Cvičení – konfigurace vlastního směrovače

Dokončeno

Upozornění

Tento obsah odkazuje na CentOS, což je linuxová distribuce se stavem Konec životnosti (EOL). Zvažte své použití a naplánujte podle toho. Další informace najdete v doprovodných materiálech CentOS End Of Life.

Pomocí následujících pokynů nakonfigurujte infrastrukturu pro FRR a vygenerujte výchozí trasu:

az network vnet subnet create  -n <NVA-Subnet-name> -g <resource-group-name> --vnet-name <vnet-name>  --address-prefix 10.0.2.0/24

az network nic create -g <resource-group-name> --vnet-name <vnet-name>  --subnet <NVA-Subnet-name> -n <NVA-nic-name>

az vm availability-set create --name <nva-availability-set-name> --resource-group <resource-group-name> --location <your-preferred-azure-region>

az vm create --name <nva-vm-name>  --resource-group <resource-group-name>  --location <your-preferred-azure-region> --image OpenLogic:CentOS:8_5:8.5.2022012100 --size Standard_D1_v2        --availability-set <nva-availability-set-name>  --authentication-type password  --admin-username <vm-admin-user-name>  --admin-password <vm-admin-username-password> --storage-sku Standard_LRS  --nics <NVA-nic-name>

Konfigurace směrování FRR na síťovém virtuálním zařízení

Teď nakonfigurujete software FRR.

1. Aktualizujte proměnné routeServerSubnetPrefix a bgpNvaSubnetGateway v následujícím skriptu.

   #
   # IP prefix of the RouteServerSubnet in the Firewall VNet. 
   #  
   routeServerSubnetPrefix="<azure-route-server-subnet-prefix>"
   
   #
   # The first IP address of the subnet to which the "eth0" device is attached.
   #
   bgpNvaSubnetGateway="<nva-azure-subnet-first-ip-address>"
   
   # Install FRR
   sudo dnf install frr -y
   
   # Configure FRR to run the bgpd daemon
   sudo sed -i 's/bgpd=no/bgpd=yes/g' /etc/frr/daemons
   sudo touch /etc/frr/bgpd.conf
   sudo chown frr /etc/frr/bgpd.conf
   sudo chmod 640 /etc/frr/bgpd.conf
   
   # Start FRR daemons
   sudo systemctl enable frr --now
   
   
   # Add static routes to ensure reachability for Route Servers (Route Server are not-directly-connected external BGP neighbours).
   
   # Please note that this configuration is transient and will be lost if the VM is rebooted.
   
   # On CentOS VMs, you can add these routes to /etc/sysconfig/network-scripts/route-eth<X> to make them persistent across reboots. 
   
   sudo ip route add $routeServerSubnetPrefix via $bgpNvaSubnetGateway dev eth0
   

2. Zkopírujte upravený skript z kroku 1.

3. Přihlaste se do shellu NVA VM.

4. Vložte zkopírovaný skript ze schránky jako prostý text v prostředí NVA (Ctrl-Shift-V).

5. Spusťte skript a počkejte, až se skript za minutu dokončí.

6. Zajistěte, aby po spuštění nebyly hlášeny žádné chyby.

   

7. Spuštění sudo vtysh

8. Ujistěte se, že je FRR běžící, a jeho příkazová konzole je spuštěna.

   

Konfigurace souseda protokolu BGP a výchozí trasy pro síťové virtuální zařízení

Tento krok nakonfiguruje síťové virtuální zařízení FRR tak, aby jako soused protokolu BGP měl Azure Route Server. Do síťového virtuálního zařízení se přidá také výchozí trasa (0.0.0.0/0).

1. Aktualizujte následující proměnné ve skriptu.

   1. <Privátní IP adresa brány firewall>
   2. <IP adresa instance směrového serveru č. 0>
   3. <IP adresa instance směrového serveru č. 1>

   conf term
   !
   route-map SET-NEXT-HOP-FW permit 10
   set ip next-hop <Firewall Private IP address>
   exit
   !
   router bgp 65111
   no bgp ebgp-requires-policy
   neighbor <IP address of Route Server instance #0> remote-as 65515  
   neighbor <IP address of Route Server instance #0> ebgp-multihop 2
   neighbor <IP address of Route Server instance #1> remote-as 65515 
   neighbor <IP address of Route Server instance #1> ebgp-multihop 2
   network 0.0.0.0/0
   !
   address-family ipv4 unicast
     neighbor <IP address of Route Server instance #0> route-map SET-NEXT-HOP-FW out
     neighbor <IP address of Route Server instance #1> route-map SET-NEXT-HOP-FW out
   exit-address-family
   !
   exit
   !
   exit
   !
   write file
   !
   

2. přihlaste se do shellu FRR.

3. Vložte skript s aktualizovanými proměnnými.

4. Spusťte show ip bgp a potvrďte, že se NVA nenaučilo žádné trasy kromě vlastní výchozí trasy.

5. Spuštěním show ip bgp sum potvrďte, že NVA nenavázalo relace protokolu BGP.

   

Konfigurace partnerského vztahu se službou Azure Route Server

Následující kroky vytvoří partnerský vztah protokolu BGP mezi síťovým virtuálním zařízením FRR a azure Route Serverem.

1. Na příkazovém řádku Azure CLI spusťte následující příkazy:

   
    az network routeserver peering create  --name <nva-vm-name>  --peer-ip <private-ip-of-nva-vm-name>  --peer-asn <asn-value-other-than-65515-65520>  --routeserver <routeserver-name>  --resource-group <resource-group-name>`
   
    az network routeserver update --name <routeserver-name>  --resource-group <resource-group-name>   --allow-b2b-traffic true`
   

2. Přihlaste se do shellu FRR.

3. Spusťte show ip bgp a potvrďte, že NVA se naučilo trasy z Azure Route Serveru.

   

4. Ujistěte se, že služba Azure Firewall má přímé připojení k internetu pomocí webu Azure Portal a zkontrolujte směrovací tabulku přidruženou k podsíti služby Azure Firewall.

   

V tomto okamžiku jste nakonfigurovali privátní cloud Azure VMware Solution tak, aby implementoval zabezpečené odchozí připojení k internetu. Nasadili jste Azure Route Server pro efektivní výměnu tras mezi privátním cloudem Azure VMware Solution a síťovým virtuálním zařízením. Pak jste jako výstupní bod nasadili Službu Azure Firewall pro veškerý provoz vázaný na internet. Následuje to pomocí FRR – vlastního směrovače, který jako další segment směrování vloží výchozí trasu do privátního cloudu Azure VMware Solution.

V další lekci se dozvíte, jak implementovat jemně odstupňované řízení přístupu ve službě Azure Firewall, které umožňuje nebo zakazuje síťový provoz z privátního cloudu Azure VMware Solution.