1. 目录

1    Azure Site to Site VPN配置前的准备    1

1.1    设备兼容    1

1.2    网络要求和注意事项    1

2    配置Azure site to site VPN网络    1

2.1    添加虚拟网络:    1

3    配置VPN网关    1

3.1    创建网关    1

3.2    配置vpn网关    1

3.3    VPN硬件设备配置    1

3.4    获取共享密钥    1

4    硬件设备VPN配置    1

4.1    下载配置文件    1

4.2    配置site to site vpn    1

4.3    完成后的结果    1

  1. Azure Site to Site VPN配置前的准备

用户在构建自己云计算解决方案的时候,往往会选择私有云或者公有云来做部署,但在一些场景下,用户更加希望通过混合云的方案来满足自己的业务需求。Azure为混合云的部署提供多种不同的连接方案,最常见的是P2S VPN,S2S VPN, ExpressRoute(专线路由),本文来介绍一下S2S VPN的实际配置案例:

示意图:

  1. 设备兼容

在开始正式配置之前,你需要一些最基本的条件需要满足,才能配置你的Site to Site VPN连接:

确保你的VPN设备在微软的VPN设备兼容列表里面,设备兼容列表请参照:

https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-about-vpn-devices/#compatible-vpn-devices

如果你的设备不在上述兼容列表中,也并不代表就不能连接,比如一些客户使用的是华为,或者H3C的设备,经过测试也是可以连接的,原则上如果你的VPN设备能够满足网关的一些基本要求,应该都是可以理解的,具体的情况需要你联系你的网络管理员进行测试,VPN网关的基本要求如下:

  1. 网络要求和注意事项

  • Azure的VPN Gateway需要和你的VPN设备建立连接,确保你的VPN设备在NAT前面,并且有一个面向互联网可连接的公网IP地址
  • 提前规划好自己的IP地址分配,在进行VPN连接后你自己数据中心的IP地址段和Azure VPN端的IP地址段不能重叠
  • 当然对于Azure用户来讲,你必须有Azure的账户和订阅
  • 检查下路由的兼容性,如果设备并不支持动态路由,那么这就意味着:

    你在配置网关的时候,只能配置静态路由网关

    静态路由网关不支持多个站点的VPN连接

  • 确定你的VPN加密域(VPN Encryption Domain),两边必须完全一致,否则无法连接
  1. 配置Azure site to site VPN网络

    1. 添加虚拟网络:

首先配置本地网络,什么是本地网络呢?如果你在Azure上配置,本地网络意思是你自己的数据中心需要和Azure进行连接的网络段,而不是Azure上的网络段,这一点一定要清楚,不能配错,

  1. 进入Azure管理界面,单击新建-》网络服务虚拟网络-》添加本地网络:

  1. 添加本地网络名称,VPN设备的IP地址请找你的网络管理员获得,如果暂时不知道也可以略过:

  1. 设置本地的网络地址空间:
  • 本地设置的地址空间必须和你实际数据中心的完全一致
  • 提前配置好地址段,Azure端地址和自己数据中心地址段不可以重叠
  • 可以使用不同的地址段,例如公网地址,都可以支持

  1. 新建虚拟网络,选择"新建"-》"自定义创建"-》输入网络名称,下一步:

  1. 输入需要创建的虚拟网络的名称,选择虚拟网络所在地区,本测试选择中国东部,然后下一步:

  1. 在本配置页中,你可以看到有"站点到站点"的配置选项,勾选,并选择你在步1 中创建的本地网络:

  1. 配置Azure上虚拟网络的地址空间,需要注意的是,Azure上地址空间的配置需要同步 给用户数据中心的网络管理人员,注意事项:
  • 地址空间不可重叠
  • 注意添加网关子网

  1. 完成创建后,进入myvpn的仪表板界面,你会看到目前VPN没有连接,需要创建网关:

  1. 配置VPN网关

    1. 创建网关

创建网关的时候需要注意,看看你的设备是否支持动态网关,不过不支持就只能创建静态网关。

  1. 配置vpn网关

一旦VPN的网关建立,你就会看到如下界面,意味着Azure端的网关已经就绪,这个时候首先记录下网关的IP地址,如下:

  1. VPN硬件设备配置

下载对应你的型号的交换机的配置脚本,便于你的数据中心的网络管理员进行配置:

(当然您也可以通过手动命令方式配置对端的硬件设备)

  1. 获取共享密钥

为了确保广域网中的数据通信安全AzureVPN也支持加密通讯:

首先您需要向网络管理员提供以下信息:

  • Azure VPN网关地址
  • Azure上下载的对用交换机配置脚本
  • 本地VPN设备连接到Azure上的共享密钥

在某些情况下,由于不同公司网络管理的要求,并不会使用Azure提供的共享密钥,而是由用户提供共享密钥,只能使用Powershell来更新Azure上VPN的共享密钥:

PS C:\> Get-AzureVNetGateway -VNetName myvpn

PS C:\> Set-AzureVNetGatewayKey -VNetName myvpn -LocalNetworkSiteName myLocalNetwork -SharedKey YOURSHAREDKEY

  1. 硬件设备VPN配置

    1. 下载配置文件

根据能公司内部的网络VPN或者防火墙设备下载相对应的配置文件。

事先可以询问设备供应商搞清楚设备型号及ios版本

  1. 配置site to site vpn

以下是juniper 设备配置内容供参考Microsoft Corporation

# Windows Azure Virtual Network

# This configuration template applies to Juniper SSG Series Secure Services Gateway running ScreenOS 6.2.

# It configures an IPSec VPN tunnel connecting your on-premise VPN device with the Azure gateway.

# !!! 1. Policy-based VPN configuration is not supported.

# !!! 2. Only 1 subnet is allowed for both your on-premise network and your azure virtual network.

# !!! 3. To support multiple subnets, please consider using Dynamic Routing Gateway.

# ---------------------------------------------------------------------------------------------------------------------

# Virtual tunnel interface configuration

set interface tunnel.1 zone untrust

set interface tunnel.1 ip unnumbered interface "ethernet0/1"

set route 10.100.0.0/24 interface tunnel.1

# ---------------------------------------------------------------------------------------------------------------------

# Internet Key Exchange (IKE) configuration

#

# This section specifies the authentication, encryption, hashing, and lifetime parameters for the Phase 1 negotiation

# and the main mode security association. We also specify the IP address of the peer of your on-premise VPN device

# (which is the Azure Gateway) here.

set ike p1-proposal "azure-proposal" preshare group2 esp aes256 sha-1 seconds 28800

set ike gateway azure-gateway address 42.159.225.139 main outgoing-interface "ethernet0/1" preshare kYT5y8A3s3gHR5IO8UgOM1xyI2WKyVGi proposal azure-proposal

set ike gateway azure-gateway dpd-liveness interval 10

# ---------------------------------------------------------------------------------------------------------------------

# IPSec configuration

#

# This section specifies encryption, authentication, and lifetime properties for the Phase 2 negotiation and the quick

# mode security association. We also bind the IPSec policy to the virtual tunnel interface, through which cross-premise

# traffic will be transmitted.

set ike p2-proposal azure-ipsec-proposal no-pfs esp aes256 sha-1 seconds 3600

set vpn azure-ipsec-vpn gateway azure-gateway tunnel idletime 0 proposal azure-ipsec-proposal

set vpn azure-ipsec-vpn monitor optimized rekey

set vpn azure-ipsec-vpn proxy-id local-ip 192.168.0.0/19 remote-ip 10.100.0.0/24 "ANY"

set vpn azure-ipsec-vpn bind interface tunnel.1

# ---------------------------------------------------------------------------------------------------------------------

# ACL rules

#

# Proper ACL rules are needed for permitting cross-premise network traffic.

# You should also allow inbound UDP/ESP traffic for the interface which will be used for the IPSec tunnel.

set address trust onprem-networks 192.168.0.0/19

set address untrust azure-networks 10.100.0.0/24

set policy top from trust to untrust onprem-networks azure-networks any permit

set policy top from untrust to trust azure-networks onprem-networks any permit

# ---------------------------------------------------------------------------------------------------------------------

# TCPMSS clamping

#

# Adjust the TCPMSS value properly to avoid fragmentation

set flow vpn-tcp-mss 1350

save

在完成配置后Azure VPN 自动生效(大约5分钟内)

  1. 完成后的结果

内网服务器平Azure中的虚拟机

Azure Site to Site VPN 配置手册的更多相关文章

  1. 构建混合云:配置Azure site to site VPN连接(1)

      用户在构建自己云计算解决方案的时候,往往会选择私有云或者公有云来做部署,但在一些场景下,用户更加希望通过混合云的方案来满足自己的业务需求.Azure为混合云的部署提供多种不同的连接方案,最常见的是 ...

  2. Microsoft Azure Point to Site VPN替代方案

    Microsoft Azure提供了Point to Site VPN,但有时候这并不能满足我们的需求,例如:Point to Site VPN是SSTP VPN,只能支持Window客户端拨入,而且 ...

  3. 使用Openswan接入Windows Azure Site to Site VPN

    Winodows Azure的Site to Site VPN支持主流的防火墙和路由器等接入设备.具体型号和系列请参考下表: VENDOR DEVICE FAMILY MINIMUM OS VERSI ...

  4. Windows Azure 虚拟网络配置(Site to Site)

    上篇我们创建了Point to Site的虚拟网络连接,来满足客户端到云端网络的连接.本篇文章我们将创建Site to Site的虚拟网络连接,以满足本地网络到云端的网络连接. 创建与配置过程与上篇较 ...

  5. 连接到Windows Azure Point to Site VPN

    Windows Azure支持两种模式的VPN接入: Site to Site,接入端需要有固定的公网IP地址,用于连接局域网和Windows Azure的虚拟网络. Point to Site,客户 ...

  6. ASDM through site to site VPN

    网上大部分文档只提到两个地方需要设置: 在6.2版本确实可以.但在7.2版本上只有用vpn client或anyconnect client连上的客户端可以用ASDM连上ASA,而通过site to ...

  7. Windows Azure Virtual Network (8) 创建Azure Point-to-Site点到站点 VPN

    <Windows Azure Platform 系列文章目录> 我们在使用Azure的时候,常常有这样的需求: -我需要将企业内网的主机连接到微软Azure公有云平台 -我需要保证企业内部 ...

  8. 思科ASA系列防火墙配置手册

    使用console连接线登录方法 1.使用cisco的console连接线,连接设备的console口和计算机com口(笔记本用USB转COM口连接线)2.使用超级终端或secureCRT软件连接设备 ...

  9. QC邮件转发工具Mail Direct安装配置手册

    QC邮件转发工具Mail Direct安装配置手册 2010-06-11 10:00:56| 分类: 软件测试 | 标签: |举报 |字号大中小 订阅 QC邮件转发工具安装配置手册 由于公司没有独立的 ...

随机推荐

  1. 使用rsync+inotify同步两台服务器文件

    目标功能:将B服务器文件同步到A服务器 A服务器rsyncd.conf配置 权限600 A服务器rsyncd.pas文件配置  权限600 同步文件路径 /data/wwwroot/shen/  权限 ...

  2. 嵌入式 Linux下永久生效环境变量bashrc

    嵌入式 Linux下永久生效环境变量bashrc 1) .bashrc文件 在linux系统普通用户目录(cd /home/xxx)或root用户目录(cd /root)下,用指令ls -al可以看到 ...

  3. MongoDB【第三篇】MongoDB基本操作

    MongoDB的基本操作包括文档的创建.删除.和更新 文档插入 1.插入 #查看当前都有哪些数据库 > show dbs; local 0.000GB tim 0.000GB #使用 tim数据 ...

  4. PHP header函数设置http报文头(设置头部域)

    PHP HTTP 简介: HTTP 函数允许您在其他输出被发送之前,对由 Web 服务器发送到浏览器的信息进行操作. PHP 5 HTTP 函数:header()     向客户端发送原始的 HTTP ...

  5. TaskCompletionSource<TResult>

    参考:https://blogs.msdn.microsoft.com/pfxteam/2009/06/02/the-nature-of-taskcompletionsourcetresult/

  6. Android中Service通信(一)——启动Service并传递数据

    启动Service并传递数据的小实例(通过外界与服务进行通信): 1.activity_main.xml: <EditText android:layout_width="match_ ...

  7. Timequest收集命令

    表 1. 收集命令 命令 说明 all_clocks 返回设计中所有时钟的收集. all_inputs 返回设计中输入端口的收集. all_outputs 返回设计中所有寄存器的收集. get_cel ...

  8. MySQL主从复制

    Mysql主从复制介绍 MySQL支持单向.双向.链式级联.实时.异步复制.在复制过程中,一台服务器充当服务器(Master),而一个或多个其它的服务器充当从服务器(Slave). 复制可以是单向:M ...

  9. cocos2d-x学习记录第一篇-环境变量配置

    最近准备学习cocos2d-x,之前一直是做iOS开发的,算是零基础开始学习吧. (此条后来修改,不用配置下面这些东西,下载一个cocosstudio就可以了,直接在里边就创建工程了) 本人用Mac电 ...

  10. JS心得——判断一个对象是否为空

    判断一个对象是否为空对象,本文给出三种判断方法: 最常见的思路,for...in...遍历属性,为真则为"非空数组":否则为"空数组" 2.通过JSON自带的. ...