我想在MS Azure中设置各种基础架构,然后可以在配备Cisco Meraki MX安全设备的多个位置使用。 不幸的是,MX不支持基于路由的VPN,而Azure在使用基于路由的VPN时仅支持多个站点到站点networking。 我认为AWS和其他云服务提供商可能存在类似的挑战。
我想我可以使用虚拟防火墙(如Cisco ASAv)来解决这个限制,但是我一直没有find任何明确的说明文件或营销材料。 我知道过去我已经用物理ASA完成了集线器/分支VPN,但是我没有使用ASAv的经验。
有没有人有过使用ASAv(或任何其他虚拟防火墙)做云提供商集线器的经验,并且使用不支持IKEv2或基于路由的VPN(如Meraki MX,Cisco ASA等)的防火墙进行分支办公?
如上所述,我们通过在Azure中build立Cisco CSR来实现这一目标。 我们有50个MX60W和一些MX100连接到Azure CSR,然后直接连接到我们的Azure虚拟服务器。
当然,最好的解决scheme是在Azure中build立一个虚拟的MX。 我们的Meraki销售代表保持承诺,这是即将到来,但没有消息。 他最近提到他们正在使用AWS中的虚拟MX进行testing。 所有人都专注于build立基于云的托pipe环境(即Azure,AWS),我认为Meraki错过了有多less公司希望无缝连接所有的位置。
您需要CSR上的静态IP,但可以使用MerakidynamicDNS名称。 Meraki VPN在组织范围VPN部分中设置,并根据标签分发到MX。 阶段1和阶段2以及预共享密钥必须完全匹配在两侧。
阶段1:encryptionAES256,authenticationSHA1,DH组5,生命周期28800
阶段2:encryptionAES256,authenticationSHA1,PFSclosures,生命周期28800
CSR示例行:
crypto isakmp policy 10 encr aes 256 hash sha authentication pre-share group 5 crypto isakmp key *shared-key* address 0.0.0.0 <- all zeroes means allow connections from anything crypto ipsec transform-set T1 esp-AES 256 esp-SHA-hmac mode tunnel <- implicit if not specified? crypto map MERAKIMAP 100 ipsec-isakmp description -something informative- set peer -MX-dynamicName.dynamic-m.com- dynamic set transform-set T1 match address 100 interface GigabitEthernet1 crypto map MERAKIMAP access-list 100 permit ip 10.10.103.0 0.0.0.255 10.10.164.0 0.0.0.255