我对使用Azure的Cisco ASA和Checkpoint系统的IKEv1 VPN有一个奇怪的要求。
我们设置了两个基于Azure策略的VNet网关,虚拟网络和关联的虚拟机。
连接必须是每个测试和生产环境的IKEv1 AES-256-SHA1-DHGroup2站点到站点连接,因此我们设置了一个用于测试和生产。
第三方系统不支持VPN内的RFC1918寻址 隧道(加密域)和/或对等体。必须公开 为VPN隧道分配IP地址,以及公开路由 对等体的IP地址。
他们建议在隧道协商中使用子网,并使用 您的访问列表将其缩小到特定主机(子网SA的 与主持人SA's)。如果您需要“隐藏”多个主机 在单个IP地址中,您应该使用公开分配的地址 包含在VPN隧道中。 NAT-T(IPSEC的UDP封装) 由于受影响的全局配置项而不受支持 多个客户。
我的问题是,在站点到站点(S2S)连接上以基于策略的(IKEv1)模式连接到Azure虚拟网络网关时,NAT-T何时执行?是完成还是什么时候完成?是否仅在前面有负载平衡器时执行?
答案 0 :(得分:1)
澄清:您是否已经完成了这个建议: 站点到站点 - 通过IPsec的VPN连接(IKE v1和IKE v2)。此类连接需要VPN设备或RRAS。有关更多信息,请参阅站点到站点: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal
点到站点 - SSTP上的VPN连接(安全套接字隧道协议)。此连接不需要VPN设备。有关更多信息,请参阅指向站点: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-point-to-site-resource-manager-portal
VNet-to-VNet - 此类连接与站点到站点配置相同。 VNet到VNet是通过IPsec的VPN连接(IKE v1和IKE v2)。它不需要VPN设备。有关更多信息,请参阅VNet到VNet: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-vnet-vnet-resource-manager-portal
多站点 - 这是站点到站点配置的变体,允许您将多个本地站点连接到虚拟网络。
只有您指定的虚拟网络本地网络IP地址范围中包含目标IP的流量才会通过虚拟网络网关。流量具有位于虚拟网络内的目的地IP保持在虚拟网络内。其他流量通过负载均衡器发送到公共网络,或者如果使用强制隧道,则通过Azure VPN网关发送
答案 1 :(得分:1)
我想我试着在MSDN论坛上回答相同的问题。只需重新回答答案:
希望这有帮助。
谢谢, Yushun [MSFT]