我希望能够设置多个 Azure 虚拟网络,将它们连接在一起,并允许多个本地 VPN 路由器连接到这些虚拟网络。以下是我计划设置网络的方式。
数据中心虚拟网络: 172.16.250.0/24 地址空间 172.16.250.0/25 子网 1 172.16.250.128/29 网关 -> 点到站点连接:10.0.253.0/24 -> 站点到站点连接:数据中心本地网络:10.0.250.0/24
总部虚拟网络: 172.16.0.0/24 地址空间 172.16.0.0/25 子网-1 172.16.0.128/29 网关 -> 站点到站点连接:总部本地网络:10.0.0.0/24
Region1 虚拟网络: 172.16.1.0/24 地址空间 172.16.1.0/25 子网 1 172.16.1.128/29 网关 -> 站点到站点连接:Region1 本地网络:10.0.1.0/24
因此,我希望数据中心、总部和区域虚拟网络连接起来。然后,我需要本地 VPN 路由器连接到总部和区域虚拟网络。我如何 1) 让 VN 相互通信;2) 我有 Cisco 881 路由器,并且使用 Azure 中的以下配置。
! Microsoft Corporation
! Windows Azure Virtual Network
! This configuration template applies to Cisco ISR 2900 Series Integrated Services Routers running IOS 15.1.
! It configures an IPSec VPN tunnel connecting your on-premise VPN device with the Azure gateway.
! ---------------------------------------------------------------------------------------------------------------------
! ACL rules
!
! Proper ACL rules are needed for permitting cross-premise network traffic.
! You should also allow inbound UDP/ESP traffic for the interface which will be used for the IPSec tunnel.
access-list 101 permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.0.255
! ---------------------------------------------------------------------------------------------------------------------
! Internet Key Exchange (IKE) configuration
!
! This section specifies the authentication, encryption, hashing, and Diffie-Hellman group parameters for the Phase
! 1 negotiation and the main mode security association.
crypto ikev2 proposal azure-proposal
encryption aes-cbc-256 aes-cbc-128 3des
integrity sha1
group 2
exit
crypto ikev2 policy azure-policy
proposal azure-proposal
exit
crypto ikev2 keyring azure-keyring
peer 104.215.95.202
address 104.215.95.202
pre-shared-key
exit
exit
crypto ikev2 profile azure-profile
match address local interface
match identity remote address 104.215.95.202 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring azure-keyring
exit
! ---------------------------------------------------------------------------------------------------------------------
! IPSec configuration
!
! This section specifies encryption, authentication, tunnel mode properties for the Phase 2 negotiation
crypto ipsec transform-set azure-ipsec-proposal-set esp-aes 256 esp-sha-hmac
mode tunnel
exit
! ---------------------------------------------------------------------------------------------------------------------
! Crypto map configuration
!
! This section defines a crypto profile that binds the cross-premise network traffic to the IPSec transform
! set and remote peer. We also bind the IPSec policy to the virtual tunnel interface, through which
! cross-premise traffic will be transmitted. We have picked an arbitrary tunnel id "1" as an example. If
! that happens to conflict with an existing virtual tunnel interface, you may choose to use a different id.
crypto ipsec profile vti
set transform-set azure-ipsec-proposal-set
set ikev2-profile azure-profile
exit
int tunnel 1
ip address 169.254.0.1 255.255.255.0
ip tcp adjust-mss 1350
tunnel source
tunnel mode ipsec ipv4
tunnel destination 104.215.95.202
tunnel protection ipsec profile vti
exit
ip route 172.16.0.0 255.255.255.0 tunnel 1
是否需要在此模板中添加或删除任何配置才能使本地 VPN 正常运行?
感谢您的帮助!
答案1
我怎样才能让 VN 互相通信
您将需要创建 VNet 到 VNet VPN 隧道,可以通过执行以下操作来完成:
- 在 Azure 门户中,创建所需的所有 VNet,将子网添加到 VNet 以及 LAN 中相应的本地网络。
- 使用动态路由 VPN 为 VNet 创建网关,静态路由 VPN 将不起作用。
- 首先将 VPN 网关相互连接,然后连接 LAN,以便在需要时简化故障排除过程。
这里对这一切都有详尽的记录: 在 Azure 门户中配置 VNet 到 VNet 连接还有这里 VNet-to-VNet:跨不同区域连接 Azure 中的虚拟网络
是否需要在此模板中添加或删除任何配置才能使本地 VPN 正常运行?
你很幸运,你的设备支持使用动态路由的 Azure 站点到站点 VPN,为了确保你可以成功将你的 LAN 连接到 Azure,我建议你查看此页面中的详细信息:关于站点到站点虚拟网络连接的 VPN 设备
不幸的是,我不是 Cisco 路由器方面的专家,我无法审查您发布的配置,但我可以通过提供将 Azure 连接到您的 VPN 设备的一般准则来帮助您:
- 一旦您使用上述步骤设置了 VNet,Azure 将足够智能地创建一个脚本,您可以下载并使用它来设置您的本地 VPN 设备。
- 阅读 Cisco 创建 VPN 动态隧道的手册:http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46242-lan-to-lan-vpn-client.html
- 查看适用于 Cisco 的 Azure VPN 示例:https://msdn.microsoft.com/library/azure/dn133800.aspx?f=255&MSPPError=-2147217396#BKMK_ISRDynamic
我希望这些足以帮助您,如果没有,我相信在思科有更多经验的其他人将能够帮助您解决这个问题。
答案2
好的,我取得了一些进展。我已经将本地设备连接到 Azure,Azure 中的虚拟网络也相互连接,但如果我将虚拟机放在一个 VNet 中,将另一个虚拟机放在另一个 VNet 中,则无法跨 VNet 进行 ping 操作。此外,我无法从本地设备对 Azure VNet 中的任何内容进行 ping 操作。
这就是目前所有的设置方式。
虚拟网络
VNet 数据中心:172.16.250.0/24
- 本地网络:LNet 到总部 (10.0.0.0/24)、LNet 到区域 1 (10.0.1.0/24)
VNet-总部:172.16.0.0/24
- 本地网络:LNet-Headquarters(10.0.0.0/24)、LNet-int-Headquarters(10.0.250.0/24、10.0.1.0/24)
VNet-区域 1:172.16.1.0/24
- 本地网络:LNet-Region1(10.0.1.0/24)、LNet-int-Region1(10.0.250.0/24、10.0.0.0/24)
我在 VNet-Headquarters 和 VNet-DataCenter 各有一个虚拟机,但我无法 ping 通任何一台机器。
我使用下面的文章作为参考。 如何配置 Azure 虚拟网络之间的路由?
任何帮助都将不胜感激!
答案3
好的,我重建了整个网络,并再次在两个 VN 中放置了两个虚拟机,但它们仍然无法 ping 通任何东西,甚至无法 ping 通它们的本地网关。以下是设置。
我创建了三个 VN:
- VNet 1——10.0.250.0/24
- VNet 2——10.0.0.0/24
- VNet 3——10.0.1.0/24
我创建了四个 LN:
- LNet 1——10.0.0.0/24
- LNet 2——10.0.1.0/24
- LNet 3——10.0.250.0/24, 10.0.1.0/24
- LNet 4——10.0.250.0/24, 10.0.0.0/24
VNet 1 连接了两个 LN,即 LNet 1 和 LNet 2
VNet 2 连接了一个 LN,即 LNet 3
VNet 3 连接了一个 LN,即 LNet 4
VNet 1 中有一个 VM,其 IP 为 10.0.250.4。VNet
2 中有一个 VM,其 IP 为 10.0.0.4。
我无法从另一个 VM ping 通任何一个 VM,因此 10.0.0.4 无法 ping 10.0.250.4,反之亦然。
谢谢!!
答案4
在 Azure 中 Ping VM 的操作在 Windows 防火墙级别被阻止,请确保在测试期间关闭每个 VM 上的防火墙,成功后,您可以将其配置为允许 ICMP。或者,使用 RDP 检查连接性(假设已启用)