192.168.1.1-路由器设置 | 192.168.0.1-无线路由器设置

RRAS实现windows azure站点到站点VPN

发布时间:2014-12-19 11:49

Windows azure创建站点到站点的vpn实现与本地网络互通

说到windows azure及vpn的相关知识点相信大家都已经很熟悉了。所以在此也就不多说了,直接进入主题,如何将windows azure上的网络和本地的公司网络之间创建vpn,然后实现网络互通。说道vpn,大家一定想到的是硬件设备来实现该功能,但是呢,因为是实验环境,所以我就使用windows server2012R2系统自带的路由和远程访问功能(RRAS)来充当硬件设备,当然该服务器需要配置双网卡,一个内部网络,一个外部网卡。而且配置该vpn的方式有两种方式,第一种是通过windows azure的vpn设备脚本来自动配置,第二种是通过手动的方式通过共享key来实现。具体我们下面介绍。首先呢说一下部署环境。

Domain name:luouqiwang.com

Hostname: iio-dc01.iiosoft.com

Role:DC、CA、DNS、DHCP

Internal Ip:10.1.1.254

Hostname: iio-ex01.iiosoft.com

Role:Exchange Server Mailbox

Internal Ip:10.1.1.10

Hostname: iio-ex02.iiosoft.com

Role: Exchange Server CAS\HUB

Internal Ip:10.1.1.15

Hostname: iio-tmg.iiosoft.com

Role:Gateway Server

Internal Ip:10.1.1.1

External ip: x.x.x.192

Hostname: RRAS

Role:VPN Server

Internal Ip:10.1.1.60

External ip: x.x.x.193

 

我们的规划是在windows azure上定义虚拟网络范围:10.1.2.0/24

环境介绍完了,我们就可以开始动工了,实现功能部署了。

首先呢,我们配置本地网络,在windows azure上什么是本地网络呢,本地网络就是功能内部的网络定义,因为我们需要将功能的本地网络实现域windows azure上的虚拟网络互通,所以我们添加本地网络

我们本地的网络地址范围:10.1.1.0/24 我们为了方便管理定义内部网络名称:iiosoft_localnetwork;

Vpn设备的地址是什么呢,因为我们需要本地网络域windows azure的网络互通,我们环境中使用的是windows server2012系统自带的RRAS功能来实现,因为该server模拟硬件设备,所以要设置一个双网卡,一个内部地址,一个外部地址,所以呢,再此vpn设备的ip我们需要填写RRAS服务器的外部地址

 

定义本地网络的地址范围,因为我们为测试环境,所以本地环境内只有一个vlan(10.1.1.0/24),如果在真实环境中有多个,我们可以再次添加多个地址空间。根据自己的需求来定义

 

本地网络创建添加完成。

 

接下来我们需要为windows azure添加一个虚拟网络,这个虚拟网络顾名思义就是windows azure的内部网络了,根据我们的规划我们为windows azure定义10.1.2.0/24这个地址段的

单击创建虚拟网络或者新建

 

我们需要给虚拟网络定义网络名称:iiosoft_vnetwork

 

接下我们一块配置vpn,当然,也可以不配置vpn,不勾选vpn相关的功能选项,直接下一步即可。最后创建完虚拟网络后我们可以单击虚拟网络配置vpn等信息。为了方便我们在此一块配置vpn了。

勾选站点到站点的vpn,然后选择站点到啊本地网络的vpn,再该选项相信大家都已经很了解了,是虚拟网络通过站点到站点的vpn链接到本地网络。

 

接着我们定义虚拟网络的地址范围及子网的网关

 

开始创建虚拟网络及相关配置

 

网络创建完成,接下来我们配置vpn设备

 

我们单击虚拟网络然后进入后,选择仪表板,查看未创建网关。所以我们需要为vpn创建一个网关

 

创建完虚拟网络以后,点击新创建的虚拟网络->仪表盘,点击下面的创建网关,您可以根据需要创建静态路由VPN(IPSec VPN)和动态路由VPN(GRE over IPSec),本例中选择静态路由VPN。这个过程稍长,请耐心等待。

 

开始创建

 

创建完成。我们可以看见windows azure的vpn网关地址

 

我们查看共享密钥,我们可以用该共享密钥来手动创建vpn。

 

然后我们单击下载vpn设备配置脚本;我们可以查看到目前支持的vpn设备有cisco、juniper、microsoft等。因为我们是用windows server2012r2来模拟vpn设备,所以我们再次选择microsoft corporation

 

我们选择操作系统类型,然后系统会自动选择本地vpn设备的名称,然后选择vpn设备的操作系统

 

开始下载,我们下载vpn设备配置脚本

 

我们打开该文件:

 

 

下载了vpn设备自动配置脚本后,我们需要在RRAS(windows server 2012R2)设备上运行该脚本即可。

我们安装一个windows 2012R2操作系统,修改计算机名,然后配置internal、external网络配置

Internal address 10.1.1.60

External address 106.39.102.149

我们首先是准备一个干净的windows2012R2操作系统

 

RRAS网络配置

 

我们可以将该文件修改扩展名为ps1或者直接拖放在powershell下运行即可

 

我们用powershell编辑该脚本

 

脚本开始执行:

 

执行过程中

 

继续执行

 

脚本运行后,我们打开windows azure的虚拟网络查看vpn链接状态,因为有流量了,所以说明vpn是通了

 

接着我们用第二种的方式来实现手动vpn配置。同样我们安装一个windows server2012R2 操作系统,然后配置双网卡,跟上面的配置一样

 

安装所需要的功能角色

 

 

选择安装所需功能

 

安装完成

 

接下来我们配置RRAS功能

 

开始配置路由和远程功能

 

我们自定义配置

 

我们选择lan路由

 

启动服务

 

服务配置启动完成

 

4.33创建高级防火墙规则:

在启用了路由功能之后,通过高级防火墙中定义本地网络到Azure虚拟网络的IPSEC 通道连接。

根据隧道两端的地址范围和终结点,使得本地网络和Azure虚拟网络建立通信。

打开网络和共享中心:我们开始运行Wf.msc

新建连接安全规则

 

选择隧道

 

自定义配置

 

入站和出站要求身份验证

 

指定终结点1中的计算机为本地子网:10.1.1.0/24

最靠近终结点1的地址为RRAS的公网地址x.x.x.x

 

指定终结点2中的计算机为Azure虚拟网络:10.1.2.0/24

最靠近终结点2的的地址为Azure的网关地:x.x.x.x

 

单击高级---自定义

 

将Azure 虚拟网络中的Manage preshared key作为预共享密钥:

 

查看及复制密钥

 

将密钥复制粘贴即可

 

应用规则服务类型

 

完成ipsec隧道配置

 

4修改默认IPSEC设置:

 

Ipsec设置---自定义

 

将IPSec的数据生存大小改为100G(Azure的默认设置)

 

修改后,单击保存

 

接下来我们进行vpn测试了

我们新建一个虚拟机

 

虚拟机创建完成

 

然后我们远程登陆,查看该服务器获取的地址为10.1.2.4

 

我们同时也打开RRAS服务器,然后在该服务器上ping windows azure内部的虚拟机是否互通10.1.2.4

 

我们看见在RRAS及windows azure vm上ping是互相通的

 

4.5注意事项:

这种方式依赖于Windows 2012的高级防火墙功能,所以GW01上的防火墙必须是打开的。

需要给涉及到的服务器都打开ICMP防火墙规则才可以PING通。

5、最终效果演示:

从本地上尝试PING AzureVM的IP地址时,RRAS上就会尝试建立到Azure的隧道连接,并通过路由功能,访问Azure的网络:

关于我们 - RSS地图 - 最近更新 - 友情链接 - 网站地图 - 版权声明