我想在 MS Azure 中设置各种基础设施,然后这些基础设施可用于配备 Cisco Meraki MX 安全设备的多个位置。不幸的是,MX 还不支持基于路由的 VPN,并且 Azure 在使用基于路由的 VPN 时仅支持多个站点到站点网络。我认为 AWS 和其他云服务提供商可能存在类似的挑战。
我认为我可以使用虚拟防火墙(例如 Cisco ASAv)来解决此限制,但我无法找到任何文档或营销材料表明这是合适的。我知道我过去曾使用物理 ASA 完成集线器/辐射式 VPN,但我没有使用 ASAv 的经验。
有没有人有过使用 ASAv(或任何其他虚拟防火墙)和分支机构使用不支持 IKEv2 或基于路由的 VPN(例如 Meraki MX、Cisco ASA 等)的防火墙进行云提供商集线器的经验?
如上所述,我们能够通过在 Azure 中建立思科 CSR 来实现这一目标。我们有 50 个 MX60W 和一些 MX100 都连接到 Azure CSR,然后允许直接连接到我们的 Azure 虚拟服务器。
当然,最好的解决方案是在 Azure 中建立一个虚拟 MX。我们的 Meraki 销售代表一直承诺这即将到来,但还没有消息。他最近提到,他们在 AWS 中使用虚拟 MX 处于测试阶段。由于所有人都专注于建立基于云的托管环境(即 Azure、AWS),我认为 Meraki 错过了多少公司希望无缝连接其所有位置的信息。
您需要 CSR 上的静态 IP,但可以使用 Meraki 动态 DNS 名称。Meraki VPN 设置在组织范围的 VPN 部分,并根据标签分发给 MX。阶段 1 和 2 以及预共享密钥都必须在双方完全匹配。
阶段 1:加密 AES256,身份验证 SHA1,DH 组 5,生命周期 28800
阶段 2:加密 AES256,身份验证 SHA1,PFS 关闭,生命周期 28800
企业社会责任示例行: