Sobre o tunelamento forçado para configurações site a site

  • Artigo

Este artigo ajuda você a entender como o tunelamento forçado funciona para conexões IPsec site a site (S2S). Por padrão, o tráfego vinculado à Internet de suas cargas de trabalho e VMs dentro de uma rede virtual é enviado diretamente para a Internet.

O tunelamento forçado permite redirecionar ou "forçar" todo o tráfego ligado à Internet de volta ao seu local através do túnel VPN S2S para inspeção e auditoria. Este é um requisito de segurança crítico para a maioria das políticas de TI corporativas. O acesso não autorizado à Internet pode potencialmente levar à divulgação de informações ou a outros tipos de violações de segurança.

O exemplo a seguir mostra todo o tráfego da Internet sendo forçado através do gateway VPN de volta ao local para inspeção e auditoria.

Diagram shows forced tunneling.

Métodos de configuração para tunelamento forçado

Há algumas maneiras diferentes de configurar o túnel forçado.

Configurar usando BGP

Você pode configurar o túnel forçado para o Gateway VPN via BGP. Você precisa anunciar uma rota padrão de 0.0.0.0/0 via BGP do seu local local para o Azure para que todo o seu tráfego do Azure seja enviado por meio do túnel S2S do Gateway VPN.

Configurar usando o site padrão

Você pode configurar o túnel forçado definindo o Site Padrão para seu gateway VPN baseado em rota. Para conhecer as etapas, consulte Túnel forçado via site padrão.

  • Você atribui um Site Padrão para o gateway de rede virtual usando o PowerShell.
  • O dispositivo VPN local deve ser configurado usando 0.0.0.0/0 como seletores de tráfego.

Roteamento de tráfego ligado à Internet para sub-redes específicas

Por padrão, todo o tráfego ligado à Internet vai diretamente para a Internet se você não tiver o túnel forçado configurado. Quando o túnel forçado é configurado, todo o tráfego ligado à Internet é enviado para o local local.

Em alguns casos, talvez você queira que o tráfego vinculado à Internet apenas de determinadas sub-redes (mas não de todas as sub-redes) passe da infraestrutura de rede do Azure diretamente para a Internet, em vez de para seu local local. Esse cenário pode ser configurado usando uma combinação de túnel forçado e UDRs (rotas personalizadas definidas pelo usuário) de rede virtual. Para conhecer as etapas, consulte Rotear tráfego vinculado à Internet para sub-redes específicas.

Próximos passos