Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano podstawowe scenariusze tras statycznych, które wysyłają ruch Virtual WAN do Azure Firewall w koncentratorze wirtualnym.
Overview
Ten dokument zawiera podsumowanie podstawowych scenariuszy routingu Virtual WAN ruchu do Azure Firewall przy użyciu tras statycznych. Dokument nie obejmujeintencji routingu.
Dokument zawiera również uwagi dotyczące sposobu, w jaki Azure Firewall Manager konfiguruje routing w kontekście Virtual WAN. Istnieją dwa konfigurowalne tryby routingu w Azure Firewall Manager:
- Inter-hub ustawiony na wyłączony: wykorzystuje trasy statyczne do kierowania ruchu do Azure Firewall w lokalnym Virtual Hub bez intencji routingu. Ta konfiguracja jest objęta tym dokumentem.
- Ustawiono opcję inter-hub na 'włączono': Włącza zamierzone trasowanie w centrum Virtual WAN. Ta konfiguracja nie jest objęta tym dokumentem.
Inspekcja ruchu prywatnego: odgałęzienie do Virtual Network i Virtual Network do Virtual Network za pośrednictwem Azure Firewall
Note
W tej konfiguracji Azure Firewall Manager konfiguruje domyślną tabelęRouteTable tak, aby miała trasę statyczną o nazwie private_traffic.
Wzorce ruchu
- Prywatne sieci (Virtual Network i infrastruktura lokalna) sprawdzane przez Azure Firewall.
Konfigurowanie
Właściwości routingu połączeń:
| Typ połączenia | Powiązana tablica tras | Propagowana tabela tras |
|---|---|---|
| Połączenia gałęzi | domyślna tabela tras | noneRouteTable |
| Połączenia sieci wirtualnej | domyślna tabela tras | noneRouteTable |
Virtual WAN tabeli tras: defaultRouteTable
Note
Jeśli którakolwiek z sieci prywatnych korzysta z przestrzeni adresowych innych niż RFC1918, upewnij się, że odpowiednie zakresy adresów znajdują się w private_traffic trasy statycznej, tak aby ruch przeznaczony dla tych sieci był prawidłowo kierowany do Azure Firewall do inspekcji.
| Prefiks docelowy | Następny skok |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Azure Firewall w centrum lokalnym |
Inspekcja ruchu internetowego przez Azure Firewall
Note
W tej konfiguracji Azure Firewall Manager oczekuje, że domyślna tabelaRouteTable będzie mieć jedną trasę statyczną o nazwie internet_traffic. Ponadto połączenie Virtual WAN uczy się trasy domyślnej (0.0.0.0.0/0), jeśli ustawienie Włącz zabezpieczenia internetowe lub Propaguj domyślną trasę jest ustawione na true. Azure Firewall Manager używa tego ustawienia do wyświetlania, czy ruch internetowy połączenia jest secured.
Wzorce ruchu
- Ruch internetowy jest sprawdzany przez Azure Firewall.
- Ruch prywatny (między sieciami lokalnymi i sieciami wirtualnymi) nie jest sprawdzany przez Azure Firewall.
Konfigurowanie
| Typ połączenia | Powiązana tablica tras | Propagowane tabele tras | Propagowane etykiety tras |
|---|---|---|---|
| Połączenia gałęzi | domyślna tabela tras | domyślna tabela tras | - |
| Połączenia sieci wirtualnej | domyślna tabela tras | domyślna tabela tras | - |
Virtual WAN tabeli tras: defaultRouteTable
| Prefiks docelowy | Następny skok |
|---|---|
| 0.0.0.0/0 | Azure Firewall w centrum lokalnym |
Inspekcja ruchu prywatnego i internetowego
Note
W tej konfiguracji Azure Firewall Manager oczekuje, że domyślna tabelaRouteTable będzie mieć pojedynczą trasę statyczną o nazwie all_traffic.
Aby upewnić się, że ruch między centrami i oddziałami jest sprawdzany przez Azure Firewall, użyj routing intent and policies.
Wzorce ruchu
- Ruch prywatny (między sieciami lokalnymi i wirtualnymi) jest sprawdzany przez Azure Firewall.
- Ruch internetowy jest sprawdzany przez Azure Firewall.
- Ruch między gałęziami jest nie sprawdzany przez Azure Firewall.
Konfigurowanie
| Typ połączenia | Powiązana tablica tras | Propagowane tabele tras |
|---|---|---|
| Połączenia gałęzi | domyślna tabela tras | Brak |
| Połączenia sieci wirtualnej | domyślna tabela tras | Brak |
Virtual WAN tabeli tras: defaultRouteTable
Note
W tej konfiguracji Azure Firewall Manager oczekuje, że domyślna tabelaRouteTable będzie mieć pojedynczą trasę statyczną o nazwie all_traffic.
| Prefiks docelowy | Następny skok |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | Azure Firewall w centrum lokalnym |
Inspekcja lokalnego koncentratora z bezpośrednim routowaniem między koncentratorami
Aby upewnić się, że ruch między koncentratorami jest sprawdzany przez Azure Firewall, użyj zamiarów routingu i polityk.
Wzorce ruchu
- Ruch między centrami omija Azure Firewall, będąc kierowanym bezpośrednio poprzez centrum Virtual WAN.
- Ruch lokalny w tym samym hubie między sieciami wirtualnymi i środowiskami lokalnymi inspekcjonowany przez Azure Firewall.
- Ruch internetowy używa lokalnej zapory Azure do inspekcji i wyjścia.
Note
Użyj etykiet tabeli tras Virtual WAN do grupowania centrów w Virtual WAN, aby zmniejszyć złożoność operacyjną. Ten projekt sieciowy nie jest konfigurowalny przez Azure Firewall Manager.
Centrum konfiguracji 1
| Typ połączenia | Powiązana tablica tras | Propagowane tabele tras | Propagowane etykiety tras |
|---|---|---|---|
| Połączenia gałęzi | domyślna tabela tras | defaultRouteTable (Hub 2) | - |
| Połączenia sieci wirtualnej | domyślna tabela tras | defaultRouteTable (Hub 2) | - |
Virtualna sieć WAN tabeli tras Hub 1: defaultRouteTable
| Prefiks docelowy | Następny skok |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | Azure Firewall w centrum 1 |
Configuration Hub 2
| Typ połączenia | Powiązana tablica tras | Propagowane tabele tras | Propagowane etykiety tras |
|---|---|---|---|
| Połączenia gałęzi | domyślna tabela tras | defaultRouteTable (Hub 1) | - |
| Połączenia sieci wirtualnej | domyślna tabela tras | defaultRouteTable (Węzeł 1) | - |
Virtual WAN tabela tras Hub 2: defaultRouteTable
| Prefiks docelowy | Następny skok |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | Azure Firewall w centrum 2 |