【Azure】【网络】 站点到站点 V-P-N 动手实验

很多公司都在使用Azure与本地混合部署的架构，这势必需要通过站点到站点V-P-N来打通Azure与本地的环境。
使用站点到站点V-P-N网关连接，是通过 IPsec/IKE（IKEv1 或 IKEv2）V-P-N 隧道将本地网络连接到 Azure 虚拟网络。 此类型的连接要求位于本地V-P-N设备分配有一个面向外部的公共 IP 地址。

实验步骤：

1. 准备阶段
2. 创建虚拟网络
3. 创建V-P-N网关
4. 创建本地网关
5. 配置本地V-P-N设备
6. 创建V-P-N连接

7. 验证V-P-N连接

   1. 准备阶段
      在开始配置前，需要符合验证以下条件是否符合：

      • 确保有一台兼容的 V-P-N 设备和能够对其进行配置的人员
      • 确认 V-P-N 设备有一个面向外部的公共 IPv4 地址
      • 如果熟悉本地网络配置中的 IP 地址范围，则需咨询能够提供此类详细信息的人员。 创建此配置时，必须指定 IP 地址范围前缀，Azure 会将该前缀路由到本地位置。 本地网络的任何子网都不得与要连接到的虚拟网络子网重叠。
   2. 创建虚拟网络（如果已经有虚拟网络，直接创建网关子网即可）
      在“基本信息”选项卡上，配置“项目详细信息”和“实例详细信息”VNet 设置
      

在“IP 地址”选项卡上配置值。 以下示例中显示的值用于演示目的。 根据所需的设置调整这些值

创建网关子网地址范围

3.创建***网关

在此步骤中为虚拟网络创建虚拟网络网关。 创建网关通常需要 45 分钟或更长的时间，具体取决于所选网关 SKU

此处耗时较长，大家可以需要耐心等待。

4.创建本地网关

本地网络网关通常是指本地位置。 可以为站点提供一个名称供 Azure 引用，并指定本地 V-P-N 设备的 IP 地址，以便创建一个连接来连接到该设备。 此外还可指定 IP 地址前缀，以便通过 V-P-N 网关将其路由到V-P-N设备。 指定的地址前缀是位于本地网络的前缀。 如果之后本地网络发生了更改，或需要更改 V-P-N 设备的公共 IP 地址，可轻松更新这些值。

此处需要说明一下：

• IP地址：Azure 要连接的 V-P-N 设备的公共 IP 地址。 指定有效的公共 IP 地址。 如果目前没有 IP 地址，可以使用示例中显示的值，但是需要返回并将占位符 IP 地址替换为 V-P-N 设备的公共 IP 地址。 否则，Azure 不能连接。

• 地址空间：本地网络所代表的网络的地址范围。 可以添加多个地址空间范围。 请确保此处所指定的范围没有与要连接到的其他网络的范围相重叠。 Azure 会将指定的地址范围路由到本地 V-P-N 设备 IP 地址。 如果需要连接到本地站点，请在此处使用自己的值，而不是示例中显示的值。

  5.配置V-P-N设备
  完成以上步骤，Azure上的环节已经创建完毕了。先只需要配置本地V-P-N的设备了，此环节需要公司负责网络的工程师同事们来进行配置。因为每个公司的设备不尽相同，建议大家首先要确认一下本地的V-P-N设备是否和Azure的V-P-N服务兼容。兼容设备信息，请参考官方连接：V-P-N设备【如超链接显示404，请将域名中的3个星号替换成V-P-N（去掉字母间的中横线）】

通过站点到站点V-P-N连接到本地网络需要V-P-N设备。 在此步骤中，请配置 V-P-N 设备。 配置 V-P-N 设备时，需要以下项：

• 共享密钥。 此共享密钥就是在创建站点到站点 V-P-N 连接时指定的共享密钥。 在示例中，我们使用基本的共享密钥。 建议生成更复杂的密钥来使用。
• 虚拟网关的“公共 IP 地址”。 可以通过 Azure 门户、PowerShell 或 CLI 查看公共 IP 地址。 若要使用 Azure 门户查找 V-P-N 网关的公共 IP 地址，请导航到“虚拟网关”，然后单击网关的名称。

配置本地V-P-N设备参考如下内容【如超链接显示404，请将域名中的3个星号替换成V-P-N（去掉字母间的中横线）】：

• 下载 V-P-N 设备配置脚本：
  根据所用的V-P-N设备，有时可以下载V-P-N设备配置脚本。 有关详细信息，请参阅：下载V-P-N设备配置脚本

• 参阅以下链接了解其他配置信息：
  （1）在配置 V-P-N 设备之前，对于要使用的 V-P-N 设备，请查看是否存在任何已知的设备兼容性问题。请参考：已知的设备兼容性问题
  （2）有关设备配置设置的链接，请参阅：已验证的V-P-N设备 Azure会尽力提供各种设备配置链接。 如需较新的配置信息，建议咨询设备制造商。 列表中显示了已测试的版本。 如果你的 OS 不在该列表中，则仍有可能版本是兼容的。 请与设备制造商联系以验证 V-P-N 设备的 OS 版本是否兼容。
  （3）有关 V-P-N 设备配置的概述，请参阅：第三方 V-P-N 设备配置概述
  （4）若要了解如何编辑设备配置示例，请参阅：编辑示例
  （5）有关加密要求的信息，请参阅：https://docs.azure.cn/zh-cn/***-gateway/***-gateway-about-compliance-crypto
  （6）有关 IPsec/IKE 参数的信息，请参阅：关于用于站点到站点 V-P-N 网关连接的V-P-N设备和 IPsec/IKE 参数 除了完成配置所需的其他参数信息外，此链接还显示有关 IKE 版本、Diffie-Hellman 组、身份验证方法、加密和哈希算法、SA 生存期、PFS 和 DPD 的信息。
  （7）有关 IPsec/IKE 策略的配置步骤，请参阅：配置用于 S2S V-P-N 或 V-Net 到 V-Net 连接的 IPsec/IKE 策略
  （8）若要连接多个基于策略的 V-P-N 设备，请参阅：使用 PowerShell 将 Azure V-P-N 网关连接到多个基于策略的本地 V-P-N 设备

  6.创建V-P-N连接
  打开虚拟网络网关的页面。 可通过多种方法进行导航。 可以通过转到“V-Net 名称”->“概述”->“已连接的设备”->“网关名称” 导航到网关。
  
  

7.验证V-P-N连接
在 Azure 门户中，可通过导航到连接来查看 Resource Manager V-P-N网关的连接状态。 步骤如下：

• 在 Azure 门户菜单中选择“所有资源” ，或从任何页面搜索并选择“所有资源” 。
• 选择此项可转到虚拟网络网关。
• 在“虚拟网络网关”边栏选项卡中，单击“连接”。 可查看每个连接的状态。
• 单击想要验证的连接的名称，打开“概要”。 在“概要”中，可以查看有关连接的详细信息。 成功连接后，“状态”为“已成功”和“已连接”。