看起来这个问题及其变体非常常见,但经过一整天的研究和测试后,我仍无法找到答案。我很感激任何反馈!
目标:在 Azure 中,我有一个 VNET,其中包含多个子网(前端、内部、安全)。本质上,我希望这些子网成为 Juniper SRX 防火墙上本地区域的扩展。在 Juniper 方面,我相信这意味着我需要为每个子网建立一个隧道,终止于相应的 st0.x 接口。然后我可以将每个 st0.x 接口添加到相应的区域。
问题:如何将每个传入子网关联到其自己的 st0.x 接口?每个子网是否需要唯一的 VPN 网关 IP?
我查看了 Juniper 端的“流量选择器”,为每个子网创建一个 ipsec VPN,并在流量选择器中输入该子网,但似乎只有一个 VPN 连接。
我知道我可以让来自 VNET 的所有流量通过同一个隧道,绑定到单个接口,并将该接口放入专用区域(如 Azure-Tunnel)。这种方法的问题是,创建允许从 Azure-Tunnel 到另一个区域和目标的流量的策略的人需要记住指定源地址,否则他们将允许所有 Azure 子网与目标进行通信。
谢谢!