Я хотел бы иметь возможность настроить несколько виртуальных сетей Azure, соединить их вместе, а также разрешить нескольким локальным VPN-маршрутизаторам подключаться к этим виртуальным сетям. Ниже описано, как я планирую настроить сети.
Виртуальная сеть центра обработки данных: Адресное пространство 172.16.250.0/24, подсеть 172.16.250.0/25, шлюз 172.16.250.128/29 -> Подключение «точка-сайт»: 10.0.253.0/24 -> Подключение «сайт-сайт»: Локальная сеть центра обработки данных: 10.0.250.0/24
Виртуальная сеть штаб-квартиры: Адресное пространство 172.16.0.0/24, подсеть-1 172.16.0.0/25, шлюз 172.16.0.128/29 -> Соединение «сайт-сайт»: Локальная сеть штаб-квартиры: 10.0.0.0/24
Виртуальная сеть региона 1: Адресное пространство 172.16.1.0/24 Подсеть-1 172.16.1.0/25 Шлюз 172.16.1.128/29 -> Связь «сеть-сеть»: Регион 1 Локальная сеть: 10.0.1.0/24
Итак, с этим я хочу, чтобы центр обработки данных, штаб-квартира и региональные виртуальные сети были соединены. Затем мне нужно, чтобы локальные VPN-маршрутизаторы подключались к штаб-квартире и региональным виртуальным сетям. Как мне 1) заставить VN общаться друг с другом и 2) У меня есть маршрутизаторы Cisco 881, и я использую следующие конфигурации из Azure.
! Microsoft Corporation
! Windows Azure Virtual Network
! This configuration template applies to Cisco ISR 2900 Series Integrated Services Routers running IOS 15.1.
! It configures an IPSec VPN tunnel connecting your on-premise VPN device with the Azure gateway.
! ---------------------------------------------------------------------------------------------------------------------
! ACL rules
!
! Proper ACL rules are needed for permitting cross-premise network traffic.
! You should also allow inbound UDP/ESP traffic for the interface which will be used for the IPSec tunnel.
access-list 101 permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.0.255
! ---------------------------------------------------------------------------------------------------------------------
! Internet Key Exchange (IKE) configuration
!
! This section specifies the authentication, encryption, hashing, and Diffie-Hellman group parameters for the Phase
! 1 negotiation and the main mode security association.
crypto ikev2 proposal azure-proposal
encryption aes-cbc-256 aes-cbc-128 3des
integrity sha1
group 2
exit
crypto ikev2 policy azure-policy
proposal azure-proposal
exit
crypto ikev2 keyring azure-keyring
peer 104.215.95.202
address 104.215.95.202
pre-shared-key
exit
exit
crypto ikev2 profile azure-profile
match address local interface
match identity remote address 104.215.95.202 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring azure-keyring
exit
! ---------------------------------------------------------------------------------------------------------------------
! IPSec configuration
!
! This section specifies encryption, authentication, tunnel mode properties for the Phase 2 negotiation
crypto ipsec transform-set azure-ipsec-proposal-set esp-aes 256 esp-sha-hmac
mode tunnel
exit
! ---------------------------------------------------------------------------------------------------------------------
! Crypto map configuration
!
! This section defines a crypto profile that binds the cross-premise network traffic to the IPSec transform
! set and remote peer. We also bind the IPSec policy to the virtual tunnel interface, through which
! cross-premise traffic will be transmitted. We have picked an arbitrary tunnel id "1" as an example. If
! that happens to conflict with an existing virtual tunnel interface, you may choose to use a different id.
crypto ipsec profile vti
set transform-set azure-ipsec-proposal-set
set ikev2-profile azure-profile
exit
int tunnel 1
ip address 169.254.0.1 255.255.255.0
ip tcp adjust-mss 1350
tunnel source
tunnel mode ipsec ipv4
tunnel destination 104.215.95.202
tunnel protection ipsec profile vti
exit
ip route 172.16.0.0 255.255.255.0 tunnel 1
Нужно ли добавить или удалить какие-либо конфигурации из этого шаблона, чтобы обеспечить работу локальной VPN?
Спасибо за вашу помощь!
решение1
Как мне заставить VN общаться друг с другом?
Вам потребуется создать VPN-туннели VNet-to-VNet, это можно сделать следующим образом:
- На портале Azure создайте все необходимые виртуальные сети, добавьте подсети к виртуальным сетям и соответствующие локальные сети в вашей локальной сети.
- Создайте шлюзы для виртуальных сетей, используя VPN с динамической маршрутизацией. VPN со статической маршрутизацией работать не будет.
- Сначала подключите VPN-шлюзы друг к другу, а затем подключите локальную сеть, чтобы упростить процесс устранения неполадок при необходимости.
Все это очень хорошо описано здесь: Настройте соединение VNet-VNet на портале Azureи здесь тоже VNet-to-VNet: подключение виртуальных сетей в Azure в разных регионах
Нужно ли добавить или удалить какие-либо конфигурации из этого шаблона, чтобы обеспечить работу локальной VPN?
Вам повезло, ваше устройство поддерживает VPN-соединение типа «сеть-сеть» Azure с использованием динамической маршрутизации. Чтобы убедиться, что вы сможете успешно подключить свою локальную сеть к Azure, я бы рекомендовал изучить подробную информацию на этой странице:О VPN-устройствах для виртуальных сетевых подключений типа «сеть-сеть»
К сожалению, я не эксперт в маршрутизаторах Cisco и не смогу проверить опубликованную вами конфигурацию, но могу помочь вам, предоставив общие рекомендации по подключению Azure к вашему VPN-устройству:
- После настройки виртуальных сетей с помощью описанных выше шагов Azure будет достаточно умным, чтобы создать скрипт, который вы сможете загрузить и использовать для настройки локального VPN-устройства.
- Ознакомьтесь с руководствами по созданию динамического VPN-туннеля от Cisco:http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46242-lan-to-lan-vpn-client.html
- Ознакомьтесь с примерами Azure VPN для Cisco:https://msdn.microsoft.com/library/azure/dn133800.aspx?f=255&MSPPError=-2147217396#BKMK_ISRDynamic
Надеюсь, этого будет достаточно, чтобы вам помочь. Если нет, уверен, что кто-то другой, имеющий больший опыт работы с Cisco, сможет вам в этом помочь.
решение2
Хорошо, я добился некоторого прогресса. Я подключил свое локальное оборудование к Azure, также у меня есть мои виртуальные сети в Azure, которые подключаются друг к другу, но если я помещаю виртуальную машину в одну виртуальную сеть, а другую — в другую виртуальную сеть, я не могу пинговать через виртуальные сети. Также я не могу пинговать ничего в виртуальных сетях Azure с локального устройства.
Итак, вот как все устроено на данный момент.
Виртуальные сети
VNet-DataCenter: 172.16.250.0/24
- Локальные сети: LNet-to-Headquarters (10.0.0.0/24), LNet-to-Region1 (10.0.1.0/24)
Штаб-квартира VNet: 172.16.0.0/24
- Локальные сети: LNet-Headquarters (10.0.0.0/24), LNet-int-Headquarters (10.0.250.0/24, 10.0.1.0/24)
VNet-Region1: 172.16.1.0/24
- Локальные сети: LNet-Region1 (10.0.1.0/24), LNet-int-Region1 (10.0.250.0/24, 10.0.0.0/24)
У меня есть виртуальная машина в VNet-Headquarters и одна в VNet-DataCenter, но я не могу выполнить ping ни одной из машин.
В качестве справочного материала я использовал следующую статью. Как настроить маршрутизацию между виртуальными сетями Azure?
Любая помощь приветствуется!
решение3
Хорошо, я перестроил всю сеть и снова разместил две виртуальные машины в двух виртуальных сетях, но они все еще не могут ничего пинговать, даже свои локальные шлюзы. Итак, вот настройка.
Я создал три виртуальных сети:
- Виртуальная сеть 1 - 10.0.250.0/24
- Виртуальная сеть 2 - 10.0.0.0/24
- Виртуальная сеть 3 - 10.0.1.0/24
Я создал четыре LN:
- LNet 1 - 10.0.0.0/24
- LNet 2 - 10.0.1.0/24
- LNet 3 - 10.0.250.0/24, 10.0.1.0/24
- LNet 4 - 10.0.250.0/24, 10.0.0.0/24
VNet 1 имеет два подключенных к нему LN, LNet 1 и LNet 2.
VNet 2 имеет один подключенный к нему LN, LNet 3.
VNet 3 имеет один подключенный к нему LN, LNet 4.
В VNet 1 есть виртуальная машина с IP-адресом 10.0.250.4.
В VNet 2 есть виртуальная машина с IP-адресом 10.0.0.4.
Я не могу пропинговать ни одну из виртуальных машин с другой, поэтому 10.0.0.4 не может пропинговать 10.0.250.4 и наоборот.
Спасибо!!
решение4
Пингование виртуальных машин в Azure блокируется на уровне брандмауэра Windows, убедитесь, что вы отключили брандмауэр на каждой виртуальной машине во время тестирования, после успешного завершения вы можете настроить их на разрешение ICMP. В качестве альтернативы, проверьте наличие подключения с помощью RDP (предполагая, что он включен)