AZURE NETWOKR 實驗手冊

AZURE NETWORK 實驗手冊

 

Version 1.0	確認目錄結構
Version 2.0	Alpha Version
Version 3.0	增加NSG LOG，3rd Party VPNGW，ER GW
Version 4.0	修正部分筆誤錯誤（已標紅）

 

目錄

實驗目標與拓撲    1

實驗一：AZURE虛擬網絡實驗    2

實驗二：AZURE NSG網絡安全組實驗    6

實驗三：AZURE 負載均衡實驗    10

實驗四：AZURE NAT實驗    15

實驗五：AZURE VPN網關實驗    18

實驗六：AZURE 對等互聯實驗    28

實驗七：NVA+UDR實驗    40

實驗八：專線演示實驗    46

 

 

實驗目標與拓撲

本實驗手冊希望通過和大家一起在實際操作中深入了解AZURE網絡概念，並掌握AZURE網絡基本日常操作。本實驗手冊分為八部分實驗。

實驗一：AZURE虛擬網絡實驗

實驗二：AZURE NSG網絡安全組實驗

實驗三：AZURE 負載均衡實驗

實驗四：AZURE NAT實驗

實驗五：AZURE VPN網關實驗

實驗六：AZURE 對等互聯實驗

實驗七：AZURE NVA+UDR實驗

實驗八：AZURE 專線演示實驗

 

實驗一：AZURE虛擬網絡實驗

實驗目標：建立VNET1，掌握虛擬網絡內連通性

1. 創建虛擬網絡VNET1

   進入AZURE Portal門戶，選擇虛擬網絡並添加，輸入名稱VNET1，地址空間172.0.0.0/16，資源組名稱Q3NETBOOTCAMP，位置中國北部，子網名稱Subnet1，地址空間172.0.0.0/24。注意區分大小寫。

   

2. 添加子網

   選擇虛擬網絡，點擊上一步創建的虛擬網絡VNET1，選擇子網並添加，添加子網Subnet2，名稱Subnet2，地址空間172.0.1.0/24，網絡安全組無，路由表無，服務終結點選中0個。注意區分大小寫。

   

   相同方法添加子網Subnet3，名稱Subnet3，地址空間172.0.2.0/24，網絡安全組無，路由表無，服務終結點選中0個。注意區分大小寫。

3. 創建虛擬機

   訪問https://github.com/nonokangwei/q3bootcamp/blob/master/TwoNicVM.json 拷貝雙網卡虛擬機部署模板。登陸Portal選擇新建，搜索模板或template，選擇模板部署。編輯模板，將模板拷貝到編輯窗口中。編輯參數，輸用戶名，密碼（建議使用Azuredemo!123），虛擬機名稱（建議使用VM1），選擇資源組（選擇之前VNET1所在資源組）。重復上述操作建立虛擬機VM2。

   上述操作也可通過CLI完成：

   az group deployment create --template-uri https://raw.githubusercontent.com/nonokangwei/q3bootcamp/master/TwoNicVM.json --parameters adminUsername=username adminPassword=password virtualMachineName=VMname -g resourcegroup

    

   訪問https://github.com/nonokangwei/q3bootcamp/blob/master/OneNicVM.json 拷貝單網卡虛擬機部署模板。登陸Portal選擇新建，搜索模板或template，選擇模板部署。編輯模板，將模板拷貝到編輯窗口中。編輯參數，輸用戶名，密碼（建議使用Azuredemo!123），虛擬機名稱（建議使用VM3），選擇資源組（選擇之前VNET1所在資源組）。

4. 測試虛擬機連通性

   選擇VM1，查看VM1公網ip，通過ssh訪問（ssh username@vm1_PublicIP）。遠程登陸虛擬機后，ip addr list查看網卡地址。Ping 172.0.0.5 查看VNET1內網連通性。Curl www.azure.com 查看VNET1的外網聯通性。

5. 通過NetworkWatcher查看拓撲

   選擇NetworkWacher，

   

   啟用China North和China East的NetworkWacher服務

   

   啟用后選擇拓撲，選擇VNET1所在訂閱，選擇資源組，選擇虛擬網絡，獲取網絡拓撲結構

   

 

實驗二：AZURE NSG網絡安全組實驗

實驗目標：掌握NSG策略，如何通過主機NSG策略實現安全策略，如果通過子網NSG策略實現安全策略。

1. 選擇虛擬機VM1，選擇網絡，選擇VM1nic1的有效的安全規則

   

   查看入站規則，理解入站優先級1000規則和入站優先級65000規則

   

2. 通過SSH VM1的公網IP遠程登陸，登陸成功並退出
3. 選擇虛擬機VM1，選擇網絡，點擊優先級1000規則，將允許改為拒絕。再次模擬通過SSH VM1的公網IP遠程登陸，登陸失敗。驗證完成后重新將拒絕改為允許恢復規則。
4. 重新登陸VM1，ping 172.0.0.5驗證ping成功。通過本地ping VM2公網地址，驗證ping失敗，結合NSG策略思考失敗原因。
5. 選擇虛擬機VM2，選擇網絡， 選擇VM2nic-1，點擊添加入站端口規則，選擇高級，設置規則，源Any，源端口范圍*，目標Any，目標端口范圍*，協議Any，操作允許，優先級1020，名稱default-allow-icmp，確定保存。再次嘗試通過本地ping VM2的公網IP，驗證連通性。思考NSG策略作用。
6. 重新登陸VM1，ping 172.0.0.5驗證pingVM2成功。
7. 創建網絡安全組

   選擇網絡安全組，點擊添加，

   

   輸入名稱SUBNETNSG，資源組選擇Q3NETBOOTCAMP，位置中國北部

8. 創建網絡安全組規則

   選擇創建的SUBNETNSG網絡安全組，選擇入站安全規則，點擊添加，源IP Address，源IP地址范圍172.0.0.4/32, 源端口范圍*，目標IP Address，目標IP地址范圍172.0.0.5/32，目標端口范圍*，協議Any，操作拒絕，優先級1000，名稱default-deny-vm1-vm2-icmp。

9. 關聯子網網絡安全組規則

   選擇創建的SUBNETNSG網絡安全組，選擇子網，點擊關聯，虛擬網絡選擇VNET1，子網選擇Subnet1，保存。

   

   

10. 登陸VM1，再次驗證ping 172.0.0.5，此時ping失敗。思考失敗原因。
11. 選擇網絡觀察程序（NetworkWatcher），點擊IP流驗證，資源組Q3NETBOOTCAMP，虛擬機VM2，網絡接口VM2nic1，協議TCP，方向入站，本地IP地址172.0.0.5，本地端口22，源端IP地址172.0.0.4，源端端口10001，進行檢查。查看檢查結果。

    

12. 以VM1為跳板機，ssh 172.0.1.5登陸VM2.，驗證ping 172.0.0.4，ping成功，思考成功原因。
13. 取消子網網絡安全組規則關聯，恢復連通性。

    選擇創建的SUBNETNSG網絡安全組，選擇子網，選擇子網選擇Subnet1取消關聯。

14. 通過Network Watcher分析NSG日志（選作）。

    Network Watcher可以用於對網絡安全組的日志進行分析，客戶可以直觀感受NSG當前運行情況。注冊insight組件。

    

 

1. 選擇需要監控日志的網絡安全組

   

2. 選擇存儲賬號並開啟監控日志服務

   

3. 下載日志並使用powerBI讀取NSG日志

   

   https://docs.microsoft.com/en-us/azure/network-watcher/network-watcher-visualize-nsg-flow-logs-power-bi

 

 

實驗三：AZURE 負載均衡實驗

實驗目標：掌握外網負載均衡

1. 虛擬機准備工作

   登陸VM1，安裝apache2，php服務

   sudo apt-get update

   sudo apt-get install apache2 -y

   sudo apt-get install php libapache2-mod-php php-mcrypt php-mysql -y

   sudo systemctl restart apache2

   sudo rm /var/www/html/index.html

   sudo wget https://raw.githubusercontent.com/nonokangwei/q3bootcamp/master/index.php -P /var/www/html/

   在VM2上重復上述操作

2. 創建公網負載均衡

   選擇負載均衡，點擊添加。名稱HTTPLB，類型公共，公網IP地址新建名稱HttpLB，資源組Q3NETBOOTCAMP，位置中國北部。選擇創建。

   

3. 創建負載均衡后端池

   選擇前面創建的公網負載均衡HTTPLB，選擇后端池，點擊添加，名稱BackendPool，關聯到可用性集，可用性集NATAS，目標網絡IP配置-目標虛擬機VM1，網絡IP配置VM1nic1，目標虛擬機VM2，網絡IP配置VM2nic1。確定創建。

4. 創建運行狀況探測

   選擇運行狀況探測，點擊添加，名稱Probe，協議TCP，端口80，默認間隔和不正常閾值。確定創建。

   可以嘗試創建基於HTTP協議的Probe，並思考與TCP Probe的區別。

   

5. 創建負載均衡規則

   選擇負載均衡規則，點擊添加，名稱HTTPRule，默認前端IP，協議TCP，端口80，后端端口80，其余均為默認。確認創建。

   

6. 確認負載均衡連通性

   查閱負載均衡公網IP，由本地發起curl 負載均衡公網IP 操作。確認輸出中的My IP Address。反復發起curl操作，確認輸出地址是否發生變化。

   

   

   思考輸出地址發生變化原因。

7. 會話一致性策略

   選擇負載均衡HTTPLB，點擊負載均衡規則，選擇HTTPRule

   

   更改會話持續性為客戶端IP，並保存。

   

8. 確認會話持續性

   查閱負載均衡公網IP，由本地發起curl 負載均衡公網IP 操作。確認輸出中的My IP Address。反復發起curl操作，確認輸出地址是否發生變化。思考地址不變的原因。

   思考不同應用對於負載均衡算法的要求。

 

實驗四：AZURE NAT實驗

實驗目標：掌握VNET外網訪問NAT策略，掌握端口轉發策略。

1. 驗證具有公網IP地址VM外網訪問地址

   為VM3增加公網IP，遠程登陸VM3，通過命令nslookup myip.opendns.com resolver1.opendns.com 確認外網訪問所用公網IP地址。比對輸出結果與該虛擬機AZURE所分配公網IP地址關系。

   VM3增加公網IP方法：選擇VM3，點擊網絡，選擇網絡接口VM3nic-1，選擇IP配置，選擇ipconfig1，將公網IP改為已啟用，公共IP地址選擇新建，名稱VM3publicIp

   

2. 驗證不具有公網IP地址VM外網訪問地址

   依據上一步的反向操作刪除VM3的公網地址。通過VM1或VM2作為跳板機，登陸VM3，通過命令nslookup myip.opendns.com resolver1.opendns.com 確認外網訪問所用公網IP地址。比對輸出結果與該虛擬機AZURE所分配公網IP地址關系。

3. 驗證具有公網IP的負載均衡后端主機外網訪問地址

   遠程登陸VM1或VM2，通過命令nslookup myip.opendns.com resolver1.opendns.com 確認外網訪問所用公網IP地址。比對輸出結果與該虛擬機AZURE所分配公網IP地址關系以及與該虛擬機所關聯負載均衡公網地址關系。

4. 驗證不具有公網IP的負載均衡后端主機外網訪問地址

   依據步驟一的反向操作關閉VM1的公網地址。通過VM2作為跳板機，登陸VM1，通過命令nslookup myip.opendns.com resolver1.opendns.com 確認外網訪問所用公網IP地址。比對輸出結果與該虛擬機所關聯負載均衡公網地址關系。

5. 入向NAT端口轉發規則

   依據步驟一的反向操作關閉VM2的公網地址，此時VM1和VM2均無公網地址。思考此時如何進行主機的遠程登陸。

   選擇實驗三創建的負載均衡HTTPLB，點擊入站NAT規則，選擇添加，名稱VM1PortForwarding，前端IP地址默認，服務自定義，協議TCP，端口5000，目標主機VM1，網絡IP配置VM1nic-1，端口映射自定義，目標端口22。同樣操作添加名稱VM2PortForwarding，前端IP地址默認，服務自定義，協議TCP，端口5001，目標主機VM2，網絡IP配置VM2nic-1，端口映射自定義，目標端口22。

   

   通過本地驗證遠程連接，獲取HTTPLB負載均衡的公網IP地址，ssh 用戶名@HTTPLB公網IP -p 入站NAT規則端口號。通過變換入站NAT規則端口號確認可以成功登陸VM1和VM2。

6. 思考如果VNET內有多個可用集主機需要通過統一公網IP端口轉發方式進行遠程登陸如何實現。
7. 思考VNET所有主機希望通過固定公網IP訪問外網及AZURE外部服務如何實現（可參閱實驗七的架構）

 

實驗五：AZURE VPN網關實驗

實驗目標：建立VNET1和VNET2之間的VPN互聯連接，打通VNET1和VNET2虛擬子網

1. 創建網關子網

   選擇VNET1虛擬網絡，選擇子網，選擇添加網關子網

   

   地址范圍172.0.3.0/24，路由表無，服務終結點選中0個，確定創建。

   

2. 創建VNET2及相關子網

   選擇虛擬網絡，點擊添加，名稱VNET2，地址空間172.1.0.0/16，資源組Q3NETBOOTCAMP，位置選擇中國東部，子網名稱Subnet1，地址范圍172.1.0.0/24，確定創建

   

   選擇VNET2，點擊子網，選擇添加網關子網，地址范圍172.1.1.0/24，路由表無，服務終結點選中0個，確定創建。

 

1. 配置VNET1下VPN配置

   選擇虛擬網絡網關，點擊添加，名稱VNET1-VPNGW，網關類型VPN，VPN類型基於路由的，SKU VpnGw1，虛擬網絡VNET1，第一個IP配置新建名稱VNET1-VPNGW，位置中國北部，確認創建。（此過程大概在30-45分鍾，創建過程中可先跳至下一步進行操作）

   

   選擇虛擬網關VNET1-VPNGW，點擊連接，選擇添加。名稱XRossRegionVPNSession，連接類型虛擬網絡到虛擬網絡，第一個虛擬網絡網關VNET1-VPNGW，第二個虛擬網絡網關VNET2-VPNGW，共享密鑰q3netbootcamp，確認創建。

   

2. 配置VNET2下VPN配置

   選擇虛擬網絡網關，點擊添加，名稱VNET2-VPNGW，網關類型VPN，VPN類型基於路由的，SKU VpnGw1，虛擬網絡VNET2，第一個IP配置新建名稱VNET2-VPNGW，位置中國東部，確認創建。

   選擇虛擬網關VNET2-VPNGW，點擊連接，選擇添加。名稱XRossRegionVPNReverse，連接類型虛擬網絡到虛擬網絡，第一個虛擬網絡網關VNET2-VPNGW，第二個虛擬網絡網關VNET1-VPNGW，共享密鑰q3netbootcamp，確認創建。

3. 檢查VPN連接狀態

   選擇虛擬網關VNET1-VPNGW，選擇連接，查看XrossRegionVPNSession和XrossRegionVPNReverse狀態為已連接狀態。

   

4. VNET2內創建VM4

   訪問https://github.com/nonokangwei/q3bootcamp/blob/master/VM4.json 拷貝VM4虛擬機部署模板。登陸Portal選擇新建，搜索模板或template，選擇模板部署。編輯模板，將模板拷貝到編輯窗口中。編輯參數，輸用戶名，密碼（建議使用Azuredemo!123），虛擬機名稱VM4，選擇資源組（選擇之前VNET1所在資源組）。

   上述操作也可通過CLI完成：

   az group deployment create --template-uri https://raw.githubusercontent.com/nonokangwei/q3bootcamp/master/VM4.json --parameters adminUsername=username adminPassword=password virtualMachineName=VMname -g resourcegroup

5. 驗證VNET1和VNET2內虛擬機的連通性

   遠程登陸VM4，ping 172.0.0.4（VM1的VNET1私網地址），驗證互通性。Portal選擇VM4，選擇網絡，選擇網絡接口VM4nic-1，選擇有效路由，查看路由表，思考VPN連接對路由表的影響。

   

6. 配置BGP

   選擇連接XrossRegionVPNSession，選擇配置，設置BPG已啟用，保存。

   

   選擇虛擬網關VNET1-VPNGW，選擇配置，勾選配置BGP ASN，自治系統AS號65501，保存。並記錄下BGP 對端IP地址。

   

7. 驗證VNET1和VNET2內網聯通性

   遠程登陸VM4，ping 172.0.0.4（VM1的VNET1私網地址），驗證互通性。Portal選擇VM4，選擇網絡，選擇網絡接口VM4nic-1，選擇有效路由，查看路由表。Portal選擇VM1，選擇網絡，選擇網絡接口VM1nic-1，選擇有效路由，查看路由表，思考單邊打開BGP后VPN連接對路由表的影響。

   

   

8. 配置BGP

   選擇連接XrossRegionVPNReverse，選擇配置，設置BPG已啟用，保存。

   選擇虛擬網關VNET2-VPNGW，選擇配置，勾選配置BGP ASN，自治系統AS號65502，保存。

9. 驗證VNET1和VNET2內虛擬機的連通性

   遠程登陸VM4，ping 172.0.0.4（VM1的VNET1私網地址），驗證互通性。Portal選擇VM4，選擇網絡，選擇網絡接口VM4nic-1，選擇有效路由，查看路由表。Portal選擇VM1，選擇網絡，選擇網絡接口VM1nic-1，選擇有效路由，查看路由表。對比VM1nic-1有效路由表的變化。

   

   

10. 模擬與第三方設備建立VPN連接（選做）

    創建Local Network Gateway，在VNET1中創建LocalGW1用於模擬VNET2中網絡信息，"IP address"為VNET2-VPNGW的公網IP地址，"Address Space"為VNET2的網絡地址空間。如果需要配置BGP信息，ASN和peer address為VNET2-VPNGW的BGP信息。

    在VNET2中按照同樣方式創建LobalGW2用於模擬VNET1中的網絡信息。

    VNET1-VPNGW，刪除VPN連接XrossRegionVPNReverse，創建Site-to-Site（IPSec）VPN，選擇本地LocalGW1創建VPN連接，共享密鑰q3netbootcamp。

    VNET2-VPNGW按照同樣方式創建。

     

 

實驗六：AZURE 對等互聯實驗

實驗目標：

1. 通過VNET Peering打通VNET2和VNET3
2. 通過Transit GW打通VNET3和VNET1
3. 通過NVA方式實現Transit Peering打通VNET3和VNET4

1. 創建VNET3

   選擇虛擬網絡，點擊添加，名稱VNET3，地址空間172.2.0.0/16，資源組Q3NETBOOTCAMP，位置選擇中國東部，子網名稱Subnet1，地址范圍172.2.0.0/24，確定創建

   

2. 在VNET3中創建VM5

   訪問https://github.com/nonokangwei/q3bootcamp/blob/master/VM5.json 拷貝VM5虛擬機部署模板。登陸Portal選擇新建，搜索模板或template，選擇模板部署。編輯模板，將模板拷貝到編輯窗口中。編輯參數，輸用戶名，密碼（建議使用Azuredemo!123），虛擬機名稱VM5，選擇資源組（選擇之前VNET1所在資源組）。

   上述操作也可通過CLI完成：

   az group deployment create --template-uri https://raw.githubusercontent.com/nonokangwei/q3bootcamp/master/VM5.json --parameters adminUsername=username adminPassword=password virtualMachineName=VMname -g resourcegroup

3. 配置VNET2和VNET3 Peering

   選擇VNET2，選擇對等，點擊添加，名稱VNET2VNET3，虛擬網絡選擇VNET3。

   

   選擇VNET3，選擇對等，點擊添加，名稱VNET3VNET2，虛擬網絡選擇VNET2。

4. 驗證VNET2和VNET3連通性。

   登陸VM5，ping 172.1.0.4 (VM4 VNET2內網地址)，檢查連通性。查看VM5有效路由，選擇VM5，選擇網絡，選擇VM5nic-1，選擇有效路由。思考Peering配置對路由表的影響

   

5. 驗證VNET3和VNET1的連通性

   登陸VM5，ping 172.0.0.4 (VM1 VNET1內網地址)，檢查連通性。思考為何無法實現互通。

6. 配置Transit Gateway

   選擇VNET2，選擇對等，選擇VNET2VNET3，勾選允許網關傳輸，保存。

   

   選擇VNET3，選擇對等，選擇VNET3VNET2，勾選使用遠程網關，保存。

   

7. 驗證VNET3和VNET1的連通性

   登陸VM5，ping 172.0.0.4 (VM1 VNET1內網地址)，檢查連通性。查看VM5有效路由，思考為何此時實現互通。

   

8. 創建VNET4並配置VNET4與VNET2 Peering對等互聯

   請參照前面操作方法操作，VNET4參數請參閱下面截圖

   

   

   

9. VNET4中創建虛擬機VM6

   訪問https://github.com/nonokangwei/q3bootcamp/blob/master/VM6.json 拷貝VM6虛擬機部署模板。登陸Portal選擇新建，搜索模板或template，選擇模板部署。編輯模板，將模板拷貝到編輯窗口中。編輯參數，輸用戶名，密碼（建議使用Azuredemo!123），虛擬機名稱VM6，選擇資源組（選擇之前VNET1所在資源組）。

   上述操作也可通過CLI完成：

   az group deployment create --template-uri https://raw.githubusercontent.com/nonokangwei/q3bootcamp/master/VM6.json --parameters adminUsername=username adminPassword=password virtualMachineName=VMname -g resourcegroup

10. 驗證VNET3和VNET1的連通性

    登陸VM6，ping 172.1.0.4 (VM4 VNET2內網地址)，檢查連通性。ping 172.0.0.4 (VM1 VNET1內網地址)，檢查連通性。

11. 驗證VNET3和VNET4的連通性

    登陸VM6，ping 172.2.0.4 (VM5 VNET3內網地址)，檢查連通性。思考為何無法ping通。

12. 配置VNET Peering Transit轉發

    選擇VNET2，選擇對等，選擇VNET2VNET3，配置勾選允許轉發通信。選擇VNET2VNET4，配置勾選允許轉發通信。

    

    選擇VM4，選擇網絡，選擇VM4nic-1，選擇IP配置，配置IP轉發配置已啟用。

    

    登陸VM4，開啟Linux轉發

    sudo sysctl -w net.ipv4.ip_forward=1

13. 配置UDR用戶自定義路由

    選擇路由表，選擇添加，名稱VNET3UDR，資源組Q3NETBOOTCAMP，位置選擇中國東區，確認創建。

    

    選擇UDR路由表 VNET3UDR，選擇路由，添加，路由名稱VNET4，地址前綴172.3.0.0/24，下一跳類型虛擬設備，下一跳躍點地址172.1.0.4，確認創建。

    

    選擇UDR路由表 VNET3UDR，選擇子網，選擇關聯，選擇虛擬網絡VNET3，選擇子網Subnet1，確認關聯。

    相同操作創建VNET4UDR,，相關參數可參閱如下截圖。

    

14. 驗證VNET3和VNET4的連通性

    登陸VM6，ping 172.2.0.4 (VM5 VNET3內網地址)，檢查連通性。

 

實驗七：NVA+UDR實驗

實驗目標：掌握NVA組網自定義部署網絡架構

1. 創建虛擬機

   若實驗一已經完成可以直接進入步驟二操作無需重復創建虛擬機。訪問https://github.com/nonokangwei/q3bootcamp/blob/master/TwoNicVM.json 拷貝雙網卡虛擬機部署模板。登陸Portal選擇新建，搜索模板或template，選擇模板部署。編輯模板，將模板拷貝到編輯窗口中。編輯參數，輸用戶名，密碼（建議使用Azuredemo!123），虛擬機名稱（建議使用VM1），選擇資源組（選擇之前VNET1所在資源組）。重復上述操作建立虛擬機VM2.。

   上述操作也可通過CLI完成：

   az group deployment create --template-uri https://raw.githubusercontent.com/nonokangwei/q3bootcamp/master/TwoNicVM.json --parameters adminUsername=username adminPassword=password virtualMachineName=VMname -g resourcegroup

2. 開啟路由轉發

   登陸VM1

   sudo sysctl -w net.ipv4.ip_forward=1

   重復操作在VM2

3. 准備iptables

   登陸VM1

   sudo iptables -A FORWARD -i eth1 -j ACCEPT

   sudo iptables -A FORWARD -i eth0 -j ACCEPT

   sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

   重復操作在VM2

4. 准備策略路由表

   登陸VM1

   sudo sed -i '$a201 slbroute' /etc/iproute2/rt_tables

   sudo ip rule add from 172.0.1.4 to 168.63.129.16 lookup slbroute

   sudo ip route add 168.63.129.16 via 172.0.1.1 dev eth1 table slbroute

   sudo ip route add 172.0.2.0/24 via 172.0.1.1

   登陸VM2

   sudo sed -i '$a201 slbroute' /etc/iproute2/rt_tables

   sudo ip rule add from 172.0.1.5 to 168.63.129.16 lookup slbroute

   sudo ip route add 168.63.129.16 via 172.0.1.1 dev eth1 table slbroute

   sudo ip route add 172.0.2.0/24 via 172.0.1.1

5. 創建內網負載均衡

   登陸Portal選擇負載均衡，選擇新建，給出負載均衡名稱NATLBDEMO，指定類型為內網類型，選擇虛擬網絡VNET1，選擇子網Subner2，指定現有資源組（設置為於VNET1所在資源組相同），點擊創建。

   

6. 創建內網負載均衡后端池

   選擇上一步創建的內網負載擬機，點擊后端池選擇添加，按照下述截圖輸入相關參數，將VM1和VM2的NIC2加入到后端池中。

   

7. 添加內網負載均衡健康檢查策略

   選擇前面創建的內網負載擬機，點擊運行狀況探測選擇添加，按照下述截圖輸入相關參數，

   

8. 添加內網負載均衡的策略規則
9. 選擇前面創建的內網負載擬機，點擊負載均衡規則選擇添加，按照下述截圖輸入相關參數，注意將浮動IP選項打開。

   

10. 配置客戶自定義路由UDR

    選擇路由表並添加，輸入UDR名稱NATUDR，選擇VNET1所在資源組。選擇剛剛創建的NATUDR，選擇路由並添加，參數如下述截圖：

    下一跳172.0.1.6

    

    選擇子網並關聯，虛擬網絡選擇VNET1，子網選擇Subnet3。

11. 檢查NAT策略

    登陸VM3，模擬curl www.baidu.com 無正常輸出。

    curl: (7) Failed to connect to ifconfig.co port 80: Connection timed out

    原因默認虛擬機網卡不支持路由轉發，選擇VM1和VM2的NIC2，選擇IP配置，開啟轉發功能。

    重新模擬curl操作，此時應有正常輸出。

    再次嘗試curl ifconfig.co 查看輸出結果是否為VM1或VM2的公網IP。多次嘗試curl ifconfig.co 確認輸出地址是否會變化。

 

實驗八：專線演示實驗

1. 創建專線連接

   選擇運營商（北京電信或上海電信）以及peering location（北京或上海），按照客戶業務需求選擇帶寬。本地訪問選擇Standard，跨地域訪問選擇Premium。按流量計費選擇Metering，包月計費選擇Unlimited。

   

   專線連接創建完成，將Service-Key交給電線運營商進行預鋪設。

2. 創建不同類型的對等管理

   運營商預鋪設完成后，鏈路狀態變為"Provisioned"。用戶可以在Portal上進行對等Peering的配置。

   Peer ASN為用戶一側BGP AS號碼，不能使用65515-65520，其他ASN均可以使用。

   Primary subnet和Secondary subnet對應用戶兩條物理線路的IP地址設定。請指定兩個/30子網用於用戶設備與微軟設備的互聯。地址分配完成之后，用戶使用第一個IP地址，微軟使用第二個IP地址。

   VLAN ID用於標識用戶不同的對等Peering關系，用戶自己指定即可。

   Share key為用於BGP通訊過程MD5加密密鑰，可選。

   

3. 創建專線網關

   用戶需要在現有的VNET中創建專線網關用戶和專線互聯，從而與企業現有On premise互聯。專線網關區別與VPN網關，需要單獨創建。

   

4. 連接專線鏈路到專線網關

   最后需要將專線鏈路連接到專線網關。

   一個專線鏈路最多可以支持100個專線網關共享使用（需要高級版本）

   一個網關最多可以關聯四個不同區域的專線鏈路