当前位置: 首页 > Microsoft Azure > 正文

使用P2S VPN实现Azure云端网络互联(1)

  1. 点到站点介绍

Azure提供点对站VPN安全连接的这种场景,以便每个人通过安全的SSTP VPN连接远程连接并开始其工作。开发人员位于不同的地理位置连接到SAP、CRM之类的系统。

P2S使用协议说明

  1. 安全套接字隧道协议 (SSTP),这是一种基于SSL的专属协议。 由于大多数防火墙都会打开 SSL 所用的TCP端口443,因此SSL VPN 解决方案可以穿透防火墙。 只有Windows 设备支持 SSTP。Azure 支持所有采用SSTP的Windows 版本(Windows 7 和更高版本)。
  2. IKEv2 VPN,这是一种基于标准的 IPsec VPN 解决方案。 IKEv2 VPN 可用于从 Mac 设备进行连接(OSX 10.11 和更高版本)。

注意:如果在混合客户端环境中包括Windows和Mac设备,需要同时配置SSTP和IKEv2。

在Azure接受P2S VPN连接之前,必须先对用户进行身份验证。Azure提供两种机制用于对连接方用户进行身份验证。

使用本机Azure证书身份验证进行身份验证。使用本机Azure证书身份验证时,设备上的客户端证书用于对连接方用户进行身份验证。客户端证书从受信任的根证书生成,并安装在每台客户端计算机上。可以使用通过企业解决方案生成的根证书,也可以生成自签名证书。

客户端证书的验证由VPN网关执行,在建立P2S VPN连接期间发生。验证时需要使用根证书,必须将该证书上传到 Azure。

    对于使用基于Azure证书身份验证机制的点到站点连接适用于以下客户端操作系统:

  • Windows 7(32 位和 64 位)
  • Windows Server 2008 R2(仅 64 位)
  • Windows 8.1(32 位和 64 位)
  • Windows Server 2012(仅 64 位)
  • Windows Server 2012 R2(仅 64 位)
  • Windows Server 2016(仅 64 位)
  • Windows 10
  • Mac OS X 版本 10.11 (El Capitan)
  • Mac OS X 版本 10.12 (Sierra)
  • Linux (StrongSwan)
  • iOS

使用Active Directory (AD)域服务器进行身份验证。AD域身份验证可让用户使用其组织域凭据连接到Azure。它需要一台与AD服务器集成的RADIUS服务器。组织也可以利用其现有的RADIUS部署。  可将RADIUS服务器部署在本地或Azure VNET 中。在身份验证期间,Azure VPN网关充当传递设备,在 RADIUS 服务器与连接方设备之间来回转发身份验证消息。因此,RADIUS服务器必须能够访问网关。如果 RADIUS服务器位于本地,需要建立从Azure到本地站点的 VPN S2S 连接,才能实现这种访问。RADIUS服务器还能与AD证书服务集成。这样,便可以使用RADIUS服务器以及用于P2S证书身份验证的企业证书部署,作为Azure证书身份验证的替代方法。此方法的优点是不需要将根证书和吊销的证书上传到Azure。

RADIUS服务器还能与其他外部标识系统集成。这样就为 P2S VPN提供了大量的身份验证选项,包括多重身份验证选项。


对于使用基于AD和RADIUS书身份验证机制的点到站点连接适用于以下客户端操作系统:

  • Windows 7(32 位和 64 位)
  • Windows Server 2008 R2(仅 64 位)
  • Windows 8.1(32 位和 64 位)
  • Windows Server 2012(仅 64 位)
  • Windows Server 2012 R2(仅 64 位)
  • Windows Server 2016(仅 64 位)
  • Windows 10
  • Mac OS X 版本 10.11 (El Capitan)
  • Mac OS X 版本 10.12 (Sierra)
  • Linux (StrongSwan)
  • iOS

2. 环境拓扑

本文介绍如何将运行Windows或Mac OS X的单个客户端安全地连接到 Azure VNet。 若要从远程位置连接到VNet,例如从家里或会议室进行远程通信,则可使用点到站点VPN。如果只有一些客户端需要连接到 VNet,也可使用 P2S VPN 来代替站点到站点 VPN。点到站点连接不需要VPN设备或面向公众的 IP 地址。本实验基于以下拓扑实现


3. 创建虚拟网络

使用有效帐户登陆Azure China


单击”创建”。 在”搜索应用商店”字段中,键入”虚拟网络”。,找到”虚拟网络”,单击打开”虚拟网络”页


在”创建虚拟网络”页上,配置 VNet信息,点击创建


等待创建完成



4,启用网关子网

将虚拟网络连接到网关之前,必须先创建要连接的虚拟网络的网关子网。 网关服务使用网关子网中指定的IP地址。 如果可能,请使用CIDR块/28或/27创建网关子网,以便提供足够的IP地址,满足将来的其他配置要求。

在VNet页的”设置”部分中单击”子网”,展开”子网”页。单击”+网关子网”打开”添加子网”页。




5. 创建虚拟网络网关

在门户左侧单击”+创建资源”,然后在搜索框中键入”虚拟网关″。在搜索返回结果中找到”虚拟网络网关″,并单击该条目。在”虚拟网关″页上,单击底部的”创建”打开”创建虚拟网关″页。在”创建虚拟网关″页中,填写虚拟网关的相关信息。


创建虚拟网络耗时比较长,泡杯茶。。。


创建网关后,即可在门户中查看虚拟网络,从而查看分配给网关的IP地址。 网关显示为连接的设备。 可以单击连接的设备(虚拟网络网关),查看详细信息。


6. 生成证书

Azure使用证书对通过点到站点VPN连接连接到VNet的客户端进行身份验证。获得根证书后,即可将公钥信息上传到 Azure。然后,Azure就会将该根证书视为通过P2S连接到虚拟网络时需要使用的”受信任的”证书。也可从受信任的根证书生成客户端证书,然后将其安装在每个客户端计算机上。当客户端发起与VNet的连接时,需使用客户端证书对客户端进行身份验证。

6.1 生成根证书

使用merkcert生成自签名根证书,可下载Makecert

makecert -sky exchange -r -n “CN=P2S_365vCloud_RootCert” -pe -a sha1 -len 2048 -ss My “P2S_365vCloud_RootCert.cer”



6.2 生成客户端证书

makecert.exe -n “CN=P2S_365vCloud_ClientCert” -pe -sky exchange -m 96 -ss My -in “P2S_365vCloud_RootCert” -is my -a sha1


6.3 导出证书

6.3.1 导出根证书

使用MMC证书管理控制台导出根证书





6.3.2 导出客户端证书





本文固定链接: http://365vcloud.net/2018/08/18/azure-cloud-network-connection-using-p2s-vpn-1/ | Eric的学习之路

该日志由 TingXu 于2018年08月18日发表在 Microsoft Azure 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 使用P2S VPN实现Azure云端网络互联(1) | Eric的学习之路
关键字: ,