A helyek közötti konfigurációk kényszerített bújtatása

Ez a cikk segít megérteni, hogyan működik a helyek közötti (S2S) IPsec-kapcsolatok kényszerített bújtatása. Alapértelmezés szerint a virtuális hálózaton belüli számítási feladatok és virtuális gépek internethez kötött forgalma közvetlenül az internetre kerül.

A kényszerített bújtatás lehetővé teszi az összes internethez kötött forgalom visszairányítását vagy "kényszerítését" a helyszíni helyre S2S VPN-alagúton keresztül ellenőrzés és naplózás céljából. Ez a legtöbb vállalati informatikai szabályzat esetében kritikus biztonsági követelmény. A jogosulatlan internet-hozzáférés adatfeltáráshoz vagy más típusú biztonsági incidensekhez vezethet.

Az alábbi példa az összes olyan internetes forgalmat mutatja be, amely a VPN-átjárón keresztül vissza lesz kényszerítve a helyszíni helyre ellenőrzés és naplózás céljából.

Konfigurációs módszerek kényszerített bújtatáshoz

A kényszerített bújtatást többféleképpen is konfigurálhatja.

Konfigurálás a BGP használatával

A VPN Gateway kényszerített bújtatását a BGP-vel konfigurálhatja. Meg kell hirdetnie a 0.0.0.0/0 alapértelmezett útvonalat a BGP-n keresztül a helyszíni helyről az Azure-ba, hogy az összes Azure-forgalmat a VPN Gateway S2S-alagúton keresztül küldhesse el.

Konfigurálás alapértelmezett hely használatával

A kényszerű alagútépítést az útvonal-alapú VPN-átjáró alapértelmezett webhelyének beállításával konfigurálhatja. A lépésekért lásd : Kényszerített bújtatás alapértelmezett helyen keresztül.

• A virtuális hálózati átjáró alapértelmezett helyének hozzárendelése a PowerShell használatával történik.
• A helyhez kötött VPN-eszközt a 0.0.0.0/0 forgalmi szelektorok használatával kell konfigurálni.

Az internethez kötött forgalom átirányítása adott alhálózatokhoz

Alapértelmezés szerint az internethez kötött összes forgalom közvetlenül az internetre kerül, ha nincs konfigurálva kényszerített bújtatás. A kényszerített bújtatás konfigurálásakor a rendszer minden internethez kötött forgalmat a helyszíni helyre küld.

Bizonyos esetekben előfordulhat, hogy az internethez kötött forgalom csak bizonyos alhálózatokról (de nem az összes alhálózatról) közvetlenül az internetre, nem pedig a helyszíni helyre való átjárást szeretné elérni az Azure hálózati infrastruktúrából. Ez a forgatókönyv a kényszerített bújtatás és a virtuális hálózat egyéni, felhasználó által definiált útvonalainak (UDR-ek) kombinációjával konfigurálható. A lépésekért lásd : Az internethez kötött forgalom átirányítása adott alhálózatokhoz.

További lépések

• Lásd : Kényszerített bújtatás konfigurálása alapértelmezett helyen keresztül VPN Gateway S2S-kapcsolatokhoz.

• A virtuális hálózati forgalom útválasztásáról további információt a virtuális hálózatok forgalmának útválasztása című témakörben talál.