تصميم بوابة VPN
من المهم معرفة أن هناك تكوينات مختلفة متاحة لتوصيلات بوابة VPN. تحتاج إلى تحديد التكوين الذي يناسب احتياجاتك بشكل أفضل. في الأقسام بالأسفل، يمكنك عرض معلومات التصميم ومخططات الهيكل حول اتصالات بوابة VPN التالية. استخدم المخططات والأوصاف للمساعدة في تحديد هيكل الاتصال لتتناسب مع متطلباتك. تُظهر المخططات هياكل الخط الأساسي، ولكن من الممكن بناء تكوينات أكثر تعقيدًا باستخدام المخططات كإرشادات.
شبكة ظاهرية خاصة من موقع إلى موقع
اتصال بوابة VPN من موقع إلى موقع (S 2 S) هو اتصال عبر نفق IPsec/IKE (IKEv 1 أو IKEv 2) VPN. يمكن استخدام اتصالات S2S للتكوينات المحلية والمختلطة. يتطلب اتصال S 2 S جهاز VPN موجود محليًا يحتوي على عنوان IP عام مخصص له. للحصول على معلومات حول تحديد جهاز VPN، راجع الأسئلة الشائعة حول بوابة VPN - أجهزة VPN.
يمكن تكوين بوابة VPN في وضع الاستعداد النشط باستخدام عنوان IP عام واحد أو في وضع نشط باستخدام اثنين من عناوين IP العامة. في وضع الاستعداد النشط، يكون نفق IPsec نشطًا ويكون النفق الآخر في وضع الاستعداد. في هذا الإعداد، تتدفق حركة المرور عبر النفق النشط، وإذا حدثت بعض المشكلات مع هذا النفق، تنتقل حركة المرور إلى النفق الاحتياطي. يوصى بإعداد بوابة VPN في الوضع النشط حيث يكون كلا نفقين IPsec نشطين في وقت واحد، مع تدفق البيانات عبر كلا النفقين في نفس الوقت. ميزة إضافية للوضع النشط هي أن العملاء يواجهون معدلات نقل أعلى.
يمكنك إنشاء أكثر من اتصال VPN واحد من بوابة الشبكة الافتراضية خاصتك، وعادة ما تتصل بمواقع متعددة محلية. عند العمل مع اتصالات متعددة، يجب عليك استخدام نوع VPN قائم على RouteBased (المعروف باسم بوابة ديناميكية عند العمل مع VNets الكلاسيكية). نظرًا إلى أن كل شبكة افتراضية يمكن أن تحتوي على بوابة VPN واحدة فقط، فإن جميع الاتصالات من خلال البوابة تشترك في عرض النطاق الترددي المتاح. يُشار أحيانًا إلى هذا النوع من الاتصال باسم اتصال "متعدد المواقع".
نماذج وطرق النشر لـ S 2 S
| نموذج/طريقة النشر | مدخل Azure | PowerShell | Azure CLI |
|---|---|---|---|
| Resource Manager | برنامج تعليمي برنامج تعليمي |
برنامج تعليمي | برنامج تعليمي |
| كلاسيكي | برنامج تعليمي** | برنامج تعليمي | غير مدعومة |
(**) تشير إلى أن هذه الطريقة تحتوي على خطوات تتطلب PowerShell.
شبكة ظاهرية خاصة من نقطة إلى موقع
يتيح لك اتصال بوابة VPN Point-to-Site (P2S) إنشاء اتصال آمن إلى شبكة الاتصال الظاهرية الخاصة بك من كمبيوتر عميل فردي. يتم تأسيس اتصال نقطة إلى موقع عن طريق بدء تشغيل من الكمبيوتر العميل. يفيد هذا الحل للذين يرغبون في الاتصال ب Azure VNets من موقع بعيد، مثل من المنزل أو المؤتمر. تعتبر الشبكة الظاهرية الخاصة نقطة إلى موقع أيضا حل مفيد لاستخدامه بدلًا من الشبكة الظاهرية الخاصة موقع إلى موقع عندما يكون لديك عدد قليل من العملاء الذين يحتاجون إلى الاتصال بشبكة ظاهرية.
بخلاف اتصالات S 2 S، لا تتطلب اتصالات P 2 S عنوان IP عام محلي أو جهاز VPN. يمكن استخدام توصيلات P 2 S مع توصيلات S 2 S من خلال نفس بوابة VPN، طالما أن جميع متطلبات التكوين لكلتا التوصيلتين متوافقة. لمزيد من المعلومات حول الاتصالات من نقطة إلى موقع، راجع حول VPN من نقطة إلى موقع.
نماذج وطرق النشر لـ P 2 S
مصادقة شهادة Azure الأصلية
| نموذج/طريقة النشر | مدخل Azure | PowerShell |
|---|---|---|
| Resource Manager | برنامج تعليمي | برنامج تعليمي |
| كلاسيكي | برنامج تعليمي | مدعوم |
مصادقة RADIUS
| نموذج/طريقة النشر | مدخل Azure | PowerShell |
|---|---|---|
| Resource Manager | مدعوم | برنامج تعليمي |
| كلاسيكي | غير مدعومة | غير مدعومة |
اتصالات VNet إلى VNet (نفق IPsec/IKE VPN)
يشبه توصيل شبكة ظاهرية بشبكة ظاهرية أخرى (VNet إلى VNet) توصيل VNet بموقع محلي. يستخدم كلا نوعي الاتصال بوابة VPN لتوفير نفق آمن باستخدام IPsec/IKE. يُمْكنك حتى الجمع بين اتصال VNet إلى VNet مع تكوينات اتصال متعددة المواقع. يتيح لك هذا إنشاء هياكل الشبكة التي تجمع بين الاتصال عبر الأماكن والاتصال الشبكي بين الخلايا.
يمكن أن تكون مجموعات VNets التي تقوم بتوصيلها:
- في نفس المناطق أو مناطق مختلفة
- في نفس الاشتراكات أو في اشتراكات مختلفة
- في نفس نماذج النشر أو نماذج مختلفة
الاتصالات بين نماذج النشر
يوجد في Azure حاليًا نموذجان للنشر: الكلاسيكي وإدارة الموارد. إذا كنت تستخدم Azure لبعض الوقت، فمن المحتمل أن يكون لديك Azure VMs وأدوار حالة تعمل في VNet كلاسيكي. قد يتم تشغيل أجهزة VMS الأحدث وحالات الأدوار خاصتك في VNet أُنشئ في Azure Resource Manager. يمكنك إنشاء اتصال بين VNets للسماح للموارد في أحد VNet بالاتصال مباشرة بالموارد في شبكة أخرى.
الإقران بين الشبكات الظاهرية
قد تتمكن من استخدام VNet peering لإنشاء اتصالك، طالما أن شبكتك الظاهرية تلبي متطلبات معينة. لا يستخدم نظير VNet بوابة شبكة ظاهرية. لمزيد من المعلومات، راجع نظير VNet.
نماذج وطرق النشر لشبكة VNet - to - VNet
| نموذج/طريقة النشر | مدخل Azure | PowerShell | Azure CLI |
|---|---|---|---|
| كلاسيكي | برنامج تعليمي* | مدعوم | غير مدعومة |
| Resource Manager | برنامج تعليمي+ | برنامج تعليمي | برنامج تعليمي |
| الاتصالات بين نماذج النشر المختلفة | برنامج تعليمي* | برنامج تعليمي | غير مدعومة |
(+) تشير إلى أن طريقة النشر هذه متاحة فقط لـ VNets في نفس الاشتراك.
(*) يشير إلى أن طريقة النشر هذه تتطلب أيضًا PowerShell.
اتصالات الموقع إلى الموقع وExpressRoute المتزامنة
ExpressRoute هو اتصال خاص ومباشر من شبكة واسعة النطاق (وليس عبر الإنترنت العام) إلى خدمات Microsoft، بما في ذلك Azure. تنتقل نسبة استخدام شبكة VPN من فئة موقع إلى موقع مشفرة عبر الإنترنت العام. تتسم القدرة على تكوين اتصالات ExpressRoute و VPN من فئة موقع إلى موقع لنفس الشبكة الظاهرية بالعديد من المزايا.
يمكنك تكوين VPN من فئة موقع إلى موقع كمسار آمن لتجاوز الفشل في ExpressRoute أو استخدام شبكة ظاهرية خاصة من فئة موقع إلى موقع للاتصال بالمواقع التي لا تشكل جزءاً من شبكتك ولكنها متصلة من خلال ExpressRoute. لاحظ أن هذا التكوين يتطلب اثنتين من بوابات شبكة الاتصال الظاهرية لنفس الشبكة الظاهرية، واحدة باستخدام العبارة 'Vpn'، والآخر باستخدام العبارة 'ExpressRoute'.
تتواجد نماذج وطرق نشر S2S وExpressRoute
| نموذج/طريقة النشر | مدخل Azure | PowerShell |
|---|---|---|
| Resource Manager | مدعوم | برنامج تعليمي |
| كلاسيكي | غير معتمد | برنامج تعليمي |
التوصيلات المتاحة بشكل كبير
للتخطيط والتصميم للتوصيلات المتاحة بدرجة عالية، راجع التوصيلات المتاحة بدرجة عالية.
الخطوات التالية
عرض الأسئلة المتداولة حول بوابة VPN للحصول على معلومات إضافية.
تعلم الكثير حول إعدادات تكوين بوابة VPN.
للحصول على اعتبارات BGP لبوابة VPN، راجع حول BGP.
عرض حدود الاشتراك والخدمة.
تعرف على بعض قدرات الشبكات الرئيسة الأخرى في Azure.