Назад | Перейти на главную страницу

Отдельный VPN-туннель Azure S2S для каждой подсети с Juniper SRX

Похоже, что этот вопрос и его варианты очень распространены, но я не смог найти ответ после целого дня исследований и тестирования. Я ценю любые отзывы!

ЦЕЛЬ: В Azure у меня есть одна виртуальная сеть с несколькими подсетями (интерфейсная, внутренняя, безопасная). По сути, я хотел бы, чтобы эти подсети были расширениями моих локальных зон на моем брандмауэре Juniper SRX. Что касается Juniper, я считаю, что это означает, что мне нужен туннель для каждой подсети, заканчивающийся на соответствующем интерфейсе st0.x. Затем я могу добавить каждый интерфейс st0.x в соответствующую зону.

ВОПРОС: Как связать каждую входящую подсеть с собственным интерфейсом st0.x? Нужен ли мне уникальный IP-адрес VPN-шлюза для каждой подсети?

Я смотрел на «селекторы трафика» на стороне Juniper, создавая ipsec VPN для каждой подсети и входя в эту подсеть в селекторе трафика, но кажется, что подключается только одна VPN.

Я понимаю, что я могу направить весь трафик из моей виртуальной сети через один и тот же туннель, привязать его к одному интерфейсу и поместить этот интерфейс в выделенную зону (например, Azure-Tunnel). Проблема, с которой я сталкиваюсь с этим подходом, заключается в том, что кто-то, создающий политику, разрешающую трафик из Azure-Tunnel в другую зону и пункт назначения, должен помнить об указании исходного адреса, иначе он разрешит всем подсетям Azure взаимодействовать с пунктом назначения.

Спасибо!