4.Azure创建点到站点的***隧道（下）

接下来我们需要在Azure上添加***客户端拨上到Azure后可以获取到的IP地址池范围，不得与要连接到其中的 VNet 重叠。

在这里我指定一个地址池

接下来上传根证书数据，我们以记事本的方式打开导出保存在桌面上的P2S-Root-Cer证书，复制如下图所示范围

把这段粘贴到Azure根证书位置，取个证书名字，保存

保存好以后，我们的点到站点就基本配置完成了。

那么对于其他需要拨入拨入我们的这个Azure站点的用户电脑而言，就需要把我们刚才导出保存在桌面的这个P2S-Child-Cer.pfx发给他们，并告知他这个秘钥的安装密码（导出时设置的密码）。

如果您是Windows系统，那么我们可以直接在Azure上下载***配置包随同P2S-Child-Cer.pfx一起发给我们的用户即可。（P2S-Root-Cer不用发给其他用户）

用户需要先双点P2S-Child-Cer.pfx文件一直下一步，输入秘钥密码，下一步直至安装完成。

选择是

导入完成。

目前Azure点到站点***支持以下客户端操作系统：

Windows 7（32 位和 64 位）

Windows Server 2008 R2（仅 64 位）

Windows 8（32 位和 64 位）

Windows 8.1（32 位和 64 位）

Windows Server 2012（仅 64 位）

Windows Server 2012 R2（仅 64 位）

Windows Server 2016（仅 64 位）

Windows 10

适用于 Mac 的 OSX 版本 10.11 (El Capitan)

适用于 Mac 的 macOS 版本 10.12 (Sierra)

在我的点到站点配置中，可以有128 个 *** 客户端可同时连接到一个虚拟网络。

Azure 支持两种类型的点到站点 *** 选项穿越代理和防火墙：

• 安全套接字隧道协议 (SSTP)。 SSTP 是 Microsoft 专有的基于 SSL 的解决方案，它可以穿透防火墙，因为大多数防火墙都打开了 443 SSL 使用的 TCP 端口。

• IKEv2 ***。 IKEv2 *** 是一个基于标准的 IPsec *** 解决方案，它使用 UDP 端口 500 和 4500 以及 IP 协议号 50。 防火墙并非始终打开这些端口，因此，IKEv2 *** 有可能无法穿过代理和防火墙。

如果重新启动进行过点到站点配置的客户端计算机，默认情况下是不会自动重新连接 ***？

另存为，便于把这个适用于Windows系统的***安装配置包发给我们需要使用的其他员工

下载好的压缩包解压后可以看到2个适用于32位操作系统和64位操作系统的安装配置包

您只需要点击您对应版本系统的安装即可配置完成，在这里我是64位的系统，我选择WindowsAmd64，进入双点运行这个***ClientSetupAmd64.exe

选择是

几个框一闪而过，就好了接下来我们就可以直接点击***连接了

连接

连接

继续

连接成功后下面这个对话框就消失了

接下来我们验证一下我们的***，运行Ipconfig /all,可以看到获取的IP地址是从之前设置172.172.172.0/24里获取到的。

接下来我们用内网地址连接我们上一篇博文创建好的WEB01虚拟机

打开我们的远程桌面连接

成功连接上了

因为Azure上按照流量收费的，不是按照带宽收费的，到这个时候有人肯定要问，如果我下面的员工都拨入这个***，那是否上网都走Azure的出口走了？导致我的费用激增？OK，带着这个疑问，我们看看没拨入***前我机器的路由走向,我本机的IP是10.106.106.7。

再看看拨入***后的变化：

可以看到，只有虚拟网络的网段10.0.0.0/16路由会走***，缺省0.0.0.0/0的路由并没有发生变化。

到此我的点到站点***分享就结束了，谢谢耐心看完的各位。