Назад | Перейти на главную страницу

Обходной путь для VPN на основе нескольких политик в виртуальной сети

Я боролся с некоторыми практическими ограничениями в Azure и некоторой локальной инфраструктуре. Я установил виртуальную сеть в Azure, и мне нужно было подключиться через Site-to-Site VPN к 4 различным локальным местоположениям.

Естественно, я выбрал VPN на основе маршрутов, который может поддерживать многосайтовые соединения, но оказалось, что одно или несколько из этих локальных VPN-устройств поддерживают только статическую (основанную на политике) настройку IKEv1. Это не будет проблемой, если я смогу создать VPN на основе политик и подключение к каждому клиенту в VNET, но, очевидно, у меня может быть только один VPN на VNET.

Какие у меня есть варианты, чтобы иметь возможность подключиться к этим различным локальным местоположениям? Нужно ли мне создавать несколько виртуальных сетей, подключать каждую виртуальную сеть к локальному местоположению с помощью VPN и присоединяться к виртуальным сетям с помощью соединения VNET-VNET? Возможно ли это, даже если просто набирать его становится беспорядочно.

Цените всю помощь, которую я могу получить сейчас.

azure site-to-site-vpn

[ОБНОВЛЕНИЕ 31.08.2017] Приведенное ниже больше не совсем точное.
Теперь у вас может быть несколько подключений на основе политик (Только IKEv2!) и P2S, Vnet-Vnet и т. д. на одном шлюзе. Вам необходимо развернуть один из новых SKU (VpnGw1, VpnGw2, VpnGw3).

Например. https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-connect-multiple-policybased-rm-ps

Вы не можете подключить виртуальную сеть к виртуальной сети с помощью шлюза на основе политик, так что это тоже не вариант.

Вероятно, это ваши лучшие альтернативы:

Разверните сетевое виртуальное устройство (NVA) в виртуальной сети (у всех основных поставщиков сетевой безопасности есть варианты в Marketplace) и используйте его вместе с UDR чтобы установить S2S VPN со всеми вашими локальными местоположениями.
Разверните виртуальную машину Linux и настройте свой собственный VPN-шлюз с помощью некоторого доступного программного обеспечения IPSec, например StrongSwan или аналогичного.
Используйте одно из локальных расположений в качестве концентратора VPN в архитектуре концентратора и луча, где виртуальная сеть Azure является одной из периферийных. Таким образом, вам понадобится только одно VPN-соединение между Azure и локальной средой, но вы все равно сможете подключиться к любым локальным местоположениям.
Вы также можете создать своего рода гибридную архитектуру, в которой любое локальное местоположение, совместимое только с VPN на основе политик, подключено к другому локальному местоположению, которое может выполнять VPN на основе маршрутов, так что у вас будет> 1 туннель между Azure и локально, чтобы не централизовать весь трафик в одном месте и сохранить все функции, предлагаемые шлюзом на основе маршрутов (больше SKU, Point to Site VPN, BGP, Coexistence with ExpressRoute и т. Д.) - вы даже можете воспользоваться преимуществами Возможности BGP и добавление избыточности туннелям в локальной среде.

(Раскрытие: я работаю в Microsoft в Azure)

Надеюсь это поможет!