Scénario : Isolation personnalisée pour réseaux virtuels
Lorsque vous travaillez avec le routage de hub virtuel Virtual WAN, il existe un certain nombre de scénarios disponibles. Dans un scénario d’isolement personnalisé de réseaux virtuels, l’objectif est d’empêcher un ensemble spécifique de réseaux virtuels d’atteindre un autre ensemble spécifique de réseaux virtuels. Toutefois, les réseaux virtuels sont nécessaires pour atteindre toutes les branches (VPN/ER/VPN utilisateur). Pour plus d’informations sur le routage de hub virtuel, consultez À propos du routage de hub virtuel.
Conception
Pour déterminer le nombre de tables de routage nécessaires, vous pouvez créer une matrice de connectivité. Dans ce scénario, celle-ci se présente comme suit, où chaque cellule indique si une source (ligne) peut communiquer avec une destination (colonne) :
| Du | Par : | Réseaux virtuels bleus | Réseaux virtuels rouges | Branches |
|---|---|---|---|---|
| Réseaux virtuels bleus | → | Direct | Direct | |
| Réseaux virtuels rouges | → | Direct | Direct | |
| Branches | → | Direct | Direct | Direct |
Chacune des cellules du tableau précédent indique si une connexion Virtual WAN (côté « De » du flux, les en-têtes de lignes) communique avec une destination (côté « À » du flux, en-têtes de colonne en italique). Dans ce scénario, il n’y a ni pare-feu ni appliances virtuelles réseau, de sorte que les communications circulent directement sur Virtual WAN (d’où le mot « Direct » dans le tableau).
Le nombre de modèles de ligne différents correspond au nombre de tables de routage dont nous avons besoin dans ce scénario. Dans ce cas, les trois tables de routage que nous appelons sont RT_BLUE et RT_RED pour les réseaux virtuels, et Par défaut pour les branches. N’oubliez pas que les branches doivent toujours être associées à la table de routage Par défaut.
Les branches doivent apprendre les préfixes des réseaux virtuels en Rouge et en Bleu, afin que tous les réseaux virtuels se propagent à la table Par défaut (en plus de la table d’origine RT_BLUE ou RT_RED). Les réseaux virtuels en Bleu et en Rouge doivent apprendre les préfixes des branches, afin que les branches se propagent elles aussi aux tables de routage RT_BLUE et RT_RED. Voici donc la conception finale :
- Réseaux virtuels bleus :
- Table de routage associée : RT_BLUE
- Propagation aux tables de routage : RT_BLUE et Par défaut
- Réseaux virtuels rouges :
- Table de routage associée : RT_RED
- Propagation aux tables de routage : RT_RED et Par défaut
- Branches :
- Table de routage associée : Par défaut
- Propagation aux tables de routage : RT_BLUE, RT_RED et Par défaut
Notes
Étant donné que toutes les branches doivent être associées à la table de routage Par défaut et se propager vers le même ensemble de tables de routage, toutes les branches ont le même profil de connectivité. Autrement dit, le concept Rouge/Bleu des réseaux virtuels ne peut pas être appliqué aux branches.
Notes
Si votre Virtual WAN est déployé sur plusieurs hubs, vous devez créer les tables de routage RT_BLUE et RT_RED dans chaque hub, et les itinéraires de chaque connexion de réseau virtuel doivent être propagés aux tables de routage dans chaque hub virtuel à l’aide des étiquettes de propagation.
Pour plus d’informations sur le routage de hub virtuel, consultez À propos du routage de hub virtuel.
Workflow
Dans figure 1, il y a des connexions de réseaux virtuels en bleu et en rouge.
- Les réseaux virtuels connectés en Bleu peuvent s’atteindre entre eux et atteindre toutes les connexions de branches (VPN/ER/P2S).
- Les réseaux virtuels en Rouge peuvent s’atteindre entre eux et atteindre toutes les connexions de branches (VPN/ER/P2S).
Suivez les étapes ci-dessous lors de la configuration du routage.
- Créez deux tables de routage personnalisées dans le Portail Azure, RT_BLUE et RT_RED.
- Pour la table de routage RT_BLUE, pour les paramètres suivants :
- Association : Sélectionnez tous les réseaux virtuels bleus.
- Propagation : pour les Branches, sélectionnez l’option des branches, ce qui implique que les connexions de branche (VPN/ER/P2S) propagent les itinéraires vers cette table de routage.
- Répétez les mêmes étapes pour la table de routage RT_RED pour les réseaux virtuels rouges et les branches (VPN/ER/P2S).
Cela entraîne la modification de la configuration du routage, comme illustré dans la figure suivante.
Figure 1
Étapes suivantes
- Pour plus d’informations sur Virtual WAN, consultez la FAQ.
- Pour plus d’informations sur le routage de hub virtuel, consultez À propos du routage de hub virtuel.