Global Azure上建立SSTP模式***配置介绍

时间  2020-02-03
标签 global azure 建立 sstp 模式 配置 介绍 繁體版
原文   原文链接

Global Azure上建立SSTP模式×××配置介绍算法

2015年12月27日windows

22:57安全

Windows Azure SSTP模式×××配置服务器

说到windows azure ***配置,相信你们都很熟悉了,固然咱们已经在前几篇文章介绍了不少***的模式配置,好比从本地到windows azure网络的互通,windows azure vnet到vnet之间的互通,最后咱们又实现了多站点的***配置介绍,那今天咱们主要介绍的是模拟什么***呢,那就是windows Azure SSTP模式的***,咱们通常最多见的是PPTP、IPSEC等模式,而咱们今天说的是SSTP模式哦,那他们之间有什么关系呢?这么说吧,PPTP咱们能够理解为端点到站点的***模式,ipsec是站点到站点的模式,SSTP也是端点到站点的***模式。他们之间不一样之处就是,PPTP、IPSEC使用的是IP层协议,而SSTP使用的是TCP层协议。SSTP---安全套接字隧道协议(Secure Socket Tunneling Protocol,SSTP)是一种×××隧道的形式,提供了一种经过SSL3.0通道传输PPP或L2TP流量的机制。SSL利用密钥协商提供传输级别的安全性。经过TCP端口443使用SSL,容许SSTP经过几乎全部的防火墙和代理服务器,除了须要身份验证的Web代理。PPTP--点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协,基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用 Microsoft的点对点加密算法MPPE。其经过跨越基于 TCP/IP 的数据网络建立 ××× 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持经过公共网络(例如 Internet)创建按需的、多协议的、虚拟专用网络。PPTP 容许加密 IP 通信,而后在要跨越公司 IP 网络或公共 IP 网络(如 Internet)发送的 IP 头中对其进行封装。网络

IPSEC--IPSec 隧道模式隧道是封装、路由与解封装的整个过程。隧道将原始数据包隐藏(或封装)在新的数据包内部。该新的数据包可能会有新的寻址与路由信息,从而使其可以经过网络传输。隧道与数据保密性结合使用时,在网络上窃听通信的人将没法获取原始数据包数据(以及原始的源和目标)。封装的数据包到达目的地后,会删除封装,原始数据包头用于将数据包路由到最终目的地。app

咱们首先说说windows azure 上的***配置选项,首先咱们很直观的确认,windows azure支持的***类型有点到站点,也就是所谓的PPTP模式。还有一个就是站点到站点的***模式,也就是ipsec模式。问题来了,windows azure上的PPTP模式的***能知足咱们的需求么。咱们的需求是什么呢,其实很简单,好比我在中国,我须要访问美国的一些网站或者服务的话不少是访问不了的,若是须要访问的话,咱们须要使用所谓的跳板或者×××软件(***)来实现。可以让咱们失望的是,windows azure提供的PPTP模式的***不支持*** client直接访问azure之外的网络,那怎么版本,固然还有另外的一种方法,那就是使用vm的方式,在windows azure下建立一个vm(再此我使用windows2012R2操做系统),而后安装路由和远程角色来配置***,那具体怎么实现呢,这样当用户拨通***后就经过azure的网络出去了,具体配置见下:yii

咱们为了更好的管理,咱们首先建立一个虚拟网络ide

clip_image002

clip_image004

clip_image006

建立完成工具

clip_image008

接下来咱们建立一个VM了,而后将该vm挂载在刚才新建的云服务下便可测试

虚拟机---添加

clip_image010

咱们选择系统类型-再次咱们选择windows server系统类型

clip_image012

咱们选择最新的操做系统:windows server 2016

clip_image014

clip_image016

clip_image018

开始建立及建立完成

clip_image020

接下来咱们查看VM的配置信息;单击进入***server,而后能够看见配置信息

clip_image022

接下来咱们经过远程桌面链接;

clip_image024

接下来咱们须要为改***服务器申请一个公网的自签名证书。咱们须要使用一个工具。-iis resource kit

http://www.microsoft.com/en-us/download/details.aspx?id=17275

clip_image026

clip_image028

clip_image030

定义修改成计算机名

clip_image032

clip_image034

C:\Program Files (x86)\IIS Resources\SelfSSL

clip_image036

而后咱们输入:

Selfssl.exe /N:cn=***servercloud.cloudapp.net /V:3650

其中,参数/N:cn=<后面接虚拟机的域名>,此名称可在登录虚拟机时,远程桌面的标题栏中显示(下图方框中划红线处为虚拟机的域名)

参数/V:3650,表示此证书的有效期为3650(此值可任意设定)

clip_image038

Selfssl.exe /N:cn=***servercloud.cloudapp.net /V:3650

clip_image040

执行后咱们能够经过mmc,控制台打开证书控制台;查看证书状态。证书是自动生成的;

其实默认只有一张证书,由于我执行了两次,因此有两张

clip_image042

clip_image044

clip_image046

clip_image048

clip_image050

证书完成后,咱们开始配置×××服务器

打开服务管理器,在添加角色中选择网络策略和访问服务、远程访问

clip_image052

clip_image054

clip_image056

clip_image058

clip_image060

clip_image062

clip_image064

clip_image066

clip_image068

clip_image070

clip_image072

clip_image074

右击路由和远程访问----属性----安全----认证方式----仅仅勾选

勾选Miicrosoft加密的身份验证版本2(MS-CHAP V2)(M)

clip_image076

咱们同时选择刚才申请的证书

clip_image078

而后咱们单击ipv4标签,而后为***定义一个***地址池:

再次咱们定义172.10.5.100--172.16.5.199

clip_image080

修改后,咱们单击ok保存便可

在ipv4下单击NAT---新建端口

clip_image082

clip_image084

clip_image086

clip_image088

修改后,咱们首先在本地建立一个测试帐户

clip_image090

clip_image092

最后一步咱们须要在azure portal上添加***服务器所使用的端点

clip_image094

clip_image096

clip_image098

在配置及链接以前,咱们先查看当前client的出网出口

clip_image100

接下来咱们使用导出来的client证书文件,在cleint上测试

clip_image102

clip_image104

clip_image106

clip_image108

clip_image110

clip_image112

clip_image114

clip_image116

clip_image118

咱们再次经过portal的页面查看,在AzureUS上刚才新建的×××服务器的所对应的云服务及外网ip是

clip_image120

http://gaowenlong.blog.51cto.com/451336/1611996

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程