إنشاء اتصال VPN من موقع إلى موقع - مصادقة المفتاح المشترك - Azure CLI

توضح هذه المقالة كيفية استخدام Azure CLI لإنشاء اتصال بوابة VPN من موقع إلى موقع (S2S) من شبكتك المحلية إلى شبكة ظاهرية. يمكنك أيضا إنشاء هذا التكوين باستخدام أداة نشر مختلفة عن طريق تحديد خيار مختلف من القائمة التالية:

مقالة رسم تخطيطي للاتصال عبر المواقع المشتركة لبوابة VPN من موقع إلى موقع ل CLI.

يتم استخدام اتصال بوابة VPN من موقع إلى موقع لتوصيل شبكتك المحلية بشبكة Azure الظاهرية عبر نفق VPN IPsec/IKE (IKEv1 أو IKEv2). تعرف على كيفية استخدام Azure Virtual WAN لإنشاء اتصال VPN من موقع إلى موقع بـ Azure. لمزيد من التفاصيل حول بوابات VPN، راجع حول بوابة VPN.

قبل البدء

تحقق من أن بيئتك تفي بالمعايير التالية قبل بدء التكوين:

  • لديك حساب Azure مع اشتراك نشط. إذا لم يكن لديك مثل هذا الحساب، فيمكنك إنشاء واحد مجانًا.
  • إذا لم تكن على دراية بنطاقات عناوين IP الموجودة في تكوين شبكتك المحلية، فأنت بحاجة إلى التنسيق مع شخص يمكنه توفير هذه التفاصيل لك. عند إنشاء هذا التكوين، يجب تحديد بادئات نطاق عناوين IP التي يوجهها Azure إلى موقعك المحلي. لا يمكن أن تتداخل أي من الشبكات الفرعية للشبكة المحلية مع الشبكات الفرعية للشبكة الظاهرية التي تريد الاتصال بها.
  • أجهزة VPN:
    • تأكد من أن لديك جهاز VPN متوافقا وشخصا يمكنه تكوينه. لمزيد من المعلومات حول أجهزة VPN المتوافقة وتكوين الجهاز، راجع حول أجهزة VPN.
    • تحقق مما إذا كان جهاز VPN يدعم بوابات الوضع النشط-النشط. تنشئ هذه المقالة بوابة VPN في الوضع النشط-النشط، والتي يوصى بها للاتصال عالي التوفر. يحدد الوضع النشط-النشط أن كلا مثيلي الجهاز الظاهري للبوابة نشطان. يتطلب هذا الوضع عنواني IP عامين، واحد لكل مثيل VM للبوابة. يمكنك تكوين جهاز VPN للاتصال بعنوان IP لكل مثيل جهاز ظاهري للبوابة.
      إذا كان جهاز VPN الخاص بك لا يدعم هذا الوضع، فلا تقم بتمكين هذا الوضع للبوابة الخاصة بك. لمزيد من المعلومات، راجع تصميم اتصال عالي التوفر لاتصالات الشبكات المشتركة واتصالات VNet إلى VNet وحول بوابات VPN في الوضع النشط-النشط.
  • تتطلب هذه المقالة الإصدار 2.0 أو أحدث من Azure CLI. إذا كنت تستخدم Azure Cloud Shell، يتم تثبيت أحدث إصدار بالفعل.

تسجيل الدخول إلى الاشتراك

إذا اخترت تشغيل CLI محلياً، فاتصل باشتراكك. إذا كنت تستخدم Azure Cloud Shell في المتصفح، فلن تحتاج إلى الاتصال باشتراكك. ومع ذلك، قد تحتاج إلى التحقق من أنك تستخدم الاشتراك الصحيح بعد الاتصال.

سجل الدخول إلى اشتراكك في Azure باستخدام الأمر az login واتبع الإرشادات التي تظهر على الشاشة. لمزيد من المعلومات حول تسجيل الدخول، راجع بدء العمل باستخدام Azure CLI.

az login

إذا كان لديك أكثر من اشتراك Azure واحد، فقم بإدراج اشتراكات الحساب.

az account list --all

حدد الاشتراك المراد استخدامه.

az account set --subscription <replace_with_your_subscription_id>

إنشاء مجموعة موارد

ينشئ المثال التالي مجموعة موارد تسمى TestRG1 في موقع "eastus". إذا كان لديك بالفعل مجموعة موارد في المنطقة التي تريد إنشاء شبكتك الظاهرية، يمكنك استخدام هذه المجموعة بدلا من ذلك.

az group create --name TestRG1 --location eastus

إنشاء شبكة ظاهرية

إذا لم تكن لديك بالفعل شبكة ظاهرية، فأنشئ واحدة باستخدام الأمر az network vnet create. عند إنشاء شبكة اتصال ظاهرية، تأكد من أن مسافات العناوين التي تحددها لا تتداخل مع أي من مسافات العناوين الموجودة على الشبكة المحلية.

إشعار

لكي تتصل هذه الشبكة الظاهرية بموقع محلي، تحتاج إلى التنسيق مع مسؤول الشبكة المحلي الخاص بك لنحت نطاق عنوان IP الذي يمكنك استخدامه خصيصا لهذه الشبكة الظاهرية. إذا تكرر نطاق عنوان IP في كل من جانبي اتصال VPN، فلن تُوجه نسبة استخدام الشبكة على النحو الذي تتوقعه. بالإضافة إلى ذلك، إذا كنت تريد توصيل هذه الشبكة الظاهرية بشبكة ظاهرية أخرى، لا يمكن أن تتداخل مساحة العنوان مع شبكة ظاهرية أخرى. احرص على تخطيط تكوين الشبكة وفقًا لذلك.

ينشئ المثال التالي شبكة ظاهرية تسمى "VNet1" وشبكة فرعية، "الشبكة الفرعية1".

az network vnet create --name VNet1 --resource-group TestRG1 --address-prefix 10.1.0.0/16 --location eastus --subnet-name Subnet1 --subnet-prefix 10.1.0.0/24

أنشئ بوابة الشبكة الفرعية

يتم نشر موارد بوابة الشبكة الظاهرية إلى شبكة فرعية معينة تسمى GatewaySubnet. الشبكة الفرعية للبوابة هي جزء من نطاق عنوان IP للشبكة الظاهرية الذي تحدده عند تكوين الشبكة الظاهرية.

إذا لم يكن لديك شبكة فرعية تسمى GatewaySubnet، عند إنشاء بوابة VPN الخاصة بك، فإنها تفشل. نوصي بإنشاء شبكة فرعية للبوابة تستخدم /27 (أو أكبر). على سبيل المثال، /27 أو /26. لمزيد من المعلومات، راجع إعدادات بوابة VPN - الشبكة الفرعية للبوابة.

استخدم الأمر az network vnet subnet create لإنشاء الشبكة الفرعية للبوابة.

az network vnet subnet create --address-prefix 10.1.255.0/27 --name GatewaySubnet --resource-group TestRG1 --vnet-name VNet1

هام

مجموعات أمان الشبكة (NSGs) على الشبكة الفرعية للبوابة غير مدعومة. قد يؤدي إقران مجموعة أمان الشبكة بهذه الشبكة الفرعية إلى توقف بوابة الشبكة الظاهرية (VPN وبوابات ExpressRoute) عن العمل كما هو متوقع. لمزيد من المعلومات حول مجموعات أمان الشبكة، راجع ما هي مجموعة أمان الشبكة؟

إنشاء بوابة الشبكة المحلية

تشير بوابة الشبكة المحلية عادةً إلى موقعك المحلي. أنت تعطي الموقع اسماً يمكن لـ Azure الرجوع إليه، ثم تحديد عنوان IP لجهاز شبكة ظاهرية خاصة محلي الذي ستنشئ اتصالاً به. يمكنك أيضًا تحديد بادئات عنوان IP المقرر توجيهها من خلال بوابة VPN إلى جهاز VPN. بادئات العنوان التي تحددها هي البادئات الموجودة على الشبكة المحلية الخاصة بك. إذا تغيرت شبكتك المحلية، يمكنك بسهولة تحديث البادئات.

استخدم القيم التالية:

  • يمثل --gateway-ip-address عنوان IP لجهاز VPN المحلي لديك.
  • تشير --local-address-prefixes إلى مساحات العناوين المحلية لديك.

استخدم الأمر az network-gateway create local gateway لإضافة بوابة شبكة محلية ذات بادئات عناوين متعددة:

az network local-gateway create --gateway-ip-address 203.0.133.8 --name Site1 --resource-group TestRG1 --local-address-prefixes 192.168.1.0/24 192.168.3.0/24

طلب عنوان IP عام

يجب أن تحتوي بوابة VPN على عنوان IP عام. إذا كنت ترغب في إنشاء بوابة نشطة-نشطة (مستحسن)، فيجب عليك طلب عنواني IP عامين. لمزيد من المعلومات حول تكوينات البوابة النشطة-النشطة، راجع طلب مورد عنوان IP أولا، ثم الرجوع إليه عند إنشاء بوابة الشبكة الظاهرية. يتم تعيين عنوان IP للمورد عند إنشاء بوابة VPN. المرة الوحيدة التي يتغير فيها عنوان IP العام هي عندما يتم حذف البوابة وإعادة إنشائها. لا يتغير عبر تغيير الحجم أو إعادة التعيين أو الصيانة الداخلية الأخرى/ترقيات بوابة VPN الخاصة بك. إذا كنت ترغب في إنشاء بوابة VPN باستخدام SKU للبوابة الأساسية، فاطلب عنوان IP عاما بالقيم --allocation-method Dynamic --sku Basicالتالية .

استخدم الأمر az network public-ip create لطلب عنوان IP عام.

az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

لإنشاء بوابة نشطة-نشطة (مستحسن)، اطلب عنوان IP عاما ثانيا:

az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

إنشاء بوابة VPN

إنشاء بوابة VPN للشبكة الظاهرية. قد يستغرق إنشاء بوابة 45 دقيقة أو أكثر، اعتماداً على بوابة SKU المحددة.

استخدم القيم التالية:

  • نوع البوابة --لتكوين من موقع إلى موقع هو Vpn. نوع البوابة دائما خاص بالتكوين الذي تقوم بتنفيذه. لمزيد من المعلومات، راجع أنواع البوابة.
  • نوع --vpn هو RouteBased.
  • حدد SKU للبوابة التي تريد استخدامها. هناك قيود التكوين لبعض وحدات SKU معينة. لمزيدٍ من المعلومات، يُرجى مراجعة Gateway SKUs.

قم بإنشاء بوابة VPN باستخدام الأمر إنشاء az network vnet-gateway. إذا قمت بتشغيل هذا الأمر باستخدام المعلمة "--no-wait"، فلن ترى أي ملاحظات أو مخرجات. تسمح هذه المعلمة للبوابة للإنشاء في الخلفية. يستغرق إنشاء بوابة 45 دقيقة أو أكثر، اعتمادا على SKU.

بوابة الوضع النشط-النشط

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

بوابة وضع الاستعداد النشط

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

تكوين جهاز VPN

تتطلب اتصالات موقع إلى موقع بشبكة محلية جهاز VPN. في هذه الخطوة، تقوم بتكوين جهاز VPN الخاص بك. عند تكوين جهاز VPN الخاص بك، تحتاج إلى القيم التالية:

  • المفتاح المشترك: هذا المفتاح المشترك هو نفس المفتاح الذي تحدده عند إنشاء اتصال VPN من موقع إلى موقع. في أمثلتنا، نستخدم مفتاحا مشتركا بسيطا. نوصي بإنشاء مفتاح أكثر تعقيداً لاستخدامه.

  • عناوين IP العامة لمثيلات بوابة الشبكة الظاهرية: احصل على عنوان IP لكل مثيل جهاز ظاهري. إذا كانت بوابتك في الوضع النشط-النشط، فسيكون لديك عنوان IP لكل مثيل جهاز ظاهري للبوابة. تأكد من تكوين جهازك باستخدام عنواني IP، واحد لكل جهاز ظاهري للبوابة النشطة. تحتوي بوابات وضع الاستعداد النشط على عنوان IP واحد فقط.

    إشعار

    بالنسبة لاتصالات S2S مع بوابة VPN في الوضع النشط-النشط، تأكد من إنشاء أنفاق لكل مثيل جهاز ظاهري للبوابة. إذا قمت بإنشاء نفق لمثيل VM لبوابة واحدة فقط، فسيتعطل الاتصال أثناء الصيانة. إذا كان جهاز VPN الخاص بك لا يدعم هذا الإعداد، فكون بوابتك لوضع الاستعداد النشط بدلا من ذلك.

    للعثور على عنوان IP العام لبوابة الشبكة الظاهرية، استخدم الأمر az network-public-ip list. لسهولة القراءة، يتم تنسيق الإخراج لعرض قائمة عناوين IP العامة بتنسيق جدول.

    az network public-ip list --resource-group TestRG1 --output table
    

اعتمادا على جهاز VPN الذي لديك، قد تتمكن من تنزيل برنامج نصي لتكوين جهاز VPN. لمزيد من المعلومات، راجع تنزيل البرامج النصية لتكوين جهاز VPN.

توفر الارتباطات التالية المزيد من معلومات التكوين:

  • للحصول على معلومات حول أجهزة VPN المتوافقة، راجع حول أجهزة VPN.

  • قبل تكوين جهاز VPN الخاص بك، تحقق من وجود أي مشكلات معروفة في توافق الجهاز.

  • للحصول على ارتباطات لإعدادات تكوين الجهاز، راجع أجهزة VPN التي تم التحقق من صحتها. نحن نقدم ارتباطات تكوين الجهاز على أساس أفضل جهد، ولكن من الأفضل دائما التحقق من الشركة المصنعة للجهاز للحصول على أحدث معلومات التكوين.

    تعرض القائمة الإصدارات التي اختبرناها. إذا لم يكن إصدار نظام التشغيل لجهاز VPN الخاص بك مدرجا في القائمة، فقد يظل متوافقا. تحقق من الشركة المصنعة لجهازك.

  • للحصول على معلومات أساسية حول تكوين جهاز VPN، راجع نظرة عامة على تكوينات جهاز VPN الشريك.

  • للحصول على معلومات حول تحرير نماذج تكوين الجهاز، راجع تحرير العينات.

  • للحصول على متطلبات التشفير، راجع حول متطلبات التشفير وبوابات Azure VPN.

  • للحصول على معلومات حول المعلمات التي تحتاجها لإكمال التكوين الخاص بك، راجع معلمات IPsec/IKE الافتراضية. تتضمن المعلومات إصدار IKE، ومجموعة Diffie-Hellman (DH)، وطريقة المصادقة، وخوارزميات التشفير والتجزئة، ومدة بقاء اقتران الأمان (SA)، وسرية إعادة التوجيه المثالية (PFS)، والكشف عن الأقران الميت (DPD).

  • للحصول على خطوات تكوين نهج IPsec/IKE، راجع تكوين نهج اتصال IPsec/IKE المخصصة ل S2S VPN وVNet-to-VNet.

  • لتوصيل أجهزة VPN متعددة مستندة إلى النهج، راجع توصيل بوابة VPN بأجهزة VPN متعددة مستندة إلى النهج المحلي.

إنشاء اتصال VPN

إنشاء اتصال VPN من موقع إلى موقع بين بوابة الشبكة الظاهرية وجهاز VPN المحلي. انتبه بشكل خاص إلى قيمة المفتاح المشترك، التي يجب أن تتطابق مع قيمة المفتاح المشترك المكون لجهاز VPN لديك.

أنشئ الاتصال باستخدام الأمر az network vpn-connection create. قم بإنشاء اتصالات إضافية إذا كنت تقوم بإنشاء تكوين بوابة متوفر بشكل كبير مثل الوضع النشط-النشط.

az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1

بعد فترة قصيرة، سيتم تأسيس الاتصال.

التحقق من اتصال VPN

يمكنك التحقق من نجاح اتصالك باستخدام الأمر az network-vpn-connection show. في المثال، يشير '--name' إلى اسم الاتصال الذي تريد اختباره. عندما يكون الاتصال في طور الإنشاء، تعرض حالة الاتصال الخاصة به "قيد الاتصال". بمجرد إنشاء الاتصال، تتغير الحالة إلى "متصل". عدل المثال التالي بقيم بيئتك.

az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>

إذا كنت تريد استخدام طريقة أخرى للتحقق من اتصالك، فراجع التحقق من اتصال بوابة VPN.

المهام المشتركة

يحتوي هذا القسم على أوامر شائعة مفيدة عند العمل مع تكوينات من موقع إلى موقع. للحصول على القائمة الكاملة لأوامر شبكة CLI، راجع Azure CLI - الشبكات.

لعرض بوابات الشبكة المحلية

لعرض قائمة ببوابات الشبكة المحلية، استخدم الأمر az network-gateway list.

az network local-gateway list --resource-group TestRG1

لتعديل بادئات عنوان IP لبوابة الشبكة المحلية - لا يوجد اتصال بوابة

إذا لم يكن لديك اتصال بوابة وتريد إضافة بادئات عنوان IP أو إزالتها، فستستخدم نفس الأمر الذي تستخدمه لإنشاء بوابة الشبكة المحلية، az network local-gateway create. يمكنك أيضًا استخدام هذا الأمر لتحديث عنوان IP للبوابة لجهاز VPN. للكتابة فوق الإعدادات الحالية، استخدم الاسم الحالي لبوابة الشبكة المحلية. إذا كنت تستخدم اسمًا مختلفًا، يمكنك إنشاء بوابة شبكة محلية جديدة، بدلًا من الكتابة فوق البوابة الموجودة.

في كل مرة تقوم فيها بإجراء تغيير، يجب تحديد قائمة البادئات بأكملها، وليس فقط البادئات التي تريد تغييرها. حدد البادئات التي تريد الاحتفاظ بها فقط. في هذه الحالة، 10.0.0.0/24 و20.0.0.0/24

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 20.0.0.0/24

لتعديل بادئات عنوان IP لبوابة الشبكة المحلية - يوجد اتصال بوابة

إذا كان لديك اتصال بوابة وتريد إضافة بادئات عنوان IP أو إزالتها، يمكنك تحديث البادئات باستخدام az network local-gateway update. يؤدي هذا الإجراء إلى إحداث وقت تعطل لاتصال VPN لديك. عند تعديل بادئات عنوان IP، لن تحتاج إلى حذف بوابة VPN.

في كل مرة تقوم فيها بإجراء تغيير، يجب تحديد قائمة البادئات بأكملها، وليس فقط البادئات التي تريد تغييرها. في هذا المثال، 10.0.0.0/24 و20.0.0.0/24 موجودان بالفعل. نضيف البادئات 30.0.0.0/24 و40.0.0.0/24، ونحدد جميع البادئات الأربع عند التحديث.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 20.0.0.0/24 30.0.0.0/24 40.0.0.0/24 --name VNet1toSite2 -g TestRG1

لتعديل بوابة الشبكة المحلية "gatewayIpAddress"

إذا كان جهاز VPN الذي تريد الاتصال به قام بتغيير عنوان IP العام، فأنت بحاجة إلى تعديل بوابة الشبكة المحلية لتعكس هذا التغيير. يمكن تغيير عنوان IP للبوابة دون إزالة اتصال بوابة VPN موجود (إذا كان لديك واحد). لتعديل عنوان IP للبوابة، استبدل القيم "Site2" و"TestRG1" بالقيمة الخاصة بك باستخدام أمر az network local-gateway update.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

تحقق من صحة عنوان IP في الإخراج:

"gatewayIpAddress": "23.99.222.170",

للتحقق من صحة قيم المفاتيح المشتركة

تحقق من أن قيمة المفتاح المشترك هي نفس القيمة التي استخدمتها لتكوين جهاز VPN. إذا لم يكن كذلك، فقم إما بتشغيل الاتصال مرة أخرى باستخدام القيمة من الجهاز، أو قم بتحديث الجهاز بالقيمة من النتيجة المرتجعة. يجب أن تتطابق القيم. لعرض المفتاح المشترك، استخدم az network vpn-connection-list.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

لعرض عنوان IP العام لبوابة VPN

للعثور على عنوان IP العام لبوابة الشبكة الظاهرية، استخدم الأمر az network-public-ip list. لسهولة القراءة، يتم تنسيق الإخراج لعرض قائمة عناوين IP العامة بتنسيق جدول.

az network public-ip list --resource-group TestRG1 --output table

الخطوات التالية

  • للحصول على معلومات حول BGP، راجع نظرة عامة على BGP وكيفية تكوين BGP.
  • للحصول على معلومات حول النفق المفروض، راجع حول النفق المفروض.
  • للحصول على معلومات حول الاتصالات النشطة-النشطة المتوفرة بشكل كبير، راجع الاتصال عبر المباني واتصال VNet-to-VNet المتوفر بشكل كبير.
  • للحصول على قائمة بأوامر Azure CLI للشبكة، راجع Azure CLI.
  • للحصول على معلومات حول إنشاء اتصال VPN من موقع إلى موقع باستخدام قالب Azure Resource Manager، راجع إنشاء اتصال VPN من موقع إلى موقع.
  • للحصول على معلومات حول إنشاء اتصال VNet-to-VNet VPN باستخدام قالب Azure Resource Manager، راجع نشر النسخ المتماثل الجغرافي ل HBase.