Как подключить несколько Собственных сайтов к Azure и соединить Виртуальные сети?
Я хотел бы смочь установить несколько Azure Виртуальные сети, соединить их вместе и также позволить нескольким Собственным маршрутизаторам VPN соединяться в с теми Виртуальными сетями. Ниже то, как я планирую установку сетей.
Виртуальная сеть центра обработки данных: адресное пространство 172.16.250.0/24 172.16.250.0/25 подсеть 1 172.16.250.128/29 шлюз-> Возможность соединения Точки на сайт: 10.0.253.0/24-> Возможность соединения От сайта к сайту: Локальная сеть Центра обработки данных: 10.0.250.0/24
Виртуальная сеть главного офиса: адресное пространство 172.16.0.0/24 172.16.0.0/25 подсеть 1 172.16.0.128/29 шлюз-> Возможность соединения От сайта к сайту: главный офис Локальная сеть: 10.0.0.0/24
Виртуальная сеть Region1: адресное пространство 172.16.1.0/24 172.16.1.0/25 подсеть 1 172.16.1.128/29 шлюз-> Возможность соединения От сайта к сайту: Локальная сеть Region1: 10.0.1.0/24
Таким образом с этим я хочу, чтобы Центр обработки данных, главный офис и Региональные Виртуальные сети были соединены. Мне затем нужно, чтобы собственные маршрутизаторы VPN соединились с главным офисом и Региональными Виртуальными сетями. Как может я 1) заставлять VN's говорить друг с другом и 2) я иметь Cisco 881 маршрутизатор, и я использую следующие конфигурации от Azure.
! Microsoft Corporation
! Windows Azure Virtual Network
! This configuration template applies to Cisco ISR 2900 Series Integrated Services Routers running IOS 15.1.
! It configures an IPSec VPN tunnel connecting your on-premise VPN device with the Azure gateway.
! ---------------------------------------------------------------------------------------------------------------------
! ACL rules
!
! Proper ACL rules are needed for permitting cross-premise network traffic.
! You should also allow inbound UDP/ESP traffic for the interface which will be used for the IPSec tunnel.
access-list 101 permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.0.255
! ---------------------------------------------------------------------------------------------------------------------
! Internet Key Exchange (IKE) configuration
!
! This section specifies the authentication, encryption, hashing, and Diffie-Hellman group parameters for the Phase
! 1 negotiation and the main mode security association.
crypto ikev2 proposal azure-proposal
encryption aes-cbc-256 aes-cbc-128 3des
integrity sha1
group 2
exit
crypto ikev2 policy azure-policy
proposal azure-proposal
exit
crypto ikev2 keyring azure-keyring
peer 104.215.95.202
address 104.215.95.202
pre-shared-key
exit
exit
crypto ikev2 profile azure-profile
match address local interface
match identity remote address 104.215.95.202 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring azure-keyring
exit
! ---------------------------------------------------------------------------------------------------------------------
! IPSec configuration
!
! This section specifies encryption, authentication, tunnel mode properties for the Phase 2 negotiation
crypto ipsec transform-set azure-ipsec-proposal-set esp-aes 256 esp-sha-hmac
mode tunnel
exit
! ---------------------------------------------------------------------------------------------------------------------
! Crypto map configuration
!
! This section defines a crypto profile that binds the cross-premise network traffic to the IPSec transform
! set and remote peer. We also bind the IPSec policy to the virtual tunnel interface, through which
! cross-premise traffic will be transmitted. We have picked an arbitrary tunnel id "1" as an example. If
! that happens to conflict with an existing virtual tunnel interface, you may choose to use a different id.
crypto ipsec profile vti
set transform-set azure-ipsec-proposal-set
set ikev2-profile azure-profile
exit
int tunnel 1
ip address 169.254.0.1 255.255.255.0
ip tcp adjust-mss 1350
tunnel source
tunnel mode ipsec ipv4
tunnel destination 104.215.95.202
tunnel protection ipsec profile vti
exit
ip route 172.16.0.0 255.255.255.0 tunnel 1
Есть ли какие-либо конфигурации, которые должны быть добавлены или удалены из этого шаблона для получения Собственной работы VPN?
Спасибо за помощь!
Как заставить виртуальные сети общаться друг с другом
Вам потребуется создать VPN-туннели между виртуальными сетями, это можно сделать, выполнив следующие действия:
- В портал Azure, создайте все нужные виртуальные сети, добавьте подсети в виртуальные сети и соответствующие локальные сети в своей локальной сети.
- Создайте шлюзы для виртуальных сетей с помощью динамической маршрутизации VPN, статическая маршрутизация VPN не будет работать.
- Подключиться VPN-шлюзы сначала соединяются друг с другом, а затем подключают вашу локальную сеть, чтобы упростить процесс устранения неполадок, если это необходимо.
Все это очень хорошо задокументировано здесь: Настройте подключение виртуальной сети к виртуальной сети на портале Azure и здесь Виртуальная сеть-виртуальная сеть: подключение виртуальных сетей в Azure в разных регионах
Существуют ли какие-либо конфигурации, которые необходимо добавить или удалить из этого шаблона, чтобы локальная VPN работала?
Вы находитесь в удачи, ваше устройство поддерживается с помощью VPN типа "сеть-сеть" в Azure с использованием динамической маршрутизации. Чтобы убедиться, что вы можете успешно подключить локальную сеть к Azure, я бы рекомендовал просмотреть подробности на этой странице: Об устройствах VPN для виртуальных сетевых подключений типа "сеть-сеть"
К сожалению, я не эксперт в отношении маршрутизаторов Cisco, я не смогу просмотреть опубликованную вами конфигурацию, но я могу помочь вам, предоставив общие рекомендации по подключению От Azure к вашему устройству VPN:
- После того, как вы настроите виртуальные сети, используя описанные выше шаги, Azure будет достаточно умен, чтобы создать сценарий, который вы сможете загрузить и использовать для настройки вашего локального устройства VPN.
- Прочтите руководства по созданию динамический туннель VPN от Cisco: http://www.cisco.com/c/en/us/support/docs /security-vpn/ipsec-negotiation-ike-protocols/46242-lan-to-lan-vpn-client.html
- Ознакомьтесь с примерами Azure VPN для Cisco: https://msdn.microsoft .com / library / azure / dn133800.aspx? f = 255 & MSPPError = -2147217396 # BKMK_ISRDynamic
Я надеюсь, что этого достаточно, чтобы помочь вам, если нет, я уверен, что кто-то другой, более опытный в Cisco, сможет помочь вы разберетесь в этом.
Хорошо, я перестроил всю сеть и снова разместил две виртуальные машины в двух виртуальных сетях, но они все равно ничего не могут пинговать, даже свои локальные шлюзы. Итак, вот настройка.
У меня создано три виртуальных сети:
- VNet 1 - 10.0.250.0/24
- VNet 2 - 10.0.0.0/24
- VNet 3 - 10.0.1.0/24
У меня создано четыре LN:
- LNet 1 - 10.0.0.0/24
- LNet 2 - 10.0.1.0/24
- LNet 3 - 10.0.250.0/24, 10.0.1.0/24
- LNet 4 - 10.0.250.0/24, 10.0.0.0/24
К виртуальной сети 1 подключено два LN: LNet 1 и LNet 2
К виртуальной сети 2 присоединен один LN, LNet 3
К виртуальной сети 3 присоединен один LN, к локальной сети 4
В сети 1 есть виртуальная машина с IP-адресом 10.0.250.4.
В VNet 2 есть виртуальная машина с IP-адресом 10.0.0.4.
Я не могу проверить связь с виртуальной машиной с другой виртуальной машины, поэтому 10.0.0.4 не может проверить связь с 10.0.250.4 и наоборот.
Спасибо !!
Хорошо, поэтому я добились некоторого прогресса. У меня есть локальное оборудование для подключения к Azure, у меня также есть мои виртуальные сети в Azure, подключающиеся друг к другу, но если я помещаю виртуальную машину в одну виртуальную сеть, а другую - в другую, я не могу пинговать через виртуальные сети. . Также я не могу пинговать что-либо в виртуальных сетях Azure с локального устройства.
Итак, вот как все это настроено в настоящее время.
Виртуальные сети
VNet-DataCenter: 172.16.250.0/24[12132estiveLocal Сети: LNet-к штаб-квартире (10.0.0.0/24), LNet-к-региону1 (10.0.1.0/24)
Головной офис VNet: 172.16.0.0/24
- Локальные сети: LNet-штаб (10.0 .0.0 / 24), LNet-int-штаб-квартира (10.0.250.0/24, 10.0.1.0/24)
VNet-Region1: 172.16.1.0/24
- Локальные сети: LNet-Region1 (10.0.1.0/ 24), LNet-int-Region1 (10.0.250.0/24, 10.0.0.0/24)
У меня есть виртуальная машина в штаб-квартире VNet и одна в VNet-DataCenter, но я не могу проверить связь ни с одной из машин.
Я использовал следующую статью как ссылку. Как настроить маршрутизацию между виртуальными сетями Azure?
Любая помощь приветствуется!
Пинг ВМ в Azure заблокирован на уровне брандмауэра Windows, убедитесь, что вы отключили брандмауэр на каждой ВМ во время тестирования, после успеха вы можете настроить их на разрешение ICMP. В качестве альтернативы, проверьте соединение, используя RDP (если он включен)
.