如何将多个前提站点连接到Azure并连接虚拟网络？

Question

我希望能够建立多个Azure虚拟网络，将它们连接在一起，并允许多个现场VPN路由器连接到这些虚拟网络。下面是我计划如何建立网络。

数据中心虚拟网络: 172.16.250.0/24地址空间172.16.250.0/25子网-1 172.16.250.128/29网关->点对点连接性: 10.0.253.0/24 ->站点连接性:数据中心本地网络: 10.0.250.0/24

总部虚拟网络: 172.16.0.0/24地址空间172.16.0.0/25子网-1 172.16.0.128/29网关->站点到站点连接:总部本地网络: 10.0.0.0/24

Region1虚拟网络: 172.16.1.0/24地址空间172.16.1.0/25子网-1 172.16.1.128/29网关->站点到站点连接: Region1本地网络: 10.0.1.0/24

因此，我希望数据中心、总部和区域虚拟网络能够连接起来。然后，我需要在前提VPN路由器连接到总部和区域虚拟网络.我怎样才能让VN相互交谈，2)我有思科881路由器，我正在使用Azure的以下信息。

! Microsoft Corporation
! Windows Azure Virtual Network

! This configuration template applies to Cisco ISR 2900 Series Integrated Services Routers running IOS 15.1.
! It configures an IPSec VPN tunnel connecting your on-premise VPN device with the Azure gateway.

! ---------------------------------------------------------------------------------------------------------------------
! ACL rules
! 
! Proper ACL rules are needed for permitting cross-premise network traffic.
! You should also allow inbound UDP/ESP traffic for the interface which will be used for the IPSec tunnel.
access-list 101 permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.0.255

! ---------------------------------------------------------------------------------------------------------------------
! Internet Key Exchange (IKE) configuration
! 
! This section specifies the authentication, encryption, hashing, and Diffie-Hellman group parameters for the Phase
! 1 negotiation and the main mode security association. 
crypto ikev2 proposal azure-proposal
  encryption aes-cbc-256 aes-cbc-128 3des
  integrity sha1
  group 2
  exit

crypto ikev2 policy azure-policy
  proposal azure-proposal
  exit

crypto ikev2 keyring azure-keyring
  peer 104.215.95.202
    address 104.215.95.202
    pre-shared-key 
    exit
  exit

crypto ikev2 profile azure-profile
  match address local interface 
  match identity remote address 104.215.95.202 255.255.255.255
  authentication remote pre-share
  authentication local pre-share
  keyring azure-keyring
  exit

! ---------------------------------------------------------------------------------------------------------------------
! IPSec configuration
! 
! This section specifies encryption, authentication, tunnel mode properties for the Phase 2 negotiation
crypto ipsec transform-set azure-ipsec-proposal-set esp-aes 256 esp-sha-hmac
 mode tunnel
 exit

! ---------------------------------------------------------------------------------------------------------------------
! Crypto map configuration
!
! This section defines a crypto profile that binds the cross-premise network traffic to the IPSec transform
! set and remote peer.  We also bind the IPSec policy to the virtual tunnel interface, through which 
! cross-premise traffic will be transmitted.  We have picked an arbitrary tunnel id "1" as an example. If
! that happens to conflict with an existing virtual tunnel interface, you may choose to use a different id.
crypto ipsec profile vti
  set transform-set azure-ipsec-proposal-set
  set ikev2-profile azure-profile
  exit

int tunnel 1
  ip address 169.254.0.1 255.255.255.0
  ip tcp adjust-mss 1350
  tunnel source 
  tunnel mode ipsec ipv4
  tunnel destination 104.215.95.202
  tunnel protection ipsec profile vti
  exit

ip route 172.16.0.0 255.255.255.0 tunnel 1

是否有任何配置需要添加或删除此模板，以使现场VPN工作？

谢谢你的帮忙!

Answer 1

我怎样才能让VN和其他人交谈

您需要创建VNet到-VNet VPN隧道，这可以通过执行以下操作来完成：

1. 在Azure门户中，创建您想要的所有VNets，将子网添加到VNets和局域网中相应的本地网络中。
2. 使用动态路由虚拟专用网为VNets创建网关，静态路由VPN将无法工作。
3. 首先连接VPN网关，然后连接LAN，以便在需要时简化故障排除过程。

这里有很好的文档说明：在Azure Portal中配置VNet到VNet连接和VNet-to-VNet:跨不同区域连接Azure中的虚拟网络

是否有任何配置需要从此模板中添加或删除才能使就地VPN正常工作？

幸运的是，使用动态路由的Azure站点到站点VPN支持您的设备，为了确保您可以成功地将您的局域网连接到Azure，我建议查看本页中的详细信息：关于站点间虚拟网络连接的VPN设备

不幸的是，当涉及Cisco路由器时，我不是专家，我将无法查看您发布的配置，但我可以通过提供将Azure连接到您的VPN设备的一般指南来帮助您：

1. 使用上述步骤安装VNets后，Azure将足够聪明地创建一个脚本，您可以下载并使用该脚本来安装本地VPN设备。
2. 阅读从Cisco：http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46242-lan-to-lan-vpn-client.html创建VPN动态隧道的手册
3. 看看思科的Azure示例：https://msdn.microsoft.com/library/azure/dn133800.aspx?f=255&MSPPError=-2147217396#BKMK_ISRDynamic

我希望这些都足以帮助你，如果不是，我相信在思科有更多经验的其他人将能够帮助你解决这个问题。

Answer 2

好吧，我已经取得了一些进展。我已经得到了我的现场设备连接到Azure，我也有我的虚拟网络在Azure连接到彼此，但如果我把一个VM在一个VNet，另一个在一个不同的VNet，我不能在跨越VNets。另外，我不能在Azure VNets中从现场设备中选择任何东西。

这是目前所有的设置。

虚拟网络

VNet-数据中心: 172.16.250.0/24

• 本地网络:LNet到总部(10.0.0.0/24)，LNet到区域1 (10.0.1.0/24)

VNet-总部: 172.16.0.0/24

• 本地网络:LNet-总部(10.0.0.0/24)，LNet-int-总部(10.0.250.0/24，10.0.1.0/24)

VNet-区域1: 172.16.1.0/24

• 本地网络: LNet-Region1 1 (10.0.1.0/24)，LNet-int-Region1 1 (10.0.250.0/24，10.0.0.0/24)

我在VNet总部有一个VM，在VNet中有一个数据中心，但是我不能平这两台机器。

我使用下面的文章作为参考。如何在Azure虚拟网络之间配置路由？

任何帮助都是非常感谢的！

Answer 3

好的，我已经重建了整个网络，并再次在两个VNs中放置了两个VM，但是他们仍然不能打开任何东西，甚至是他们的本地网关。这就是我们的设计。

我创建了三个VNs：

• VNet 1-10.0.250.0/24
• VNet 2- 10.0.0.0/24
• VNet 3- 10.0.1.0/24

我创建了四个LNs：

• LNet 1-10.0.0.0/24
• LNet 2- 10.0.1.0/24
• LNet 3- 10.0.250.0/24，10.0.1.0/24
• LNet 4- 10.0.250.0/24，10.0.0.0/24

VNet 1有两个LNet 1和LNet 2。

VNet 2有一个LN附在上面，LNet 3

VNet 3有一个LN附在上面，LNet 4

VNet 1中有一个VM，IP为10.0.250.4。

VNet 2中有一个VM，IP为10.0.0.4。

我不能从另一个VM中选择一个VM，所以10.0.0.4不能ping 10.0.250.4，visa相反。

谢谢！！