Упражнение. Настройка пользовательского маршрутизатора
Внимание
Это содержимое ссылается на CentOS, дистрибутив Linux, который является состоянием конца жизни (EOL). Обратите внимание на использование и план соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.
Используйте приведенные ниже инструкции, чтобы настроить инфраструктуру для FRR и создать маршрут по умолчанию:
az network vnet subnet create -n <NVA-Subnet-name> -g <resource-group-name> --vnet-name <vnet-name> --address-prefix 10.0.2.0/24
az network nic create -g <resource-group-name> --vnet-name <vnet-name> --subnet <NVA-Subnet-name> -n <NVA-nic-name>
az vm availability-set create --name <nva-availability-set-name> --resource-group <resource-group-name> --location <your-preferred-azure-region>
az vm create --name <nva-vm-name> --resource-group <resource-group-name> --location <your-preferred-azure-region> --image OpenLogic:CentOS:8_5:8.5.2022012100 --size Standard_D1_v2 --availability-set <nva-availability-set-name> --authentication-type password --admin-username <vm-admin-user-name> --admin-password <vm-admin-username-password> --storage-sku Standard_LRS --nics <NVA-nic-name>
Настройка маршрутизации FRR в NVA
Теперь вы настроите программное обеспечение FRR.
Обновите переменные routeServerSubnetPrefix и bgpNvaSubnetGateway в приведенном ниже скрипте.
# # IP prefix of the RouteServerSubnet in the Firewall VNet. # routeServerSubnetPrefix="<azure-route-server-subnet-prefix>" # # The first IP address of the subnet to which the "eth0" device is attached. # bgpNvaSubnetGateway="<nva-azure-subnet-first-ip-address>" # Install FRR sudo dnf install frr -y # Configure FRR to run the bgpd daemon sudo sed -i 's/bgpd=no/bgpd=yes/g' /etc/frr/daemons sudo touch /etc/frr/bgpd.conf sudo chown frr /etc/frr/bgpd.conf sudo chmod 640 /etc/frr/bgpd.conf # Start FRR daemons sudo systemctl enable frr --now # Add static routes to ensure reachability for Route Servers (Route Server are not-directly-connected external BGP neighbours). # Please note that this configuration is transient and will be lost if the VM is rebooted. # On CentOS VMs, you can add these routes to /etc/sysconfig/network-scripts/route-eth<X> to make them persistent across reboots. sudo ip route add $routeServerSubnetPrefix via $bgpNvaSubnetGateway dev eth0Скопируйте измененный скрипт выше.
Войдите в оболочку виртуальной машины NVA.
Вставьте скопированный скрипт из буфера обмена в виде обычного текста в оболочке NVA (CTRL-SHIFT-V).
Запустите скрипт и подождите, пока скрипт завершится в минуту или около того.
Убедитесь, что после выполнения ошибки не сообщаются.
Запуск sudo vtysh
Убедитесь, что FRR запущен и запущена ее командная оболочка.
Настройка соседа BGP и маршрута по умолчанию для NVA
Этот шаг настраивает NVA FRR на сервер маршрутизации Azure в качестве своего соседа BGP. Маршрут по умолчанию (0.0.0.0/0) также добавляется в NVA.
Обновите следующие переменные в приведенном ниже скрипте.
- <Частный IP-адрес брандмауэра>
- <IP-адрес экземпляра сервера маршрутизации #0>
- <IP-адрес экземпляра сервера маршрутизации #1>
conf term ! route-map SET-NEXT-HOP-FW permit 10 set ip next-hop <Firewall Private IP address> exit ! router bgp 65111 no bgp ebgp-requires-policy neighbor <IP address of Route Server instance #0> remote-as 65515 neighbor <IP address of Route Server instance #0> ebgp-multihop 2 neighbor <IP address of Route Server instance #1> remote-as 65515 neighbor <IP address of Route Server instance #1> ebgp-multihop 2 network 0.0.0.0/0 ! address-family ipv4 unicast neighbor <IP address of Route Server instance #0> route-map SET-NEXT-HOP-FW out neighbor <IP address of Route Server instance #1> route-map SET-NEXT-HOP-FW out exit-address-family ! exit ! exit ! write file !Войдите в оболочку FRR.
Вставьте скрипт с обновленными переменными.
Выполните команду
show ip bgp, чтобы убедиться, что NVA еще не узнал маршруты, кроме собственного маршрута по умолчанию.Выполните команду
show ip bgp sum, чтобы убедиться, что NVA еще не установила сеансы BGP.
Настройка пиринга с помощью сервера маршрутизации Azure
Приведенные ниже действия устанавливают связь однорангового узла BGP между NVA FRR и сервером маршрутизации Azure.
Выполните следующие команды в командной строке Azure CLI:
az network routeserver peering create --name <nva-vm-name> --peer-ip <private-ip-of-nva-vm-name> --peer-asn <asn-value-other-than-65515-65520> --routeserver <routeserver-name> --resource-group <resource-group-name>` az network routeserver update --name <routeserver-name> --resource-group <resource-group-name> --allow-b2b-traffic true`Войдите в оболочку FRR.
Выполните команду
show ip bgp, чтобы убедиться, что NVA теперь научила маршруты с сервера маршрутов Azure.
Убедитесь, что Брандмауэр Azure имеет прямое подключение к Интернету. Это можно сделать с помощью портал Azure, проверяя таблицу маршрутов, связанную с подсетью Брандмауэр Azure.
На этом этапе вы настроили Решение Azure VMware частное облако для реализации безопасного исходящего подключения к Интернету. Вы развернули Azure Route Server для эффективного обмена маршрутами между Решение Azure VMware частным облаком и NVA. Затем вы развернули Брандмауэр Azure в качестве точки выхода для всего трафика, связанного с Интернетом. После этого используется FRR — пользовательский маршрутизатор, который внедряет маршрут по умолчанию с Брандмауэр Azure в качестве следующего прыжка в Решение Azure VMware частном облаке.
В следующем уроке вы узнаете, как реализовать точные средства управления доступом в Брандмауэр Azure, что позволяет или запрещает сетевой трафик из Решение Azure VMware частного облака.