我们从 Azure VNet 连接到多个供应商和客户网络(我们的客户端),我们无法控制客户端的 VPN 网关设置。由于多个客户端需要基于策略的隧道,我们无法再使用内置的 Azure 虚拟网络网关。我们还需要 NAT,因为我们的子网与客户端的子网重叠。
我们正在研究 NGFW NVA,例如 PAN VM-Series、Check Point CloudGuard、Barracuda CloudGen,但其中许多都很昂贵,并且功能远远超出我们的需要。
我想知道是否可以使用 Windows Server RRAS,但在我的场景中发现的文档有限。
所以我想知道的是:
RRAS 能否同时管理 10-50 个站点到站点隧道?
它是否同时支持多个基于策略和基于路由的隧道?
在我们的客户站点上使用的端点设备或隧道配置是否存在已知的限制?
静态 NAT 是否可用于避免客户站点的子网重叠冲突?将虚拟机的 IP 地址转换为每个隧道(例如每个客户端)的非冲突地址?
我们是否可以将两个 RRAS VM 夹在两个负载平衡器(外部和内部)之间以提供 HA,或者如何配置 HA?负载平衡器夹层是上述供应商的所有第三方 NGFW 产品使用的设置。
对于 RRAS 来说,这种情况是否太难了,我们最好使用上面列出的第三方 NGFW 产品?
谢谢。
答案1
Microsoft 不支持在 Azure 上运行 RRAS:https://support.microsoft.com/en-gb/help/2721672/microsoft-server-software-support-for-microsoft-azure-virtual-machines我认为很快就会实现。我在微软工作时曾参与过一次尝试获得支持,但工程部门决定不予支持。
并且您可以在同一个网关对上建立多个基于策略的 VPN 连接:https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-connect-multiple-policybased-rm-ps以及基于路由和基于策略的连接的混合!:)
根据您列表中的非 RRAS 问题:
4) 使用受支持的第三方 NVA,可以,但请向供应商询问详细信息。5
) 是的,这是具有 ILB HA 端口功能的常见解决方案。询问第三方 NVA 供应商,因为他们通常有这些设置的蓝图。过去,他们只是在 NVA 内部运行脚本来调用 ARM 来更改路由/公共 IP/等,以从一个实例故障转移到另一个实例。6
) 由于不支持 RRAS,所以可以;但请再次考虑 Azure 的本机 VPN 解决方案,因为它可能适合您的需求。