مخطط بوابة VPN وتصميمها
هناك العديد من الخيارات المختلفة المتاحة لاتصالات الشبكة الظاهرية. لمساعدتك في تحديد مخطط اتصال بوابة VPN الذي يلبي متطلباتك، استخدم الرسومات التخطيطية والأوصاف في الأقسام التالية. تُظهر المخططات هياكل الخط الأساسي، ولكن من الممكن بناء تكوينات أكثر تعقيدًا باستخدام المخططات كإرشادات.
VPN من موقع إلى موقع
اتصال بوابة VPN من موقع إلى موقع (S2S) هو اتصال عبر نفق VPN IPsec/IKE (IKEv1 أو IKEv2). يمكن استخدام الاتصالات من موقع إلى موقع للتكوينات المحلية والتكوينات المختلطة. يتطلب الاتصال من موقع إلى موقع جهاز VPN موجود محليا يحتوي على عنوان IP عام مخصص له.
يمكنك إنشاء أكثر من اتصال VPN واحد من بوابة الشبكة الافتراضية خاصتك، وعادة ما تتصل بمواقع متعددة محلية. عند العمل مع اتصالات متعددة، يجب استخدام نوع RouteBased VPN. نظرًا إلى أن كل شبكة افتراضية يمكن أن تحتوي على بوابة VPN واحدة فقط، فإن جميع الاتصالات من خلال البوابة تشترك في عرض النطاق الترددي المتاح. يشار إلى هذا النوع من تصميم الاتصال أحيانا على أنه متعدد المواقع.
إذا كنت ترغب في إنشاء تصميم لاتصال البوابة عالي التوفر، يمكنك تكوين البوابة لتكون في الوضع النشط-النشط. يتيح لك هذا الوضع تكوين نفقين نشطين (واحد من كل مثيل جهاز ظاهري للبوابة) إلى نفس جهاز VPN لإنشاء اتصال عالي التوفر. بالإضافة إلى كونه تصميم اتصال عالي التوفر، هناك ميزة أخرى من الوضع النشط-النشط وهي أن العملاء يعانون من معدل نقل أعلى.
- للحصول على معلومات حول تحديد جهاز VPN، راجع الأسئلة المتداولة حول بوابة VPN - أجهزة VPN.
- للحصول على معلومات حول الاتصالات المتوفرة بشكل كبير، راجع تصميم الاتصالات عالية التوفر.
- للحصول على معلومات حول الوضع النشط-النشط، راجع حول بوابات الوضع النشط-النشط.
أساليب النشر ل S2S
| أسلوب المصادقة | مقالة |
|---|---|
| مفتاح مشترك مسبقًا |
بوابة بوويرشيل المبادره القطريه |
| شهادة | بوابة |
VPN من نقطة إلى موقع
يتيح لك اتصال بوابة VPN من نقطة إلى موقع (P2S) إنشاء اتصال آمن بشبكتك الظاهرية من كمبيوتر عميل فردي. يتم إنشاء اتصال من نقطة إلى موقع عن طريق تشغيله من كمبيوتر العميل. يعد هذا الحل مفيدا للمتحكمين عن بعد الذين يرغبون في الاتصال بشبكات Azure الظاهرية من موقع بعيد، مثل من المنزل أو المؤتمر. تعد VPN من نقطة إلى موقع أيضا حلا مفيدا لاستخدامه بدلا من VPN من موقع إلى موقع عندما يكون لديك عدد قليل من العملاء الذين يحتاجون إلى الاتصال بشبكة ظاهرية.
على عكس الاتصالات من موقع إلى موقع، لا تتطلب الاتصالات من نقطة إلى موقع عنوان IP محلي عام أو جهاز VPN. يمكن استخدام اتصالات من نقطة إلى موقع مع اتصالات من موقع إلى موقع من خلال نفس بوابة VPN، طالما أن جميع متطلبات التكوين لكلا الاتصالين متوافقة. لمزيد من المعلومات حول اتصالات من نقطة إلى موقع، راجع حول VPN من نقطة إلى موقع.
أساليب النشر ل P2S
| أسلوب المصادقة | مقالة |
|---|---|
| شهادة |
بوابة بوويرشيل |
| Microsoft Entra ID |
معرف تطبيق العميل المسجل من Microsoft معرف تطبيق العميل المسجل يدويا |
| RADIUS |
بوابة بوويرشيل |
تكوين عميل P2S VPN
| أسلوب المصادقة | نوع النفق | نظام تشغيل العميل | عميل VPN |
|---|---|---|---|
| شهادة | |||
| IKEv2، SSTP | Windows | عميل VPN الأصلي | |
| الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) | macOS | عميل VPN الأصلي | |
| الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) | Linux | strongSwan | |
| OpenVPN | Windows |
عميل Azure VPN OpenVPN client version 2.x OpenVPN client version 3.x |
|
| OpenVPN | macOS | عميل OpenVPN | |
| OpenVPN | iOS | عميل OpenVPN | |
| OpenVPN | Linux |
عميل Azure VPN عميل OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | عميل Azure VPN | |
| OpenVPN | macOS | عميل Azure VPN | |
| OpenVPN | Linux | عميل Azure VPN |
اتصالات VNet إلى VNet (نفق IPsec/IKE VPN)
يشبه توصيل شبكة ظاهرية بشبكة ظاهرية أخرى (VNet-to-VNet) توصيل شبكة ظاهرية بموقع موقع محلي. يستخدم كلا نوعي الاتصال بوابة VPN لتوفير نفق آمن باستخدام IPsec/IKE. يُمْكنك حتى الجمع بين اتصال VNet إلى VNet مع تكوينات اتصال متعددة المواقع. يتيح لك هذا إنشاء هياكل الشبكة التي تجمع بين الاتصال عبر الأماكن والاتصال الشبكي بين الخلايا.
يمكن أن تكون الشبكات الظاهرية التي تتصل بها:
- في نفس المناطق أو مناطق مختلفة
- في نفس الاشتراكات أو في اشتراكات مختلفة
أساليب التوزيع ل VNet-to-VNet
| الاتصال | مقالة |
|---|---|
| اتصالات من VNet إلى VNet |
Portal + بوويرشيل المبادره القطريه |
(+) يشير إلى أن أسلوب النشر هذا متوفر فقط ل VNets في نفس الاشتراك.
في بعض الحالات، قد تحتاج إلى استخدام نظير الشبكة الظاهرية بدلا من VNet-to-VNet لتوصيل الشبكات الظاهرية. لا يستخدم نظير الشبكة الظاهرية بوابة شبكة ظاهرية. للحصول على المزيد من المعلومات، راجع تناظر الشبكة الافتراضية.
اتصالات متعايشة من موقع إلى موقع وExpressRoute
ExpressRoute هو اتصال خاص ومباشر من شبكة واسعة النطاق (وليس عبر الإنترنت العام) إلى خدمات Microsoft، بما في ذلك Azure. تنتقل نسبة استخدام الشبكة VPN من موقع إلى موقع مشفرة عبر الإنترنت العام. القدرة على تكوين اتصالات VPN وExpressRoute من موقع إلى موقع لنفس الشبكة الظاهرية له العديد من المزايا.
يمكنك تكوين VPN من موقع إلى موقع كمسار آمن لتجاوز الفشل ل ExpressRoute، أو استخدام الشبكات الظاهرية الخاصة من موقع إلى موقع للاتصال بالمواقع التي ليست جزءا من شبكتك، ولكنها متصلة من خلال ExpressRoute. لاحظ أن هذا التكوين يتطلب بوابتي شبكة ظاهرية لنفس الشبكة الظاهرية، واحدة تستخدم نوع البوابة Vpn، والأخرى باستخدام نوع البوابة ExpressRoute.
أساليب النشر لاتصالات S2S وExpressRoute المتعايشة
| الاتصال | مقالة |
|---|---|
| الاتصالات المتعايشة |
بوابة بوويرشيل |
التوصيلات المتاحة بشكل كبير
لتخطيط وتصميم الاتصالات عالية التوفر، بما في ذلك تكوينات الوضع النشط-النشط، راجع تصميم اتصال البوابة المتوفرة بشكل كبير للاتصالات عبر المباني واتصالات VNet إلى VNet.
الخطوات التالية
اعرض الأسئلة المتداولة حول بوابة VPN للحصول على معلومات إضافية.
تعرف على المزيد حول إعدادات تكوين بوابة VPN.
لاعتبارات BGP لبوابة VPN، راجع حول BGP.
للحصول على معلومات حول تناظر الشبكة الظاهرية، راجع تناظر الشبكة الظاهرية.
تعرف على بعض قدرات الشبكات الرئيسية الأخرى في Azure.