用户在构建自己云计算解决方案的时候,往往会选择私有云或者公有云来做部署,但在一些场景下,用户更加希望通过混合云的方案来满足自己的业务需求。Azure为混合云的部署提供多种不同的连接方案,最常见的是P2S VPN,S2S VPN, ExpressRoute(专线路由),本文来介绍一下S2S VPN的实际配置案例。
在开始正式配置之前,你需要一些最基本的条件需要满足,才能配置你的Site to Site VPN连接:
- 确保你的VPN设备在微软的VPN设备兼容列表里面,设备兼容列表请参照:
部分设备列表:
-
如果你的设备不在上述兼容列表中,也并不代表就不能连接,比如一些客户使用的是华为,或者H3C的设备,经过测试也是可以连接的,原则上如果你的VPN设备能够满足网关的一些基本要求,应该都是可以理解的,具体的情况需要你联系你的网络管理员进行测试,VPN网关的基本要求如下:
- Azure的VPN Gateway需要和你的VPN设备建立连接,确保你的VPN设备在NAT前面,并且有一个面向互联网可连接的公网IP地址
- 提前规划好自己的IP地址分配,在进行VPN连接后你自己数据中心的IP地址段和Azure VPN端的IP地址段不能重叠
- 当然对于Azure用户来讲,你必须有Azure的账户和订阅
在本文中以Cisco ASA 5550 VPN设备为例,总结了一下我在配置Azure 的VPN需要和这样一台设备连接VPN的时候需要注意哪些事项,帮助大家尽量节约时间,少走一些弯路:
- 首先检查下兼容设备列表,你会发现Cisco ASA系列设备是微软的S2S VPN兼容设备
- 检查下要求的ASA设备的最低OS版本要求,是8.3,检查一下你的VPN设备,如果低于这个版本,请升级后再进行
-
检查下路由的兼容性,你会发现ASA设备并不支持动态路由,那么这就意味着:
- 你在配置网关的时候,只能配置静态路由网关
- 静态路由网关不支持多个站点的VPN连接
- 和你的网络管理员联系,确定你的VPN加密域(VPN Encryption Domain),两边必须完全一致,否则无法连接