Virtuális WAN-központ útválasztási szándékának és útválasztási szabályzatainak konfigurálása

A Virtual WAN Hub útválasztási szándéka lehetővé teszi egyszerű és deklaratív útválasztási szabályzatok beállítását, hogy forgalmat küldjön a vezetéken belüli biztonsági megoldásoknak, például az Azure Firewallnak, a hálózati virtuális berendezéseknek vagy a Virtual WAN hubon üzembe helyezett szolgáltatásként telepített szoftveres (SaaS-) megoldásoknak.

Háttér

Az útválasztási szándékkal és útválasztási szabályzatokkal konfigurálhatja a Virtual WAN-központot úgy, hogy az internethez kötött és privát (pont–hely VPN, helyek közötti VPN, ExpressRoute, virtuális hálózat és hálózati virtuális berendezés) forgalmat továbbítsa egy Azure Firewallra, a következő generációs tűzfalhálózati virtuális berendezésre (NGFW-NVA) vagy a virtuális központban üzembe helyezett biztonsági szoftveres (SaaS) megoldásra.

Az útválasztási szabályzatok két típusa létezik: az internetes forgalomra és a privát forgalomra vonatkozó útválasztási szabályzatok. Minden virtuális WAN-központ legfeljebb egy internetes forgalomirányítási szabályzattal és egy privát forgalomirányítási szabályzattal rendelkezhet, amelyek mindegyike egyetlen Next Hop erőforrással rendelkezik. Bár a privát forgalom ág- és virtuális hálózati címelőtagokat is tartalmaz, az útválasztási szabályzatok az útválasztási szándék fogalmaiban egyetlen entitásként tekintenek rájuk.

• Internetes forgalomirányítási szabályzat: Ha egy internetes forgalomirányítási szabályzat egy Virtuális WAN-központban van konfigurálva, az összes ág (távoli felhasználói VPN (pont–hely VPN), helyek közötti VPN és ExpressRoute) és virtuális hálózati kapcsolatok az adott Virtuális WAN Hubra továbbítja az internethez kötött forgalmat az Azure Firewall, a külső biztonsági szolgáltató, a hálózati virtuális berendezés vagy az SaaS-megoldás számára, amely az útválasztási szabályzat részeként van meghatározva.

  Más szóval, ha egy internetes forgalomirányítási szabályzatot egy Virtuális WAN-központban konfigurálnak, a Virtual WAN egy alapértelmezett (0.0.0.0/0) útvonalat hirdet az összes küllőhöz, átjáróhoz és hálózati virtuális berendezéshez (a küllőn vagy a küllőn üzembe helyezve).

• Privát forgalomirányítási szabályzat: Ha egy privát forgalomirányítási szabályzatot egy Virtuális WAN-központon konfigurál, a rendszer a Virtual WAN Hub összes ág- és virtuális hálózati forgalmát , beleértve a központközi forgalmat is, a következő Ugrás Azure-tűzfalra, hálózati virtuális berendezésre vagy SaaS-megoldáserőforrásra továbbítja.

  Más szóval, ha egy privát forgalomirányítási szabályzat van konfigurálva a Virtual WAN Hubon, az összes ág-ág, ág–virtuális hálózat, virtuális hálózat közötti és központközi forgalom az Azure Firewallon, a hálózati virtuális berendezésen vagy a Virtual WAN Hubon üzembe helyezett SaaS-megoldáson keresztül lesz elküldve.

Használati esetek

Az alábbi szakasz két gyakori forgatókönyvet ismertet, amelyekben az útválasztási szabályzatok a biztonságos virtuális WAN-központokra vonatkoznak.

Minden virtuális WAN Hub védett (azure firewall, NVA vagy SaaS megoldással üzembe helyezve)

Ebben a forgatókönyvben az összes Virtual WAN-központ azure-tűzfallal, NVA-val vagy SaaS-megoldással van üzembe helyezve. Ebben a forgatókönyvben konfigurálhat egy internetes forgalomirányítási szabályzatot, egy privát forgalomirányítási szabályzatot vagy mindkettőt az egyes Virtual WAN Hubokon.

Fontolja meg az alábbi konfigurációt, amelyben a Hub 1 és a Hub 2 útválasztási szabályzatokkal rendelkezik mind a magán-, mind az internetes forgalomhoz.

1. központ konfigurációja:

• Privát forgalmi szabályzat a Next Hop Hub 1 Azure Firewall, NVA vagy SaaS megoldással
• Internet traffic policy with Next Hop Hub 1 Azure Firewall, NVA vagy SaaS solution

2. központ konfigurációja:

• Privát forgalmi szabályzat a Next Hop Hub 2 Azure Firewall, NVA vagy SaaS megoldással
• Internet traffic policy with Next Hop Hub 2 Azure Firewall, NVA vagy SaaS solution

Az alábbiakban az ilyen konfigurációkból eredő forgalomfolyamatok szerepelnek.

Feljegyzés

Az internetes forgalomnak a központi helyi biztonsági megoldáson keresztül kell haladnia, mivel az alapértelmezett útvonal (0.0.0.0/0) nem propagálja a központokat.

Forrás	Művelet	Hub 1 virtuális hálózatok	1. központ ágai	Hub 2 virtuális hálózatok	Hub 2 ágak	Internet
Hub 1 virtuális hálózatok	→	Hub 1 AzFW vagy NVA	Hub 1 AzFW vagy NVA	Hub 1 és 2 AzFW, NVA vagy SaaS	Hub 1 és 2 AzFW, NVA vagy SaaS	Hub 1 AzFW, NVA vagy SaaS
1. központ ágai	→	Hub 1 AzFW, NVA vagy SaaS	Hub 1 AzFW, NVA vagy SaaS	Hub 1 és 2 AzFW, NVA vagy SaaS	Hub 1 és 2 AzFW, NVA vagy SaaS	Hub 1 AzFW, NVA vagy SaaS
Hub 2 virtuális hálózatok	→	Hub 1 és 2 AzFW, NVA vagy SaaS	Hub 1 és 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS
2. központ ágai	→	Hub 1 és 2 AzFW, NVA vagy SaaS	Hub 1 és 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS	Hub 2AzFW, NVA vagy SaaS

Biztonságos és normál Virtual WAN Hubok üzembe helyezése

Ebben a forgatókönyvben a WAN-ban nem minden központ biztonságos virtuális WAN Hub (azok a központok, amelyekben biztonsági megoldás van üzembe helyezve).

Fontolja meg a következő konfigurációt, amelyben a Hub 1 (Normál) és a Hub 2 (Biztonságos) üzembe helyezve van egy Virtuális WAN-ban. A Hub 2 útválasztási szabályzatokkal rendelkezik mind a magán-, mind az internetes forgalomhoz.

1. központ konfigurációja:

• N/A (nem tudja konfigurálni az útválasztási szabályzatokat, ha a központ nincs üzembe helyezve az Azure Firewall, az NVA vagy az SaaS megoldással)

2. központ konfigurációja:

• Privát forgalmi szabályzat a Next Hop Hub 2 Azure Firewall, NVA vagy SaaS megoldással.
• Internet traffic policy with Next Hop Hub 2 Azure Firewall, NVA vagy SaaS solution.

Az alábbiakban az ilyen konfigurációkból eredő forgalomfolyamatok szerepelnek. Az 1. központhoz csatlakoztatott ágak és virtuális hálózatok nem tudják elérni az internetet a Központban üzembe helyezett biztonsági megoldáson keresztül, mert az alapértelmezett útvonal (0.0.0.0/0) nem propagálja a központokat.

Forrás	Művelet	Hub 1 virtuális hálózatok	1. központ ágai	Hub 2 virtuális hálózatok	Hub 2 ágak	Internet
Hub 1 virtuális hálózatok	→	Közvetlen	Közvetlen	Hub 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS	-
1. központ ágai	→	Közvetlen	Közvetlen	Hub 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS	-
Hub 2 virtuális hálózatok	→	Hub 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS
2. központ ágai	→	Hub 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS	Hub 2 AzFW, NVA vagy SaaS

Ismert korlátozások

• Az útválasztási szándék jelenleg nyilvános Azure-ban érhető el. A 21Vianet és az Azure Government által üzemeltetett Microsoft Azure jelenleg ütemtervben van.
• Az útválasztási szándék leegyszerűsíti az útválasztást az útvonaltábla-társítások és -propagálások kezelésével minden kapcsolat esetében (virtuális hálózat, helyek közötti VPN, pont–hely VPN és ExpressRoute). Az egyéni útvonaltáblákkal és testreszabott szabályzatokkal rendelkező virtuális WAN-k ezért nem használhatók az Útválasztási szándék szerkezetekkel.
• A titkosított ExpressRoute (Az ExpressRoute-kapcsolatcsoportokon futó helyek közötti VPN-alagutak) támogatottak azokban a központokban, ahol az útválasztási szándék akkor van konfigurálva, ha az Azure Firewall úgy van konfigurálva, hogy engedélyezze a VPN-alagútvégpontok közötti forgalmat (helyek közötti VPN Gateway privát IP-cím és helyszíni VPN-eszköz privát IP-címe). A szükséges konfigurációkkal kapcsolatos további információkért lásd : Titkosított ExpressRoute útválasztási szándékkal.
• Az útválasztási szándék nem támogatja a következő kapcsolathasználati eseteket:
  • A defaultRouteTable azon statikus útvonalai, amelyek virtuális hálózati kapcsolatra mutatnak, nem használhatók az útválasztási szándékkal együtt. Azonban használhatja a BGP társviszony-létesítési funkciót.
  • Az SD-WAN kapcsolati NVA és egy különálló NVA-tűzfal vagy SaaS-megoldás ugyanazon a Virtual WAN hubon való üzembe helyezésének lehetősége jelenleg az ütemtervben található. Miután az útválasztási szándékot konfigurálta a következő ugrásos SaaS-megoldással vagy az NVA tűzfallal, az SD-WAN NVA és az Azure közötti kapcsolat is érintett lesz. Ehelyett helyezze üzembe az SD-WAN NVA-t és az NVA tűzfalat vagy az SaaS-megoldást különböző virtuális központokban. Azt is megteheti, hogy az SD-WAN NVA-t a központhoz csatlakoztatott küllős virtuális hálózaton helyezi üzembe, és kihasználja a virtuális központ BGP társviszony-létesítési képességét.
  • A hálózati virtuális berendezések (NVA-k) csak akkor adhatók meg az útválasztási szándék következő ugrási erőforrásaként, ha új generációs tűzfalak vagy kettős szerepkörű következő generációs tűzfalak és SD-WAN NVA-k. Jelenleg az ellenőrzőpont, a fortinet-ngfw és a fortinet-ngfw-and-sdwan az egyetlen olyan NVA, amely konfigurálható az útválasztási szándék következő ugrására. Ha egy másik NVA-t próbál meg megadni, az útválasztási szándék létrehozása meghiúsul. Az NVA típusát úgy ellenőrizheti, hogy a Virtual Hub –> Hálózati virtuális berendezések területre lép, majd megtekinti a Szállító mezőt. A Palo Alto Networks Cloud NGFW az Útválasztási szándék következő ugrásaként is támogatott, de saaS-megoldás típusú következő ugrásnak számít.
  • Azok az útválasztási szándékú felhasználók, akik több ExpressRoute-kapcsolatcsoportot szeretnének csatlakoztatni a Virtual WAN-hoz, és a hubon üzembe helyezett biztonsági megoldáson keresztül szeretnének forgalmat küldeni közöttük, engedélyezhetik a támogatási eset megnyitását a használati eset engedélyezéséhez. További információkért tekintse meg az ExpressRoute-kapcsolatcsoportok közötti kapcsolat engedélyezésének hivatkozását.

Megfontolások

Azok az ügyfelek, akik jelenleg az Azure Firewallt használják a Virtual WAN hubon útválasztási szándék nélkül, engedélyezhetik az útválasztási szándékot az Azure Firewall Manager, a Virtual WAN Hub útválasztási portálja vagy más Azure felügyeleti eszközök (PowerShell, CLI, REST API) használatával.

Az útválasztási szándék engedélyezése előtt fontolja meg a következőket:

• Az útválasztási szándék csak olyan központokon konfigurálható, ahol nincsenek egyéni útvonaltáblák, és nincsenek statikus útvonalak az alapértelmezettRouteTable-ban a következő ugrásos virtuális hálózati Csatlakozás ionnal. További információ: előfeltételek.
• Mentse az átjárók, kapcsolatok és útvonaltáblák másolatát az útválasztási szándék engedélyezése előtt. A rendszer nem menti és alkalmazza automatikusan a korábbi konfigurációkat. További információ: visszaállítási stratégia.
• Az útválasztási szándék a defaultRouteTable statikus útvonalait módosítja. Az Azure Portal optimalizálása miatt az alapértelmezettRouteTable állapota az útválasztási szándék konfigurálása után eltérő lehet, ha REST, CLI vagy PowerShell használatával konfigurálja az útválasztási szándékot. További információ: statikus útvonalak.
• Az útválasztási szándék engedélyezése hatással van a helyszíni előtagok hirdetésére. További információkért tekintse meg az előtaghirdetéseket .
• Megnyithat egy támogatási esetet, amely lehetővé teszi az ExpressRoute-kapcsolatcsoportok közötti kapcsolatot egy tűzfalberendezésen keresztül a központban. A kapcsolati minta engedélyezése módosítja az ExpressRoute-kapcsolatcsoportokban meghirdetett előtagokat. További információkért lásd az ExpressRoute-ról szóló témakört .
• Az útválasztási szándék az egyetlen mechanizmus a Virtual WAN-ban, amely lehetővé teszi a központközi forgalom ellenőrzését a központban üzembe helyezett biztonsági berendezéseken keresztül. A központközi forgalomvizsgálathoz engedélyezni kell az útválasztási szándékot az összes hubon annak biztosítása érdekében, hogy a forgalom szimmetrikusan legyen irányítva a Virtuális WAN-központokban üzembe helyezett biztonsági berendezések között.

Előfeltételek

Az útválasztási szándék és szabályzatok engedélyezéséhez a Virtual Hubnak meg kell felelnie az alábbi előfeltételeknek:

• A Virtual Hubon nincsenek egyéni útvonaltáblák üzembe helyezve. Az egyetlen útválasztási tábla, amely létezik, a noneRouteTable és az defaultRouteTable.
• A következő ugrásos virtuális hálózati Csatlakozás ionnal nem rendelkezhet statikus útvonalakkal. Előfordulhat, hogy az alapértelmezettRouteTable statikus útvonalai az Azure Firewall következő ugrásával rendelkeznek.

Az útválasztási szándék konfigurálására szolgáló beállítás szürkére van szürkítve az olyan központok esetében, amelyek nem felelnek meg a fenti követelményeknek.

Az Útválasztási szándék (központközi beállítás engedélyezése) használata az Azure Firewall Managerben további követelmény:

• Az Azure Firewall Manager által létrehozott útvonalak a private_traffic, internet_traffic vagy all_traffic elnevezési konvencióját követik. Ezért a defaultRouteTable összes útvonalának követnie kell ezt az egyezményt.

Visszaállítási stratégia

Feljegyzés

Ha az útválasztási szándék konfigurációja teljesen el van távolítva egy központból, a központhoz tartozó összes kapcsolat úgy van beállítva, hogy az alapértelmezett címkére legyen propagálva (amely a Virtual WAN "all" defaultRouteTables elemére vonatkozik). Ennek eredményeképpen, ha az Útválasztási szándék virtual WAN-ban történő implementálását fontolgatja, mentse a meglévő konfigurációk (átjárók, kapcsolatok, útvonaltáblák) másolatát, hogy az alkalmazásra vonatkozzanak, ha vissza szeretne térni az eredeti konfigurációra. A rendszer nem állítja vissza automatikusan a korábbi konfigurációt.

Az útválasztási szándék leegyszerűsíti az útválasztást és a konfigurálást az útvonaltársítások kezelésével és a központ összes kapcsolatának propagálásával.

Az alábbi táblázat az útválasztási szándék konfigurálása után az összes kapcsolat társított útvonaltábláját és propagált útvonaltábláit ismerteti.

Útválasztási szándék konfigurálása	Társított útvonaltábla	Propagált útvonaltáblák
Internet	defaultRouteTable	alapértelmezett címke (a Virtual WAN összes központjának defaultRouteTable-értéke)
Személyes	defaultRouteTable	noneRouteTable
Internet és privát	defaultRouteTable	noneRouteTable

Statikus útvonalak a defaultRouteTable alkalmazásban

A következő szakasz azt ismerteti, hogy az útválasztási szándék hogyan kezeli a statikus útvonalakat az alapértelmezettRouteTable-ban, ha az útválasztási szándék engedélyezve van egy hubon. Az útválasztási szándék által a defaultRouteTable-ra vonatkozó módosítások visszavonhatatlanok.

Ha eltávolítja az útválasztási szándékot, manuálisan kell visszaállítania az előző konfigurációt. Ezért javasoljuk, hogy az útválasztási szándék engedélyezése előtt mentse a konfiguráció pillanatképét.

Azure Firewall Manager és Virtual WAN Hub Portál

Ha az útválasztási szándék engedélyezve van a központban, a konfigurált útválasztási szabályzatoknak megfelelő statikus útvonalak automatikusan létrejönnek az alapértelmezettRouteTable-ban. Ezek az útvonalak a következők:

Útvonal neve	Előtagok	Következő ugrási erőforrás
_policy_PrivateTraffic	10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12	Azure Firewall
_policy_PublicTraffic	0.0.0.0/0	Azure Firewall

Feljegyzés

Az alapértelmezettRouteTable minden olyan statikus útvonala, amely nem pontosan egyezik a 0.0.0.0/0 vagy a RFC1918 szuperhálókkal (10.0.0.0/8, A 192.168.0.0/16 és a 172.16.0.0/12) automatikusan egyetlen, private_traffic nevű statikus útvonalba van összevonva. A defaultRouteTable azon előtagjai, amelyek megfelelnek RFC1918 szuperhálózatoknak vagy a 0.0.0.0/0-nak, mindig automatikusan törlődnek az útválasztási szándék konfigurálása után, a szabályzat típusától függetlenül.

Vegyük például azt a forgatókönyvet, amelyben a defaultRouteTable az alábbi útvonalakkal rendelkezik az útválasztási szándék konfigurálása előtt:

Útvonal neve	Előtagok	Következő ugrási erőforrás
private_traffic	192.168.0.0/16, 172.16.0.0/12, 40.0.0.0/24, 10.0.0.0/24	Azure Firewall
to_internet	0.0.0.0/0	Azure Firewall
additional_private	10.0.0.0/8, 50.0.0.0/24	Azure Firewall

Ha engedélyezi az útválasztási szándékot ezen a hubon, az a defaultRouteTable következő végállapotát eredményezné. A nem RFC1918 vagy 0.0.0.0/0 előtagok egyetlen, private_traffic nevű útvonalba vannak összesítve.

Útvonal neve	Előtagok	Következő ugrási erőforrás
_policy_PrivateTraffic	10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12	Azure Firewall
_policy_PublicTraffic	0.0.0.0/0	Azure Firewall
private_traffic	40.0.0.0/24, 10.0.0.0/24, 50.0.0.0/24	Azure Firewall

Egyéb módszerek (PowerShell, REST, CLI)

Az útválasztási szándék portálon kívüli metódusokkal történő létrehozása automatikusan létrehozza a megfelelő házirend-útvonalakat az defaultRouteTable alkalmazásban, és eltávolítja a statikus útvonalak olyan előtagjait is, amelyek pontosan megegyeznek a 0.0.0.0/0 vagy RFC1918-szuperhálózatokkal (10.0.0.0/8, 192.168.0.0/16 vagy 172.16.0.0/12). Más statikus útvonalak azonban nem konszolidálódnak automatikusan.

Vegyük például azt a forgatókönyvet, amelyben a defaultRouteTable az alábbi útvonalakkal rendelkezik az útválasztási szándék konfigurálása előtt:

Útvonal neve	Előtagok	Következő ugrási erőforrás
firewall_route_ 1	10.0.0.0/8	Azure Firewall
firewall_route_2	192.168.0.0/16, 10.0.0.0/24	Azure Firewall
firewall_route_3	40.0.0.0/24	Azure Firewall
to_internet	0.0.0.0/0	Azure Firewall

Az alábbi táblázat az alapértelmezettRouteTable végleges állapotát jelöli az útválasztási szándék létrehozása után. Vegye figyelembe, hogy a firewall_route_1 és a to_internet automatikusan el lett távolítva, mivel az útvonalak egyetlen előtagja a 10.0.0.0/8 és a 0.0.0.0/0 volt. firewall_route_2 úgy lett módosítva, hogy eltávolítsa a 192.168.0.0/16-os előtagot, mivel az előtag egy RFC1918 összesítő előtag.

Útvonal neve	Előtagok	Következő ugrási erőforrás
_policy_PrivateTraffic	10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12	Azure Firewall
_policy_PublicTraffic	0.0.0.0/0	Azure Firewall
firewall_route_2	10.0.0.0/24	Azure Firewall
firewall_route_3	40.0.0.0/24	Azure Firewall

Helyszíni hirdetés előtagja

A következő szakasz azt ismerteti, hogy a Virtual WAN hogyan hirdeti meg a helyszíni útvonalakat, miután az útválasztási szándék konfigurálva lett egy Virtuális központban.

Internetes útválasztási szabályzat

Feljegyzés

A 0.0.0.0/0 alapértelmezett útvonal nincs meghirdetve a virtuális központokban.

Ha engedélyezi az internetes útválasztási szabályzatokat a Virtuális központban, a 0.0.0.0/0 alapértelmezett útvonal a központhoz csatlakozó összes kapcsolatra (Virtuális hálózat ExpressRoute, helyek közötti VPN, pont–hely VPN, A központ NVA-jának és BGP-kapcsolatokra) van meghirdetve, ahol az alapértelmezett útvonal propagálása vagy az Internet biztonsági jelölőjének engedélyezése igaz értékre van állítva. Ezt a jelzőt hamis értékre állíthatja minden olyan kapcsolat esetében, amely nem tanulja meg az alapértelmezett útvonalat.

Privát útválasztási szabályzat

Ha egy virtuális központ privát útválasztási szabályzattal van konfigurálva, a Virtual WAN a következő módon hirdeti meg a helyi helyszíni kapcsolatokra irányuló útvonalakat:

• A helyi központ virtuális hálózataiból, az ExpressRoute-ból, a helyek közötti VPN-ből, a pont–hely VPN-ből, az NVA-in-the-hubról vagy a BGP-kapcsolatokból tanult előtagoknak megfelelő útvonalak.
• A távoli központ virtuális hálózataiból, az ExpressRoute-ból, a helyek közötti VPN-ből, a pont–hely VPN-ből, az NVA-in-the-hubról vagy a BGP-kapcsolatokból tanult előtagoknak megfelelő útvonalak, ahol a privát útválasztási szabályzatok vannak konfigurálva.
• A távoli központ virtuális hálózataiból, az ExpressRoute-ból, a helyek közötti VPN-ből, a pont–hely VPN-ből, a központon belüli NVA-ból és a BGP-kapcsolatokból tanult előtagoknak megfelelő útvonalak, ahol az útválasztási szándék nincs konfigurálva , és a távoli kapcsolatok a helyi központ alapértelmezettRouteTable-jára propagálnak.
• Az egyik ExpressRoute-kapcsolatcsoportból tanult előtagok csak akkor jelennek meg más ExpressRoute-kapcsolatcsoportokban, ha a Global Reach engedélyezve van. Ha engedélyezni szeretné az ExpressRoute expressRoute-átvitelét a központban üzembe helyezett biztonsági megoldáson keresztül, nyisson meg egy támogatási esetet. További információt az ExpressRoute-kapcsolatcsoportok közötti kapcsolat engedélyezése című témakörben talál.

ExpressRoute-kapcsolatcsoportok közötti átvitel útválasztási szándékkal

A Virtual WAN-on belüli ExpressRoute-kapcsolatcsoportok közötti tranzitkapcsolat két különböző konfiguráción keresztül érhető el. Mivel ez a két konfiguráció nem kompatibilis, az ügyfeleknek egy konfigurációs lehetőséget kell választaniuk, amely támogatja a két ExpressRoute-kapcsolatcsoport közötti átvitelt.

Feljegyzés

Ha engedélyezni szeretné az ExpressRoute-nak az ExpressRoute-nak az ExpressRoute-ra irányuló átvitelt a hubon található tűzfalberendezésen keresztül, privát útválasztási szabályzatokkal, nyisson meg egy támogatási esetet Microsoft ügyfélszolgálata. Ez a beállítás nem kompatibilis a Global Reach szolgáltatással, és a Virtual WAN-hoz csatlakoztatott összes ExpressRoute-kapcsolatcsoport közötti megfelelő útválasztás biztosításához le kell tiltani a Global Reach szolgáltatást.

• ExpressRoute Global Reach: Az ExpressRoute Global Reach lehetővé teszi, hogy két globális elérésű kapcsolatcsoport közvetlenül a virtuális központ áthaladása nélkül küldjön forgalmat egymás között.
• Útválasztási szándék privát útválasztási szabályzata: A privát útválasztási szabályzatok konfigurálása lehetővé teszi, hogy két ExpressRoute-kapcsolatcsoport forgalmat küldjön egymásnak egy, a központban üzembe helyezett biztonsági megoldáson keresztül.

az ExpressRoute-kapcsolatcsoportok közötti Csatlakozás tivitás a központ tűzfalkészülékén keresztül, útválasztási szándékú privát útválasztási szabályzattal az alábbi konfigurációkban érhető el:

• Mindkét ExpressRoute-kapcsolatcsoport ugyanahhoz a központhoz csatlakozik, és egy privát útválasztási szabályzat van konfigurálva ezen a hubon.
• Az ExpressRoute-kapcsolatcsoportok különböző hubokhoz csatlakoznak, és mindkét hubon privát útválasztási szabályzat van konfigurálva. Ezért mindkét központnak üzembe kell helyeznie egy biztonsági megoldást.

Útválasztási szempontok az ExpressRoute-tal

Feljegyzés

Az alábbi útválasztási szempontok az előfizetés(ek)ben található összes olyan virtuális központra vonatkoznak, amelyeket a Microsoft ügyfélszolgálata engedélyez az ExpressRoute és az ExpressRoute közötti kapcsolat engedélyezéséhez egy központi biztonsági berendezésen keresztül.

Miután engedélyezve lett a virtuális központban üzembe helyezett tűzfalberendezést használó ExpressRoute-kapcsolatcsoportok közötti átvitel, a következő változások várhatók a helyszíni ExpressRoute-nak meghirdetett útvonalak viselkedésében:

• A Virtual WAN automatikusan meghirdeti RFC1918 összesítő előtagokat (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) az ExpressRoute-hoz csatlakoztatott helyszínire. Ezeket az összesített útvonalakat az előző szakaszban leírt útvonalak mellett hirdetjük meg.
• A Virtual WAN automatikusan meghirdeti a defaultRouteTable összes statikus útvonalát a helyszíni ExpressRoute-kapcsolatcsoporthoz. Ez azt jelenti, hogy a Virtual WAN meghirdeti a magánforgalmi előtag szövegmezőjében megadott útvonalakat a helyszínire.

Az útvonalhirdetés változásai miatt ez azt jelenti, hogy az ExpressRoute-hoz csatlakoztatott helyszíni szolgáltatások nem tudnak pontos címtartományokat hirdetni RFC1918 összesített címtartományokhoz (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). Győződjön meg arról, hogy konkrétabb alhálózatokat (RFC1918 tartományokon belül) hirdet, szemben a szuperhálók és a Privát forgalom szövegmezőben lévő előtagok összesítésével.

Ezenkívül ha az ExpressRoute-kapcsolatcsoport nem RFC1918 előtagot hirdet az Azure-ban, győződjön meg arról, hogy a Privát forgalom előtagok szövegmezőbe helyezett címtartományok kevésbé specifikusak, mint az ExpressRoute által meghirdetett útvonalak. Ha például az ExpressRoute-kapcsolatcsoport a 40.0.0.0/24-et reklámozza a helyszínen, helyezzen egy /23 CIDR-tartományt vagy nagyobbat a Privát forgalom előtag szövegmezőbe (például: 40.0.0.0/23).

A hirdetések átirányítása más helyszíni helyekre (helyek közötti VPN, pont-so-hely VPN, NVA) nincs hatással, ha engedélyezi az ExpressRoute-nak az ExpressRoute-nak az ExpressRoute-ra való átvitelét egy, a központban üzembe helyezett biztonsági berendezésen keresztül.

Titkosított ExpressRoute

Ha titkosított ExpressRoute-ot (Egy ExpressRoute-kapcsolatcsoporton keresztül futó helyek közötti VPN-alagutat) szeretne használni útválasztási szándékú privát útválasztási szabályzatokkal, konfiguráljon egy tűzfalszabályt a Virtual WAN helyek közötti VPN-átjáró (forrás) és a helyszíni VPN-eszköz (cél) privát IP-címei közötti forgalom engedélyezéséhez. Azoknak az ügyfeleknek, akik mélycsomag-ellenőrzést végeznek a tűzfaleszközön, javasoljuk, hogy zárja ki a privát IP-címek közötti forgalmat a mélycsomag-vizsgálatból.

A Vpn-konfiguráció letöltésével és a vpnSite Csatlakozás ions – gatewayConfiguration –>> IPAddresses megtekintésével lekérheti a Virtual WAN helyek közötti VPN Gateway privát IP-címeit. Az IPAddresses mezőben felsorolt IP-címek a helyek közötti VPN Gateway egyes példányaihoz rendelt magánhálózati IP-címek, amelyek a VPN-alagutak ExpressRoute-on keresztüli leállítására szolgálnak. Az alábbi példában az átjáró alagút IP-címei a 192.168.1.4 és a 192.168.1.5.

 "vpnSiteConnections": [
      {
        "hubConfiguration": {
          "AddressSpace": "192.168.1.0/24",
          "Region": "South Central US",
          "ConnectedSubnets": [
            "172.16.1.0/24",
            "172.16.2.0/24",
            "172.16.3.0/24",
            "192.168.50.0/24",
            "192.168.0.0/24"
          ]
        },
        "gatewayConfiguration": {
          "IpAddresses": {
            "Instance0": "192.168.1.4",
            "Instance1": "192.168.1.5"
          },
          "BgpSetting": {
            "Asn": 65515,
            "BgpPeeringAddresses": {
              "Instance0": "192.168.1.15",
              "Instance1": "192.168.1.12"
            },
            "CustomBgpPeeringAddresses": {
              "Instance0": [
                "169.254.21.1"
              ],
              "Instance1": [
                "169.254.21.2"
              ]
            },
            "PeerWeight": 0
          }
        }

A VPN-megszakításhoz a helyszíni eszközök által használt magánhálózati IP-címek azok az IP-címek, amelyek a VPN-hely kapcsolatának részeként vannak megadva.

A fenti VPN-konfigurációs minta és VPN-hely használatával hozzon létre tűzfalszabályokat a következő forgalom engedélyezéséhez. A VPN Gateway IP-címének a forrás IP-címnek kell lennie, a helyszíni VPN-eszköznek pedig a cél IP-címnek kell lennie a konfigurált szabályokban.

Szabályparaméter	Érték
Forrás IP-címe	192.168.1.4 és 192.168.1.5
Forrásport	*
Cél IP-címe	10.100.0.4
Célport	*
Protokoll	BÁRMELY

Teljesítmény

A privát útválasztási szabályzatok titkosított ExpressRoute-tal való konfigurálása VPN ESP-csomagokat irányít a következő ugrásos biztonsági berendezésen keresztül, amelyet a központban helyeznek üzembe. Ennek eredményeképpen a Titkosított ExpressRoute maximális VPN-alagút átviteli sebessége mindkét irányban 1 Gb/s lehet (a helyszíni és az Azure-ból kimenő). A VPN-alagút maximális átviteli sebességének eléréséhez vegye figyelembe az alábbi üzembehelyezési optimalizálásokat:

• Az Azure Firewall Premium üzembe helyezése az Azure Firewall Standard vagy az Azure Firewall Basic helyett.
• Győződjön meg arról, hogy az Azure Firewall feldolgozza azt a szabályt, amely engedélyezi a VPN-alagútvégpontok közötti forgalmat (192.168.1.4 és 192.168.1.5 a fenti példában), először úgy, hogy a szabály a legmagasabb prioritással rendelkezzen az Azure Firewall-szabályzatban. További információ az Azure Firewall szabályfeldolgozási logikájáról: Azure Firewall szabályfeldolgozási logika.
• Kapcsolja ki a mélycsomagot a VPN-alagút végpontjai közötti forgalomhoz. Ha tudni szeretné, hogyan konfigurálhatja úgy az Azure Firewallt, hogy kizárja a forgalmat a mélycsomag-vizsgálatból, tekintse át az IDPS megkerülőlistájának dokumentációját.
• Konfigurálja a VPN-eszközöket úgy, hogy GCMAES256 használjon ip Standard kiadás C titkosításhoz és integritáshoz a teljesítmény maximalizálása érdekében.

Útválasztási szándék konfigurálása az Azure Portalon

Az útválasztási szándék és az útválasztási szabályzatok az Azure Portalon konfigurálhatók az Azure Firewall Manager vagy a Virtual WAN portál használatával. Az Azure Firewall Manager portálon útválasztási szabályzatokat konfigurálhat az Azure Firewall következő ugrási erőforrásával. A Virtual WAN portál lehetővé teszi az útválasztási szabályzatok konfigurálását az Azure Firewall következő ugráserőforrásával, a virtuális központban üzembe helyezett hálózati virtuális berendezésekkel vagy az SaaS-megoldásokkal.

Az Azure Firewallt a Virtual WAN által védett központban használó ügyfelek az Azure Firewall Manager "Központközi engedélyezése" beállítását "Engedélyezve" értékre állíthatják az útválasztási szándék használatához, vagy a Virtual WAN portál használatával közvetlenül konfigurálhatják az Azure Firewallt az útválasztási szándék és szabályzatok következő ugrási erőforrásaként. A konfigurációk bármelyik portálon egyenértékűek, és az Azure Firewall Manager változásai automatikusan megjelennek a Virtual WAN portálon, és fordítva.

Útválasztási szándék és szabályzatok konfigurálása az Azure Firewall Manageren keresztül

Az alábbi lépések bemutatják, hogyan konfigurálhatja az útválasztási szándékot és az útválasztási szabályzatokat a virtuális központban az Azure Firewall Manager használatával. Az Azure Firewall Manager csak az Azure Firewall típusú következő ugrási erőforrásokat támogatja.

1. Lépjen ahhoz a virtuális WAN-központhoz, amelyen az útválasztási házirendeket konfigurálni szeretné.

2. A Biztonság területen válassza a Biztonságos virtuális központ beállításait , majd a biztonságos virtuális központ biztonsági szolgáltatói és útvonalbeállításainak kezelése az Azure Firewall Managerben.

3. A menüből válassza ki azt a központot, amelyen be szeretné állítani az útválasztási házirendeket.

4. Válassza a Biztonsági konfiguráció lehetőséget a Gépház

5. Ha internetes forgalomirányítási szabályzatot szeretne konfigurálni, válassza az Azure Firewallt vagy a megfelelő internetbiztonsági szolgáltatót az internetes forgalom legördülő listájából. Ha nem, válassza a Nincs lehetőséget

6. Ha privát forgalomirányítási szabályzatot (ág- és virtuális hálózati forgalomhoz) szeretne konfigurálni az Azure Firewallon keresztül, válassza az Azure Firewallt a privát forgalom legördülő listájából. Ha nem, válassza az Azure Firewall megkerülése lehetőséget.

   

7. Ha privát forgalomirányítási szabályzatot szeretne konfigurálni, és az ágak vagy virtuális hálózatok nem IANA-RFC1918 előtagokat reklámoznak, válassza a Privát forgalom előtagokat , és adja meg a nem IANA RFC1918 előtagtartományokat a megjelenő szövegmezőben. Válassza a Kész lehetőséget.

   

8. Válassza az Inter-Hub lehetőséget az engedélyezéshez. Ennek a beállításnak az engedélyezése biztosítja, hogy az útválasztási házirendek a virtuális WAN-központ útválasztási szándékára legyenek alkalmazva.

9. Válassza a Mentés lehetőséget.

10. Ismételje meg a 2–8. lépést más biztonságos virtuális WAN-központok esetében is, amelyekhez útválasztási házirendet szeretne konfigurálni.

11. Most már készen áll a tesztforgalom küldésére. Győződjön meg arról, hogy a tűzfalszabályzatok megfelelően vannak konfigurálva, hogy a kívánt biztonsági konfigurációk alapján engedélyezze vagy tiltsa le a forgalmat.

Útválasztási szándék és szabályzatok konfigurálása a Virtual WAN portálon keresztül

Az alábbi lépések bemutatják, hogyan konfigurálhatja az útválasztási szándékot és az útválasztási szabályzatokat a Virtual Hubon a Virtual WAN Portál használatával.

1. Az Előfeltételek szakasz 3. lépésében található megerősítő e-mailben található egyéni portálhivatkozásból keresse meg azt a Virtual WAN-központot, amelyen útválasztási szabályzatokat szeretne konfigurálni.

2. Az Útválasztás területen válassza az Útválasztási szabályzatok lehetőséget.

   

3. Ha privát forgalomirányítási szabályzatot szeretne konfigurálni (ág- és virtuális hálózati forgalomhoz), válassza az Azure Firewall, a Hálózati virtuális berendezés vagy az SaaS-megoldásokat a privát forgalom alatt. A Következő ugrási erőforrás területen válassza ki a megfelelő következő ugrási erőforrást.

   

4. Ha privát forgalomirányítási szabályzatot szeretne konfigurálni, és nem IANA RFC1918 előtagokat használó ágakkal vagy virtuális hálózatokkal szeretne rendelkezni, válassza a További előtagok lehetőséget, és adja meg a nem IANA RFC1918 előtagtartományokat a megjelenő szövegmezőben. Válassza a Kész lehetőséget. Ügyeljen arra, hogy a privát útválasztási házirendekkel konfigurált összes virtuális központban ugyanazt az előtagot adja hozzá a Privát forgalom előtagjai szövegmezőben, hogy az összes központ a helyes útvonalakat tudja meghirdetni.

   

5. Ha internetes forgalomirányítási szabályzatot szeretne konfigurálni, válassza az Azure Firewall, a Hálózati virtuális berendezés vagy az SaaS-megoldás lehetőséget. A Következő ugrási erőforrás területen válassza ki a megfelelő következő ugrási erőforrást.

   

6. Az útválasztási szándék és az útválasztási szabályzatok konfigurálásához kattintson a Mentés gombra.

   

7. Ezeket a lépéseket ismételje meg az összes olyan központ esetében, amelyhez útválasztási házirendeket szeretne konfigurálni.

8. Most már készen áll a tesztforgalom küldésére. Győződjön meg arról, hogy a tűzfalszabályzatok megfelelően vannak konfigurálva, hogy a kívánt biztonsági konfigurációk alapján engedélyezze vagy tiltsa le a forgalmat.

Útválasztási szándék konfigurálása BICEP-sablonnal

A sablonról és a lépésekről a BICEP-sablonban tájékozódhat.

Hibaelhárítás

Az alábbi szakasz az útválasztási szándékok és szabályzatok Virtual WAN Hubon való konfigurálásának gyakori hibaelhárítási módjait ismerteti.

Érvényes útvonalak

Ha a virtuális központban privát útválasztási szabályzatok vannak konfigurálva, a helyszíni és a virtuális hálózatok közötti összes forgalmat az Azure Firewall, a Hálózati virtuális berendezés vagy a Virtuális központ SaaS-megoldása ellenőrzi.

Ezért az alapértelmezettRouteTable érvényes útvonalai a RFC1918 összesítő előtagokat (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) jelenítik meg a következő ugrású Azure Firewall vagy hálózati virtuális berendezés használatával. Ez azt tükrözi, hogy a virtuális hálózatok és ágak közötti összes forgalom az Azure Firewall, az NVA vagy az SaaS-megoldás felé van irányítva a központban ellenőrzés céljából.

Miután a tűzfal ellenőrzi a csomagot (és a csomag tűzfalszabály-konfigurációnként engedélyezve van), a Virtual WAN továbbítja a csomagot a végső célhelyre. Annak megtekintéséhez, hogy a Virtual WAN mely útvonalakat használja a vizsgált csomagok továbbításához, tekintse meg a tűzfal vagy a hálózati virtuális berendezés érvényes útvonaltábláját.

A tűzfal hatékony útvonaltáblája segít leszűkíteni és elkülöníteni a hálózat problémáit, például a helytelen konfigurációkat vagy bizonyos ágakkal és virtuális hálózatokkal kapcsolatos problémákat.

Konfigurációs problémák elhárítása

Ha konfigurációs problémákat hárít el, vegye figyelembe az alábbiakat:

• Győződjön meg arról, hogy nincs egyéni útvonaltáblája vagy statikus útvonala az alapértelmezettRouteTable-ban a következő ugrásos virtuális hálózati kapcsolattal.
  • Ha az üzembe helyezés nem felel meg a fenti követelményeknek, az útválasztási szándék konfigurálására vonatkozó beállítás szürkére van szürkítve az Azure Portalon.
  • Parancssori felület, PowerShell vagy REST használata esetén az útválasztási szándék létrehozása sikertelen. Törölje a sikertelen útválasztási szándékot, távolítsa el az egyéni útvonaltáblákat és a statikus útvonalakat, majd próbálkozzon újra a létrehozással.
  • Ha Azure Firewall Managert használ, győződjön meg arról, hogy a defaultRouteTable meglévő útvonalai private_traffic, internet_traffic vagy all_traffic néven vannak elnevezve. Az útválasztási szándék konfigurálására (a központközi engedélyezésre) vonatkozó beállítás szürkére van szürkítve, ha az útvonalak neve eltérő.
• Miután konfigurálta az útválasztási szándékot egy hubon, győződjön meg arról, hogy a meglévő kapcsolatok vagy új kapcsolatok frissítése üresre van állítva az opcionális társított és propagált útvonaltábla mezőivel. Az opcionális társítások és propagálások üresként való beállítása automatikusan megtörténik az Azure Portalon végrehajtott összes művelethez.

Adatelérési út hibaelhárítása

Feltéve, hogy már áttekintette az Ismert korlátozások szakaszt , az alábbiakban néhány módszert talál a datapath és a kapcsolat hibaelhárítására:

• Hibaelhárítás az érvényes útvonalakkal:
  • Ha a privát útválasztási szabályzatok konfigurálva vannak, akkor a következő ugrásos tűzfallal rendelkező útvonalakat a RFC1918 összesítések alapértelmezettRouteTable-útvonalaiban (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) kell látnia, valamint a privát forgalom szövegmezőjében megadott előtagokat. Győződjön meg arról, hogy az összes virtuális hálózat és helyszíni előtag alhálózatok a defaultRouteTable statikus útvonalai között. Ha egy helyszíni vagy virtuális hálózat olyan címteret használ, amely nem alhálózat az alapértelmezettRouteTable érvényes útvonalai között, adja hozzá az előtagot a privát forgalom szövegmezőjében.
  • Ha az internetes forgalomirányítási szabályzatok konfigurálva vannak, az alapértelmezettRouteTable érvényes útvonalaiban egy alapértelmezett (0.0.0.0/0) útvonalnak kell megjelennie.
  • Miután ellenőrizte, hogy az alapértelmezettRouteTable érvényes útvonalai rendelkeznek-e a megfelelő előtagokkal, tekintse meg a hálózati virtuális berendezés vagy az Azure Firewall érvényes útvonalait. A tűzfal érvényes útvonalai azt mutatják, hogy a Virtual WAN mely útvonalakat jelölte ki, és meghatározza, hogy a tűzfal mely célhelyekre továbbíthatja a csomagokat. Ha kitalálja, hogy mely előtagok hiányoznak vagy helytelen állapotban vannak, azzal szűkítheti az adatelérési utakkal kapcsolatos problémákat, és a hibaelhárításhoz a megfelelő VPN-, ExpressRoute-, NVA- vagy BGP-kapcsolatra mutathat.
• Forgatókönyvspecifikus hibaelhárítás:
  • Ha a Virtual WAN-ban nem biztonságos (Azure Firewall vagy NVA nélküli központ) van, győződjön meg arról, hogy a nem biztonságos központhoz való kapcsolatok propagálása a hubok alapértelmezettRouteTable-jára van konfigurálva útválasztási szándékkal. Ha a propagálások nincsenek alapértelmezettRouteTable értékre állítva, a biztonságos központhoz tartozó kapcsolatok nem tudnak csomagokat küldeni a nem biztonságos központnak.
  • Ha internetes útválasztási szabályzatok vannak konfigurálva, győződjön meg arról, hogy az "Alapértelmezett útvonal propagálása" vagy az "Internetbiztonság engedélyezése" beállítás "igaz" értékre van állítva az összes olyan kapcsolat esetében, amelyeknek meg kell tanulniuk a 0.0.0.0/0 alapértelmezett útvonalat. Csatlakozás ha ez a beállítás "false" (hamis) értékre van állítva, akkor sem tanulja meg a 0.0.0.0/0 útvonalat, még akkor sem, ha az internetes útválasztási szabályzatok vannak konfigurálva.
  • Ha a virtuális központhoz csatlakoztatott virtuális hálózatokban üzembe helyezett privát végpontokat használ, a virtuális WAN-központhoz csatlakoztatott virtuális hálózatokban üzembe helyezett privát végpontok felé irányuló helyszíni forgalom alapértelmezés szerint az Azure Firewall, az NVA vagy az SaaS következő ugrása során áthalad az útválasztási szándékon. Ez azonban aszimmetrikus útválasztást eredményez (ami a helyszíni és a privát végpontok közötti kapcsolat megszakadásához vezethet), mivel a küllős virtuális hálózatok privát végpontjai továbbítják a helyszíni forgalmat a tűzfalnak. Az útválasztási szimmetria biztosítása érdekében engedélyezze az Útválasztási tábla hálózati szabályzatait azon alhálózatok privát végpontjaihoz , ahol a privát végpontok üzembe vannak helyezve. A privát végpont privát IP-címeinek megfelelő /32 útvonalak konfigurálása a Privát forgalom szövegmezőben nem biztosítja a forgalom szimmetriát, ha a privát útválasztási szabályzatok a központban vannak konfigurálva.
  • Ha titkosított ExpressRoute-ot használ privát útválasztási szabályzatokkal, győződjön meg arról, hogy a tűzfaleszköz rendelkezik egy olyan szabálysal, amely engedélyezi a forgalmat a Virtual WAN helyek közötti VPN Gateway privát IP-alagútvégpontja és a helyszíni VPN-eszköz között. Az ESP (titkosított külső) csomagoknak be kell jelentkeznie az Azure Firewall naplóiba. Az útválasztási szándékkal rendelkező Titkosított ExpressRoute-ról további információt a Encrypted ExpressRoute dokumentációjában talál.

Az Azure Firewall útválasztási problémáinak elhárítása

• Mielőtt megpróbálná konfigurálni az útválasztási szándékot, győződjön meg arról, hogy az Azure Firewall kiépítési állapota sikeres .
• Ha nem IANA-RFC1918 előtagokat használ az ágakban/virtuális hálózatokban, győződjön meg arról, hogy ezeket az előtagokat a "Privát előtagok" szövegmezőben adta meg. A konfigurált "privát előtagok" nem propagálódnak automatikusan a Virtual WAN más, útválasztási szándékkal konfigurált központjaiba. A kapcsolat biztosításához vegye fel ezeket az előtagokat a "Privát előtagok" szövegmezőbe minden olyan központban, amely útválasztási szándékkal rendelkezik.
• Ha nem RFC1918 címeket adott meg a Firewall Manager Privát forgalom előtagok szövegmezőjének részeként, előfordulhat, hogy konfigurálnia kell az SNAT-házirendeket a tűzfalon, hogy letiltsa az SNAT-t a nem RFC1918 privát forgalom esetében. További információkért tekintse át az Azure Firewall SNAT-tartományait.
• Az Azure Firewall naplóinak konfigurálása és megtekintése a hálózati forgalom hibaelhárításához és elemzéséhez. Az Azure Firewall monitorozásának beállításáról további információt az Azure Firewall diagnosztika című témakörben talál. A tűzfalnaplók különböző típusainak áttekintéséért tekintse meg az Azure Firewall naplóit és metrikáit.
• Az Azure Firewallról további információt az Azure Firewall dokumentációjában talál.

Hálózati virtuális berendezések hibaelhárítása

• Mielőtt megpróbálná konfigurálni az útválasztási szándékot, győződjön meg arról, hogy a hálózati virtuális berendezés kiépítési állapota sikeres .
• Ha nem IANA-RFC1918 előtagokat használ a csatlakoztatott helyszíni vagy virtuális hálózatokban, győződjön meg arról, hogy ezeket az előtagokat a "Privát előtagok" szövegmezőben adta meg. A konfigurált "privát előtagok" nem propagálódnak automatikusan a Virtual WAN más, útválasztási szándékkal konfigurált központjaiba. A kapcsolat biztosításához vegye fel ezeket az előtagokat a "Privát előtagok" szövegmezőbe minden olyan központban, amely útválasztási szándékkal rendelkezik.
• Ha nem RFC1918 címeket adott meg a Privát forgalom előtagok szövegmező részeként, előfordulhat, hogy konfigurálnia kell az SNAT-szabályzatokat az NVA-n, hogy bizonyos nem RFC1918 privát forgalom esetén letiltsa az SNAT-t.
• Ellenőrizze az NVA tűzfalnaplóit, és ellenőrizze, hogy a tűzfalszabályok elvetik vagy elutasítják-e a forgalmat.
• A hibaelhárítással kapcsolatos további támogatásért és útmutatásért forduljon az NVA-szolgáltatóhoz.

Szolgáltatásként nyújtott szoftverek hibaelhárítása

• Mielőtt megpróbálná konfigurálni az útválasztási szándékot, győződjön meg arról, hogy az SaaS-megoldás kiépítési állapota sikeres.
• További hibaelhárítási tippekért tekintse meg a Virtual WAN dokumentációjának hibaelhárítási szakaszát, vagy tekintse meg a Palo Alto Networks Cloud NGFW dokumentációját.

Következő lépések

A virtuális központ útválasztásáról további információt a Virtuális központ útválasztása című témakörben talál. A Virtual WAN-ról további információt a gyakori kérdések között talál.