوابة، يمكنك تحديد عدد عناوين بروتوكولات الإنترنت التي تحتوي عليها الشبكة الفرعية. تُخصص عناوين بروتوكولات الإنترنت في الشبكة الفرعية للبوابة إلى خدمات والأجهزة الظاهرية للبوابة. تتطلب بعض التكوينات عناوين بروتوكولات الإنترنت أكثر من غيرها.

عند التخطيط لحجم الشبكة الفرعية للبوابة، راجع الوثائق الخاصة بالتكوين الذي تخطط لإنشاءه. على سبيل المثال، يتطلب تواجد تكوين بوابة الشبكة الظاهرية الخاصة ExpressRoute بوابة شبكة فرعية أكبر من معظم التكوينات الأخرى. في حين أنه من الممكن إنشاء شبكة فرعية للبوابة صغيرة مثل /29 (تنطبق على SKU الأساسية فقط)، تتطلب جميع وحدات SKU الأخرى شبكة فرعية للبوابة بحجم /27 أو أكبر (/27، /26، /25 وما إلى ذلك). قد تحتاج إلى إنشاء شبكة فرعية للبوابة أكبر من /27 بحيث تحتوي الشبكة الفرعية على عناوين IP كافية لاستيعاب التكوينات المستقبلية المحتملة.

يظهر مثال PowerShell التالي شبكة فرعية للبوابة تسمى GatewaySubnet. يمكنك مشاهدة تحديد رمز CIDR /27، والذي يسمح بعناوين IP كافية لمعظم التكوينات الموجودة حالياً.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

الاعتبارات:

  • التوجيهات المعرفة من قبل المستخدم مع وجهة 0.0.0.0/0 وNSGs على GatewaySubnet غير مدعومة. يتم حظر البوابات التي بها هذا التكوين من الإنشاء. تتطلب البوابات الوصول إلى وحدات تحكم الإدارة لكي تعمل بشكل صحيح. يجب تعيين نشر مسار BGP إلى "Enabled" على GatewaySubnet لضمان توفر البوابة. إذا تم تعيين نشر مسار BGP إلى معطل، فلن تعمل البوابة.

  • يمكن أن تتأثر التشخيصات ومسار البيانات ومسار التحكم إذا تداخل مسار معرف من قبل المستخدم مع نطاق الشبكة الفرعية للبوابة أو نطاق IP العام للبوابة.

بوابات شبكة محلية

تختلف بوابة شبكة محلية عن بوابة شبكة ظاهرية. عندما تعمل مع بنية بوابة VPN من موقع إلى موقع، تمثل بوابة الشبكة المحلية عادة شبكتك المحلية وجهاز VPN المقابل.

عند تكوين بوابة شبكة محلية، يمكنك تحديد الاسم وعنوان IP العام أو اسم المجال المؤهل بالكامل (FQDN) لجهاز VPN المحلي وبادئات العنوان الموجودة في الموقع المحلي. يبحث Azure في بادئات عنوان الوجهة لنسبة استخدام الشبكة، ويتشاور مع التكوين الذي حددته لبوابة الشبكة المحلية، ويوجه الحزم وفقا لذلك. إذا كنت تستخدم بروتوكول بوابة الحدود (BGP) على جهاز VPN الخاص بك، فإنك توفر عنوان IP نظير BGP لجهاز VPN ورقم النظام المستقل (ASN) للشبكة المحلية. يمكنك أيضًا تحديد بوابات الشبكة المحلية لتكوينات VNet إلى VNet التي تستخدم اتصال بوابة VPN.

ينشئ المثال PowerShell التالي بوابة شبكة محلية جديدة:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

في بعض الأحيان تحتاج إلى تعديل إعدادات بوابة الشبكة المحلية. على سبيل المثال، عند إضافة نطاق العناوين أو تعديله، أو إذا تغير عنوان IP لجهاز VPN. لمزيد من المعلومات، راجع تعديل إعدادات بوابة الشبكة المحلية.

واجهات برمجة تطبيقات REST، وPowerShell cmdlets وCLI

للحصول على الموارد التقنية ومتطلبات بناء الجملة المحددة عند استخدام واجهات برمجة تطبيقات REST أو PowerShell cmdlets أو Azure CLI لتكوينات بوابة VPN، راجع الصفحات التالية:

الخطوات التالية

لمزيد من المعلومات حول تكوينات الاتصال المتوفرة، راجع حول VPN Gateway.