#azure #azure-vpn #bgp
Вопрос:
Я работаю с поставщиком над внедрением активных/Активных туннелей IPSec от сайта к сайту в двух разных регионах одной и той же географии. Поставщик использует брандмауэры Пало-Альто.
Нам удалось отлично установить оба туннеля — параметры IKE и IPSec настроены правильно, и я могу осуществлять двунаправленную маршрутизацию между Azure и помещениями поставщика.
Теперь мы пытаемся настроить параметры маршрута таким образом, чтобы в случае отключения основного туннеля трафик автоматически отправлялся по второму туннелю во второй регион.
Поставщик попросил, чтобы мы использовали адреса APIPA для проверки того, работают ли туннели, или нет. Нет проблем, Azure поддерживает адреса APIPA для BGP, но отвечают ли они на ICMP?
Что мне непонятно — несмотря на чтение всей документации MS — так это то, является ли адрес APIPA, настроенный в настройках BGP ресурса VPN-шлюза, адресом получателя или адресом соседа. Я предполагаю, что это получатель, а адрес однорангового узла настроен в настройках BGP шлюза локальной сети. Поправьте меня, если это неверно.
В документации Microsoft говорится:
VPN-шлюз Azure выберет пользовательский адрес APIPA, если соответствующий ресурс шлюза локальной сети (локальная сеть) имеет адрес APIPA в качестве однорангового IP-адреса BGP.
Означает ли это, что я могу оставить APIPA VPN-шлюза пустым, и Azure выберет его для меня? Если это так, это может быть проблемой, поскольку поставщик должен указать 2 адресных пространства x /30, по одному для каждого туннеля, и зависит от того, у Azure есть определенный адрес, а у Пало-Альто-конкретный. Я предполагаю, что это означает, что мне нужно сначала настроить адрес в VPN, а затем настроить одноранговый адрес в локальном шлюзе?
Кроме того, поставщик хочет использовать эти адреса только для проверки, отправляя по ним сообщения. Я создал конфигурации BGP в каналах ExpressRoute и могу подтвердить, что адреса соседей BGP B-End (Azure) действительно отвечают на эхо ICMP, но я считаю, что это происходит только после успешной установки сеанса BGP.
Поэтому мой вопрос в том, можно ли указать в ресурсе VPN Azure, например, адрес APIPA 169.254.21.2, одноранговый адрес 169.254.21.1, и без установления фактического сеанса BGP получить ответ ping от 169.254.21.2. Я знаю, что для установления BGP должен быть открыт TCP 179, но я не думаю, что Palo Altos может выполнить тест порта вместо ping.
Ответ №1:
Я связался с командой группы продуктов Azure VPN, и ниже приведен их ответ на этот запрос:
Хотя VPN-шлюзы Azure разрешают определенные адреса APIPA для каждого экземпляра VPN, мы не можем использовать подход, основанный на префиксах (/30 с фиксированным распределением). Мы рассматриваем возможность предоставления большего количества адресов APIPA на стороне VPN Azure, чтобы обойти это ограничение. Но сейчас мы все еще находимся на стадии проектирования.
В настоящее время VPN-шлюз инициирует сеансы пиринга BGP на локальные одноранговые IP-адреса BGP, указанные в ресурсах шлюза локальной сети, с использованием частных IP-адресов на VPN-шлюзах. Это происходит независимо от того, находятся ли локальные IP-адреса BGP в диапазоне APIPA или обычные частные IP-адреса.
Мы можем создать и настроить несколько APIPA (поддержка в работе) на шлюзе без фактического подключения одноранговых узлов BGP, но требование для Ping-это то, что мы не поддерживаем/не рекомендуем.