مخطط بوابة VPN وتصميمها
هناك العديد من خيارات التكوين المختلفة المتاحة لاتصالات بوابة VPN. استخدم الرسومات التخطيطية والأوصاف في الأقسام التالية لمساعدتك في تحديد مخطط الاتصال الذي يلبي متطلباتك. تُظهر المخططات هياكل الخط الأساسي، ولكن من الممكن بناء تكوينات أكثر تعقيدًا باستخدام المخططات كإرشادات.
VPN من موقع إلى موقع
اتصال بوابة VPN من موقع إلى موقع (S2S) هو اتصال عبر نفق VPN IPsec/IKE (IKEv1 أو IKEv2). يمكن استخدام الاتصالات من موقع إلى موقع للتكوينات المحلية والتكوينات المختلطة. يتطلب الاتصال من موقع إلى موقع جهاز VPN موجود محليا يحتوي على عنوان IP عام مخصص له. للحصول على معلومات حول تحديد جهاز VPN، راجع الأسئلة المتداولة حول بوابة VPN - أجهزة VPN.
يمكن تكوين بوابة VPN في وضع الاستعداد النشط باستخدام عنوان IP عام واحد أو في وضع نشط باستخدام اثنين من عناوين IP العامة. في وضع الاستعداد النشط، يكون نفق IPsec نشطًا ويكون النفق الآخر في وضع الاستعداد. في هذا الإعداد، تتدفق حركة المرور عبر النفق النشط، وإذا حدثت بعض المشكلات مع هذا النفق، تنتقل حركة المرور إلى النفق الاحتياطي. يوصى بإعداد بوابة VPN في الوضع النشط-النشط حيث يكون كلا نفقي IPsec نشطين في وقت واحد، مع تدفق البيانات عبر كلا النفقين في نفس الوقت. ميزة أخرى من الوضع النشط-النشط هو أن العملاء يعانون من معدل نقل أعلى.
يمكنك إنشاء أكثر من اتصال VPN واحد من بوابة الشبكة الافتراضية خاصتك، وعادة ما تتصل بمواقع متعددة محلية. عند العمل مع اتصالات متعددة، يجب عليك استخدام نوع VPN قائم على RouteBased (المعروف باسم بوابة ديناميكية عند العمل مع VNets الكلاسيكية). نظرًا إلى أن كل شبكة افتراضية يمكن أن تحتوي على بوابة VPN واحدة فقط، فإن جميع الاتصالات من خلال البوابة تشترك في عرض النطاق الترددي المتاح. يُشار أحيانًا إلى هذا النوع من الاتصال باسم اتصال "متعدد المواقع".
نماذج وطرق النشر لـ S 2 S
نموذج/طريقة النشر | مدخل Microsoft Azure | بوويرشيل | Azure CLI |
---|---|---|---|
Resource Manager | تعليمي | تعليمي | تعليمي |
كلاسيكي (نموذج نشر قديم) | تعليمي** | تعليمي | غير معتمد |
(**) تشير إلى أن هذه الطريقة تحتوي على خطوات تتطلب PowerShell.
VPN من نقطة إلى موقع
يتيح لك اتصال بوابة VPN من نقطة إلى موقع (P2S) إنشاء اتصال آمن بشبكتك الظاهرية من كمبيوتر عميل فردي. يتم إنشاء اتصال من نقطة إلى موقع عن طريق تشغيله من كمبيوتر العميل. يعد هذا الحل مفيدا للمتحكمين عن بعد الذين يرغبون في الاتصال بشبكات Azure الظاهرية من موقع بعيد، مثل من المنزل أو المؤتمر. تعد VPN من نقطة إلى موقع أيضا حلا مفيدا لاستخدامه بدلا من VPN من موقع إلى موقع عندما يكون لديك عدد قليل من العملاء الذين يحتاجون إلى الاتصال بشبكة ظاهرية.
على عكس الاتصالات من موقع إلى موقع، لا تتطلب الاتصالات من نقطة إلى موقع عنوان IP محلي عام أو جهاز VPN. يمكن استخدام اتصالات من نقطة إلى موقع مع اتصالات من موقع إلى موقع من خلال نفس بوابة VPN، طالما أن جميع متطلبات التكوين لكلا الاتصالين متوافقة. لمزيد من المعلومات حول اتصالات من نقطة إلى موقع، راجع حول VPN من نقطة إلى موقع.
نماذج وطرق النشر لـ P 2 S
مصادقة شهادة Azure الأصلية | نموذج/طريقة النشر | مدخل Microsoft Azure | بوويرشيل |
---|---|---|---|
Resource Manager | تعليمي | تعليمي | |
كلاسيكي (نموذج نشر قديم) | تعليمي | مدعوم |
مصادقة Microsoft Entra | نموذج/طريقة النشر | الماده |
---|---|---|
Resource Manager | إنشاء مستأجر | |
Resource Manager | تكوين الوصول- المستخدمين والمجموعات |
مصادقة RADIUS | نموذج/طريقة النشر | مدخل Microsoft Azure | بوويرشيل |
---|---|---|---|
Resource Manager | مدعوم | تعليمي | |
كلاسيكي (نموذج نشر قديم) | غير معتمد | غير معتمد |
تكوين عميل P2S VPN
المصادقة | نوع النفق | إنشاء ملفات التكوين | تكوين عميل VPN |
---|---|---|---|
شهادة Azure | IKEv2، SSTP | Windows | عميل VPN الأصلي |
شهادة Azure | OpenVPN | Windows | - عميل OpenVPN - عميل Azure VPN |
شهادة Azure | IKEv2، و OpenVPN | macOS-iOS | macOS-iOS |
شهادة Azure | IKEv2، و OpenVPN | Linux | Linux |
Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
Microsoft Entra ID | OpenVPN (SSL) | ماك | ماك |
RADIUS - شهادة | - | الماده | الماده |
RADIUS - رمز الوصول | - | الماده | الماده |
RADIUS - طرق أخرى | - | الماده | الماده |
اتصالات VNet إلى VNet (نفق IPsec/IKE VPN)
يشبه الاتصال شبكة ظاهرية بشبكة ظاهرية أخرى (VNet-to-VNet) توصيل شبكة ظاهرية بموقع موقع محلي. يستخدم كلا نوعي الاتصال بوابة VPN لتوفير نفق آمن باستخدام IPsec/IKE. يُمْكنك حتى الجمع بين اتصال VNet إلى VNet مع تكوينات اتصال متعددة المواقع. يتيح لك هذا إنشاء هياكل الشبكة التي تجمع بين الاتصال عبر الأماكن والاتصال الشبكي بين الخلايا.
يمكن أن تكون الشبكات الظاهرية التي تتصل بها:
- في نفس المناطق أو مناطق مختلفة
- في نفس الاشتراكات أو في اشتراكات مختلفة
- في نفس نماذج النشر أو نماذج مختلفة
نماذج وطرق النشر لشبكة VNet - to - VNet
نموذج/طريقة النشر | مدخل Microsoft Azure | بوويرشيل | Azure CLI |
---|---|---|---|
Resource Manager | البرنامج التعليمي+ | تعليمي | تعليمي |
كلاسيكي (نموذج نشر قديم) | تعليمي* | مدعوم | غير معتمد |
الاتصال بين Resource Manager ونماذج التوزيع الكلاسيكية (القديمة) | تعليمي* | تعليمي | غير معتمد |
(+) تشير إلى أن طريقة النشر هذه متاحة فقط لـ VNets في نفس الاشتراك.
(*) يشير إلى أن طريقة النشر هذه تتطلب أيضًا PowerShell.
في بعض الحالات، قد تحتاج إلى استخدام نظير الشبكة الظاهرية بدلا من VNet-to-VNet لتوصيل الشبكات الظاهرية. لا يستخدم نظير الشبكة الظاهرية بوابة شبكة ظاهرية. للحصول على المزيد من المعلومات، راجع تناظر الشبكة الافتراضية.
اتصالات متعايشة من موقع إلى موقع وExpressRoute
ExpressRoute هو اتصال خاص ومباشر من شبكة واسعة النطاق (وليس عبر الإنترنت العام) إلى خدمات Microsoft، بما في ذلك Azure. تنتقل نسبة استخدام الشبكة VPN من موقع إلى موقع مشفرة عبر الإنترنت العام. القدرة على تكوين اتصالات VPN وExpressRoute من موقع إلى موقع لنفس الشبكة الظاهرية له العديد من المزايا.
يمكنك تكوين VPN من موقع إلى موقع كمسار آمن لتجاوز الفشل ل ExpressRoute، أو استخدام الشبكات الظاهرية الخاصة من موقع إلى موقع للاتصال بالمواقع التي ليست جزءا من شبكتك، ولكنها متصلة من خلال ExpressRoute. لاحظ أن هذا التكوين يتطلب بوابتي شبكة ظاهرية لنفس الشبكة الظاهرية، واحدة تستخدم نوع البوابة Vpn، والأخرى باستخدام نوع البوابة ExpressRoute.
نماذج التوزيع وأساليب اتصالات S2S وExpressRoute المتعايشة
نموذج/طريقة النشر | مدخل Microsoft Azure | بوويرشيل |
---|---|---|
Resource Manager | دعم | تعليمي |
كلاسيكي (نموذج نشر قديم) | غير معتمد | تعليمي |
التوصيلات المتاحة بشكل كبير
للتخطيط والتصميم للاتصالات عالية التوفر، راجع الاتصالات عالية التوفر.
الخطوات التالية
اعرض الأسئلة المتداولة حول بوابة VPN للحصول على معلومات إضافية.
تعرف على المزيد حول إعدادات تكوين بوابة VPN.
لاعتبارات BGP لبوابة VPN، راجع حول BGP.
تعرف على بعض قدرات الشبكات الرئيسية الأخرى في Azure.