Ejercicio: Configuración del enrutador personalizado
- 15 minutos
Precaución
Este contenido hace referencia a CentOS, una distribución de Linux que es el estado Fin de vida (EOL). Tenga en cuenta su uso y planifique en consecuencia. Para obtener más información, consulte la Guía de fin de vida de CentOS.
Use las instrucciones siguientes para configurar la infraestructura para FRR y generar la ruta predeterminada:
az network vnet subnet create -n <NVA-Subnet-name> -g <resource-group-name> --vnet-name <vnet-name> --address-prefix 10.0.2.0/24
az network nic create -g <resource-group-name> --vnet-name <vnet-name> --subnet <NVA-Subnet-name> -n <NVA-nic-name>
az vm availability-set create --name <nva-availability-set-name> --resource-group <resource-group-name> --location <your-preferred-azure-region>
az vm create --name <nva-vm-name> --resource-group <resource-group-name> --location <your-preferred-azure-region> --image OpenLogic:CentOS:8_5:8.5.2022012100 --size Standard_D1_v2 --availability-set <nva-availability-set-name> --authentication-type password --admin-username <vm-admin-user-name> --admin-password <vm-admin-username-password> --storage-sku Standard_LRS --nics <NVA-nic-name>
Configuración del enrutamiento de FRR en la aplicación virtual de red
Ahora, va a configurar el software de FRR.
Actualice las variables routeServerSubnetPrefix y bgpNvaSubnetGateway en el siguiente script.
# # IP prefix of the RouteServerSubnet in the Firewall VNet. # routeServerSubnetPrefix="<azure-route-server-subnet-prefix>" # # The first IP address of the subnet to which the "eth0" device is attached. # bgpNvaSubnetGateway="<nva-azure-subnet-first-ip-address>" # Install FRR sudo dnf install frr -y # Configure FRR to run the bgpd daemon sudo sed -i 's/bgpd=no/bgpd=yes/g' /etc/frr/daemons sudo touch /etc/frr/bgpd.conf sudo chown frr /etc/frr/bgpd.conf sudo chmod 640 /etc/frr/bgpd.conf # Start FRR daemons sudo systemctl enable frr --now # Add static routes to ensure reachability for Route Servers (Route Server are not-directly-connected external BGP neighbours). # Please note that this configuration is transient and will be lost if the VM is rebooted. # On CentOS VMs, you can add these routes to /etc/sysconfig/network-scripts/route-eth<X> to make them persistent across reboots. sudo ip route add $routeServerSubnetPrefix via $bgpNvaSubnetGateway dev eth0Copie el script editado del paso 1.
Inicie sesión en el shell de máquina virtual de NVA.
Pegue el script copiado del Portapapeles como texto no cifrado en el shell de NVA (Ctrl-Mayús-V).
Ejecute el script y espere a que finalice (aproximadamente un minuto).
Asegúrese de que no se notifican errores después de la ejecución.
Ejecute sudo vtysh.
Asegúrese de que FRR esté en funcionamiento y de que se inició su shell de comandos.
Configuración del vecino BGP y la ruta predeterminada para la aplicación virtual de red
En este paso se configura la aplicación virtual de red de FRR para que Azure Route Server sea su vecino BGP. También se agrega una ruta predeterminada (0.0.0.0/0) en la aplicación virtual de red.
Actualice las siguientes variables en el script.
- <Dirección IP privada del firewall>
- <Dirección IP de la instancia de Route Server 0>
- <Dirección IP de la instancia de Route Server 1>
conf term ! route-map SET-NEXT-HOP-FW permit 10 set ip next-hop <Firewall Private IP address> exit ! router bgp 65111 no bgp ebgp-requires-policy neighbor <IP address of Route Server instance #0> remote-as 65515 neighbor <IP address of Route Server instance #0> ebgp-multihop 2 neighbor <IP address of Route Server instance #1> remote-as 65515 neighbor <IP address of Route Server instance #1> ebgp-multihop 2 network 0.0.0.0/0 ! address-family ipv4 unicast neighbor <IP address of Route Server instance #0> route-map SET-NEXT-HOP-FW out neighbor <IP address of Route Server instance #1> route-map SET-NEXT-HOP-FW out exit-address-family ! exit ! exit ! write file !Inicie sesión en el shell de FRR.
Pegue el script con las variables actualizadas.
Ejecute
show ip bgppara confirmar que el NVA no ha aprendido rutas excepto su propia ruta predeterminada.Ejecute
show ip bgp sumpara confirmar que la aplicación virtual de red no estableció sesiones BGP.
Configuración del emparejamiento con Azure Route Server
Los siguientes pasos establecen una relación de pares BGP entre el FRR NVA y el Azure Route Server.
Ejecute los siguientes comandos en el símbolo del sistema de la CLI de Azure:
az network routeserver peering create --name <nva-vm-name> --peer-ip <private-ip-of-nva-vm-name> --peer-asn <asn-value-other-than-65515-65520> --routeserver <routeserver-name> --resource-group <resource-group-name>` az network routeserver update --name <routeserver-name> --resource-group <resource-group-name> --allow-b2b-traffic true`Inicie sesión en el shell de FRR.
Ejecute
show ip bgppara confirmar que la aplicación virtual de red ha aprendido rutas de Azure Route Server.
Asegúrese de que Azure Firewall tiene conectividad directa a Internet mediante Azure Portal para inspeccionar la tabla de rutas asociada a la subred de Azure Firewall.
En este momento, configuró la nube privada de Azure VMware Solution para implementar la conectividad segura a Internet saliente. Ha implementado Azure Route Server para un intercambio de rutas eficaz entre la nube privada de Azure VMware Solution y la aplicación virtual de red. A continuación, ha implementado Azure Firewall como punto de salida para todo el tráfico enlazado a Internet. Esto se ha seguido mediante FRR, un enrutador personalizado que inserta una ruta predeterminada con Azure Firewall como próximo salto a la nube privada de Azure VMware Solution.
En la unidad siguiente, aprenderá a implementar controles de acceso pormenorizados en Azure Firewall, que permiten o deniegan el tráfico de red desde la nube privada de Azure VMware Solution.