Узнайте, как настроить намерение и политики маршрутизации для виртуальных глобальных сетей

Виртуальная глобальная сеть намерения маршрутизации Концентратора позволяют настроить простые и декларативные политики маршрутизации для отправки трафика в решения безопасности на основе подключения, такие как Брандмауэр Azure, сетевые виртуальные устройства или решения saaS, развернутые в центре Виртуальная глобальная сеть.

Общие сведения

Политики намерений маршрутизации и маршрутизации позволяют настроить концентратор Виртуальная глобальная сеть для пересылки трафика через Интернет и частного (VPN типа "точка — сеть", VPN типа "сеть", ExpressRoute, виртуальная сеть и сетевого виртуального устройства) в Брандмауэр Azure, брандмауэр следующего поколения (NGFW), сетевое виртуальное устройство (NVA) или решение по обеспечению безопасности как услуга (SaaS), развернутое в виртуальном концентраторе.

Существует два типа политик маршрутизации: политики для интернет-трафика и для частного трафика. Каждый концентратор Виртуальной глобальной сети может иметь не более одной политики маршрутизации трафика Интернета и одной политики маршрутизации частного трафика, каждая из которых имеет ресурс следующего прыжка. Хотя частный трафик включает в себя префиксы адресов ветви и виртуальная сеть, политики маршрутизации считают их одной сущностью в концепциях намерения маршрутизации.

• Политика маршрутизации интернет-трафика. Если политика маршрутизации трафика Интернета настроена в центре Виртуальная глобальная сеть, все ветви (VPN удаленного пользователя (VPN типа "точка — сеть", VPN типа "сеть" и ExpressRoute) и виртуальная сеть подключения к центру Виртуальная глобальная сеть перенаправляет трафик, связанный с Интернетом.Брандмауэр Azure, стороннего поставщика безопасности, сетевого виртуального устройства или решения SaaS, указанного в рамках политики маршрутизации.

  Другими словами, когда политика маршрутизации трафика в Интернете настроена в центре Виртуальная глобальная сеть, Виртуальная глобальная сеть объявляет маршрут по умолчанию (0.0.0.0.0/0/0) ко всем периферийным устройствам, шлюзам и сетевым виртуальным устройствам (развернутым в концентраторе или периферийной сети).

• Политика маршрутизации частного трафика. Если политика маршрутизации частного трафика настроена на концентраторе Виртуальная глобальная сеть, все ветви и виртуальная сеть трафик из Виртуальная глобальная сеть концентратора, включая трафик между концентраторами, пересылается на следующий прыжок.Брандмауэр Azure, ресурс решения SaaS или сетевого виртуального устройства.

  Иными словами, если политика маршрутизации частного трафика настроена в центре Виртуальная глобальная сеть, все ветви — ветвь, ветвь — виртуальная сеть, виртуальная сеть — ветвь и межузловой трафик отправляются через Брандмауэр Azure, сетевое виртуальное устройство или решение SaaS, развернутое в центре Виртуальная глобальная сеть.

Варианты использования

В следующем разделе описаны два распространенных сценария, в которых политики маршрутизации применяются к защищенным центрам Виртуальная глобальная сеть.

Все центры Виртуальная глобальная сеть защищены (развертываются с помощью решения Брандмауэр Azure, NVA или SaaS)

В этом сценарии все Виртуальная глобальная сеть концентраторы развертываются с помощью решения Брандмауэр Azure, NVA или SaaS. В этом сценарии вы можете настроить политику маршрутизации интернет-трафика, политики маршрутизации частного трафика или обе политики в каждом концентраторе виртуальной глобальной сети.

Рассмотрим приведенную ниже конфигурацию, где в концентраторах 1 и 2 настроены политики маршрутизации для частного трафика и трафика Интернета.

Конфигурация концентратора 1:

• Политика частного трафика с решением Next Hop Hub 1 Брандмауэр Azure, NVA или SaaS
• Политика интернет-трафика с решением Next Hop Hub 1 Брандмауэр Azure, NVA или SaaS

Конфигурация концентратора 2:

• Политика частного трафика с решением Next Hop Hub 2 Брандмауэр Azure, NVA или SaaS
• Политика интернет-трафика с решением Next Hop Hub 2 Брандмауэр Azure, NVA или SaaS

Ниже приведены потоки трафика в такой конфигурации.

Примечание.

Интернет-трафик должен исходящий трафик через локальное решение безопасности в концентраторе, так как маршрут по умолчанию (0.0.0.0/0) не распространяется между центрами.

С дт.	По	Виртуальные сети концентратора 1	Ветви концентратора 1	Виртуальные сети концентратора 2	Ветви концентратора 2	Интернет
Виртуальные сети концентратора 1	→	БМ Azure 1-го концентратора или NVA	БМ Azure 1-го концентратора или NVA	Концентратор 1 и 2 AzFW, NVA или SaaS	Концентратор 1 и 2 AzFW, NVA или SaaS	Концентратор 1 AzFW, NVA или SaaS
Ветви концентратора 1	→	Концентратор 1 AzFW, NVA или SaaS	Концентратор 1 AzFW, NVA или SaaS	Концентратор 1 и 2 AzFW, NVA или SaaS	Концентратор 1 и 2 AzFW, NVA или SaaS	Концентратор 1 AzFW, NVA или SaaS
Виртуальные сети концентратора 2	→	Концентратор 1 и 2 AzFW, NVA или SaaS	Концентратор 1 и 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS
Ветви концентратора 2	→	Концентратор 1 и 2 AzFW, NVA или SaaS	Концентратор 1 и 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS	Концентратор 2AzFW, NVA или SaaS

Развертывание защищенных и обычных центров Виртуальная глобальная сеть

В этом сценарии не все центры в глобальной сети защищены Виртуальная глобальная сеть Центрами (концентраторами, в которых развернуто решение безопасности).

Рассмотрим приведенную ниже конфигурацию, где концентратор 1 (обычный) и концентратор 2 (защищенный) развернуты в виртуальной глобальной сети. В концентраторе 2 настроены политики маршрутизации частного и интернет-трафика.

Конфигурация концентратора 1:

• N/A (не удается настроить политики маршрутизации, если концентратор не развернут с помощью решения Брандмауэр Azure, NVA или SaaS)

Конфигурация концентратора 2:

• Политика частного трафика с решением Next Hop Hub 2 Брандмауэр Azure, NVA или SaaS.
• Политика интернет-трафика с решением Next Hop Hub 2 Брандмауэр Azure, NVA или SaaS.

Ниже приведены потоки трафика в такой конфигурации. Ветви и виртуальная сеть, подключенные к Концентратору 1, не могут получить доступ к Интернету через решение безопасности, развернутое в Центре, так как маршрут по умолчанию (0.0.0.0/0) не распространяется между центрами.

С дт.	По	Виртуальные сети концентратора 1	Ветви концентратора 1	Виртуальные сети концентратора 2	Ветви концентратора 2	Интернет
Виртуальные сети концентратора 1	→	Напрямую	Напрямую	Концентратор 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS	-
Ветви концентратора 1	→	Напрямую	Напрямую	Концентратор 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS	-
Виртуальные сети концентратора 2	→	Концентратор 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS
Ветви концентратора 2	→	Концентратор 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS	Концентратор 2 AzFW, NVA или SaaS

Известные ограничения

• В следующей таблице описывается доступность намерения маршрутизации в разных средах Azure.
  • Намерение маршрутизации недоступно в Mirosoft Azure под управлением 21 Vianet.
  • Palo Alto Cloud NGFW доступен только в Общедоступной среде Azure. Обратитесь к Palo Alto Networks относительно доступности Cloud NGFW в Azure для государственных организаций и Microsoft Azure, управляемых Viacom.
  • Виртуальные сетевые устройства недоступны во всех Azure для государственных организаций регионах. Обратитесь к партнеру NVA относительно доступности в Azure для государственных организаций.

Облачная среда	Брандмауэр Azure	Сетевой виртуальный модуль	Решения SaaS
Azure Public	Да	Да	Да
Azure для государственных организаций	Да	Ограниченный	No
Microsoft Azure, управляемый 21 Vianet	No	No	No

• Намерение маршрутизации упрощает маршрутизацию путем управления сопоставлениями таблиц маршрутов и распространением для всех подключений (виртуальная сеть, VPN типа "сеть — сеть", "точка — сеть" и ExpressRoute). Виртуальная глобальная сеть с настраиваемыми таблицами маршрутов и настраиваемыми политиками, поэтому нельзя использовать с конструкциями намерения маршрутизации.
• Зашифрованные VPN-туннели ExpressRoute (туннели VPN типа "сеть — сеть", работающие через каналы ExpressRoute), поддерживаются в центрах, где настроено назначение маршрутизации, если Брандмауэр Azure настроено разрешение трафика между конечными точками VPN-туннеля (частный IP-адрес типа "сеть — сеть" VPN-шлюз и частный IP-адрес локального VPN-устройства). Дополнительные сведения о необходимых конфигурациях см. в разделе Encrypted ExpressRoute с намерением маршрутизации.
• Следующие варианты использования подключения не поддерживаются с намерением маршрутизации.
  • Статические маршруты в defaultRouteTable, указывающие на подключение виртуальная сеть, нельзя использовать в сочетании с намерением маршрутизации. Однако можно использовать функцию пиринга BGP.
  • Статические маршруты в соединении виртуальная сеть с "распространением статических маршрутов" не применяются к ресурсу следующего прыжка, указанному в политиках частной маршрутизации. Поддержка применения статических маршрутов к виртуальная сеть подключениям к политике частной маршрутизации следующего прыжка находится в стратегии.
  • Возможность развертывания подключения SD-WAN и отдельного решения брандмауэра NVA или SaaS в одном и том же центре Виртуальная глобальная сеть в настоящее время находится на схеме дорог. После настройки намерения маршрутизации с решением SaaS следующего прыжка или брандмауэром NVA подключение между NVA SD-WAN и Azure влияет. Вместо этого разверните решение SD-WAN NVA и брандмауэра NVA или SaaS в разных виртуальных центрах. Кроме того, вы можете развернуть NVA SD-WAN в периферийном виртуальная сеть, подключенном к концентратору, и использовать возможность пиринга BGP виртуального концентратора.
  • Виртуальные сетевые устройства (NVAs) можно указать только в качестве ресурса следующего прыжка для назначения маршрутизации, если они — брандмауэр следующего поколения или брандмауэр следующего поколения и сетевые сети SD-WAN. В настоящее время контрольная точка, fortinet-ngfw и fortinet-ngfw-and-sdwan являются единственными NVAs, которые могут быть настроены для следующего прыжка для намерения маршрутизации. Если вы пытаетесь указать другой NVA, создание намерения маршрутизации завершается сбоем. Вы можете проверить тип NVA, перейдя к виртуальному концентратору —> сетевые виртуальные устройства, а затем просмотрите поле "Поставщик ". Palo Alto Networks Cloud NGFW также поддерживается в качестве следующего прыжка для намерения маршрутизации, но считается следующим прыжком типа решения SaaS.
  • Пользователи намерения маршрутизации, которые хотят подключить к Виртуальной глобальной сети несколько каналов ExpressRoute и отправлять трафик между ними через какое-либо решение безопасности, развернутое в концентраторе, могут отправить запрос в службу поддержки, чтобы включить этот вариант использования. Для ознакомления с дополнительными сведениями см. Включение соединения между каналами ExpressRoute.

ограничения адресного пространства виртуальная сеть

Примечание.

Максимальное количество адресных пространств виртуальная сеть, которые можно подключить к одному Виртуальная глобальная сеть концентратору, можно изменить. Откройте поддержка Azure случай, чтобы запросить увеличение лимита. Ограничения применимы на уровне концентратора Виртуальной глобальной сети. Если у вас несколько центров Виртуальная глобальная сеть, требующих увеличения предела, запросите увеличение ограничения для всех центров Виртуальная глобальная сеть в развертывании Виртуальная глобальная сеть.

При использовании клиентами намерения маршрутизации максимальное количество диапазонов адресов во всех виртуальных сетях, напрямую подключенных к одному концентратору Виртуальной глобальной сети, равно 400. Это ограничение применяется отдельно к каждому концентратору Виртуальная глобальная сеть в развертывании Виртуальная глобальная сеть. виртуальная сеть адресные пространства, подключенные к удаленным (другим центрам Виртуальная глобальная сеть в том же центре Виртуальная глобальная сеть), не учитываются в этом пределе.

Если число напрямую подключенных виртуальная сеть адресных пространств, подключенных к концентратору, превышает ограничение, включение или обновление намерения маршрутизации в Виртуальном концентраторе завершится ошибкой. Для центров, уже настроенных с намерением маршрутизации, где виртуальная сеть адресные пространства превышают ограничение в результате операции, такой как обновление адресного пространства виртуальная сеть, новое подключенное адресное пространство может не быть маршрутизируемым.

Заранее запрашивайте увеличение лимита, если общее количество адресных пространств во всех локальных виртуальная сеть превышает 90 % от задокументированного ограничения или если у вас есть запланированные операции расширения сети или развертывания, которые увеличат количество адресных пространств виртуальная сеть за предел.

В следующей таблице приведены примеры вычислений адресного пространства виртуальная сеть.

Виртуальный концентратор	число виртуальная сеть	Адресные пространства на виртуальная сеть	Общее количество адресных пространств виртуальная сеть, подключенных к Виртуальному концентратору	Рекомендуемое действие
Концентратор #1	200	1	200	Никаких действий не требуется, отслеживайте количество адресов.
Концентратор #2	150	3	450	Увеличение ограничения запросов для использования намерения маршрутизации.
Концентратор #3	370	1	370	Увеличение ограничения запроса.

С помощью следующего скрипта PowerShell можно приблизить количество адресных пространств в виртуальная сеть, подключенных к одному Виртуальная глобальная сеть концентратору. Запустите этот скрипт для всех центров Виртуальная глобальная сеть в Виртуальная глобальная сеть. Метрика Azure Monitor для отслеживания и настройки оповещений в подключенных виртуальная сеть адресных пространствах находится в стратегии.

Обязательно измените идентификатор ресурса центра Виртуальная глобальная сеть в скрипте, чтобы он соответствовал вашей среде. Если у вас есть подключения между клиентами виртуальная сеть, убедитесь, что у вас есть достаточные разрешения для чтения объекта подключения Виртуальная глобальная сеть виртуальная сеть, а также подключенного виртуальная сеть ресурса.

$hubVNETconnections = Get-AzVirtualHubVnetConnection -ParentResourceId "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualHubs/<virtual hub name>"
$addressSpaceCount = 0
  
foreach($connection in $hubVNETconnections) {
  try{
    $resourceURI = $connection.RemoteVirtualNetwork.Id
    $RG = ($resourceURI -split "/")[4]
    $name = ($resourceURI -split "/")[8]
    $VNET = Get-AzVirtualNetwork -Name $name -ResourceGroupName $RG -ErrorAction "Stop"
    $addressSpaceCount += $VNET.AddressSpace.AddressPrefixes.Count
  }
  catch{
    Write-Host "An error ocurred  while processing VNET connected to Virtual WAN hub with resource URI:  " -NoNewline
    Write-Host $resourceURI 
    Write-Host "Error Message: " -ForegroundColor Red
    Write-Host $_.Exception.Message -ForegroundColor Red 
  }
  finally{
  }
}
Write-Host "Total Address Spaces in VNETs connected to this Virtual WAN Hub: " -ForegroundColor Green -NoNewline
Write-Host $addressSpaceCount -ForegroundColor Green

Рекомендации

Клиенты, которые в настоящее время используют Брандмауэр Azure в концентраторе Виртуальная глобальная сеть без намерения маршрутизации, могут включить намерение маршрутизации с помощью диспетчера Брандмауэр Azure, портала маршрутизации Виртуальная глобальная сеть концентратора или с помощью других средств управления Azure (PowerShell, CLI, REST API).

Прежде чем включить намерение маршрутизации, рассмотрите следующее:

• Намерение маршрутизации можно настроить только в центрах, где нет пользовательских таблиц маршрутов и статических маршрутов в defaultRouteTable с помощью следующего прыжка виртуальная сеть Connection. Дополнительные сведения см. в разделе Предварительные требования.
• Сохраните копию шлюзов, подключений и таблиц маршрутов перед включением намерения маршрутизации. Система не будет автоматически сохранять и применять предыдущие конфигурации. Дополнительные сведения см . в статье о стратегии отката.
• Намерение маршрутизации изменяет статические маршруты в defaultRouteTable. Из-за портал Azure оптимизации состояние defaultRouteTable после настройки намерения маршрутизации может отличаться, если вы настраиваете намерение маршрутизации с помощью REST, CLI или PowerShell. Дополнительные сведения см. в разделе статических маршрутов.
• Включение намерения маршрутизации влияет на объявление префиксов в локальную среду. Дополнительные сведения см . в объявлениях префикса .
• Вы можете открыть вариант поддержки, чтобы включить подключение между каналами ExpressRoute через устройство брандмауэра в концентраторе. Включение этого шаблона подключения изменяет префиксы, объявленные в каналах ExpressRoute. Дополнительные сведения см. в разделе "О ExpressRoute ".
• Намерение маршрутизации — это единственный механизм в Виртуальная глобальная сеть для включения проверки трафика между концентраторами через устройства безопасности, развернутые в концентраторе. Для проверки трафика между концентраторами также требуется включить намерение маршрутизации на всех центрах, чтобы обеспечить симметричный маршрутизацию трафика между устройствами безопасности, развернутыми в Виртуальная глобальная сеть концентраторах.
• Намерение маршрутизации отправляет виртуальная сеть и локальный трафик в ресурс следующего прыжка, указанный в политике маршрутизации. Виртуальная глобальная сеть программирует базовую платформу Azure для маршрутизации локального трафика и виртуальная сеть трафика в соответствии с настроенной политикой маршрутизации и не обрабатывает трафик через маршрутизатор Виртуального концентратора. Так как пакеты, перенаправленные с помощью намерения маршрутизации, не обрабатываются маршрутизатором, вам не нужно выделять дополнительные единицы инфраструктуры маршрутизации для перенаправления пакетов плоскости данных на концентраторах, настроенных с намерением маршрутизации. Однако может потребоваться выделить дополнительные единицы инфраструктуры маршрутизации на основе количества Виртуальные машины в виртуальная сеть, подключенных к центру Виртуальная глобальная сеть.
• Намерение маршрутизации позволяет настроить различные ресурсы следующего прыжка для частных и интернет-политик маршрутизации. Например, можно задать следующий прыжок для политик частной маршрутизации Брандмауэр Azure в концентраторе и следующего прыжка политики маршрутизации интернета в решение NVA или SaaS в центре. Так как решения SaaS и NVAs брандмауэра развертываются в той же подсети в Виртуальная глобальная сеть концентраторе, развертывание решений SaaS с NVA брандмауэра в том же концентраторе может повлиять на горизонтальное масштабируемость решений SaaS, так как для горизонтального масштабирования доступны менее IP-адреса. Кроме того, в каждом центре Виртуальная глобальная сеть может быть развернуто не более одного решения SaaS.

Необходимые компоненты

Чтобы включить намерение и политики маршрутизации, виртуальный концентратор должен соответствовать следующим предварительным требованиям:

• В виртуальном концентраторе нет настраиваемых таблиц маршрутов. Единственными таблицами маршрутов, которые существуют, являются noneRouteTable и defaultRouteTable.
• У вас нет статических маршрутов с помощью следующего прыжка виртуальная сеть подключение. У вас могут быть статические маршруты в defaultRouteTable, Брандмауэр Azure следующего прыжка.

Параметр настройки намерения маршрутизации неактивен для концентраторов, которые не соответствуют указанным выше требованиям.

Использование намерения маршрутизации (включение параметра между концентраторами) в диспетчере Брандмауэр Azure имеет дополнительное требование:

• Маршруты, созданные диспетчером Брандмауэр Azure, соответствуют соглашению об именовании private_traffic, internet_traffic или all_traffic. Поэтому все маршруты в defaultRouteTable должны соответствовать этому соглашению.

Стратегия отката

Примечание.

Если конфигурация намерения маршрутизации полностью удалена из концентратора, все подключения к концентратору будут распространяться на метку по умолчанию (которая применяется ко всем значениям по умолчаниюRouteTable в Виртуальная глобальная сеть). В результате, если вы рассматриваете возможность реализации намерения маршрутизации в Виртуальная глобальная сеть, необходимо сохранить копию существующих конфигураций (шлюзов, подключений, таблиц маршрутов), чтобы применить, если вы хотите вернуться к исходной конфигурации. Система не восстанавливает предыдущую конфигурацию автоматически.

Намерение маршрутизации упрощает маршрутизацию и настройку путем управления сопоставлениями маршрутов и распространением всех подключений в концентраторе.

В следующей таблице описана связанная таблица маршрутов и распространяемые таблицы маршрутов всех подключений после настройки намерения маршрутизации.

Конфигурация намерения маршрутизации	Связанная таблица маршрутов	Распространяемые таблицы маршрутов
Интернет	defaultRouteTable	метка по умолчанию (defaultRouteTable всех центров в Виртуальная глобальная сеть)
Private	defaultRouteTable	noneRouteTable
Интернет и частный	defaultRouteTable	noneRouteTable

Статические маршруты в defaultRouteTable

В следующем разделе описывается, как намерение маршрутизации управляет статическими маршрутами в defaultRouteTable при включении намерения маршрутизации в концентраторе. Изменения, внесенные намерением маршрутизации в значение defaultRouteTable, необратимы.

При удалении намерения маршрутизации необходимо вручную восстановить предыдущую конфигурацию. Поэтому перед включением намерения маршрутизации рекомендуется сохранить моментальный снимок конфигурации.

Диспетчер Брандмауэр Azure и портал центра Виртуальная глобальная сеть

Если намерение маршрутизации включено в концентраторе, статические маршруты, соответствующие настроенным политикам маршрутизации, создаются автоматически в defaultRouteTable. Эти маршруты:

Имя маршрута	Префиксы	Ресурс следующего прыжка
_policy_PrivateTraffic	10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12	Брандмауэр Azure
_policy_PublicTraffic	0.0.0.0/0	Брандмауэр Azure

Примечание.

Любые статические маршруты в defaultRouteTable, содержащие префиксы, которые не совпадают с 0.0.0.0/0 или RFC1918 супер-nets (10.0.0.0/8, 192.168.0.0/16 и 172.16.0.0/12) автоматически объединяются в один статический маршрут с именем private_traffic. Префиксы в defaultRouteTable, соответствующие RFC1918 суперсетям или 0.0.0.0/0, всегда удаляются автоматически после настройки намерения маршрутизации независимо от типа политики.

Например, рассмотрим сценарий, в котором defaultRouteTable имеет следующие маршруты перед настройкой намерения маршрутизации:

Имя маршрута	Префиксы	Ресурс следующего прыжка
private_traffic	192.168.0.0/16, 172.16.0.0/12, 40.0.0.0/24, 10.0.0.0/24	Брандмауэр Azure
to_internet	0.0.0.0/0	Брандмауэр Azure
additional_private	10.0.0.0/8, 50.0.0.0/24	Брандмауэр Azure

Включение намерения маршрутизации в этом концентраторе приведет к следующему конечному состоянию defaultRouteTable. Все префиксы, не RFC1918 или 0.0.0.0/0/0, объединяются в один маршрут с именем private_traffic.

Имя маршрута	Префиксы	Ресурс следующего прыжка
_policy_PrivateTraffic	10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12	Брандмауэр Azure
_policy_PublicTraffic	0.0.0.0/0	Брандмауэр Azure
private_traffic	40.0.0.0/24, 10.0.0.0/24, 50.0.0.0/24	Брандмауэр Azure

Другие методы (PowerShell, REST, CLI)

Создание намерения маршрутизации с помощью методов, отличных от портала, автоматически создает соответствующие маршруты политики в defaultRouteTable, а также удаляет все префиксы в статических маршрутах, которые точно совпадают с 0.0.0.0.0/0 или RFC1918 суперсетями (10.0.0.0/8, 192.168.0.0/16 или 172.16.0.0/12). Однако другие статические маршруты не объединяются автоматически.

Например, рассмотрим сценарий, в котором defaultRouteTable имеет следующие маршруты перед настройкой намерения маршрутизации:

Имя маршрута	Префиксы	Ресурс следующего прыжка
firewall_route_ 1	10.0.0.0/8	Брандмауэр Azure
firewall_route_2	192.168.0.0/16, 10.0.0.0/24	Брандмауэр Azure
firewall_route_3	40.0.0.0/24	Брандмауэр Azure
to_internet	0.0.0.0/0	Брандмауэр Azure

Следующая таблица представляет окончательное состояние defaultRouteTable после успешного создания намерения маршрутизации. Обратите внимание, что firewall_route_1 и to_internet автоматически удалены в качестве единственного префикса в этих маршрутах: 10.0.0.0/8 и 0.0.0.0/0/0. firewall_route_2 было изменено, чтобы удалить 192.168.0.0/16, так как этот префикс является RFC1918 агрегатным префиксом.

Имя маршрута	Префиксы	Ресурс следующего прыжка
_policy_PrivateTraffic	10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12	Брандмауэр Azure
_policy_PublicTraffic	0.0.0.0/0	Брандмауэр Azure
firewall_route_2	10.0.0.0/24	Брандмауэр Azure
firewall_route_3	40.0.0.0/24	Брандмауэр Azure

Объявление префикса в локальную среду

В следующем разделе описывается, как Виртуальная глобальная сеть объявляет маршруты в локальную среду после настройки намерения маршрутизации в виртуальном концентраторе.

Политика маршрутизации через Интернет

Примечание.

Маршрут по умолчанию 0.0.0.0/0 не объявляется в виртуальных центрах.

Если вы включите политики маршрутизации Интернета в Виртуальном концентраторе, маршрут по умолчанию 0.0.0.0/0 объявляется для всех подключений к концентратору (виртуальная сеть ExpressRoute, VPN типа "сеть — сеть", VPN типа "точка — сеть", NVA в концентраторе и подключениях BGP), где установлен маршрут распространения по умолчанию или флаг безопасности Интернета имеет значение true. Этот флаг может иметь значение false для всех подключений, которые не должны изучать маршрут по умолчанию.

Политика частной маршрутизации

Если виртуальный концентратор настроен с помощью политики частной маршрутизации, Виртуальная глобальная сеть объявляет маршруты к локальным подключениям следующим образом:

• Маршруты, соответствующие префиксам, извлеченным из виртуальная сеть локального концентратора, ExpressRoute, VPN типа "сеть — сеть", VPN типа "точка — сеть", "NVA в концентраторе" или подключения BGP, подключенные к текущему концентратору.
• Маршруты, соответствующие префиксам, извлеченным из удаленных концентраторов виртуальная сеть, ExpressRoute, VPN типа "сеть — сеть", VPN типа "точка — сеть", "NVA в концентраторе" или подключения BGP, где настроены политики частной маршрутизации.
• Маршруты, соответствующие префиксам, извлеченным из удаленных концентраторов виртуальная сеть, ExpressRoute, VPN типа "сеть — сеть", VPN типа "точка — сеть", NVA-in-the-hub и подключения BGP, где намерение маршрутизации не настроено, а удаленные подключения распространяются на локальный концентратор по умолчанию.
• Префиксы, полученные из одного канала ExpressRoute, не объявляются другим каналам ExpressRoute, если только глобальный охват не включен. Если вы хотите включить передачу ExpressRoute в ExpressRoute через решение безопасности, развернутое в центре, откройте вариант поддержки. Дополнительные сведения см. в разделе "Включение подключения между каналами ExpressRoute".

Сценарии маршрутизации ключей

В следующем разделе описывается несколько ключевых сценариев маршрутизации и поведения маршрутизации при настройке намерения маршрутизации в центре Виртуальная глобальная сеть.

Транзитное подключение между каналами ExpressRoute с намерением маршрутизации

Транзитное подключение между каналами ExpressRoute в Виртуальная глобальная сеть предоставляется с помощью двух разных конфигураций. Так как эти две конфигурации несовместимы, клиенты должны выбрать один вариант конфигурации для поддержки транзитного подключения между двумя каналами ExpressRoute.

Примечание.

Чтобы включить транзитное подключение ExpressRoute к ExpressRoute через устройство брандмауэра в концентраторе с политиками частной маршрутизации, откройте вариант поддержки с служба поддержки Майкрософт. Этот параметр не совместим с Global Reach и требует отключения Global Reach, чтобы обеспечить правильную транзитную маршрутизацию между всеми каналами ExpressRoute, подключенными к Виртуальная глобальная сеть.

• ExpressRoute Global Reach: ExpressRoute Global Reach позволяет двум каналам с поддержкой Global Reach отправлять трафик между собой напрямую без передачи виртуального концентратора.
• Политика приватной маршрутизации намерения маршрутизации. Настройка политик частной маршрутизации позволяет двум каналам ExpressRoute отправлять трафик друг другу через решение безопасности, развернутое в концентраторе.

Подключение между каналами ExpressRoute через устройство брандмауэра в концентраторе с политикой частной маршрутизации намерения маршрутизации доступно в следующих конфигурациях:

• Оба канала ExpressRoute подключены к одному концентратору, а политика частной маршрутизации настроена в этом концентраторе.
• Каналы ExpressRoute подключены к разным концентраторам, а политика частной маршрутизации настроена в обоих центрах. Таким образом, оба центра должны развертывать решение для обеспечения безопасности.

Рекомендации по маршрутизации с помощью ExpressRoute

Примечание.

Приведенные ниже рекомендации по маршрутизации применяются ко всем виртуальным концентраторам в подписках, которые включены служба поддержки Майкрософт, чтобы разрешить подключение ExpressRoute к ExpressRoute через устройство безопасности в концентраторе.

После включения транзитного подключения между каналами ExpressRoute с помощью устройства брандмауэра, развернутого в виртуальном концентраторе, можно ожидать следующие изменения в поведении в том, как маршруты объявляются в локальной среде ExpressRoute:

• Виртуальная глобальная сеть автоматически объявляет RFC1918 агрегированные префиксы (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) в локальную сеть, подключенную к ExpressRoute. Эти агрегатные маршруты объявляются в дополнение к маршрутам, описанным в предыдущем разделе.
• Виртуальная глобальная сеть автоматически объявляет все статические маршруты в локальной среде ExpressRouteTable, подключенной к каналу ExpressRoute. Это означает, что Виртуальная глобальная сеть объявляет маршруты, указанные в текстовом поле префикса частного трафика, в локальную среду.

Из-за этих изменений объявления маршрута это означает, что локальные подключения ExpressRoute не могут объявлять точные диапазоны адресов для RFC1918 агрегированных диапазонов адресов (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). Убедитесь, что вы рекламируете более конкретные подсети (в пределах RFC1918 диапазонов) в отличие от агрегатных суперсетей и любых префиксов в текстовом поле "Частный трафик".

Кроме того, если канал ExpressRoute рекламирует префикс, отличный от RFC1918 в Azure, убедитесь, что диапазоны адресов, которые вы помещаете в текстовое поле префиксов частного трафика, меньше, чем объявленные маршруты ExpressRoute. Например, если канал ExpressRoute рекламирует 40.0.0.0/24 из локальной среды, поместите диапазон CIDR /23 или больше в текстовое поле префикса частного трафика (например, 40.0.0.0/23).

Перенаправление объявлений в другие локальные (VPN типа "сеть — сеть", VPN типа "точка — сеть", NVA) не влияет на подключение ExpressRoute к транзитной сети ExpressRoute через устройство безопасности, развернутое в концентраторе.

Шифрование ExpressRoute

Чтобы использовать зашифрованный expressRoute (VPN-туннель типа "сеть — сеть", работающий через канал ExpressRoute) с политиками частной маршрутизации, настройте правило брандмауэра, чтобы разрешить трафик между частными IP-адресами туннеля VPN-шлюз типа Виртуальная глобальная сеть "сеть — сеть" (источник) и локальным VPN-устройством (назначением). Для клиентов, использующих проверку глубокого пакета на устройстве брандмауэра, рекомендуется исключить трафик между этими частными IP-адресами из глубокой проверки пакетов.

Вы можете получить частные IP-адреса туннеля Виртуальная глобальная сеть VPN-шлюз сайта, скачав конфигурацию VPN и просмотрев vpnSiteConnections —> gatewayConfiguration —> IPAddresses. IP-адреса, перечисленные в поле IPAddresses, являются частными IP-адресами, назначенными каждому экземпляру VPN-шлюз типа "сеть — сеть", который используется для завершения VPN-туннелей через ExpressRoute. В приведенном ниже примере IP-адреса туннеля на шлюзе — 192.168.1.4 и 192.168.1.5.

 "vpnSiteConnections": [
      {
        "hubConfiguration": {
          "AddressSpace": "192.168.1.0/24",
          "Region": "South Central US",
          "ConnectedSubnets": [
            "172.16.1.0/24",
            "172.16.2.0/24",
            "172.16.3.0/24",
            "192.168.50.0/24",
            "192.168.0.0/24"
          ]
        },
        "gatewayConfiguration": {
          "IpAddresses": {
            "Instance0": "192.168.1.4",
            "Instance1": "192.168.1.5"
          },
          "BgpSetting": {
            "Asn": 65515,
            "BgpPeeringAddresses": {
              "Instance0": "192.168.1.15",
              "Instance1": "192.168.1.12"
            },
            "CustomBgpPeeringAddresses": {
              "Instance0": [
                "169.254.21.1"
              ],
              "Instance1": [
                "169.254.21.2"
              ]
            },
            "PeerWeight": 0
          }
        }

Частные IP-адреса локальных устройств, которые используются для завершения VPN, — это IP-адреса, указанные в рамках подключения vpn-сайта.

Используя пример конфигурации VPN и VPN-сайта, создайте правила брандмауэра, чтобы разрешить следующий трафик. Ip-адреса VPN-шлюз должны быть исходным IP-адресом, а локальное VPN-устройство должно быть конечным IP-адресом в настроенных правилах.

Параметр правила	Значение
Исходный IP-адрес	192.168.1.4 и 192.168.1.5
Исходный порт	*
IP-адрес назначения	10.100.0.4
Конечный порт	*
Протокол	ЛЮБАЯ

Производительность зашифрованного ExpressRoute

Настройка политик частной маршрутизации с помощью Encrypted ExpressRoute направляет пакеты VPN ESP через устройство безопасности следующего прыжка, развернутого в концентраторе. В результате можно ожидать, что максимальная пропускная способность VPN-туннеля ExpressRoute в зашифрованном режиме составляет 1 Гбит/с в обоих направлениях (входящий трафик из локальной среды и исходящего трафика из Azure). Чтобы достичь максимальной пропускной способности VPN-туннеля, рассмотрите следующие оптимизации развертывания:

• Разверните Брандмауэр Azure Premium вместо Брандмауэр Azure уровня "Стандартный" или Брандмауэр Azure "Базовый".
• Убедитесь, что Брандмауэр Azure обрабатывает правило, разрешающее трафик между конечными точками VPN-туннеля (192.168.1.1.4 и 192.168.1.5 в приведенном выше примере), сначала сделав правило самым высоким приоритетом в политике Брандмауэр Azure. Дополнительные сведения о логике обработки правил Брандмауэр Azure Брандмауэр Azure см. в Брандмауэр Azure логике обработки правил.
• Отключите глубокий пакет для трафика между конечными точками VPN-туннеля. Сведения о настройке Брандмауэр Azure исключения трафика из глубокой проверки пакетов см. в документации по списку обхода IDPS.
• Настройте VPN-устройства для использования GCMAES256 для шифрования и целостности IPSEC для повышения производительности.

Прямая маршрутизация в экземпляры NVA для подключения к двойным ролям и NVAs брандмауэра

Примечание.

Прямая маршрутизация к NVA двойной роли, используемой с политиками частной маршрутизации в Виртуальная глобальная сеть применяется только к трафику между виртуальная сеть и маршрутами, полученными через BGP из NVA, развернутых в центре Виртуальная глобальная сеть. Подключение ExpressRoute и VPN-транзитное подключение к локальной сети, подключенной к NVA, не направляется непосредственно в экземпляры NVA и вместо этого направляется через подсистему балансировки нагрузки NVA двойной роли.

Некоторые сетевые виртуальные устройства могут иметь возможности подключения (SD-WAN) и безопасности (NGFW) на одном устройстве. Эти NVAs считаются виртуальными виртуальными машинами с двойной ролью. Проверьте, является ли NVA двойной ролью NVA в рамках партнеров NVA.

Если политики частной маршрутизации настроены для виртуальных сетей двойной роли, Виртуальная глобальная сеть автоматически объявляет маршруты, полученные от устройства NVA центра Виртуальная глобальная сеть для прямого подключения (локально) виртуальная сеть, а также других виртуальных центров в Виртуальная глобальная сеть со следующим прыжком в качестве экземпляра NVA в отличие от внутреннего подсистемы балансировки нагрузки NVA.

Для конфигураций NVA с активным пассивным доступом, где только один экземпляр NVAs рекламирует маршрут для определенного префикса Виртуальная глобальная сеть (или длина маршрутов AS-PATH, полученные из одного из экземпляров, всегда является самым коротким), Виртуальная глобальная сеть гарантирует, что исходящий трафик из Azure виртуальная сеть всегда направляется в активный (или предпочтительный) экземпляр NVA.

Для конфигураций NVA active-active (несколько экземпляров NVA объявляют один и тот же префикс с той же длиной AS-PATH), Azure автоматически выполняет ECMP для маршрутизации трафика из Azure в локальную среду. Программно-определяемая сетевая платформа Azure не гарантирует симметрию уровня потока, то есть входящий поток в Azure и исходящий поток из Azure может приземлиться на разных экземплярах NVA. Это приводит к асимметричной маршрутизации, которая удаляется проверкой брандмауэра с отслеживанием состояния. Поэтому не рекомендуется использовать шаблоны подключения active-active, в которых NVA работает как NVA с двойной ролью, если NVA не может поддерживать асимметричное перенаправление или поддержку совместного использования сеансов или синхронизации. Дополнительные сведения о том, поддерживает ли NVA асимметричное перенаправление или общий доступ к состоянию сеанса или синхронизацию, обратитесь к поставщику NVA.

Настройка намерения маршрутизации на портале Azure

Назначение маршрутизации и политики маршрутизации можно настроить с помощью портал Azure с помощью диспетчера Брандмауэр Azure или портала Виртуальная глобальная сеть. Портал диспетчера брандмауэра Azure позволяет настроить политики маршрутизации с помощью брандмауэра Azure ресурса следующего прыжка. Портал Виртуальной глобальной сети позволяет настроить политики маршрутизации с помощью брандмауэра Azure ресурса следующего прыжка, сетевых виртуальных модулей, развернутых в виртуальных концентраторах или решениях SaaS.

Клиенты, использующие брандмауэр Azure в защищенном концентраторе Виртуальной глобальной сети, могут задать в Диспетчере брандмауэра Azure параметру «Включить между концентраторами» значение «Включено», чтобы использовать намерение маршрутизации или использовать портал Виртуальной глобальной сети для непосредственной настройки брандмауэра Azure в качестве ресурса следующего прыжка для намерения маршрутизации и политик. Конфигурации на любом портале эквивалентны, и изменения в диспетчере брандмауэра Azure автоматически отражаются на портале Виртуальной глобальной сети и наоборот.

Настройка намерения маршрутизации и политик с помощью диспетчера Брандмауэр Azure

Ниже описано, как настроить намерения маршрутизации и политики маршрутизации в виртуальном концентраторе с помощью диспетчера Брандмауэр Azure. Брандмауэр Azure Manager поддерживает только ресурсы следующего прыжка типа Брандмауэр Azure.

1. Перейдите к концентратору виртуальной глобальной сети, на котором вы хотите настроить политики маршрутизации.

2. В разделе "Безопасность" выберите параметры защищенного виртуального концентратора, а затем выберите "Управление поставщиком безопасности" и параметрами маршрута для этого защищенного виртуального концентратора в диспетчере Брандмауэр Azure.

3. Выберите в меню концентратор, в котором нужно настроить политики маршрутизации.

4. Выберите пункт Конфигурация безопасности в разделе Параметры.

5. Если вам нужно настроить политику маршрутизации интернет-трафика, выберите Брандмауэр Azure или соответствующего поставщика безопасности в раскрывающемся списке Интернет-трафик. В противном случае выберите Нет.

6. Если вам нужно настроить политику маршрутизации частного трафика (для трафика ветви и виртуальной сети) через Брандмауэр Azure, выберите Брандмауэр Azure в раскрывающемся списке Частный трафик. В противном случае выберите пункт Обходить Брандмауэр Azure.

   

7. Если вам нужно настроить политику маршрутизации частного трафика и у вас есть ветви или частные сети с несовместимыми с IANA RFC1918 префиксами, выберите Префиксы частного трафика и укажите диапазоны несовместимых с IANA RFC1918 префиксов в появившемся текстовом поле. Нажмите кнопку Готово.

   

8. Выберите для параметра Между концентраторами значение Включено. Включение этого параметра гарантирует, что политики маршрутизации применяются к намерению маршрутизации этого концентратора виртуальной глобальной сети.

9. Выберите Сохранить.

10. Повторите действия 2–8 для других защищенных концентраторов виртуальных глобальных сетей, для которых требуется настроить политики маршрутизации.

11. Теперь все готово для отправки тестового трафика. Убедитесь, что политики брандмауэра настроены соответствующим образом, чтобы разрешить или запретить трафик на основе нужных конфигураций безопасности.

Настройка намерений и политик маршрутизации с помощью портала Виртуальная глобальная сеть

В следующих шагах описывается настройка намерений маршрутизации и политик маршрутизации на виртуальном концентраторе с помощью портала Виртуальная глобальная сеть.

1. Перейдите по специальной ссылке на портал из сообщения с подтверждением, полученного на 3-м шаге раздела Предварительные требования, перейдите к концентратору Виртуальной глобальной сети, в котором нужно настроить политики маршрутизации.

2. В разделе "Маршрутизация" выберите Политики маршрутизации.

   

3. Если вы хотите настроить политику маршрутизации частного трафика (для ветвления и трафика виртуальная сеть), выберите Брандмауэр Azure, сетевое виртуальное устройство или решения SaaS в рамках частного трафика. В разделе "Ресурс следующего прыжка" выберите соответствующий ресурс следующего прыжка.

   

4. Если вам нужно настроить политику маршрутизации частного трафика и у вас есть ветви или частные сети с несовместимыми с IANA RFC1918 префиксами, выберите Дополнительные префиксы и укажите диапазоны несовместимых с IANA RFC1918 префиксов в появившемся текстовом поле. Нажмите кнопку Готово. Убедитесь, что вы добавили один и тот же префикс в текстовое поле префикса частного трафика во всех виртуальных концентраторах, настроенных с помощью политик частной маршрутизации, чтобы убедиться, что правильные маршруты объявляются всем концентраторам.

   

5. Если вы хотите настроить политику маршрутизации трафика в Интернет, выберите Брандмауэр Azure, сетевое виртуальное устройство или решение SaaS. В разделе "Ресурс следующего прыжка" выберите соответствующий ресурс следующего прыжка.

   

6. Чтобы применить конфигурацию намерений маршрутизации и политик маршрутизации, щелкните Сохранить.

   

7. Повторите для всех концентраторов, для которых вы хотите настроить политики маршрутизации.

8. Теперь все готово для отправки тестового трафика. Убедитесь, что политики брандмауэра настроены соответствующим образом, чтобы разрешить или запретить трафик на основе требуемых конфигураций безопасности.

Настройка намерения маршрутизации с помощью шаблона BICEP

Сведения о шаблоне и шагах см. в шаблоне BICEP.

Устранение неполадок

В следующем разделе описаны распространенные способы устранения неполадок при настройке намерения маршрутизации и политик в центре Виртуальная глобальная сеть.

Фактические маршруты

Примечание.

Получение эффективных маршрутов, примененных к Виртуальная глобальная сеть намерения следующего прыжка, поддерживается только для ресурса следующего прыжка, указанного в политике частной маршрутизации. Если вы используете политики частной и интернет-маршрутизации, проверьте действующие маршруты в ресурсе следующего прыжка, указанном в политике частной маршрутизации, для эффективных маршрутов Виртуальная глобальная сеть программ в политике следующего прыжка. Если вы используете только политики маршрутизации в Интернете, проверьте действующие маршруты по умолчаниюRouteTable, чтобы просмотреть маршруты, запрограммированные в ресурс следующего прыжка политики маршрутизации Интернета.

При настройке политик частной маршрутизации в Виртуальном концентраторе все трафик между локальными и виртуальная сеть проверяются Брандмауэр Azure, сетевым виртуальным устройством или решением SaaS в виртуальном концентраторе.

Таким образом, действующие маршруты по умолчаниюRouteTable показывают RFC1918 агрегированные префиксы (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) с следующим прыжком Брандмауэр Azure или сетевого виртуального устройства. Это отражает, что весь трафик между виртуальная сеть и ветвями направляется в Брандмауэр Azure, NVA или решение SaaS в центре для проверки.

Когда брандмауэр проверяет пакет (и пакет разрешен для каждой конфигурации правила брандмауэра), Виртуальная глобальная сеть перенаправит пакет в конечное место назначения. Чтобы узнать, какие маршруты Виртуальная глобальная сеть используются для пересылки проверенных пакетов, просмотрите эффективную таблицу маршрутов брандмауэра или сетевого виртуального устройства.

Таблица эффективных маршрутов брандмауэра помогает сузить и изолировать проблемы в сети, такие как неправильные настройки или проблемы с определенными ветвями и виртуальными сетями.

Устранение проблем с конфигурацией

Если вы устраняете неполадки конфигурации, рассмотрите следующие проблемы:

• Убедитесь, что у вас нет пользовательских таблиц маршрутов или статических маршрутов в defaultRouteTable с подключением виртуальная сеть следующего прыжка.
  • Параметр настройки намерения маршрутизации неактивен в портал Azure если развертывание не соответствует приведенным выше требованиям.
  • Если вы используете CLI, PowerShell или REST, операция создания намерения маршрутизации завершается сбоем. Удалите намерение неудачной маршрутизации, удалите пользовательские таблицы маршрутов и статические маршруты, а затем попробуйте повторно создать.
  • Если вы используете диспетчер Брандмауэр Azure, убедитесь, что существующие маршруты в defaultRouteTable называются private_traffic, internet_traffic или all_traffic. Параметр настройки намерения маршрутизации (включение взаимодействия) неактивен, если маршруты именуются по-разному.
• После настройки намерения маршрутизации в концентраторе убедитесь, что все обновления существующих подключений или новых подключений к концентратору создаются с необязательными связанными и распространяющимися полями таблицы маршрутов, равными пустым. Задание необязательных связей и распространения как пустых выполняется автоматически для всех операций, выполняемых с помощью портал Azure.

Устранение неполадок с путем данных

Если вы уже ознакомились с разделом "Известные ограничения" , ниже приведены некоторые способы устранения неполадок с данными и подключениями.

• Устранение неполадок с эффективными маршрутами:
  • Если политики частной маршрутизации настроены, вы должны увидеть маршруты с брандмауэром следующего прыжка в эффективных маршрутах defaultRouteTable для агрегатов RFC1918 (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12), а также любые префиксы, указанные в текстовом поле частного трафика. Убедитесь, что все виртуальная сеть и локальные префиксы являются подсетями в статических маршрутах в defaultRouteTable. Если локальная или виртуальная сеть использует адресное пространство, которое не является подсетью в эффективных маршрутах в defaultRouteTable, добавьте префикс в текстовое поле частного трафика.
  • Если настроены политики маршрутизации интернет-трафика, в эффективных маршрутах по умолчанию (0.0.0.0/0/0) по умолчанию будет отображаться маршрут по умолчанию.
  • Убедившись, что действующие маршруты defaultRouteTable имеют правильные префиксы, просмотрите действующие маршруты сетевого виртуального устройства или Брандмауэр Azure. Действующие маршруты брандмауэра показывают, какие маршруты Виртуальная глобальная сеть выбраны и определяют, в какие назначения брандмауэр может пересылать пакеты. Определение отсутствующих префиксов или неправильное состояние помогает сузить проблемы пути к данным и указать на правильный VPN, ExpressRoute, NVA или BGP-подключение для устранения неполадок.
• Устранение неполадок, связанных с сценарием:
  • Если у вас есть незащищенный концентратор (концентратор без Брандмауэр Azure или NVA) в Виртуальная глобальная сеть, убедитесь, что подключения к незащищенным концентраторам распространяются на стандартный каналRouteTable центров с настроенным намерением маршрутизации. Если для распространения не задано значение defaultRouteTable, подключения к защищенному концентратору не смогут отправлять пакеты в незащищенный концентратор.
  • Если у вас настроены политики маршрутизации Интернета, убедитесь, что параметр "Распространение маршрута по умолчанию" или параметр "Включить интернет-безопасность" имеет значение true для всех подключений, которые должны узнать маршрут по умолчанию 0.0.0.0/0. Подключения, в которых этот параметр имеет значение false, не научится маршруту 0.0.0.0/0, даже если настроены политики маршрутизации интернета.
  • Если вы используете частные конечные точки, развернутые в виртуальная сеть, подключенных к виртуальному концентратору, трафик из локальной среды, предназначенной для частных конечных точек, развернутых в виртуальная сеть, подключенных к концентратору Виртуальная глобальная сеть по умолчанию, передает намерение маршрутизации следующего прыжка Брандмауэр Azure, NVA или SaaS. Однако это приводит к асимметричной маршрутизации (что может привести к потере подключения между локальными и частными конечными точками) в качестве частных конечных точек в периферийных виртуальная сеть перенаправит локальный трафик в брандмауэр. Чтобы обеспечить симметрию маршрутизации, включите политики сети таблицы маршрутов для частных конечных точек в подсетях, где развертываются частные конечные точки. Настройка маршрутов /32, соответствующих частным IP-адресам частной конечной точки в текстовом поле "Частный трафик", не гарантирует симметрию трафика при настройке политик частной маршрутизации в концентраторе.
  • Если вы используете Encrypted ExpressRoute с политиками частной маршрутизации, убедитесь, что устройство брандмауэра имеет правило, настроенное для разрешения трафика между Виртуальная глобальная сеть конечной точкой частного IP-туннеля VPN-шлюз и локальным VPN-устройством. Пакеты ESP (зашифрованные внешние) должны входить в журналы Брандмауэр Azure. Дополнительные сведения о Encrypted ExpressRoute с намерением маршрутизации см . в документации по Encrypted ExpressRoute.

Устранение неполадок с маршрутизацией Брандмауэр Azure

• Убедитесь, что состояние подготовки Брандмауэр Azure выполнено успешно, прежде чем пытаться настроить намерение маршрутизации.
• Если вы используете префиксы, отличные от IANA, RFC1918 в ветвях или виртуальная сеть, убедитесь, что эти префиксы указаны в текстовом поле "Частные префиксы". Настроенные "Частные префиксы" не распространяются автоматически на другие центры в Виртуальная глобальная сеть, настроенных с намерением маршрутизации. Чтобы обеспечить подключение, добавьте эти префиксы в текстовое поле "Частные префиксы" в каждом отдельном концентраторе с намерением маршрутизации.
• Если в текстовом поле Префиксы частного трафика в Диспетчере брандмауэра указаны адреса, отличные от RFC1918, может потребоваться настроить в брандмауэре политики SNAT, которые отключают SNAT для частного трафика с адресами, несовместимыми с RFC1918. Дополнительные сведения см. в Брандмауэр Azure диапазонах SNAT.
• Для устранения неполадок и анализа сетевого трафика рекомендуем настроить и просмотреть журналы Брандмауэра Azure. Дополнительные сведения о настройке мониторинга для Брандмауэр Azure см. в Брандмауэр Azure диагностика. Общие сведения о различных типах журналов брандмауэра см. в Брандмауэр Azure журналах и метриках.
• Дополнительные сведения о Брандмауэре Azure см. в документации по Брандмауэру Azure.

Устранение неполадок с виртуальными сетевыми модулями

• Убедитесь, что состояние подготовки виртуального устройства сети выполнено успешно, прежде чем пытаться настроить намерение маршрутизации.
• Если вы используете префиксы, отличные от IANA, RFC1918 в подключенных локальных или виртуальная сеть, убедитесь, что эти префиксы указаны в текстовом поле "Частные префиксы". Настроенные "Частные префиксы" не распространяются автоматически на другие центры в Виртуальная глобальная сеть, настроенных с намерением маршрутизации. Чтобы обеспечить подключение, добавьте эти префиксы в текстовое поле "Частные префиксы" в каждом отдельном концентраторе с намерением маршрутизации.
• Если вы указали не RFC1918 адреса в текстовом поле префиксов частного трафика, может потребоваться настроить политики SNAT в NVA, чтобы отключить SNAT для определенного не RFC1918 частного трафика.
• Проверьте журналы брандмауэра NVA, чтобы узнать, удаляется ли трафик в правилах брандмауэра.
• Обратитесь к поставщику NVA для получения дополнительной поддержки и рекомендаций по устранению неполадок.

Устранение неполадок программного обеспечения как службы

• Убедитесь, что состояние подготовки решения SaaS выполнено успешно, прежде чем пытаться настроить намерение маршрутизации.
• Дополнительные советы по устранению неполадок см. в разделе "Устранение неполадок" в документации Виртуальная глобальная сеть или документации по Palo Alto Networks Cloud NGFW.

Следующие шаги

Дополнительные сведения см. в статье Сведения о маршрутизации виртуальных концентраторов. Дополнительные сведения о виртуальной глобальной сети см. в статье, содержащей Часто задаваемые вопросы о ней.