我正在尝试通过站点到站点连接将 Azure 网络连接到现场 VPN。我对现场网络没有控制权,也不太了解。
在 Azure 端,我设置了一个虚拟网络网关。Azure 端有 1 个 Windows VM,需要位于现场网络中。
所以我只是想检查一下我对这些事情的概念理解。
有几件事我不太确定。首先,有一个对 NAT IP 地址的请求。我知道 Azure 使用了 SNAT。这是否意味着没有适用的 NAT IP 地址?
另一个问题与计时器有关。有一个用于 IKE 阶段 1 和 IPSec 阶段 2 时间的条目。除了 SALifetime 之外,Azure 中似乎没有其他选项可以设置这些时间。这些有关系吗?
另一个问题是:需要访问其他站点的服务器——我应该将其放在与虚拟网络网关相同的子网中吗?
再次检查我的流程:
在 Azure 中,一旦我创建了虚拟网络网关并将其连接到子网,我就会使用现场信息创建一个本地网关。然后,我将使用以下命令创建一个策略:
$ipsecpolicy6 = New-AzureRmIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
然后我将按照以下思路创建一个实际的连接:
$vnet1gw = Get-AzureRmVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzureRmLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'
显然为变量插入适当的信息。
如有任何答案、澄清或提示,我们将不胜感激。
谢谢
答案1
- 真的不确定你在问什么,你的虚拟机会使用其内部 Azure IP 与内部网络通信,而不是外部网络(即使用站点到站点)
-SALifeTimeSeconds
- IPSec 安全关联(也称为快速模式或第 2 阶段 SA)的生命周期(以秒为单位)来源)- 不,您将其放入同一虚拟网络中的另一个子网中(或者,如果您对等它们并允许传输,则放入另一个子网中)。