إضافة اتصالات من موقع إلى موقع أو إزالتها من بوابة VPN

تساعدك هذه المقالة على إضافة اتصالات من موقع إلى موقع (S2S) لبوابة VPN أو إزالتها. يمكنك أيضا إضافة اتصالات S2S إلى بوابة VPN التي تحتوي بالفعل على اتصال S2S أو اتصال من نقطة إلى موقع أو اتصال VNet إلى VNet. هناك بعض القيود لإضافة اتصالات. راجع المقطع Prerequisites في هذه المقالة للتحقق قبل بدء التكوين.

حول ExpressRoute/اتصالات متعايشة من موقع إلى موقع

• يمكنك استخدام الخطوات الواردة في هذه المقالة لإضافة اتصال VPN جديد إلى اتصال ExpressRoute/site-to-site موجود بالفعل.
• لا يمكنك استخدام الخطوات الواردة في هذه المقالة لتكوين اتصال ExpressRoute/site-to-site جديد متعايش. لإنشاء اتصال متعايش جديد، راجع: اتصالات ExpressRoute/S2S المتعايشة.

المتطلبات الأساسية

التحقق من العناصر التالية:

• أنت لا تقوم بتكوين اتصال جديد من موقع إلى موقع ل ExpressRoute وVPN Gateway.
• وجود شبكة ظاهرية تم إنشاؤها باستخدام نموذج توزيع Resource Manager مع اتصال موجود.
• بوابة الشبكة الظاهرية للشبكة الظاهرية هي RouteBased. في حالة وجود بوابة PolicyBased VPN، يجب حذف بوابة الشبكة الظاهرية وإنشاء بوابة VPN جديدة كـ RouteBased.
• لا يتداخل أي من نطاقات العناوين مع أي من الشبكات الظاهرية التي تتصل بها هذه الشبكة الظاهرية.
• وجود جهاز VPN متوافق وشخص قادر على تكوينه. مراجعة حول أجهزة VPN. إذا لم تكن على دراية بتكوين جهاز VPN، أو لم تكن على دراية بنطاقات عناوين IP الموجودة في تكوين شبكتك المحلية، فستحتاج إلى التنسيق مع شخص يمكنه توفير هذه التفاصيل لك.
• لديك عنوان IP عام لجهاز VPN يمكن للجميع الوصول إليه.

إنشاء بوابة شبكة محلية

أنشئ بوابة شبكة محلية تمثل الفرع أو الموقع الذي تريد الاتصال به.

بوابة الشبكة المحلية هي كائن محدد يمثل موقعك الداخلي (الموقع) لأغراض التوجيه. أنت تعطي الموقع اسماً يمكن لـ Azure الرجوع إليه، ثم تحديد عنوان IP لجهاز شبكة ظاهرية خاصة محلي الذي ستنشئ اتصالاً به. يمكنك أيضًا تحديد بادئات عنوان IP المقرر توجيهها من خلال بوابة VPN إلى جهاز VPN. بادئات العنوان التي تحددها هي البادئات الموجودة على الشبكة المحلية الخاصة بك. إذا تغيرت الشبكة المحلية الخاصة بك أو كنت بحاجة إلى تغيير عنوان IP العام لجهاز VPN، فيمكنك بسهولة تحديث القيم لاحقاً.

في هذا المثال، نقوم بإنشاء بوابة شبكة محلية باستخدام القيم التالية.

• الاسم: Site1
• مجموعة الموارد: TestRG1
• الموقع: شرق الولايات المتحدة

1. في مدخل Microsoft Azure، في Search resources, services, and docs (G+/)، أدخل بوابة الشبكة المحلية. حدد موقع بوابة الشبكة المحلية ضمن Marketplace في نتائج البحث وحددها لفتح صفحة إنشاء بوابة شبكة محلية.

2. في صفحة إنشاء بوابة شبكة محلية، في علامة التبويب أساسيات ، حدد القيم لبوابة الشبكة المحلية.

   

   • ⁧⁩Subscription⁧:⁩ يتحقق من أن الاشتراك المذكور هو الاشتراك الصحيح.
   • مجموعة الموارد: حدد مجموعة الموارد التي تريد استخدامها. يمكنك إما إنشاء مجموعة موارد جديدة، أو تحديد مجموعة أنشأتها بالفعل.
   • المنطقة: حدد المنطقة التي سيتم إنشاء هذا الكائن فيها. قد تحتاج إلى تحديد نفس الموقع حيث توجد شبكتك الظاهرية، ولكن ليس عليك القيام بذلك.
   • الاسم: حدد اسما لكائن بوابة الشبكة المحلية.
   • نقطة النهاية: حدد نوع نقطة النهاية لجهاز VPN المحلي كعنوان IP أو FQDN (اسم المجال المؤهل بالكامل).
     • عنوان IP: إذا كان لديك عنوان IP عام ثابت مخصص من موفر خدمة الإنترنت (ISP) لجهاز VPN الخاص بك، فحدد خيار عنوان IP. املأ عنوان IP كما هو موضح في المثال. هذا العنوان هو عنوان IP العام لجهاز VPN الذي تريد أن تتصل به بوابة Azure VPN. إذا لم يكن لديك عنوان IP الآن، يمكنك استخدام القيم الموضحة في المثال. لاحقا، يجب عليك العودة واستبدال عنوان IP للعنوان النائب بعنوان IP العام لجهاز VPN الخاص بك. وإلا، لا يمكن ل Azure الاتصال.
     • FQDN: إذا كان لديك عنوان IP عام ديناميكي يمكن أن يتغير بعد فترة زمنية معينة، وغالبا ما يحدده موفر خدمة الإنترنت، يمكنك استخدام اسم DNS ثابت مع خدمة DNS ديناميكية للإشارة إلى عنوان IP العام الحالي لجهاز VPN الخاص بك. تقوم بوابة Azure VPN بحل FQDN لتحديد عنوان IP العام للاتصال به.
   • مساحة العنوان: تشير مساحة العنوان إلى نطاقات العناوين للشبكة التي تمثلها هذه الشبكة المحلية. يمكنك إضافة نطاقات مساحة عنوان متعددة. تأكد من عدم تداخل النطاقات التي تحددها هنا مع نطاقات الشبكات الأخرى التي تريد الاتصال بها. يوجه Azure نطاق العنوان الذي تحدده إلى عنوان IP لجهاز VPN المحلي. استخدم القيم الخاصة بك هنا إذا كنت تريد الاتصال بموقعك المحلي، وليس القيم الموضحة في المثال.

   إشعار

   • تدعم بوابة Azure VPN عنوان IPv4 واحدا فقط لكل FQDN. إذا تم حل اسم المجال إلى عناوين IP متعددة، فإن بوابة VPN تستخدم عنوان IP الأول الذي تم إرجاعه بواسطة خوادم DNS. لإزالة عدم اليقين، نوصي بأن يتم حل FQDN دومًا إلى عنوان IPv4 واحد. IPv6 غير مدعوم.
   • تحتفظ بوابة VPN بذاكرة تخزين مؤقت DNS يتم تحديثها كل 5 دقائق. تحاول البوابة حل FQDNs للأنفاق التي تم قطع اتصالها فقط. تؤدي إعادة تعيين البوابة أيضا إلى تشغيل دقة FQDN.
   • على الرغم من أن بوابة Azure VPN تدعم اتصالات متعددة ببوابات شبكة محلية مختلفة مع FQDNs مختلفة، يجب حل جميع FQDNs إلى عناوين IP مختلفة.

3. في علامة التبويب خيارات متقدمة ، يمكنك تكوين إعدادات BGP، إذا لزم الأمر.

4. بعد تحديد القيم، حدد Review + create في أسفل الصفحة للتحقق من صحة الصفحة.

5. حدد إنشاء لإنشاء عنصر بوابة الشبكة المحلية.

تكوين جهاز VPN

تتطلب اتصالات موقع إلى موقع بشبكة محلية جهاز VPN. في هذه الخطوة، تقوم بتكوين جهاز VPN الخاص بك. عند تكوين جهاز VPN الخاص بك، فأنت بحاجة إلى القيم التالية:

• مفتاح مشترك. هذا هو نفس المفتاح المشترك الذي تحدده عند إنشاء اتصال شبكة محلية موقع إلى موقع. في أمثلتنا، نستخدم مفتاحاً مشتركاً أساسياً. نوصي بإنشاء مفتاح أكثر تعقيداً لاستخدامه.
• عنوان IP العام لبوابة الشبكة الافتراضية الخاصة بك. يمكنك عرض عنوان IP العام باستخدام مدخل Microsoft Azure أو PowerShell أو CLI. للعثور على عنوان IP العام لبوابة VPN الخاصة بك باستخدام مدخل Microsoft Azure، انتقل إلى بوابات الشبكة الظاهرية، ثم حدد اسم البوابة الخاصة بك.

اعتمادا على جهاز VPN الذي لديك، قد تتمكن من تنزيل برنامج نصي لتكوين جهاز VPN. لمزيد من المعلومات، راجع تنزيل البرامج النصية لتكوين جهاز VPN.

لمزيد من معلومات التكوين، راجع الارتباطات التالية:

• للحصول على معلومات حول أجهزة VPN المتوافقة، راجع أجهزة VPN.
• قبل تكوين جهاز VPN الخاص بك، تحقق من وجود أي مشكلات معروفة في توافق الجهاز لجهاز VPN الذي تريد استخدامه.
• للحصول على ارتباطات لإعدادات تكوين الجهاز، راجع أجهزة VPN التي تم التحقق من صحتها. يتم توفير روابط تكوين الجهاز على أساس أفضل جهد. من الأفضل دائمًا التحقق من الشركة المصنعة للجهاز للحصول على أحدث معلومات التكوين. تعرض القائمة الإصدارات التي اختبرناها. إذا لم يكن نظام التشغيل الخاص بك على تلك القائمة، فمن الممكن أن يكون الإصدار متوافق بالفعل. تحقق من الشركة المصنعة لجهازك للتحقق من توافق إصدار نظام التشغيل لجهاز VPN الخاص بك.
• للحصول على نظرة عامة حول تكوين جهاز VPN، راجع نظرة عامة على تكوينات جهاز VPN لجهة خارجية.
• للحصول على معلومات حول تحرير نماذج تكوين الجهاز، راجع تحرير العينات.
• للحصول على متطلبات التشفير، راجع حول متطلبات التشفير وبوابات Azure VPN.
• للحصول على معلومات حول معلمات IPsec/IKE، راجع حول أجهزة VPN ومعلمات IPsec/IKE لاتصالات بوابة VPN من موقع إلى موقع. يعرض هذا الارتباط معلومات حول إصدار IKE ومجموعة Diffie-Hellman وطريقة المصادقة وخوارزميات التشفير والتجزئة ومدة بقاء SA وPFS وDPD، بالإضافة إلى معلومات المعلمات الأخرى التي تحتاجها لإكمال التكوين الخاص بك.
• للحصول على خطوات تكوين نهج IPsec/IKE، راجع تكوين نهج IPsec/IKE لاتصالات VPN من موقع إلى موقع أو VNet-to-VNet.
• لتوصيل أجهزة VPN متعددة مستندة إلى النهج، راجع الاتصال بوابات Azure VPN إلى العديد من أجهزة VPN المحلية المستندة إلى النهج باستخدام PowerShell.

تكوين اتصال

قم بإنشاء اتصال الشبكة الظاهرية الخاصة من موقع إلى موقع بين بوابة الشبكة الظاهرية الخاصة بك وجهاز VPN المحلي.

إنشاء اتصال باستخدام القيم التالية:

• اسم بوابة الشبكة المحلية: Site1
• اسم الاتصال: VNet1toSite1
• المفتاح المشترك: في هذا المثال، نستخدم abc123. ولكن، يمكنك استخدام كل ما هو متوافق مع أجهزة VPN الخاصة بك. الشيء المهم هو أن القيم تتطابق على جانبي الاتصال.

1. انتقل إلى الشبكة الظاهرية الخاص بك. في صفحة الشبكة الظاهرية، في الجزء الأيمن، حدد الأجهزة الاتصال. حدد موقع بوابة VPN الخاصة بك وحددها لفتحها.

2. في صفحة العبارة، حدد الاتصالات.

3. في أعلى صفحة الاتصال ions، حدد + Add لفتح صفحة Create connection.

   

4. في صفحة Create connection ، في علامة التبويب Basics ، قم بتكوين قيم الاتصال:

   • ضمن تفاصيل المشروع، حدد الاشتراك ومجموعة الموارد حيث توجد مواردك.

   • ضمن تفاصيل المثيل، قم بتكوين الإعدادات التالية:

     • نوع الاتصال: حدد من موقع إلى موقع (IPSec).
     • الاسم: اسم الاتصال الخاص بك.
     • المنطقة: حدد المنطقة لهذا الاتصال.

5. حدد علامة التبويب الإعدادات وقم بتكوين القيم التالية:

   

   • بوابة الشبكة الظاهرية: حدد بوابة الشبكة الظاهرية من القائمة المنسدلة.
   • بوابة الشبكة المحلية: حدد بوابة الشبكة المحلية من القائمة المنسدلة.
   • المفتاح المشترك: يجب أن تتطابق القيمة هنا مع القيمة التي تستخدمها لجهاز VPN المحلي. إذا لم يظهر هذا الحقل على صفحة المدخل، أو كنت تريد تحديث هذا المفتاح لاحقا، يمكنك القيام بذلك بمجرد إنشاء كائن الاتصال. انتقل إلى كائن الاتصال الذي قمت بإنشائه (اسم المثال: VNet1toSite1) وقم بتحديث المفتاح في صفحة المصادقة .
   • بروتوكول IKE: حدد IKEv2.
   • استخدام عنوان IP الخاص ب Azure: لا تحدد.
   • تمكين BGP: لا تحدد.
   • FastPath: لا تحدد.
   • نهج IPsec/IKE: حدد Default.
   • استخدام محدد حركة المرور المستندة إلى النهج: حدد تعطيل.
   • مهلة DPD بالثواني: حدد 45.
   • وضع الاتصال: حدد افتراضي. يستخدم هذا الإعداد لتحديد البوابة التي يمكنها بدء الاتصال. لمزيد من المعلومات، راجع إعدادات بوابة VPN - أوضاع الاتصال.

6. بالنسبة إلى اقترانات قواعد NAT، اترك كلا من الدخول والخروجك 0 محددين.

7. حدد Review + create للتحقق من صحة إعدادات الاتصال.

8. حدد إنشاء لإنشاء الاتصال.

9. بعد الانتهاء من النشر، يمكنك عرض الاتصال على صفحة الاتصال ions لبوابة الشبكة الظاهرية. تتغير الحالة من غير معروف إلى الاتصال ثم إلى ناجح.

عرض اتصال VPN والتحقق منه

في مدخل Azure، يمكنك عرض حالة اتصال بوابة VPN عن طريق الانتقال إلى الاتصال. توضح الخطوات التالية طريقة واحدة للانتقال إلى الاتصال والتحقق.

1. في قائمة مدخل Microsoft Azure، حدد All resources أو ابحث عن All resources وحددها من أي صفحة.
2. حدد بوابة الشبكة الظاهرية.
3. في جزء بوابة الشبكة الظاهرية، حدد الاتصال. يمكنك الاطلاع على حالة كل اتصال.
4. حدد اسم الاتصال الذي تريد التحقق منه لفتح Essentials. في جزء Essentials ، يمكنك عرض مزيد من المعلومات حول اتصالك. الحالة ناجحة الاتصال بعد إجراء اتصال ناجح.

إزالة اتصال

1. في المدخل، انتقل إلى صفحة الاتصال ions الخاصة ببوابة VPN.
2. انقر فوق الاتصال الذي تريد إزالته. يؤدي ذلك إلى فتح صفحة الاتصال.
3. انقر فوق حذف لإزالة الاتصال.

الخطوات التالية

لمزيد من المعلومات حول تكوينات بوابة VPN من موقع إلى موقع، راجع البرنامج التعليمي: تكوين بوابة VPN من موقع إلى موقع.