Как настроить маршрутизацию между двумя сетями windows server
Перейти к содержимому

Как настроить маршрутизацию между двумя сетями windows server

  • автор:

Настройка маршрутизатора на базе Windows Server 2012 R2

date

20.11.2014

user

itpro

directory

Windows Server 2012 R2

comments

комментариев 19

В этой статье посмотрим, как с помощью встроенных средств на базе сервера с Windows Server 2012 R2 организовать простой межсетевой маршрутизатор. И хотя на практике маршрутизаторы на базе компьютеров используются довольно редко (аппаратные маршрутизаторы, как правило, имеют более высокую производительность, надежность и несколько дешевле выделенного компьютера), в тестовых или виртуальных средах, когда нужно срочно настроить маршрутизацию между несколькими подсетями, маршрутизатор на базе Windows Server вполне себе приемлемое решение.

Итак, в роли маршрутизатора будет выступать сервер с ОС Windows Server 2012 R2. Сервер имеет 2 сетевых интерфейса: физических или виртуальных, если сервер запущен на гипервизоре. Каждому интерфейсу сервера назначен выделенный IP адрес из различных подсетей. Для удобства, мы переименовали названия сетевых интерфейсов в Панели управления сетями и общим доступом:

Сетевая карта 1 (сетевая карта подключена во внутреннюю LAN сеть):

Имя: LAN

IP: 10.0.1.1

Сетевая карта 2 (сетевая карта во внешней сети ):

Имя: Internet

IP: 192.168.1.20

Наша задача – организовать маршрутизацию пакетов из локальной подсети 10.0.1.0 во внешнюю подсеть 192.168.1.0 (как правило, такая сеть имеет выход в интернет) через NAT. Такую схему можно реализовать в случае необходимости организации доступа клиентов из внутренней сети в интернет.

Маршрутизация в Windows Server 2012 R2 реализуется на базе роли Remote Access (RRAS). Данная служба появилась еще в Windows Server 2003 и до текущей в версии Windows Server ее интерфейс и процесс настройки практически не изменился.

Совет. Ранее мы показывали, как с помощью данной службы создать VPN сервер на базе 2012 R2 и настроить DHCP-relay агент.

Установка службы маршрутизации на Windows Server 2012 R2

В первую очередь нужно установить роль Remote Access. Для этого откроем консоль Server Manager, выбираем Manage -> Add Roles and Features, находим и отмечаем роль Remote Access, в ее составе выбираем службу Routing, и, соглашаясь со всеми предложенными по умолчанию компонентами, запускаем ее установку (Install).

Настройка службы RRAS в Windows Server 2012 r2

После окончания установки открываем консоль Routing and Remote Access (rrasmgmt.msc), щелкаем по имени сервера (с красной стрелкой) и выбираем Configure and Enable Routing and Remote Access.

В открывшемся окне выбираем пункт Network Address Translation (NAT).

RRAS включаем Network Address Translation (NAT)

Выбор внешнего NAT интерфейса

На следующей шаге (NAT Internet Connection) нужно выбрать сетевой интерфейс, подключённый ко внешней сети / Интернету (в нашем примере это интерфейс Internet с ip 192.168.1.20). Этот интерфейс будет «публичным интерфейсом» нашего NAT роутера.

Настройка DHCP и DNS

Далее будет предложено указать должен ли NAT роутер обеспечить клиентов внутренней сети сервисами DHCP и DNS. Как правило, этот функционал во внутренней сети уже имеется, поэтому в нем мы не нуждаемся.

На этом базовая настройка маршрутизации на Windows Server 2012 R2 завершена. Сервер уже должен выполнять маршрутизацию пакетов между двумя подключенными сетями и выполнять трансляцию сетевых адресов (NAT).

Чтобы в этом убедиться, в консоли RRAS откройте свойства сервера. На вкладке General показано, что IPv4 маршрутизация включена (т.е. пакеты IPv4 будут пересылаться с одной сетевой карты на другую).

Простейший роутер на базе Windows Server 2012 R2

Проверить работу маршрутизации можно, указав на клиентском компьютере во внутренней сети (к которой подключен интерфейс сервера LAN) в качестве шлюза IP-адрес сервера (10.0.1.1), и выполнить ping или трассировку маршрута к ресурсу, расположенному во внешней сети или интернете. Эти попытки должны быть успешными.

Примечание. Windows Server 2012 R2 поддерживает статическую маршрутизацию, протокол динамической маршрутизации RIPv2 и BGPv4. Поддержка OSPF была прекращена еще в Windows Server 2008.

Новый статический маршрут

В нашем случае на сервере осуществялется статическая маршрутизация. Если нужно добавить новый маршрут, щелкните ПКМ по Static Routes, выберите пункт меню New static route и создайте новое статическое правило маршрутизации.

Примечание. Статический маршрут также можно добавить из командной строки с помощью команд Route или netsh.

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

ШАГ 2. Установка и настройка ROUTER1

В этом руководстве по лаборатории многосайтовых тестов компьютер маршрутизатора предоставляет мост IPv4 и IPv6 между подсетями Corpnet и 2-Corpnet и выступает в качестве маршрутизатора для трафика IP-HTTPS и Teredo.

  • Установка операционной системы на ROUTER1
  • Настройка свойств TCP/IP и переименование компьютера
  • Отключение брандмауэра
  • Настройка маршрутизации и пересылки

Установка операционной системы на ROUTER1

Сначала установите Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012.

Установка операционной системы на ROUTER1

  1. Запустите установку Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012 (полная установка).
  2. Для завершения установки следуйте инструкциям и укажите надежный пароль для учетной записи локального администратора. Войдите, используя учетную запись локального администратора.
  3. Подключение ROUTER1 в сеть с доступом к Интернету и запустите Обновл. Windows, чтобы установить последние обновления для Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012, а затем отключиться от Интернета.
  4. Подключение ROUTER1 в подсети Corpnet и 2-Corpnet.

Настройка свойств TCP/IP и переименование компьютера

Настройте параметры TCP/IP на маршрутизаторе и переименуйте компьютер в ROUTER1.

Настройка свойств TCP/IP и переименование компьютера

  1. В консоли диспетчер сервера щелкните локальный сервер, а затем в области «Свойства» рядом с проводной ethernet Подключение и щелкните ссылку.
  2. В окне сетевых Подключение ions щелкните правой кнопкой мыши сетевой адаптер, подключенный к Corpnet, щелкните «Переименовать«, введите Corpnet и нажмите клавишу ВВОД.
  3. Щелкните правой кнопкой мыши Corpnet и выберите пункт «Свойства«.
  4. Щелкните пункт IP версия 4 (TCP/IPv4)и нажмите кнопку Свойства.
  5. Нажмите кнопку «Использовать следующий IP-адрес«. В IP-адресе введите 10.0.0.254. В маске подсети введите 255.255.255.0 и нажмите кнопку «ОК«.
  6. Щелкните «Протокол Интернета» версии 6 (TCP/IPv6) и нажмите кнопку «Свойства«.
  7. Щелкните «Использовать следующий IPv6-адрес«. В IPv6-адресе введите 2001:db8:1::fe. В длине префикса подсети введите 64 и нажмите кнопку «ОК«.
  8. В диалоговом окне «Свойства Corpnet» нажмите кнопку «Закрыть«.
  9. В окне сетевых Подключение ions щелкните правой кнопкой мыши сетевой адаптер, подключенный к 2-Corpnet, щелкните «Переименовать«, введите 2-Corpnet и нажмите клавишу ВВОД.
  10. Щелкните правой кнопкой мыши 2-Corpnet и выберите пункт «Свойства«.
  11. Щелкните пункт IP версия 4 (TCP/IPv4)и нажмите кнопку Свойства.
  12. Нажмите кнопку «Использовать следующий IP-адрес«. В IP-адресе введите10.2.0.254. В маске подсети введите 255.255.255.0 и нажмите кнопку «ОК«.
  13. Щелкните «Протокол Интернета» версии 6 (TCP/IPv6) и нажмите кнопку «Свойства«.
  14. Щелкните «Использовать следующий IPv6-адрес«. В IPv6-адресе введите 2001:db8:2::fe. В длине префикса подсети введите 64 и нажмите кнопку «ОК«.
  15. В диалоговом окне «Свойства 2-Corpnet» нажмите кнопку «Закрыть«.
  16. Закройте окно Сетевые подключения .
  17. В консоли диспетчер сервера в локальном сервере в области «Свойства» рядом с именем компьютера щелкните ссылку.
  18. В диалоговом окне «Свойства системы» на вкладке «Имя компьютера» нажмите кнопку «Изменить«.
  19. В диалоговом окне «Изменения имени компьютера» или «Домен» в имени компьютера введитеROUTER1 и нажмите кнопку «ОК«.
  20. При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.
  21. В диалоговом окне Свойства системы нажмите Закрыть.
  22. При появлении запроса на перезагрузку компьютера нажмите кнопку Перезагрузить сейчас.
  23. После перезагрузки компьютера войдите с помощью локальной учетной записи Администратор istrator.

Отключение брандмауэра

Этот компьютер настроен только для маршрутизации между подсетями Corpnet и 2-Corpnet; Таким образом, брандмауэр должен быть отключен.

Отключение брандмауэра

  1. На начальном экране введите wf.msc и нажмите клавишу ВВОД.
  2. В брандмауэре Windows с расширенной безопасностью в области «Действия » щелкните » Свойства«.
  3. В диалоговом окне «Брандмауэр Windows с расширенной безопасностью» на вкладке «Профиль домена» в состоянии брандмауэра нажмите кнопку «Отключить«.
  4. В диалоговом окне «Брандмауэр Windows с расширенной безопасностью» на вкладке «Частный профиль» в состоянии брандмауэра нажмите кнопку «Отключить«.
  5. В диалоговом окне «Брандмауэр Windows с расширенной безопасностью» на вкладке «Общедоступный профиль» в состоянии брандмауэра нажмите кнопку «Отключить» и нажмите кнопку «ОК«.
  6. Закройте брандмауэр Windows с расширенной безопасностью.

Настройка маршрутизации и пересылки

Чтобы обеспечить маршрутизацию и переадресацию служб между подсетями Corpnet и 2-Corpnet, необходимо включить перенаправление сетевых интерфейсов и настроить статические маршруты между подсетями.

Настройка статических маршрутов

  1. На начальном экране введитеcmd.exe и нажмите клавишу ВВОД.
  2. Включите перенаправление на интерфейсы IPv4 и IPv6 обоих сетевых адаптеров, используя следующие команды. После ввода каждой команды нажмите клавишу ВВОД.
netsh interface IPv4 set interface Corpnet forwarding=enabled netsh interface IPv4 set interface 2-Corpnet forwarding=enabled netsh interface IPv6 set interface Corpnet forwarding=enabled netsh interface IPv6 set interface 2-Corpnet forwarding=enabled 
netsh interface IPv6 add route 2001:db8:1:1000::/59 Corpnet 2001:db8:1::2 netsh interface IPv6 add route 2001:db8:2:2000::/59 2-Corpnet 2001:db8:2::20 
netsh interface IPv6 add route 2001:0:836b:2::/64 Corpnet 2001:db8:1::2 netsh interface IPv6 add route 2001:0:836b:14::/64 2-Corpnet 2001:db8:2::20 

Как правильно настроить две сети на Windows Server 2019?

Стоит задача грамотно организовать out-of-band доступ к изолированной подсети управления KVM извне посредством физического сервера под управлением Windows server. Есть 2 физических порта — к одному подключена сеть с доступом в интернет для возможности подключения по RDP, безопасность обеспечивается встроенным фаерволом, ко второму — соответственно, изолированная локальная сеть.
Необходима настройка маршрутизации для прозрачного доступа из браузера как к локальным адресам KVM, так и в интернет для скачивания прошивок, образов и т.д.

  • Вопрос задан более трёх лет назад
  • 1301 просмотр

Комментировать
Решения вопроса 0
Ответы на вопрос 1

Светить в интернет windows плохая идея, сломают.

А так в виндовс есть утилита route. Добавляете два маршрута, 0,0,0,0 через gw, который смотрит в интернет.
И специфики на вашу локальную сеть. Не забудьте добавит ключ -p чтобы все работало после перезагрузки.

Ответ написан более трёх лет назад
Комментировать
Нравится 1 Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

сети

  • Компьютерные сети
  • +2 ещё

Mikrotik hap ac2 скорость порта 500 мбит это нормально для него?

  • 1 подписчик
  • 54 минуты назад
  • 16 просмотров

Маршрутизация трафика между сетями в инфраструктуре SDN

Поддержка этой версии Virtual Machine Manager (VMM) завершена. Мы рекомендуем выполнить обновление до VMM 2022.

В этой статье содержатся сведения о маршрутизации трафика между сетями в инфраструктуре программно-конфигурируемой сети (SDN), настроенной в структуре System Center Virtual Machine Manager (VMM).

Шлюз удаленного доступа SDN позволяет осуществлять маршрутизацию сетевого трафика между физическими и виртуальными сетями независимо от того, где находятся ресурсы. Шлюз удаленного доступа SDN является мультитенантным, поддерживает протокол BGP и подключение с помощью виртуальной частной сети (VPN) типа «сеть — сеть» по протоколу IPsec или Generic Routing Encapsulation (GRE) либо переадресацию Layer 3. Дополнительные сведения.

  • Начиная с VMM 2019 UR1 тип сети Одна подключенная изменен на Подключенная сеть.
  • В VMM 2019 UR2 и более поздних версий поддерживается IPv6.
  • Протокол IPv6 поддерживается для туннеля IPSec, туннеля GRE и туннеля уровня L3.
  • Протокол IPv6 поддерживается для туннеля IPSec, туннеля GRE и туннеля уровня L3.

Перед началом работы

  • Развернуты сетевой контроллер SDN, программный Load BalancerSDN и шлюз RAS SDN.
  • Создана сеть виртуальных машин SDN с виртуализацией сети.

Настройка VPN-подключений типа «сеть — сеть» с помощью VMM

VPN-подключение типа «сеть — сеть» позволяет безопасно подключать две сети в разных физических расположениях с помощью Интернета.

Для поставщиков облачных служб (CSP), которые размещают в своем центре обработки данных множество клиентов, шлюз удаленного доступа SDN — это мультитенантный шлюз, позволяющий клиентам получать доступ к ресурсам и управлять ими через VPN-подключения типа «сеть — сеть» с удаленных сайтов, что, в свою очередь, обеспечивает перемещение сетевого трафика между виртуальными ресурсами в вашем центре обработки данных и их физической сети.

В VMM 2022 предоставляется поддержка двух стеков (IPv4 и IPv6) для компонентов SDN.

Чтобы включить IPv6 для VPN-подключения типа «сеть — сеть», подсеть маршрутизации должна быть одновременно сетью IPv4 и IPv6. Чтобы шлюз работал в среде IPv6, укажите адреса IPv4 и IPv6, разделенные точкой с запятой ( ; ), и укажите IPv6-адрес в удаленной конечной точке. Например, 192.0.2.1/23;2001:0db8:85a3:0000:0000:8a2e:0370::/64. Для указания диапазона виртуальных IP-адресов не используйте сокращенную форму IPv6-адреса; используйте формат 2001:db8:0:200:0:0:0:7 вместо 2001:db8:0:200::7.

Снимок экрана: включение IPv6.

Настройка подключения IPSec

Выполните описанную ниже процедуру.

  1. Выберите сеть виртуальных машин, для которой требуется настроить подключение IPSec типа «сеть — сеть», и выберите Подключение.
  2. Установите флажок Подключить к другой сети через туннель VPN. Если вы хотите включить BGP-пиринг в своем центре обработки данных, выберите Включить протокол BGP.
  3. Выберите службу сетевого контроллера для устройства шлюза.
  4. Последовательно выберите VPN-подключенияДобавитьAdd IPSec Tunnel (Добавить туннель IPSec).
  5. Введите подсеть, как показано на следующей схеме. Эта подсеть используется для маршрутизации пакетов из сети виртуальных машин. Вам не нужно предварительно настраивать эту подсеть в центре обработки данных. Снимок экрана: VPN типа
  6. Введите имя подключения и IP-адрес удаленной конечной точки. При необходимости настройте пропускную способность.
  7. В поле Проверка подлинности выберите тип проверки подлинности, который требуется использовать. При выборе проверки подлинности на основе учетной записи запуска от имени создайте для нее учетную запись пользователя с именем пользователя и ключом IPSec в качестве пароля.
  8. В разделе Маршруты введите все удаленные подсети, к которым необходимо подключиться. Если вы выбрали включить протокол BGP на странице Подключение , маршруты не требуются.
  9. На вкладке Дополнительно примите значения параметров по умолчанию.
  10. Если вы выбрали включить протокол BGP на странице Подключение, вы можете указать ASN, одноранговый IP-адрес BGP и его ASN на странице мастера протокола пограничного шлюза , как показано ниже: снимок экрана: включение b g p.
  11. Чтобы проверить подключение, попробуйте проверить связь с IP-адресом удаленной конечной точки с одной из виртуальных машин в сети виртуальных машин.

Настройка туннелирования GRE

Туннели GRE обеспечивают подключение между виртуальными и внешними сетями. Так как протокол GRE является упрощенным и поддержка GRE доступна на большинстве сетевых устройств, он становится идеальным выбором для туннелирования, когда шифрование данных не требуется. Поддержка GRE туннелей типа «сеть — сеть» упрощает переадресацию трафика между виртуальными и внешними сетями клиента.

Выполните описанную ниже процедуру.

Снимок экрана туннелирования GRE.

  1. Выберите сеть виртуальных машин, в которой требуется настроить подключение GRE S2S, и выберите Подключение.
  2. Установите флажок Подключить к другой сети через туннель VPN. Если вы хотите включить BGP-пиринг в своем центре обработки данных, выберите Включить протокол BGP.
  3. Выберите службу сетевого контроллера для устройства шлюза.
  4. Последовательно выберите VPN-подключенияДобавитьДобавить туннель GRE.
  5. Введите подсеть, как показано на следующей схеме. Эта подсеть используется для маршрутизации пакетов из сети виртуальных машин. Эту подсеть не нужно предварительно настраивать в центре обработки данных.
  6. Введите имя подключения и IP-адрес удаленной конечной точки.
  7. Введите ключ GRE.
  8. При необходимости можно заполнить другие поля на этом экране. Эти значения не требуются для настройки подключения.
  9. В разделе Маршруты добавьте все удаленные подсети, к которым необходимо подключиться. Если на вкладке Подключение выбран параметр Включить протокол BGP, оставьте этот экран пустым, но заполните поля ASN, однорангового IP-адреса BGP и соответствующей ему ASN на вкладке Протокол BGP.
  10. Для остальных параметров можно использовать значения по умолчанию.
  11. Чтобы проверить подключение, проверьте связь с IP-адресом удаленной конечной точки с одной из виртуальных машин из сети виртуальных машин.

Настройка подключений IPsec и GRE на удаленном сайте

На устройстве удаленного узла во время установки подключения IPSec или GRE используйте IP-адрес конечной точки сети виртуальной машины из пользовательского интерфейса VMM в качестве адреса назначения.

Снимок экрана: удаленный сайт.

Настройка переадресации L3

Переадресация L3 обеспечивает подключение между физической инфраструктурой в центре обработки данных и виртуализированной инфраструктурой в облаке виртуализации сети Hyper-V.

С помощью переадресации L3 виртуальные машины сети клиента могут подключаться к физической сети через шлюз Windows Server 2016 SDN, который уже настроен в среде SDN. В этом случае шлюз SDN действует как маршрутизатор между виртуализированной сетью и физической сетью.

Прежде чем попытаться настроить L3, убедитесь в том, что выполняются указанные ниже условия.

  • Для этого вы должны выполнить вход с правами администратора на сервере VMM.
  • Необходимо настроить уникальную логическую сеть со следующим прыжком, указав уникальный идентификатор сети VLAN для каждой сети виртуальных машин клиента, для которой необходимо настроить переадресацию L3. Между сетью клиента и соответствующей физической сетью (с уникальным идентификатором сети VLAN) должно существовать взаимно однозначное соответствие.

Для создания логической сети со следующим прыжком в SCVMM выполните приведенные ниже действия.

  1. В консоли VMM выберите Логические сети, щелкните правой кнопкой мыши и выберите Создать логическую сеть.
  2. На странице Параметры выберите Одна подключенная сеть и установите флажки Create a VM network with the same name to allow virtual machines to access this logical network directly (Создать сеть виртуальных машин с тем же именем, чтобы разрешить виртуальным машинам напрямую получать доступ к этой логической сети) и Managed by Microsoft Network Controller (Под управлением сетевого контроллера Майкрософт).
  3. Создайте пул IP-адресов для этой новой логической сети. IP-адрес из этого пула требуется в сценарии для настройки переадресации L3.

В следующей таблице приведены примеры динамических и статических подключений L3.

Параметр Подробные сведения и примеры значений
L3VPNConnectionName Определяемое пользователем имя для сетевого подключения переадресации L3. Пример: Contoso_L3_GW
VmNetworkName Имя виртуальной сети клиента, которая доступна через сетевое подключение L3. Эта сеть должна существовать при запуске сценария. Пример: ContosoVMNetwork
NextHopVMNetworkName Определяемое пользователем имя для сети виртуальной машины со следующим прыжком, которая была создана в качестве необходимого компонента. Это физическая сеть, которая будет взаимодействовать с сетью виртуальной машины клиента. Эта сеть должна существовать при запуске сценария. Пример: Contoso_L3_Network
LocalIPAddresses IP-адреса, настраиваемые в сетевом интерфейсе L3 шлюза SDN. Этот IP-адрес должен принадлежать созданной логической сети со следующим прыжком. Необходимо указать маску подсети. Пример: 10.127.134.55/25
PeerIPAddresses IP-адрес шлюза физической сети, доступного через логическую сеть L3. Этот IP-адрес должен принадлежать логической сети со следующим прыжком, которая была создана в качестве необходимого компонента. Этот IP-адрес будет служить следующим прыжком, когда трафик, отправляемый в физическую сеть из сети виртуальных машин клиента, достигнет шлюза SDN. Пример: 10.127.134.65
GatewaySubnet Подсеть, используемая для маршрутизации между шлюзом HVN и виртуальной сетью клиента. Вы можете использовать любую подсеть, убедитесь, что она не перекрывается с логической сетью следующего прыжка. Пример: 192.168.2.0/24
RoutingSubnets Статические маршруты, которые должны существовать в интерфейсе L3 для шлюза HNV. Эти маршруты используются для подсетей физической сети, которые должны быть доступны из сети виртуальных машин клиента через подключение L3.
EnableBGP Параметр для включения BGP. Значение по умолчанию: false.
TenantASNRoutingSubnets Номер ASN шлюза клиента только в том случае, если включен протокол BGP.

Выполните следующий сценарий для настройки переадресации L3. Сведения о каждом параметре см. в таблице выше.

 param ( [Parameter(Mandatory=$true)] # Name of the L3 VPN connection $L3VPNConnectionName, [Parameter(Mandatory=$true)] # Name of the VM network to create gateway $VmNetworkName, [Parameter(Mandatory=$true)] # Name of the Next Hop one connected VM network # used for forwarding $NextHopVmNetworkName, [Parameter(Mandatory=$true)] # IPAddresses on the local side that will be used # for forwarding # Format should be @("10.10.10.100/24") $LocalIPAddresses, [Parameter(Mandatory=$true)] # IPAddresses on the remote side that will be used # for forwarding # Format should be @("10.10.10.200") $PeerIPAddresses, [Parameter(Mandatory=$false)] # Subnet for the L3 gateway # default value 10.254.254.0/29 $GatewaySubnet = "10.254.254.0/29", [Parameter(Mandatory=$false)] # List of subnets for remote tenants to add routes for static routing # Format should be @("14.1.20.0/24","14.1.20.0/24"); $RoutingSubnets = @(), [Parameter(Mandatory=$false)] # Enable BGP in the tenant space $EnableBGP = $false, [Parameter(Mandatory=$false)] # ASN number for the tenant gateway # Only applicable when EnableBGP is true $TenantASN = "0" ) # Import SC-VMM PowerShell module Import-Module virtualmachinemanager # Retrieve Tenant VNET info and exit if VM Network not available $vmNetwork = Get-SCVMNetwork -Name $VmNetworkName; if ($vmNetwork -eq $null) < Write-Verbose "VM Network $VmNetworkName not found, quitting" return ># Retrieve L3 Network info and exit if VM Network not available $nextHopVmNetwork = Get-SCVMNetwork -Name $NextHopVmNetworkName; if ($nextHopVmNetwork -eq $null) < Write-Verbose "Next Hop L3 VM Network $NextHopVmNetworkName not found, quitting" return ># Retrieve gateway Service and exit if not available $gatewayDevice = Get-SCNetworkGateway | Where ; if ($gatewayDevice -eq $null) < Write-Verbose "Gateway Service not found, quitting" return ># Retrieve Tenant Virtual Gateway info $vmNetworkGatewayName = $VmNetwork.Name + "_Gateway"; $VmNetworkGateway = Get-SCVMNetworkGateway -Name $vmNetworkGatewayName -VMNetwork $vmNetwork # Create a new Tenant Virtual Gateway if not configured if($VmNetworkGateway -eq $null) < if($EnableBGP -eq $false) < # Create a new Virtual Gateway for tenant $VmNetworkGateway = Add-SCVMNetworkGateway -Name $vmNetworkGatewayName -EnableBGP $false -NetworkGateway $gatewayDevice -VMNetwork $vmNetwork -RoutingIPSubnet $GatewaySubnet; >else < if($TenantASN -eq "0") < Write-Verbose "Please specify valid ASN when using BGP" return ># Create a new Virtual Gateway for tenant $VmNetworkGateway = Add-SCVMNetworkGateway -Name $vmNetworkGatewayName -EnableBGP $true -NetworkGateway $gatewayDevice -VMNetwork $vmNetwork -RoutingIPSubnet $GatewaySubnet -AutonomousSystemNumber $TenantASN; > > if ($VmNetworkGateway -eq $null) < Write-Verbose "Could not Find / Create Virtual Gateway for $($VmNetwork.Name), quitting" return ># Check if the network connection already exists $vpnConnection = Get-SCVPNConnection -VMNetworkGateway $VmNetworkGateway -Name $L3VPNConnectionName if ($vpnConnection -ne $null) < Write-Verbose "L3 Network Connection for $($VmNetwork.Name) already configured, skipping" >else < # Create a new L3 Network connection for tenant $vpnConnection = Add-SCVPNConnection -NextHopNetwork $nexthopvmNetwork -Name $L3VPNConnectionName -IPAddresses $LocalIPAddresses -PeerIPAddresses $PeerIPAddresses -VMNetworkGateway $VmNetworkGateway -protocol L3; if ($vpnConnection -eq $null) < Write-Verbose "Could not add network connection for $($VmNetwork.Name), quitting" return >Write-Output "Created VPN Connection " $vpnConnection; > # Add all the required static routes to the newly created network connection interface foreach($route in $RoutingSubnets)

Настройка переадресации L3

Переадресация L3 обеспечивает подключение между физической инфраструктурой в центре обработки данных и виртуализированной инфраструктурой в облаке виртуализации сети Hyper-V.

С помощью подключения с переадресацией L3 виртуальные машины сети клиента могут подключаться к физической сети через шлюз Windows Server 2016/2019 SDN, который уже настроен в среде SDN. В этом случае шлюз SDN действует как маршрутизатор между виртуализированной сетью и физической сетью.

С помощью подключения с переадресацией L3 виртуальные машины сети клиента могут подключаться к физической сети через шлюз Windows Server 2016/2019/2022 SDN, который уже настроен в среде SDN. В этом случае шлюз SDN действует как маршрутизатор между виртуализированной сетью и физической сетью.

Прежде чем попытаться настроить подключение к L3, убедитесь в том, что выполняются указанные ниже условия.

  • Для этого вы должны выполнить вход с правами администратора на сервере VMM.
  • Необходимо настроить уникальную логическую сеть со следующим прыжком, указав уникальный идентификатор сети VLAN для каждой сети виртуальных машин клиента, для которой необходимо настроить переадресацию L3. Между сетью клиента и соответствующей физической сетью (с уникальным идентификатором сети VLAN) должно существовать взаимно однозначное соответствие.

Для создания логической сети со следующим прыжком в VMM выполните приведенные ниже действия.

Одна подключенная сеть

  1. В консоли VMM выберите Логические сети, щелкните правой кнопкой мыши и выберите Создать логическую сеть.
  2. На странице Параметры выберите Одна подключенная сеть и установите флажок Create a VM network with the same name to allow virtual machines to access this logical network directly (Создать сеть виртуальных машин с тем же именем, чтобы разрешить виртуальным машинам прямой доступ к этой логической сети) и Managed by Microsoft Network Controller (Под управлением сетевого контроллера Майкрософт).

Начиная с VMM 2019 UR1 тип сети Одна подключенная изменен на Подключенная сеть.

  1. Создайте пул IP-адресов для этой новой логической сети. IP-адрес из этого пула требуется для настройки переадресации L3.

Чтобы настроить переадресацию L3, выполните следующие действия.

Вы не можете ограничить пропускную способность в VPN-подключении L3.

  1. В консоли VMM выберите виртуальную сеть клиента, которую нужно подключить к физической сети через шлюз L3.
  2. Щелкните выбранную виртуальную сеть клиента правой кнопкой мыши и выберите СвойстваПодключение.
  3. Установите флажок Подключить к другой сети через туннель VPN. Если вы хотите включить BGP-пиринг в своем центре обработки данных, выберите Включить протокол BGP. Снимок экрана: конфигурация L3 из пользовательского интерфейса.
  4. Выберите службу сетевого контроллера для устройства шлюза.
  5. На странице CONNECTIONS VPN выберите Добавить>туннель уровня 3. Снимок экрана: туннель add layer3.
  6. Укажите подсеть в формате нотации CIDR для подсети маршрутизации. Эта подсеть используется для маршрутизации пакетов из сети виртуальных машин. Вам не нужно предварительно настраивать эту подсеть в центре обработки данных. Снимок экрана: подсеть L3.
  7. Используйте следующие сведения и настройте подключение L3:
Параметр Подробные сведения
Имя Определяемое пользователем имя для сетевого подключения переадресации L3.
Сеть виртуальной машины (NextHop) Определяемое пользователем имя для сети виртуальной машины со следующим прыжком, которая была создана в качестве необходимого компонента. Это физическая сеть, которая будет взаимодействовать с сетью виртуальной машины клиента. При нажатии кнопки Обзор будет доступна только одна подключенная сеть виртуальных машин , управляемая сетевой службой.
Одноранговый IP-адрес IP-адрес шлюза физической сети, доступного через логическую сеть L3. Этот IP-адрес должен принадлежать логической сети со следующим прыжком, которая была создана в качестве необходимого компонента. Этот IP-адрес будет служить следующим прыжком, когда трафик, отправляемый в физическую сеть из сети виртуальных машин клиента, достигнет шлюза SDN. Здесь должен быть указан IPv4-адрес. Можно указать несколько одноранговых IP-адресов, разделенных запятыми.
Локальные IP-адреса IP-адреса, настраиваемые в сетевом интерфейсе L3 шлюза SDN. Эти IP-адреса должны принадлежать логической сети со следующим прыжком, которая была создана в качестве необходимого компонента. Необходимо указать маску подсети. Пример: 10.127.134.55/25. Это должен быть IPv4-адрес в формате нотации CIDR. Одноранговый IP-адрес и локальный IP-адрес должен быть из одного пула. Эти IP-адреса должны относиться к подсети, заданной в определении логической сети для сети виртуальных машин.

Снимок экрана: удаленные подсети.

  • Если вы используете статические маршруты, введите все удаленные подсети, к которым вы хотите подключиться, в поле Маршруты.

Примечание Вы должны настроить маршруты в физической сети для подсетей виртуальной сети клиента, где следующим прыжком является IP-адрес интерфейса L3 в шлюзе SDN (локальный IP-адрес используется при создании подключения L3). В этом случае обратный трафик в виртуальную сеть клиента правильно направляется через шлюз SDN.

Снимок экрана: добавление bgp.

  • Если вы используете BGP, убедитесь, что пиринг BGP установлен между IP-адресом внутреннего интерфейса шлюза SDN, который находится в другом отсеке на виртуальной машине шлюза (а не в секции по умолчанию) и одноранговым устройством в физической сети. Для работы протокола BGP необходимо выполнить следующие действия.
    1. Добавьте кэширующий узел BGP для подключения L3. Введите данные ASN, IP-адрес однорангового узла BGP и соответствующий ему ASN на странице Протокол BGP.
    2. Определите внутренний адрес шлюза SDN, как указано в следующем разделе.
    3. Создайте узел BGP на удаленной стороне (на шлюзе физической сети). При создании узла BGP используйте внутренний адрес шлюза SDN (определенный на предыдущем шаге) в качестве однорангового IP-адреса.
    4. Настройте маршрут в физической сети с назначением в виде внутреннего адреса шлюза SDN и следующим прыжком на IP-адрес интерфейса L3 (значение локального IP-адреса, используемого при создании подключения L3).
  • После настройки подключения L3 необходимо настроить маршруты в физической сети для подсетей виртуальной сети арендатора, где следующим прыжком является IP-адрес интерфейса L3 в шлюзе SDN (параметр LocalIpAddresses в скрипте). В этом случае обратный трафик в виртуальную сеть клиента правильно направляется через шлюз SDN.

    Можно настроить статические маршруты или динамические маршруты (по протоколу BGP) с подключением L3. Если вы используете статические маршруты, их можно добавить с помощью Add-SCNetworkRoute , как описано в сценарии ниже.

    Если вы используете BGP с туннельным подключением L3, нужно установить пиринг между внутренним IP-адресом интерфейса шлюза SDN, который присутствует в другой секции на виртуальной машине шлюза (не в секции по умолчанию) и одноранговым устройством в физической сети.

    Для работы BGP необходимо выполнить следующие действия.

    1. Добавьте узел BGP для L3 с помощью командлета Add-SCBGPPeer. Пример: Add-SCBGPPeer -Name «peer1» -PeerIPAddress «12.13.14.15» -PeerASN 15 -VMNetworkGateway $VmNetworkGateway
    2. Определите внутренний адрес шлюза SDN, как указано в следующем разделе.
    3. Создайте узел BGP на удаленной стороне (на шлюзе физической сети). При создании однорангового узла BGP используйте внутренний адрес шлюза SDN (определенный на шаге 2 выше) в качестве IP-адреса однорангового узла.
    4. Настройте маршрут в физической сети с конечным внутренним адресом шлюза SDN и следующим прыжком на IP-адрес интерфейса L3 (параметр LocalIPAddresses в сценарии).

    Определение внутреннего адреса шлюза SDN

    Выполните перечисленные ниже действия.

    Выполните приведенные ниже командлеты PowerShell на компьютере с сетевым контроллером или на компьютере, который был настроен в качестве клиента сетевого контроллера:

    $gateway = Get-NetworkControllerVirtualGateway -ConnectionUri $gateway.Properties.NetworkConnections.Properties.IPAddresses 

    Результаты этой команды могут отображать несколько виртуальных шлюзов в зависимости от того, сколько клиентов настроили подключения к шлюзу. Каждый виртуальный шлюз может иметь несколько подключений (IPSec, GRE, L3).

    Так как вы уже знаете IP-адрес интерфейса L3 (LocalIPAddresses) подключения, на основе этого адреса вы можете определить правильное подключение. После установки правильного сетевого подключения выполните следующую команду (на соответствующем виртуальном шлюзе), чтобы получить IP-адрес маршрутизатора BGP виртуального шлюза.

    $gateway.Properties.BgpRouters.Properties.RouterIp 

    Результатом выполнения команды является IP-адрес, который необходимо настроить на удаленном маршрутизаторе в качестве однорангового IP-адреса.

    Настройка селектора трафика из VMM PowerShell

    Выполните описанную ниже процедуру.

    Приведенные значения используются в только качестве примера.

    1. Вы можете создать селектор трафика с указанными ниже параметрами.
    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector $t.Type=7 // IPV4=7, IPV6=8 $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers $t.PortEnd=5090 $t.PortStart=5080 $t.IpAddressStart=10.100.101.10 $t.IpAddressEnd=10.100.101.100 

    Обратная связь

    Были ли сведения на этой странице полезными?

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *