Übung: Konfigurieren eines benutzerdefinierten Routers
- 15 Minuten
Achtung
Diese Inhalte beziehen sich auf CentOS, eine Linux-Distribution, deren Dienstende (End-of-Life, EOL) ansteht. Denken Sie an Ihre Verwendung und planen Sie entsprechend. Weitere Informationen finden Sie im CentOS End-of-Life-Leitfaden.
Verwenden Sie die folgenden Anweisungen, um die Infrastruktur für FRR zu konfigurieren und die Standardroute zu generieren:
az network vnet subnet create -n <NVA-Subnet-name> -g <resource-group-name> --vnet-name <vnet-name> --address-prefix 10.0.2.0/24
az network nic create -g <resource-group-name> --vnet-name <vnet-name> --subnet <NVA-Subnet-name> -n <NVA-nic-name>
az vm availability-set create --name <nva-availability-set-name> --resource-group <resource-group-name> --location <your-preferred-azure-region>
az vm create --name <nva-vm-name> --resource-group <resource-group-name> --location <your-preferred-azure-region> --image OpenLogic:CentOS:8_5:8.5.2022012100 --size Standard_D1_v2 --availability-set <nva-availability-set-name> --authentication-type password --admin-username <vm-admin-user-name> --admin-password <vm-admin-username-password> --storage-sku Standard_LRS --nics <NVA-nic-name>
Konfigurieren des FRR-Routings auf dem NVA
Konfigurieren Sie die FRR-Software.
Aktualisieren Sie die Variablen routeServerSubnetPrefix und bgpNvaSubnetGateway im folgenden Skript.
# # IP prefix of the RouteServerSubnet in the Firewall VNet. # routeServerSubnetPrefix="<azure-route-server-subnet-prefix>" # # The first IP address of the subnet to which the "eth0" device is attached. # bgpNvaSubnetGateway="<nva-azure-subnet-first-ip-address>" # Install FRR sudo dnf install frr -y # Configure FRR to run the bgpd daemon sudo sed -i 's/bgpd=no/bgpd=yes/g' /etc/frr/daemons sudo touch /etc/frr/bgpd.conf sudo chown frr /etc/frr/bgpd.conf sudo chmod 640 /etc/frr/bgpd.conf # Start FRR daemons sudo systemctl enable frr --now # Add static routes to ensure reachability for Route Servers (Route Server are not-directly-connected external BGP neighbours). # Please note that this configuration is transient and will be lost if the VM is rebooted. # On CentOS VMs, you can add these routes to /etc/sysconfig/network-scripts/route-eth<X> to make them persistent across reboots. sudo ip route add $routeServerSubnetPrefix via $bgpNvaSubnetGateway dev eth0Kopieren Sie das bearbeitete Skript aus Schritt 1.
Melden Sie sich bei der NVA VM-Shell an.
Fügen Sie das kopierte Skript aus der Zwischenablage als Nur-Text in die NVA-Shell (Strg-Shift-V) ein.
Führen Sie das Skript aus, und warten Sie, bis das Skript nach etwa einer Minute abgeschlossen ist.
Stellen Sie sicher, dass danach keine Fehler gemeldet werden.
Führen Sie sudo vtysh aus.
Stellen Sie sicher, dass FRR läuft und die Befehlsshell gestartet ist.
Konfigurieren des BGP-Nachbarn und der Standardroute für das NVA
In diesem Schritt wird das FRR-NVA so konfiguriert, dass der Azure Route Server als BGP-Nachbar fungiert. Im NVA wird auch eine Standardroute (0.0.0.0/0) hinzugefügt.
Aktualisieren Sie die folgenden Variablen im Skript.
- <Private Firewall-IP-Adresse>
- <IP-Adresse der Route Server-Instanz 0>
- <IP-Adresse der Route Server-Instanz 1>
conf term ! route-map SET-NEXT-HOP-FW permit 10 set ip next-hop <Firewall Private IP address> exit ! router bgp 65111 no bgp ebgp-requires-policy neighbor <IP address of Route Server instance #0> remote-as 65515 neighbor <IP address of Route Server instance #0> ebgp-multihop 2 neighbor <IP address of Route Server instance #1> remote-as 65515 neighbor <IP address of Route Server instance #1> ebgp-multihop 2 network 0.0.0.0/0 ! address-family ipv4 unicast neighbor <IP address of Route Server instance #0> route-map SET-NEXT-HOP-FW out neighbor <IP address of Route Server instance #1> route-map SET-NEXT-HOP-FW out exit-address-family ! exit ! exit ! write file !Melden Sie sich bei der FRR-Shell an.
Fügen Sie das Skript mit den aktualisierten Variablen ein.
Führen Sie die Ausführung
show ip bgpaus, um zu bestätigen, dass die NVA keine Routen mit Ausnahme der eigenen Standardroute gelernt hat.Führen Sie
show ip bgp sumaus, um zu bestätigen, dass die NVA keine BGP-Sitzungen eingerichtet hat.
Konfigurieren des Peerings mit dem Azure Route Server
Die folgenden Schritte richten eine BGP-Peerbeziehung zwischen dem FRR NVA und dem Azure Route Server ein.
Führen Sie die folgenden Befehle an der Azure CLI-Eingabeaufforderung aus:
az network routeserver peering create --name <nva-vm-name> --peer-ip <private-ip-of-nva-vm-name> --peer-asn <asn-value-other-than-65515-65520> --routeserver <routeserver-name> --resource-group <resource-group-name>` az network routeserver update --name <routeserver-name> --resource-group <resource-group-name> --allow-b2b-traffic true`Melden Sie sich bei der FRR-Shell an.
Führen Sie
show ip bgpaus, um zu bestätigen, dass die NVA Routen von Azure Route Server gelernt hat.
Stellen Sie sicher, dass azure Firewall über eine direkte Internetverbindung verfügt, indem Sie das Azure-Portal verwenden, um die Route Table zu prüfen, die dem Subnetz der Azure Firewall zugeordnet ist.
Zu diesem Zeitpunkt haben Sie die private Azure VMware Solution-Cloud so konfiguriert, dass sichere ausgehende Internetverbindung implementiert wird. Sie haben den Azure Route Server für einen effektiven Routenaustausch zwischen der privaten Cloud für Azure VMware Solution und dem NVA bereitgestellt. Anschließend erfolgte das Bereitstellen von Azure Firewall als Ausgangspunkt für den gesamten internetgebundenen Datenverkehr. Dies wurde gefolgt von der Verwendung von FRR, einem benutzerdefinierten Router, der eine Standardroute mit Azure Firewall als nächsten Hop in die private Cloud von Azure VMware Solution einspeist.
In der nächsten Lektion erfahren Sie, wie Sie differenzierte Zugriffssteuerungen in einer Azure Firewall-Instanz implementieren, die Netzwerkdatenverkehr aus der privaten Cloud für Azure VMware Solution zulässt/verweigert.