如果您企业自己的数据中心机房想和Azure上打通,通常有2种方式,一种是利用互联网构建站点到站点的***隧道,另一种是专线(Expre***oute)。二则的区别在于***隧道只能和vNet打通,而专线除了可以和vNet打通外还可以和Azure上的Paas层(例如:Azure存储(大量的上传数据))打通。

我在自己的电脑上准备了2台虚拟机,一台是Windows Server 2012 R2(工作组计算机),作为站点到站点***隧道的本地网关服务器,当然这台服务器有2张网卡,一张是WAN口直接连接公网固定IP地址出口;一张是LAN口,直接和另一台虚拟机Windows Server 2008 R2(可以是工作组也可以是域服务器)组成的封闭局域网络,模拟公司内网。

此次的架构如下:

15.Azure站点到站点***隧道(非专线)(上)_第1张图片

之前我们文章给大家介绍了点到站点的***隧道,这次介绍站点到站点的***隧道,两者可以并存。

还是之前的文章的Azure环境,做Azure站点到站点的***先决条件要有虚拟网络(我之前建好的Servers-vNet)和该虚拟网络的网关子网(GatewaySubnet)

15.Azure站点到站点***隧道(非专线)(上)_第2张图片

还要有虚拟网关(之前创建好的VirtualGateway-Servers-vNet),但需要注意的是***类型,因为我的本地网关是Windows Server 2012 R2的,因此查询兼容性列表,用这个系统来搭建本地网关是只能选择“基于路由的”***类型的。还有一种是“基于策略的”***类型。

静态路由 = 基于策略的

动态路由 = 基于路由的

什么是基于策略的(静态路由)网关?

基于策略的 *** 会根据本地网络和 Azure VNet 之间的地址前缀的各种组合,加密数据包并引导其通过 IPsec 隧道。通常会在 *** 配置中将策略(或流量选择器)定义为访问列表。(简言之:静态路由都是手动写入进去的,他是静态的,如果有变化就需要管理员手动再次更改)

什么是基于路由的(动态路由)网关?

基于路由的 *** 使用 IP 转发或路由表中的“路由”将数据包引导到相应的隧道接口中。然后,隧道接口会加密或解密出入隧道的数据包。 基于路由的 *** 的策略或流量选择器配置为任意到任意(或通配符)。(简言之:动态路由是基于协议的,有协议来维护这个路由条目,如果路由条目发生变化,那么动态路由协议会自动生成新的路由条目)

能否将基于策略的 *** 网关更新为基于路由的?

不可以。Azure Vnet 网关类型不能从基于策略更改为基于路由,反之亦然。必须先删除该网关,然后再重新创建,此过程需时约 60 分钟。不会保留网关的 IP 地址,也不会保留预共享密钥 (PSK)。

15.Azure站点到站点***隧道(非专线)(上)_第3张图片

接下来需要新建本地网关,本地网关是指在Azure上指定您云下数据中心的***设备网关信息便于对接。

15.Azure站点到站点***隧道(非专线)(上)_第4张图片

创建一个本地网关

15.Azure站点到站点***隧道(非专线)(上)_第5张图片

设置名称,指定我本地的Windows Server 2012 R2的公网IP地址(IP 地址不能位于 NAT 后面,并且必须可让 Azure 访问),以及我本地内部局域网的地址空间(指的是此本地网络所代表的网络的地址范围。可以添加多个地址空间范围。请确保此处所指定的范围没有与要连接到的其他网络的范围相重叠。Azure 会将指定的地址范围路由到本地 *** 设备 IP 地址。)

15.Azure站点到站点***隧道(非专线)(上)_第6张图片

创建好本地网关后就是配置本地网关的连接了,点击“添加”

15.Azure站点到站点***隧道(非专线)(上)_第7张图片

定义一个名称,选择虚拟网络网关,定义一个复杂的共享秘钥,确定

15.Azure站点到站点***隧道(非专线)(上)_第8张图片

接下来就是配置***设备了,也就是配置我们本地的Windows Server 2012 R2了。

首先配置公网IP网卡

出了TCP/IP,其他全部取消勾选

15.Azure站点到站点***隧道(非专线)(上)_第9张图片

禁用TCP/IP上的NetBIOS

15.Azure站点到站点***隧道(非专线)(上)_第10张图片

2张网卡,一张连接公网IP,一张是内部局域网私有IP。

15.Azure站点到站点***隧道(非专线)(上)_第11张图片

接下来就开始安装角色

15.Azure站点到站点***隧道(非专线)(上)_第12张图片

默认下一步,在这里勾选“DirectAccess和***”和“路由”

15.Azure站点到站点***隧道(非专线)(上)_第13张图片

默认,下一步

15.Azure站点到站点***隧道(非专线)(上)_第14张图片

下一步直至安装完成,然后在开始菜单所有程序中打开“路由和远程访问”

15.Azure站点到站点***隧道(非专线)(上)_第15张图片

鼠标右键“配置并启用路由和远程访问”

15.Azure站点到站点***隧道(非专线)(上)_第16张图片

选择“两个专用网络之间的安全连接”

15.Azure站点到站点***隧道(非专线)(上)_第17张图片

选择“是”,下一步

15.Azure站点到站点***隧道(非专线)(上)_第18张图片

下一步

15.Azure站点到站点***隧道(非专线)(上)_第19张图片

完成

15.Azure站点到站点***隧道(非专线)(上)_第20张图片

关闭后自动弹出请求拨号接口向导,下一步

15.Azure站点到站点***隧道(非专线)(上)_第21张图片

定义一个接口名称Azure S2S

15.Azure站点到站点***隧道(非专线)(上)_第22张图片

下一步

15.Azure站点到站点***隧道(非专线)(上)_第23张图片

选择IKEv2

填写Azure上虚拟网关的IP地址

15.Azure站点到站点***隧道(非专线)(上)_第24张图片

15.Azure站点到站点***隧道(非专线)(上)_第25张图片

下一步

15.Azure站点到站点***隧道(非专线)(上)_第26张图片

添加一个静态路由,这个路由指定的是Azure上我的虚拟网络Servers-vNet的地址范围

15.Azure站点到站点***隧道(非专线)(上)_第27张图片

15.Azure站点到站点***隧道(非专线)(上)_第28张图片

下一步

15.Azure站点到站点***隧道(非专线)(上)_第29张图片

没有用户名密码什么的,直接下一步,完成

15.Azure站点到站点***隧道(非专线)(上)_第30张图片

在“网络接口”-选择刚才定义的Azure S2S属性

15.Azure站点到站点***隧道(非专线)(上)_第31张图片

在安全选项卡中,选择“使用预共享的秘钥进行身份验证”

15.Azure站点到站点***隧道(非专线)(上)_第32张图片

接下来右键Azure S2S选择“连接”

15.Azure站点到站点***隧道(非专线)(上)_第33张图片

开始连接了

15.Azure站点到站点***隧道(非专线)(上)_第34张图片

连接成功

15.Azure站点到站点***隧道(非专线)(上)_第35张图片

当然还需要添加一条静态路由,这条路由的目标是Azure上我的虚拟网络Servers-vNet地址

15.Azure站点到站点***隧道(非专线)(上)_第36张图片

在Azure上本地网络网关进去是可以看到入站和出站的当前数据的

15.Azure站点到站点***隧道(非专线)(上)_第37张图片

15.Azure站点到站点***隧道(非专线)(上)_第38张图片

下面测试一下,我在Azure上的WEB01服务器上ping本地的Windows Server 2008 R2服务器IP(192.168.40.2)

15.Azure站点到站点***隧道(非专线)(上)_第39张图片

再到本地Windows Server 2008 R2上去ping azure上的web01内网IP(10.0.2.4)

15.Azure站点到站点***隧道(非专线)(上)_第40张图片

访问下Azure上的WEB01网站(通过内部IP访问)看看

15.Azure站点到站点***隧道(非专线)(上)_第41张图片