Share via

تكوين اتصال VPN من موقع إلى موقع عبر نظير ExpressRoute الخاص

  • مقالة

يمكنك تكوين VPN من موقع إلى موقع إلى بوابة شبكة افتراضية عبر نظير خاص ل ExpressRoute باستخدام عنوان IP RFC 1918. يوفر هذا التكوين المزايا التالية:

  • يتم تشفير حركة نقل البيانات عبر الأقران الخاص.

  • يمكن للمستخدمين من نقطة إلى موقع الذين يتصلون ببوابة شبكة افتراضية استخدام ExpressRoute (عبر نفق من موقع إلى موقع) للوصول إلى الموارد المحلية.

  • من الممكن نشر اتصالات VPN من موقع إلى موقع عبر نظير ExpressRoute الخاص في نفس وقت اتصالات VPN من موقع إلى موقع عبر الإنترنت على نفس بوابة VPN.

تتوفر هذه الميزة لجميع وحدات SKU VPN باستثناء Basic SKU.

المتطلبات الأساسية

لإكمال هذا التكوين، تحقق من استيفاء المتطلبات الأساسية التالية:

  • لديك دائرة ExpressRoute تعمل مرتبطة ب VNet حيث يتم إنشاء بوابة VPN (أو سيتم إنشاؤها).

  • يمكنك الوصول إلى الموارد عبر عنوان IP RFC1918 (الخاص) في VNet عبر دائرة ExpressRoute.

التوجيه

يُبين الشكل 1 مثالاً على اتصال VPN عبر نظير ExpressRoute الخاص. في هذا المثال، سترى شبكة داخل الشبكة المحلية متصلة ببوابة VPN لموزع Azure عبر نظير ExpressRoute الخاص. أحد الجوانب المهمة لهذا التكوين هو التوجيه بين الشبكات المحلية و Azure عبر كل من مسارات ExpressRoute و VPN.

الشكل 1

Figure 1

إنشاء الاتصال واضح:

  1. أنشئ اتصال ExpressRoute مع الإقران الخاص ودائرة ExpressRoute.

  2. قم بإنشاء اتصال VPN باستخدام الخطوات الواردة في هذه المقالة.

حركة نقل البيانات من الشبكات المحلية إلى Azure

بالنسبة لنسبة استخدام الشبكة من الشبكات المحلية إلى Azure، يتم الإعلان عن بادئات Azure عبر كل من نظير ExpressRoute الخاص BGP، و VPN BGP إذا تم تكوين BGP على بوابة VPN الخاصة بك. والنتيجة هي مساران (مساران) للشبكة نحو Azure من الشبكات المحلية:

• مسار شبكة واحد عبر المسار المحمي بواسطة IPsec.

• مسار شبكة واحد مباشرة عبر ExpressRoute دون حماية IPsec.

لتطبيق التشفير على الاتصال، يجب عليك التأكد من أنه بالنسبة للشبكة المتصلة بالشبكة الافتراضية الخاصة في الشكل 1، يفضل مسارات Azure عبر بوابة VPN المحلية على مسار ExpressRoute المباشر.

حركة نقل البيانات من Azure إلى الشبكات المحلية

ينطبق المطلب نفسه على حركة نقل البيانات من Azure إلى الشبكات المحلية. لضمان تفضيل مسار IPsec عبر مسار ExpressRoute المباشر (دون IPsec)، لديك خياران:

الإعلان عن بادئات أكثر تحديداً في جلسة VPN BGP للشبكة المتصلة بالشبكة VPN. يمكنك الإعلان عن نطاق أكبر يشمل الشبكة المتصلة بـ VPN عبر إقران ExpressRoute الخاص، ثم نطاقات أكثر تحديداً في جلسة VPN BGP. على سبيل المثال، الإعلان عن 10.0.0.0/16 عبر ExpressRoute، و10.0.1.0/24 عبر VPN.

الإعلان عن بادئات منفصلة ل VPN و ExpressRoute. إذا كانت نطاقات الشبكات المتصلة بالشبكة الافتراضية الخاصة منفصلة عن الشبكات الأخرى المتصلة ب ExpressRoute، فيمكنك الإعلان عن البادئات في جلسات VPN و ExpressRoute BGP على التوالي. على سبيل المثال، الإعلان عن 10.0.0.0/24 عبر ExpressRoute، و10.0.1.0/24 عبر VPN.

في كلا هذين المثالين، سيرسل Azure حركة نقل البيانات إلى 10.0.1.0/24 عبر اتصال VPN بدلاً من إرسالها مباشرة عبر ExpressRoute بدون حماية VPN.

تحذير

إذا قمت بالإعلان عن نفس البادئات على كل من اتصالات ExpressRoute و VPN، فسيستخدم >Azure مسار ExpressRoute مباشرة دون حماية VPN.

خطوات البوابة الإلكترونية

  1. تكوين اتصال من موقع إلى موقع. للحصول على الخطوات، راجع المقالة تكوين الموقع إلى الموقع. تأكد من اختيار بوابة بعنوان Standard Public IP.

    Gateway Private IPs

  2. تمكين عناوين IP الخاصة على البوابة. حدد التكوين، ثم قم بتعيين عناوين IP الخاصة بالبوابة إلى ممكن. حدد حفظ لحفظ التغييرات الخاصة بك.

  3. في صفحة نظرة عامة، حدد الاطلاع على المزيد لعرض عنوان IP الخاص. اكتب هذه المعلومات لاستخدامها لاحقاً في خطوات التكوين.

    Overview page

  4. لتمكين استخدام عنوان IP الخاص ب Azure على الاتصال، حدد تكوين. قم بتعيين استخدام عنوان IP الخاص ب Azure إلى ممكن، ثم حدد حفظ.

    Gateway Private IPs - Enabled

  5. استخدم عنوان IP الخاص الذي كتبته في الخطوة 3 باعتباره IP البعيد على جدار الحماية الداخلي لديك لإنشاء نفق Site-to-Site عبر النظير الخاص لـ ExpressRoute.

    إشعار

    تكوين BGP على بوابة VPN الخاصة بك غير مطلوب لتحقيق اتصال VPN عبر نظير ExpressRoute الخاص.

خطوات PowerShell

  1. تكوين اتصال من موقع إلى موقع. للحصول على الخطوات، راجع مقالة تكوين VPN من موقع إلى موقع. تأكد من اختيار بوابة بعنوان Standard Public IP.

  2. قم بتعيين العلامة لاستخدام عنوان IP الخاص على البوابة باستخدام أوامر PowerShell التالية:

    $Gateway = Get-AzVirtualNetworkGateway -Name <name of gateway> -ResourceGroup <name of resource group>

Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -EnablePrivateIpAddress $true

    يجب أن ترى عنوان IP عاماً وخاصاً. اكتب عنوان IP ضمن قسم "TunnelIpAddresses" من الإخراج. ستستخدم هذه المعلومات في خطوة لاحقة.

  3. قم بتعيين الاتصال لاستخدام عنوان IP الخاص باستخدام الأمر PowerShell التالي:

    $Connection = get-AzVirtualNetworkGatewayConnection -Name <name of the connection> -ResourceGroupName <name of resource group>

Set-AzVirtualNetworkGatewayConnection --VirtualNetworkGatewayConnection $Connection -UseLocalAzureIpAddress $true

  4. من جدار الحماية خاصتك، قم باختبار IP الخاص الذي كتبته في الخطوة 2. يجب أن يكون من الممكن الوصول إليه عبر نظير ExpressRoute الخاص.

  5. استخدم عنوان IP الخاص هذا كعنوان IP بعيد على جدار الحماية المحلي لإنشاء نفق من موقع إلى موقع فوق نظير ExpressRoute الخاص.

الخطوات التالية

لمزيد من المعلومات حول بوابة VPN، راجع ما هي بوابة VPN?