Me gustaría poder configurar varias redes virtuales de Azure, conectarlas entre sí y también permitir que varios enrutadores VPN locales se conecten a esas redes virtuales. A continuación se muestra cómo planeo configurar las redes.
Red virtual del centro de datos: 172.16.250.0/24 espacio de direcciones 172.16.250.0/25 subred-1 172.16.250.128/29 puerta de enlace -> Conectividad punto a sitio: 10.0.253.0/24 -> Conectividad sitio a sitio: Red local del centro de datos: 10.0. 250.0/24
Red Virtual de la Sede: 172.16.0.0/24 espacio de direcciones 172.16.0.0/25 subred-1 172.16.0.128/29 puerta de enlace -> Conectividad de sitio a sitio: Red local de la sede: 10.0.0.0/24
Red virtual Región1: 172.16.1.0/24 espacio de direcciones 172.16.1.0/25 subred-1 172.16.1.128/29 puerta de enlace -> Conectividad de sitio a sitio: Región1 Red local: 10.0.1.0/24
Entonces con esto quiero que se conecte el Datacenter, la Sede y las Redes Virtuales Regionales. Luego necesito enrutadores VPN locales para conectarme a la sede y a las redes virtuales regionales. ¿Cómo puedo 1) hacer que los VN se comuniquen entre sí y 2) tengo enrutadores Cisco 881 y estoy usando las siguientes configuraciones de Azure?
! Microsoft Corporation
! Windows Azure Virtual Network
! This configuration template applies to Cisco ISR 2900 Series Integrated Services Routers running IOS 15.1.
! It configures an IPSec VPN tunnel connecting your on-premise VPN device with the Azure gateway.
! ---------------------------------------------------------------------------------------------------------------------
! ACL rules
!
! Proper ACL rules are needed for permitting cross-premise network traffic.
! You should also allow inbound UDP/ESP traffic for the interface which will be used for the IPSec tunnel.
access-list 101 permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.0.255
! ---------------------------------------------------------------------------------------------------------------------
! Internet Key Exchange (IKE) configuration
!
! This section specifies the authentication, encryption, hashing, and Diffie-Hellman group parameters for the Phase
! 1 negotiation and the main mode security association.
crypto ikev2 proposal azure-proposal
encryption aes-cbc-256 aes-cbc-128 3des
integrity sha1
group 2
exit
crypto ikev2 policy azure-policy
proposal azure-proposal
exit
crypto ikev2 keyring azure-keyring
peer 104.215.95.202
address 104.215.95.202
pre-shared-key
exit
exit
crypto ikev2 profile azure-profile
match address local interface
match identity remote address 104.215.95.202 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring azure-keyring
exit
! ---------------------------------------------------------------------------------------------------------------------
! IPSec configuration
!
! This section specifies encryption, authentication, tunnel mode properties for the Phase 2 negotiation
crypto ipsec transform-set azure-ipsec-proposal-set esp-aes 256 esp-sha-hmac
mode tunnel
exit
! ---------------------------------------------------------------------------------------------------------------------
! Crypto map configuration
!
! This section defines a crypto profile that binds the cross-premise network traffic to the IPSec transform
! set and remote peer. We also bind the IPSec policy to the virtual tunnel interface, through which
! cross-premise traffic will be transmitted. We have picked an arbitrary tunnel id "1" as an example. If
! that happens to conflict with an existing virtual tunnel interface, you may choose to use a different id.
crypto ipsec profile vti
set transform-set azure-ipsec-proposal-set
set ikev2-profile azure-profile
exit
int tunnel 1
ip address 169.254.0.1 255.255.255.0
ip tcp adjust-mss 1350
tunnel source
tunnel mode ipsec ipv4
tunnel destination 104.215.95.202
tunnel protection ipsec profile vti
exit
ip route 172.16.0.0 255.255.255.0 tunnel 1
¿Hay alguna configuración que deba agregarse o eliminarse de esta plantilla para que la VPN local funcione?
¡Gracias por tu ayuda!
Respuesta1
¿Cómo puedo hacer que los VN se comuniquen entre sí?
Deberá crear túneles VPN de VNet a VNet; esto se puede hacer haciendo lo siguiente:
- En Azure Portal, cree todas las VNet que desee, agregue las subredes a las VNet y las redes locales correspondientes en su LAN.
- Cree puertas de enlace para las redes virtuales mediante VPN de enrutamiento dinámico; la VPN de enrutamiento estático no funcionará.
- Primero conecte las puertas de enlace VPN entre sí y luego conecte su LAN para facilitar el proceso de solución de problemas si es necesario.
Todo esto está muy bien documentado aquí: Configurar una conexión de VNet a VNet en el Portal de Azurey aquí también VNet-to-VNet: conexión de redes virtuales en Azure en diferentes regiones
¿Hay alguna configuración que deba agregarse o eliminarse de esta plantilla para que la VPN local funcione?
Estás de suerte, tu dispositivo es compatible con la VPN de sitio a sitio de Azure mediante enrutamiento dinámico. Para asegurarte de que puedas conectar correctamente tu LAN a Azure, recomendaría repasar los detalles en esta página:Acerca de los dispositivos VPN para conexiones de red virtual de sitio a sitio
Desafortunadamente, no soy un experto en lo que respecta a enrutadores Cisco, no podré revisar la configuración que publicó, pero puedo ayudarlo proporcionándole las pautas generales para conectar Azure a su dispositivo VPN:
- Una vez que haya configurado las redes virtuales siguiendo los pasos anteriores, Azure será lo suficientemente inteligente como para crear un script que podrá descargar y usar para configurar su dispositivo VPN local.
- Lea los manuales sobre cómo crear un túnel VPN dinámico de Cisco:http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46242-lan-to-lan-vpn-client.html
- Eche un vistazo a los ejemplos de Azure VPN para Cisco:https://msdn.microsoft.com/library/azure/dn133800.aspx?f=255&MSPPError=-2147217396#BKMK_ISRDynamic
Espero que sean suficientes para ayudarlo; de lo contrario, estoy seguro de que alguien más con más experiencia en Cisco podrá ayudarlo a resolver esto.
Respuesta2
Bien, he hecho algunos progresos. Obtuve mi equipo local para conectarme a Azure, también tengo mis redes virtuales en Azure conectándose entre sí, pero si coloco una máquina virtual en una VNet y otra en una VNet diferente, no puedo hacer ping a través de las VNet. . Además, no puedo hacer ping a nada en las redes virtuales de Azure desde el dispositivo local.
Así es como está todo configurado actualmente.
Redes Virtuales
Centro de datos VNet: 172.16.250.0/24
- Redes locales: LNet a la sede (10.0.0.0/24), LNet a la Región1 (10.0.1.0/24)
Sede VNet: 172.16.0.0/24
- Redes locales: LNet-Sede (10.0.0.0/24), LNet-int-Sede (10.0.250.0/24, 10.0.1.0/24)
VNet-Región1: 172.16.1.0/24
- Redes locales: LNet-Región1 (10.0.1.0/24), LNet-int-Región1 (10.0.250.0/24, 10.0.0.0/24)
Tengo una máquina virtual en VNet-Headquarters y otra en VNet-DataCenter, pero no puedo hacer ping a ninguna de las máquinas.
Utilicé el siguiente artículo como referencia. ¿Cómo configurar el enrutamiento entre redes virtuales de Azure?
¡Cualquier ayuda es apreciada!
Respuesta3
Bien, reconstruí toda la red y nuevamente coloqué dos máquinas virtuales dentro de dos de las VN, pero aún así no pueden hacer ping a nada, ni siquiera a sus puertas de enlace locales. Así que aquí está la configuración.
Tengo tres VN creados:
- Red virtual 1: 10.0.250.0/24
- Red virtual 2 - 10.0.0.0/24
- Red virtual 3 - 10.0.1.0/24
Tengo cuatro LN creados:
- LNet 1 - 10.0.0.0/24
- LNet 2 - 10.0.1.0/24
- LNet 3 - 10.0.250.0/24, 10.0.1.0/24
- LNet 4 - 10.0.250.0/24, 10.0.0.0/24
VNet 1 tiene dos LN conectados, LNet 1 y LNet 2
VNet 2 tiene un LN conectado, LNet 3
VNet 3 tiene un LN conectado, LNet 4
VNet 1 tiene una máquina virtual con la IP 10.0.250.4.
VNet 2 tiene una VM con la IP 10.0.0.4.
No puedo hacer ping a ninguna VM desde la otra VM, por lo que 10.0.0.4 no puede hacer ping a 10.0.250.4 y viceversa.
¡¡Gracias!!
Respuesta4
Hacer ping a las máquinas virtuales en Azure está bloqueado en el nivel del Firewall de Windows; asegúrese de apagar el firewall en cada máquina virtual durante la prueba; una vez que tenga éxito, puede configurarlas para permitir ICMP. Alternativamente, verifique la conectividad usando RDP (suponiendo que esté habilitado)