Ejercicio: Configuración del enrutador personalizado
Precaución
Este contenido hace referencia a CentOS, una distribución de Linux que es el estado Fin de vida (EOL). Tenga en cuenta su uso y planifique en consecuencia. Para obtener más información, consulte la Guía de fin de ciclo de vida de CentOS.
Siga estas instrucciones para configurar la infraestructura de FRR y generar la ruta predeterminada:
az network vnet subnet create -n <NVA-Subnet-name> -g <resource-group-name> --vnet-name <vnet-name> --address-prefix 10.0.2.0/24
az network nic create -g <resource-group-name> --vnet-name <vnet-name> --subnet <NVA-Subnet-name> -n <NVA-nic-name>
az vm availability-set create --name <nva-availability-set-name> --resource-group <resource-group-name> --location <your-preferred-azure-region>
az vm create --name <nva-vm-name> --resource-group <resource-group-name> --location <your-preferred-azure-region> --image OpenLogic:CentOS:8_5:8.5.2022012100 --size Standard_D1_v2 --availability-set <nva-availability-set-name> --authentication-type password --admin-username <vm-admin-user-name> --admin-password <vm-admin-username-password> --storage-sku Standard_LRS --nics <NVA-nic-name>
Configuración del enrutamiento de FRR en la aplicación virtual de red
Ahora, va a configurar el software de FRR.
Actualice las variables routeServerSubnetPrefix y bgpNvaSubnetGateway en el script siguiente.
# # IP prefix of the RouteServerSubnet in the Firewall VNet. # routeServerSubnetPrefix="<azure-route-server-subnet-prefix>" # # The first IP address of the subnet to which the "eth0" device is attached. # bgpNvaSubnetGateway="<nva-azure-subnet-first-ip-address>" # Install FRR sudo dnf install frr -y # Configure FRR to run the bgpd daemon sudo sed -i 's/bgpd=no/bgpd=yes/g' /etc/frr/daemons sudo touch /etc/frr/bgpd.conf sudo chown frr /etc/frr/bgpd.conf sudo chmod 640 /etc/frr/bgpd.conf # Start FRR daemons sudo systemctl enable frr --now # Add static routes to ensure reachability for Route Servers (Route Server are not-directly-connected external BGP neighbours). # Please note that this configuration is transient and will be lost if the VM is rebooted. # On CentOS VMs, you can add these routes to /etc/sysconfig/network-scripts/route-eth<X> to make them persistent across reboots. sudo ip route add $routeServerSubnetPrefix via $bgpNvaSubnetGateway dev eth0Copie el script editado anterior.
Inicie sesión en el shell de máquina virtual de NVA.
Pegue el script copiado del Portapapeles como texto no cifrado en el shell de NVA (Ctrl + Mayús + V).
Ejecute el script y espere a que finalice (aproximadamente un minuto).
Asegúrese de que no se notifican errores después de la ejecución.
Ejecute sudo vtysh.
Asegúrese de que FRR se está ejecutando y de que se ha iniciado su shell de comandos.
Configuración del vecino BGP y la ruta predeterminada para la aplicación virtual de red
En este paso se configura la aplicación virtual de red de FRR para que Azure Route Server sea su vecino BGP. También se agrega una ruta predeterminada (0.0.0.0/0) en la aplicación virtual de red.
Actualice las siguientes variables en el script que se muestra a continuación.
- <Dirección IP privada del firewall>
- <Dirección IP de la instancia de Route Server 0>
- <Dirección IP de la instancia de Route Server 1>
conf term ! route-map SET-NEXT-HOP-FW permit 10 set ip next-hop <Firewall Private IP address> exit ! router bgp 65111 no bgp ebgp-requires-policy neighbor <IP address of Route Server instance #0> remote-as 65515 neighbor <IP address of Route Server instance #0> ebgp-multihop 2 neighbor <IP address of Route Server instance #1> remote-as 65515 neighbor <IP address of Route Server instance #1> ebgp-multihop 2 network 0.0.0.0/0 ! address-family ipv4 unicast neighbor <IP address of Route Server instance #0> route-map SET-NEXT-HOP-FW out neighbor <IP address of Route Server instance #1> route-map SET-NEXT-HOP-FW out exit-address-family ! exit ! exit ! write file !Inicie sesión en el shell de FRR.
Pegue el script con las variables actualizadas.
Ejecute
show ip bgppara confirmar que la aplicación virtual de red aún no ha aprendido las rutas, excepto su propia ruta predeterminada.Ejecute
show ip bgp sumpara confirmar que la aplicación virtual de red aún no ha establecido sesiones de BGP.
Configuración del emparejamiento con Azure Route Server
Los pasos siguientes establecerán una relación de par BGP entre la aplicación virtual de red de FRR y Azure Route Server.
Ejecute los comandos siguientes en el símbolo del sistema de la CLI de Azure:
az network routeserver peering create --name <nva-vm-name> --peer-ip <private-ip-of-nva-vm-name> --peer-asn <asn-value-other-than-65515-65520> --routeserver <routeserver-name> --resource-group <resource-group-name>` az network routeserver update --name <routeserver-name> --resource-group <resource-group-name> --allow-b2b-traffic true`Inicie sesión en el shell de FRR.
Ejecute
show ip bgppara confirmar que la aplicación virtual de red ahora ha aprendido las rutas de Azure Route Server.
Asegúrese de que Azure Firewall tenga conectividad directa a Internet. Esto se puede hacer mediante Azure Portal inspeccionando la tabla de rutas asociada a la subred de Azure Firewall.
En este momento, ha configurado la nube privada de Azure VMware Solution para implementar una conectividad saliente segura a Internet. Ha implementado Azure Route Server para un intercambio de rutas eficaz entre la nube privada de Azure VMware Solution y la aplicación virtual de red. A continuación, ha implementado Azure Firewall como punto de salida para todo el tráfico enlazado a Internet. A continuación se ha usado FRR, un enrutador personalizado, que inserta la ruta predeterminada con Azure Firewall como próximo salto en la nube privada de Azure VMware Solution.
En la unidad siguiente, aprenderá a implementar controles de acceso pormenorizados en Azure Firewall, que permiten o deniegan el tráfico de red desde la nube privada de Azure VMware Solution.