Exercício – configurar o roteador personalizado

Use as instruções a seguir para configurar a infraestrutura para FRR e gerar a rota padrão:

az network vnet subnet create  -n <NVA-Subnet-name> -g <resource-group-name> --vnet-name <vnet-name>  --address-prefix 10.0.2.0/24

az network nic create -g <resource-group-name> --vnet-name <vnet-name>  --subnet <NVA-Subnet-name> -n <NVA-nic-name>

az vm availability-set create --name <nva-availability-set-name> --resource-group <resource-group-name> --location <your-preferred-azure-region>

az vm create --name <nva-vm-name>  --resource-group <resource-group-name>  --location <your-preferred-azure-region> --image OpenLogic:CentOS:8_5:8.5.2022012100 --size Standard_D1_v2        --availability-set <nva-availability-set-name>  --authentication-type password  --admin-username <vm-admin-user-name>  --admin-password <vm-admin-username-password> --storage-sku Standard_LRS  --nics <NVA-nic-name>

Configurar o roteamento FRR na NVA

Agora, você vai configurar o software FRR.

1. Atualize as variáveis routeServerSubnetPrefix e bgpNvaSubnetGateway no script a seguir.

   #
   # IP prefix of the RouteServerSubnet in the Firewall VNet. 
   #  
   routeServerSubnetPrefix="<azure-route-server-subnet-prefix>"
   
   #
   # The first IP address of the subnet to which the "eth0" device is attached.
   #
   bgpNvaSubnetGateway="<nva-azure-subnet-first-ip-address>"
   
   # Install FRR
   sudo dnf install frr -y
   
   # Configure FRR to run the bgpd daemon
   sudo sed -i 's/bgpd=no/bgpd=yes/g' /etc/frr/daemons
   sudo touch /etc/frr/bgpd.conf
   sudo chown frr /etc/frr/bgpd.conf
   sudo chmod 640 /etc/frr/bgpd.conf
   
   # Start FRR daemons
   sudo systemctl enable frr --now
   
   
   # Add static routes to ensure reachability for Route Servers (Route Server are not-directly-connected external BGP neighbours).
   
   # Please note that this configuration is transient and will be lost if the VM is rebooted.
   
   # On CentOS VMs, you can add these routes to /etc/sysconfig/network-scripts/route-eth<X> to make them persistent across reboots. 
   
   sudo ip route add $routeServerSubnetPrefix via $bgpNvaSubnetGateway dev eth0
   

2. Copie o script editado da etapa 1.

3. Entre no shell da VM NVA.

4. Cole o script copiado da área de transferência como texto sem formatação no shell NVA (Ctrl-Shift-V).

5. Execute o script e aguarde até que ele seja concluído em um minuto ou mais.

6. Verifique se nenhum erro foi relatado após a execução.

   

7. Executar sudo vtysh

8. Certifique-se de que o FRR está em execução e que seu shell de comando foi iniciado.

   

Configure o vizinho BGP e a rota padrão para a NVA

Esta etapa configura a NVA FRR para ter o Servidor de Rota do Azure como vizinho BGP. Uma rota padrão (0.0.0.0/0) também é adicionada à NVA.

1. Atualize as variáveis a seguir no script.

   1. <Endereço IP privado do firewall>
   2. <Endereço IP da instância do Servidor de Rota #0>
   3. <Endereço IP da instância do Servidor de Rota #1>

   conf term
   !
   route-map SET-NEXT-HOP-FW permit 10
   set ip next-hop <Firewall Private IP address>
   exit
   !
   router bgp 65111
   no bgp ebgp-requires-policy
   neighbor <IP address of Route Server instance #0> remote-as 65515  
   neighbor <IP address of Route Server instance #0> ebgp-multihop 2
   neighbor <IP address of Route Server instance #1> remote-as 65515 
   neighbor <IP address of Route Server instance #1> ebgp-multihop 2
   network 0.0.0.0/0
   !
   address-family ipv4 unicast
     neighbor <IP address of Route Server instance #0> route-map SET-NEXT-HOP-FW out
     neighbor <IP address of Route Server instance #1> route-map SET-NEXT-HOP-FW out
   exit-address-family
   !
   exit
   !
   exit
   !
   write file
   !
   

2. Entre no shell do FRR.

3. Cole o script com variáveis atualizadas.

4. Execute show ip bgp para confirmar que a NVA não aprendeu rotas, exceto sua própria rota padrão.

5. Execute show ip bgp sum para confirmar se a NVA não estabeleceu sessões de BGP.

   

Configurar o emparelhamento com o Servidor de Rota do Azure

As etapas a seguir estabelecem uma relação de par BGP entre o FRR NVA e o Servidor de Rota do Azure.

1. Execute os seguintes comandos no prompt da CLI do Azure:

   
    az network routeserver peering create  --name <nva-vm-name>  --peer-ip <private-ip-of-nva-vm-name>  --peer-asn <asn-value-other-than-65515-65520>  --routeserver <routeserver-name>  --resource-group <resource-group-name>`
   
    az network routeserver update --name <routeserver-name>  --resource-group <resource-group-name>   --allow-b2b-traffic true`
   

2. Entre no shell do FRR.

3. Execute show ip bgp para confirmar se a NVA aprendeu rotas do Servidor de Rota do Azure.

   

4. Verifique se o Firewall do Azure tem conectividade direta com a Internet usando o portal do Azure para inspecionar a Tabela de Rotas associada à sub-rede do Firewall do Azure.

   

Neste ponto, você configurou a nuvem privada da Solução VMware no Azure para implementar a conectividade segura com a Internet de saída. Você implantou o Servidor de Rota do Azure para uma troca de rotas efetiva entre a nuvem privada da Solução VMware no Azure e a NVA. Em seguida, você implantou o Firewall do Azure como ponto de saída para todo o tráfego vinculado à Internet. Isso foi seguido pelo uso do FRR, um roteador personalizado que injeta uma rota padrão com o Firewall do Azure como o próximo salto na nuvem privada da Solução VMware no Azure.

Na próxima unidade, você aprenderá a implementar controles de acesso refinados no Firewall do Azure, o que permite/nega o tráfego de rede da nuvem privada da Solução VMware no Azure.