قم بتكوين التوجيه القسري للأسفل باستخدام نموذج التوزيع الكلاسيكي

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يؤدي النفق الإجباري لإعادة توجيه جميع طرق نقل البيانات المرتبطة بالإنترنت مرة أخرى نحو موقعك المحلي أو "إجبارها" على ذلك عبر نفق VPN من الموقع إلى الموقع للفحص والتدقيق. يعتبر هذا شرطاً أمنياً حاسماً لمعظم سياسات تكنولوجيا معلومات المؤسسة. بدون التوجيه القسري للأسفل، فإن نقل البيانات المرتبط بالإنترنت من أجهزتك الظاهرية في Azure سيعبر دائماً من البنية الأساسية لشبكة Azure مباشرة إلى الإنترنت، دون السماح لك بفحص عملية نقل البيانات أو تدقيقها. قد يؤدي الوصول غير المصرح به إلى الإنترنت إلى الكشف عن المعلومات أو أنواع أخرى من الخروقات الأمنية.

في الوقت الحالي، يعمل Azure مع نموذجين النشر: نموذج Azure Resource Manager والنموذج الكلاسيكي. كلا النموذجين لا يتوافقان تماماً مع بعضها بعضاً. قبل البدء، أنت بحاجة إلى تحديد النموذج الذي تريد العمل فيه. للحصول على معلومات حول نماذج النشر، راجع فهم نماذج النشر. إذا كنت مستخدماً جديداً لـ Azure، فنوصيك باستخدام نموذج نشر Azure Resource Manager.

سترشدك هذه المقالة لكيفية تكوين التوجيه القسري للأسفل للشبكات الظاهرية التي تم إنشاؤها باستخدام نموذج التوزيع الكلاسيكي. يمكن تكوين التوجيه القسري للأسفل باستخدام PowerShell، وليس من خلال المدخل. إذا أردت تكوين التوجيه القسري للأسفل لـ نموذج توزيع Resource Manager، فحدد مقالة Resource Manager من القائمة المنسدلة التالية:

• كلاسيكي
• Resource Manager

المتطلبات والاعتبارات

يتم تكوين Forced tunneling في Azure عبر التوجيهات المعرفة من قِبَل مستخدم الشبكة الظاهرية (UDR). تأخذ إعادة توجيه نسبة استخدام الشبكة إلى موقع محلي شكل المسار الافتراضي إلى بوابة Azure VPN. يعرض القسم التالي قائمة القيود الحالية على جدول التوجيه والمسارات لشبكة Azure الظاهرية:

• تحتوي كل شبكة فرعية تابعة لشبكة ظاهرية على جدول مسارات نظام مضمن. يحتوي جدول مسارات النظام على المجموعات الثلاث التالية من المسارات:

  • مسارات VNet المحلية: مباشرة إلى VMs الوجهة في نفس الشبكة الظاهرية.
  • المسارات الداخلية: إلى بوابة Azure VPN.
  • المسار الافتراضي: مباشرة إلى الإنترنت. يتم إسقاط حزم البيانات الموجهة إلى عناوين IP الخاصة التي لا تشمل المساريين السابقين.

• بمساعدة إصدار المسارات التي يعرفها المستخدم، يمكنك إنشاء جدول توجيه لإضافة مسار افتراضي، ثم تقوم بربط جدول التوجيه بالشبكة (الشبكات) الفرعية VNet لتمكين التوجيه القسري للأسفل على تلك الشبكات الفرعية.

• يجب عليك تعيين اتصال «موقع افتراضي» بين المواقع المحلية متعددة الأماكن المتصلة بالشبكة الظاهرية.

• يجب اقتران التوجيه القسري للأسفل بـ VNet تحتوي على بوابة VPN ديناميكية للتوجيه (وليس بوابة ثابتة).

• لا يتم تكوين التوجيه القسري للأسفل لـ ExpressRoute عبر هذه الآلية، ولكن يتم تمكينها عن طريق الإعلان عن مسار افتراضي عبر جلسات النظراء ExpressRoute BGP. لمزيد من المعلومات، راجع ما هو Azure Bastion؟.

نظرة عامة على التكوين

في المثال التالي، لن لا تستجيب الشبكة الفرعية الأمامية للتوجيه القسري للأسفل. يمكن أن تستمر أحمال العمل في الشبكة الفرعية الأمامية في قبول طلبات العملاء من الإنترنت والاستجابة لها مباشرة. تتصل الشبكات الفرعية من المستوى المتوسط والواجهة الخلفية نفقياً. سيتم إجبار أي اتصالات صادرة من هاتين الشبكتين الفرعيتين على الإنترنت أو إعادة توجيهها للعودة إلى موقع محلي عبر أحد أنفاق VPN (من موقع إلى موقع) (S2S).

يمكنك هذا من تقييد الوصول إلى الإنترنت وفحصه من الأجهزة الظاهرية أو الخدمات السحابية في Azure مع الاستمرار في تمكين بنية الخدمة متعددة المستويات. يمكنك أيضا تطبيق التوجيه القسري للأسفل على الشبكات الافتراضية بأكملها في حالة عدم وجود أحمال عمل على الإنترنت في شبكاتك الافتراضية.

المتطلبات الأساسية

تحقق من أن لديك العناصر التالية قبل بدء الإعداد الخاص بك:

• اشتراك Azure. إذا لم يكن لديك بالفعل اشتراك Azure، فيمكنك تنشيط مزايا اشتراك MSDN أو التسجيل للحصول على حساب مجاني.
• شبكة افتراضية تم تكوينها.
• لا يمكنك استخدام Azure Cloud Shell في حالة استخدام نموذج التوزيع الكلاسيكي. بدلا من ذلك، يجب تثبيت أحدث إصدار من Azure Service Management (SM) PowerShell cmdlets محليًا على جهاز الكمبيوتر الخاص بك. تختلف أوامر cmdlets لـ PowerShell عن أوامر AzureRM أو Az cmdlets. لتثبيت أوامر cmdlets SM، راجع Install Service Management cmdlets. لمزيد من المعلومات حول Azure PowerShell، راجع وثائق Azure PowerShell.

تكوين الاتصال النفقي

سيساعدك الإجراء التالي على تحديد التوجيه القسري للأسفل المناسب للشبكة الافتراضية. تتوافق خطوات التكوين مع ملف تكوين شبكة VNet. في هذا المثال، تحتوي الشبكة الافتراضية "MultiTier-VNet" على ثلاث شبكات فرعية: الشبكات الفرعية "Frontend" و "Midtier" و "Backend"، مع أربعة اتصالات بينية: "DefaultSiteHQ" وثلاثة فروع.

<VirtualNetworkSite name="MultiTier-VNet" Location="North Europe">
     <AddressSpace>
      <AddressPrefix>10.1.0.0/16</AddressPrefix>
        </AddressSpace>
        <Subnets>
          <Subnet name="Frontend">
            <AddressPrefix>10.1.0.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="Midtier">
            <AddressPrefix>10.1.1.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="Backend">
            <AddressPrefix>10.1.2.0/23</AddressPrefix>
          </Subnet>
          <Subnet name="GatewaySubnet">
            <AddressPrefix>10.1.200.0/28</AddressPrefix>
          </Subnet>
        </Subnets>
        <Gateway>
          <ConnectionsToLocalNetwork>
            <LocalNetworkSiteRef name="DefaultSiteHQ">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch1">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch2">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch3">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
        </Gateway>
      </VirtualNetworkSite>
    </VirtualNetworkSite>

ستقوم الخطوات التالية بتعيين "DefaultSiteHQ" كاتصال الموقع الافتراضي للتوجيه القسري للأسفل، وتكوين الشبكات الفرعية Midtier و Backend لاستخدام التوجيه القسري للأسفل.

1. افتح وحدة تحكم PowerShell الخاصة بك بصلاحيات مرتفعة. الاتصال إلى حسابك باستخدام المثال التالي:

   Add-AzureAccount
   

2. إنشاء جدول مسارات. استخدم أمر cmdlet التالي لإنشاء جدول التوجيه الخاص بك.

   New-AzureRouteTable –Name "MyRouteTable" –Label "Routing Table for Forced Tunneling" –Location "North Europe"
   

3. إضافة مسار افتراضي إلى جدول التوجيه.

   يضيف المثال التالي مسارًا افتراضيًا إلى جدول التوجيه الذي تم إنشاؤه في الخطوة 1. لاحظ أن المسار الوحيد المدعوم هو بادئة الوجهة "0.0.0.0/0" إلى "VPNGateway" NextHop.

   Get-AzureRouteTable -Name "MyRouteTable" | Set-AzureRoute –RouteTable "MyRouteTable" –RouteName "DefaultRoute" –AddressPrefix "0.0.0.0/0" –NextHopType VPNGateway
   

4. إقران جدول التوجيه بالشبكة الفرعية.

   بعد إنشاء جدول توجيه وإضافة مسار، استخدم المثال التالي لإضافة جدول توجيه أو إقرانه بشبكة فرعية VNet. يضيف المثال جدول توجيه "MyRouteTable" إلى الشبكات الفرعية Midtier و Backend لـ VNet MultiTier-VNet.

   Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Midtier" -RouteTableName "MyRouteTable"
   Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Backend" -RouteTableName "MyRouteTable"
   

5. تعيين موقع افتراضي للتوجيه القسري للأسفل.

   في الخطوة السابقة، أنشأ نموذج البرامج النصية cmdlet جدول التوجيه وقام بإقران جدول المسار بشبكتين فرعيتين من شبكات VNet. الخطوة المتبقية هي تحديد موقع محلي من بين الاتصالات متعددة المواقع للشبكة الظاهرية كموقع افتراضي أو نفق.

   $DefaultSite = @("DefaultSiteHQ")
   Set-AzureVNetGatewayDefaultSite –VNetName "MultiTier-VNet" –DefaultSite "DefaultSiteHQ"
   

أوامر إضافية لـ PowerShell cmdlets

لحذف جدول توجيه

Remove-AzureRouteTable -Name <routeTableName>

لإدراج جدول توجيه

Get-AzureRouteTable [-Name <routeTableName> [-DetailLevel <detailLevel>]]

لحذف مسار من جدول توجيه

Remove-AzureRouteTable –Name <routeTableName>

لإزالة مسار من شبكة فرعية

Remove-AzureSubnetRouteTable –VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

لإدراج جدول المسارات المقترن بشبكة فرعية

Get-AzureSubnetRouteTable -VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

لإزالة موقع افتراضي من بوابة VPN VNet

Remove-AzureVnetGatewayDefaultSite -VNetName <virtualNetworkName>