一、准备工作
- 新建资源组(可把所有与新建VPN相关资源放入此组)
- 新建虚拟网络
- VPN用那种方式基于路由或基于协议
- 本地VPN设备是否支持Azure,具体可参考
https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-about-vpn-devices
二、操作
第一步:新建虚拟网络网关(默认基于路由),点击创建即完成(大约等待45分钟生效)
名称:自定义
网关类型:选择VPN
VPN类型:根据VPN设备支持,自行选择基于路由或基于协议
SKU:工作负荷、吞吐量、功能和 SLA 的类型,选择满足需求的 SKU,可参考
https://docs.microsoft.com/zh-cn/azure/vpn-gateway/vpn-gateway-about-vpngateways
虚拟网络:选择准备工作中新建的虚拟网络
公共IP地址:填入IP名称(只支持动态IP)
订阅:一般默认订阅
资源组:一般与准备工作中的资源组一致
位置:与资源组位置一致
第二步:新建本地网络网关
名称:自定义
IP地址:本地VPN设备公网地址
地址空间:本地需要打通的地址段
第三步:连接(在Azure中新建连接服务)
连接类型:站点到站点
订阅:默认
资源组:同第一步
位置:同第一步
虚拟网络网关:第一步所创的虚拟网络
本地网络网关:第二步所创资源
连接名称:自定义
共享密钥:自定义
第四步:配置VPN设备
方法一:打开连接资源,点击下载配置,可以找到相关配置脚本
方法二:方法一没有相关脚本,请参考如下
https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-about-vpn-devices
方法三:如下为cisco ISR路由设备脚本,用于参考
crypto ikev2 proposal yaoikeprofile
encryption aes-cbc-256 aes-cbc-128 3des
integrity sha1
group 2
exit
crypto ikev2 policy yaoikepolicy
proposal yaoikeprofile
exit
crypto ikev2 keyring yaokeyring
peer 139.219.109.209
address 139.219.109.209
pre-shared-key qwer1234
exit
exit
crypto ikev2 profile yaoikeprofile
match address local interface g0/0
match identity remote address 139.219.109.209 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local yaokeyring
exit
crypto ipsec transform-set yaoipsecproposal esp-aes 256 esp-sha-hmac
mode tunnel
exit
crypto ipsec profile yaoprofile
set transform-set yaoipsecproposal
set ikev2-profile yaoikeprofile
exit
int tunnel 1
ip address 169.254.1.1 255.255.255.0
ip tcp adjust-mss 1350
tunnel source g0/0
tunnel mode ipsec ipv4
tunnel destination 139.219.109.209
tunnel protection ipsec profile yaoprofile
exit
ip route 172.168.100.0 255.255.0.0 tunnel 1