《Windows Azure Platform 系列文章目录》

　　我们在使用Azure的时候，常常有这样的需求：

　　-我需要将企业内网的主机连接到微软Azure公有云平台

　　-我需要保证企业内部的网络与微软Azure公有云平台建立VPN连接

　　通过Azure Virtual Network中的Point-To-Site VPN，就可以实现将企业内网的一台主机(VPN客户端)与Azure Virtual Network中的网络进行连接

　　-这里的Point指的就是企业内网的一台主机(VPN客户端)

　　-这里的Site是指Azure Virtual Network的网络

　　-这样可以实现将企业内网的一台主机与云端网络互通互联，同时通过VPN保证网络的安全性

　　注意：

　　-企业内网的主机需要安装VPN客户端

　　-支持以下客户端操作系统：

　　　　Windows 7 (32位和64位)

　　　　Windows Server 2008 R2(仅支持64位)　　

　　　　Windows 8(32位和64位)

　　　　Windows Server 2012(仅支持64位)

　　-Point-to-Site VPN是使用SSTP VPN

　　请注意，如果您首次创建了Azure Virtual Network时候，没有创建Point-to-Site VPN。将来想再次设置P-to-S VPN会失败，所以规划好Azure Point-to-Site VPN是非常重要的。

　　本章，笔者将使用Azure Virtual Network，将笔者使用的T430s笔记本电脑与Azure Virtual Network打通VPN连接。

　　配置虚拟网络和动态路由网关

　　1.首先登陆Azure管理界面。https://manage.windowsazure.com

　　2.在左侧面板中的Networks，然后点击右侧列表的Create a virtual network。如下图：

　　3.在Virtual Network Details里。设置name为P2SVNet，地区我们选择East Asia香港的数据中心。如下图：

　　4.在DNS Server and VPN Connectivity窗口中。

　　-　　DNS Server中设置我们需要的 DNS服务器。这里我选择的是192.168.0.4

　　-　　勾选Configure a point-to-site VPN

　　-　　注意：如果想让加入该Point-to-site VPN里的本地电脑和云端虚拟机能够正常使用DNS服务的话，

　　需要在下图左侧DNS Server中，将DNS设置为Google 服务器8.8.8.8或者电信DNS服务器114.114.114.114

　　如下图：

　　5.在Point-to-Site Connectivity中。设置VPN客户端的IP Range。

　　请注意下图的VPN客户端的IP Range不能与本地网络上的任何IP Rang相重叠。

　　6.在Virtual Network Address Space中，设置Azure云平台虚拟网络的地址范围。(请注意下图的IP Rang不要与本地网络所用地址范围重叠)

　　因为笔者在步骤四中，设置了DNS Server地址为192.168.0.4。所以笔者在下图中设置的VNet Address Space IP Rang为192.168.0.0-192.168.0.255。

　　同时点击"Add Gateway Subnet"按钮，设置Virtual Network的 Gateway。如下图：　　

　　7.创建完毕后，我们就可以在列表中查看到之前创建的Point-to-Site VPN

　　8.创建完毕后，我们点击"Create Gateway"按钮，创建Azure Virtual Network Gateway　　

　　创建Gateway的时间会比较长，请耐心等待。

　　8.回顾：

　　VPN客户端的设置为

　　IP Rang为10.0.0.1 - 10.0.0.254

　　Virtual Network的设置为

　　IP Rang为192.168.0.0 - 192.168.0.254

　　Sunet-1 IP Rang为192.168.0.4 - 192.168.0.126

　　Gateway为192.168.0.132 - 192.168.0.134

　　DNS地址为192.168.0.4     (可以配置Google服务器8.8.8.8 或者电信服务器114.114.114.114)

　　9.然后我们先创建一台Azure Virtual Machine，并添加到P2SVNet这个虚拟网路里。注意在指定用户名和密码的时候，输入和您本地用户一样的用户名和密码。(因为虚拟网络上的虚拟机不在主域控制器管理下)。

　　这台虚拟机的名称我们设置为LeiP2SVM。这台机器创建完毕后，Private IP为192.168.0.4

　　创建证书

　　1.在笔者的T430s笔记本上，使用证书创建工作(makecert.exe)是创建X.509证书的一种方法。

　　2.以管理员身份运行命令提示符(CMD)。

　　3.在makecert.exe目录(例如C盘目录)下，运行一下命令行，生成客户端根证书

makecert -sky exchange -r -n "CN=RootCertificateName" -pe -a sha1 -len 2048 -ss My "RootCertificateName.cer"

　　执行完毕后，在C盘根目录下会生成RootCertificateName.cer证书文件，并且该命令将在你的计算上的"个人"证书存储区中创建和安装根证书。

　　4.将该证书上载到管理门户。点击之前创建的虚拟网路P2SVNet，点击Certificates，然后点击Upload a Root Certificate。

　　将C:\RootCertificateName.cer证书文件上传。

　　生成客户端证书

　　1.在笔者的T430s笔记本里，以管理员身份运行命令提示符(CMD)，在makecert.exe目录，执行以下命令：

makecert.exe -n "CN=ClientCertificateName" -pe -sky exchange -m 96 -ss My -in "RootCertificateName" -is my -a sha1

　　2.会在你的“个人”证书存储区中生成一个名为“ClientCertificateName”的客户端证书。如下图：

　　3.如果其他客户端需要连接到Azure Virtual Network VPN，只需要在我的Thinkpad T30s，导出ClientCertificateName证书(同时导出的时候，添加私钥)。在其他的客户端导入ClientCertificateName证书即可。

　　配置VPN客户端

　　1.回到Azure Management Portal，下载VPN客户端

　　-支持以下客户端操作系统：

　　　　Windows 7 (32位和64位)

　　　　Windows Server 2008 R2(仅支持64位)　　

　　　　Windows 8(32位和64位)

　　　　Windows Server 2012(仅支持64位)

　　选择下载与所安装到的客户端操作系统对应的程序包

　　-对于32位客户端，选择"下载32位客户端VPN程序包"

　　-对于64位客户端，选择"下载64位客户端VPN程序包"

　　如下图:

　　2.下载后请安装VPN，然后会在本地就算机会出现VPN连接。如下图:

　　3.会弹出VPN客户端程序，如下图:

　　4.