AZURE NETWOKR 实验手册

AZURE NETWORK 实验手册

 

Version 1.0

确认目录结构

Version 2.0

Alpha Version

Version 3.0

增加NSG LOG,3rd Party VPNGW,ER GW

Version 4.0

修正部分笔误错误(已标红)

 

目录

实验目标与拓扑    1

实验一:AZURE虚拟网络实验    2

实验二:AZURE NSG网络安全组实验    6

实验三:AZURE 负载均衡实验    10

实验四:AZURE NAT实验    15

实验五:AZURE VPN网关实验    18

实验六:AZURE 对等互联实验    28

实验七:NVA+UDR实验    40

实验八:专线演示实验    46

 

 

实验目标与拓扑

本实验手册希望通过和大家一起在实际操作中深入了解AZURE网络概念,并掌握AZURE网络基本日常操作。本实验手册分为八部分实验。

实验一:AZURE虚拟网络实验

实验二:AZURE NSG网络安全组实验

实验三:AZURE 负载均衡实验

实验四:AZURE NAT实验

实验五:AZURE VPN网关实验

实验六:AZURE 对等互联实验

实验七:AZURE NVA+UDR实验

实验八:AZURE 专线演示实验

 

实验一:AZURE虚拟网络实验

实验目标:建立VNET1,掌握虚拟网络内连通性

  1. 创建虚拟网络VNET1

    进入AZURE Portal门户,选择虚拟网络并添加,输入名称VNET1,地址空间172.0.0.0/16,资源组名称Q3NETBOOTCAMP,位置中国北部,子网名称Subnet1,地址空间172.0.0.0/24。注意区分大小写。

  2. 添加子网

    选择虚拟网络,点击上一步创建的虚拟网络VNET1,选择子网并添加,添加子网Subnet2,名称Subnet2,地址空间172.0.1.0/24,网络安全组无,路由表无,服务终结点选中0个。注意区分大小写。

    相同方法添加子网Subnet3,名称Subnet3,地址空间172.0.2.0/24,网络安全组无,路由表无,服务终结点选中0个。注意区分大小写。

  3. 创建虚拟机

    访问https://github.com/nonokangwei/q3bootcamp/blob/master/TwoNicVM.json 拷贝双网卡虚拟机部署模板。登陆Portal选择新建,搜索模板或template,选择模板部署。编辑模板,将模板拷贝到编辑窗口中。编辑参数,输用户名,密码(建议使用Azuredemo!123),虚拟机名称(建议使用VM1),选择资源组(选择之前VNET1所在资源组)。重复上述操作建立虚拟机VM2。

    上述操作也可通过CLI完成:

    az group deployment create --template-uri https://raw.githubusercontent.com/nonokangwei/q3bootcamp/master/TwoNicVM.json --parameters adminUsername=username adminPassword=password virtualMachineName=VMname -g resourcegroup

     

    访问https://github.com/nonokangwei/q3bootcamp/blob/master/OneNicVM.json 拷贝单网卡虚拟机部署模板。登陆Portal选择新建,搜索模板或template,选择模板部署。编辑模板,将模板拷贝到编辑窗口中。编辑参数,输用户名,密码(建议使用Azuredemo!123),虚拟机名称(建议使用VM3),选择资源组(选择之前VNET1所在资源组)。

  4. 测试虚拟机连通性

    选择VM1,查看VM1公网ip,通过ssh访问(ssh username@vm1_PublicIP)。远程登陆虚拟机后,ip addr list查看网卡地址。Ping 172.0.0.5 查看VNET1内网连通性。Curl www.azure.com 查看VNET1的外网联通性。

  5. 通过NetworkWatcher查看拓扑

    选择NetworkWacher,

    启用China North和China East的NetworkWacher服务

    启用后选择拓扑,选择VNET1所在订阅,选择资源组,选择虚拟网络,获取网络拓扑结构

 

实验二:AZURE NSG网络安全组实验

实验目标:掌握NSG策略,如何通过主机NSG策略实现安全策略,如果通过子网NSG策略实现安全策略。

  1. 选择虚拟机VM1,选择网络,选择VM1nic1的有效的安全规则

    查看入站规则,理解入站优先级1000规则和入站优先级65000规则

  2. 通过SSH VM1的公网IP远程登陆,登陆成功并退出
  3. 选择虚拟机VM1,选择网络,点击优先级1000规则,将允许改为拒绝。再次模拟通过SSH VM1的公网IP远程登陆,登陆失败。验证完成后重新将拒绝改为允许恢复规则。
  4. 重新登陆VM1,ping 172.0.0.5验证ping成功。通过本地ping VM2公网地址,验证ping失败,结合NSG策略思考失败原因。
  5. 选择虚拟机VM2,选择网络,选择VM2nic-1,点击添加入站端口规则,选择高级,设置规则,源Any,源端口范围*,目标Any,目标端口范围*,协议Any,操作允许,优先级1020,名称default-allow-icmp,确定保存。再次尝试通过本地ping VM2的公网IP,验证连通性。思考NSG策略作用。
  6. 重新登陆VM1,ping 172.0.0.5验证pingVM2成功。
  7. 创建网络安全组

    选择网络安全组,点击添加,

    输入名称SUBNETNSG,资源组选择Q3NETBOOTCAMP,位置中国北部

  8. 创建网络安全组规则

    选择创建的SUBNETNSG网络安全组,选择入站安全规则,点击添加,源IP Address,源IP地址范围172.0.0.4/32, 源端口范围*,目标IP Address,目标IP地址范围172.0.0.5/32,目标端口范围*,协议Any,操作拒绝,优先级1000,名称default-deny-vm1-vm2-icmp。

  9. 关联子网网络安全组规则

    选择创建的SUBNETNSG网络安全组,选择子网,点击关联,虚拟网络选择VNET1,子网选择Subnet1,保存。

  10. 登陆VM1,再次验证ping 172.0.0.5,此时ping失败。思考失败原因。
  11. 选择网络观察程序(NetworkWatcher),点击IP流验证,资源组Q3NETBOOTCAMP,虚拟机VM2,网络接口VM2nic1,协议TCP,方向入站,本地IP地址172.0.0.5,本地端口22,源端IP地址172.0.0.4,源端端口10001,进行检查。查看检查结果。

  12. 以VM1为跳板机,ssh 172.0.1.5登陆VM2.,验证ping 172.0.0.4,ping成功,思考成功原因。
  13. 取消子网网络安全组规则关联,恢复连通性。

    选择创建的SUBNETNSG网络安全组,选择子网,选择子网选择Subnet1取消关联。

  14. 通过Network Watcher分析NSG日志(选作)。

    Network Watcher可以用于对网络安全组的日志进行分析,客户可以直观感受NSG当前运行情况。注册insight组件。

 

  1. 选择需要监控日志的网络安全组

  2. 选择存储账号并开启监控日志服务

  3. 下载日志并使用powerBI读取NSG日志

    https://docs.microsoft.com/en-us/azure/network-watcher/network-watcher-visualize-nsg-flow-logs-power-bi

 

 

实验三:AZURE 负载均衡实验

实验目标:掌握外网负载均衡

  1. 虚拟机准备工作

    登陆VM1,安装apache2,php服务

    sudo apt-get update

    sudo apt-get install apache2 -y

    sudo apt-get install php libapache2-mod-php php-mcrypt php-mysql -y

    sudo systemctl restart apache2

    sudo rm /var/www/html/index.html

    sudo wget https://raw.githubusercontent.com/nonokangwei/q3bootcamp/master/index.php -P /var/www/html/

    在VM2上重复上述操作

  2. 创建公网负载均衡

    选择负载均衡,点击添加。名称HTTPLB,类型公共,公网IP地址新建名称HttpLB,资源组Q3NETBOOTCAMP,位置中国北部。选择创建。

  3. 创建负载均衡后端池

    选择前面创建的公网负载均衡HTTPLB,选择后端池,点击添加,名称BackendPool,关联到可用性集,可用性集NATAS,目标网络IP配置-目标虚拟机VM1,网络IP配置VM1nic1,目标虚拟机VM2,网络IP配置VM2nic1。确定创建。

  4. 创建运行状况探测

    选择运行状况探测,点击添加,名称Probe,协议TCP,端口80,默认间隔和不正常阈值。确定创建。

    可以尝试创建基于HTTP协议的Probe,并思考与TCP Probe的区别。

  5. 创建负载均衡规则

    选择负载均衡规则,点击添加,名称HTTPRule,默认前端IP,协议TCP,端口80,后端端口80,其余均为默认。确认创建。

  6. 确认负载均衡连通性

    查阅负载均衡公网IP,由本地发起curl 负载均衡公网IP 操作。确认输出中的My IP Address。反复发起curl操作,确认输出地址是否发生变化。

    思考输出地址发生变化原因。

  7. 会话一致性策略

    选择负载均衡HTTPLB,点击负载均衡规则,选择HTTPRule

    更改会话持续性为客户端IP,并保存。

  8. 确认会话持续性

    查阅负载均衡公网IP,由本地发起curl 负载均衡公网IP 操作。确认输出中的My IP Address。反复发起curl操作,确认输出地址是否发生变化。思考地址不变的原因。

    思考不同应用对于负载均衡算法的要求。

 

实验四:AZURE NAT实验

实验目标:掌握VNET外网访问NAT策略,掌握端口转发策略。

  1. 验证具有公网IP地址VM外网访问地址

    为VM3增加公网IP,远程登陆VM3,通过命令nslookup myip.opendns.com resolver1.opendns.com 确认外网访问所用公网IP地址。比对输出结果与该虚拟机AZURE所分配公网IP地址关系。

    VM3增加公网IP方法:选择VM3,点击网络,选择网络接口VM3nic-1,选择IP配置,选择ipconfig1,将公网IP改为已启用,公共IP地址选择新建,名称VM3publicIp

  2. 验证不具有公网IP地址VM外网访问地址

    依据上一步的反向操作删除VM3的公网地址。通过VM1或VM2作为跳板机,登陆VM3,通过命令nslookup myip.opendns.com resolver1.opendns.com 确认外网访问所用公网IP地址。比对输出结果与该虚拟机AZURE所分配公网IP地址关系。

  3. 验证具有公网IP的负载均衡后端主机外网访问地址

    远程登陆VM1或VM2,通过命令nslookup myip.opendns.com resolver1.opendns.com 确认外网访问所用公网IP地址。比对输出结果与该虚拟机AZURE所分配公网IP地址关系以及与该虚拟机所关联负载均衡公网地址关系。

  4. 验证不具有公网IP的负载均衡后端主机外网访问地址

    依据步骤一的反向操作关闭VM1的公网地址。通过VM2作为跳板机,登陆VM1,通过命令nslookup myip.opendns.com resolver1.opendns.com 确认外网访问所用公网IP地址。比对输出结果与该虚拟机所关联负载均衡公网地址关系。

  5. 入向NAT端口转发规则

    依据步骤一的反向操作关闭VM2的公网地址,此时VM1和VM2均无公网地址。思考此时如何进行主机的远程登陆。

    选择实验三创建的负载均衡HTTPLB,点击入站NAT规则,选择添加,名称VM1PortForwarding,前端IP地址默认,服务自定义,协议TCP,端口5000,目标主机VM1,网络IP配置VM1nic-1,端口映射自定义,目标端口22。同样操作添加名称VM2PortForwarding,前端IP地址默认,服务自定义,协议TCP,端口5001,目标主机VM2,网络IP配置VM2nic-1,端口映射自定义,目标端口22。

    通过本地验证远程连接,获取HTTPLB负载均衡的公网IP地址,ssh 用户名@HTTPLB公网IP -p 入站NAT规则端口号。通过变换入站NAT规则端口号确认可以成功登陆VM1和VM2。

  6. 思考如果VNET内有多个可用集主机需要通过统一公网IP端口转发方式进行远程登陆如何实现。
  7. 思考VNET所有主机希望通过固定公网IP访问外网及AZURE外部服务如何实现(可参阅实验七的架构)

 

实验五:AZURE VPN网关实验

实验目标:建立VNET1和VNET2之间的VPN互联连接,打通VNET1和VNET2虚拟子网

  1. 创建网关子网

    选择VNET1虚拟网络,选择子网,选择添加网关子网

    地址范围172.0.3.0/24,路由表无,服务终结点选中0个,确定创建。

  2. 创建VNET2及相关子网

    选择虚拟网络,点击添加,名称VNET2,地址空间172.1.0.0/16,资源组Q3NETBOOTCAMP,位置选择中国东部,子网名称Subnet1,地址范围172.1.0.0/24,确定创建

    选择VNET2,点击子网,选择添加网关子网,地址范围172.1.1.0/24,路由表无,服务终结点选中0个,确定创建。

 

  1. 配置VNET1下VPN配置

    选择虚拟网络网关,点击添加,名称VNET1-VPNGW,网关类型VPN,VPN类型基于路由的,SKU VpnGw1,虚拟网络VNET1,第一个IP配置新建名称VNET1-VPNGW,位置中国北部,确认创建。(此过程大概在30-45分钟,创建过程中可先跳至下一步进行操作)

    选择虚拟网关VNET1-VPNGW,点击连接,选择添加。名称XRossRegionVPNSession,连接类型虚拟网络到虚拟网络,第一个虚拟网络网关VNET1-VPNGW,第二个虚拟网络网关VNET2-VPNGW,共享密钥q3netbootcamp,确认创建。

  2. 配置VNET2下VPN配置

    选择虚拟网络网关,点击添加,名称VNET2-VPNGW,网关类型VPN,VPN类型基于路由的,SKU VpnGw1,虚拟网络VNET2,第一个IP配置新建名称VNET2-VPNGW,位置中国东部,确认创建。

    选择虚拟网关VNET2-VPNGW,点击连接,选择添加。名称XRossRegionVPNReverse,连接类型虚拟网络到虚拟网络,第一个虚拟网络网关VNET2-VPNGW,第二个虚拟网络网关VNET1-VPNGW,共享密钥q3netbootcamp,确认创建。

  3. 检查VPN连接状态

    选择虚拟网关VNET1-VPNGW,选择连接,查看XrossRegionVPNSession和XrossRegionVPNReverse状态为已连接状态。

  4. VNET2内创建VM4

    访问https://github.com/nonokangwei/q3bootcamp/blob/master/VM4.json 拷贝VM4虚拟机部署模板。登陆Portal选择新建,搜索模板或template,选择模板部署。编辑模板,将模板拷贝到编辑窗口中。编辑参数,输用户名,密码(建议使用Azuredemo!123),虚拟机名称VM4,选择资源组(选择之前VNET1所在资源组)。

    上述操作也可通过CLI完成:

    az group deployment create --template-uri https://raw.githubusercontent.com/nonokangwei/q3bootcamp/master/VM4.json --parameters adminUsername=username adminPassword=password virtualMachineName=VMname -g resourcegroup

  5. 验证VNET1和VNET2内虚拟机的连通性

    远程登陆VM4,ping 172.0.0.4(VM1的VNET1私网地址),验证互通性。Portal选择VM4,选择网络,选择网络接口VM4nic-1,选择有效路由,查看路由表,思考VPN连接对路由表的影响。

  6. 配置BGP

    选择连接XrossRegionVPNSession,选择配置,设置BPG已启用,保存。

    选择虚拟网关VNET1-VPNGW,选择配置,勾选配置BGP ASN,自治系统AS号65501,保存。并记录下BGP 对端IP地址。

  7. 验证VNET1和VNET2内网联通性

    远程登陆VM4,ping 172.0.0.4(VM1的VNET1私网地址),验证互通性。Portal选择VM4,选择网络,选择网络接口VM4nic-1,选择有效路由,查看路由表。Portal选择VM1,选择网络,选择网络接口VM1nic-1,选择有效路由,查看路由表,思考单边打开BGP后VPN连接对路由表的影响。

  8. 配置BGP

    选择连接XrossRegionVPNReverse,选择配置,设置BPG已启用,保存。

    选择虚拟网关VNET2-VPNGW,选择配置,勾选配置BGP ASN,自治系统AS号65502,保存。

  9. 验证VNET1和VNET2内虚拟机的连通性

    远程登陆VM4,ping 172.0.0.4(VM1的VNET1私网地址),验证互通性。Portal选择VM4,选择网络,选择网络接口VM4nic-1,选择有效路由,查看路由表。Portal选择VM1,选择网络,选择网络接口VM1nic-1,选择有效路由,查看路由表。对比VM1nic-1有效路由表的变化。

  10. 模拟与第三方设备建立VPN连接(选做)

    创建Local Network Gateway,在VNET1中创建LocalGW1用于模拟VNET2中网络信息,"IP address"为VNET2-VPNGW的公网IP地址,"Address Space"为VNET2的网络地址空间。如果需要配置BGP信息,ASN和peer address为VNET2-VPNGW的BGP信息。

    在VNET2中按照同样方式创建LobalGW2用于模拟VNET1中的网络信息。

    VNET1-VPNGW,删除VPN连接XrossRegionVPNReverse,创建Site-to-Site(IPSec)VPN,选择本地LocalGW1创建VPN连接,共享密钥q3netbootcamp。

    VNET2-VPNGW按照同样方式创建。

     

 

实验六:AZURE 对等互联实验

实验目标:

  1. 通过VNET Peering打通VNET2和VNET3
  2. 通过Transit GW打通VNET3和VNET1
  3. 通过NVA方式实现Transit Peering打通VNET3和VNET4

  1. 创建VNET3

    选择虚拟网络,点击添加,名称VNET3,地址空间172.2.0.0/16,资源组Q3NETBOOTCAMP,位置选择中国东部,子网名称Subnet1,地址范围172.2.0.0/24,确定创建

  2. 在VNET3中创建VM5

    访问https://github.com/nonokangwei/q3bootcamp/blob/master/VM5.json 拷贝VM5虚拟机部署模板。登陆Portal选择新建,搜索模板或template,选择模板部署。编辑模板,将模板拷贝到编辑窗口中。编辑参数,输用户名,密码(建议使用Azuredemo!123),虚拟机名称VM5,选择资源组(选择之前VNET1所在资源组)。

    上述操作也可通过CLI完成:

    az group deployment create --template-uri https://raw.githubusercontent.com/nonokangwei/q3bootcamp/master/VM5.json --parameters adminUsername=username adminPassword=password virtualMachineName=VMname -g resourcegroup

  3. 配置VNET2和VNET3 Peering

    选择VNET2,选择对等,点击添加,名称VNET2VNET3,虚拟网络选择VNET3。

    选择VNET3,选择对等,点击添加,名称VNET3VNET2,虚拟网络选择VNET2。

  4. 验证VNET2和VNET3连通性。

    登陆VM5,ping 172.1.0.4 (VM4 VNET2内网地址),检查连通性。查看VM5有效路由,选择VM5,选择网络,选择VM5nic-1,选择有效路由。思考Peering配置对路由表的影响

  5. 验证VNET3和VNET1的连通性

    登陆VM5,ping 172.0.0.4 (VM1 VNET1内网地址),检查连通性。思考为何无法实现互通。

  6. 配置Transit Gateway

    选择VNET2,选择对等,选择VNET2VNET3,勾选允许网关传输,保存。

    选择VNET3,选择对等,选择VNET3VNET2,勾选使用远程网关,保存。

  7. 验证VNET3和VNET1的连通性

    登陆VM5,ping 172.0.0.4 (VM1 VNET1内网地址),检查连通性。查看VM5有效路由,思考为何此时实现互通。

  8. 创建VNET4并配置VNET4与VNET2 Peering对等互联

    请参照前面操作方法操作,VNET4参数请参阅下面截图

  9. VNET4中创建虚拟机VM6

    访问https://github.com/nonokangwei/q3bootcamp/blob/master/VM6.json 拷贝VM6虚拟机部署模板。登陆Portal选择新建,搜索模板或template,选择模板部署。编辑模板,将模板拷贝到编辑窗口中。编辑参数,输用户名,密码(建议使用Azuredemo!123),虚拟机名称VM6,选择资源组(选择之前VNET1所在资源组)。

    上述操作也可通过CLI完成:

    az group deployment create --template-uri https://raw.githubusercontent.com/nonokangwei/q3bootcamp/master/VM6.json --parameters adminUsername=username adminPassword=password virtualMachineName=VMname -g resourcegroup

  10. 验证VNET3和VNET1的连通性

    登陆VM6,ping 172.1.0.4 (VM4 VNET2内网地址),检查连通性。ping 172.0.0.4 (VM1 VNET1内网地址),检查连通性。

  11. 验证VNET3和VNET4的连通性

    登陆VM6,ping 172.2.0.4 (VM5 VNET3内网地址),检查连通性。思考为何无法ping通。

  12. 配置VNET Peering Transit转发

    选择VNET2,选择对等,选择VNET2VNET3,配置勾选允许转发通信。选择VNET2VNET4,配置勾选允许转发通信。

    选择VM4,选择网络,选择VM4nic-1,选择IP配置,配置IP转发配置已启用。

    登陆VM4,开启Linux转发

    sudo sysctl -w net.ipv4.ip_forward=1

  13. 配置UDR用户自定义路由

    选择路由表,选择添加,名称VNET3UDR,资源组Q3NETBOOTCAMP,位置选择中国东区,确认创建。

    选择UDR路由表 VNET3UDR,选择路由,添加,路由名称VNET4,地址前缀172.3.0.0/24,下一跳类型虚拟设备,下一跳跃点地址172.1.0.4,确认创建。

    选择UDR路由表 VNET3UDR,选择子网,选择关联,选择虚拟网络VNET3,选择子网Subnet1,确认关联。

    相同操作创建VNET4UDR,,相关参数可参阅如下截图。

  14. 验证VNET3和VNET4的连通性

    登陆VM6,ping 172.2.0.4 (VM5 VNET3内网地址),检查连通性。

 

实验七:NVA+UDR实验

实验目标:掌握NVA组网自定义部署网络架构

  1. 创建虚拟机

    若实验一已经完成可以直接进入步骤二操作无需重复创建虚拟机。访问https://github.com/nonokangwei/q3bootcamp/blob/master/TwoNicVM.json 拷贝双网卡虚拟机部署模板。登陆Portal选择新建,搜索模板或template,选择模板部署。编辑模板,将模板拷贝到编辑窗口中。编辑参数,输用户名,密码(建议使用Azuredemo!123),虚拟机名称(建议使用VM1),选择资源组(选择之前VNET1所在资源组)。重复上述操作建立虚拟机VM2.。

    上述操作也可通过CLI完成:

    az group deployment create --template-uri https://raw.githubusercontent.com/nonokangwei/q3bootcamp/master/TwoNicVM.json --parameters adminUsername=username adminPassword=password virtualMachineName=VMname -g resourcegroup

  2. 开启路由转发

    登陆VM1

    sudo sysctl -w net.ipv4.ip_forward=1

    重复操作在VM2

  3. 准备iptables

    登陆VM1

    sudo iptables -A FORWARD -i eth1 -j ACCEPT

    sudo iptables -A FORWARD -i eth0 -j ACCEPT

    sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    重复操作在VM2

  4. 准备策略路由表

    登陆VM1

    sudo sed -i '$a201 slbroute' /etc/iproute2/rt_tables

    sudo ip rule add from 172.0.1.4 to 168.63.129.16 lookup slbroute

    sudo ip route add 168.63.129.16 via 172.0.1.1 dev eth1 table slbroute

    sudo ip route add 172.0.2.0/24 via 172.0.1.1

    登陆VM2

    sudo sed -i '$a201 slbroute' /etc/iproute2/rt_tables

    sudo ip rule add from 172.0.1.5 to 168.63.129.16 lookup slbroute

    sudo ip route add 168.63.129.16 via 172.0.1.1 dev eth1 table slbroute

    sudo ip route add 172.0.2.0/24 via 172.0.1.1

  5. 创建内网负载均衡

    登陆Portal选择负载均衡,选择新建,给出负载均衡名称NATLBDEMO,指定类型为内网类型,选择虚拟网络VNET1,选择子网Subner2,指定现有资源组(设置为于VNET1所在资源组相同),点击创建。

  6. 创建内网负载均衡后端池

    选择上一步创建的内网负载拟机,点击后端池选择添加,按照下述截图输入相关参数,将VM1和VM2的NIC2加入到后端池中。

  7. 添加内网负载均衡健康检查策略

    选择前面创建的内网负载拟机,点击运行状况探测选择添加,按照下述截图输入相关参数,

  8. 添加内网负载均衡的策略规则
  9. 选择前面创建的内网负载拟机,点击负载均衡规则选择添加,按照下述截图输入相关参数,注意将浮动IP选项打开。

  10. 配置客户自定义路由UDR

    选择路由表并添加,输入UDR名称NATUDR,选择VNET1所在资源组。选择刚刚创建的NATUDR,选择路由并添加,参数如下述截图:

    下一跳172.0.1.6

    选择子网并关联,虚拟网络选择VNET1,子网选择Subnet3。

  11. 检查NAT策略

    登陆VM3,模拟curl www.baidu.com 无正常输出。

    curl: (7) Failed to connect to ifconfig.co port 80: Connection timed out

    原因默认虚拟机网卡不支持路由转发,选择VM1和VM2的NIC2,选择IP配置,开启转发功能。

    重新模拟curl操作,此时应有正常输出。

    再次尝试curl ifconfig.co 查看输出结果是否为VM1或VM2的公网IP。多次尝试curl ifconfig.co 确认输出地址是否会变化。

 

实验八:专线演示实验

  1. 创建专线连接

    选择运营商(北京电信或上海电信)以及peering location(北京或上海),按照客户业务需求选择带宽。本地访问选择Standard,跨地域访问选择Premium。按流量计费选择Metering,包月计费选择Unlimited。

    专线连接创建完成,将Service-Key交给电线运营商进行预铺设。

  2. 创建不同类型的对等管理

    运营商预铺设完成后,链路状态变为"Provisioned"。用户可以在Portal上进行对等Peering的配置。

    Peer ASN为用户一侧BGP AS号码,不能使用65515-65520,其他ASN均可以使用。

    Primary subnet和Secondary subnet对应用户两条物理线路的IP地址设定。请指定两个/30子网用于用户设备与微软设备的互联。地址分配完成之后,用户使用第一个IP地址,微软使用第二个IP地址。

    VLAN ID用于标识用户不同的对等Peering关系,用户自己指定即可。

    Share key为用于BGP通讯过程MD5加密密钥,可选。

  3. 创建专线网关

    用户需要在现有的VNET中创建专线网关用户和专线互联,从而与企业现有On premise互联。专线网关区别与VPN网关,需要单独创建。

  4. 连接专线链路到专线网关

    最后需要将专线链路连接到专线网关。

    一个专线链路最多可以支持100个专线网关共享使用(需要高级版本)

    一个网关最多可以关联四个不同区域的专线链路

     

posted @ 2018-01-14 23:30 wekang 阅读(...) 评论(...) 编辑 收藏