مفاهيم VPN للمستخدم (من نقطة إلى موقع)
توضح المقالة التالية المفاهيم والخيارات القابلة للتكوين من قبل العميل المرتبطة بتكوينات وبوابات نقطة إلى موقع (P2S) ل Virtual WAN User VPN. يتم تقسيم هذه المقالة إلى أقسام متعددة، بما في ذلك أقسام حول مفاهيم تكوين خادم P2S VPN، وأقسام حول مفاهيم بوابة P2S VPN.
مفاهيم تكوين خادم VPN
تحدد تكوينات خادم VPN معلمات المصادقة والتشفير ومجموعة المستخدمين المستخدمة لمصادقة المستخدمين، وتعيين عناوين IP وتشفير نسبة استخدام الشبكة. ترتبط بوابات P2S بتكوينات خادم P2S VPN.
المفاهيم الشائعة
| المفهوم | الوصف | الملاحظات |
|---|---|---|
| نوع النفق | البروتوكول (البروتوكولات) المستخدمة بين بوابة P2S VPN والاتصال بالمستخدمين. | المعلمات المتوفرة: IKEv2 أو OpenVPN أو كليهما. بالنسبة لتكوينات خادم IKEv2، يتوفر RADIUS والمصادقة المستندة إلى الشهادة فقط. بالنسبة لتكوينات خادم VPN المفتوحة، تتوفر خدمة RADIUS والمصادقة المستندة إلى الشهادة ومعرف Microsoft Entra. بالإضافة إلى ذلك، يتم دعم أساليب مصادقة متعددة على نفس تكوين الخادم (على سبيل المثال، الشهادة و RADIUS على نفس التكوين) فقط ل OpenVPN. يحتوي IKEv2 أيضا على حد على مستوى البروتوكول يبلغ 255 مسارا، بينما يحتوي OpenVPN على حد 1000 مسار. |
| معلمات IPsec المخصصة | معلمات التشفير المستخدمة من قبل بوابة P2S VPN للبوابات التي تستخدم IKEv2. | للحصول على المعلمات المتوفرة، راجع معلمات IPsec المخصصة ل VPN من نقطة إلى موقع. لا تنطبق هذه المعلمة على البوابات التي تستخدم مصادقة OpenVPN. |
مفاهيم مصادقة شهادة Azure
ترتبط المفاهيم التالية بتكوينات الخادم التي تستخدم المصادقة المستندة إلى الشهادة.
| المفهوم | الوصف | الملاحظات |
|---|---|---|
| اسم الشهادة الجذر | الاسم المستخدم من قبل Azure لتحديد شهادات جذر العميل. | يمكن تكوينه ليكون أي اسم. يمكن أن يكون لديك شهادات جذر متعددة. |
| بيانات الشهادة العامة | شهادة (شهادات) الجذر التي يتم إصدار شهادات العميل منها. | أدخل السلسلة المطابقة للبيانات العامة لشهادة الجذر. للحصول على مثال حول كيفية الحصول على البيانات العامة لشهادة الجذر، راجع الخطوة 8 في المستند التالي حول إنشاء الشهادات. |
| الشهادة التي تم إبطالها | الاسم المستخدم من قبل Azure لتحديد الشهادات التي سيتم إبطالها. | يمكن تكوينه ليكون أي اسم. |
| بصمة إبهام الشهادة التي تم إبطالها | بصمة الإبهام لشهادة (شهادات) المستخدم النهائي التي لا يجب أن تكون قادرة على الاتصال بالبوابة. | الإدخال لهذه المعلمة هو بصمة إبهام شهادة واحدة أو أكثر. يجب إبطال كل شهادة مستخدم بشكل فردي. لن يؤدي إبطال شهادة وسيطة أو شهادة جذر إلى إبطال جميع الشهادات التابعة تلقائيا. |
مفاهيم مصادقة RADIUS
إذا تم تكوين بوابة P2S VPN لاستخدام المصادقة المستندة إلى RADIUS، تعمل بوابة P2S VPN كوكيل خادم نهج الشبكة (NPS) لإعادة توجيه طلبات المصادقة إلى خادم (خوادم) RADIUS للعميل. يمكن للبوابات استخدام واحد أو اثنين من خوادم RADIUS لمعالجة طلبات المصادقة. يتم تلقائيا موازنة تحميل طلبات المصادقة عبر خوادم RADIUS إذا تم توفير عدة طلبات.
| المفهوم | الوصف | الملاحظات |
|---|---|---|
| سر الخادم الأساسي | سر الخادم الذي تم تكوينه على خادم RADIUS الأساسي للعميل الذي يستخدم للتشفير بواسطة بروتوكول RADIUS. | أي سلسلة سرية مشتركة. |
| عنوان IP للخادم الأساسي | عنوان IP الخاص لخادم RADIUS | يجب أن يكون عنوان IP هذا عنوان IP خاصا يمكن الوصول إليه بواسطة المركز الظاهري. تأكد من نشر الاتصال الذي يستضيف خادم RADIUS إلى defaultRouteTable للمركز مع البوابة. |
| سر الخادم الثانوي | سر الخادم الذي تم تكوينه على خادم RADIUS الثاني المستخدم للتشفير بواسطة بروتوكول RADIUS. | أي سلسلة سرية مشتركة متوفرة. |
| عنوان IP للخادم الثانوي | عنوان IP الخاص لخادم RADIUS | يجب أن يكون عنوان IP هذا عنوان IP خاصا يمكن الوصول إليه بواسطة المركز الظاهري. تأكد من نشر الاتصال الذي يستضيف خادم RADIUS إلى defaultRouteTable للمركز مع البوابة. |
| شهادة جذر خادم RADIUS | البيانات العامة لشهادة جذر خادم RADIUS. | هذا الحقل اختياري. أدخل السلسلة (السلاسل) المقابلة للبيانات العامة لشهادة الجذر RADIUS. يمكنك إدخال شهادات جذر متعددة. يجب إصدار جميع شهادات العميل المقدمة للمصادقة من الشهادات الجذر المحددة. للحصول على مثال حول كيفية الحصول على البيانات العامة للشهادة، راجع الخطوة 8 في المستند التالي حول إنشاء الشهادات. |
| شهادات العميل التي تم إبطالها | بصمة الإبهام لشهادات عميل RADIUS التي تم إبطالها. لن يتمكن العملاء الذين يقدمون الشهادات التي تم إبطالها من الاتصال. | هذا الحقل اختياري. يجب إبطال كل شهادة مستخدم بشكل فردي. لن يؤدي إبطال شهادة وسيطة أو شهادة جذر إلى إبطال جميع الشهادات التابعة تلقائيا. |
مفاهيم مصادقة Microsoft Entra
ترتبط المفاهيم التالية بتكوينات الخادم التي تستخدم المصادقة المستندة إلى معرف Microsoft Entra. تتوفر المصادقة المستندة إلى معرف Microsoft Entra فقط إذا كان نوع النفق هو OpenVPN.
| المفهوم | الوصف | المعلمات المتوفرة |
|---|---|---|
| الجمهور | معرف التطبيق لتطبيق Azure VPN Enterprise المسجل في مستأجر Microsoft Entra. | لمزيد من المعلومات حول كيفية تسجيل تطبيق Azure VPN في المستأجر الخاص بك والعثور على معرف التطبيق، راجع تكوين مستأجر لاتصالات بروتوكول VPN OpenVPN لمستخدم P2S |
| مصدر الشهادة | عنوان URL الكامل المطابق لخدمة رمز الأمان (STS) المقترنة ب Active Directory الخاص بك. | السلسلة بالتنسيق التالي: https://sts.windows.net/<your Directory ID>/ |
| مستأجر Microsoft Entra | عنوان URL الكامل المقابل لمستأجر Active Directory المستخدم للمصادقة على البوابة. | يختلف استنادا إلى السحابة التي يتم نشر مستأجر Active Directory فيها. انظر أدناه للحصول على التفاصيل لكل سحابة. |
معرف مستأجر Microsoft Entra
يصف الجدول التالي تنسيق عنوان URL ل Microsoft Entra استنادا إلى معرف Microsoft Entra السحابي الذي يتم نشره فيه.
| السحابة | تنسيق المعلمة |
|---|---|
| سحابة Azure العامة | https://login.microsoftonline.com/{AzureAD TenantID} |
| سحابة Azure Government | https://login.microsoftonline.us/{AzureAD TenantID} |
| China 21Vianet Cloud | https://login.chinacloudapi.cn/{AzureAD TenantID} |
مفاهيم مجموعة المستخدمين (تجمعات متعددة)
المفاهيم التالية المتعلقة بمجموعات المستخدمين (تجمعات متعددة) في Virtual WAN. تسمح لك مجموعات المستخدمين بتعيين عناوين IP مختلفة لتوصيل المستخدمين استنادا إلى بيانات الاعتماد الخاصة بهم، ما يسمح لك بتكوين قوائم التحكم بالوصول (ACLs) وقواعد جدار الحماية لتأمين أحمال العمل. لمزيد من المعلومات والأمثلة، راجع مفاهيم التجمعات المتعددة.
يحتوي تكوين الخادم على تعريفات المجموعات ثم يتم استخدام المجموعات على البوابات لتعيين مجموعات تكوين الخادم إلى عناوين IP.
| المفهوم | الوصف | الملاحظات |
|---|---|---|
| مجموعة المستخدمين / مجموعة النهج | مجموعة المستخدمين أو مجموعة النهج هي تمثيل منطقي لمجموعة من المستخدمين التي يجب تعيين عناوين IP لها من نفس مجموعة العناوين. | لمزيد من المعلومات، راجع حول مجموعات المستخدمين. |
| المجموعة الافتراضية | عندما يحاول المستخدمون الاتصال ببوابة باستخدام ميزة مجموعة المستخدمين، يتم تلقائيا اعتبار المستخدمين الذين لا يتطابقون مع أي مجموعة معينة إلى البوابة جزءا من المجموعة الافتراضية وتعيين عنوان IP مقترن بتلك المجموعة. | يمكن تحديد كل مجموعة في تكوين الخادم كمجموعة افتراضية أو مجموعة غير افتراضية ولا يمكن تغيير هذا الإعداد بعد إنشاء المجموعة. يمكن تعيين مجموعة افتراضية واحدة بالضبط لكل بوابة VPN P2S، حتى إذا كان تكوين الخادم المعين يحتوي على مجموعات افتراضية متعددة. |
| أولوية المجموعة | عند تعيين مجموعات متعددة إلى بوابة، قد يقدم المستخدم المتصل بيانات اعتماد تطابق مجموعات متعددة. تعالج شبكة WAN الظاهرية المجموعات المعينة إلى بوابة بترتيب متزايد من الأولوية. | الأولويات هي أعداد صحيحة إيجابية وتتم معالجة المجموعات ذات الأولويات الرقمية الأقل أولا. يجب أن يكون لكل مجموعة أولوية مميزة. |
| إعدادات/أعضاء المجموعة | تتكون مجموعات المستخدمين من أعضاء. لا يتوافق الأعضاء مع المستخدمين الفرديين بل يحددون المعايير/شروط المطابقة المستخدمة لتحديد المجموعة التي يمثل المستخدم المتصل جزءا منها. بمجرد تعيين مجموعة إلى بوابة، يعتبر المستخدم المتصل الذي تتطابق بيانات اعتماده مع المعايير المحددة لأحد أعضاء المجموعة، جزءا من تلك المجموعة ويمكن تعيين عنوان IP مناسب له. | للحصول على قائمة كاملة بالمعايير المتوفرة، راجع إعدادات المجموعة المتوفرة. |
مفاهيم تكوين البوابة
تصف الأقسام التالية المفاهيم المرتبطة ببوابة P2S VPN. ترتبط كل بوابة بتكوين خادم VPN واحد ولها العديد من الخيارات الأخرى القابلة للتكوين.
مفاهيم البوابة العامة
| المفهوم | الوصف | الملاحظات |
|---|---|---|
| وحدة مقياس البوابة | تحدد وحدة مقياس البوابة مقدار معدل النقل الكلي والمستخدمين المتزامنين الذين يمكن أن تدعمهم بوابة P2S VPN. | يمكن أن تتراوح وحدات مقياس البوابة من 1 إلى 200، وتدعم 500 إلى 100000 مستخدم لكل بوابة. |
| تكوين خادم P2S | تعريف معلمات المصادقة التي تستخدمها بوابة P2S VPN لمصادقة المستخدمين الواردين. | أي تكوين خادم P2S مقترن ببوابة Virtual WAN. يجب إنشاء تكوين الخادم بنجاح للبوابة للإشارة إليها. |
| تفضيلات التوجيه | يسمح لك باختيار كيفية توجيه نسبة استخدام الشبكة بين Azure والإنترنت. | يمكنك اختيار توجيه نسبة استخدام الشبكة إما عبر شبكة Microsoft أو عبر شبكة ISP (الشبكة العامة). لمزيد من المعلومات حول هذا الإعداد، راجع ما هو تفضيل التوجيه؟ لا يمكن تعديل هذا الإعداد بعد إنشاء البوابة. |
| خوادم DNS المخصصة | يجب أن تقوم عناوين IP لخادم (خوادم) DNS التي تربط المستخدمين بإعادة توجيه طلبات DNS إليها. | أي عنوان IP قابل للتوجيه. |
| نشر التوجيه الافتراضي | إذا تم تكوين مركز Virtual WAN بمسار افتراضي 0.0.0.0/0 (مسار ثابت في جدول التوجيه الافتراضي أو 0.0.0.0/0 معلن عنه من الموقع المحلي، يتحكم هذا الإعداد في ما إذا كان يتم الإعلان عن مسار 0.0.0.0.0/0 لتوصيل المستخدمين أم لا. | يمكن تعيين هذا الحقل إلى صواب أو خطأ. |
المفاهيم الخاصة ب RADIUS
| المفهوم | الوصف | الملاحظات |
|---|---|---|
| استخدام إعداد خادم RADIUS البعيد/المحلي | يتحكم في ما إذا كان بإمكان Virtual WAN إعادة توجيه حزم مصادقة RADIUS إلى خوادم RADIUS المستضافة محليا أو في شبكة ظاهرية متصلة بمركز ظاهري مختلف. | يحتوي هذا الإعداد على قيمتين، صواب أو خطأ. عند تكوين Virtual WAN لاستخدام المصادقة المستندة إلى RADIUS، تعمل بوابة Virtual WAN P2S كوكيل RADIUS يرسل طلبات المصادقة إلى وحدات RADIUS الخاصة بك. يسمح هذا الإعداد (إذا كان صحيحا) لبوابة Virtual WAN بالاتصال بخوادم RADIUS المنشورة محليا أو في شبكة ظاهرية متصلة بمركز مختلف. إذا كانت خاطئة، فلن تتمكن شبكة WAN الظاهرية إلا من المصادقة مع خوادم RADIUS المستضافة في الشبكات الظاهرية المتصلة بالمركز باستخدام البوابة. |
| عناوين IP لوكيل RADIUS | تحتوي حزم مصادقة RADIUS المرسلة بواسطة بوابة P2S VPN إلى خادم RADIUS على عناوين IP المصدر المحددة بواسطة حقل عنوان IP لوكيل RADIUS. يجب السماح بإدراج عناوين IP هذه كعملاء RADIUS على خادم RADIUS الخاص بك. | هذه المعلمة غير قابلة للتكوين مباشرة. إذا تم تعيين "Use Remote/On-premises RADIUS server" إلى true، يتم تكوين عناوين IP لوكيل RADIUS تلقائيا كعناوين IP من تجمعات عناوين العميل المحددة على البوابة. إذا كان هذا الإعداد خاطئا، فإن عناوين IP هي عناوين IP من داخل مساحة عنوان المركز. يمكن العثور على عناوين IP لوكيل RADIUS على مدخل Microsoft Azure على صفحة بوابة P2S VPN. |
مفاهيم تكوين الاتصال
يمكن أن يكون هناك تكوين اتصال واحد أو أكثر على بوابة P2S VPN. يحتوي كل تكوين اتصال على تكوين توجيه (انظر أدناه للحصول على التحذيرات) ويمثل مجموعة أو مقطعا من المستخدمين الذين تم تعيين عناوين IP لهم من نفس تجمعات العناوين.
| المفهوم | الوصف | الملاحظات |
|---|---|---|
| اسم التهيئة | اسم تكوين VPN P2S | يمكن توفير أي اسم. يمكن أن يكون لديك أكثر من تكوين اتصال واحد على بوابة إذا كنت تستفيد من ميزة مجموعات المستخدمين/التجمعات المتعددة. إذا كنت لا تستخدم هذه الميزة، يمكن أن يكون هناك تكوين واحد فقط لكل بوابة. |
| مجموعات المستخدمين | مجموعات المستخدمين التي تتوافق مع التكوين | أي مجموعة (مجموعات) مستخدمين يشار إليها في تكوين خادم VPN. هذه المعلمة اختيارية. لمزيد من المعلومات، راجع حول مجموعات المستخدمين. |
| تجمعات العناوين | تجمعات العناوين هي عناوين IP خاصة يتم تعيينها للمستخدمين المتصلين. | يمكن تحديد تجمعات العناوين كأي كتلة CIDR لا تتداخل مع أي مساحات عناوين مركز ظاهري أو عناوين IP المستخدمة في الشبكات الظاهرية المتصلة بشبكة WAN الظاهرية أو العناوين المعلن عنها من أماكن العمل. اعتمادا على وحدة المقياس المحددة على البوابة، قد تحتاج إلى أكثر من كتلة CIDR واحدة. لمزيد من المعلومات، راجع حول تجمعات العناوين. |
| تكوين التوجيه | يحتوي كل اتصال إلى Virtual Hub على تكوين توجيه، والذي يحدد جدول التوجيه الذي يرتبط به الاتصال وجداول التوجيه التي ينشر جدول التوجيه إليها. | يجب أن تربط جميع اتصالات الفرع بنفس المركز (ExpressRoute وVPN وNVA) ب defaultRouteTable وتنشر إلى نفس مجموعة جداول التوجيه. قد يؤدي وجود عمليات نشر مختلفة لاتصالات الفروع إلى سلوكيات توجيه غير متوقعة، حيث ستختار شبكة WAN الظاهرية تكوين التوجيه لفرع واحد وتطبيقه على جميع الفروع وبالتالي المسارات المستفادة من الموقع. |
الخطوات التالية
أضف ارتباطات هنا إلى مقالتين للخطوات التالية.