Azure站点到站点***隧道（非专线）(上)-蒲公英云

如果您企业自己的数据中心机房想和Azure上打通，通常有2种方式，一种是利用互联网构建站点到站点的***隧道，另一种是专线（Expre***oute）。二则的区别在于***隧道只能和vNet打通，而专线除了可以和vNet打通外还可以和Azure上的Paas层（例如：Azure存储（大量的上传数据））打通。

我在自己的电脑上准备了2台虚拟机，一台是Windows Server 2012 R2（工作组计算机），作为站点到站点***隧道的本地网关服务器，当然这台服务器有2张网卡，一张是WAN口直接连接公网固定IP地址出口；一张是LAN口，直接和另一台虚拟机Windows Server 2008 R2（可以是工作组也可以是域服务器）组成的封闭局域网络，模拟公司内网。

此次的架构如下：

$clip\_image001$

之前我们文章给大家介绍了点到站点的***隧道，这次介绍站点到站点的***隧道，两者可以并存。

还是之前的文章的Azure环境，做Azure站点到站点的***先决条件要有虚拟网络（我之前建好的Servers-vNet）和该虚拟网络的网关子网（GatewaySubnet）

$clip\_image002$

还要有虚拟网关（之前创建好的VirtualGateway-Servers-vNet）,但需要注意的是***类型，因为我的本地网关是Windows Server 2012 R2的，因此查询兼容性列表，用这个系统来搭建本地网关是只能选择“基于路由的”***类型的。还有一种是“基于策略的”***类型。

静态路由 = 基于策略的

动态路由 = 基于路由的

什么是基于策略的（静态路由）网关？

基于策略的 *** 会根据本地网络和 Azure VNet 之间的地址前缀的各种组合，加密数据包并引导其通过 IPsec 隧道。通常会在 *** 配置中将策略（或流量选择器）定义为访问列表。（简言之：静态路由都是手动写入进去的，他是静态的，如果有变化就需要管理员手动再次更改）

什么是基于路由的（动态路由）网关？

基于路由的 *** 使用 IP 转发或路由表中的“路由”将数据包引导到相应的隧道接口中。然后，隧道接口会加密或解密出入隧道的数据包。基于路由的 *** 的策略或流量选择器配置为任意到任意（或通配符）。（简言之：动态路由是基于协议的，有协议来维护这个路由条目，如果路由条目发生变化，那么动态路由协议会自动生成新的路由条目）

能否将基于策略的 *** 网关更新为基于路由的？

不可以。Azure Vnet 网关类型不能从基于策略更改为基于路由，反之亦然。必须先删除该网关，然后再重新创建，此过程需时约 60 分钟。不会保留网关的 IP 地址，也不会保留预共享密钥 (PSK)。

$clip\_image003$

接下来需要新建本地网关，本地网关是指在Azure上指定您云下数据中心的***设备网关信息便于对接。

$clip\_image004$

创建一个本地网关

$clip\_image005$

设置名称，指定我本地的Windows Server 2012 R2的公网IP地址（IP 地址不能位于 NAT 后面，并且必须可让 Azure 访问），以及我本地内部局域网的地址空间（指的是此本地网络所代表的网络的地址范围。可以添加多个地址空间范围。请确保此处所指定的范围没有与要连接到的其他网络的范围相重叠。Azure 会将指定的地址范围路由到本地 *** 设备 IP 地址。）

$clip\_image006$