Vynucené tunelování pro konfigurace typu site-to-site

  • Článek

Tento článek vám pomůže pochopit, jak vynucené tunelování funguje pro připojení IPsec typu site-to-site (S2S). Ve výchozím nastavení se provoz směřující na internet z vašich úloh a virtuálních počítačů v rámci virtuální sítě odesílá přímo do internetu.

Vynucené tunelování umožňuje přesměrovat nebo "vynutit" veškerý provoz směřující z internetu zpět do místního umístění prostřednictvím tunelu VPN S2S pro kontrolu a auditování. Jedná se o kritický požadavek na zabezpečení pro většinu podnikových zásad IT. Neoprávněný přístup k internetu může potenciálně vést ke zpřístupnění informací nebo jiným typům porušení zabezpečení.

Následující příklad ukazuje, že veškerý internetový provoz vynucený přes bránu VPN zpět do místního umístění kvůli kontrole a auditování.

Diagram shows forced tunneling.

Metody konfigurace pro vynucené tunelování

Existuje několik různých způsobů, jak nakonfigurovat vynucené tunelování.

Konfigurace pomocí protokolu BGP

Vynucené tunelování pro službu VPN Gateway můžete nakonfigurovat přes protokol BGP. Musíte inzerovat výchozí trasu 0.0.0.0/0 přes protokol BGP z místního umístění do Azure, aby se veškerý provoz Azure odesílal přes tunel VPN Gateway S2S.

Konfigurace pomocí výchozího webu

Vynucené tunelování můžete nakonfigurovat nastavením výchozí lokality pro bránu VPN založenou na směrování. Postup najdete v tématu Vynucené tunelování přes výchozí web.

  • Bráně virtuální sítě přiřadíte výchozí lokalitu pomocí PowerShellu.
  • Místní zařízení VPN musí být nakonfigurované pomocí 0.0.0.0.0/0 jako selektorů provozu.

Směrování internetového provozu pro konkrétní podsítě

Ve výchozím nastavení se veškerý internetový provoz směruje přímo na internet, pokud nemáte nakonfigurované vynucené tunelování. Při konfiguraci vynuceného tunelování se veškerý provoz směřující na internet odešle do vašeho místního umístění.

V některých případech můžete chtít, aby provoz vázaný na internet pouze z určitých podsítí (ale ne ze všech podsítí) prošel z síťové infrastruktury Azure přímo z internetu, a ne do místního umístění. Tento scénář je možné nakonfigurovat pomocí kombinace vynuceného tunelování a vlastních tras definovaných uživatelem definovanou virtuální sítí. Postup najdete v tématu Směrování internetového provozu pro konkrétní podsítě.

Další kroky