연습 - 사용자 지정 라우터 구성
- 15분
주의
이 콘텐츠에는 EOL(서비스 종료) 상태의 Linux 배포판인 CentOS에 대한 내용이 포함되어 있습니다. 사용 및 계획을 적절하게 고려합니다. 자세한 내용은 CentOS 수명 종료 지침을 참조하세요.
다음 지침을 사용하여 FRR에 대한 인프라를 구성하고 기본 경로를 생성합니다.
az network vnet subnet create -n <NVA-Subnet-name> -g <resource-group-name> --vnet-name <vnet-name> --address-prefix 10.0.2.0/24
az network nic create -g <resource-group-name> --vnet-name <vnet-name> --subnet <NVA-Subnet-name> -n <NVA-nic-name>
az vm availability-set create --name <nva-availability-set-name> --resource-group <resource-group-name> --location <your-preferred-azure-region>
az vm create --name <nva-vm-name> --resource-group <resource-group-name> --location <your-preferred-azure-region> --image OpenLogic:CentOS:8_5:8.5.2022012100 --size Standard_D1_v2 --availability-set <nva-availability-set-name> --authentication-type password --admin-username <vm-admin-user-name> --admin-password <vm-admin-username-password> --storage-sku Standard_LRS --nics <NVA-nic-name>
NVA에서 FRR 라우팅 구성
이제 FRR 소프트웨어를 구성하겠습니다.
다음 스크립트에서 routeServerSubnetPrefix 및 bgpNvaSubnetGateway 변수를 업데이트합니다.
# # IP prefix of the RouteServerSubnet in the Firewall VNet. # routeServerSubnetPrefix="<azure-route-server-subnet-prefix>" # # The first IP address of the subnet to which the "eth0" device is attached. # bgpNvaSubnetGateway="<nva-azure-subnet-first-ip-address>" # Install FRR sudo dnf install frr -y # Configure FRR to run the bgpd daemon sudo sed -i 's/bgpd=no/bgpd=yes/g' /etc/frr/daemons sudo touch /etc/frr/bgpd.conf sudo chown frr /etc/frr/bgpd.conf sudo chmod 640 /etc/frr/bgpd.conf # Start FRR daemons sudo systemctl enable frr --now # Add static routes to ensure reachability for Route Servers (Route Server are not-directly-connected external BGP neighbours). # Please note that this configuration is transient and will be lost if the VM is rebooted. # On CentOS VMs, you can add these routes to /etc/sysconfig/network-scripts/route-eth<X> to make them persistent across reboots. sudo ip route add $routeServerSubnetPrefix via $bgpNvaSubnetGateway dev eth01단계에서 편집한 스크립트를 복사합니다.
NVA VM 셸에 로그인합니다.
클립보드에서 복사한 스크립트를 NVA 셸(Ctrl-Shift-V)에 일반 텍스트로 붙여넣습니다.
스크립트를 실행하고 스크립트가 1분 정도 완료될 때까지 기다립니다.
실행 후 오류가 보고되지 않는지 확인합니다.
sudo vtysh 실행
FRR이 실행 중이고 명령 셸이 시작되었는지 확인합니다.
NVA에 대한 BGP 인접 및 기본 경로 구성
이 단계에서는 Azure Route Server를 BGP 인접 항목으로 사용하도록 FRR NVA를 구성합니다. 기본 경로(0.0.0.0/0)도 NVA에 추가됩니다.
스크립트에서 다음 변수를 업데이트합니다.
- <방화벽 개인 IP 주소>
- <Route Server 인스턴스 #0의 IP 주소>
- <Route Server 인스턴스 #1의 IP 주소>
conf term ! route-map SET-NEXT-HOP-FW permit 10 set ip next-hop <Firewall Private IP address> exit ! router bgp 65111 no bgp ebgp-requires-policy neighbor <IP address of Route Server instance #0> remote-as 65515 neighbor <IP address of Route Server instance #0> ebgp-multihop 2 neighbor <IP address of Route Server instance #1> remote-as 65515 neighbor <IP address of Route Server instance #1> ebgp-multihop 2 network 0.0.0.0/0 ! address-family ipv4 unicast neighbor <IP address of Route Server instance #0> route-map SET-NEXT-HOP-FW out neighbor <IP address of Route Server instance #1> route-map SET-NEXT-HOP-FW out exit-address-family ! exit ! exit ! write file !FRR 셸에 로그인합니다.
업데이트된 변수를 사용하여 스크립트를 붙여넣습니다.
실행
show ip bgp하여 NVA가 자체 기본 경로를 제외한 경로를 학습하지 않았는지 확인합니다.NVA가 BGP 세션을 설정하지 않았는지 확인하려면 실행
show ip bgp sum합니다.
Azure Route Server를 사용한 피어링 구성
다음 단계에서는 FRR NVA와 Azure Route Server 간에 BGP 피어 관계를 설정합니다.
Azure CLI 프롬프트에서 다음 명령을 실행합니다.
az network routeserver peering create --name <nva-vm-name> --peer-ip <private-ip-of-nva-vm-name> --peer-asn <asn-value-other-than-65515-65520> --routeserver <routeserver-name> --resource-group <resource-group-name>` az network routeserver update --name <routeserver-name> --resource-group <resource-group-name> --allow-b2b-traffic true`FRR 셸에 로그인합니다.
실행
show ip bgp하여 NVA가 Azure Route Server에서 경로를 학습했음을 확인합니다.
Azure Portal을 사용하여 Azure Firewall의 서브넷과 연결된 경로 테이블을 검사하여 Azure Firewall에 직접 인터넷 연결이 있는지 확인합니다.
이 시점에서 보안 아웃바운드 인터넷 연결을 구현하도록 Azure VMware Solution 프라이빗 클라우드를 구성했습니다. Azure VMware Solution 프라이빗 클라우드와 NVA 간의 효과적인 경로 교환을 위해 Azure Route Server를 배포했습니다. 그런 다음 Azure Firewall을 인터넷에 바인딩된 모든 트래픽의 종료 지점으로 배포했습니다. Azure Firewall을 사용하여 기본 경로를 Azure VMware Solution 프라이빗 클라우드에 다음 홉으로 삽입하는 사용자 지정 라우터인 FRR을 사용하여 이 작업을 수행했습니다.
다음 단원에서는 Azure VMware Solution 프라이빗 클라우드의 네트워크 트래픽을 허용/거부하는 세분화된 액세스 제어를 Azure Firewall에 구현하는 방법을 알아봅니다.