1. 目录

1    Azure Site to Site VPN配置前的准备    1

1.1    设备兼容    1

1.2    网络要求和注意事项    1

2    配置Azure site to site VPN网络    1

2.1    添加虚拟网络:    1

3    配置VPN网关    1

3.1    创建网关    1

3.2    配置vpn网关    1

3.3    VPN硬件设备配置    1

3.4    获取共享密钥    1

4    硬件设备VPN配置    1

4.1    下载配置文件    1

4.2    配置site to site vpn    1

4.3    完成后的结果    1

  1. Azure Site to Site VPN配置前的准备

用户在构建自己云计算解决方案的时候,往往会选择私有云或者公有云来做部署,但在一些场景下,用户更加希望通过混合云的方案来满足自己的业务需求。Azure为混合云的部署提供多种不同的连接方案,最常见的是P2S VPN,S2S VPN, ExpressRoute(专线路由),本文来介绍一下S2S VPN的实际配置案例:

示意图:

  1. 设备兼容

在开始正式配置之前,你需要一些最基本的条件需要满足,才能配置你的Site to Site VPN连接:

确保你的VPN设备在微软的VPN设备兼容列表里面,设备兼容列表请参照:

https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-about-vpn-devices/#compatible-vpn-devices

如果你的设备不在上述兼容列表中,也并不代表就不能连接,比如一些客户使用的是华为,或者H3C的设备,经过测试也是可以连接的,原则上如果你的VPN设备能够满足网关的一些基本要求,应该都是可以理解的,具体的情况需要你联系你的网络管理员进行测试,VPN网关的基本要求如下:

  1. 网络要求和注意事项

  • Azure的VPN Gateway需要和你的VPN设备建立连接,确保你的VPN设备在NAT前面,并且有一个面向互联网可连接的公网IP地址
  • 提前规划好自己的IP地址分配,在进行VPN连接后你自己数据中心的IP地址段和Azure VPN端的IP地址段不能重叠
  • 当然对于Azure用户来讲,你必须有Azure的账户和订阅
  • 检查下路由的兼容性,如果设备并不支持动态路由,那么这就意味着:

    你在配置网关的时候,只能配置静态路由网关

    静态路由网关不支持多个站点的VPN连接

  • 确定你的VPN加密域(VPN Encryption Domain),两边必须完全一致,否则无法连接

  1. 配置Azure site to site VPN网络

    1. 添加虚拟网络:

首先配置本地网络,什么是本地网络呢?如果你在Azure上配置,本地网络意思是你自己的数据中心需要和Azure进行连接的网络段,而不是Azure上的网络段,这一点一定要清楚,不能配错,

  1. 进入Azure管理界面,单击新建-》网络服务虚拟网络-》添加本地网络:

  1. 添加本地网络名称,VPN设备的IP地址请找你的网络管理员获得,如果暂时不知道也可以略过:

  1. 设置本地的网络地址空间:
  • 本地设置的地址空间必须和你实际数据中心的完全一致
  • 提前配置好地址段,Azure端地址和自己数据中心地址段不可以重叠
  • 可以使用不同的地址段,例如公网地址,都可以支持

  1. 新建虚拟网络,选择"新建"-》"自定义创建"-》输入网络名称,下一步:

  1. 输入需要创建的虚拟网络的名称,选择虚拟网络所在地区,本测试选择中国东部,然后下一步:

  1. 在本配置页中,你可以看到有"站点到站点"的配置选项,勾选,并选择你在步1 中创建的本地网络:

  1. 配置Azure上虚拟网络的地址空间,需要注意的是,Azure上地址空间的配置需要同步 给用户数据中心的网络管理人员,注意事项:
  • 地址空间不可重叠
  • 注意添加网关子网

  1. 完成创建后,进入myvpn的仪表板界面,你会看到目前VPN没有连接,需要创建网关:

  1. 配置VPN网关

    1. 创建网关

创建网关的时候需要注意,看看你的设备是否支持动态网关,不过不支持就只能创建静态网关。

  1. 配置vpn网关

一旦VPN的网关建立,你就会看到如下界面,意味着Azure端的网关已经就绪,这个时候首先记录下网关的IP地址,如下:

  1. VPN硬件设备配置

下载对应你的型号的交换机的配置脚本,便于你的数据中心的网络管理员进行配置:

(当然您也可以通过手动命令方式配置对端的硬件设备)

  1. 获取共享密钥

为了确保广域网中的数据通信安全AzureVPN也支持加密通讯:

首先您需要向网络管理员提供以下信息:

  • Azure VPN网关地址
  • Azure上下载的对用交换机配置脚本
  • 本地VPN设备连接到Azure上的共享密钥

在某些情况下,由于不同公司网络管理的要求,并不会使用Azure提供的共享密钥,而是由用户提供共享密钥,只能使用Powershell来更新Azure上VPN的共享密钥:

PS C:\> Get-AzureVNetGateway -VNetName myvpn

PS C:\> Set-AzureVNetGatewayKey -VNetName myvpn -LocalNetworkSiteName myLocalNetwork -SharedKey YOURSHAREDKEY

  1. 硬件设备VPN配置

    1. 下载配置文件

根据能公司内部的网络VPN或者防火墙设备下载相对应的配置文件。

事先可以询问设备供应商搞清楚设备型号及ios版本

  1. 配置site to site vpn

以下是juniper 设备配置内容供参考Microsoft Corporation

# Windows Azure Virtual Network

# This configuration template applies to Juniper SSG Series Secure Services Gateway running ScreenOS 6.2.

# It configures an IPSec VPN tunnel connecting your on-premise VPN device with the Azure gateway.

# !!! 1. Policy-based VPN configuration is not supported.

# !!! 2. Only 1 subnet is allowed for both your on-premise network and your azure virtual network.

# !!! 3. To support multiple subnets, please consider using Dynamic Routing Gateway.

# ---------------------------------------------------------------------------------------------------------------------

# Virtual tunnel interface configuration

set interface tunnel.1 zone untrust

set interface tunnel.1 ip unnumbered interface "ethernet0/1"

set route 10.100.0.0/24 interface tunnel.1

# ---------------------------------------------------------------------------------------------------------------------

# Internet Key Exchange (IKE) configuration

#

# This section specifies the authentication, encryption, hashing, and lifetime parameters for the Phase 1 negotiation

# and the main mode security association. We also specify the IP address of the peer of your on-premise VPN device

# (which is the Azure Gateway) here.

set ike p1-proposal "azure-proposal" preshare group2 esp aes256 sha-1 seconds 28800

set ike gateway azure-gateway address 42.159.225.139 main outgoing-interface "ethernet0/1" preshare kYT5y8A3s3gHR5IO8UgOM1xyI2WKyVGi proposal azure-proposal

set ike gateway azure-gateway dpd-liveness interval 10

# ---------------------------------------------------------------------------------------------------------------------

# IPSec configuration

#

# This section specifies encryption, authentication, and lifetime properties for the Phase 2 negotiation and the quick

# mode security association. We also bind the IPSec policy to the virtual tunnel interface, through which cross-premise

# traffic will be transmitted.

set ike p2-proposal azure-ipsec-proposal no-pfs esp aes256 sha-1 seconds 3600

set vpn azure-ipsec-vpn gateway azure-gateway tunnel idletime 0 proposal azure-ipsec-proposal

set vpn azure-ipsec-vpn monitor optimized rekey

set vpn azure-ipsec-vpn proxy-id local-ip 192.168.0.0/19 remote-ip 10.100.0.0/24 "ANY"

set vpn azure-ipsec-vpn bind interface tunnel.1

# ---------------------------------------------------------------------------------------------------------------------

# ACL rules

#

# Proper ACL rules are needed for permitting cross-premise network traffic.

# You should also allow inbound UDP/ESP traffic for the interface which will be used for the IPSec tunnel.

set address trust onprem-networks 192.168.0.0/19

set address untrust azure-networks 10.100.0.0/24

set policy top from trust to untrust onprem-networks azure-networks any permit

set policy top from untrust to trust azure-networks onprem-networks any permit

# ---------------------------------------------------------------------------------------------------------------------

# TCPMSS clamping

#

# Adjust the TCPMSS value properly to avoid fragmentation

set flow vpn-tcp-mss 1350

save

在完成配置后Azure VPN 自动生效(大约5分钟内)

  1. 完成后的结果

内网服务器平Azure中的虚拟机

Azure Site to Site VPN 配置手册的更多相关文章

  1. 构建混合云:配置Azure site to site VPN连接(1)

      用户在构建自己云计算解决方案的时候,往往会选择私有云或者公有云来做部署,但在一些场景下,用户更加希望通过混合云的方案来满足自己的业务需求.Azure为混合云的部署提供多种不同的连接方案,最常见的是 ...

  2. Microsoft Azure Point to Site VPN替代方案

    Microsoft Azure提供了Point to Site VPN,但有时候这并不能满足我们的需求,例如:Point to Site VPN是SSTP VPN,只能支持Window客户端拨入,而且 ...

  3. 使用Openswan接入Windows Azure Site to Site VPN

    Winodows Azure的Site to Site VPN支持主流的防火墙和路由器等接入设备.具体型号和系列请参考下表: VENDOR DEVICE FAMILY MINIMUM OS VERSI ...

  4. Windows Azure 虚拟网络配置(Site to Site)

    上篇我们创建了Point to Site的虚拟网络连接,来满足客户端到云端网络的连接.本篇文章我们将创建Site to Site的虚拟网络连接,以满足本地网络到云端的网络连接. 创建与配置过程与上篇较 ...

  5. 连接到Windows Azure Point to Site VPN

    Windows Azure支持两种模式的VPN接入: Site to Site,接入端需要有固定的公网IP地址,用于连接局域网和Windows Azure的虚拟网络. Point to Site,客户 ...

  6. ASDM through site to site VPN

    网上大部分文档只提到两个地方需要设置: 在6.2版本确实可以.但在7.2版本上只有用vpn client或anyconnect client连上的客户端可以用ASDM连上ASA,而通过site to ...

  7. Windows Azure Virtual Network (8) 创建Azure Point-to-Site点到站点 VPN

    <Windows Azure Platform 系列文章目录> 我们在使用Azure的时候,常常有这样的需求: -我需要将企业内网的主机连接到微软Azure公有云平台 -我需要保证企业内部 ...

  8. 思科ASA系列防火墙配置手册

    使用console连接线登录方法 1.使用cisco的console连接线,连接设备的console口和计算机com口(笔记本用USB转COM口连接线)2.使用超级终端或secureCRT软件连接设备 ...

  9. QC邮件转发工具Mail Direct安装配置手册

    QC邮件转发工具Mail Direct安装配置手册 2010-06-11 10:00:56| 分类: 软件测试 | 标签: |举报 |字号大中小 订阅 QC邮件转发工具安装配置手册 由于公司没有独立的 ...

随机推荐

  1. python collections模块

    collections模块基本介绍 collections在通用的容器dict,list,set和tuple之上提供了几个可选的数据类型 namedtuple() factory function f ...

  2. nginx配置杂记

    1.一个接口的形式要求是:IP+端口,并且通信协议类型是:https,如何做域名解析: ①设置一个端口.同时在防火墙中打开这个端口,重启防火墙: ②在服务器上/etc/nginx/conf.d的目录下 ...

  3. Mac下Jenkins+SVN+Xcode构建持续

    1 安装Jenkins Jenkins是基于Java开发的一种持续集成工具.所以呢,要使用Jenkins必须使用先安装JDK. JDK安装 JDK 下载地址 jdk 1.8.png 安装JDK的过程略 ...

  4. net.sf.json.JSONException: There is a cycle in the hierarchy!的解决办法

    使用Hibernate manytoone属性关联主表的时候,如果使用JSONArray把pojo对象转换成json对象时,很容易出现循环的异常.解决的办法就是, 在转换json对象时忽略manyto ...

  5. 学习CodeIgniter框架之旅(一)自定义模板目录

    在常用的框架本身都已经做好了分层和目录结构,但这在很多时候不满足项目的需求甚至在某些情况下变得不合理,因此很多时候需要自定义目录结构,在此就看看如果在CodeIgniter框架中自定义模板目录: 在C ...

  6. 手机通过数据线连接电脑后,找不到设备--Android Studio

    手机通过数据线连接电脑后,找不到可用的设备.允许USB调试,,因为小米手机还要设置USB开发者模式. 1.打开设置/关于手机 四次点击“MIUI版本”如图: 2.返回上一页打开更多设置 看到开发者选项 ...

  7. React Native踩坑Tip

    最近在使用React Native(以下简称RN)中踩了个坑,RN只能异步调用原生方法,所以在原生方法直接调用UI刷新操作需要将任务递交到主线程才可以. RCT_EXPORT_METHOD(finis ...

  8. 【Android接百度地图API】百度地图Demo点击按钮闪退

    运行百度地图自带的BaiduMap_AndroidSDK_v4.1.0_Sample里面的BaiduMapsApiASDemo发现点击上面的按钮会闪退,控制台报的是xml的问题 查了一下,官方文档特别 ...

  9. Spring4读书笔记(1)-模块

    Srping主要模块 Core Container spring-core,spring-beans: 提供基础功能,包括IoC和DI等特性.对依赖起到解耦作用(BeanFactory). sprin ...

  10. CSS3学习基本记录

    CSS3 边框 border-radius: 圆角 border-radius: 15px 50px 70px 100px; 左上 右上 右下 左下 box-shadow:阴影 box-shadow: ...