azure-virtual-network - Azure 站点到站点 TrafficSelectorPolicy 不起作用

问题描述

我们正在尝试在 Azure 上设置站点到站点 VPN。问题是我们有一个更大的虚拟网络子网，比如 10.0.0.0/16，而 VPN 应该只能访问该范围内的 10.0.1.0/24。我们建立了连接，但由于“流量选择器不匹配”而失败。

我从 PowerShell 设置连接如下：

$ResourceGroup = [SomeResourceGroup]
$Location = [SomeLocation]

$OnsitePublicIp = [onsite public ip]
$OnsiteSubnet = [onsite accessable subnet]
$LocalNetworkGatewayName = [SomeNetworkGatewayName]
$ConnectionName = [SomeConnectionName]
$AzureAddressRange = "10.0.1.0/24"
$VirtualNetworkGatewayName = [SomeVirtualNetworkGatewayName]

$IpSecPolicy = New-AzIpsecPolicy XXXXXXXXXXXXX
$LocalNetworkGateway = New-AzLocalNetworkGateway -Name $LocalNetworkGatewayName -ResourceGroupName $ResourceGroup -Location $Location -GatewayIpAddress $OnsitePublicIp -AddressPrefix $OnsiteSubnet
$IpsecTrafficSelectorPolicies = New-AzIpsecTrafficSelectorPolicy -LocalAddressRange $AzureAddressRange -RemoteAddressRange $OnsiteSubnet
$VirtualNetworkGateway = Get-AzVirtualNetworkGateway -Name $VirtualNetworkGatewayName -ResourceGroupName $ResourceGroup
New-AzVirtualNetworkGatewayConnection -Name $ConnectionName -ResourceGroupName $ResourceGroup -VirtualNetworkGateway1 $VirtualNetworkGateway -LocalNetworkGateway2 $LocalNetworkGateway -Location $Location -ConnectionType IPsec -UsePolicyBasedTrafficSelectors $True -IpsecPolicies $IpSecPolicy -SharedKey $SharedKey -TrafficSelectorPolicy $IpsecTrafficSelectorPolicies

连接仍然被拒绝，在对连接进行故障排除后，我看到仍然在引用整个范围。

Proposed Traffic Selector payload will be- [Tsid 4e4 , ]Number of TSIs 1: StartAddress 10.0.0.0 EndAddress 10.0.255.255 ......

我们在网关设备上有多个设置，它们按预期工作，但是由于“流量选择器不匹配”，这个设置不起作用。

流量选择器策略是否应该没有将发布的范围过滤到 10.0.1.0 到 10.0.1.255？

我将不胜感激任何帮助解决这个问题。我是否完全错误地处理了这个问题？有没有更好的方法来做到这一点？

标签： azure-virtual-network