مشاركة عبر

إنشاء اتصال موقع إلى موقع باستخدام مدخل Microsoft Azure (كلاسيكي)

  • مقالة

توضح لك هذه المقالة كيفية استخدام مدخل Microsoft Azure لإنشاء اتصال بوابة VPN من موقع إلى موقع من الشبكة المحلية إلى VNet. تنطبق الخطوات الواردة في هذه المقالة على نموذج النشر الكلاسيكي (القديم) ولا تنطبق على نموذج التوزيع الحالي، Resource Manager. راجع إصدار Resource Manager من هذه المقالة بدلا من ذلك.

هام

لم يعد بإمكانك إنشاء بوابات شبكة ظاهرية جديدة للشبكات الظاهرية لنموذج التوزيع الكلاسيكي (إدارة الخدمة). يمكن إنشاء بوابات شبكة ظاهرية جديدة للشبكات الظاهرية ل Resource Manager فقط.

يتم استخدام الاتصال الخاص بالبوابة VPN من موقع إلى موقع لتوصيل شبكتك المحلية بشبكة Azure الظاهرية عبر نفق VPN IPsec/IKE (IKEv1 أو IKEv2). تعرف على كيفية استخدام Azure Virtual WAN لإنشاء اتصال VPN من موقع إلى موقع بـ Azure. لمزيد من التفاصيل حول بوابات VPN، راجع حول بوابة VPN.

Diagram showing Site-to-Site VPN Gateway cross-premises connection.

إشعار

تمت كتابة هذه المقالة لنموذج النشر الكلاسيكي (القديم). نوصي باستخدام أحدث نموذج توزيع Azure بدلا من ذلك. نموذج توزيع Resource Manager هو أحدث نموذج نشر ويوفر المزيد من الخيارات وتوافق الميزات من نموذج التوزيع الكلاسيكي. لفهم الفرق بين نموذجي التوزيع هذين، راجع فهم نماذج التوزيع وحالة الموارد الخاصة بك.

إذا كنت تريد استخدام إصدار مختلف من هذه المقالة، فاستخدم جدول المحتويات في الجزء الأيمن.

قبل البدء

تحقق من أنك قد استوفيت المعايير التالية قبل بدء التكوين:

  • تحقق من رغبتك في العمل في نموذج التوزيع الكلاسيكي. إذا كنت تريد العمل في نموذج توزيع إدارة الموارد فراجع إنشاء اتصال من موقع إلى موقع (إدارة الموارد). نوصي باستخدام نموذج توزيع إدارة الموارد، لأن النموذج الكلاسيكي قديم.
  • تأكد أن لديك جهاز VPN متوافق ولديك شخص قادر على تكوينه. لمزيد من المعلومات حول أجهزة VPN المتوافقة وتكوين الجهاز، راجع حول أجهزة VPN.
  • تحقق أن لديك عنوان IPv4 عام خارجياً لجهاز VPN الخاص بك.
  • إذا لم تكن على دراية بنطاقات عناوين IP الموجودة في تكوين شبكتك المحلية، فأنت بحاجة إلى التنسيق مع شخص يمكنه توفير هذه التفاصيل لك. عند إنشاء هذا التكوين، يجب عليك تحديد بادئات نطاق عناوين IP التي سيوجهها Azure إلى موقعك المحلي. لا يمكن لأي من الشبكات الفرعية لشبكتك المحلية أن تتداخل مع الشبكات الفرعية للشبكة الافتراضية التي تريد الاتصال بها.
  • مطلوب PowerShell لتحديد المفتاح المشترك وإنشاء اتصال خاص ببوابة VPN. لا يمكنك استخدام Azure Cloud Shell في حالة استخدام نموذج التوزيع الكلاسيكي. ولكن، يجب تثبيت أحدث إصدار لأمر PowerShell cmdlets لإدارة خدمة Azure (SM) محليا على جهاز الكمبيوتر الخاص بك. تختلف أوامر cmdlets هذه عن AzureRM أو Az cmdlets. لتثبيت cmdlets SM، راجع تثبيت cmdlets الخاص بإدارة الخدمة. لمزيد من المعلومات حول Azure PowerShell، راجع وثائق Azure PowerShell.

عينة قيمة التكوين لهذا التمرين

تستخدم الأمثلة في هذه المقالة القيم التالية. تستطيع استخدام هذه القيم لإنشاء بيئة اختبار، أو الرجوع إليها لفهم الأمثلة الواردة في هذه المقالة بشكل أفضل. عادة، عند العمل مع قيم عنوان IP لمساحة العنوان، تريد التنسيق الإحداثيات مع مسؤول الشبكة لتجنب تداخل مساحات العناوين، والتي يمكن أن تؤثر على عملية التوجيه. في هذه الحالة، استبدل القيم الخاصة بعنوان IP بقيم عنوان IP الخاصة بك إذا كنت ترغب في إنشاء اتصال يعمل.

  • مجموعة الموارد: TestRG1
  • الاسم الخاص بالشبكة الظاهرية: TestVNet1
  • مساحة العنوان: 10.11.0.0/16
  • اسم الشبكة الفرعية: FrontEnd
  • النطاق الخاص بعنوان الشبكة الفرعية: 10.11.0.0/24
  • شبكة فرعية للبوابة: 10.11.255.0/27
  • المنطقة: (الولايات المتحدة) شرق الولايات المتحدة
  • اسم موقع محلي: موقع2
  • مساحة عنوان الخاصة: مساحة عنوان IP الموجودة في الموقع المحلي.

إنشاء شبكة ظاهرية

عند إنشاء شبكة ظاهرية لاستخدامها لاتصال S2S، تحتاج إلى التأكد من أن مسافات العناوين التي تحددها لا تتداخل مع أي من مسافات عناوين العميل للمواقع المحلية التي تريد الاتصال بها. في حالة كانت لديك شبكات فرعية متداخلة، فلن يعمل اتصالك بشكل صحيح.

  • في حالة كان لديك بالفعل شبكة ظاهرية، فتحقق من أن الإعدادات متوافقة مع تصميم بوابة VPN الخاصة بك. انتبه بشكل خاص لأي شبكات فرعية قد تتداخل مع الشبكات الأخرى.

  • فير حالة لم يكن لديك شبكة ظاهرية بالفعل، فأنشئ شبكة ظاهرية. يتم تزويدك بلقطات الشاشة كأمثلة. تأكد من استبدال قيم العينة بالقيم الخاصة بك.

لإنشاء الشبكة الافتراضية

  1. من المستعرض، انتقل إلى مدخل Microsoft Azure وسجِّل الدخول باستخدام الحساب الخاص بـ Azure الخاص بك.
  2. حدد +إنشاء مورد. في حقل البحث في السوق، اكتب "شبكة ظاهرية". حدد اوقع الشبكة الظاهرية من القائمة التي تم إرجاعها، وحددها لفتح صفحةالشبكة الظاهرية.
  3. في صفحة الشبكة الظاهرية، ضمن زر "إنشاء"، سترى "توزيع باستخدام إدارة الموارد (التغيير إلى كلاسيكي)". "إدارة الموارد" هو الإعداد الافتراضي لإنشاء شبكة ظاهرية. لا تريد إنشاء شبكة ظاهرية لـ "إدارة الموارد". حدد (تغيير إلى كلاسيكي) لإنشاء شبكة ظاهرية كلاسيكية. ثم حدد علامة تبويب نظرة عامةوحدد إنشاء.
  4. في الصفحة إنشاء شبكة ظاهرية (كلاسيكية)، ضمن علامة التبويب الأساسيات، قم بتكوين إعدادات شبكة ظاهرية باستخدام القيم المثال.
  5. حدد مراجعة+ أنشاء للتحقق من إدخالاتك
  6. يعمل التحقق من الصحة. بعد التحقق من صحة VNet، حدد "إنشاء".

إعدادات DNS ليست جزءًا مطلوبًا من هذا التكوين ولكن DNS ضروري إذا أردت تحليل الاسم بين الأجهزة الظاهرية. لا يؤدي تحديد القيمة إلى إنشاء خادم DNS جديد. يجب أن يكون عنوان IP لخادم DNS الذي تحدده خادم DNS يمكنه حل الأسماء الخاصة بالموارد التي تتصل بها.

بعد إنشاء الشبكة الظاهرية، تستطيع إضافة عنوان IP الخاص بخادم DNS للتعامل مع تحليل الاسم. افتح الإعدادات الخاصة بشبكتك الظاهرية، وحدد خوادم DNS، وأضف عنوان IP لخادم DNS الذي تريد استخدامه لتحليل الاسم.

  1. حدد موقع الشبكة الظاهرية في المدخل.
  2. في صفحة شبكتك الظاهرية، ضمن القسم الإعدادات، حدد خوادم DNS.
  3. أضف خادم DNS.
  4. لحفظ الإعدادات الخاصة بك، حدد حفظ في أعلى الصفحة.

عملية تكوين الموقع والبوابة

لتكوين الموقع

يشير الموقع المحلي في الأغلب إلى موقعك المحلي. يحتوي على عنوان IP لجهاز VPN الذي ستقوم بإنشاء اتصال إليه، ونطاقات عناوين IP التي سيتم توجيهها من خلال بوابة VPN إلى جهاز VPN.

  1. في الصفحة الخاصة بالشبكة الظاهرية، ضمن الإعدادات، حدد اتصالات موقع- إلى- موقع.

  2. في صفحة الاتصالات من موقع- إلى- موقع، حدد + إضافة.

  3. في الصفحة تكوين الاتصال الخاص بـ VPN وبوابة، بالنسبة لنوع الاتصال، اترك الموقع إلى الموقع محددا. لهذا التمرين، ستحتاج إلى استخدام مجموعة من قيم المثال والقيم الخاصة بك.

    • عنوان IP لبوابة VPN: هذا هو عنوان IP العام لجهاز VPN لشبكتك المحلية. يتطلب الجهاز الخاص بـ VPN عنوان IP عام IPv4. حدد عنوان IP عاما صالحا خاص بجهاز VPN الذي تريد الاتصال به. يجب أن يكون من الوصول إليه متاحًا بواسطة Azure. في حالة كنت لا تعرف عنوان IP لجهاز VPN الخاص بك، فيمكنك دائما وضع قيمة عنصر نائب (طالما أنها بتنسيق عنوان IP عام صالح) ثم تغييرها لاحقا.

    • المساحة الخاصة بعنوان العميل: أدرج نطاقات عناوين IP التي تريد توجيهها إلى الشبكة المحلية المحلية من خلال هذه البوابة. يمكنك إضافة نطاقات مساحة عنوان متعددة. تأكد من أن النطاقات التي تحددها هنا لا تتداخل مع نطاقات الشبكات الأخرى التي تتصل بها شبكتك الظاهرية أو مع نطاقات عناوين الشبكة الظاهرية نفسها.

  4. في أسفل الصفحة، لا تحدد المراجعة + الإنشاء. بدلا من ذلك، حدد التالي: بوابة>.

لتكوين بوابة خاصة بالشبكة الظاهرية

  1. في صفحة البوابة، حدد القيم التالية:

    • الحجم: هذه هي بوابة SKU التي تستخدمها لإنشاء بوابة الشبكة الظاهرية. تستخدم بوابات VPN الكلاسيكية وحدات SKU القديمة (القديمة) للبوابة. لمزيد من التفاصيل حول وحدات SKU القديمة للبوابة، راجع استخدام وحدات SKU لبوابة الشبكة الظاهرية (وحدات SKU القديمة). تستطع تحديد قياسي لهذا التمرين.

    • الشبكة الفرعية للبوابة: يعتمد حجم الشبكة الفرعية بالبوابة التي تحددها على تكوين بوابة VPN التي تريد إنشاؤها. في حين أنه من الممكن إنشاء شبكة فرعية للبوابة صغيرة مثل /29، نوصي باستخدام /27 أو /28. يؤدي هذا إلى إنشاء شبكة فرعية أكبر تتضمن عناوين أكثر. يتيح استخدام شبكة فرعية أكبر للبوابة بعناوين IP كافية لاستيعاب التكوينات المستقبلية المحتملة.

  2. حدد مراجعة + إنشاء في أسفل الصفحة للتحقق من صحة الإعدادات الخاصة بك. حدد إنشاء للتوزيع. قد يستغرق الأمر حوالي 45 دقيقة لإنشاء بوابة شبكة اتصال ظاهرية، حسب نوع بوابة SKU التي حددتها.

تكوين جهاز VPN

تتطلب اتصالات موقع إلى موقع بشبكة محلية جهاز VPN. في هذه الخطوة، تقوم بتكوين جهاز VPN الخاص بك. عند تكوين جهاز VPN الخاص بك، فأنت بحاجة إلى القيم التالية:

  • مفتاح مشترك. هذا هو نفس المفتاح المشترك الذي تحدده عند إنشاء اتصال شبكة محلية موقع إلى موقع. في أمثلتنا، نستخدم مفتاحاً مشتركاً أساسياً. نوصي بإنشاء مفتاح أكثر تعقيداً لاستخدامه.
  • عنوان IP العام لبوابة الشبكة الافتراضية الخاصة بك. يمكنك عرض عنوان IP العام باستخدام مدخل Microsoft Azure أو PowerShell أو CLI.

لتنزيل البرامج النصية لتكوين جهاز VPN:

اعتمادًا على جهاز الشبكة الظاهرية خاصتك، قد تتمكن من تنزيل برنامج نصي لتكوين جهاز الشبكة الظاهرية. لمزيد من المعلومات، راجع تنزيل البرامج النصية لتكوين جهاز VPN.

راجع الارتباطات التالية للحصول على معلومات تكوين إضافية:

  • للحصول على معلومات حول أجهزة VPN المتوافقة، راجع أجهزة VPN.

  • قبل تكوين جهاز VPN الخاص بك، تحقق من وجود أي مشكلات معروفة في توافق الجهاز لجهاز VPN الذي تريد استخدامه.

  • للحصول على ارتباطات لإعدادات تكوين الجهاز، راجع أجهزة VPN التي تم التحقق من صحتها. يتم توفير روابط تكوين الجهاز على أساس أفضل جهد. من الأفضل دائمًا التحقق من الشركة المصنعة للجهاز للحصول على أحدث معلومات التكوين. تعرض القائمة الإصدارات التي اختبرناها. إذا لم يكن نظام التشغيل الخاص بك على تلك القائمة، فمن الممكن أن يكون الإصدار متوافق بالفعل. راجع الشركة المصنعة للجهاز للتحقق من توافق إصدار نظام التشغيل لجهاز VPN.

  • للحصول على نظرة عامة حول تكوين جهاز VPN، راجع نظرة عامة على تكوينات جهاز VPN.

  • للحصول على معلومات حول تحرير نماذج تكوين الجهاز، راجع تحرير العينات.

  • للحصول على متطلبات التشفير، راجع حول متطلبات التشفير وبوابات Azure VPN.

  • للحصول على معلومات حول معلمات IPsec/IKE، راجع حول أجهزة VPN ومعلمات IPsec/IKE لاتصالات بوابة VPN من موقع إلى موقع. يعرض هذا الرابط معلومات حول إصدار IKE، ومجموعة Diffie-Hellman، وأسلوب المصادقة، وخوارزميات التشفير، وعمر SA، وPFS، وDPD، بالإضافة إلى بيانات المعلمات الأخرى التي تحتاجها لإكمال التكوين الخاص بك.

  • للحصول على خطوات تكوين نهج IPsec/IKE، راجع تكوين نهج IPsec/IKE لاتصالات S2S VPN أو VNet-to-VNet.

  • لتوصيل أجهزة VPN متعددة مستندة إلى النهج، راجع الاتصال بوابات Azure VPN إلى العديد من أجهزة VPN المحلية المستندة إلى النهج باستخدام PowerShell.

عملية استرداد القيم

عند إنشاء شبكة ظاهرية كلاسيكية في مدخل Azure، فإن الاسم المعروض أمامك ليس هو الاسم الكامل الذي تستخدمه لـ PowerShell. على سبيل المثال، شبكة ظاهرية تظهر باسم TestVNet1 في المدخل قد يكون لها اسم أطول بكثير في ملف تكوين الشبكة. بالنسبة إلى الشبكة الظاهرية في مجموعة الموارد، قد يبدو اسم "ClassicRG" كما يلي: Group ClassicRG TestVNet1. عند إنشاء اتصالاتك، من المهم استخدام القيم التي تراها في ملف التكوين الخاص بالشبكة.

في الخطوات التالية، ستقوم بالاتصال بحساب Azure الخاص بك وتنزيل الملف الخاص بتكوين الشبكة وعرضه للحصول على القيم المطلوبة لاتصالاتك.

  1. قم بتنزيل أحدث إصدار من cmdlets PowerShell لإدارة خدمات Azure (SM) وتثبيتها. معظم الناس لديهم وحدات نمطية لإدارة الموارد مثبتة محليا، ولكن ليس لديهم وحدات نمطية لإدارة الخدمة. الوحدات النمطية لإدارة الخدمة هي وحدات قديمة ويجب تثبيتها بشكل منفصل. لمزيد من التفاصيل، راجع تثبيت cmdlets إدارة الخدمة.

  2. افتح وحدة تحكم PowerShell بصلاحيات غير مقيدة واتصل بحسابك. قم باستخدام الأمثلة التالية لمساعدتك على الاتصال: يجب تشغيل هذه الأوامر محليا باستخدام الوحدة النمطية الخاصة بإدارة خدمة PowerShell. الاتصال إلى حساب الخاص. استخدم المثال التالي لمساعدتك على الاتصال:

    Add-AzureAccount

  3. تحقق من الاشتراكات الخاصة بالحساب.

    Get-AzureSubscription

  4. في حالة كان لديك أكثر من اشتراك واحد، فحدد الاشتراك الذي تريد استخدامه.

    Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"

  5. إنشاء الدليل على جهاز الكمبيوتر الخاص بك. على سبيل المثال، C:\AzureVNet

  6. تصدير ملف التكوين الخاص بالشبكة إلى الدليل. في هذا المثال، يتم تصدير الملف الخاص بتكوين الشبكة إلى C:\AzureNet.

    Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

  7. افتح الملف باستخدام محرر النصوص واعرض أسماء VNets ومواقعك. ستكون هذه الأسماء هي الأسماء التي تستخدمها عند إنشاء الاتصالات الخاصة بك.
    أسماء VNet مدرجة في قائمة اسم VirtualNetworkSite=
    أسماء الموقع مدرجة في قائمة LocalNetworkSiteRef =

إنشاء الاتصال

إشعار

بالنسبة لنموذج التوزيع الكلاسيكي، لا تتوفر هذه الخطوة في مدخل Microsoft Azure أو عبر Azure Cloud Shell. يجب استخدام الإصدار الخاص بإدارة الخدمة (SM) من cmdlets Azure PowerShell محليا من سطح المكتب.

في هذه الخطوة، باستخدام القيم من الخطوات السابقة، تستطيع تعيين المفتاح المشترك وإنشاء الاتصال. يجب أن يكون المفتاح الذي قمت بتعيينه هو نفس المفتاح الذي تم استخدامه في تكوين جهاز VPN الخاص بك.

  1. تعيين المفتاح المشترك وإنشاء الاتصال.

    • عملية تغيير قيمة -VNetName والقيمة -LocalNetworkSiteName. عند تحديد اسم يحتوي على مسافات، استخدم علامات الاقتباس المفردة حول القيمة.
    • "-SharedKey" هي القيمة التي تقوم بإنشائها، ثم تحددها. في المثال، استخدمنا 'abc123'، ولكن يمكنك (وينبغي) توليد شيء أكثر تعقيدا. الشيء المهم هو أن القيمة التي تحددها هنا ينبغي أن تكون نفس القيمة التي حددتها عند تكوين جهاز VPN الخاص بك.
    Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' `
-LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123

  2. عند إنشاء اتصال، تكون النتيجة: الحالة: ناجح.

التحقق من الاتصال الخاص بك

في مدخل Microsoft Azure، يمكنك عرض حالة الاتصال لبوابة VNet VPN الكلاسيكي من خلال الانتقال إلى الاتصال. توضح الخطوات التالية طريقة واحدة للتنقل إلى اتصالك والتحقق منه.

  1. في مدخل Azure، انتقل إلى شبكتك الظاهرية الكلاسيكية (VNet).
  2. في صفحة الشبكة الظاهرية، حدد نوع الاتصال الذي ترغب في عرضه. على سبيل المثال، اتصالات موقع إلى موقع.
  3. في صفحة اتصالات موقع إلى موقع، ضمن الاسم، حدد اتصال الموقع الذي تريد عرضه.
  4. في صفحة Properties، اعرض المعلومات حول الاتصال.

إذا كنت تواجه مشكلة في الاتصال، فراجع قسم استكشاف الأخطاء وإصلاحها في جدول المحتويات في الجزء الأيمن.

كيفية إعادة ضبط بوابة VPN

تعد إعادة تعيين بوابة Azure VPN مفيدة إذا فقدت اتصال VPN عبر أماكن العمل على واحد أو أكثر من أنفاق Site-to-Site VPN. في هذه الحالة، تعمل جميع أجهزة الشبكة الظاهرية الخاصة المحلية بشكل صحيح، لكنها غير قادرة على إنشاء أنفاق IPsec باستخدام بوابات Azure VPN. لمعرفة الخطوات، راجع إعادة ضبط بوابة VPN.

كيفية تغيير حجم بوابة SKU

لتغيير حجم بوابة لنموذج النشر الكلاسيكي، يجب استخدام أوامر Cmdlets PowerShell لإدارة الخدمة. استخدم أمر التالي:

Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance

الخطوات التالية

  • بمجرد اكتمال الاتصال، يمكنك إضافة الأجهزة الظاهرية إلى الشبكات الظاهرية. لمزيد من المعلومات، راجع الأجهزة الظاهرية.
  • للحصول على معلومات حول «التوجيه لأسفل المفروض»، راجع التوجيه لأسفل المفروض.