随着企业数字化转型的加速,越来越多组织选择将本地数据中心与云平台（如Microsoft Azure）进行混合部署，为了实现安全、稳定的网络互通，站点到站点（Site-to-Site, S2S）VPN成为关键技术之一，本文将详细介绍如何在Azure中搭建S2S VPN连接，涵盖准备工作、配置步骤、常见问题及最佳实践，帮助网络工程师快速部署并维护高可用的云网关连接。

第一步：环境准备
在开始前，确保你拥有以下资源：

• 一个已注册的Azure订阅（推荐使用Azure Resource Manager模式）；
• 本地路由器或防火墙设备支持IPSec协议（如Cisco ASA、Fortinet、Palo Alto等）；
• 本地网络的公网IP地址（用于配置Azure虚拟网络网关的对端地址）；
• 合理规划的子网划分（本地子网需与Azure虚拟网络子网不重叠）。

第二步：创建Azure虚拟网络（VNet）和子网
登录Azure门户，进入“虚拟网络”服务，创建一个新的VNet（例如名为“MyVNet”），分配私有IP地址空间（如10.1.0.0/16），随后添加子网（如“GatewaySubnet”，建议至少/27大小），这是Azure网关专用子网，必须命名为“GatewaySubnet”且不可与其他子网混用。

第三步：部署Azure虚拟网络网关（VNG）
在VNet中，选择“虚拟网络网关” > “创建”：

• 类型选择“VPN”；
• 系列选“VpnGw1”（推荐用于S2S场景，性能稳定）；
• SKU根据并发流量需求选择（如VpnGw1可处理最多150 Mbps带宽）；
• 配置公共IP地址（静态或动态均可，但静态更便于本地配置）；
• 保留默认的“Route-based”路由类型（适用于大多数场景）。

第四步：配置本地网关（On-premises Gateway）
在Azure门户中，进入“虚拟网络网关”页面，点击“本地网关” > “添加”，填写本地网络的IP地址（即本地路由器的公网IP）、子网范围（如192.168.1.0/24），并设置预共享密钥（PSK，建议使用强密码组合）。

第五步：建立VPN连接
回到虚拟网络网关页面，点击“连接” > “添加”，选择刚刚创建的本地网关，设置连接类型为“Site-to-Site (IPSec)”；输入相同的预共享密钥，并保存，Azure将自动创建隧道，状态显示为“已连接”即表示成功。

第六步：测试与验证
使用ping命令从本地服务器测试能否访问Azure VM；通过Azure监视器查看流量统计和隧道状态；若失败，检查日志（Azure诊断日志或本地路由器日志）排查问题，常见原因包括IP地址冲突、防火墙策略阻断UDP 500/4500端口、PSK不一致等。

最佳实践建议：

• 使用BGP协议提升路由冗余性（高级配置）；
• 定期备份本地路由器配置；
• 监控网关性能指标（延迟、丢包率）；
• 在生产环境中启用多网关高可用（如双AZ部署）。

通过以上步骤,你可以在Azure中快速搭建一个稳定、安全、可扩展的站点到站点VPN连接，为混合云架构提供坚实网络基础。