الأسئلة المتداولة عن بوابة VPN

مقالة
03/26/2024

الاتصال بالشبكات الظاهرية

هل يمكنني توصيل الشبكات الظاهرية في مناطق Azure المختلفة؟

نعم. لا توجد منطقة محددة. يمكن لشبكة ظاهرية واحدة الاتصال بشبكة ظاهرية أخرى في نفس المنطقة، أو في منطقة Azure مختلفة.

هل يمكنني توصيل الشبكات الظاهرية في اشتراكات مختلفة؟

نعم.

هل يمكنني تحديد خوادم DNS خاصة في VNet الخاص بي عند تكوين بوابة VPN؟

إذا حددت خادم DNS أو خوادم عند إنشاء الشبكة الظاهرية، فإن بوابة VPN تستخدم خوادم DNS التي حددتها. إذا قمت بتحديد خادم DNS، فتحقق من أن خادم DNS يمكنه حل أسماء المجالات المطلوبة لـ Azure.

هل يمكنني الاتصال بمواقع متعددة من شبكة ظاهرية واحدة؟

يمكنك الاتصال بمواقع متعددة باستخدام Windows PowerShell وواجهات برمجة تطبيقات Azure REST. راجع قسم الأسئلة المتداولة حول multi-site وVNet-to-VNet الاتصال ivity.

هل هناك تكلفة إضافية لإعداد بوابة VPN كنشطة ونشطة؟

‏‏لا. ومع ذلك، سيتم فرض رسوم على أي عناوين IP عامة إضافية وفقا لذلك. راجع تسعير عنوان IP.

ما هي خيارات الاتصال عبر المباني الخاصة بي؟

يتم دعم اتصالات بوابة الشبكة الظاهرية عبر المباني التالية:

Site-to-site: شبكة ظاهرية خاصة (VPN) عبر أمان برتوكول الإنترنت (IPsec) (مفتاح إنترنت التبادلي (IKE) الإصدار 1 ومفتاح إنترنت التبادلي (IKE) الإصدار 2). يتطلب هذا النوع من الاتصال جهاز VPN أو RRAS. لمزيد من المعلومات، راجع Site-to-site.
نقطة إلى موقع: شبكة ظاهرية خاصة (VPN) عبر SSTP (بروتوكول نفق مأخذ التوصيل الآمن) أو مفتاح إنترنت التبادلي (IKE) الإصدار 2. لا يتطلب هذا الاتصال شبكة ظاهرية خاصة (VPN). لمزيد من المعلومات، راجع Point-to-site.
VNet-to-VNet: هذا النوع من الاتصال هو نفس تكوين موقع إلى موقع. VNet إلى VNet هو اتصال VPN عبر IPsec (IKE v1 وIKE v2). لا يتطلب جهاز شبكة ظاهرية خاصة (VPN). لمزيد من المعلومات، راجع VNet-to-VNet.
ExpressRoute: ExpressRoute هو اتصال خاص ب Azure من شبكة WAN الخاصة بك، وليس اتصال VPN عبر الإنترنت العام. لمزيد من المعلومات، راجع نظرة عامة على ExpressRoute الفنية والأسئلة المتداولة حول ExpressRoute.

لمزيد من المعلومات حول اتصالات بوابة VPN، راجع حول بوابة VPN.

ما الفرق بين الاتصال من موقع إلى موقع والاتصال من نقطة إلى موقع؟

Site-to-site (IPsec/IKE VPN tunnel) هي تكوينات بين موقعك المحلي وAzure. وهذا يعني أنه يمكنك الاتصال من أي من أجهزة الكمبيوتر الموجودة في المبنى الخاص بك إلى أي جهاز ظاهري أو مثيل دور داخل شبكتك الظاهرية، اعتمادًا على الطريقة التي تختار بها تكوين التوجيه والأذونات. إنه خيار رائع للاتصال عبر المباني المتوفر دائمًا وهو مناسب تماما للتكوينات المختلطة. يعتمد هذا النوع من الاتصال على جهاز IPsec VPN (جهاز أو جهاز مبدئي)، والذي يجب توزيعه على حافة شبكتك. لإنشاء هذا النوع من الاتصال، يجب أن يكون لديك عنوان IPv4 مواجه للخارج.

تتيح لك تكويناتPoint-to-site (شبكة ظاهرية خاصة (VPN) عبر SSTP) الاتصال من كمبيوتر واحد من أي مكان إلى أي شيء موجود في شبكتك الظاهرية. يستخدم Windows عميل VPN داخل الصندوق. كجزء من تكوين نقطة إلى موقع، تقوم بتثبيت شهادة وحزمة تكوين عميل VPN، والتي تحتوي على الإعدادات التي تسمح لجهاز الكمبيوتر الخاص بك بالاتصال بأي جهاز ظاهري أو مثيل دور داخل الشبكة الظاهرية. إنه أمر رائع عندما تريد الاتصال بشبكة افتراضية، ولكن لا توجد في مكان العمل. إنه أيضاً خيار جيد عندما لا يكون لديك وصول إلى أجهزة شبكة ظاهرية خاصة (VPN) أو عنوان IPv4 خارجي، وكلاهما مطلوب للاتصال من موقع إلى موقع.

يمكنك تكوين شبكتك الظاهرية لاستخدام كل من موقع إلى موقع ومن نقطة إلى موقع في نفس الوقت، طالما أنك تقوم بإنشاء اتصال من موقع إلى موقع باستخدام نوع شبكة ظاهرية خاصة (VPN) يعتمد على المسار للبوابة الخاصة بك. تسمى أنواع VPN المستندة إلى المسار بالبوابات الديناميكية في نموذج التوزيع الكلاسيكي.

الخصوصية

هل تقوم خدمة VPN بتخزين بيانات العملاء أو معالجتها؟

‏‏لا.

بوابات شبكة ظاهرية

هل بوابة VPN هي بوابة شبكة ظاهرية؟

تعد بوابة VPN نوعًا من بوابة شبكة افتراضية. ترسل بوابة VPN حركة مرور مشفرة بين شبكتك الظاهرية وموقعك المحلية عبر اتصال عام. يمكنك أيضًا استخدام بوابة VPN لإرسال حركة المرور بين الشبكات الظاهرية. عند إنشاء بوابة VPN، يمكنك استخدام قيمة -GatewayType 'Vpn. لمزيد من المعلومات، راجع حول إعدادات تكوين بوابة VPN.

لماذا لا يمكنني تحديد أنواع VPN المستندة إلى النهج والمستندة إلى المسار؟

اعتبارا من 1 أكتوبر 2023، لا يمكنك إنشاء بوابة VPN مستندة إلى النهج من خلال مدخل Microsoft Azure. سيتم إنشاء جميع بوابات VPN الجديدة تلقائيا كقاعدة توجيه. إذا كان لديك بالفعل بوابة مستندة إلى النهج، فلن تحتاج إلى ترقية البوابة إلى مستندة إلى التوجيه. يمكنك استخدام Powershell/CLI لإنشاء البوابات المستندة إلى النهج.

في السابق، لم تكن وحدات SKU القديمة للبوابة تدعم IKEv1 للبوابات المستندة إلى المسار. الآن، تدعم معظم وحدات SKU للبوابة الحالية كلا من IKEv1 وIKEv2.

نوع Gateway VPN	بوابة SKU	إصدارات IKE المدعومة
البوابة المستندة إلى النهج	أساسي	IKEv1
البوابة المستندة إلى المسار	أساسي	الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي)
البوابة المستندة إلى المسار	VpnGw1، VpnGw2، VpnGw3، VpnGw4، VpnGw5	IKEv1 و IKEv2
البوابة المستندة إلى المسار	VpnGw1AZ، VpnGw2AZ، VpnGw3AZ، VpnGw4AZ، VpnGw5AZ	IKEv1 و IKEv2

هل يمكنني تحديث بوابة VPN المستندة إلى النهج الخاصة بي إلى قائمة على المسار؟

‏‏لا. لا يمكن تغيير نوع البوابة من المستندة إلى النهج إلى المستندة إلى المسار، أو من المستندة إلى المسار إلى المستندة إلى النهج. لتغيير نوع بوابة، يجب حذف البوابة وإعادة إنشائها. تستغرق هذه العملية حوالي 60 دقيقة. عند إنشاء البوابة الجديدة، لا يمكنك الاحتفاظ بعنوان IP الخاص بالبوابة الأصلية.

احذف أي اتصالات مقترنة بالبوابة.
احذف البوابة باستخدام إحدى المقالات التالية:
قم بإنشاء بوابة جديدة باستخدام نوع البوابة الذي تريده، ثم أكمل إعداد VPN. لمعرفة الخطوات، راجع البرنامج التعليمي Site-to-site.

هل يمكنني تحديد محددات نسبة استخدام الشبكة الخاصة بي المستندة إلى النهج؟

نعم، يمكن تعريف محددات نسبة استخدام الشبكة عبر السمة trafficSelectorPolicies على اتصال عبر الأمر New-AzIpsecTrafficSelectorPolicy PowerShell. لكي يدخل محدد نسبة استخدام الشبكة المحدد حيز التنفيذ، تأكد من تمكين الخيار استخدام محددات نسبة استخدام الشبكة المستندة إلى النهج.

سيتم اقتراح محددات حركة المرور التي تم تكوينها خصيصًا فقط عندما تبدأ بوابة Azure VPN الاتصال. تقبل بوابة VPN أي محددات حركة مرور مقترحة بواسطة بوابة بعيدة (جهاز VPN محلي). هذا السلوك متناسق بين كافة أوضاع الاتصال (افتراضي وبادئ فقط والمستجيب فقط).

هل أحتاج إلى «GatewaySubnet»؟

نعم. تحتوي شبكة البوابة الفرعية على عناوين IP التي تستخدمها خدمات بوابة الشبكة الظاهرية. تحتاج إلى إنشاء شبكة فرعية لبوابة للشبكة الظاهرية من أجل تكوين بوابة شبكة ظاهرية. يجب أن تسمى جميع الشبكة الفرعية للبوابات «GatewaySubnet» للعمل بشكل صحيح. لا تقم بتسمية الشبكة الفرعية للبوابة بشيء آخر. ولا تقم بنشر الأجهزة الظاهرية أو أي شيء آخر على الشبكة الفرعية للبوابة.

عند إنشاء الشبكة الفرعية للبوابة، يمكنك تحديد عدد عناوين بروتوكولات الإنترنت التي تحتوي عليها الشبكة الفرعية. يتم تخصيص عناوين IP في شبكة البوابة الفرعية لخدمة البوابة. تتطلب بعض التكوينات تخصيص المزيد من عناوين IP لخدمات البوابة أكثر من غيرها. تريد التأكد من أن شبكة البوابة الفرعية تحتوي على عناوين IP كافية لاحتواء النمو المستقبلي والتكوينات الإضافية المحتملة للاتصال الجديد. لذلك، على الرغم من أنه يمكنك إنشاء شبكة بوابة فرعية بحجم /29، نوصي بإنشاء شبكة فرعية لبوابة بحجم /27 أو أكبر (/27 و/26 و/25 وما إلى ذلك). انظر إلى متطلبات التكوين الذي تريد إنشاءه وتحقق من أن الشبكة الفرعية للبوابة لديك ستفي بهذه المتطلبات.

هل يمكنني نشر الأجهزة الظاهرية أو مثيلات الدور على الشبكة الفرعية للبوابة؟

‏‏لا.

هل يمكنني الحصول على عنوان IP الخاص ببوابة VPN قبل إنشائه؟

يجب أن تستخدم موارد IP العامة ل Azure Standard SKU طريقة تخصيص ثابتة. لذلك، سيكون لديك عنوان IP العام لبوابة الشبكة الظاهرية الخاصة بك (VPN) بمجرد إنشاء مورد IP العام لوحدة حفظ المخزون (SKU) الذي تنوي استخدامه له.

هل يمكنني طلب عنوان IP عام ثابت لبوابة VPN الخاصة بي؟

تستخدم موارد عنوان IP العام SKU القياسية أسلوب تخصيص ثابت. من الآن فصاعدا، يجب استخدام عنوان IP عام SKU قياسي عند إنشاء بوابة VPN جديدة. ينطبق هذا على جميع وحدات SKU للبوابة باستثناء SKU الأساسية. تدعم SKU للبوابة الأساسية حاليا عناوين IP العامة ل SKU الأساسية فقط. سنقوم قريبا بإضافة دعم لعناوين IP العامة SKU القياسية لوحدات SKU للبوابة الأساسية.

بالنسبة للبوابات غير المتكررة وغير المناطقية التي تم إنشاؤها مسبقا (وحدات SKU للبوابة التي لا تحتوي على AZ في الاسم)، يتم دعم تعيين عنوان IP الديناميكي، ولكن يتم التخلص منه تدريجيا. عند استخدام عنوان IP ديناميكي، لا يتغير عنوان IP بعد تعيينه إلى بوابة VPN الخاصة بك. المرة الوحيدة التي يتغير فيها عنوان IP الخاص ببوابة VPN هي عند حذف البوابة ثم إعادة إنشائها. لا يتغير عنوان IP العام لبوابة VPN عند تغيير حجم بوابة VPN أو إعادة تعيينها أو إكمال عمليات الصيانة الداخلية الأخرى والترقيات الخاصة بها.

كيف يؤثر إيقاف SKU الأساسي لعنوان IP العام على بوابات VPN الخاصة بي؟

نحن نتخذ إجراء لضمان استمرار تشغيل بوابات VPN المنشورة التي تستخدم عناوين IP العامة ل SKU الأساسية. إذا كان لديك بالفعل بوابات VPN مع عناوين IP العامة ل SKU الأساسية، فلا داعي لاتخاذ أي إجراء.

ومع ذلك، من المهم ملاحظة أنه يتم التخلص تدريجيا من عناوين IP العامة ل SKU الأساسية. من الآن فصاعدا، عند إنشاء بوابة VPN جديدة، يجب استخدام عنوان IP العام SKU القياسي. يمكن العثور على مزيد من التفاصيل حول إيقاف عناوين IP العامة ل SKU الأساسية هنا.

كيف تتم مصادقة نفق VPN الخاص بي؟

يستخدم Azure VPN مصادقة PSK (المفتاح المشترك مسبقًا). نقوم بإنشاء مفتاح مشترك مسبقًا (PSK) عندما نقوم بإنشاء نفق VPN. يمكنك تغيير PSK الذي تم إنشاؤه تلقائيًا إلى حسابك باستخدام cmdlet أو REST API تعيين المفتاح المشترك مسبقا.

هل يمكنني استخدام واجهة برمجة تطبيقات تعيين المفتاح المشترك مسبقًا لتكوين VPN لبوابة (التوجيه الثابت) المستندة إلى النهج؟

نعم، يمكن استخدام واجهة برمجة تطبيقات تعيين المفتاح المشترك مسبقًا وPowerShell cmdlet لتكوين كل من الشبكات الظاهرية الخاصة (الثابتة) المستندة إلى نهج Azure وشبكات VPN للتوجيه (الديناميكية) المستندة إلى المسار.

هل يمكنني استخدام خيارات مصادقة أخرى؟

نحن مقيدون باستخدام المفاتيح المشتركة مسبقاً (PSK) للمصادقة.

كيف أعمل تحديد نسبة استخدام الشبكة التي تمر عبر بوابة VPN؟

نموذج توزيع Resource Manager

PowerShell: استخدم «AddressPrefix» لتحديد نسبة استخدام الشبكة لبوابة الشبكة المحلية.
مدخل Microsoft Azure: انتقل إلى مساحة عنوان تكوين > بوابة > الشبكة المحلية.

نموذج التوزيع الكلاسيكي

مدخل Microsoft Azure: انتقل إلى اتصالات VPN للشبكة > الظاهرية الكلاسيكية اتصالات VPN من > موقع إلى موقع اسم > الموقع المحلي مساحة عنوان العميل للموقع > المحلي.>

هل يمكنني استخدام NAT-T على اتصالات VPN الخاصة بي؟

نعم، يتم دعم اجتياز NAT (NAT-T). لن تقوم Azure VPN Gateway بتنفيذ أي وظيفة تشبه NAT على الحزم الداخلية من/ إلى أنفاق IPsec. في هذا التكوين، تأكد من أن الجهاز المحلي يبدأ نفق IPSec.

هل يمكنني إعداد خادم VPN الخاص بي في Azure واستخدامه للاتصال بشبكتي المحلية؟

نعم، يمكنك نشر بوابات VPN أو خوادمك الخاصة في Azure إما من Azure Marketplace أو إنشاء أجهزة توجيه VPN الخاصة بك. يجب عليك تكوين المسارات المعرفة من قبل المستخدم في شبكتك الظاهرية لضمان توجيه حركة المرور بشكل صحيح بين الشبكات المحلية والشبكات الفرعية للشبكة الظاهرية.

لماذا يتم فتح منافذ معينة على بوابة الشبكة الافتراضية الخاصة بي؟

إنها مطلوبة لاتصالات البنية التحتية Azure. إنها محمية (مؤمنة) بشهادات Azure. دون الشهادات المناسبة، لن تتمكن الكيانات الخارجية، بما في ذلك عملاء تلك البوابات، من إحداث أي تأثير على نقاط النهاية هذه.

بوابة الشبكة الظاهرية هي في الأساس جهاز متعدد المنازل مع NIC واحد ينقر على الشبكة الخاصة للعميل، وNIC واحد يواجه الشبكة العامة. لا تستطيع كيانات البنية التحتية لـ Azure الاستفادة من شبكات العميل الخاصة لأسباب تتعلق بالامتثال؛ لذا فهي بحاجة إلى استخدام نقاط النهاية العامة لاتصالات البنية التحتية. يتم فحص نقاط النهاية العامة بشكل دوري بواسطة تدقيق أمان Azure.

هل يمكنني إنشاء بوابة VPN باستخدام Basic gateway SKU في المدخل؟

‏‏لا. لا يتوفر Basic SKU في المدخل. يمكنك إنشاء بوابة SKU VPN أساسية باستخدام Azure CLI أو PowerShell.

أين يمكنني العثور على معلومات حول أنواع البوابة ومتطلباتها ومعدل نقلها؟

راجع المقالات التالية:

إهمال SKU لوحدات SKU القديمة

سيتم إهمال وحدات SKU القياسية وعالية الأداء في 30 سبتمبر 2025. يمكنك عرض الإعلان هنا. سيقوم فريق المنتج بتوفير مسار ترحيل لوحدات SKU هذه بحلول 30 نوفمبر 2024. لمزيد من المعلومات، راجع مقالة وحدات SKU القديمة لبوابة VPN. في هذا الوقت، لا يوجد أي إجراء تحتاج إلى اتخاذه.

هل يمكنني إنشاء وحدة SKU قياسية/عالية الأداء جديدة بعد إعلان الإهمال في 30 نوفمبر 2023؟

‏‏لا. بدءا من 1 ديسمبر 2023، لا يمكنك إنشاء بوابات جديدة باستخدام وحدات SKU القياسية أو عالية الأداء. يمكنك إنشاء بوابات جديدة باستخدام VpnGw1 وVPNGw2 بنفس سعر وحدات SKU القياسية وعالية الأداء، المدرجة على التوالي في صفحة التسعير الخاصة بنا.

كم من الوقت سيتم دعم بواباتي الحالية على وحدات SKU القياسية/عالية الأداء؟

سيتم دعم جميع البوابات الموجودة التي تستخدم وحدات SKU القياسية أو عالية الأداء حتى 30 سبتمبر 2025.

هل أحتاج إلى ترحيل وحدات SKU لبوابة Standard/High Performance في الوقت الحالي؟

لا، لا يوجد أي إجراء مطلوب الآن. ستتمكن من ترحيل وحدات SKU بدءا من ديسمبر 2024. سنرسل الاتصال بوثائق مفصلة حول خطوات الترحيل.

إلى أي وحدة SKU يمكنني ترحيل بوابتي إليها؟

عند توفر ترحيل SKU للبوابة، يمكن ترحيل وحدات SKU كما يلي:

قياسي -> VpnGw1
أداء عال -> VpnGw2

ماذا لو أردت الترحيل إلى AZ SKU؟

لا يمكنك ترحيل SKU القديم إلى AZ SKU. ومع ذلك، لاحظ أنه سيتم ترحيل جميع البوابات التي لا تزال تستخدم وحدات SKU القياسية أو عالية الأداء بعد 30 سبتمبر 2025 وترقيتها تلقائيا إلى وحدات SKU التالية:

قياسي -> VpnGw1AZ
أداء عال -> VpnGw2AZ

يمكنك استخدام هذه الاستراتيجية لترحيل وحدات SKU الخاصة بك وترقيتها تلقائيا إلى AZ SKU. يمكنك بعد ذلك تغيير حجم SKU الخاص بك ضمن عائلة SKU هذه إذا لزم الأمر. راجع صفحة التسعير الخاصة بنا لتسعير AZ SKU. للحصول على معلومات معدل النقل بواسطة SKU، راجع حول وحدات SKU الخاصة بالبوابة.

هل سيكون هناك أي اختلاف في الأسعار للبوابات الخاصة بي بعد الترحيل؟

إذا قمت بترحيل وحدات SKU الخاصة بك بحلول 30 سبتمبر 2025، فلن يكون هناك فرق في الأسعار. يتم تقديم وحدات SKU VpnGw1 وVPNGw2 بنفس سعر وحدات SKU القياسية وعالية الأداء، على التوالي. إذا لم تقم بالترحيل بحلول ذلك التاريخ، فسيتم ترحيل وحدات SKU تلقائيا وترقيتها إلى وحدات AZ SKUs. في هذه الحالة، هناك فرق في الأسعار.

هل سيكون هناك أي تأثير على الأداء على بواباتي مع هذا الترحيل؟

نعم، يمكنك الحصول على أداء أفضل مع VpnGw1 وVPNGw2. حاليا، يوفر VpnGw1 بسرعة 650 ميغابت في الثانية 6.5x وVPNGw2 بسرعة 1 جيجابت في الثانية تحسينا في الأداء بمعدل 5 أضعاف بنفس سعر بوابات Standard القديمة وعالية الأداء، على التوالي. لمزيد من معلومات معدل نقل SKU، راجع حول وحدات SKU الخاصة بالبوابة.

ماذا يحدث إذا لم أرحل وحدات SKU بحلول 30 سبتمبر 2025؟

سيتم ترحيل جميع البوابات التي لا تزال تستخدم وحدات SKU القياسية أو عالية الأداء تلقائيا وترقية إلى وحدات AZ SKUs التالية:

قياسي -> VpnGw1AZ
أداء عال -> VpnGw2AZ

سيتم إرسال الاتصال النهائي قبل بدء الترحيل على أي بوابات.

هل سيتم إيقاف VPN Gateway Basic SKU أيضا؟

لا، VPN Gateway Basic SKU هنا للبقاء. يمكنك إنشاء بوابة VPN باستخدام SKU البوابة الأساسية عبر PowerShell أو CLI. حاليا، تدعم وحدات SKU لبوابة VPN Basic فقط مورد عنوان IP العام ل SKU الأساسي (الذي هو على مسار للإيقاف). نحن نعمل على إضافة دعم إلى بوابة VPN Gateway Basic SKU لمورد عنوان IP العام SKU القياسي.

اتصالات من موقع إلى موقع وأجهزة الشبكة الظاهرية الخاصة (VPN)

ما الذي يجب مراعاته عند اختيار جهاز VPN؟

لقد تحققنا من صحة مجموعة من أجهزة الشبكة الظاهرية الخاصة (VPN) القياسية من موقع إلى موقع بالشراكة مع بائعي الأجهزة. يمكن العثور على قائمة بأجهزة VPN المتوافقة المعروفة وإرشادات التكوين أو العينات المقابلة لها ومواصفات الجهاز في مقالة حول أجهزة VPN. يجب أن تعمل جميع الأجهزة الموجودة في عائلات الأجهزة المدرجة على أنها متوافقة معروفة مع الشبكة الظاهرية. للمساعدة في تكوين جهاز VPN الخاص بك، ارجع إلى نموذج تكوين الجهاز أو الرابط الذي يتوافق مع عائلة الجهاز المناسبة.

أين يمكنني العثور على إعدادات تكوين جهاز VPN؟

لتنزيل البرامج النصية لتكوين جهاز VPN:

اعتمادًا على جهاز الشبكة الظاهرية خاصتك، قد تتمكن من تنزيل برنامج نصي لتكوين جهاز الشبكة الظاهرية. لمزيد من المعلومات، راجع تنزيل البرامج النصية لتكوين جهاز VPN.

راجع الارتباطات التالية للحصول على معلومات تكوين إضافية:

للحصول على معلومات حول أجهزة VPN المتوافقة، راجع أجهزة VPN.
قبل تكوين جهاز VPN الخاص بك، تحقق من وجود أي مشكلات معروفة في توافق الجهاز لجهاز VPN الذي تريد استخدامه.
للحصول على ارتباطات لإعدادات تكوين الجهاز، راجع أجهزة VPN التي تم التحقق من صحتها. يتم توفير روابط تكوين الجهاز على أساس أفضل جهد. من الأفضل دائمًا التحقق من الشركة المصنعة للجهاز للحصول على أحدث معلومات التكوين. تعرض القائمة الإصدارات التي اختبرناها. إذا لم يكن نظام التشغيل الخاص بك على تلك القائمة، فمن الممكن أن يكون الإصدار متوافق بالفعل. راجع الشركة المصنعة للجهاز للتحقق من توافق إصدار نظام التشغيل لجهاز VPN.
للحصول على نظرة عامة حول تكوين جهاز VPN، راجع نظرة عامة على تكوينات جهاز VPN.
للحصول على معلومات حول تحرير نماذج تكوين الجهاز، راجع تحرير العينات.
للحصول على متطلبات التشفير، راجع حول متطلبات التشفير وبوابات Azure VPN.
للحصول على معلومات حول معلمات IPsec/IKE، راجع حول أجهزة VPN ومعلمات IPsec/IKE لاتصالات بوابة VPN من موقع إلى موقع. يعرض هذا الرابط معلومات حول إصدار IKE، ومجموعة Diffie-Hellman، وأسلوب المصادقة، وخوارزميات التشفير، وعمر SA، وPFS، وDPD، بالإضافة إلى بيانات المعلمات الأخرى التي تحتاجها لإكمال التكوين الخاص بك.
للحصول على خطوات تكوين نهج IPsec/IKE، راجع تكوين نهج IPsec/IKE لاتصالات S2S VPN أو VNet-to-VNet.
لتوصيل أجهزة VPN متعددة مستندة إلى النهج، راجع الاتصال بوابات Azure VPN إلى العديد من أجهزة VPN المحلية المستندة إلى النهج باستخدام PowerShell.

كيف أعمل تحرير عينات تكوين جهاز VPN؟

للحصول على معلومات حول تحرير نماذج تكوين الجهاز، راجع تحرير العينات.

أين يمكنني العثور على معلمات IPsec وIKE؟

للحصول على معلمات IPsec/IKE، راجع المعلمات.

لماذا ينخفض نفق VPN المستند إلى النهج عندما تكون نسبة استخدام الشبكة خاملة؟

هذا هو السلوك المتوقع لبوابات VPN المستندة إلى النهج (المعروفة أيضا باسم التوجيه الثابت). عندما تكون حركة المرور عبر النفق خامدة لأكثر من 5 دقائق، يتم هدم النفق. عندما تبدأ حركة المرور في التدفق في أي من الاتجاهين، تتم إعادة تأسيس النفق على الفور.

هل يمكنني استخدام شبكات VPN البرمجية للاتصال بـ Azure؟

نحن ندعم خوادم Windows Server 2012 Routing and Remote Access (RRAS) للتكوين عبر أماكن العمل من موقع إلى موقع.

يجب أن تعمل حلول VPN البرمجية الأخرى مع بوابتنا طالما أنها تتوافق مع تطبيقات IPsec القياسية في الصناعة. اتصل بمورد البرنامج للحصول على إرشادات التكوين والدعم.

هل يمكنني الاتصال ببوابة الشبكة الظاهرية الخاصة (VPN) عبر نقطة إلى موقع عندما تكون في موقع يحتوي على اتصال نشط من موقع إلى موقع؟

نعم، ولكن يجب أن يكون عنوان (عناوين) IP العام لعميل نقطة إلى موقع مختلفا عن عنوان (عناوين) IP العام الذي يستخدمه جهاز VPN من موقع إلى موقع، وإلا فلن يعمل الاتصال من نقطة إلى موقع. لا يمكن بدء الاتصالات من نقطة إلى موقع مع مفتاح الإنترنت التبادلي (IKE) الإصدار 2 من نفس عنوان (عناوين) IP العام حيث يتم تكوين اتصال الشبكة الظاهرية الخاصة (VPN) من موقع إلى موقع على نفس مدخل Microsoft Azure VPN.

من نقطة إلى موقع - مصادقة الشهادة

ينطبق هذا القسم على نموذج توزيع Azure Resource Manager.

كم عدد نقاط نهاية عميل الشبكة الظاهرية الخاصة (VPN) التي يمكنني الحصول عليها في تكوين نقطة إلى موقع؟

يعتمد ذلك على رمز SKU للبوابة. لمزيد من المعلومات حول عدد الاتصالات المدعومة، راجع وحدات SKU للبوابة.

ما هي أنظمة تشغيل العميل التي يمكنني استخدامها مع "نقطة إلى الموقع"؟

يتم دعم أنظمة تشغيل العميل التالية:

Windows Server 2008 R2 (64 بت فقط)
Windows 8.1 (32 بت و64 بت)
Windows Server 2012 (64 بت فقط)
Windows Server 2012 R2 (64 بت فقط)
Windows Server 2016 (64 بت فقط)
Windows Server 2019 (64 بت فقط)
Windows Server 2022 (64 بت فقط)
Windows 10
Windows 11
macOS الإصدار 10.11 أو أعلى
Linux (StrongSwan)
iOS

هل يمكنني اجتياز الوكلاء وجدران الحماية باستخدام قدرة من نقطة إلى موقع؟

يدعم Azure ثلاثة أنواع من خيارات VPN «من نقطة إلى موقع»:

بروتوكول نفق مأخذ التوصيل الآمن (SSTP). SSTP هو حل يستند إلى SSL خاص بشركة Microsoft يمكنه اختراق جدران الحماية نظرًا لأن معظم جدران الحماية تفتح منفذ TCP الصادر الذي يستخدمه 443 SSL.
VPN مفتوح. VPN المفتوح هو حل قائم على طبقة المقابس الآمنة يمكنه اختراق جدران الحماية، لأن معظم جدران الحماية تفتح منفذ TCP الصادر الذي يستخدمه 443 SSL.
IKEv2 VPN. IKEv2 VPN هو حل IPsec VPN قائم على المعايير يستخدم منافذ UDP الصادرة 500 و4500 وبروتوكول IP رقم 50. لا تفتح جدران الحماية المنافذ دائماً، لذلك هناك احتمال ألا يكون IKEv2 VPN قادرًا على اجتياز الوكلاء وجدران الحماية.

إذا قمت بإعادة تشغيل كمبيوتر عميل تم تكوينه من أجل نقطة إلى موقع، فهل سيعيد VPN الاتصال تلقائياً؟

إعادة الاتصال التلقائي هي وظيفة للعميل قيد الاستخدام. يدعم Windows إعادة الاتصال التلقائي عن طريق تكوين ميزة عميل Always On VPN.

هل تدعم النقطة إلى الموقع DDNS لعملاء VPN؟

لا يتم دعم DDNS حاليًا في شبكات VPN من نقطة إلى موقع.

هل يمكنني الحصول على تكوينات من موقع إلى موقع ومن نقطة إلى موقع تتواجد مع نفس الشبكة الظاهرية؟

نعم. بالنسبة إلى نموذج توزيع Resource Manager، يجب أن يكون لديك نوع VPN يستند إلى المسار للبوابة الخاصة بك. بالنسبة إلى نموذج التوزيع الكلاسيكي، تحتاج إلى بوابة ديناميكية. لا ندعم النقطة إلى الموقع في بوابات VPN للتوجيه الثابت أو بوابات VPN القائمة على PolicyBased.

هل يمكنني تكوين عميل من نقطة إلى موقع للاتصال ببوابات شبكة ظاهرية متعددة في الوقت نفسه؟

اعتماداً على برنامج VPN Client المستخدم، قد تتمكن من الاتصال بالعديد من «بوابات الشبكة الظاهرية» بشرط ألا تحتوي الشبكات الظاهرية التي يتم الاتصال بها على مسافات عناوين متضاربة بينها أو أن الشبكة التي منها يتصل العميل. على الرغم من أن عميل Azure VPN يدعم العديد من اتصالات VPN، فإنه يمكن توصيل اتصال واحد فقط في أي وقت.

هل يمكنني تكوين عميل "نقطة إلى موقع" للاتصال بشبكات ظاهرية متعددة في نفس الوقت؟

نعم، قد يكون لاتصالات العميل من نقطة إلى موقع ببوابة شبكة ظاهرية تم توزيعها في شبكة VNet لها نظير في شبكات VNets أخرى إمكانية للوصول إلى شبكات VNets النظيرة الأخرى. سيتمكن العملاء من نقطة إلى موقع من الاتصال بشبكات VNets ذات النظراء ما دام أن شبكات VNets تستخدم ميزات UseRemoteGateway / AllowGatewayTransit. لمزيد من المعلومات، راجع حول التوجيه من نقطة إلى موقع.

ما مقدار معدل النقل الذي يمكنني توقعه من خلال الاتصالات من موقع إلى موقع أو من نقطة إلى موقع؟

من الصعب الحفاظ على معدل النقل الدقيق لأنفاق VPN. IPsec وSSTP هما بروتوكولان VPN للتشفير الثقيل. معدل النقل محدود أيضًا بسبب زمن الوصول وعرض النطاق الترددي بين المبنى والإنترنت. بالنسبة لبوابة VPN مع اتصالات VPN من نقطة إلى موقع IKEv2 فقط، يعتمد إجمالي معدل النقل التي يمكن أن تتوقعها على Gateway SKU. لمزيد من المعلومات عن معدل النقل، يُرجى مراجعة Gateway SKUs.

هل يمكنني استخدام أي برنامج عميل VPN لنقطة إلى موقع يدعم SSTP و/ أو IKEv2؟

‏‏لا. يمكنك فقط استخدام عميل VPN الأصلي على Windows لـ SSTP، وعميل VPN الأصلي على Mac لـ IKEv2. ومع ذلك، يمكنك استخدام عميل OpenVPN على جميع الأنظمة الأساسية للاتصال عبر بروتوكول OpenVPN. ارجع إلى قائمة أنظمة تشغيل العميل المدعومة.

هل يمكن تغيير نوع المصادقة لاتصال من نقطة إلى موقع؟

نعم. في المدخل، انتقل إلى VPN gateway -> صفحة تكوين من نقطة إلى موقع. بالنسبة إلى نوع المصادقة، حدّد أنواع المصادقة التي تريد استخدامها. لاحظ أنه بعد إجراء تغيير على نوع المصادقة، قد لا يتمكن العملاء الحاليون من الاتصال حتى يتم إنشاء ملف تعريف جديد لتكوين عميل VPN، وتنزيله، وتطبيقه على كل عميل VPN.

هل يدعم Azure IKEv2 VPN مع Windows؟

يتم دعم IKEv2 على Windows 10 وServer 2016. ومع ذلك، لاستخدام IKEv2 في إصدارات معينة من نظام التشغيل، يجب عليك تثبيت التحديثات وتعيين قيمة مفتاح التسجيل محليا. إن إصدارات نظام التشغيل السابقة لـ Windows 10 غير مدعومة ويمكنها فقط استخدام SSTP أو OpenVPN® Protocol.

إشعار

لا تتطلب إصدارات أنظمة تشغيل Windows الأحدث من الإصدار 1709 من Windows 10 والإصدار 1607 من Windows Server 2016 هذه الخطوات.

لإعداد Windows 10 أو Server 2016 لـ IKEv2:

قم بتثبيت التحديث استنادًا إلى إصدار نظام التشغيل الخاص بك:

إصدار نظام التشغيل	التاريخ	الرقم/الرابط
Windows Server 2016 Windows 10 Version 1607	17 يناير 2018	KB4057142
Windows 10 Version 1703	17 يناير 2018	KB4057144
Windows 10 Version 1709	22 مارس 2018	KB4089848

عيّن قيمة مفتاح التسجيل. أنشئ أو عيّن "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD المفتاح في التسجيل إلى 1.

ما هو حد محدد نسبة استخدام الشبكة IKEv2 للاتصالات من نقطة إلى موقع؟

Windows 10 الإصدار 2004 (تم إصداره في سبتمبر 2021) من حد محدد نسبة استخدام الشبكة إلى 255. تحتوي إصدارات Windows الأقدم من ذلك على حد محدد نسبة استخدام الشبكة يبلغ 25.

يحدد الحد الأقصى لعدد محددات نسبة استخدام الشبكة في Windows الحد الأقصى لعدد مساحات العناوين في شبكتك الظاهرية والحد الأقصى لمجموع الشبكات المحلية واتصالات VNet-to-VNet ومجموعات VNets النظيرة المتصلة بالبوابة. سيفشل العملاء المستندون إلى Windows من نقطة إلى موقع في الاتصال عبر IKEv2 إذا تجاوزوا هذا الحد.

ماذا يحدث عندما أقوم بتكوين كل من SSTP وIKEv2 لاتصالات P2S VPN؟

عند تكوين كل من SSTP و IKEv2 في بيئة مختلطة (تتكون من أجهزة Windows و Mac)، سيحاول عميل Windows VPN دائماً عمل نفق IKEv2 أولاً، لكنه سيعود إلى SSTP إذا لم ينجح اتصال IKEv2. لن يتصل MacOSX إلا عبر IKEv2.

عندما يكون لديك كل من SSTP وIKEv2 ممكنين على البوابة، سيتم تقسيم تجمع عناوين من نقطة إلى موقع بشكل ثابت بين الاثنين، لذلك سيتم تعيين عناوين IP للعملاء الذين يستخدمون بروتوكولات مختلفة من أي من النطاقين الفرعيين. لاحظ أن الحد الأقصى لمقدار عملاء SSTP هو دائما 128 حتى إذا كان نطاق العناوين أكبر من /24 مما يؤدي إلى كمية أكبر من العناوين المتاحة لعملاء IKEv2. بالنسبة للنطاقات الأصغر، سيتم تخفيض التجمع إلى النصف على قدم المساواة. قد لا تتضمن محددات نسبة استخدام الشبكة المستخدمة من قبل البوابة نطاق عنوان نقطة إلى موقع CIDR، ولكن نطاقين فرعيين من CIDRs.

بخلاف Windows وMac، ما هي الأنظمة الأساسية الأخرى التي يدعمها Azure لـ P2S VPN؟

يدعم Azure Windows وMac وLinux لـ P2S VPN.

لدي بالفعل بوابة Azure VPN تم توزيعها. هل يمكنني تمكين RADIUS وIKEv2 VPN أو أيًا منهما عليه؟

نعم، إذا كان رمز SKU للبوابة الذي تستخدمه يدعم RADIUS و/ أو IKEv2، فيمكنك تمكين هذه الميزات على البوابات التي قمت بتوزيعها بالفعل باستخدام PowerShell أو مدخل Microsoft Azure. لا يدعم SKU الأساسي RADIUS أو IKEv2.

كيف أزيل تكوين اتصال P2S؟

يمكن إزالة تكوين P2S باستخدام Azure CLI وPowerShell باستخدام الأوامر التالية:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

ماذا أفعل إذا تلقيت عدم تطابق الشهادة عند الاتصال باستخدام مصادقة الشهادة؟

قم بإلغاء تحديد "التحقق من هوية الخادم عن طريق التحقق من صحة الشهادة"، أو إضافة FQDN الخادم جنبا إلى جنب مع الشهادة عند إنشاء ملف تعريف يدويا. يمكنك القيام بذلك عن طريق تشغيل rasphone من موجه الأوامر واختيار ملف التعريف من القائمة المنسدلة.

لا يوصى بتجاوز التحقق من صحة هوية الخادم بشكل عام، ولكن مع مصادقة شهادة Azure، يتم استخدام الشهادة نفسها للتحقق من صحة الخادم في بروتوكول توجيه الشبكة الظاهرية الخاصة (VPN) («مفتاح الإنترنت التبادلي» (IKE) الإصدار 2 / SSTP) وبروتوكول EAP. نظرا لأن شهادة الخادم وFQDN تم التحقق من صحتها بالفعل بواسطة بروتوكول نفق VPN، فمن المتكرر التحقق من صحة نفس الشيء مرة أخرى في EAP.

مصادقة من نقطة إلى موقع

هل يمكنني استخدام المرجع المصدق الجذري الداخلي لـ PKI لإنشاء شهادات للاتصال من نقطة إلى موقع؟

نعم. في السابق، كان يمكن استخدام شهادات الجذر المُوقعة ذاتيًا فقط. لا يزال بإمكانك تحميل 20 شهادة جذرية.

هل يمكنني استخدام شهادات من Azure Key Vault؟

‏‏لا.

ما هي الأدوات التي يمكنني استخدامها لإنشاء الشهادات؟

يمكنك استخدام حل PKI للمؤسسات (PKI الداخلي الخاص بك) وAzure PowerShell وMakeCert وOpenSSL.

هل هناك إرشادات لإعدادات الشهادة ومعلماتها؟

حل PKI/PKI الداخلي للمؤسسة: راجع الخطوات لإنشاء شهادات.
Azure PowerShell: راجع مقالة Azure PowerShell للحصول على خطوات.
MakeCert: راجع مقالة MakeCert للاطلاع على الخطوات.
OpenSSL:
- عند تصدير الشهادات، تأكد من تحويل الشهادة الجذر إلى Base64.
- بالنسبة لشهادة العميل:
  - عند إنشاء المفتاح الخاص، حدد الطول كـ 4096.
  - عند إنشاء الشهادة، بالنسبة للمعلمة -extensions، حدد usr_cert.

من نقطة إلى موقع - مصادقة RADIUS

ينطبق هذا القسم على نموذج توزيع Azure Resource Manager.

كم عدد نقاط نهاية عميل الشبكة الظاهرية الخاصة (VPN) التي يمكنني الحصول عليها في تكوين نقطة إلى موقع؟

يعتمد ذلك على رمز SKU للبوابة. لمزيد من المعلومات حول عدد الاتصالات المدعومة، راجع وحدات SKU للبوابة.

ما هي أنظمة تشغيل العميل التي يمكنني استخدامها مع "نقطة إلى الموقع"؟

يتم دعم أنظمة تشغيل العميل التالية:

Windows Server 2008 R2 (64 بت فقط)
Windows 8.1 (32 بت و64 بت)
Windows Server 2012 (64 بت فقط)
Windows Server 2012 R2 (64 بت فقط)
Windows Server 2016 (64 بت فقط)
Windows Server 2019 (64 بت فقط)
Windows Server 2022 (64 بت فقط)
Windows 10
Windows 11
macOS الإصدار 10.11 أو أعلى
Linux (StrongSwan)
iOS

هل يمكنني اجتياز الوكلاء وجدران الحماية باستخدام قدرة من نقطة إلى موقع؟

يدعم Azure ثلاثة أنواع من خيارات VPN «من نقطة إلى موقع»:

بروتوكول نفق مأخذ التوصيل الآمن (SSTP). SSTP هو حل يستند إلى SSL خاص بشركة Microsoft يمكنه اختراق جدران الحماية نظرًا لأن معظم جدران الحماية تفتح منفذ TCP الصادر الذي يستخدمه 443 SSL.
VPN مفتوح. VPN المفتوح هو حل قائم على طبقة المقابس الآمنة يمكنه اختراق جدران الحماية، لأن معظم جدران الحماية تفتح منفذ TCP الصادر الذي يستخدمه 443 SSL.
IKEv2 VPN. IKEv2 VPN هو حل IPsec VPN قائم على المعايير يستخدم منافذ UDP الصادرة 500 و4500 وبروتوكول IP رقم 50. لا تفتح جدران الحماية المنافذ دائماً، لذلك هناك احتمال ألا يكون IKEv2 VPN قادرًا على اجتياز الوكلاء وجدران الحماية.

إذا قمت بإعادة تشغيل كمبيوتر عميل تم تكوينه من أجل نقطة إلى موقع، فهل سيعيد VPN الاتصال تلقائياً؟

هل تدعم النقطة إلى الموقع DDNS لعملاء VPN؟

لا يتم دعم DDNS حاليًا في شبكات VPN من نقطة إلى موقع.

هل يمكنني الحصول على تكوينات من موقع إلى موقع ومن نقطة إلى موقع تتواجد مع نفس الشبكة الظاهرية؟

هل يمكنني تكوين عميل من نقطة إلى موقع للاتصال ببوابات شبكة ظاهرية متعددة في الوقت نفسه؟

هل يمكنني تكوين عميل "نقطة إلى موقع" للاتصال بشبكات ظاهرية متعددة في نفس الوقت؟

ما مقدار معدل النقل الذي يمكنني توقعه من خلال الاتصالات من موقع إلى موقع أو من نقطة إلى موقع؟

هل يمكنني استخدام أي برنامج عميل VPN لنقطة إلى موقع يدعم SSTP و/ أو IKEv2؟

هل يمكن تغيير نوع المصادقة لاتصال من نقطة إلى موقع؟

هل يدعم Azure IKEv2 VPN مع Windows؟

إشعار

لا تتطلب إصدارات أنظمة تشغيل Windows الأحدث من الإصدار 1709 من Windows 10 والإصدار 1607 من Windows Server 2016 هذه الخطوات.

لإعداد Windows 10 أو Server 2016 لـ IKEv2:

قم بتثبيت التحديث استنادًا إلى إصدار نظام التشغيل الخاص بك:

إصدار نظام التشغيل	التاريخ	الرقم/الرابط
Windows Server 2016 Windows 10 Version 1607	17 يناير 2018	KB4057142
Windows 10 Version 1703	17 يناير 2018	KB4057144
Windows 10 Version 1709	22 مارس 2018	KB4089848

عيّن قيمة مفتاح التسجيل. أنشئ أو عيّن "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD المفتاح في التسجيل إلى 1.

ما هو حد محدد نسبة استخدام الشبكة IKEv2 للاتصالات من نقطة إلى موقع؟

ماذا يحدث عندما أقوم بتكوين كل من SSTP وIKEv2 لاتصالات P2S VPN؟

بخلاف Windows وMac، ما هي الأنظمة الأساسية الأخرى التي يدعمها Azure لـ P2S VPN؟

يدعم Azure Windows وMac وLinux لـ P2S VPN.

لدي بالفعل بوابة Azure VPN تم توزيعها. هل يمكنني تمكين RADIUS وIKEv2 VPN أو أيًا منهما عليه؟

كيف أزيل تكوين اتصال P2S؟

يمكن إزالة تكوين P2S باستخدام Azure CLI وPowerShell باستخدام الأوامر التالية:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

هل مصادقة RADIUS مدعومة على جميع وحدات SKU الخاصة ببوابة Azure VPN؟

يتم دعم مصادقة RADIUS لجميع وحدات حفظ المخزون باستثناء وحدة حفظ المخزون الأساسية.

بالنسبة لوحدات SKU القديمة، يتم دعم مصادقة RADIUS في وحدات SKU القياسية وعالية الأداء. لا يتم دعمها في بوابة SKU الأساسية.

هل مصادقة RADIUS مدعومة لنموذج النشر الكلاسيكي؟

‏‏لا. بالنسبة لنموذج التوزيع الكلاسيكي، فإن مصادقة RADIUS غير مدعومة.

ما هي فترة المهلة لطلبات RADIUS المرسلة إلى خادم RADIUS؟

يتم تعيين طلبات RADIUS إلى مهلة بعد 30 ثانية. قيم المهلة التي يحددها المستخدم غير مدعومة اليوم.

هل خوادم RADIUS التابعة لجهة أخري مدعومة؟

نعم، يتم دعم خوادم RADIUS التابعة لجهة أخري.

ما هي متطلبات الاتصال لضمان قدرة بوابة Azure على الوصول إلى خادم RADIUS محلي؟

مطلوب اتصال VPN من موقع إلى موقع بالموقع المحلي، مع تكوين المسارات المناسبة.

هل يمكن توجيه حركة المرور إلى خادم RADIUS محلي (من بوابة Azure VPN) عبر اتصال ExpressRoute؟

‏‏لا. لا يمكن توجيهه إلا عبر اتصال من موقع إلى موقع.

هل هناك تغيير في عدد اتصالات SSTP المدعومة بمصادقة RADIUS؟ ما هو الحد الأقصى لعدد اتصالات SSTP وIKEv2 المدعومة؟

لا يوجد تغيير في الحد الأقصى لعدد اتصالات SSTP المدعومة على بوابة مع مصادقة RADIUS. يبقى 128 لـ SSTP، ولكنه يعتمد على SKU البوابة لـ IKEv2. لمزيد من المعلومات حول عدد الاتصالات المدعومة، راجع وحدات SKU للبوابة.

ما الفرق بين إجراء مصادقة الشهادة باستخدام خادم RADIUS مقابل استخدام مصادقة الشهادة الأصلية Azure (عن طريق تحميل شهادة موثوقة إلى Azure)؟

في مصادقة شهادة RADIUS، يتم إعادة توجيه طلب المصادقة إلى خادم RADIUS الذي يعالج التحقق الفعلي من صحة الشهادة. يعد هذا الخيار مفيدًا إذا كنت تريد التكامل مع بنية أساسية لمصادقة الشهادة لديك بالفعل من خلال RADIUS.

عند استخدام Azure لمصادقة الشهادة، تقوم بوابة Azure VPN بإجراء التحقق من صحة الشهادة. تحتاج إلى تحميل المفتاح العام للشهادة إلى البوابة. يمكنك أيضًا تحديد قائمة بالشهادات التي تم إبطالها والتي لا ينبغي السماح لها بالاتصال.

هل تعمل مصادقة RADIUS مع كل من IKEv2 وSSTP VPN؟

نعم، يتم دعم مصادقة RADIUS لكل من IKEv2 وSSTP VPN.

هل تعمل مصادقة RADIUS مع عميل OpenVPN؟

يتم دعم مصادقة خادم خدمة مصادقة عن بُعد لمستخدم طلب هاتفي (RADIUS) لبروتوكول OpenVPN.

اتصالات VNet-to-VNet ومتعددة المواقع

تنطبق الأسئلة المتداولة حول VNet-to-VNet على اتصالات بوابة VPN. للحصول على مزيدٍ من المعلومات عن تناظر الشبكة الظاهرية راجع تناظر الشبكة الظاهرية.

هل يفرض Azure رسومًا على نسبة استخدام الشبكة بين VNets؟

نسبة استخدام الشبكة شبكة ظاهرية إلى شبكة ظاهرية داخل نفس المنطقة مجانية لكلا الاتجاهين عند استخدام اتصال بوابة VPN. يتم فرض رسوم على نسبة استخدام الشبكة الخروج من شبكة ظاهرية إلى شبكة ظاهرية عبر المناطق بمعدلات نقل البيانات الصادرة بين الشبكة الظاهرية استناداً إلى مناطق المصدر. لمزيد من المعلومات، راجع صفحة أسعار بوابة الشبكة الظاهرية الخاصة. إذا كنت تقوم بتوصيل الشبكات الظاهرية باستخدام تناظر الشبكة الظاهرية بدلاً من بوابة VPN، فراجع أسعار الشبكة الظاهرية.

هل تنتقل نسبة استخدام الشبكة شبكة ظاهرية إلى شبكة ظاهرية عبر الإنترنت؟

‏‏لا. تنتقل نسبة استخدام الشبكة شبكة ظاهرية إلى شبكة ظاهرية عبر شبكة اتصالات Microsoft Azure، وليس عبر الإنترنت.

هل يمكنني إنشاء اتصال VNet إلى VNet عبر مستأجري Microsoft Entra؟

نعم، تعمل اتصالات VNet إلى VNet التي تستخدم بوابات Azure VPN عبر مستأجري Microsoft Entra.

هل نسبة استخدام الشبكة شبكة ظاهرية إلى شبكة ظاهرية آمنة؟

نعم، إنه محمي بتشفير IPsec / IKE.

هل أحتاج إلى جهاز VPN لتوصيل VNets معًا؟

‏‏لا. لا يتطلب توصيل شبكات Azure الظاهرية المتعددة معاً جهاز VPN ما لم يكن الاتصال عبر المباني مطلوباً.

هل يجب أن تكون الشبكات الظاهرية الخاصة بي في نفس المنطقة؟

‏‏لا. يمكن أن تكون الشبكات الظاهرية في مناطق Azure نفسها أو مناطق مختلفة (مواقع).

إذا لم تكن الشبكات الظاهرية في نفس الاشتراك، فهل يجب أن تكون الاشتراكات مقترنة بنفس مستأجر Active Directory؟

‏‏لا.

هل يمكنني استخدام شبكة ظاهرية إلى شبكة ظاهرية لتوصيل الشبكات الظاهرية في مثيلات Azure منفصلة؟

‏‏لا. يدعم شبكة ظاهرية إلى شبكة ظاهرية توصيل الشبكات الظاهرية داخل نفس مثيل Azure. على سبيل المثال، لا يمكنك إنشاء اتصال بين مثيل Azure العالمي ومثيلات Azure الحكومية الصينية/الألمانية/الأمريكية. فكر في استخدام اتصال شبكة ظاهرية خاصة من موقع إلى موقع لهذه السيناريوهات.

هل يمكنني استخدام شبكة ظاهرية إلى شبكة ظاهرية جنباً إلى جنب مع اتصالات متعددة المواقع؟

نعم. يمكن استخدام اتصال الشبكة الافتراضية في وقت واحد مع الشبكات الافتراضية الخاصة متعددة المواقع.

كم عدد المواقع المحلية والشبكات الظاهرية التي يمكن لشبكة ظاهرية واحدة الاتصال بها؟

راجع جدول متطلبات البوابة.

هل يمكنني استخدام شبكة ظاهرية إلى شبكة ظاهرية لتوصيل الأجهزة الظاهرية أو الخدمات السحابية خارج الشبكة الظاهرية؟

‏‏لا. يدعم شبكة ظاهرية إلى شبكة ظاهرية توصيل الشبكات الظاهرية. لا يدعم توصيل الأجهزة الظاهرية أو الخدمات السحابية غير الموجودة في شبكة ظاهرية.

هل يمكن لخدمة سحابية أو نقطة نهاية موازنة التحميل أن تمتد عبر الشبكات الظاهرية؟

‏‏لا. لا يمكن أن تمتد الخدمة السحابية أو نقطة النهاية لموازنة الأحمال عبر الشبكات الافتراضية، حتى إذا كانت متصلة معًا.

هل يمكنني استخدام نوع شبكة ظاهرية خاصة مستندة إلى النهج لاتصالات شبكة ظاهرية إلى شبكة ظاهرية أو متعددة المواقع؟

‏‏لا. تتطلب اتصالات شبكة ظاهرية إلى شبكة ظاهرية ومتعددة المواقع بوابات Azure VPN مع أنواع شبكة ظاهرية خاصة القائمة على المسار (التي كانت تسمى سابقاً التوجيه الديناميكي).

هل يمكنني توصيل الشبكة الظاهرية بنوع شبكة ظاهرية خاصة يستند إلى المسار بالشبكة الظاهرية الأخرى بنوع شبكة ظاهرية خاصة قائم على النهج؟

لا، يجب أن تستخدم كلتا الشبكتين الظاهريتين شبكات ظاهرية خاصة قائمة على المسار (كانت تسمى سابقاً التوجيه الديناميكي).

نعم. تشترك جميع أنفاق الشبكة الظاهرية الخاصة للشبكة الظاهرية في النطاق الترددي المتاح على بوابة Azure VPN ونفس اتفاقية مستوى الخدمة (SLA) لوقت تشغيل بوابة VPN في Azure.

هل الأنفاق الزائدة عن الحاجة مدعومة؟

يتم دعم الأنفاق الزائدة بين زوج من الشبكات الظاهرية عند تكوين بوابة شبكة ظاهرية واحدة على أنها نشطة ونشطة.

هل يمكنني الحصول على مساحات عناوين متداخلة لتكوينات شبكة ظاهرية إلى شبكة ظاهرية؟

‏‏لا. لا يمكن أن يكون لديك نطاقات عناوين IP متداخلة.

هل يمكن أن تكون هناك مساحات عناوين متداخلة بين الشبكات الظاهرية المتصلة والمواقع المحلية؟

‏‏لا. لا يمكن أن يكون لديك نطاقات عناوين IP متداخلة.

كيف يمكنني تمكين التوجيه بين اتصال VPN من موقع إلى موقع وبين ExpressRoute؟

إذا كنت ترغب في تمكين التوجيه بين الفرع المتصل بـ ExpressRoute والفرع المتصل باتصال VPN من موقع إلى موقع، فستحتاج إلى إعداد خادم مسار Azure.

هل يمكنني استخدام بوابة Azure VPN لنقل نسبة استخدام الشبكة بين مواقعي المحلية أو إلى شبكة ظاهرية أخرى؟

نموذج توزيع Resource Manager
نعم. راجع قسم BGP لمزيد من المعلومات.

نموذج التوزيع الكلاسيكي
يمكن نقل نسبة استخدام الشبكة عبر بوابة Azure VPN باستخدام نموذج التوزيع الكلاسيكي، ولكنه يعتمد على مساحات عناوين محددة بشكل ثابت في ملف تكوين الشبكة. BGP غير مدعوم حتى الآن مع شبكات Azure الظاهرية وبوابات شبكة ظاهرية خاصة (VPN) باستخدام نموذج التوزيع الكلاسيكي. بدون BGP، يكون تحديد مساحات عناوين العبور يدويًا عرضة للخطأ للغاية، ولا يوصى به.

هل يقوم Azure بإنشاء نفس مفتاح IPsec/IKE المشترك مسبقًا لجميع اتصالات VPN الخاصة بي لنفس الشبكة الظاهرية؟

لا، يقوم Azure بشكل افتراضي بإنشاء مفاتيح مختلفة تمت مشاركتها مسبقا لاتصالات VPN مختلفة. ومع ذلك، يمكنك استخدام Set VPN Gateway Key REST API أو PowerShell cmdlet لتعيين قيمة المفتاح التي تفضلها. يجب أن يحتوي المفتاح فقط على أحرف ASCII القابلة للطباعة باستثناء المسافة أو الواصلة (-) أو التلدة (~).

هل أحصل على نطاق ترددي أكبر مع شبكات ظاهرية خاصة (VPN) من موقع إلى موقع أكثر من شبكة ظاهرية واحدة؟

لا، تشترك جميع أنفاق الشبكة الظاهرية الخاصة (VPN)، بما في ذلك شبكات ظاهرية خاصة (VPN) من نقطة إلى موقع، في نفس مدخل Microsoft Azure للشبكات الظاهرية الخاصة (VPN) والنطاق الترددي المتاح.

هل يمكنني تكوين أنفاق متعددة بين شبكتي الظاهرية وموقعي المحلي باستخدام VPN متعدد المواقع؟

نعم، ولكن يجب عليك تكوين BGP على كلا النفقين إلى نفس الموقع.

هل تحترم بوابة Azure VPN مسار AS الذي ينتظر التأثير على قرارات التوجيه بين اتصالات متعددة بمواقعي المحلية؟

نعم، تكرم بوابة Azure VPN إلحاق AS Path للمساعدة في اتخاذ قرارات التوجيه عند تمكين BGP. يفضل استخدام مسار AS أقصر في تحديد مسار BGP.

هل يمكنني استخدام الخاصية RoutingWeight عند إنشاء اتصال VPN VirtualNetworkGateway جديد؟

لا، هذا الإعداد محجوز لاتصالات بوابة ExpressRoute. إذا كنت تريد التأثير على قرارات التوجيه بين اتصالات متعددة، فأنت بحاجة إلى استخدام AS Path Preending.

هل يمكنني استخدام شبكات ظاهرية خاصة (VPN) من نقطة إلى موقع مع شبكتي الظاهرية مع أنفاق شبكات ظاهرية خاصة (VPN) متعددة؟

نعم، يمكن استخدام شبكات ظاهرية خاصة (VPN) من نقطة إلى موقع (P2S) مع بوابات الشبكات الظاهرية الخاصة (VPN) التي تتصل بالعديد من المواقع المحلية والشبكات الظاهرية الأخرى.

هل يمكنني توصيل شبكة ظاهرية بشبكات IPsec VPN بدائرة ExpressRoute الخاصة بي؟

نعم، هذا مدعوم. لمزيد من المعلومات، راجع تكوين اتصالات ExpressRoute وشبكة VPN من موقع إلى موقع التي تتواجد معاً.

نهج IPsec/IKE

هل سياسة IPsec/IKE المخصصة مدعومة على جميع وحدات SKU الخاصة ببوابة Azure VPN؟

يتم دعم نهج IPsec/IKE المخصص على جميع وحدات SKU الخاصة ب Azure باستثناء وحدة SKU الأساسية.

كم عدد النهج التي يمكنني تحديدها على الاتصال؟

يمكنك فقط تحديد مجموعة نهج واحدة لاتصال معين.

هل يمكنني تحديد سياسة جزئية بشأن اتصال؟ (على سبيل المثال، خوارزميات IKE فقط، ولكن ليس IPsec)

لا، يجب عليك تحديد جميع الخوارزميات والمعلمات لكل من IKE (الوضع الرئيسي) وIPsec (الوضع السريع). المواصفات الجزئية للنهج غير مسموح بها.

ما هي الخوارزميات ونقاط القوة الرئيسية المدعومة في النهج المخصص؟

يسرد الجدول التالي خوارزميات التشفير المدعومة ونقاط القوة الرئيسية التي يمكنك تكوينها. يجب عليك تحديد خيار واحد لكل حقل.

IPsec/IKEv2	الخيارات
تشفير IKEv2	GCMAES256، GCMAES128، AES256، AES192، AES128
تكامل البيانات IKEv2	SHA384, SHA256, لوغاريتم التجزئة الآمن 1, MD5
مجموعة DH	DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
تشفير IPsec	GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES، لا شيء
تكامل بيانات IPsec	GCMAES256، GCMAES192، GCMAES128، SHA256، SHA1، MD5
مجموعة PFS	PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1، لا شيء
مدة بقاء QM SA	(اختياري: يتم استخدام القيم الافتراضية إذا لم يتم تحديدها) ثواني (عدد صحيح؛ دقيقة 300/الافتراضي 27000 ثانية) KBytes (عدد صحيح؛ دقيقة 1024/الافتراضي 102400000 كيلوبايت)
محدد نسبة استخدام الشبكة	UsePolicyBasedTrafficSelectors ($True/$False؛ اختياري**، الافتراضي $False إذا لم يتم تحديده)
مهلة DPD	ثواني (عدد صحيح: 9 دقائق/الحد الأقصى 3600؛ الافتراضي 45 ثانية)

يجب أن يتطابق تكوين جهاز VPN المحلي مع الخوارزميات والمعلمات التالية التي تحددها في نهج Azure IPsec/IKE أو يحتوي عليها:
- خوارزمية تشفير IKE (الوضع الرئيسي / المرحلة 1)
- خوارزمية تكامل بيانات IKE (الوضع الرئيسي / المرحلة 1)
- مجموعة DH (الوضع الرئيسي / المرحلة 1)
- خوارزمية تشفير IPsec (الوضع السريع / المرحلة 2)
- خوارزمية تكامل بيانات IPsec (الوضع السريع / المرحلة 2)
- مجموعة PFS (الوضع السريع / المرحلة 2)
- محدد نسبة استخدام الشبكة (إذا تم استخدام UsePolicyBasedTrafficSelectors)
- مدة بقاء SA هي مواصفات محلية فقط، ولا تحتاج إلى المطابقة.
إذا تم استخدام GCMAES كما هو الحال بالنسبة لخوارزمية تشفير IPsec، يجب عليك تحديد خوارزمية GCMAES نفسها وطول المفتاح لتكامل بيانات IPsec؛ على سبيل المثال، باستخدام GCMAES128 لكليهما.
في جدول الخوارزميات والمفاتيح :
- يتوافق IKE مع الوضع الرئيسي أو المرحلة 1.
- يتوافق IPsec مع الوضع السريع أو المرحلة 2.
- تحدد مجموعة DH مجموعة Diffie-Hellman المستخدمة في الوضع الرئيسي أو المرحلة 1.
- حددت مجموعة PFS مجموعة Diffie-Hellman المستخدمة في الوضع السريع أو المرحلة 2.
تم إصلاح عمر IKE Main Mode SA في 28800 ثانية على بوابات Azure VPN.
"UsePolicyBasedTrafficSelectors" هي معلمة اختيارية على الاتصال. إذا حددت UsePolicyBasedTrafficSelectors على $True، فسيقوم بتكوين بوابة Azure VPN للاتصال بجدار حماية VPN المستند إلى السياسة في مكان العمل. إذا قمت بتمكين UsePolicyBasedTrafficSelectors، فستحتاج إلى التأكد من أن جهاز VPN الخاص بك يحتوي على محددات نسبة استخدام الشبكة المطابقة المحددة مع جميع مجموعات بادئات الشبكة المحلية (بوابة الشبكة المحلية) إلى/من بادئات الشبكة الظاهرية Azure، بدلًا من أي بادئة إلى أي منها. تقبل بوابة Azure VPN أي محدد نسبة استخدام الشبكة يتم اقتراحه بواسطة بوابة VPN البعيدة بغض النظر عما تم تكوينه على بوابة Azure VPN.

على سبيل المثال، إذا كانت بادئات الشبكة المحلية هي 10.1.0.0/16 و10.2.0.0/16، وكانت بادئات الشبكة الظاهرية هي 192.168.0.0/16 و172.16.0.0/16، فستحتاج إلى تحديد محددات نسبة استخدام الشبكة التالية:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
لمزيد من المعلومات حول محددات نسبة استخدام الشبكة المستندة إلى السياسة، راجع الاتصال بالعديد من أجهزة VPN المحلية المستندة إلى النهج.
مهلة DPD - القيمة الافتراضية هي 45 ثانية على بوابات Azure VPN. سيؤدي تعيين المهلة إلى فترات أقصر إلى إعادة تشغيل IKE بقوة أكبر، ما يؤدي إلى ظهور الاتصال غير متصل في بعض الحالات. قد لا يكون هذا مرغوباً فيه إذا كانت مواقعك المحلية بعيدة عن منطقة Azure حيث توجد بوابة VPN، أو إذا كانت حالة الارتباط الفعلي قد تتكبد فقدان الحزمة. التوصية العامة هي تعيين المهلة بين 30 إلى 45 ثانية.

لمزيد من المعلومات، راجع اتصال العديد من أجهزة VPN المحلية المستندة إلى النهج.

ما هي مجموعات Diffie-Hellman المدعومة؟

يسرد الجدول التالي مجموعات Diffie-Hellman المقابلة المدعومة بالسياسة المخصصة:

مجموعة ديفي هيلمان	DHGroup	PFSGroup	طول المفتاح
1	DHGroup1	PFS1	MODP 768 بت
2	DHGroup2	PFS2	MODP 1024 بت
14	DHGroup14 DHGroup2048	PFS2048	2048-bit MODP
19	ECP256	ECP256	ECP 256 بت
20	ECP384	ECP384	ECP 384 بت
24	DHGroup24	PFS24	2048-bit MODP

راجع RFC3526 وRFC5114 لمزيد من التفاصيل.

هل يحل النهج المخصص محل مجموعات نهج IPsec/IKE الافتراضية لبوابات Azure VPN؟

نعم، بمجرد تحديد نهج مخصص على اتصال، ستستخدم بوابة Azure VPN السياسة الخاصة بالاتصال فقط، سواء كبادئ IKE أو مستجيب IKE.

إذا قمت بإزالة سياسة IPsec/IKE مخصصة، فهل يصبح الاتصال غير محمي؟

لا، سيظل الاتصال محميا بواسطة IPsec/IKE. بمجرد إزالة السياسة المخصصة من اتصال، تعود بوابة Azure VPN مرة أخرى إلى القائمة الافتراضية لمقترحات IPsec/ IKE وتعيد تشغيل تاكيد اتصال IKE مرة أخرى باستخدام جهاز VPN المحلي.

هل تؤدي إضافة أو تحديث سياسة IPsec/IKE إلى تعطيل اتصال VPN الخاص بي؟

نعم، يمكن أن يسبب اضطرابًا صغيرًا (بضع ثوان) حيث تقوم بوابة Azure VPN بتمزيق الاتصال الحالي وإعادة تشغيل تأكيد اتصال IKE لإعادة إنشاء نفق IPsec باستخدام خوارزميات ومعلمات التشفير الجديدة. تأكد من تكوين جهاز VPN المحلي الخاص بك أيضًا باستخدام خوارزميات المطابقة ونقاط القوة الرئيسية لتقليل الاضطراب.

هل يمكنني استخدام نهج مختلفة على اتصالات مختلفة؟

نعم. يتم تطبيق النهج المخصص على أساس كل اتصال. يمكنك إنشاء نهج IPsec/IKE مختلفة وتطبيقها على اتصالات مختلفة. يمكنك أيضًا اختيار تطبيق نهج مخصصة على مجموعة فرعية من الاتصالات. تستخدم المجموعات المتبقية مجموعات نهج IPsec/IKE الافتراضية من Azure.

هل يمكنني استخدام النهج المخصص على اتصال VNet-to-VNet أيضا؟

نعم، يمكنك تطبيق نهج مخصص على كل من اتصالات IPsec عبر المباني أو اتصالات VNet-to-VNet.

هل أحتاج إلى تحديد نفس النهج على كل من موارد اتصال VNet-to-VNet؟

نعم. يتكون نفق VNet-to-VNet من موردي اتصال في Azure، أحدهما لكل اتجاه. تأكد من أن كلا موردي الاتصال لهما نفس السياسة، وإلا فلن يتم إنشاء اتصال VNet-to-VNet.

ما هي قيمة مهلة DPD الافتراضية؟ هل يمكنني تحديد مهلة DPD مختلفة؟

مهلة DPD الافتراضية هي 45 ثانية. يمكنك تحديد قيمة مهلة DPD مختلفة على كل اتصال IPsec أو VNet-to-VNet، من 9 ثوان إلى 3600 ثانية.

إشعار

القيمة الافتراضية هي 45 ثانية على بوابات Azure VPN. سيؤدي تعيين المهلة إلى فترات أقصر إلى إعادة تشغيل IKE بقوة أكبر، ما يؤدي إلى ظهور الاتصال غير متصل في بعض الحالات. قد لا يكون هذا مرغوبا فيه إذا كانت مواقعك المحلية أبعد عن منطقة Azure حيث توجد بوابة VPN، أو عندما قد يتسبب شرط الارتباط الفعلي في فقدان الحزمة. التوصية العامة هي تعيين المهلة بين 30 و 45 ثانية.

هل يعمل نهج IPsec/IKE المخصص على اتصال ExpressRoute؟

‏‏لا. يعمل نهج IPsec/IKE فقط على اتصالات S2S VPN وVNet-to-VNet عبر بوابات Azure VPN.

كيف أعمل إنشاء اتصالات مع نوع بروتوكول IKEv1 أو IKEv2؟

يمكن إنشاء اتصالات IKEv1 على جميع وحدات SKU من نوع VPN المستندة إلى المسار، باستثناء وحدات SKU الأساسية ووحدة SKU القياسية ووحدات SKU القديمة الأخرى. يمكنك تحديد نوع بروتوكول اتصال من IKEv1 أو IKEv2 في أثناء إنشاء اتصالات. إذا لم تحدد نوع بروتوكول الاتصال، فسيتم استخدام مفتاح الإنترنت التبادلي (IKE) الإصدار 2 كخيار افتراضي حيثما ينطبق ذلك. لمزيد من المعلومات، انظر وثائق ⁧⁩PowerShell cmdlet⁧⁩. للحصول على أنواع وحدات SKU ودعم IKEv1/IKEv2، راجع الاتصال بوابات لأجهزة VPN المستندة إلى السياسة.

هل العبور بين اتصالات مفتاح الإنترنت التبادلي (IKE) الإصدار 1 ومفتاح الإنترنت التبادلي (IKE) الإصدار 2 مسموح به؟

نعم. يتم دعم النقل بين اتصالات IKEv1 وIKEv2.

هل يمكنني الحصول على اتصالات IKEv1 من موقع إلى موقع على وحدات SKU الأساسية من نوع VPN القائم على المسار؟

‏‏لا. لا تدعم وحدة حفظ المخزون (SKU) الأساسية هذا.

هل يمكنني تغيير نوع بروتوكول الاتصال بعد إنشاء الاتصال (IKEv1 إلى IKEv2 والعكس صحيح)؟

‏‏لا. بمجرد إنشاء الاتصال، لا يمكن تغيير بروتوكولات مفتاح الإنترنت التبادلي (IKE) الإصدار 1 / مفتاح الإنترنت التبادلي (IKE) الإصدار 2. يجب حذف وإعادة إنشاء اتصال جديد بنوع البروتوكول المطلوب.

لماذا تتم إعادة توصيل IKEv1 بشكل متكرر؟

إذا كان التوجيه الثابت أو اتصال IKEv1 المستند إلى المسار ينقطع اتصاله على فترات روتينية، فمن المحتمل أن يكون ذلك بسبب عدم دعم بوابات VPN لعمليات إعادة إدخال المفاتيح الموضعية. عند إعادة تشغيل الوضع الرئيسي، فسيتم فصل أنفاق IKEv1 وتستغرق ما يصل إلى 5 ثوانٍ لإعادة الاتصال. تحدد قيمة انتهاء مهلة التفاوض في الوضع الرئيسي تكرار عمليات إعادة المفاتيح. لمنع عمليات إعادة الاتصال هذه، يمكنك التبديل إلى استخدام IKEv2، الذي يدعم عمليات إعادة المفاتيح الموضعية.

إذا كان اتصالك يعيد الاتصال في أوقات عشوائية، فاتبع دليل استكشاف الأخطاء وإصلاحها.

أين يمكنني العثور على معلومات التكوين والخطوات؟

راجع المقالات التالية لمزيد من المعلومات وخطوات التكوين.

BGP والتوجيه

هل BGP مدعوم على جميع وحدات SKU الخاصة ببوابة Azure VPN؟

يتم دعم BGP على جميع وحدات SKU الخاصة ببوابة Azure VPN باستثناء وحدات SKU الأساسية.

هل يمكنني استخدام BGP مع بوابات VPN لنهج Azure؟

لا، BGP مدعوم على بوابات VPN المستندة إلى المسار فقط.

ما هي أرقام ASNs (أرقام النظام المستقل) التي يمكنني استخدامها؟

يمكنك استخدام ASNs العامة أو ASNs الخاصة بك لكل من الشبكات المحلية وشبكات Azure الظاهرية. لا يمكنك استخدام النطاقات المحجوزة بواسطة Azure أو IANA.

يتم حجز ASNs التالية بواسطة Azure أو IANA:

ASNs المحجوزة بواسطة Azure:
- ASNs العامة: 8074، 8075، 12076
- ASNs الخاصة: 65515, 65517, 65518, 65519, 65520
ASNs المحجوزة من قبل IANA:
- 23456, 64496-64511, 65535-65551 و429496729

لا يمكنك تحديد ASNs هذه لأجهزة VPN المحلية الخاصة بك عند الاتصال ببوابات Azure VPN.

هل يمكنني استخدام ASNs 32 بت (4 بايت)؟

نعم، تدعم VPN Gateway الآن ASNs 32 بت (4 بايت). للتكوين باستخدام ASN بتنسيق عشري، استخدم PowerShell أو Azure CLI أو Azure SDK.

ما هي ASNs الخاصة التي يمكنني استخدامها؟

النطاقات القابلة للاستخدام من ASNs الخاصة هي:

64512-65514 و65521-65534

لا يتم حجز ASNs هذه بواسطة IANA أو Azure للاستخدام، وبالتالي يمكن استخدامها للتعيين إلى بوابة Azure VPN الخاصة بك.

ما العنوان الذي تستخدمه بوابة VPN ل BGP peer IP?

بشكل افتراضي، تقوم VPN Gateway بتخصيص عنوان IP واحد من نطاق GatewaySubnet لبوابات VPN الاحتياطية النشطة، أو عنواني IP لبوابات VPN النشطة والنشطة. يتم تخصيص هذه العناوين تلقائيا عند إنشاء بوابة VPN. يمكنك الحصول على عنوان IP الفعلي BGP المخصص باستخدام PowerShell أو عن طريق تحديد موقعه في مدخل Microsoft Azure. في PowerShell، استخدم Get-AzVirtualNetworkGateway، وابحث عن الخاصية bgpPeeringAddress. في مدخل Microsoft Azure، في صفحة تكوين البوابة، ابحث ضمن الخاصية تكوين BGP ASN.

إذا كانت أجهزة توجيه VPN المحلية تستخدم عناوين IP APIPA (169.254.x.x) كعناوين IP ل BGP، فيجب عليك تحديد عنوان IP واحد أو أكثر من عناوين IP الخاصة ب Azure APIPA BGP على بوابة Azure VPN. تقوم Azure VPN Gateway بتحديد عناوين APIPA لاستخدامها مع نظير APIPA BGP المحلي المحدد في بوابة الشبكة المحلية، أو عنوان IP الخاص لنظير BGP محلي غير APIPA. لمزيد من المعلومات، راجع تكوين جدار الحماية .

ما هي متطلبات عناوين IP النظيرة BGP على جهاز VPN الخاص بي؟

يجب ألا يكون عنوان نظير BGP الخاص بك في الموقع هو نفسه عنوان IP العام لجهاز VPN أو من مساحة عنوان الشبكة الظاهرية لبوابة VPN. استخدم عنوان IP مختلفًا على جهاز VPN لعنوان IP الخاص بـ BGP. يمكن أن يكون عنوانا معينا لواجهة الاسترجاع على الجهاز (إما عنوان IP عادي أو عنوان APIPA). إذا كان جهازك يستخدم عنوان APIPA ل BGP، فيجب عليك تحديد عنوان IP واحد أو أكثر من عناوين IP APIPA BGP على بوابة Azure VPN، كما هو موضح في تكوين BGP. حدد هذه العناوين في بوابة الشبكة المحلية المقابلة التي تمثل الموقع.

ما الذي يجب أن أحدده كبادئات عنواني لبوابة الشبكة المحلية عند استخدام BGP؟

هام

هذا هو التغيير من المتطلبات الموثقة سابقًا. إذا كنت تستخدم BGP لاتصال، فاترك حقل مساحة العنوان فارغا لمورد بوابة الشبكة المحلية المقابل. تضيف Azure VPN Gateway مسارًا مضيفًا داخليًا إلى عنوان IP النظير BGP المحلي عبر نفق IPsec. لا تقم بإضافة المسار /32 في حقل مساحة العنوان. إنها زائدة عن الحاجة وإذا كنت تستخدم عنوان APIPA كجهاز VPN محلي BGP IP، فلا يمكن إضافته إلى هذا الحقل. إذا قمت بإضافة أي بادئات أخرى في حقل مساحة العنوان، إضافتها كمسارات ثابتة على بوابة Azure VPN، بالإضافة إلى المسارات التي تم تعلمها عبر BGP.

هل يمكنني استخدام نفس ASN لكل من شبكات VPN المحلية وشبكات Azure الظاهرية؟

لا، يجب عليك تعيين شبكات ASN مختلفة بين شبكاتك المحلية وشبكات Azure الظاهرية إذا كنت تقوم بتوصيلها مع BGP. تحتوي بوابات Azure VPN على ASN افتراضي يبلغ 65515 معينا، سواء تم تمكين BGP أم لا للاتصال عبر المباني. يمكنك تجاوز هذا الإعداد الافتراضي عن طريق تعيين ASN مختلف عند إنشاء بوابة VPN، أو يمكنك تغيير ASN بعد إنشاء البوابة. ستحتاج إلى تعيين شبكات الاتصال الظاهرية (ASNs) المحلية لبوابات شبكة Azure المحلية المقابلة.

ما هي بادئات العناوين التي ستعلن عنها لي بوابات Azure VPN؟

تعلن البوابات عن المسارات التالية لأجهزة BGP المحلية:

بادئات عنوان الشبكة الظاهرية.
بادئات العناوين لكل بوابة شبكة محلية متصلة ببوابة Azure VPN.
المسارات المستفادة من جلسات نظير BGP الأخرى المتصلة ببوابة Azure VPN، باستثناء المسار الافتراضي أو المسارات التي تتداخل مع أي بادئة شبكة ظاهرية.

كم عدد البادئات التي يمكنني الإعلان عنها في Azure VPN Gateway؟

تدعم بوابة Azure VPN ما يصل إلى 4000 بادئة. يتم إسقاط جلسة عمل BGP إذا تجاوز عدد البادئات الحد.

هل يمكنني الإعلان عن المسار الافتراضي (0.0.0.0/0) إلى بوابات Azure VPN؟

نعم. لاحظ أن هذا يفرض على كل نسبة استخدام الشبكة خروج الشبكة الظاهرية نحو موقعك المحلي. كما أنه يمنع الأجهزة الظاهرية للشبكة الظاهرية من قبول الاتصالات العامة من الإنترنت مباشرة، مثل RDP أو SSH من الإنترنت إلى الأجهزة الظاهرية.

هل يمكنني الإعلان عن البادئات الدقيقة كبادئات الشبكة الظاهرية؟

لا، سيتم حظر الإعلان عن نفس البادئات مثل أي بادئة من بادئات عنوان الشبكة الظاهرية أو تصفيتها بواسطة Azure. ومع ذلك، يمكنك الإعلان عن بادئة عبارة عن مجموعة كبيرة مما لديك داخل شبكتك الظاهرية.

على سبيل المثال، إذا كانت شبكتك الظاهرية تستخدم مساحة العنوان 10.0.0.0/16، فإنه يمكنك الإعلان عن 10.0.0.0/8. ولكن لا يمكنك الإعلان عن 10.0.0.0/16 أو 10.0.0.0/24.

هل يمكنني استخدام BGP مع اتصالاتي بين الشبكات الظاهرية؟

نعم، يمكنك استخدام BGP لكل من الاتصالات عبر المباني والاتصالات بين الشبكات الظاهرية.

هل يمكنني مزج BGP مع اتصالات غير BGP لبوابات Azure VPN الخاصة بي؟

نعم، يمكنك مزج كل من اتصالات BGP وغير BGP لنفس بوابة Azure VPN.

هل تدعم بوابة Azure VPN توجيه المواصلات BGP؟

نعم، يتم دعم توجيه العبور BGP، باستثناء أن بوابات Azure VPN لا تعلن عن المسارات الظاهرية لأقرانها الآخرين في BGP. لتمكين توجيه المواصلات عبر بوابات Azure VPN متعددة، يجب تمكين BGP على جميع الاتصالات الوسيطة بين الشبكات الافتراضية. لمزيد من المعلومات، راجع حول BGP.

هل يمكنني الحصول على أكثر من نفق واحد بين بوابة Azure VPN وشبكتي المحلية؟

نعم، يمكنك إنشاء أكثر من نفق VPN من موقع إلى موقع بين بوابة Azure VPN وشبكتك المحلية. لاحظ أنه يتم حساب كل هذه الأنفاق ضمن إجمالي عدد الأنفاق لبوابات Azure VPN، ويجب تمكين BGP على كلا النفقين.

على سبيل المثال، إذا كان لديك نفقان زائدان عن الحاجة بين بوابة Azure VPN وإحدى شبكاتك المحلية، فإنهما يستهلكان نفقين من إجمالي الحصة النسبية لبوابة Azure VPN.

هل يمكنني الحصول على أنفاق متعددة بين شبكتي Azure الظاهريتين باستخدام BGP؟

نعم، ولكن يجب أن تكون واحدة على الأقل من بوابات الشبكة الظاهرية في تكوين نشط ونشط.

هل يمكنني استخدام BGP ل S2S VPN في تكوين تعايش Azure ExpressRoute وS2S VPN؟

نعم.

ما الذي يجب أن أضيفه إلى جهاز VPN المحلي الخاص بي لجلسة النظير BGP؟

أضف مسارًا مضيفًا لعنوان IP النظير Azure BGP على جهاز VPN الخاص بك. يشير هذا المسار إلى نفق IPsec S2S VPN. على سبيل المثال، إذا كان عنوان IP النظير لـ Azure VPN هو 10.12.255.30، يمكنك إضافة مسار مضيف لـ 10.12.255.30 مع واجهة القفزة التالية لواجهة نفق IPsec المطابقة على جهاز VPN الخاص بك.

هل تدعم بوابة الشبكة الظاهرية BFD لاتصالات S2S مع BGP؟

‏‏لا. اكتشاف إعادة التوجيه ثنائي الاتجاه (BFD) هو بروتوكول يمكنك استخدامه مع BGP للكشف عن وقت توقف الجار بشكل أسرع مما يمكنك باستخدام «keepalives» BGP القياسي. يستخدم BFD مؤقتات فرعية مصممة للعمل في بيئات LAN، ولكن ليس عبر الإنترنت العام أو اتصالات الشبكة واسعة النطاق.

بالنسبة إلى الاتصالات عبر الإنترنت العام، فإن تأخير بعض الحزم أو حتى إسقاطها ليس أمرًا غير عادي، لذا فإن إدخال هذه المؤقتات العدوانية يمكن أن يضيف عدم الاستقرار. قد يتسبب عدم الاستقرار هذا في إضعاف الطرق بواسطة BGP. وكبديل، يمكنك تكوين جهازك المحلي باستخدام مؤقتات أقل من الفاصل الزمني الافتراضي «للاحتفاظ» بـ 60 ثانية ومؤقت الانتظار لمدة 180 ثانية. وهذا يؤدي إلى وقت تقارب أسرع. ومع ذلك، لا يمكن الاعتماد على المؤقتات التي تقل عن الفاصل الزمني الافتراضي "المؤقت" الذي يبلغ 60 ثانية أو أقل من مؤقت الانتظار الافتراضي الذي يبلغ 180 ثانية. يوصى بإبقاء المؤقتات عند القيم الافتراضية أو فوقها.

هل تبدأ بوابات Azure VPN جلسات أو اتصالات نظير BGP؟

تبدأ البوابة جلسات نظير BGP إلى عناوين IP نظير BGP المحلية المحددة في موارد بوابة الشبكة المحلية باستخدام عناوين IP الخاصة على بوابات VPN. هذا بغض النظر عما إذا كانت عناوين IP BGP المحلية في نطاق APIPA أو عناوين IP الخاصة العادية. إذا كانت أجهزة VPN المحلية الخاصة بك تستخدم عناوين APIPA كعنوان IP ل BGP، فأنت بحاجة إلى تكوين مكبر صوت BGP لبدء الاتصالات.

هل يمكنني تكوين الأنفاق القسرية؟

نعم. راجع تكوين الاتصال النفقي القسري.

ترجمة عناوين الشبكة (NAT)

هل NAT مدعوم على جميع وحدات SKU الخاصة ببوابة Azure VPN؟

يتم دعم NAT على VpnGw2 ~ 5 وVpnGw2AZ ~ 5AZ.

هل يمكنني استخدام NAT في اتصالات شبكة ظاهرية إلى شبكة ظاهرية أو نقطة إلى موقع؟

‏‏لا.

كم عدد قواعد NAT التي يمكنني استخدامها على بوابة VPN؟

يمكنك إنشاء ما يصل إلى 100 قاعدة NAT (قواعد الدخول Egress معا) على بوابة VPN.

هل يمكنني استخدام / في اسم قاعدة NAT؟

‏‏لا. ستتلقى خطأ.

هل يتم تطبيق NAT على جميع الاتصالات على بوابة VPN؟

يتم تطبيق NAT على الاتصالات مع قواعد NAT. إذا كان الاتصال لا يحتوي على قاعدة ترجمة عناوين الشبكة (NAT)، فلن يتم تفعيل ترجمة عناوين الشبكة (NAT) على هذا الاتصال. على نفس بوابة VPN، يمكنك الحصول على بعض الاتصالات مع NAT، واتصالات أخرى دون أن تعمل NAT معًا.

ما هي أنواع NAT المدعومة على بوابات Azure VPN؟

يتم دعم NAT الثابت 1: 1 وNAT الديناميكي فقط. NAT64 غير مدعوم.

هل تعمل NAT على بوابات VPN النشطة والنشطة؟

نعم. تعمل NAT على كل من بوابات VPN النشطة النشطة والاحتياطية النشطة. يتم تطبيق كل قاعدة NAT على مثيل واحد من بوابة VPN. في البوابات النشطة-النشطة، قم بإنشاء قاعدة NAT منفصلة لكل مثيل بوابة من خلال حقل "معرف تكوين IP".

هل تعمل NAT مع اتصالات BGP؟

نعم، يمكنك استخدام BGP مع NAT. فيما يلي بعض الاعتبارات المهمة:

حدد تمكين ترجمة مسار BGP في صفحة تكوين قواعد NAT لضمان ترجمة المسارات التي تم التعرف عليها والمسارات المعلن عنها إلى بادئات عناوين ما بعد ترجمة عناوين الشبكة (التعيينات الخارجية) استناداً إلى قواعد NAT المرتبطة بالاتصالات. تحتاج إلى التأكد من أن أجهزة توجيه BGP المحلية تعلن عن البادئات الدقيقة كما هو محدد في قواعد IngressSNAT.
إذا كان موجه VPN المحلي يستخدم عنوانا عاديا غير APIPA ويصطدم بمساحة عنوان الشبكة الظاهرية أو مساحات الشبكة المحلية الأخرى، فتأكد من أن قاعدة IngressSNAT ستترجم عنوان IP النظير BGP إلى عنوان فريد غير متداخل ووضع عنوان ما بعد NAT في حقل عنوان IP لنظير BGP لبوابة الشبكة المحلية.
NAT غير مدعوم مع عناوين BGP APIPA.

هل أحتاج إلى إنشاء قواعد DNAT المطابقة لقاعدة SNAT؟

‏‏لا. تحدد قاعدة SNAT واحدة الترجمة لكلا اتجاهي شبكة معينة:

تحدد قاعدة IngressSNAT ترجمة عناوين IP المصدر القادمة إلى بوابة Azure VPN من الشبكة المحلية. كما أنه يعالج ترجمة عناوين IP الوجهة التي تغادر من الشبكة الظاهرية إلى نفس الشبكة المحلية.
تحدد قاعدة EgressSNAT ترجمة عناوين IP لمصدر الشبكة الظاهرية وترك بوابة Azure VPN إلى الشبكات المحلية. كما أنه يعالج ترجمة عناوين IP الوجهة للحزم الواردة إلى الشبكة الظاهرية عبر تلك الاتصالات مع قاعدة EgressSNAT.
في كلتا الحالتين، لا توجد حاجة إلى قواعد DNAT.

ماذا أفعل إذا كانت مساحة عنوان VNet أو بوابة الشبكة المحلية تحتوي على بادئتين أو أكثر؟ هل يمكنني تطبيق NAT عليهم جميعًا؟ أو إنشاء مجموعة فرعية فقط؟

تحتاج إلى إنشاء قاعدة NAT واحدة لكل بادئة تحتاج إليها إلى NAT لأن كل قاعدة NAT يمكن أن تتضمن بادئة عنوان واحدة فقط ل NAT. على سبيل المثال، إذا كانت مساحة عنوان بوابة الشبكة المحلية تتكون من 10.0.1.0/24 و10.0.2.0/25، فإنه يمكنك إنشاء قاعدتين كما هو موضح أدناه:

قاعدة الدخول إلى الشبكة 1: تعيين 10.0.1.0/24 إلى 100.0.1.0/24
قاعدة IngressSNAT 2: تعيين 10.0.2.0/25 إلى 100.0.2.0/25

يجب أن تتطابق القاعدتان مع أطوال بادئة بادئات العناوين المقابلة. وينطبق الشيء نفسه على قواعد EgressSNAT لمساحة عنوان الشبكة الظاهرية.

هام

إذا قمت بربط قاعدة واحدة فقط بالاتصال أعلاه، فلن تتم ترجمة مساحة العنوان الأخرى.

ما هي نطاقات IP التي يمكنني استخدامها للتعيين الخارجي؟

يمكنك استخدام أي نطاق IP مناسب تريده للتعيين الخارجي، بما في ذلك عناوين IP العامة والخاصة.

هل يمكنني استخدام قواعد EgressSNAT مختلفة لترجمة مساحة عنوان VNet الخاصة بي إلى بادئات مختلفة لشبكات محلية مختلفة؟

نعم، يمكنك إنشاء قواعد EgressSNAT متعددة لنفس مساحة عنوان VNet، وتطبيق قواعد EgressSNAT على اتصالات مختلفة.

هل يمكنني استخدام نفس قاعدة IngressSNAT في اتصالات مختلفة؟

نعم، يتم استخدام هذا عادة عندما تكون الاتصالات لنفس الشبكة المحلية لتوفير التكرار. لا يمكنك استخدام نفس قاعدة الدخول إذا كانت الاتصالات لشبكات محلية مختلفة.

هل أحتاج إلى قواعد الدخول Egress على اتصال NAT؟

تحتاج إلى قواعد الدخول والخروج على نفس الاتصال عندما تتداخل مساحة عنوان الشبكة المحلية مع مساحة عنوان الشبكة الظاهرية. إذا كانت مساحة عنوان الشبكة الظاهرية فريدة بين جميع الشبكات المتصلة، فلن تحتاج إلى قاعدة EgressSNAT على تلك الاتصالات. يمكنك استخدام قواعد Ingress لتجنب تداخل العناوين بين الشبكات المحلية.

ما الذي أختاره ك "معرف تكوين IP"؟

"معرّف تكوين IP" هو ببساطة اسم عنصر تكوين IP الذي تريد أن تستخدمه قاعدة NAT. باستخدام هذا الإعداد، يمكنك ببساطة اختيار عنوان IP العام للبوابة الذي ينطبق على قاعدة NAT. إذا لم تحدد أي اسم مخصص في وقت إنشاء البوابة، يتم تعيين عنوان IP الأساسي للبوابة إلى تكوين IP "الافتراضي"، ويتم تعيين IP الثانوي إلى تكوين IP "activeActive".

الاتصال عبر المباني والأجهزة الظاهرية

إذا كان جهازي الظاهري في شبكة ظاهرية ولدي اتصال عبر المباني، فكيف يمكنني الاتصال بالجهاز الظاهري؟

لديك بعض الخيارات. إذا تم تمكين RDP للجهاز الظاهري، فإنه يمكنك الاتصال بجهازك الظاهري باستخدام عنوان IP الخاص. في هذه الحالة، يمكنك تحديد عنوان IP الخاص والمنفذ الذي تريد الاتصال به (عادة 3389). ستحتاج إلى تكوين المنفذ على جهازك الظاهري لنسبة استخدام الشبكة.

يمكنك أيضًا الاتصال بجهازك الظاهري عن طريق عنوان IP خاص من جهاز ظاهري آخر موجود على نفس الشبكة الظاهرية. لا يمكنك RDP على جهازك الظاهري باستخدام عنوان IP الخاص إذا كنت تتصل من موقع خارج شبكتك الظاهرية. على سبيل المثال، إذا كانت لديك شبكة ظاهرية من نقطة إلى موقع مكونة ولم تقم بإنشاء اتصال من جهاز الكمبيوتر الخاص بك، فلا يمكنك الاتصال بالجهاز الظاهري عن طريق عنوان IP الخاص.

إذا كان جهازي الظاهري في شبكة ظاهرية مزودة باتصال عبر المباني، فهل تمر كل حركة المرور من الجهاز الظاهري عبر هذا الاتصال؟

‏‏لا. فقط نسبة استخدام الشبكة التي تحتوي على عنوان IP وجهة موجود في نطاقات عناوين IP للشبكة الظاهرية للشبكة المحلية التي حددتها ستمر عبر بوابة الشبكة الظاهرية. تحتوي نسبة استخدام الشبكة على عنوان IP وجهة موجود داخل الشبكة الظاهرية يبقى داخل الشبكة الظاهرية. يتم إرسال نسبة استخدام الشبكة أخرى من خلال موازن التحميل إلى الشبكات العامة، أو إذا تم استخدام نفق قسري، يتم إرسالها عبر بوابة Azure VPN.

كيف أستكشف أخطاء اتصال RDP بجهاز ظاهري وإصلاحها

إذا كنت تواجه مشكلة في الاتصال بجهاز ظاهري عبر اتصال VPN، فتحقق من العناصر التالية:

تحقق من نجاح اتصال VPN الخاص بك.
تحقق من الاتصال بعنوان IP الخاص بالجهاز الظاهري.
إذا كان يمكنك الاتصال بأي جهاز افتراضي باستخدام عنوان بروتوكول الإنترنت الخاص بدون اسم الكمبيوتر، فتحقق من تهيئة نظام اسماء النطاقات بشكل صحيح. لمزيد من المعلومات حول كيفية عمل تحليل الاسم للأجهزة الظاهرية، راجع تحليل الاسم للأجهزة الظاهرية.

عند الاتصال عبر نقطة إلى موقع، تحقق من العناصر الإضافية التالية:

استخدم "ipconfig" للتحقق من عنوان IPv4 المخصص لمحول Ethernet على الكمبيوتر الذي تتصل منه. إذا كان عنوان IP ضمن نطاق عناوين الشبكة الظاهرية التي تتصل بها، أو ضمن نطاق عناوين VPNClientAddressPool، يشار إلى ذلك بمساحة عنوان متداخلة. عندما تتداخل مساحة العنوان الخاصة بك بهذه الطريقة، لا تصل نسبة استخدام الشبكة إلى Azure، بل تبقى على الشبكة المحلية.
تحقق من إنشاء حزمة تكوين عميل VPN بعد تحديد عناوين IP لخادم DNS للشبكة الظاهرية. إذا قمت بتحديث عناوين IP لخادم DNS، فقم بإنشاء حزمة تكوين عميل VPN جديدة وتثبيتها.

لمزيد من المعلومات حول استكشاف أخطاء اتصال RDP وإصلاحها، راجع استكشاف أخطاء اتصالات سطح المكتب البعيد بجهاز ظاهري وإصلاحها.

صيانة البوابة التي يتحكم فيها العميل

ما هي الخدمات المضمنة في نطاق تكوين الصيانة لبوابات الشبكة؟

يتضمن نطاق بوابات الشبكة موارد البوابة في خدمات الشبكات. هناك أربعة أنواع من الموارد في نطاق بوابات الشبكة:

بوابة الشبكة الظاهرية في خدمة ExpressRoute.
بوابة الشبكة الظاهرية في خدمة بوابة VPN.
بوابة VPN (من موقع إلى موقع) في خدمة Virtual WAN.
بوابة ExpressRoute في خدمة Virtual WAN.

ما هي الصيانة المدعومة أو غير المدعومة من قبل الصيانة التي يتحكم فيها العميل؟

تمر خدمات Azure بتحديثات الصيانة الدورية لتحسين الوظائف والموثوقية والأداء والأمان. بمجرد تكوين نافذة صيانة لمواردك، يتم إجراء صيانة نظام التشغيل والخدمة الضيف أثناء تلك النافذة. لا تغطي الصيانة التي يتحكم فيها العميل تحديثات المضيف، بخلاف تحديثات المضيف (TOR وPower وما إلى ذلك) وتحديثات الأمان الهامة.

هل يمكنني الحصول على إعلام متقدم بالصيانة؟

في هذا الوقت، لا يمكن تمكين الإعلام المتقدم لصيانة موارد Network Gateway.

هل يمكنني تكوين نافذة صيانة أقصر من خمس ساعات؟

في هذا الوقت، تحتاج إلى تكوين نافذة خمس ساعات كحد أدنى في منطقتك الزمنية المفضلة.

هل يمكنني تكوين نافذة صيانة غير الجدول اليومي؟

في هذا الوقت، تحتاج إلى تكوين نافذة صيانة يومية.

هل هناك حالات لا يمكنني فيها التحكم في تحديثات معينة؟

تدعم الصيانة التي يتحكم فيها العميل تحديثات نظام التشغيل والخدمة الضيف. تمثل هذه التحديثات معظم عناصر الصيانة التي تسبب قلقا للعملاء. تقع بعض أنواع التحديثات الأخرى، بما في ذلك تحديثات المضيف، خارج نطاق الصيانة التي يتحكم فيها العميل.

بالإضافة إلى ذلك، إذا كانت هناك مشكلة أمان عالية الخطورة قد تعرض عملائنا للخطر، فقد يحتاج Azure إلى تجاوز تحكم العملاء في نافذة الصيانة ودفع التغيير. هذه هي التكرارات النادرة التي سيتم استخدامها فقط في الحالات القصوى.

هل يجب أن تكون موارد تكوين الصيانة في نفس المنطقة مثل مورد البوابة؟

‏‏نعم‬

ما هي وحدات SKU الخاصة بالبوابة التي يمكن تكوينها لاستخدام الصيانة التي يتحكم فيها العميل؟

يمكن تكوين جميع وحدات SKU للبوابة (باستثناء SKU الأساسية لبوابة VPN) لاستخدام الصيانة التي يتحكم فيها العميل.

كم من الوقت يستغرق نهج تكوين الصيانة لتصبح فعالة بعد تعيينها إلى مورد البوابة؟

قد يستغرق الأمر ما يصل إلى 24 ساعة حتى تتبع بوابات الشبكة جدول الصيانة بعد إقران نهج الصيانة بمورد البوابة.

هل هناك أي قيود على استخدام الصيانة التي يتحكم فيها العميل استنادا إلى عنوان IP العام ل SKU الأساسي؟

نعم. لن تتمكن موارد البوابة التي تستخدم عنوان IP عام ل SKU Basic إلا من الحصول على تحديثات الخدمة بعد جدول الصيانة الذي يتحكم فيه العميل. بالنسبة لهذه البوابات، لا تتبع صيانة نظام التشغيل الضيف جدول الصيانة الذي يتحكم فيه العميل بسبب قيود البنية الأساسية.

كيف يجب أن أخطط لنوافذ الصيانة عند استخدام VPN وExpressRoute في سيناريو التعايش؟

عند العمل مع VPN وExpressRoute في سيناريو التعايش أو كلما كانت لديك موارد تعمل كنسخ احتياطية، نوصي بإعداد نوافذ صيانة منفصلة. يضمن هذا الأسلوب أن الصيانة لا تؤثر على موارد النسخ الاحتياطي في نفس الوقت.

لقد قمت بجدولة نافذة صيانة لموعد مستقبلي لأحد مواردي. هل سيتم إيقاف أنشطة الصيانة مؤقتا على هذا المورد حتى ذلك الحين؟

لا، لن يتم إيقاف أنشطة الصيانة مؤقتا على المورد الخاص بك خلال الفترة قبل نافذة الصيانة المجدولة. للأيام غير المشمولة في جدول الصيانة الخاص بك، تستمر الصيانة كالمعتاد على المورد.

كيف أعمل معرفة المزيد حول صيانة البوابة التي يتحكم فيها العميل؟

لمزيد من المعلومات، راجع مقالة صيانة البوابة التي يتحكم فيها العميل في بوابة VPN.

الخطوات التالية

لمزيد من المعلومات حول بوابة VPN، راجع حول بوابة VPN.
لمزيد من المعلومات حول إعدادات تكوين بوابة VPN، راجع حول إعدادات تكوين بوابة VPN.

"OpenVPN" هي علامة تجارية لشركة OpenVPN Inc.