Сведения о принудительном туннелирование для конфигураций типа "сеть — сеть"

  • Статья

В этой статье показано, как работает принудительное туннелирование для подключений IPsec типа "сеть — сеть" (S2S). По умолчанию трафик, привязанный к Интернету, из рабочих нагрузок и виртуальных машин в виртуальной сети отправляется непосредственно в Интернет.

Принудительное туннелирование позволяет перенаправлять или "принудительно" весь интернет-трафик обратно в локальное расположение через VPN-туннель S2S для проверки и аудита. Это критически важное требование безопасности, имеющееся в большинстве корпоративных ИТ-политик. Неавторизованный доступ в Интернет может привести к раскрытию информации или другим нарушениям безопасности.

В следующем примере показано, что весь интернет-трафик принудительно выполняется через VPN-шлюз обратно в локальное расположение для проверки и аудита.

Diagram shows forced tunneling.

Методы конфигурации для принудительного туннелирования

Существует несколько различных способов настройки принудительного туннелирования.

Настройка использования BGP

Принудительное туннелирование можно настроить для VPN-шлюз через BGP. Необходимо объявить маршрут по умолчанию 0.0.0.0/0 через BGP из локального расположения в Azure, чтобы весь трафик Azure был отправлен через туннель VPN-шлюз S2S.

Настройка с помощью сайта по умолчанию

Чтобы настроить принудительное туннелирование, задайте сайт по умолчанию для VPN-шлюза на основе маршрутов. Инструкции см. в разделе "Принудительное туннелирование с помощью сайта по умолчанию".

  • Сайт по умолчанию для шлюза виртуальной сети назначается с помощью PowerShell.
  • Локальное VPN-устройство необходимо настроить для использования диапазона адресов 0.0.0.0/0 в качестве селекторов трафика.

Маршрутизация трафика, привязанного к Интернету для определенных подсетей

По умолчанию весь трафик, связанный с Интернетом, передается непосредственно в Интернет, если вы не настроили туннелирование. При настройке принудительного туннелирования весь трафик, привязанный к Интернету, отправляется в локальное расположение.

В некоторых случаях трафик, связанный с Интернетом, может потребоваться только из определенных подсетей (но не всех подсетей), чтобы перейти из сетевой инфраструктуры Azure непосредственно из Интернета, а не в локальное расположение. Этот сценарий можно настроить с помощью сочетания принудительного туннелирования и пользовательских пользовательских маршрутов виртуальной сети .UDR. Инструкции см. в статье Маршрутизация трафика, привязанного к Интернету, для определенных подсетей.

Следующие шаги