حول إعدادات تكوين VPN Gateway
بوابة VPN هي نوع من بوابة الشبكة الظاهرية التي ترسل نسبة استخدام شبكة مشفرة بين شبكتك الظاهرية وموقعك المحلي عبر اتصال عام. يمكنك أيضًا استخدام بوابة VPN لإرسال نسبة استخدام الشبكة بين الشبكات الظاهرية عبر شبكة تجميع Azure.
يعتمد اتصال بوابة VPN على تكوين موارد متعددة، كل منها يحتوي على إعدادات قابلة للتكوين. تناقش الأقسام في هذه المقالة الموارد والإعدادات التي تتعلق ببوابة VPN لشبكة ظاهرية تم إنشاؤها في نموذج توزيع Resource Manager. يمكنك العثور على أوصاف ومخططات لكل حل اتصال في المقالة حول VPN Gateway.
تنطبق القيم في هذه المقالة على بوابات VPN (بوابات شبكة الاتصال الظاهرية التي تستخدم Vpn-GatewayType). لا تغطي هذه المقالة كافة أنواع البوابات أو بوابات المنطقة المكررة.
للحصول على القيم التي تنطبق على -GatewayType 'ExpressRoute'، راجع بوابات الشبكة الظاهرية لـ ExpressRoute.
بالنسبة للبوابات المكررة للمنطقة، راجع حول بوابات المنطقة المكررة.
للبوابات النشطة، راجع حول الاتصال ذي قابلية الوصول العالية.
بالنسبة إلى Virtual WAN، راجع حول Virtual WAN.
أنواع البوابات
يمكن أن يكون لكل شبكة ظاهرية بوابة شبكة ظاهرية واحدة فقط من كل نوع. عند إنشاء بوابة شبكة ظاهرية، يجب التأكد من صحة نوع البوابة للتكوين الخاص بك.
القيم المتوفرة لـ -GatewayType هي:
- Vpn
- ExpressRoute
تتطلب بوابة VPN -GatewayTypeVpn.
مثال:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
بوابات وحدات SKU
عند إنشاء بوابة الشبكة الظاهرية، يجب عليك تحديد بوابة SKU التي تريد استخدامها. حدد SKU الذي يلبي متطلباتك استنادًا إلى أنواع أحمال العمل ومعدلات النقل والميزات وSLAs. للحصول على وحدات SKU لعبارة الشبكة الظاهرية في Azure Availability Zones، راجع وحدات SKU لبوابة Azure Availability Zones.
بوابة وحدات SKU حسب النفق والاتصال والإنتاجية
| الشبكة الخاصة الظاهرية (VPN) البوابة الجيل |
SKU | S2S/VNet-to-VNet الأنفاق |
اتصالات P2S اتصالات SSTP |
اتصالات P2S اتصالات IKEv2/OpenVPN |
التجميع معيار معدل النقل |
BGP | Zone-redundant |
|---|---|---|---|---|---|---|---|
| Generation1 | أساسي | حد أقصى. 10 | حد أقصى. 128 | غير مدعومة | يبلغ 100 ميغابت في الثانية | غير مدعومة | لا |
| Generation1 | VpnGw1 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 250 | 650 ميغابت في الثانية | مدعوم | لا |
| Generation1 | VpnGw2 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 500 | يبلغ 1 جيجابت في الثانية | مدعوم | لا |
| Generation1 | VpnGw3 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 1000 | 1.25 غيغابت في الثانية | مدعوم | لا |
| Generation1 | VpnGw1AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 250 | 650 ميغابت في الثانية | مدعوم | نعم |
| Generation1 | VpnGw2AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 500 | يبلغ 1 جيجابت في الثانية | مدعوم | نعم |
| Generation1 | VpnGw3AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 1000 | 1.25 غيغابت في الثانية | مدعوم | نعم |
| Generation2 | VpnGw2 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 500 | 1.25 غيغابت في الثانية | مدعوم | لا |
| Generation2 | VpnGw3 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 1000 | 2.5 غيغابت في الثانية | مدعوم | لا |
| Generation2 | VpnGw4 | الحد الأقصى. 100* | حد أقصى. 128 | حد أقصى. 5000 | 5 غيغابت في الثانية | مدعوم | لا |
| Generation2 | VpnGw5 | الحد الأقصى. 100* | حد أقصى. 128 | حد أقصى. 10000 | 10 جيجابت لكل ثانية | مدعوم | لا |
| Generation2 | VpnGw2AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 500 | 1.25 غيغابت في الثانية | مدعوم | نعم |
| Generation2 | VpnGw3AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 1000 | 2.5 غيغابت في الثانية | مدعوم | نعم |
| Generation2 | VpnGw4AZ | الحد الأقصى. 100* | حد أقصى. 128 | حد أقصى. 5000 | 5 غيغابت في الثانية | مدعوم | نعم |
| Generation2 | VpnGw5AZ | الحد الأقصى. 100* | حد أقصى. 128 | حد أقصى. 10000 | 10 جيجابت لكل ثانية | مدعوم | نعم |
(*) استخدم Virtual WAN إذا كنت بحاجة إلى أكثر من 100 نفقًا لشبكة S2S VPN.
يسمح تغيير حجم SKU VpnGw داخل نفس الجيل، باستثناء تغيير حجم Basic SKU. Basic SKU هي وحدة حفظ مخزون قديمة ولها حدود في الميزة. للانتقال من Basic إلى SKU آخر، يجب عليك حذف بوابة Basic SKU VPN وإنشاء بوابة جديدة باستخدام المزيج من Generation وحجم SKU المطلوب. (راجع العمل مع وحدات SKU القديمة).
حدود الاتصال هذه منفصلة. على سبيل المثال، يمكن أن يكون لديك 128 اتصالاً من SSTP وأيضاً 250 اتصالاً من IKEv2 على VpnGw1 SKU.
يمكنك العثور على معلومات التسعير في صفحةالتسعير.
يمكن العثور على معلومات اتفاقية مستوى الخدمة (SLA) في صفحةاتفاقية مستوى الخدمة
يقلل IPsec من معدل نقل بوابة VPN واحدة (كل من اتصالات S2S وP2S) إلى 1.25 جيجابت في الثانية. إذا كان لديك الكثير من اتصالات P2S، فإنها ستؤثر سلبًا على اتصالات S2S خاصتك. تم اختبار معايير إجمالي معدل النقل من خلال زيادة مزيج من اتصالات S2S وP2S. سيكون لاتصال P2S الواحد معدل نقل أقل بكثير من حد 1.25 جيجابت في الثانية.
لاحظ أن جميع المعايير غير مضمونة بسبب ظروف حركة المرور على الإنترنت وسلوكيات التطبيق خاصتك
لمساعدة عملائنا على فهم الأداء النسبي لوحدات حفظ المخزون (SKU) باستخدام خوارزميات مختلفة، استخدمنا أدوات iPerf وCTSTraffic المتاحة للجمهور لقياس أداء الاتصالات من الموقع إلى الموقع. يسرد الجدول أدناه نتائج اختبارات الأداء لـGeneration 1، وحدات VpnGw SKUs. كما تري، يتم الحصول على أفضل أداء عندما استخدمنا خوارزمية GCMAES256 لكل من التشفير والنزاهة IPsec. حصلنا على متوسط الأداء عند استخدام AES256 لتشفير IPsec وSHA256 للتكامل. عندما استخدمنا DES3 لتشفير IPsec وSHA256 للتكامل، حصلنا على أدنى أداء.
يتصل نفق VPN بمثيل بوابة VPN. يتم ذكر كل معدل نقل مثيل في جدول معدلات النقل أعلاه وهي متوفرة مجمعة عبر كافة الأنفاق المتصلة بهذا المثيل.
| الجيل | SKU | الخوارزميات used |
معدل النقل لوحظ في كل نفق |
الحزم في الثانية لكل نفق لوحظ |
|---|---|---|---|---|
| Generation1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 ميغابت في الثانية 500 ميغابت لكل ثانية 120 ميغابايت في الثانية |
58,000 50,000 50,000 |
| Generation1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
يبلغ 1 جيجابت في الثانية 500 ميغابت لكل ثانية 120 ميغابايت في الثانية |
90,000 80,000 55,000 |
| Generation1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 غيغابت في الثانية 550 ميغابايت في الثانية 120 ميغابايت في الثانية |
105,000 90,000 60,000 |
| Generation1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 ميغابت في الثانية 500 ميغابت لكل ثانية 120 ميغابايت في الثانية |
58,000 50,000 50,000 |
| Generation1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
يبلغ 1 جيجابت في الثانية 500 ميغابت لكل ثانية 120 ميغابايت في الثانية |
90,000 80,000 55,000 |
| Generation1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 غيغابت في الثانية 550 ميغابايت في الثانية 120 ميغابايت في الثانية |
105,000 90,000 60,000 |
ملاحظة
يتم دعم وحدات VPNGw SKU (VpnGw1 وVpnGw1AZ وVpnGw2 وVpnGw2AZ وVpnGw3 وVpnGw3AZ وVpnGw4 وVpnGw4AZ وVpnGw5 وVpnGw5AZ) لنموذج توزيع Resource Manager فقط. يجب أن تستمر الشبكات الظاهرية الكلاسيكية في استخدام وحدات SKU (القديمة).
- للحصول على معلومات حول العمل مع وحدات SKU القديمة (Basic وStandard وHighPerformance)، راجع العمل مع وحدات SKU لبوابة VPN (وحدات SKU القديمة).
- للحصول على وحدات SKU لبوابة ExpressRoute، راجع بوابات الشبكة الظاهرية لـ ExpressRoute.
بوابة وحدات SKU حسب مجموعة الميزات
تقوم وحدات SKU الجديدة لبوابة VPN بتبسيط مجموعات الميزات المعروضة على البوابات:
| SKU | الميزات |
|---|---|
| Basic (**) | VPN المستندة إلى المسار: 10 أنفاق لـ S2S/connections؛ لا يوجد مصادقة RADIUS لـ P2S؛ لا يوجد IKEv2 لـ P2S VPN المستند إلى نهج: (IKEv1): نفق واحد S2S/connection ؛ لا يوجد P2S |
| جميع وحدات SKU؛ Generation1 وGeneration2 باستثناء Basic | VPN المستندة إلى المسار: ما يصل إلى 100 نفق (*)، P2S، BGP، نشط-نشط، نهج IPsec/IKE مخصص، تعايش ExpressRoute/VPN |
(*) يمكنك تكوين "PolicyBasedTrafficSelectors" لتوصيل بوابة VPN المستندة إلى مسار إلى أجهزة جدار حماية متعددة تستند إلى نهج محلي. ارجع إلى توصيل بوابات VPN إلى العديد من أجهزة VPN المحلية المستندة إلى النهج باستخدام PowerShell للحصول على التفاصيل.
(**) تعتبر Basic SKU وحدة SKU القديمة. تحتوي Basic SKU على بعض قيود الميزات. لا يمكنك تغيير حجم بوابة تستخدم Basic SKU إلى SKU آخر، يجب عليك بدلاً من ذلك التغيير إلى SKU جديدة، والذي يتضمن حذف وإعادة إنشاء بوابة VPN الخاصة بك.
بوابة وحدات SKU - الإنتاج مقابل أحمال العمل Dev-Test
نظرًا للاختلافات في SLAs ومجموعات الميزات، نوصي بوحدات SKU التالية للإنتاج مقابل dev-test:
| حمل العمل | وحدات SKU |
|---|---|
| الإنتاج، أحمال العمل الهامة | جميع وحدات SKU؛ Generation1 وGeneration2 باستثناء Basic |
| Dev-test أو إثبات المبدأ | Basic (**) |
(**) تعتبر Basic SKU وحدة SKU قديمة ولها قيود على الميزات. تحقق من أن الميزة التي تحتاجها مدعومة قبل استخدام Basic SKU.
إذا كنت تستخدم وحدات SKU (القديمة)، فإن توصيات SKU للإنتاج هي Standard وHighPerformance. للحصول على معلومات وإرشادات حول وحدات SKU القديمة، راجع وحدات SKU لبوابة (القديمة).
تكوين SKU لبوابة
مدخل Azure
إذا كنت تستخدم مدخل Azure لإنشاء بوابة شبكة ظاهرية Resource Manager يمكنك تحديد SKU البوابة باستخدام القائمة المنسدلة. تتوافق الخيارات التي يتم تقديمها مع نوع البوابة ونوع VPN الذي تحدده.
PowerShell
يحدد مثال PowerShell التالي -GatewaySku على أنه VpnGw1. عند استخدام PowerShell لإنشاء بوابة، يجب عليك أولاً إنشاء تكوين IP، ثم استخدام متغير للإشارة إليه. في هذا المثال، متغير التكوين هو $gwipconfig.
New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased
Azure CLI
az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait
تغيير حجم SKU أو تغييره
إذا كان لديك بوابة VPN وتريد استخدام بوابة SKU مختلفة، الخيارات الخاصة بك هي إما تغيير حجم SKU البوابة الخاصة بك، أو تغييره إلى SKU آخر. عند تغيير إلى SKU بوابة أخرى، تحذف البوابة الموجودة بالكامل وتنشئ واحدة جديدة. قد يستغرق إنشاء بوابة 45 دقيقة أو أكثر، اعتماداً على بوابة SKU المحددة. بالمقارنة، عند تغيير حجم SKU بوابة، ليس هناك الكثير من وقت التعطل لأنك لست مضطرًا إلى حذف البوابة وإعادة إنشائها. إذا كان لديك خيار تغيير حجم SKU البوابة، بدلاً من تغييرها، سوف تحتاج إلى القيام بذلك. ومع ذلك، هناك قواعد تتعلق بتغيير الحجم:
- باستثناء Basic SKU، يمكنك تغيير حجم SKU بوابة VPN إلى SKU بوابة VPN أخرى ضمن نفس الجيل (Generation1 أو Generation2). على سبيل المثال، يمكن تغيير حجم VpnGw1 لـ Generation1 إلى VpnGw2 لـ Generation1 ولكن ليس إلى VpnGw2 لـ Generation2.
- عند العمل مع وحدات SKU البوابة القديمة، يمكنك تغيير الحجم بين وحدات SKU Standard وHighPerformance.
- لا يمكنك تغيير الحجم من وحدات SKU Basic/Standard/HighPerformance إلى وحدات SKU الخاصة بـ VpnGw. يجب بدلاً من ذلك، التغيير إلى وحدات SKU الجديدة.
لتغيير حجم بوابة
مدخل Azure
انتقل إلى صفحة التكوين لبوابة الشبكة الظاهرية.
حدد الأسهم للسهم المنسدل.
حدد SKU من القائمة المنسدلة.
PowerShell
يمكنك استخدام Resize-AzVirtualNetworkGateway PowerShell cmdlet لترقية أو إرجاع SKU Generation1 أو Generation2 إلى إصدار أقدم (يمكن أن يتم تغيير حجم كل وحدات SKU VpnGw باستثناء وحدات Basic SKU). إذا كنت تستخدم SKU Basic البوابة ، استخدم هذه الإرشادات بدلاً من ذلك لتغيير حجم البوابة الخاصة بك.
يظهر المثال PowerShell التالي SKU بوابة يتم تغيير حجمها إلى VpnGw2.
$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2
للتغيير من SKU (قديمة) إلى SKU جديدة
إذا كنت تعمل مع نموذج توزيع Resource Manager، يمكنك التغيير إلى وحدات SKU البوابة الجديدة. عند تغيير من SKU بوابة قديمة إلى SKU جديدة، يمكنك حذف بوابة VPN الموجودة وإنشاء بوابة VPN جديدة.
سير العمل:
- أزّل أي اتصالات إلى بوابة الشبكة الظاهرية.
- احذف بوابة VPN القديمة.
- أنشئ بوابة VPN جديدة.
- حدّث أجهزة VPN المحلية باستخدام عنوان IP لبوابة VPN الجديد (للاتصالات من موقع إلى موقع).
- حدّث قيمة عنوان IP البوابة لأية بوابات شبكة اتصال محلية VNet إلى VNet ستتصل بهذه البوابة.
- حمّل حزم تكوين VPN لعميل جديد لعملاء P2S المتصلين بالشبكة الظاهرية من خلال بوابة VPN هذه.
- أزّل الاتصالات إلى بوابة الشبكة الظاهرية.
الاعتبارات:
- للانتقال إلى وحدات SKU الجديدة، يجب أن تكون بوابة VPN الخاصة بك موجودة في نموذج توزيع Resource Manager.
- إذا كان لديك بوابة VPN كلاسيكية، يجب متابعة استخدام وحدات SKU الأكثر قدمًا لتلك البوابة، ومع ذلك، يمكنك تغيير الحجم بين وحدات SKU القديمة. لا يمكنك تغيير إلى وحدات SKU الجديدة.
- سيكون لديك وقت تعطل اتصال عند التغيير من SKU قديمة إلى SKU جديدة.
- عند تغيير إلى SKU بوابة جديدة، سيتم تغيير عنوان IP العام لبوابة VPN الخاصة بك. يحدث هذا حتى إذا قمت بتحديد نفس كائن عنوان IP العام الذي استخدمته سابقًا.
أنواع الاتصال
في نموذج توزيع Resource Manager يتطلب كل تكوين نوع اتصال بوابة شبكة ظاهرية معين. قيم PowerShell Resource Manager المتوفرة هي -ConnectionType:
- Ipsec
- Vnet2Vnet
- ExpressRoute
- عميل VPN
في المثال PowerShell التالي، نقوم بإنشاء اتصال S2S يتطلب نوع الاتصال IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
أنواع الشبكة الظاهرية الخاصة
عند إنشاء بوابة شبكة الاتصال الظاهرية لتكوين بوابة شبكة ظاهرية يجب تحديد نوع الشبكة الظاهرية الخاصة. يعتمد نوع الشبكة الظاهرية الخاصة الذي تختاره على تخطيط الاتصال التي تريد إنشاؤها. على سبيل المثال، يتطلب اتصال نقطة إلى موقع نوع الشبكة الظاهرية الخاصة RouteBased. يمكن أن يعتمد نوع الشبكة الظاهرية الخاصة أيضًا على الأجهزة التي تستخدمها. تتطلب تكوينات موقع إلى موقع جهاز شبكة ظاهرية خاصة. تدعم بعض أجهزة الشبكة الظاهرية الخاصة نوعًا معينًا من الشبكات الافتراضية الخاصة فقط.
يجب أن يفي نوع الشبكة الظاهرية الخاصة الذي تحدده بكافة متطلبات الاتصال للحل الذي تريد إنشاؤه. على سبيل المثال، إذا كنت ترغب في إنشاء اتصال بوابة S2S VPN واتصال بوابة P2S VPN لنفس الشبكة الظاهرية، يمكنك استخدام نوع VPN RouteBased لأن P2S يتطلب نوع RouteBased VPN. ستحتاج أيضا إلى التحقق من أن جهاز الشبكة الظاهرية الخاصة يدعم اتصال الشبكة الظاهرية الخاصة RouteBased.
بمجرد إنشاء عبارة بوابة افتراضية، لا يمكنك تغيير نوع الشبكة الظاهرية الخاصة. يجب حذف بوابة الشبكة الظاهرية وإنشاء بوابة جديدة. يوجد نوعان من VPN:
PolicyBased: كانت VPNs التي يتم تأسيسها على PolicyBased تسمى سابقًا بوابات التوجيه الثابتة في نموذج التوزيع الكلاسيكي. تقوم الشبكات الظاهرية الخاصة المستندة إلى النهج Policy-based بتشفير الحزم وتوجيهها عبر أنفاق أمان برتوكول الإنترنت استنادًا إلى نهج أمان برتوكول الإنترنت التي تم تكوينها مع مجموعات من بادئات العناوين بين الشبكة المحلية وشبكة Azure VNet. عادة ما يتم تعريف النهج (أو محدد نسبة استخدام الشبكة) كقائمة وصول في تكوين جهاز الشبكة الظاهرية الخاصة. قيمة نوع PolicyBased VPN هو PolicyBased. عند استخدام الشبكة الظاهرية الخاصة PolicyBased، ضع في اعتبارك القيود التالية:
- يمكن استخدام PolicyBased VPNs فقط على Basic SKU للبوابة. هذا النوع من الشبكة الظاهرية الخاصة غير متوافق مع بوابة SKU الأخرى.
- يمكنك الحصول على نفق 1 فقط عند استخدام الشبكة الظاهرية الخاصة PolicyBased.
- يمكنك فقط استخدام الشبكات الافتراضية الخاصة على أساس النهج لاتصالات موقع إلى موقع ولتكوينات معينة فقط. تتطلب معظم تكوينات بوابة الشبكة الظاهرية الخاصة شبكة ظاهرية خاصة RouteBased.
RouteBased: كانت VPNs التي يتم تأسيسها على RouteBased تسمى سابقًا بوابات التوجيه الديناميكية في نموذج التوزيع الكلاسيكي. تستخدم الشبكات الظاهرية الخاصة RouteBased "مسارات" في جدول توجيه أو توجيه بروتوكول الإنترنت لتوجيه الحزم إلى واجهات النفق المقابلة لها. ثم تقوم واجهات النفق بتشفير أو فك تشفير الحزم داخل وخارج الأنفاق. يتم تكوين النهج (أو محدد نسبة استخدام الشبكة) للشبكات الظاهرية الخاصة RouteBased أي إلى أي (أو أحرف بدل). القيمة لنوع RouteBased VPN هي RouteBased.
يحدد مثال PowerShell التالي -VpnType على أنه RouteBased. عند إنشاء بوابة، يجب التأكد من صحة VpnType للتكوين الخاص بك.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
متطلبات البوابة
يسرد الجدول التالي متطلبات بوابات الشبكة الظاهرية الخاصة PolicyBased وRouteBased. ينطبق هذا الجدول على كل من Resource Manager ونماذج التوزيع الكلاسيكية. بالنسبة للنموذج الكلاسيكي، تكون بوابات الشبكة الظاهرية الخاصة PolicyBased هي نفسها مثل البوابات الثابتة، والبوابات Route-based هي نفسها البوابات الديناميكية.
| بوابة الشبكة الظاهرية الخاصة Basic PolicyBased | بوابة الشبكة الظاهرية الخاصة الأساسية RouteBased | بوابة الشبكة الظاهرية الخاصة القياسية RouteBased | بوابة الشبكة الظاهرية الخاصة عالية الأداء RouteBased | |
|---|---|---|---|---|
| اتصال من موقع إلى موقع (S2S) | تكوين الشبكة الظاهرية الخاصة PolicyBased | تكوين الشبكة الظاهرية الخاصة RouteBased | تكوين الشبكة الظاهرية الخاصة RouteBased | تكوين الشبكة الظاهرية الخاصة RouteBased |
| اتصال من نقطة إلى موقع (P2S) | غير مدعوم | مدعم (يمكن أن تتواجد مع موقع إلى موقع) | مدعم (يمكن أن تتواجد مع موقع إلى موقع) | مدعم (يمكن أن تتواجد مع موقع إلى موقع) |
| أسلوب المصادقة | مفتاح مشترك مسبقًا | مفتاح مشترك مسبقا لاتصال موقع إلى موقع، وشهادات لاتصال نقطة إلى موقع | مفتاح مشترك مسبقا لاتصال موقع إلى موقع، وشهادات لاتصال نقطة إلى موقع | مفتاح مشترك مسبقا لاتصال موقع إلى موقع، وشهادات لاتصال نقطة إلى موقع |
| الحد الأقصى لعدد اتصالات موقع إلى موقع | 1 | 10 | 10 | 30 |
| الحد الأقصى لعدد اتصالات نقطة إلى موقع | غير مدعوم | 128 | 128 | 128 |
| دعم التوجيه النشط (BGP) (*) | غير مدعوم | غير مدعوم | مدعوم | مدعوم |
(*) BGP غير مدعوم لنموذج التوزيع الكلاسيكي.
شبكة فرعية للبوابة
قبل إنشاء بوابة VPN يجب إنشاء شبكة فرعية للبوابة. تحتوي الشبكة الفرعية للعبارة على عناوين برتوكول إنترنت التي تستخدمها أجهزة وخدمات بوابة الشبكة الظاهرية والخدمات. عند إنشاء بوابة الشبكة الظاهرية الخاصة بك، يتم توزيع أجهزة البوابة إلى بوابة الشبكة الفرعية وتكوينها مع إعدادات بوابة الشبكة الظاهرية الخاصة المطلوبة. لا توزع أي شيء آخر (على سبيل المثال، أجهزة ظاهرية إضافية) إلى الشبكة الفرعية للبوابة. يجب تسمية الشبكة الفرعية للبوابة 'GatewaySubnet' للعمل بشكل صحيح. تسمية الشبكة الفرعية للبوابة 'GatewaySubnet' يتيح Azure معرفة أن هذه هي الشبكة الفرعية لنشر الأجهزة الظاهرية لبوابة الشبكة الظاهرية والخدمات إلى.
ملاحظة
التوجيهات المعرفة من قبل المستخدم مع وجهة 0.0.0.0/0 وNSGs على GatewaySubnet غير مدعومة. سيتم حظر البوابات التي تم إنشاؤها باستخدام هذا التكوين من الإنشاء. تتطلب البوابات الوصول إلى وحدات تحكم الإدارة لكي تعمل بشكل صحيح. يجب تعيين نشر مسار BGP إلى "ممكّن" على GatewaySubnet لضمان توفر البوابة. إذا تم تعيين هذا إلى مُعطّل، لن تعمل البوابة.
عند إنشاء الشبكة الفرعية للبوابة، يمكنك تحديد عدد عناوين بروتوكولات الإنترنت التي تحتوي عليها الشبكة الفرعية. تُخصص عناوين بروتوكولات الإنترنت في الشبكة الفرعية للبوابة إلى خدمات والأجهزة الظاهرية للبوابة. تتطلب بعض التكوينات عناوين بروتوكولات الإنترنت أكثر من غيرها.
عند التخطيط لحجم الشبكة الفرعية للبوابة، راجع الوثائق الخاصة بالتكوين الذي تخطط لإنشاءه. على سبيل المثال، يتطلب تواجد تكوين بوابة الشبكة الظاهرية الخاصة ExpressRoute بوابة شبكة فرعية أكبر من معظم التكوينات الأخرى. بالإضافة إلى ذلك، قد تحتاج إلى التأكد من أن بوابة الشبكة الفرعية تحتوي على عناوين بروتوكولات إنترنت كافية لاستيعاب تكوينات إضافية مستقبلية محتملة. بينما يمكنك إنشاء بوابة شبكة فرعية صغيرة مثل /29، نوصي بإنشاء بوابة شبكة فرعية من /27 أو أكبر (/27 أو /26 إلخ) إذا كان لديك مساحة العنوان المتوفرة للقيام بذلك. وهذه سوف تستوعب معظم التكوينات.
يظهر مثال Resource Manager PowerShell التالي شبكة فرعية للبوابة المسماة GatewaySubnet. يمكنك مشاهدة تحديد رمز CIDR /27، والذي يسمح بعناوين IP كافية لمعظم التكوينات الموجودة حالياً.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
هام
عند العمل مع الشبكات الفرعية للعبارة تجنب ربط مجموعة أمان شبكة اتصال (NSG) بالشبكة الفرعية للعبارة. قد يؤدي ربط مجموعة أمان شبكة اتصال بهذه الشبكة الفرعية إلى توقف عبارة الشبكة الظاهرية (VPN وعبارات Express Route) عن العمل كما متوقع. لمزيد من المعلومات حول مجموعات أمان الشبكة، يُرجى مراجعة ما هي مجموعة أمان الشبكة؟.
بوابات شبكة محلية
تختلف بوابة شبكة محلية عن بوابة شبكة ظاهرية. عند إنشاء تكوين بوابة VPN، تمثل بوابة الشبكة المحلية عادة الشبكة المحلية وجهاز VPN المطابق. في نموذج التوزيع الكلاسيكي، تمت الإشارة إلى بوابة الشبكة المحلية كموقع محلي.
تعطي بوابة الشبكة المحلية اسم أو عنوان IP العام أو اسم المجال المؤهل بالكامل (FQDN) من جهاز VPN المحلي، وتحدد بادئات العنوان الموجودة في الموقع المحلي. يبحث Azure في بادئات عنوان الوجهة لنسبة استخدام الشبكة، ويراجع التكوين الذي حددته لبوابة الشبكة المحلية، ويوجه حزم البيانات وفقًا لذلك. إذا كنت تستخدم Border Gateway Protocol (BGP) على جهاز VPN الخاص بك، فسوف توفر عنوان IP نظير BGP لجهاز VPN الخاص بك ورقم النظام المستقل (ASN) الخاص بالشبكة المحلية. يمكنك أيضًا تحديد بوابات الشبكة المحلية لتكوينات VNet إلى VNet التي تستخدم اتصال بوابة VPN.
ينشئ المثال PowerShell التالي بوابة شبكة محلية جديدة:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
في بعض الأحيان تحتاج إلى تعديل إعدادات بوابة الشبكة المحلية. على سبيل المثال، عند إضافة نطاق العناوين أو تعديله، أو إذا تغير عنوان IP لجهاز VPN. راجع تعديل إعدادات بوابة الشبكة المحلية باستخدام PowerShell.
واجهات برمجة تطبيقات REST، وPowerShell cmdlets وCLI
للحصول على موارد فنية إضافية ومتطلبات بناء جملة محددة عند استخدام واجهات برمجة تطبيقات REST أو PowerShell cmdlets أو Azure CLI لتكوينات VPN Gateway، راجع الصفحات التالية:
| كلاسيكي | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| غير مدعوم | Azure CLI |
الخطوات التالية
لمزيد من المعلومات حول تكوينات الاتصال المتوفرة، راجع حول VPN Gateway.