Informacje o wymuszonym tunelowaniu konfiguracji lokacja-lokacja

Ten artykuł pomaga zrozumieć, jak działa wymuszone tunelowanie dla połączeń IPsec typu lokacja-lokacja (S2S). Domyślnie ruch związany z Internetem z obciążeń i maszyn wirtualnych w sieci wirtualnej jest wysyłany bezpośrednio do Internetu.

Wymuszone tunelowanie umożliwia przekierowywanie lub "wymuszanie" całego ruchu powiązanego z Internetem z powrotem do lokalizacji lokalnej za pośrednictwem tunelu S2S VPN na potrzeby inspekcji i inspekcji. Jest to krytyczne wymaganie dotyczące zabezpieczeń dla większości zasad IT przedsiębiorstwa. Nieautoryzowany dostęp do Internetu może potencjalnie prowadzić do ujawnienia informacji lub innych rodzajów naruszeń zabezpieczeń.

W poniższym przykładzie pokazano, że cały ruch internetowy jest wymuszany przez bramę sieci VPN z powrotem do lokalizacji lokalnej na potrzeby inspekcji i inspekcji.

Diagram shows forced tunneling.

Metody konfiguracji wymuszonego tunelowania

Istnieje kilka różnych sposobów konfigurowania wymuszonego tunelowania.

Konfigurowanie przy użyciu protokołu BGP

Możesz skonfigurować wymuszone tunelowanie dla usługi VPN Gateway za pośrednictwem protokołu BGP. Musisz anonsować domyślną trasę 0.0.0.0.0/0 za pośrednictwem protokołu BGP z lokalizacji lokalnej do platformy Azure, aby cały ruch platformy Azure był wysyłany za pośrednictwem tunelu S2S usługi VPN Gateway.

Konfigurowanie przy użyciu witryny domyślnej

Możesz skonfigurować wymuszone tunelowanie, ustawiając domyślną lokację dla bramy sieci VPN opartej na trasach. Aby uzyskać instrukcje, zobacz Wymuszone tunelowanie za pośrednictwem witryny domyślnej.

  • Lokacja domyślna bramy sieci wirtualnej jest przypisywana przy użyciu programu PowerShell.
  • Lokalne urządzenie sieci VPN musi być skonfigurowane przy użyciu selektorów ruchu 0.0.0.0/0.

Routing ruchu powiązanego z Internetem dla określonych podsieci

Domyślnie cały ruch związany z Internetem przechodzi bezpośrednio do Internetu, jeśli nie skonfigurowano wymuszonego tunelowania. Po skonfigurowaniu wymuszonego tunelowania cały ruch związany z Internetem jest wysyłany do lokalizacji lokalnej.

W niektórych przypadkach możesz chcieć, aby ruch związany z Internetem był kierowany tylko z niektórych podsieci (ale nie wszystkich podsieci) do przechodzenia z infrastruktury sieci platformy Azure bezpośrednio do Internetu, a nie do lokalizacji lokalnej. Ten scenariusz można skonfigurować przy użyciu kombinacji wymuszonego tunelowania i niestandardowych tras zdefiniowanych przez użytkownika (UDR) sieci wirtualnej. Aby uzyskać instrukcje, zobacz Route Internet-bound traffic for specific subnets (Kierowanie ruchu internetowego dla określonych podsieci).

Następne kroki