Global Azure上创建SSTP模式×××配置介绍
说到Windows Azure ×××配置,相信大家都很熟悉了,当然我们已经在前几篇文章介绍了很多***的模式配置,比如从本地到Winodows Azure网络的互通,Windows Azure Vnet到Vnet之间的互通,最后我们又实现了多站点的***配置介绍,那今天我们主要介绍的是模拟什么***呢,那就是windows Azure SSTP模式的***,我们一般最常见的是PPTP、IPSEC等模式,而我们今天说的是SSTP模式哦,那他们之间有什么关系呢?这么说吧,PPTP我们可以理解为端点到站点的×××模式,ipsec是站点到站点的模式,SSTP也是端点到站点的***模式。他们之间不同之处就是,PPTP、IPSEC使用的是IP层协议,而SSTP使用的是TCP层协议。SSTP---安全套接字隧道协议(Secure Socket Tunneling Protocol,SSTP)是一种×××隧道的形式,提供了一种通过SSL3.0通道传输PPP或L2TP流量的机制。SSL利用密钥协商提供传输级别的安全性。通过TCP端口443使用SSL,允许SSTP通过几乎所有的防火墙和代理服务器,除了需要身份验证的Web代理。PPTP--点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协,基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用 Microsoft的点对点加密算法MPPE。其通过跨越基于 TCP/IP 的数据网络创建 ××× 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络(例如 Internet)建立按需的、多协议的、虚拟专用网络。PPTP 允许加密 IP 通讯,然后在要跨越公司 IP 网络或公共 IP 网络(如 Internet)发送的 IP 头中对其进行封装。
IPSEC--IPSec 隧道模式隧道是封装、路由与解封装的整个过程。隧道将原始数据包隐藏(或封装)在新的数据包内部。该新的数据包可能会有新的寻址与路由信息,从而使其能够通过网络传输。隧道与数据保密性结合使用时,在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。封装的数据包到达目的地后,会删除封装,原始数据包头用于将数据包路由到最终目的地。
我们首先说说Windows Azure上的×××配置选项,首先我们很直观的确认,Windows Azure支持的×××类型有点到站点,也就是所谓的PPTP模式。还有一个就是站点到站点的×××模式,也就是IPSec模式。问题来了,windows azure上的PPTP模式的***能满足我们的需求么。我们的需求是什么呢,其实很简单,比如我在中国,我需要访问美国的一些网站或者服务的话很多是访问不了的,如果需要访问的话,我们需要使用所谓的跳板或者×××软件(×××)来实现。如果我们需要自己部署一台服务器的话,需要在美国本土有一个自己的服务器,这样我们就可以使用不同的方式来部署×××服务器了,因为我们目前已经申请了一个Global Azure,所以我们就使用Global Azure上创建VM的方式,在WindowsAzure下创建一个VM(再此我使用Windows Server2016操作系统),然后安装路由和远程角色来配置×××服务,这样当用户拨通×××后就通过azure的网络出去了,那具体怎么实现呢,具体配置见下:我们今天的实验室是通过在Global Azure上进行的,同时是通过Windows Server 2016 Technoly版本进行配置介绍;
注:建议部署前,根据自己的规划,而且部署×××服务云服务建议创建独立的,因为在Azure上云服务所对应的是独立的外网IP信息,所以为了不影响其他服务的正常,使用,我们建议新建独立的云服务。
我们首先创建一个虚拟网络
定义虚拟网络名称:×××VNET-US,定义地址空间:172.16.10.0/24,定义子网:172.16.10.0/25
位置我们定义美国中部。
然后新建了一个资源组----×××Group;
同时创建虚拟网络
虚拟网络创建完成
我们再次建议先创建一个云服务,但是再次我忽略了,我们会在创建vm的时候创建一个云服务,接下来我们创建一个VM了,同时新建云服务
虚拟机---添加
我们选择系统类型-再次我们选择windows server系统类型
我们选择最新的操作系统:windows server 2016;
定义网络配置信息;我们可将vm指定到开始新建的虚拟网络中;及新建指定域名;
注意在此处新建的域名就等于云服务;所以我们需要注意
开始创建虚拟机
开始创建及创建完成
接下来我们查看VM的配置信息;单击进入***server,然后可以看见配置信息;
接下来我们通过远程桌面连接;
接下来我们需要为改***服务器申请一个公网的自签名证书。我们需要使用一个工具。-iis resource kit
下载到桌面
接着我们开始安装
定义修改为计算机名
安装完成
我们通过以管理员运行,然后打开命令提示符,通过cd命令进入selfssl目录
Cd C:\Program Files (x86)\IIS Resources\SelfSSL
然后我们输入:
Selfssl.exe /N:cn=***servercloud.cloudapp.net /V:3650
其中,参数/N:cn=<后面接虚拟机的域名>,此名称可在登陆虚拟机时,远程桌面的标题栏中显示(下图方框中划红线处为虚拟机的域名);
参数/V:3650,表示此证书的有效期为3650天(此值可任意设定);
Selfssl.exe /N:cn=***servercloud.cloudapp.net /V:3650
注:我们再次不一定非要将cn名称指向Azure的名称,我们也可以指向我们自定义域名,比如***.ixmsoft.com;
Selfssl.exe /N:cn=***.ixmsoft.com /V:3650
如果要指定自己的域名的话,我们前提需要将azure中的地址在dns中添加别名记录;
添加后,我们设置自定的域名,然后最终用户可以使用自定义的域名进行***访问
执行后我们可以通过mmc,控制台打开证书控制台;查看证书状态。证书是自动生成的;
其实默认只有一张证书,因为我执行了两次,所以有两张
注:如果是自定义域名的话,只有一张证书
然后我们到处证书信息-主要用作为***client连接***的证书信息;
导出的的时候我们不需要导出秘钥
导出的信息我们不需要指定,默认即可
导出完成
证书完成后,我们开始配置×××服务器
打开服务管理器,在添加角色中选择网络策略和访问服务、远程访问
Add roles and features
我们选择网络策略和访问服务及远程访问角色;
Select network policy and access services and remote access
同时勾选目录访问和路由;
Select DirectAccess and *** 、routing
开始安装
安装完成
我们打开服务器管理控制台---单击工具---选择打开路由和远程访问
Tools----routing and remote access
右击配置和启用路由和远程访问
根据提示我们选择自定义网络
勾选*** access和nat
单击下一步
根据提示启动服务
右击路由和远程访问---属性
右击路由和远程访问----属性----安全----认证方式----仅仅勾选
勾选Miicrosoft加密的身份验证版本2(MS-CHAP V2)(M)
我们同时选择刚才申请的证书
注:我们前面如果设置成自定义域名的话,在此我们只可以看见一个证书,然后选择该证书即可
然后我们单击ipv4标签,然后为***定义一个***地址池:
再次我们定义172.10.5.100--172.16.5.199;该地址池可以任意定义;但是需要注意的是该地址池不要和虚拟网络中的地址空间有冲突
修改后,我们单击ok保存即可
在ipv4下单击NAT---新建端口
选择公网出口
然后右击刚才新建的端口----属性
单击NAT-然后选择----Public interface connected to the internet, 然后勾选enable NAT on this interface
修改后我们在本地创建一个测试账户
创建完成后,我们右击刚才新建的用户---属性----远程控制----启用---允许访问
最后一步我们需要在azure portal上添加***服务器所使用的端点—端口443
单击进入×××Server---终结点
添加----名称可以任意定义,然后定义允许的端口,在此我们需要443,所以添加443即可
添加终结点完成
在配置及连接之前,我们先查看当前client的出网出口
接下来我们使用导出来的***client证书文件,在cleint进行安装
我们选择需要安装到本地计算机
将安装的证书存放早---受信任的颁发机构中
证书导入成功
接下来我们在client上新建一个网络--- ***网络类型-=
然后填写Azureus的***服务器信息----***servercloud.cloudapp.net;
Internet地址我们可以在portal上可以看见,查看云服务;
新建后,我们需要修改***属性----单击安全---选择***类型为:安全套接字隧道协议(SSTP),然后允许使用的协议中,勾选Microsoft CHAP version 2(MS-CHAP-2)
修改后,单击连接,提示正在连接中
连接成功
然后我们通过ip138查看出网接口,成为美国了
注:我们前面说了,如果在生成证书的时候,自定义自己的域名FQDN的话,我们用户最终使用的是自定义的证书名称