Konfigurieren von Routingabsichten und Routingrichtlinien für den Virtual WAN-Hub

Hinweis

Die Hubroutingabsicht befindet sich derzeit in der geschlossenen öffentlichen Vorschauversion.

Die Vorschau von Routingabsicht für Hubs wirkt sich auf das Routing und die Routenankündigungen für alle Verbindungen mit dem Virtual Hub aus (Point-to-Site-VPN, Site-to-Site-VPN, ExpressRoute, NVA, Virtual Network).

Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel (SLA) bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Einige Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauversionen.

Um Zugriff auf die Vorschauversion zu erhalten, stellen Sie beliebige Virtual WAN-Hubs und -Gateways (Site-to-Site-VPN-Gateways, Point-to-Site-Gateways und ExpressRouteGateways) bereit. Wenden Sie sich anschließend an previewinterhub@microsoft.com, und geben Sie die Virtual WAN-ID, Abonnement-ID und Azure-Region an, für die Sie Routingabsicht konfigurieren möchten. Erwarten Sie innerhalb von 48 Stunden (innerhalb der Geschäftszeiten von Montag-Freitag) eine Antwort mit der Bestätigung der Funktionsfreigabe. Beachten Sie, dass alle Gateways, die nach der Aktivierung des Features erstellt wurden, vom Virtual WAN-Team aktualisiert werden müssen.

Hintergrund

Kunden, die Azure Firewall Manager zum Einrichten von Richtlinien für öffentlichen und privaten Datenverkehr nutzen, können ihre Netzwerke jetzt mithilfe von Routingabsicht und Routingrichtlinien deutlich einfacher einrichten.

Über Routingabsicht und Routingrichtlinien können Sie angeben, wie der Virtual WAN-Hub internetgebundenen und privaten Datenverkehr (Point-to-Site, Site-to-Site, ExpressRoute, virtuelle Netzwerkgeräte im Virtual WAN-Hub und im virtuellen Netzwerk) weiterleiten soll. Es gibt zwei Arten von Routingrichtlinien: Richtlinien zum Routing von Internetdatenverkehr und Routingrichtlinien für privaten Datenverkehr. Jeder Virtual WAN-Hub kann höchstens jeweils eine Routing-Richtlinie für Internetdatenverkehr und für privaten Datenverkehr mit jeweils einer einzigen Next-Hop-Ressource haben.

Während privater Datenverkehr sowohl Zweigstellen- als auch VNet-Adresspräfixe umfasst, werden diese von Routingrichtlinien in Konzepten der Routingabsicht als eine Entität betrachtet.

Hinweis

Regionsübergreifende Datenübertragung kann nicht von Azure Firewall oder NVA überprüft werden. Darüber hinaus wird die Konfiguration von Richtlinien für privates und Internetrouting in den meisten Azure-Regionen derzeit nicht unterstützt. Wenn Sie eine solche Konfiguration erstellen, werden Gateways (ExpressRoute, Standort-zu-Standort-VPN und Punkt-zu-Standort-VPN) in einen Fehlerzustand versetzt, und die Konnektivität zwischen lokalen Branches und Azure wird unterbrochen. Stellen Sie sicher, dass Sie für jeden Virtual WAN-Hub nur eine Art von Routingrichtlinie einrichten. Weitere Informationen erhalten Sie hier: previewinterhub@microsoft.com

  • Routingrichtlinie für Internetdatenverkehr: Wenn eine Routingrichtlinie für Internetdatenverkehr auf einem Virtual WAN-Hub konfiguriert ist, werden alle Zweigstellen- (Benutzer-VPN (Point-to-Site-VPN), Site-to-Site-VPN und ExpressRoute) und virtuellen Netzwerkverbindungen mit diesem Virtual WAN-Hub internetgebundenen Datenverkehr an die Azure Firewall-Ressource, den Drittanbieter-Sicherheitsanbieter oder die Network Virtual Appliance weitergeleitet, wie als Teil der Routingrichtlinie angegeben wird.

    Anders ausgedrückt: Wenn eine Routingrichtlinie für Datenverkehr für einen Virtual WAN-Hub konfiguriert ist, kündigt das Virtual WAN eine Standardroute für alle Spokes, Gateways und (im Hub oder Spoke bereitgestellten) virtuellen Netzwerkgeräte. Dies umfasst das Virtuelle Netzwerkgerät, das den nächsten Hop für die Internet-Datenverkehrs-Routingrichtlinie darstellt.

  • Routingrichtlinie für privaten Datenverkehr: Wenn eine Routingrichtlinie für privaten Datenverkehr auf einem Virtual WAN-Hub konfiguriert ist, werden alleZweigstellen- und der gesamte Virtual Network-Datenverkehr in und aus dem Virtual WAN-Hub einschließlich des Datenverkehrs zwischen Hubs an die Azure Firewall-Ressource des nächsten Hops oder die Ressource der virtuellen Netzwerkanwendung weitergeleitet, die in der privaten Datenverkehrsroutingrichtlinie angegeben wurde.

    Mit anderen Worten, wenn eine Routingrichtlinie für privaten Datenverkehr auf dem Virtual WAN-Hub konfiguriert ist, wird der gesamte Datenverkehr von Zweigstelle zu Zweigstelle, von Zweigstelle zu virtuellem Netzwerk, von virtuellem Netzwerk zu Zweigstelle und zwischen Hubs, über Azure Firewall oder einem virtuellem Netzwerkgerät, das im Virtual WAN Hub bereitgestellt wird, gesendet.

Wichtige Aspekte

  • Sie werden nicht in der Lage sein, Routingrichtlinien für Ihre Bereitstellungen zu aktivieren, wenn bereits benutzerdefinierte Routingtabellen konfiguriert sind oder wenn statische Routen in Ihrer Standardroutingtabelle konfiguriert sind.
  • Derzeit werden Richtlinien für das Routing von privatem Datenverkehr nicht in Hubs mit verschlüsselten ExpressRoute-Verbindungen unterstützt (Site-to-Site-VPN-Tunnel, die über ExpressRoute (private Verbindung) ausgeführt werden).
  • In der öffentlich zugänglichen Vorschau der Routingrichtlinien für Virtual WAN-Hubs wird der Datenverkehr zwischen Hubs in verschiedenen Azure-Regionen verworfen.
  • Routingabsicht und Routingrichtlinien müssen derzeit über den in Schritt 3 von Voraussetzungen angegebenen Link zum benutzerdefinierten Portal konfiguriert werden. Routingabsichten und -richtlinien werden über Terraform, PowerShell und CLI nicht unterstützt.

Voraussetzungen

  1. Erstellen Sie eine Virtual WAN-Instanz. Stellen Sie sicher, dass Sie mindestens zwei Virtual Hubs erstellen, wenn Sie den Datenverkehr zwischen Hubs untersuchen möchten. Sie können zum Beispiel ein Virtual WAN mit zwei virtuellen Hubs in der Region „USA, Osten“ einrichten. Sie können anstelle mehrerer Hubs einen einzelnen Virtual WAN-Hub bereitstellen, wenn Sie nur den Datenverkehr von Zweigstelle zu Zweigstelle untersuchen möchten.
  2. Konvertieren Sie Ihren Virtual WAN-Hub in einen geschützten Virtual WAN-Hub, indem Sie eine Azure Firewall in den virtuellen Hubs in der gewählten Region bereitstellen. Weitere Informationen zum Konvertieren Ihres Virtual WAN-Hubs in einen sicheren Virtual WAN-Hub finden Sie unter So sichern Sie Ihren Virtual WAN-Hub.
  3. Stellen Sie alle Site-to-Site-VPN-, Point-to-Site-VPN- und ExpressRoute-Gateways bereit, die Sie zu Testzwecken verwenden möchten. Wenden Sie sich an previewinterhub@microsoft.com mit der Virtual WAN-Ressourcen-ID und der Region für den Azure Virtual WAN-Hub, in der Sie Routingrichtlinien konfigurieren möchten. Um die Virtual WAN-ID zu finden, öffnen Sie das Azure-Portal, navigieren Sie zu Ihrer Virtual WAN-Ressource, und wählen Sie „Einstellungen > Eigenschaften > Ressourcen-ID“ aus. Beispiel:
    /subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualWans/<virtualWANname>
    
  4. Sie sollten innerhalb von 24–48 Stunden eine Antwort mit einer Bestätigung der Funktionsfreigabe erhalten.
  5. Stellen Sie sicher, dass Ihre virtuellen Hubs keine benutzerdefinierten Routingtabellen oder Routen aufweisen, die Sie in „defaultRouteTable“ eingefügt haben. Sie werden nicht in der Lage sein, Routingrichtlinien für Ihre Bereitstellungen zu aktivieren, wenn bereits benutzerdefinierte Routingtabellen konfiguriert sind oder wenn statische Routen in Ihrer Standardroutingtabelle konfiguriert sind.
  6. Wenn Sie eine im Virtual WAN-Hub bereitgestellte Azure Firewall verwenden, lesen Sie bitte Konfigurieren von Routingrichtlinien (über Azure Firewall Manager), um Routingabsichten und Routingrichtlinien zu konfigurieren. Wenn Sie eine im Virtual WAN-Hub bereitgestellte virtuelles Netzwerkgerät verwenden, lesen Sie bitte Konfigurieren von Routingrichtlinien (über das Virtual WAN-Portal), um Routingabsichten und Routingrichtlinien zu konfigurieren.

Routingrichtlinien konfigurieren (über Azure Firewall Manager)

  1. Navigieren Sie über den Link zum benutzerdefinierten Portal, den Sie in der Bestätigungs-E-Mail aus Schritt 3 im Abschnitt Voraussetzungen erhalten haben, zu dem Virtual WAN-Hub, für den Sie Routingrichtlinien konfigurieren möchten.

  2. Wählen Sie unter Sicherheit Einstellungen für einen geschützten virtuellen Hub und dann Sicherheitsanbieter- und Routeneinstellungen für diesen gesicherten virtuellen Hub in Azure Firewall Manager verwaltenScreenshot showing how to modify secured hub settings.

  3. Wählen Sie im Menü den Hub aus, für den Sie Ihre Routingrichtlinien konfigurieren möchten.

  4. Wählen Sie Sicherheitskonfiguration unter Einstellungen aus.

  5. Wenn Sie eine Richtlinie für die Weiterleitung des Internetdatenverkehrs konfigurieren möchten, wählen Sie Azure Firewall oder den entsprechenden Internetsicherheitsanbieter aus der Dropdownliste für Internetdatenverkehr aus. Wählen Sie andernfalls Keine aus.

  6. Wenn Sie eine Richtlinie für die Weiterleitung von privatem Datenverkehr (für Zweigstellen- und virtuellen Netzwerkdatenverkehr) über Azure Firewall konfigurieren möchten, wählen Sie Azure Firewall im Dropdownmenü für Privater Datenverkehr aus. Andernfalls wählen Sie Azure Firewall umgehen aus.

    Screenshot: Konfigurieren von Routingrichtlinien

  7. Wenn Sie eine Richtlinie für das Routing von privatem Datenverkehr konfigurieren möchten und über Zweigstellen oder virtuelle Netzwerke verfügen, die Nicht-IANA-RFC1918-Präfixe ankündigen, wählen Sie Präfixe für privaten Datenverkehr aus, und geben Sie die Nicht-IANA-RFC1918-Präfixbereiche im angezeigten Textfeld an. Wählen Sie Fertigaus.

    Screenshot: Bearbeiten von Präfixen für privaten Datenverkehr

  8. Wählen Sie für Inter-hub (Zwischen Hubs) die Option Aktiviert aus. Wenn Sie diese Option aktivieren, wird sichergestellt, dass Ihre Routingrichtlinien auf die Routingabsicht dieses Virtual WAN-Hubs angewendet werden.

  9. Wählen Sie Speichern aus. Dieser Vorgang wird etwa 10 Minuten dauern.

  10. Wiederholen Sie die Schritte 2 bis 8 für andere geschützte Virtual WAN-Hubs, für die Sie Routingrichtlinien konfigurieren möchten.

  11. An diesem Punkt können Sie Testdatenverkehr senden. Stellen Sie sicher, dass Ihre Firewallrichtlinien entsprechend konfiguriert sind, um Datenverkehr basierend auf Ihren gewünschten Sicherheitskonfigurationen zu erlauben bzw. zu verweigern.

Konfigurieren von Routingrichtlinien für virtuelle Netzwerkgeräte (über das Virtual WAN-Portal)

Hinweis

Das einzige virtuelle Netzwerkgerät, das im Virtual WAN-Hub mit Routingabsicht und Routingrichtlinien kompatibel ist, wird im Abschnitt Partner als Doppelrollen-Konnektivität und Anbieter von Firewall-Lösungen der nächsten Generation aufgeführt.

  1. Navigieren Sie über den benutzerdefinierten Portallink in der Bestätigungs-E-Mail von Schritt 3 im Abschnitt Voraussetzungen zu dem Virtual WAN-Hub, für den Sie Routingrichtlinien konfigurieren möchten.

  2. Unter Routing die Option Routingrichtlinien auswählen.

    Screenshot: Navigieren zu den Routingrichtlinien

  3. Wenn Sie eine private Datenverkehrs-Routingrichtlinie (für Zweigstellen- und virtuellem Netzwerkdatenverkehr) konfigurieren möchten, wählen Sie Virtuelles Netzwerkgerät unter Privater Verkehr und unter Nächster Hop Ressource die Virtuelle Netzwerkgeräte-Ressource, an die Sie Datenverkehr senden möchten.

    Screenshot: Konfiguration der privaten NVA-Routing-Richtlinien

  4. Wenn Sie eine Routingrichtlinie für privaten Datenverkehr konfigurieren möchten und Zweigstellen oder virtuelle Netzwerke haben, die Nicht-IANA-RFC1918-Präfixe verwenden, wählen Sie Zusätzliche Präfixe aus und geben Sie die Nicht-IANA-RFC1918-Präfixbereiche im angezeigten Textfeld an. Wählen Sie Fertigaus.

    Hinweis

    Zum jetzigen Zeitpunkt erlauben die Routingrichtlinien für virtuelle Netzwerkgeräte nicht die Bearbeitung der RFC1918-Präfixe. Virtual WAN gibt die RFC1918-Aggregatpräfixe an alle in Spokes befindlichen virtuellen Netzwerke, Gateways sowie an virtuelle Netzwerkgeräte weiter. Achten Sie auf die Auswirkungen der Weitergabe dieser Präfixe in Ihrer Umgebung, und erstellen Sie die entsprechenden Richtlinien in Ihrem virtuellen Netzwerkgerät, um das Routingverhalten zu steuern.

    Screenshot: Konfigurieren zusätzlicher privater Präfixe für NVA-Routingrichtlinien.

  5. Wenn Sie eine Routingrichtlinie für den Internetverkehr konfigurieren möchten, wählen Sie unter Internetverkehr die Option Virtuelles Netzwerkgerät und unter Ressource des nächsten Hops das virtuelle Netzwerkgerät aus, an das Sie den internetgebundener Datenverkehr senden möchten.

    Screenshot: Konfigurieren öffentlicher Routingrichtlinien für NVA.

  6. Zum Anwenden Ihrer Routingabsicht- und Routing-Richtlinienkonfiguration auf Speichern klicken.

    Screenshot: Speichern von Routingrichtlinienkonfigurationen

  7. Wiederholen Sie dies für alle Hubs, für die Sie Routing-Richtlinien konfigurieren möchten.

  8. An diesem Punkt können Sie Testdatenverkehr senden. Stellen Sie sicher, dass Ihre Firewallrichtlinien entsprechend konfiguriert sind, um Datenverkehr basierend auf Ihren gewünschten Sicherheitskonfigurationen zu erlauben bzw. zu verweigern.

Beispiele für die Konfiguration von Routingrichtlinien

Im folgenden Abschnitt werden zwei gängige Szenarien beschrieben, in denen Kunden Routingrichtlinien auf geschützte Virtual WAN-Hubs anwenden.

Alle Virtual WAN-Hubs sind gesichert (bereitgestellt mit Azure Firewall oder NVA)

Alle Virtual WAN-Hubs werden in diesem Szenario mit einer Azure Firewall oder NVA darin bereitgestellt. In diesem Szenario können Sie auf jedem Virtual WAN-Hub eine Richtlinie für das Routing von Internetdatenverkehr, eine Richtlinie für das Routing von privatem Datenverkehr oder beide Richtlinien konfigurieren.

Screenshot: Architektur mit zwei geschützten Hubs

Betrachten Sie die folgende Konfiguration, bei der Hub 1 und Hub 2 über Routingrichtlinien für privaten und Internetdatenverkehr verfügen.

Hub 1-Konfiguration:

  • Richtlinie für privaten Datenverkehr mit Next Hop Hub 1 Azure Firewall oder NVA
  • Internetdatenverkehrsrichtlinie mit Next Hop Hub 1 Azure Firewall oder NVA

Hub 2-Konfiguration:

  • Richtlinie für privaten Datenverkehr mit Next Hop Hub 2 Azure Firewall oder NVA
  • Internetdatenverkehrsrichtlinie mit Next Hop Hub 2 Azure Firewall oder NVA

Im Folgenden sind die Datenverkehrsflüsse aufgeführt, die sich aus einer solchen Konfiguration ergeben.

Hinweis

Der Internetdatenverkehr muss die lokale Azure Firewall-Instanz durchlaufen, da die Standardroute (0.0.0.0/0) nicht über Hubs hinweg weitergegeben wird.

From To VNets von Hub 1 Branches von Hub 1 VNets von Hub 2 Branches von Hub 2 Internet
VNets von Hub 1 Hub 1 AzFW oder NVA Hub 1 AzFW oder NVA Hub 1 und 2 AzFW oder NVA Hub 1 und 2 AzFW oder NVA Hub 1 AzFW oder NVA
Branches von Hub 1 Hub 1 AzFW oder NVA Hub 1 AzFW oder NVA Hub 1 und 2 AzFW oder NVA Hub 1 und 2 AzFW oder NVA Hub 1 AzFW oder NVA
VNets von Hub 2 Hub 1 und 2 AzFW oder NVA Hub 1 und 2 AzFW oder NVA Hub 2 AzFW oder NVA Hub 2 AzFW oder NVA Hub 2 AzFW oder NVA
Branches von Hub 2 Hub 1 und 2 AzFW oder NVA Hub 1 und 2 AzFW oder NVA Hub 2 AzFW oder NVA Hub 2 AzFW oder NVA Hub 2 AzFW oder NVA

Mischung aus geschützten und regulären Virtual WAN-Hubs

Nicht alle Virtual WAN-Hubs werden in diesem Szenario mit einer Azure Firewall oder virtuellen Netzwerkgeräten bereitgestellt. In diesem Szenario können Sie auf den geschützten Virtual WAN-Hubs eine Richtlinie für das Routing von Internetdatenverkehr und eine Richtlinie für das Routing von privatem Datenverkehr konfigurieren.

Betrachten Sie die folgende Konfiguration, bei der Hub 1 (Normal) und Hub 2 (Geschützt) in einem Virtual WAN bereitgestellt werden. Hub 2 verfügt über Routingrichtlinien für privaten und Internetdatenverkehr.

Hub 1-Konfiguration:

  • N/A (Routingrichtlinien können nicht konfiguriert werden, wenn der Hub nicht mit Azure Firewall oder NVA bereitgestellt wird)

Hub 2-Konfiguration:

  • Richtlinie für privaten Datenverkehr mit Next Hop Hub 2 Azure Firewall oder NVA
  • Internetdatenverkehrsrichtlinie mit Next Hop Hub 2 Azure Firewall oder NVA

Screenshot: Architektur mit einem geschützten Hub und einem normalen Hub

Im Folgenden sind die Datenverkehrsflüsse aufgeführt, die sich aus einer solchen Konfiguration ergeben. Branches und virtuelle Netzwerke, die mit Hub 1 verbunden sind, können über Azure Firewall im Hub nicht auf das Internet zugreifen, da die Standardroute (0.0.0.0/0) nicht über Hubs weitergegeben wird.

From To VNets von Hub 1 Branches von Hub 1 VNets von Hub 2 Branches von Hub 2 Internet
VNets von Hub 1 Direkt Direkt Hub 2 AzFW oder NVA Hub 2 AzFW oder NVA -
Branches von Hub 1 Direkt Direkt Hub 2 AzFW oder NVA Hub 2 AzFW oder NVA -
VNets von Hub 2 Hub 2 AzFW oder NVA Hub 2 AzFW oder NVA Hub 2 AzFW oder NVA Hub 2 AzFW oder NVA Hub 2 AzFW oder NVA
Branches von Hub 2 Hub 2 AzFW oder NVA AzFW von Hub 2 Hub 2 AzFW oder NVA Hub 2 AzFW oder NVA Hub 2 AzFW oder NVA

Problembehandlung

Der folgende Abschnitt beschreibt häufige Probleme, die beim Konfigurieren von Routingrichtlinien auf Ihrem Virtual WAN-Hub auftreten. Lesen Sie die folgenden Abschnitte, und wenn Ihr Problem immer noch nicht behoben ist, wenden Sie sich an previewinterhub@microsoft.com, um Unterstützung zu erhalten. Erwarten Sie eine Antwort innerhalb von 48 Stunden (innerhalb der Geschäftszeiten von Montag-Freitag).

Problembehandlung von Konfigurationsproblemen

  • Vergewissern Sie sich, dass Sie von previewinterhub@microsoft.com die Bestätigung erhalten haben, dass Sie für Ihr Abonnement und die von Ihnen gewählte Region Zugriff auf die geschlossene öffentliche Vorschauversion erhalten haben. Sie können Routingrichtlinien nicht konfigurieren, ohne zuvor Zugriff auf die Vorschauversion zu erhalten.

  • Stellen Sie nach der Aktivierung der Routingrichtlinienfunktion für Ihre Bereitstellung sicher, dass Sie nur den Link zum benutzerdefinierten Portal verwenden, der als Teil Ihrer Bestätigungs-E-Mail bereitgestellt wurde. Verwenden Sie keine PowerShell-, CLI- oder REST-API-Aufrufe, um Ihre Virtual WAN-Bereitstellungen zu verwalten. Dazu gehört das Erstellen neuer Branchverbindungen (Site-to-Site-VPN, Point-to-Site-VPN oder ExpressRoute).

    Hinweis

    Wenn Sie Terraform verwenden, werden Routingrichtlinien derzeit nicht unterstützt.

  • Stellen Sie sicher, dass Ihre virtuellen Hubs nicht über benutzerdefinierte Routentabellen oder statische Routen in „defaultRouteTable“ verfügen. Sie werden nicht in der Lage sein, die Option Enable Interhub (Interhub aktivieren) in Firewall Manager auf Ihrem Virtual WAN-Hub auszuwählen, wenn benutzerdefinierte Routingtabellen konfiguriert sind oder wenn statische Routen in Ihrer „defaultRouteTable“ vorhanden sind.

Problembehandlung für den Datenpfad

  • Derzeit ist die Verwendung von Azure Firewall zur Überprüfung des Datenverkehrs zwischen Hubs für Virtual WAN-Hubs verfügbar, die in der gleichen Azure-Region bereitgestellt werden. Untersuchung zwischen Hubs für Virtual WAN-Hubs, die sich in verschiedenen Azure-Regionen befinden, ist in begrenztem Umfang verfügbar. Um eine Liste der verfügbaren Regionen zu erhalten, senden Sie eine E-Mail an previewinterhub@microsoft.com.
  • Derzeit werden Richtlinien für das Routing von privatem Datenverkehr nicht in Hubs mit verschlüsselten ExpressRoute-Verbindungen unterstützt (Site-to-Site-VPN-Tunnel, die über ExpressRoute (private Verbindung) ausgeführt werden).
  • Sie können überprüfen, ob die Routingrichtlinien ordnungsgemäß angewendet wurden, indem Sie die effektiven Routen von „DefaultRouteTable“ überprüfen. Wenn private Routingrichtlinien konfiguriert sind, sollten Sie in „DefaultRouteTable“ Routen für private Datenverkehrspräfixe mit dem nächsten Hop „Azure Firewall“ sehen. Wenn Routingrichtlinien für Internetdatenverkehr konfiguriert sind, sollten Sie eine Standardroute (0.0.0.0/0) in „DefaultRouteTable“ mit dem nächsten Hop „Azure Firewall“ sehen.
  • Wenn Site-to-Site-VPN-Gateways oder Point-to-Site-VPN-Gateways erstellt wurden, nachdem die Aktivierung des Features für Ihre Bereitstellung bestätigt wurde, müssen Sie sich erneut an previewinterhub@microsoft.com wenden, um das Feature aktivieren zu lassen.
  • Wenn Sie private Routingrichtlinien mit ExpressRoute verwenden, beachten Sie, dass Ihre ExpressRoute-Leitung keine genauen Adressbereiche für die RFC1918-Adressbereiche ankündigen kann (gilt für 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). Stellen Sie sicher, dass Sie spezifischere Subnetze (innerhalb von RFC1918-Bereichen) im Gegensatz zu aggregierten Supernetzen ankündigen. Wenn Ihre ExpressRoute-Leitung ein anderes Präfix als ein RFC1918-Präfix in Azure ankündigt, stellen Sie außerdem sicher, dass die im Textfeld für Präfixe für privaten Datenverkehr angegebenen Adressbereiche weniger spezifisch sind als angekündigte ExpressRoute-Routen. Wenn die ExpressRoute-Leitung beispielsweise 40.0.0.0/24 aus der lokalen Umgebung ankündigt, geben Sie im Textfeld für Präfixe für privaten Datenverkehr den CIDR-Bereich /23 oder einen größeren Bereich (Beispiel: 40.0.0.0.0/23) ein.
  • Stellen Sie sicher, dass Sie in einem einzelnen Virtual WAN-Hub nicht sowohl Richtlinien für privates Routing als auch Richtlinien für Internetrouting eingerichtet haben. Die Konfiguration von Richtlinien sowohl für privates Routing als auch für Internetrouting im selben Hub wird derzeit nicht unterstützt und führt dazu, dass ExpressRoute-, Standort-zu-Standort-VPN- und Punkt-zu-Standort-VPN-Gateways in einen Fehlerzustand versetzt werden und die Datenpfadkonnektivität zu Azure unterbrochen wird.

Problembehandlung für Azure Firewall

  • Wenn Sie in Ihren Branches/Virtuellen Netzwerken Präfixe verwenden, die nicht IANA RFC1918 entsprechen, müssen Sie diese Präfixe im Textfeld „Private Präfixe“ in Firewall Manager angeben.
  • Wenn Sie Nicht-RFC1918-Adressen als Teil des Textfelds Präfixe für privaten Datenverkehr in Firewall Manager angegeben haben, müssen Sie möglicherweise SNAT-Richtlinien für Ihre Firewall konfigurieren, um SNAT für nicht RFC1918 entsprechenden privaten Datenverkehr zu deaktivieren. Weitere Informationen finden Sie in folgenden Dokument.
  • Konfigurieren und anzeigen der Azure Firewall-Protokolle, um die Problembehandlung und Analyse Ihres Netzwerkdatenverkehrs zu unterstützen. Weitere Informationen zur Einrichtung der Überwachung für Azure Firewall finden Sie im folgenden Dokument. Eine Übersicht über die verschiedenen Arten von Firewallprotokollen finden Sie hier.
  • Weitere Informationen zu Azure Firewall finden Sie in der Azure Firewall-Dokumentation.

Häufig gestellte Fragen

Als Teil der geschlossenen öffentlichen Vorschau von Routingrichtlinien wird das Routing Ihres Virtual WAN-Hubs vollständig von Firewall Manager verwaltet. Außerdem wird die verwaltete Vorschau von Routingrichtlinien neben dem benutzerdefinierten Routing nicht unterstützt. Benutzerdefiniertes Routing mit Routingrichtlinien wird zu einem späteren Zeitpunkt unterstützt.

Sie können jedoch weiterhin die effektiven Routen der „DefaultRouteTable“ anzeigen, indem Sie zur Registerkarte Effektive Routen navigieren.

Wenn Sie Routingrichtlinien für privaten Datenverkehr auf Ihrem Virtual WAN-Hub konfiguriert haben, enthält die effektive Routingtabelle nur Routen für RFC1918-Supernetze sowie alle zusätzlichen Adresspräfixe, die im Textfeld „Zusätzliche Präfixe für privaten Datenverkehr“ angegeben wurden.

Kann ich eine Routingrichtlinie für privaten Datenverkehr konfigurieren und auch Internetdatenverkehr (0.0.0.0/0) über ein virtuelles Netzwerkgerät in einem virtuellen Spoke-Netzwerk senden?

Dieses Szenario wird in der geschlossenen öffentlichen Vorschau nicht unterstützt. Wenden Sie sich jedoch an previewinterhub@microsoft.com, um Ihr Interesse an der Implementierung dieses Szenarios zu bekunden.

Wird die Standardroute (0.0.0.0/0) über Hubs hinweg weitergegeben?

Nein. Derzeit senden Branches und virtuelle Netzwerke den Datenverkehr über eine Azure Firewall-Instanz, die innerhalb des Virtual WAN-Hubs, mit dem die Branches und virtuellen Netzwerke verbunden sind, bereitgestellt wird, in das Internet. Sie können keine Verbindung konfigurieren, um über die Firewall in einem Remotehub auf das Internet zuzugreifen.

Warum werden aggregierte RFC1918-Präfixe für meine lokalen Geräte angekündigt?

Wenn Routingrichtlinien für privaten Datenverkehr konfiguriert sind, kündigen die Virtual WAN-Gateways zusätzlich zu den expliziten Präfixen für Branches und virtuelle Netzwerke automatisch statische Routen an, die in der Standardroutingtabelle enthalten sind (RFC1918-Präfixe: 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16).

Warum treten für meine Gateways (Site-to-Site-VPN, Point-to-Site-VPN, ExpressRoute) Fehler auf?

Derzeit gibt es eine Einschränkung: Wenn Internet- und private Routingrichtlinien gleichzeitig auf demselben Hub konfiguriert werden, treten für Gateways Fehler auf, was bedeutet, dass Ihre Branches nicht mit Azure kommunizieren können. Wenn Sie weitere Informationen dazu erhalten möchten, wann diese Einschränkung aufgehoben wird, wenden Sie sich an previewinterhub@microsoft.com.

Nächste Schritte

Weitere Informationen zum Routing für virtuelle Hubs finden Sie unter Informationen zum Routing virtueller Hubs. Weitere Informationen zu Virtual WAN finden Sie unter Häufig gestellte Fragen.