Informacje o wymuszonym tunelowaniu konfiguracji lokacja-lokacja
Ten artykuł pomaga zrozumieć, jak działa wymuszone tunelowanie dla połączeń IPsec typu lokacja-lokacja (S2S). Domyślnie ruch związany z Internetem z obciążeń i maszyn wirtualnych w sieci wirtualnej jest wysyłany bezpośrednio do Internetu.
Wymuszone tunelowanie umożliwia przekierowywanie lub "wymuszanie" całego ruchu powiązanego z Internetem z powrotem do lokalizacji lokalnej za pośrednictwem tunelu S2S VPN na potrzeby inspekcji i inspekcji. Jest to krytyczne wymaganie dotyczące zabezpieczeń dla większości zasad IT przedsiębiorstwa. Nieautoryzowany dostęp do Internetu może potencjalnie prowadzić do ujawnienia informacji lub innych rodzajów naruszeń zabezpieczeń.
W poniższym przykładzie pokazano, że cały ruch internetowy jest wymuszany przez bramę sieci VPN z powrotem do lokalizacji lokalnej na potrzeby inspekcji i inspekcji.
Metody konfiguracji wymuszonego tunelowania
Istnieje kilka różnych sposobów konfigurowania wymuszonego tunelowania.
Konfigurowanie przy użyciu protokołu BGP
Możesz skonfigurować wymuszone tunelowanie dla usługi VPN Gateway za pośrednictwem protokołu BGP. Musisz anonsować domyślną trasę 0.0.0.0.0/0 za pośrednictwem protokołu BGP z lokalizacji lokalnej do platformy Azure, aby cały ruch platformy Azure był wysyłany za pośrednictwem tunelu S2S usługi VPN Gateway.
Konfigurowanie przy użyciu witryny domyślnej
Możesz skonfigurować wymuszone tunelowanie, ustawiając domyślną lokację dla bramy sieci VPN opartej na trasach. Aby uzyskać instrukcje, zobacz Wymuszone tunelowanie za pośrednictwem witryny domyślnej.
- Lokacja domyślna bramy sieci wirtualnej jest przypisywana przy użyciu programu PowerShell.
- Lokalne urządzenie sieci VPN musi być skonfigurowane przy użyciu selektorów ruchu 0.0.0.0/0.
Routing ruchu powiązanego z Internetem dla określonych podsieci
Domyślnie cały ruch związany z Internetem przechodzi bezpośrednio do Internetu, jeśli nie skonfigurowano wymuszonego tunelowania. Po skonfigurowaniu wymuszonego tunelowania cały ruch związany z Internetem jest wysyłany do lokalizacji lokalnej.
W niektórych przypadkach możesz chcieć, aby ruch związany z Internetem był kierowany tylko z niektórych podsieci (ale nie wszystkich podsieci) do przechodzenia z infrastruktury sieci platformy Azure bezpośrednio do Internetu, a nie do lokalizacji lokalnej. Ten scenariusz można skonfigurować przy użyciu kombinacji wymuszonego tunelowania i niestandardowych tras zdefiniowanych przez użytkownika (UDR) sieci wirtualnej. Aby uzyskać instrukcje, zobacz Route Internet-bound traffic for specific subnets (Kierowanie ruchu internetowego dla określonych podsieci).
Następne kroki
Zobacz How to configure forced tunneling via Default Site for VPN Gateway S2S connections (Jak skonfigurować wymuszone tunelowanie za pośrednictwem lokacji domyślnej dla połączeń S2S bramy sieci VPN).
Aby uzyskać więcej informacji na temat routingu ruchu w sieci wirtualnej, zobacz Routing ruchu w sieci wirtualnej.