Gostaria de poder configurar várias redes virtuais do Azure, conectá-las e também permitir que vários roteadores VPN locais se conectem a essas redes virtuais. Abaixo está como pretendo configurar as redes.
Rede Virtual de Datacenter: 172.16.250.0/24 espaço de endereço 172.16.250.0/25 subnet-1 172.16.250.128/29 gateway -> Conectividade ponto a site: 10.0.253.0/24 -> Conectividade site a site: Rede local do datacenter: 10.0. 250,0/24
Rede Virtual da Sede: 172.16.0.0/24 espaço de endereço 172.16.0.0/25 subnet-1 172.16.0.128/29 gateway -> Conectividade site a site: Rede local da sede: 10.0.0.0/24
Rede Virtual da Região1: 172.16.1.0/24 espaço de endereço 172.16.1.0/25 subnet-1 172.16.1.128/29 gateway -> Conectividade site a site: Região1 Rede local: 10.0.1.0/24
Então com isso quero que o Datacenter, a Sede e as Redes Virtuais Regionais estejam conectados. Em seguida, preciso que roteadores VPN locais se conectem à sede e às redes virtuais regionais. Como posso 1) fazer com que os VNs se comuniquem entre si e 2) tenho roteadores Cisco 881 e estou usando as seguintes configurações do Azure.
! Microsoft Corporation
! Windows Azure Virtual Network
! This configuration template applies to Cisco ISR 2900 Series Integrated Services Routers running IOS 15.1.
! It configures an IPSec VPN tunnel connecting your on-premise VPN device with the Azure gateway.
! ---------------------------------------------------------------------------------------------------------------------
! ACL rules
!
! Proper ACL rules are needed for permitting cross-premise network traffic.
! You should also allow inbound UDP/ESP traffic for the interface which will be used for the IPSec tunnel.
access-list 101 permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.0.255
! ---------------------------------------------------------------------------------------------------------------------
! Internet Key Exchange (IKE) configuration
!
! This section specifies the authentication, encryption, hashing, and Diffie-Hellman group parameters for the Phase
! 1 negotiation and the main mode security association.
crypto ikev2 proposal azure-proposal
encryption aes-cbc-256 aes-cbc-128 3des
integrity sha1
group 2
exit
crypto ikev2 policy azure-policy
proposal azure-proposal
exit
crypto ikev2 keyring azure-keyring
peer 104.215.95.202
address 104.215.95.202
pre-shared-key
exit
exit
crypto ikev2 profile azure-profile
match address local interface
match identity remote address 104.215.95.202 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring azure-keyring
exit
! ---------------------------------------------------------------------------------------------------------------------
! IPSec configuration
!
! This section specifies encryption, authentication, tunnel mode properties for the Phase 2 negotiation
crypto ipsec transform-set azure-ipsec-proposal-set esp-aes 256 esp-sha-hmac
mode tunnel
exit
! ---------------------------------------------------------------------------------------------------------------------
! Crypto map configuration
!
! This section defines a crypto profile that binds the cross-premise network traffic to the IPSec transform
! set and remote peer. We also bind the IPSec policy to the virtual tunnel interface, through which
! cross-premise traffic will be transmitted. We have picked an arbitrary tunnel id "1" as an example. If
! that happens to conflict with an existing virtual tunnel interface, you may choose to use a different id.
crypto ipsec profile vti
set transform-set azure-ipsec-proposal-set
set ikev2-profile azure-profile
exit
int tunnel 1
ip address 169.254.0.1 255.255.255.0
ip tcp adjust-mss 1350
tunnel source
tunnel mode ipsec ipv4
tunnel destination 104.215.95.202
tunnel protection ipsec profile vti
exit
ip route 172.16.0.0 255.255.255.0 tunnel 1
Há alguma configuração que precisa ser adicionada ou removida deste modelo para que a VPN local funcione?
Obrigado pela ajuda!
Responder1
Como posso fazer com que os VNs conversem entre si
Você precisará criar túneis VPN VNet para VNet. Isso pode ser feito da seguinte maneira:
- No portal do Azure, crie todas as VNets desejadas, adicione as sub-redes às VNets e às redes locais correspondentes na sua LAN.
- Crie gateways para as VNets usando VPN de roteamento dinâmico; a VPN de roteamento estático não funcionará.
- Conecte os gateways VPN entre si primeiro e, em seguida, conecte sua LAN para facilitar o processo de solução de problemas, se necessário.
Tudo isso está muito bem documentado aqui: Configurar uma conexão VNet a VNet no Portal do Azuree aqui também VNet-to-VNet: Conectando Redes Virtuais no Azure em Diferentes Regiões
Há alguma configuração que precisa ser adicionada ou removida deste modelo para que a VPN local funcione?
Você está com sorte, seu dispositivo é compatível com a VPN site a site do Azure usando roteamento dinâmico. Para garantir que você possa conectar sua LAN ao Azure com êxito, recomendo revisar os detalhes nesta página:Sobre dispositivos VPN para conexões de rede virtual site a site
Infelizmente, não sou especialista em roteadores Cisco, não poderei revisar a configuração que você postou, mas posso ajudá-lo fornecendo as diretrizes gerais para conectar o Azure ao seu dispositivo VPN:
- Depois de configurar as VNets usando as etapas acima, o Azure será inteligente o suficiente para criar um script que você poderá baixar e usar para configurar seu dispositivo VPN local.
- Leia os manuais para criar um túnel VPN dinâmico da Cisco:http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46242-lan-to-lan-vpn-client.html
- Dê uma olhada nos exemplos de VPN do Azure para Cisco:https://msdn.microsoft.com/library/azure/dn133800.aspx?f=255&MSPPError=-2147217396#BKMK_ISRDynamic
Espero que isso seja suficiente para ajudá-lo; caso contrário, tenho certeza de que alguém com mais experiência na Cisco poderá ajudá-lo a descobrir isso.
Responder2
Ok, então fiz alguns progressos. Consegui que meu equipamento local se conectasse ao Azure, também tenho minhas redes virtuais no Azure conectadas entre si, mas se eu colocar uma VM em uma VNet e outra em uma VNet diferente, não consigo fazer ping nas VNets . Além disso, não consigo executar ping em nada nas VNets do Azure a partir do dispositivo local.
Então, aqui está como tudo está configurado atualmente.
Redes Virtuais
Centro de dados VNet: 172.16.250.0/24
- Redes Locais: LNet para Sede (10.0.0.0/24), LNet para Região1 (10.0.1.0/24)
Sede da VNet: 172.16.0.0/24
- Redes Locais: LNet-Sede (10.0.0.0/24), LNet-int-Sede (10.0.250.0/24, 10.0.1.0/24)
Região VNet1: 172.16.1.0/24
- Redes locais: LNet-Region1 (10.0.1.0/24), LNet-int-Region1 (10.0.250.0/24, 10.0.0.0/24)
Eu tenho uma VM no VNet-Headquarters e outra no VNet-DataCenter, mas não consigo executar ping em nenhuma das máquinas.
Usei o seguinte artigo como referência. Como configurar o roteamento entre redes virtuais do Azure?
Qualquer ajuda é apreciada!
Responder3
Ok, reconstruí toda a rede e coloquei novamente duas VMs em duas das VNs, mas elas ainda não conseguem executar ping em nada, nem mesmo em seus gateways locais. Então aqui está a configuração.
Eu tenho três VNs criados:
- Rede virtual 1 - 10.0.250.0/24
- Rede virtual 2 - 10.0.0.0/24
- Rede virtual 3 - 10.0.1.0/24
Tenho quatro LNs criados:
- LNet 1 - 10.0.0.0/24
- LNet 2 - 10.0.1.0/24
- LNet 3 - 10.0.250.0/24, 10.0.1.0/24
- LNet 4 - 10.0.250.0/24, 10.0.0.0/24
VNet 1 tem dois LNs conectados a ele, LNet 1 e LNet 2
VNet 2 tem um LN conectado a ele, LNet 3
VNet 3 tem um LN conectado a ele, LNet 4
A VNet 1 possui uma VM com o IP 10.0.250.4.
A VNet 2 possui uma VM com o IP 10.0.0.4.
Não consigo fazer ping em nenhuma VM da outra VM, então 10.0.0.4 não consegue fazer ping em 10.0.250.4 e vice-versa.
Obrigado!!
Responder4
O ping de VMs no Azure está bloqueado no nível do Firewall do Windows. Certifique-se de desligar o firewall em cada VM durante o teste. Uma vez bem-sucedido, você poderá configurá-los para permitir o ICMP. Como alternativa, verifique a conectividade usando RDP (supondo que esteja ativado)