Ćwiczenie — konfigurowanie routera niestandardowego
Uwaga
Ta zawartość odwołuje się do systemu CentOS , dystrybucji systemu Linux, która jest stanem End Of Life (EOL). Rozważ odpowiednie użycie i zaplanuj. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.
Skorzystaj z poniższych instrukcji, aby skonfigurować infrastrukturę usługi FRR i wygenerować trasę domyślną:
az network vnet subnet create -n <NVA-Subnet-name> -g <resource-group-name> --vnet-name <vnet-name> --address-prefix 10.0.2.0/24
az network nic create -g <resource-group-name> --vnet-name <vnet-name> --subnet <NVA-Subnet-name> -n <NVA-nic-name>
az vm availability-set create --name <nva-availability-set-name> --resource-group <resource-group-name> --location <your-preferred-azure-region>
az vm create --name <nva-vm-name> --resource-group <resource-group-name> --location <your-preferred-azure-region> --image OpenLogic:CentOS:8_5:8.5.2022012100 --size Standard_D1_v2 --availability-set <nva-availability-set-name> --authentication-type password --admin-username <vm-admin-user-name> --admin-password <vm-admin-username-password> --storage-sku Standard_LRS --nics <NVA-nic-name>
Konfigurowanie routingu usługi FRR na urządzeniu WUS
Teraz skonfigurujesz oprogramowanie FRR.
Zaktualizuj zmienne routeServerSubnetPrefix i bgpNvaSubnetGateway w poniższym skrypcie.
# # IP prefix of the RouteServerSubnet in the Firewall VNet. # routeServerSubnetPrefix="<azure-route-server-subnet-prefix>" # # The first IP address of the subnet to which the "eth0" device is attached. # bgpNvaSubnetGateway="<nva-azure-subnet-first-ip-address>" # Install FRR sudo dnf install frr -y # Configure FRR to run the bgpd daemon sudo sed -i 's/bgpd=no/bgpd=yes/g' /etc/frr/daemons sudo touch /etc/frr/bgpd.conf sudo chown frr /etc/frr/bgpd.conf sudo chmod 640 /etc/frr/bgpd.conf # Start FRR daemons sudo systemctl enable frr --now # Add static routes to ensure reachability for Route Servers (Route Server are not-directly-connected external BGP neighbours). # Please note that this configuration is transient and will be lost if the VM is rebooted. # On CentOS VMs, you can add these routes to /etc/sysconfig/network-scripts/route-eth<X> to make them persistent across reboots. sudo ip route add $routeServerSubnetPrefix via $bgpNvaSubnetGateway dev eth0Skopiuj edytowany skrypt powyżej.
Zaloguj się do powłoki maszyny wirtualnej urządzenia WUS.
Wklej skopiowany skrypt ze schowka jako zwykły tekst w powłoce urządzenia WUS (Ctrl-Shift-V).
Uruchom skrypt i poczekaj, aż skrypt zakończy się za minutę.
Upewnij się, że po wykonaniu nie są zgłaszane żadne błędy.
Uruchamianie polecenia sudo vtysh
Upewnij się, że usługa FRR jest uruchomiona, a jej powłoka poleceń została uruchomiona.
Konfigurowanie sąsiada protokołu BGP i trasy domyślnej dla urządzenia WUS
Ten krok umożliwia skonfigurowanie urządzenia WUS usługi FRR tak, aby serwer usługi Azure Route Server był sąsiadem protokołu BGP. Trasa domyślna (0.0.0.0/0) jest również dodawana w urządzeniu WUS.
Zaktualizuj następujące zmienne w poniższym skry skrycie.
- <Prywatny adres IP zapory>
- <Adres IP wystąpienia serwera Route Server #0>
- <Adres IP wystąpienia serwera Route Server #1>
conf term ! route-map SET-NEXT-HOP-FW permit 10 set ip next-hop <Firewall Private IP address> exit ! router bgp 65111 no bgp ebgp-requires-policy neighbor <IP address of Route Server instance #0> remote-as 65515 neighbor <IP address of Route Server instance #0> ebgp-multihop 2 neighbor <IP address of Route Server instance #1> remote-as 65515 neighbor <IP address of Route Server instance #1> ebgp-multihop 2 network 0.0.0.0/0 ! address-family ipv4 unicast neighbor <IP address of Route Server instance #0> route-map SET-NEXT-HOP-FW out neighbor <IP address of Route Server instance #1> route-map SET-NEXT-HOP-FW out exit-address-family ! exit ! exit ! write file !Zaloguj się do powłoki FRR.
Wklej skrypt ze zaktualizowanymi zmiennymi.
Uruchom polecenie
show ip bgp, aby potwierdzić, że urządzenie WUS nie nauczyło się jeszcze tras poza własną trasą domyślną.Uruchom polecenie
show ip bgp sum, aby potwierdzić, że urządzenie WUS nie nawiązało jeszcze sesji protokołu BGP.
Konfigurowanie komunikacji równorzędnej za pomocą usługi Azure Route Server
W poniższych krokach zostanie nawiązana relacja równorzędna BGP między urządzeniem FRR NVA i usługą Azure Route Server.
Uruchom następujące polecenia w wierszu polecenia platformy Azure:
az network routeserver peering create --name <nva-vm-name> --peer-ip <private-ip-of-nva-vm-name> --peer-asn <asn-value-other-than-65515-65520> --routeserver <routeserver-name> --resource-group <resource-group-name>` az network routeserver update --name <routeserver-name> --resource-group <resource-group-name> --allow-b2b-traffic true`Zaloguj się do powłoki FRR.
Uruchom polecenie
show ip bgp, aby potwierdzić, że urządzenie WUS nauczyło się teraz tras z usługi Azure Route Server.
Upewnij się, że usługa Azure Firewall ma bezpośrednią łączność z Internetem. Można to zrobić za pomocą witryny Azure Portal, sprawdzając tabelę tras skojarzoną z podsiecią usługi Azure Firewall.
W tym momencie skonfigurowano chmurę prywatną usługi Azure VMware Solution w celu zaimplementowania bezpiecznej wychodzącej łączności z Internetem. Wdrożono usługę Azure Route Server na potrzeby efektywnej wymiany tras między chmurą prywatną usługi Azure VMware Solution i urządzeniem WUS. Następnie wdrożono usługę Azure Firewall jako punkt wyjścia dla całego ruchu powiązanego z Internetem. Następnie za pomocą usługi FRR — routera niestandardowego, który wprowadza trasę domyślną za pomocą usługi Azure Firewall jako następny przeskok do chmury prywatnej usługi Azure VMware Solution.
W następnej lekcji dowiesz się, jak zaimplementować szczegółowe mechanizmy kontroli dostępu w usłudze Azure Firewall, co umożliwia/odrzuca ruch sieciowy z chmury prywatnej usługi Azure VMware Solution.