本地和 Azure 子網之間通過集線器中的 Site-2-Site VPN 和 Azure 中的輻條拓撲的連接問題

Question

對於我的一個項目，我在 Azure 中構建了一個測試 Hub & Spoke 網絡（1 個 Hub VNet + 2 個 Spoke VNet（每個子網一個子網）- 示例屏幕如下。

接下來，我在 Azure 和本地（帶有一個測試子網）之間創建了 Site-2-Site IPSec VPN。

接下來，我創建了從 Internet 到 Azure 的 Point-2-Site VPN。 已使用資源管理器部署模型部署了 VNet。

通信在 Azure VNet/子網中運行良好（集線器對等互連已啟用傳輸）

Azure Hub VNet 和本地測試子網（雙向）之間的通信運行良好。

但是我想連接時發現了一個問題：

1. 通過 S2S VPN 從本地測試子網到 Azure Spoke Vnet
2. 從 Azure Spoke VNet 到本地測試子網
3. 從 P2S 連接的客戶端 (Azure) 到本地測試子網

當我在 Azure VPN 客戶端中檢查時，連接的用戶會收到所有 Azure 和本地網絡路由。 所有 Azure VNet（包括 P2S 池）都已添加到本地 VPN 測試設備中。 在與 Azure VPN Gateway Transit 相關的 Microsoft Docs 中，我發現了一個信息，即本地 VPN 設備需要啟用“有趣的流量”選項才能與“對等網絡”進行通信

https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-manage-peering#requirements-and-constraints

"If you use a Virtual Network Gateway to send on-premises traffic transitively to a peered VNet, the peered VNet IP range for the on-premises VPN device must be set to 'interesting' traffic. Otherwise, your on-premises resources won't be able to communicate with resources in the peered VNet."

我已將 CIDR VNet 添加到我的本地 VPN 設備（在 IPSec VPN 隧道配置中），但在我的本地 VPN 設備上看不到“有趣的流量”之類的選項。 並且在對等 VNet 到本地網絡之間的通信無法雙向進行。

關於如何解決這種情況的任何想法？

Answer 1

我找到了適合我的情況的解決方案。

在本地 VPN 網關上，最初我有一個 Site-2-Site VPN 隧道，其中所有 Azure VNet CIDR（用於集線器、Spoke 和 P2S 客戶端池）都是由我根據設備手冊手動添加的，但正如我所提到的 - 只有本地 <-> Azure Hub VNet 通信運行良好。

我在另一本本地 VPN 網關手冊中找到的是 Site-2-Site IPSec VPN 配置中的一個選項（復選框），用於為添加的每個 CIDR VNet 地址創建階段 2（SA - 安全關聯）。 標記后，它實際上會為每個指定的 Azure VNet 創建一個從本地到 Azure VPN 網關的單獨的 Site-2-Site VPN 隧道。 選擇后，本地和 Azure Spoke VNet 之間的通信立即開始工作。

在 Cisco 社區論壇上，當我紅色多個 VPN 討論時，我還發現了一個額外的提示：

"Phase 2 is where the interesting traffic will be communicated."

因此，這將澄清一點，並添加到 Microsoft 文檔中關於“有趣流量”的信息中。

此外，我啟用了 ping 選項以保持 IPSec 隧道處於活動狀態 - 因為我不時觀察到一些 ping 掉線和一些 RDP 連接因此而受到干擾。 這解決了這個額外的問題。

現在所有的通信都來回運行良好。 結案。