我想在 MS Azure 中设置各种基础设施,然后将其提供给配备 Cisco Meraki MX 安全设备的多个位置。不幸的是,MX 尚不支持基于路由的 VPN,而 Azure 仅在使用基于路由的 VPN 时支持多个站点到站点网络。我认为 AWS 和其他云服务提供商可能也存在类似的挑战。
我认为我可以使用虚拟防火墙(例如 Cisco ASAv)来解决此限制,但我找不到任何文档或营销材料明确说明这是合适的。我知道我过去曾使用物理 ASA 做过中心辐射型 VPN,但我没有使用 ASAv 的经验。
是否有人有使用 ASAv(或任何其他虚拟防火墙)做云提供商中心和使用不支持 IKEv2 或基于路由的 VPN 的防火墙(如 Meraki MX、Cisco ASA 等)做分支机构的经验?
答案1
如上所述,我们通过在 Azure 中建立 Cisco CSR 来实现这一点。我们有 50 个 MX60W 和一些 MX100,它们都连接到 Azure CSR,然后可以直接连接到我们的 Azure 虚拟服务器。
当然,最好的解决方案是在 Azure 中建立虚拟 MX。我们的 Meraki 销售代表一直承诺即将推出此功能,但目前还没有消息。他最近提到,他们正在 AWS 中测试虚拟 MX。由于所有重点都集中在设置基于云的托管环境(即 Azure、AWS),我认为 Meraki 错过了许多公司希望无缝连接所有位置的机会。
答案2
您需要在 CSR 上使用静态 IP,但可以使用 Meraki 动态 DNS 名称。Meraki VPN 在组织范围 VPN 部分中设置,并根据标签分发给 MX。第 1 阶段和第 2 阶段以及预共享密钥都必须在双方完全匹配。
第 1 阶段:加密 AES256、认证 SHA1、DH 组 5、生命周期 28800
第 2 阶段:加密 AES256、身份验证 SHA1、PFS 关闭、生命周期 28800
CSR 示例行:
crypto isakmp policy 10
encr aes 256
hash sha
authentication pre-share
group 5
crypto isakmp key *shared-key* address 0.0.0.0 <- all zeroes means allow connections from anything
crypto ipsec transform-set T1 esp-AES 256 esp-SHA-hmac
mode tunnel <- implicit if not specified?
crypto map MERAKIMAP 100 ipsec-isakmp
description -something informative-
set peer -MX-dynamicName.dynamic-m.com- dynamic
set transform-set T1
match address 100
interface GigabitEthernet1
crypto map MERAKIMAP
access-list 100 permit ip 10.10.103.0 0.0.0.255 10.10.164.0 0.0.0.255