Сведения о принудительном туннелирование для конфигураций типа "сеть — сеть"
В этой статье показано, как работает принудительное туннелирование для подключений IPsec типа "сеть — сеть" (S2S). По умолчанию трафик, привязанный к Интернету, из рабочих нагрузок и виртуальных машин в виртуальной сети отправляется непосредственно в Интернет.
Принудительное туннелирование позволяет перенаправлять или "принудительно" весь интернет-трафик обратно в локальное расположение через VPN-туннель S2S для проверки и аудита. Это критически важное требование безопасности, имеющееся в большинстве корпоративных ИТ-политик. Неавторизованный доступ в Интернет может привести к раскрытию информации или другим нарушениям безопасности.
В следующем примере показано, что весь интернет-трафик принудительно выполняется через VPN-шлюз обратно в локальное расположение для проверки и аудита.
Методы конфигурации для принудительного туннелирования
Существует несколько различных способов настройки принудительного туннелирования.
Настройка использования BGP
Принудительное туннелирование можно настроить для VPN-шлюз через BGP. Необходимо объявить маршрут по умолчанию 0.0.0.0/0 через BGP из локального расположения в Azure, чтобы весь трафик Azure был отправлен через туннель VPN-шлюз S2S.
Настройка с помощью сайта по умолчанию
Чтобы настроить принудительное туннелирование, задайте сайт по умолчанию для VPN-шлюза на основе маршрутов. Инструкции см. в разделе "Принудительное туннелирование с помощью сайта по умолчанию".
- Сайт по умолчанию для шлюза виртуальной сети назначается с помощью PowerShell.
- Локальное VPN-устройство необходимо настроить для использования диапазона адресов 0.0.0.0/0 в качестве селекторов трафика.
Маршрутизация трафика, привязанного к Интернету для определенных подсетей
По умолчанию весь трафик, связанный с Интернетом, передается непосредственно в Интернет, если вы не настроили туннелирование. При настройке принудительного туннелирования весь трафик, привязанный к Интернету, отправляется в локальное расположение.
В некоторых случаях трафик, связанный с Интернетом, может потребоваться только из определенных подсетей (но не всех подсетей), чтобы перейти из сетевой инфраструктуры Azure непосредственно из Интернета, а не в локальное расположение. Этот сценарий можно настроить с помощью сочетания принудительного туннелирования и пользовательских пользовательских маршрутов виртуальной сети .UDR. Инструкции см. в статье Маршрутизация трафика, привязанного к Интернету, для определенных подсетей.
Следующие шаги
Узнайте, как настроить принудительное туннелирование с помощью сайта по умолчанию для VPN-шлюз подключений S2S.
Дополнительные сведения о маршрутизации трафика виртуальной сети см. в разделе "Маршрутизация трафика виртуальной сети".