À propos du tunneling forcé pour les configurations de site à site

Cet article vous aide à comprendre le fonctionnement du tunneling forcé pour les connexions IPsec de site à site (S2S). Par défaut, le trafic Internet provenant de vos charges de travail et machines virtuelles au sein d’un réseau virtuel est envoyé directement sur Internet.

Un tunneling forcé vous permet de rediriger ou de « forcer » tout le trafic Internet vers votre emplacement local via un tunnel VPN S2S à des fins d’inspection et d’audit. Il s’agit d’une condition de sécurité critique pour la plupart des stratégies informatiques d’entreprise. L’accès Internet non autorisés est susceptible d’entraîner la divulgation d’informations ou tout autre type de violation de sécurité.

L’exemple suivant montre tout le trafic Internet forcé via la passerelle VPN vers l’emplacement local à des fins d’inspection et d’audit.

Méthodes de configuration pour le tunneling forcé

Il existe plusieurs façons différentes de configurer le tunneling forcé.

Configurer en utilisant BGP

Vous pouvez configurer le tunneling forcé pour la passerelle VPN via BGP. Vous devez publier un itinéraire par défaut 0.0.0.0/0 via BGP depuis votre emplacement local vers Azure afin que tout votre trafic Azure soit envoyé via le tunnel S2S de la passerelle VPN.

Configurer en utilisant le site par défaut

Vous pouvez configurer le tunneling forcé en définissant le site par défaut pour votre passerelle VPN basée sur des routes. Pour en connaître les étapes, consultez Tunneling forcé via le site par défaut.

• Vous affectez un site par défaut à la passerelle de réseau virtuel en utilisant PowerShell.
• Le périphérique VPN local doit être configuré à l’aide de 0.0.0.0/0 comme des sélecteurs de trafic.

Routage du trafic lié à Internet pour des sous-réseaux spécifiques

Par défaut, tout le trafic lié à Internet passe directement par Internet si vous n’avez pas configuré de tunneling forcé. Quand le tunneling forcé est configuré, tout le trafic lié à Internet est envoyé à votre emplacement local.

Dans certains cas, vous souhaitez que le trafic lié à Internet provenant seulement de certains sous-réseaux (mais pas de tous les sous-réseaux) passe directement de l’infrastructure réseau Azure à Internet au lieu de votre emplacement local. Ce scénario peut être configuré en utilisant une combinaison de tunneling forcé et de routes personnalisées de réseau virtuel définies par l’utilisateur. Pour en connaître les étapes, consultez Router le trafic lié à Internet pour des sous-réseaux spécifiques.

Étapes suivantes

• Consultez Comment configurer le tunneling forcé via un site par défaut pour les connexions S2S de passerelle VPN.

• Pour plus d’informations sur le trafic de réseau virtuel, consultez Routage du trafic de réseau virtuel.