توصيل بوابة VPN بأجهزة VPN متعددة مستندة إلى النهج المحلي

تساعدك هذه المقالة على تكوين بوابة VPN مستندة إلى مسار Azure للاتصال بالعديد من أجهزة VPN المحلية المستندة إلى النهج التي تستفيد من سياسات IPsec/IKE المخصصة على اتصالات S2S VPN. تستخدم الخطوات الواردة في هذه المقالة Azure PowerShell.

حول بوابات VPN المستندة إلى النهج والقائمة على المسار

تختلف أجهزة VPN المستندة إلى النهج مقابل الأجهزة المستندة إلى المسار في كيفية تعيين محددات نسبة استخدام الشبكة IPsec على اتصال:

  • تستخدم أجهزة VPN المستندة إلى نهج مجموعات من البادئات من كلتا الشبكتين لتحديد كيفية تشفير/فك تشفير نسبة استخدام الشبكة عبر مسارات IPsec. عادة ما يتم إنشاؤه على أجهزة جدار الحماية التي تقوم بتصفية الحزمة. تتم إضافة تشفير وفك تشفير مسارات IPsec إلى تصفية حِزم البيانات ومحرك المعالجة.
  • أجهزة VPN المستندة إلى التوجيه تستخدم محددات نسبة استخدام الشبكة بقدرة توصيل بين الجميع (حرف بدل)، مما يسمح لجداول التوجيه/إعادة التوجيه بتوجيه نسبة استخدام الشبكة لمسارات IPsec مختلفة. عادة ما يتم إنشاؤه على منصات جهاز التوجيه حيث يتم تصميم كل نفق IPsec كواجهة شبكة أو VTI (واجهة النفق الظاهري).

تسلط الرسوم البيانية التالية الضوء على النموذجين:

مثال VPN المستند إلى النهج

رسم تخطيطي لشبكة VPN المستندة إلى النهج.

مثال VPN المستند إلى المسار

رسم تخطيطي ل VPN المستند إلى المسار لمواقع متعددة.

دعم Azure لـVPN المستند إلى النهج

يدعم Azure حاليا كلا الوضعين من بوابات VPN: بوابات VPN المستندة إلى المسار وبوابات VPN المستندة إلى النهج. وهي مبنية على منصات داخلية مختلفة، ما يؤدي إلى مواصفات مختلفة. لمزيد من المعلومات حول البوابات ومعدل النقل والاتصالات، راجع حول إعدادات بوابة VPN.

نوع Gateway VPN بوابة SKU إصدارات IKE المدعومة
البوابة المستندة إلى النهج أساسي IKEv1
البوابة المستندة إلى المسار أساسي الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي)
البوابة المستندة إلى المسار VpnGw1، VpnGw2، VpnGw3، VpnGw4، VpnGw5 IKEv1 و IKEv2
البوابة المستندة إلى المسار VpnGw1AZ، VpnGw2AZ، VpnGw3AZ، VpnGw4AZ، VpnGw5AZ IKEv1 و IKEv2

في السابق، عند العمل مع الشبكات الظاهرية الخاصة المستندة إلى النهج، كنت تقتصر على استخدام بوابة VPN المستندة إلى النهج Basic SKU وكان بإمكانك الاتصال فقط بجهاز VPN/جدار حماية محلي واحد. الآن، باستخدام نهج IPsec/IKE المخصص، يمكنك استخدام بوابة VPN المستندة إلى المسار والاتصال بأجهزة VPN/جدار حماية متعددة تستند إلى النهج. لإجراء اتصال VPN مستند إلى النهج باستخدام بوابة VPN المستندة إلى المسار، قم بتكوين بوابة VPN المستندة إلى المسار لاستخدام محددات نسبة استخدام الشبكة المستندة إلى البادئة مع خيار "PolicyBasedTrafficSelectors".

الاعتبارات

  • لتمكين هذا الاتصال، يجب أن تدعم أجهزة VPN المحلية المستندة إلى النهج IKEv2 للاتصال ببوابات VPN المستندة إلى مسار Azure. تحقق من مواصفات جهاز VPN الخاص بك.

  • يمكن للشبكات المحلية التي تتصل من خلال أجهزة VPN المستندة إلى النهج باستخدام هذه الآلية الاتصال بشبكة Azure الظاهرية فقط؛ لا يمكنهم الانتقال إلى شبكات محلية أخرى أو شبكات افتراضية عبر نفس بوابة Azure VPN.

  • يعد خيار التكوين جزءًا من نهج اتصال IPsec/IKE المخصص. إذا قمت بتمكين خيار محدد نسبة استخدام الشبكة المستند إلى النهج، فيجب عليك تحديد النهج الكامل (خوارزميات تشفير وتكامل IPsec/IKE، ونقاط القوة الرئيسية، وعمر SA).

يوضح الرسم التخطيطي التالي سبب عدم عمل توجيه النقل عبر بوابة VPN مع الخيار المستند إلى النهج:

رسم تخطيطي للنقل المستند إلى النهج.

كما هو موضح في الرسم البياني، تحتوي بوابة Azure VPN على محددات نسبة استخدام الشبكة من الشبكة الظاهرية إلى كل بادئة من بادئات الشبكة المحلية، ولكن ليس بادئات الاتصال المتقاطع. على سبيل المثال، يمكن لكل موقع محلي 2 والموقع 3 والموقع 4 الاتصال ب VNet1 على التوالي، ولكن لا يمكن الاتصال عبر بوابة Azure VPN ببعضها البعض. يظهر الرسم التخطيطي محددات نسبة استخدام الشبكة عبر الاتصال غير المتوفرة في بوابة Azure VPN ضمن هذا التكوين.

‏‏سير العمل‬

تتبع الإرشادات الواردة في هذه المقالة نفس المثال كما هو موضح في نهج تكوين IPsec/IKE لاتصالات S2S أو VNet-to-VNet لإنشاء اتصال S2S VPN. يظهر هذا في الرسم التخطيطي التالي:

يظهر الرسم التخطيطي صورة من موقع إلى موقع مع محددات حركة المرور.

لتمكين الاتصال، استخدم سير العمل التالي:

  1. قم بإنشاء الشبكة الافتراضية وبوابة VPN وبوابة الشبكة المحلية للاتصال عبر المباني.
  2. إنشاء نهج IPsec/IKE.
  3. قم بتطبيق النهج عند إنشاء اتصال S2S أو VNet-to-VNet، وقم بتمكين محددات نسبة استخدام الشبكة المستندة إلى النهج على الاتصال.
  4. إذا كان الاتصال قد تم إنشاؤه بالفعل، فيمكنك تطبيق النهج أو تحديثه على اتصال موجود.

تمكين محددات نسبة استخدام الشبكة المستندة إلى النهج

يوضح لك هذا القسم كيفية تمكين محددات نسبة استخدام الشبكة المستندة إلى النهج على اتصال. تأكد من إكمال الجزء 3 من مقالة نهج تكوين IPsec/IKE. تستخدم الخطوات الواردة في هذه المقالة نفس المعلمات.

إنشاء الشبكة الافتراضية وبوابة VPN وبوابة الشبكة المحلية

  1. تسجيل الدخول إلى الاشتراك. إذا كنت تقوم بتشغيل PowerShell محليا على جهاز الكمبيوتر الخاص بك، فسجل الدخول باستخدام Connect-AzAccount cmdlet. أو بدلًا من ذلك، استخدم Azure Cloud Shell في متصفحك.

  2. قم بتعريف المتغيرات الخاصة بك. في هذا التمرين، نستخدم قيم المتغيرات التالية:

    $Sub1          = "<YourSubscriptionName>"
    $RG1           = "TestPolicyRG1"
    $Location1     = "East US 2"
    $VNetName1     = "TestVNet1"
    $FESubName1    = "FrontEnd"
    $BESubName1    = "Backend"
    $GWSubName1    = "GatewaySubnet"
    $VNetPrefix11  = "10.11.0.0/16"
    $VNetPrefix12  = "10.12.0.0/16"
    $FESubPrefix1  = "10.11.0.0/24"
    $BESubPrefix1  = "10.12.0.0/24"
    $GWSubPrefix1  = "10.12.255.0/27"
    $DNS1          = "8.8.8.8"
    $GWName1       = "VNet1GW"
    $GW1IPName1    = "VNet1GWIP1"
    $GW1IPconf1    = "gw1ipconf1"
    $Connection16  = "VNet1toSite6"
    $LNGName6      = "Site6"
    $LNGPrefix61   = "10.61.0.0/16"
    $LNGPrefix62   = "10.62.0.0/16"
    $LNGIP6        = "131.107.72.22"
    
  3. قم بإنشاء مجموعة موارد.

    New-AzResourceGroup -Name $RG1 -Location $Location1
    
  4. استخدم المثال التالي لإنشاء الشبكة الظاهرية TestVNet1 مع ثلاث شبكات فرعية وبوابة VPN. إن كنت تريد استبدال القيم، من المهم دومًا تسمية الشبكة الفرعية للبوابة الخاصة بك وخصوصاً GatewaySubnet. إذا أعطيتها اسمًا آخر، سيفشل إنشاء البوابة الخاصة بك.

    $fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
    $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
    $gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
    
    New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
    
    $gw1pip1    = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
    $vnet1      = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
    $subnet1    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
    $gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1
    
    New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1
    
    New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62
    

إنشاء اتصال S2S VPN باستخدام نهج IPsec/IKE

  1. إنشاء نهج IPsec/IKE.

    هام

    تحتاج إلى إنشاء سياسة IPsec / IKE لتمكين خيار "UsePolicyBasedTrafficSelectors" على الاتصال.

    ينشئ المثال التالي نهج IPsec/IKE باستخدام هذه الخوارزميات والمعلمات:

    • IKEv2: AES256، SHA384، DHGroup24
    • IPsec: AES256 وSHA256 وPFS None وSAS Lifetime 14400 ثانية و102400000KB
    $ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
    
  2. قم بإنشاء اتصال S2S VPN باستخدام محددات نسبة استخدام الشبكة المستندة إلى النهج وسياسة IPsec/IKE وتطبيق نهج IPsec/IKE الذي تم إنشاؤه في الخطوة السابقة. كن على دراية بالمعلمة الإضافية "-UsePolicyBasedTrafficSelectors $True" ، والتي تمكن محددات نسبة استخدام الشبكة المستندة إلى النهج على الاتصال.

    $vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
    $lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1
    
    New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -UsePolicyBasedTrafficSelectors $True -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'
    
  3. بعد الانتهاء من الخطوات، سيستخدم اتصال S2S VPN سياسة IPsec / IKE المحددة، وتمكين محددات نسبة استخدام الشبكة المستندة إلى النهج على الاتصال. يمكنك تكرار نفس الخطوات لإضافة المزيد من الاتصالات إلى أجهزة VPN إضافية قائمة على السياسات المحلية من نفس بوابة Azure VPN.

لتحديث محددات نسبة استخدام الشبكة المستندة إلى النهج

يوضح لك هذا القسم كيفية تحديث خيار محددات نسبة استخدام الشبكة المستندة إلى النهج لاتصال S2S VPN موجود.

  1. احصل على مورد الاتصال.

    $RG1          = "TestPolicyRG1"
    $Connection16 = "VNet1toSite6"
    $connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
    
  2. عرض خيار محددات نسبة استخدام الشبكة المستندة إلى النهج. يوضح السطر التالي ما إذا كانت محددات نسبة استخدام الشبكة المستندة إلى النهج تستخدم للاتصال:

    $connection6.UsePolicyBasedTrafficSelectors
    

    إذا كان الخط يعيد True، تكوين محددات حركة المرور المستندة إلى النهج على الاتصال؛ وإلا فإنه يعيد False.

  3. بمجرد الحصول على مورد الاتصال، يمكنك تمكين محددات نسبة استخدام الشبكة المستندة إلى النهج أو تعطيلها على اتصال.

    • للتمكن

      يمكن المثال التالي خيار محددات نسبة استخدام الشبكة المستندة إلى النهج، ولكنه يترك نهج IPsec/IKE دون تغيير:

      $RG1          = "TestPolicyRG1"
      $Connection16 = "VNet1toSite6"
      $connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
      
      Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True
      
    • للتعطيل

      يمكن المثال التالي خيار محددات نسبة استخدام الشبكة المستندة إلى النهج، ولكنه يترك نهج IPsec/IKE دون تغيير:

      $RG1          = "TestPolicyRG1"
      $Connection16 = "VNet1toSite6"
      $connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
      
      Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $False
      

الخطوات التالية

بمجرد اكتمال الاتصال، يمكنك إضافة الأجهزة الظاهرية إلى الشبكات الظاهرية. راجع إنشاء جهاز ظاهري لمعرفة الخطوات.

راجع أيضًا تكوين نهج IPsec/IKE لاتصالات S2S VPN أو VNet-to-VNet للحصول على مزيد من التفاصيل حول سياسات IPsec/IKE المخصصة.