여러 Azure 가상 네트워크를 설정하고 함께 연결하고 여러 온프레미스 VPN 라우터가 해당 가상 네트워크에 연결되도록 허용하고 싶습니다. 다음은 네트워크 설정 방법을 설명합니다.
데이터센터 가상 네트워크: 172.16.250.0/24 주소 공간 172.16.250.0/25 subnet-1 172.16.250.128/29 게이트웨이 -> 지점 간 연결: 10.0.253.0/24 -> 사이트 간 연결: 데이터 센터 로컬 네트워크: 10.0. 250.0/24
본사 가상 네트워크: 172.16.0.0/24 주소 공간 172.16.0.0/25 subnet-1 172.16.0.128/29 게이트웨이 -> 사이트 간 연결: 본사 로컬 네트워크: 10.0.0.0/24
지역 1 가상 네트워크: 172.16.1.0/24 주소 공간 172.16.1.0/25 subnet-1 172.16.1.128/29 게이트웨이 -> 사이트 간 연결: 지역 1 로컬 네트워크: 10.0.1.0/24
따라서 이를 통해 데이터 센터, 본사 및 지역 가상 네트워크를 연결하고 싶습니다. 그런 다음 본사 및 지역 가상 네트워크에 연결하려면 온프레미스 VPN 라우터가 필요합니다. 1) VN이 서로 통신하도록 하고 2) Cisco 881 라우터가 있고 Azure에서 다음 구성을 사용하고 있습니다.
! Microsoft Corporation
! Windows Azure Virtual Network
! This configuration template applies to Cisco ISR 2900 Series Integrated Services Routers running IOS 15.1.
! It configures an IPSec VPN tunnel connecting your on-premise VPN device with the Azure gateway.
! ---------------------------------------------------------------------------------------------------------------------
! ACL rules
!
! Proper ACL rules are needed for permitting cross-premise network traffic.
! You should also allow inbound UDP/ESP traffic for the interface which will be used for the IPSec tunnel.
access-list 101 permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.0.255
! ---------------------------------------------------------------------------------------------------------------------
! Internet Key Exchange (IKE) configuration
!
! This section specifies the authentication, encryption, hashing, and Diffie-Hellman group parameters for the Phase
! 1 negotiation and the main mode security association.
crypto ikev2 proposal azure-proposal
encryption aes-cbc-256 aes-cbc-128 3des
integrity sha1
group 2
exit
crypto ikev2 policy azure-policy
proposal azure-proposal
exit
crypto ikev2 keyring azure-keyring
peer 104.215.95.202
address 104.215.95.202
pre-shared-key
exit
exit
crypto ikev2 profile azure-profile
match address local interface
match identity remote address 104.215.95.202 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring azure-keyring
exit
! ---------------------------------------------------------------------------------------------------------------------
! IPSec configuration
!
! This section specifies encryption, authentication, tunnel mode properties for the Phase 2 negotiation
crypto ipsec transform-set azure-ipsec-proposal-set esp-aes 256 esp-sha-hmac
mode tunnel
exit
! ---------------------------------------------------------------------------------------------------------------------
! Crypto map configuration
!
! This section defines a crypto profile that binds the cross-premise network traffic to the IPSec transform
! set and remote peer. We also bind the IPSec policy to the virtual tunnel interface, through which
! cross-premise traffic will be transmitted. We have picked an arbitrary tunnel id "1" as an example. If
! that happens to conflict with an existing virtual tunnel interface, you may choose to use a different id.
crypto ipsec profile vti
set transform-set azure-ipsec-proposal-set
set ikev2-profile azure-profile
exit
int tunnel 1
ip address 169.254.0.1 255.255.255.0
ip tcp adjust-mss 1350
tunnel source
tunnel mode ipsec ipv4
tunnel destination 104.215.95.202
tunnel protection ipsec profile vti
exit
ip route 172.16.0.0 255.255.255.0 tunnel 1
온프레미스 VPN이 작동하도록 하려면 이 템플릿에 추가하거나 제거해야 하는 구성이 있습니까?
당신의 도움을 주셔서 감사합니다!
답변1
VN이 서로 대화하도록 하려면 어떻게 해야 합니까?
VNet 간 VPN 터널을 만들어야 합니다. 이 작업은 다음을 수행하여 수행할 수 있습니다.
- Azure Portal에서 원하는 모든 VNet을 만들고 VNet 및 LAN의 해당 로컬 네트워크에 서브넷을 추가합니다.
- 동적 라우팅 VPN을 사용하여 VNet에 대한 게이트웨이를 만들면 정적 라우팅 VPN이 작동하지 않습니다.
- VPN 게이트웨이를 먼저 서로 연결한 다음 LAN을 연결하면 필요한 경우 문제 해결 프로세스가 쉬워집니다.
여기에는 모든 내용이 잘 문서화되어 있습니다. Azure Portal에서 VNet 간 연결 구성그리고 여기에서도 VNet 간: 여러 지역에 걸쳐 Azure에서 가상 네트워크 연결
온프레미스 VPN이 작동하도록 하려면 이 템플릿에 추가하거나 제거해야 하는 구성이 있습니까?
운이 좋으면 장치가 동적 라우팅을 사용하는 Azure 사이트 간 VPN으로 지원되므로 LAN을 Azure에 성공적으로 연결할 수 있는지 확인하려면 이 페이지의 세부 정보를 검토하는 것이 좋습니다.사이트 간 가상 네트워크 연결을 위한 VPN 장치 정보
안타깝게도 저는 Cisco 라우터에 관한 전문가가 아니기 때문에 귀하가 게시한 구성을 검토할 수는 없지만 Azure를 VPN 장치에 연결하기 위한 일반 지침을 제공하여 도움을 드릴 수 있습니다.
- 위 단계를 사용하여 VNet을 설정하면 Azure는 사용자가 다운로드하여 로컬 VPN 장치를 설정하는 데 사용할 수 있는 스크립트를 생성할 만큼 똑똑해집니다.
- Cisco에서 VPN 동적 터널을 만드는 방법에 대한 설명서를 읽어보세요.http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46242-lan-to-lan-vpn-client.html
- Cisco용 Azure VPN 샘플을 살펴보세요.https://msdn.microsoft.com/library/azure/dn133800.aspx?f=255&MSPPError=-2147217396#BKMK_ISRDynamic
이것이 귀하에게 도움이 되기를 바랍니다. 그렇지 않다면 Cisco에서 더 많은 경험을 가진 다른 사람이 귀하가 이 문제를 파악하는 데 도움을 줄 수 있을 것이라고 확신합니다.
답변2
좋아요, 이제 약간의 진전이 있었습니다. 온-프레미스 장비를 Azure에 연결했고 Azure의 가상 네트워크도 서로 연결되어 있지만 VM을 하나의 VNet에 배치하고 다른 VNet에 다른 VM을 배치하면 VNet을 통해 핑할 수 없습니다. . 또한 온-프레미스 장치에서 Azure VNet의 어떤 항목도 ping할 수 없습니다.
현재 모든 설정은 다음과 같습니다.
가상 네트워크
VNet-DataCenter: 172.16.250.0/24
- 로컬 네트워크: LNet-본부(10.0.0.0/24), LNet-Region1(10.0.1.0/24)
VNet-본부: 172.16.0.0/24
- 로컬 네트워크: LNet-Headquarters(10.0.0.0/24), LNet-int-Headquarters(10.0.250.0/24, 10.0.1.0/24)
VNet-Region1: 172.16.1.0/24
- 로컬 네트워크: LNet-Region1(10.0.1.0/24), LNet-int-Region1(10.0.250.0/24, 10.0.0.0/24)
VNet-Headquarters와 VNet-DataCenter에 각각 VM이 있지만 두 컴퓨터 모두 ping할 수 없습니다.
다음 기사를 참고 자료로 사용했습니다. Azure 가상 네트워크 간의 라우팅을 구성하는 방법은 무엇입니까?
도움을 주시면 감사하겠습니다!
답변3
좋아, 전체 네트워크를 재구축하고 두 개의 VN 내에 두 개의 VM을 다시 배치했지만 여전히 로컬 게이트웨이를 포함해 아무것도 핑할 수 없습니다. 설정은 이렇습니다.
세 개의 VN이 생성되었습니다.
- VNet 1 - 10.0.250.0/24
- VNet 2 - 10.0.0.0/24
- VNet 3 - 10.0.1.0/24
4개의 LN이 생성되었습니다.
- LNet 1 - 10.0.0.0/24
- LNet 2 - 10.0.1.0/24
- LNet 3 - 10.0.250.0/24, 10.0.1.0/24
- LNet 4 - 10.0.250.0/24, 10.0.0.0/24
VNet 1에는 2개의 LN이 연결되어 있습니다. LNet 1 및 LNet 2
VNet 2에는 1개의 LN이 연결되어 있으며, LNet 3
VNet 3에는 1개의 LN이 연결되어 있습니다. LNet 4
VNet 1에는 IP 10.0.250.4의 VM이 있습니다.
VNet 2에는 IP 10.0.0.4의 VM이 있습니다.
다른 VM에서 두 VM을 핑할 수 없으므로 10.0.0.4는 10.0.250.4를 핑할 수 없으며 그 반대도 마찬가지입니다.
감사해요!!
답변4
Azure의 VM Ping은 Windows 방화벽 수준에서 차단됩니다. 테스트 중에 각 VM의 방화벽을 꺼야 합니다. 성공하면 ICMP를 허용하도록 구성할 수 있습니다. 또는 대신 RDP를 사용하여 연결을 확인하십시오(활성화된 것으로 가정).