Scenario: Anpassad isolering för virtuella nätverk

När du arbetar med Virtual WAN routning av virtuella hubbar finns det en hel del tillgängliga scenarier. I ett anpassat isoleringsscenario för virtuella nätverk är målet att förhindra att en specifik uppsättning virtuella nätverk kan nå andra specifika virtuella nätverk. De virtuella nätverken krävs dock för att nå alla grenar (VPN/ER/Användar-VPN). Mer information om routning av virtuella hubbar finns i Om routning av virtuell hubb.

Design

För att ta reda på hur många routningstabeller som behövs kan du skapa en anslutningsmatris. I det här scenariot ser det ut som följande, där varje cell representerar om en källa (rad) kan kommunicera med ett mål (kolumn):

Från	Till:	Blå virtuella nätverk	Röda virtuella nätverk	Grenar
Blå virtuella nätverk	→	Direct		Direct
Röda virtuella nätverk	→		Direct	Direct
Grenar	→	Direct	Direct	Direct

Var och en av cellerna i föregående tabell beskriver om en Virtual WAN anslutning (från-sidan av flödet, radrubrikerna) kommunicerar med ett mål (till-sidan i flödet, kolumnrubrikerna i kursiv stil). I det här scenariot finns det inga brandväggar eller virtuella nätverksinstallationer, så kommunikationen flödar direkt över Virtual WAN (därav ordet "Direct" i tabellen).

Antalet olika radmönster är det antal routningstabeller som vi behöver i det här scenariot. I det här fallet är tre routningstabeller som vi anropar RT_BLUE och RT_RED för de virtuella nätverken och Standard för grenarna. Kom ihåg att grenarna alltid måste associeras med standardroutningstabellen.

Grenarna måste lära sig prefixen från både röda och blå virtuella nätverk, så alla virtuella nätverk måste spridas till Standard (dessutom till antingen RT_BLUE eller RT_RED). Blå och röda virtuella nätverk måste lära sig grenarnas prefix, så grenar sprids till både routningstabeller RT_BLUE och RT_RED också. Därför är detta den slutliga designen:

• Blå virtuella nätverk:
  • Associerad routningstabell: RT_BLUE
  • Spridning till routningstabeller: RT_BLUE och standard
• Röda virtuella nätverk:
  • Associerad routningstabell: RT_RED
  • Spridning till routningstabeller: RT_RED och standard
• Grenar:
  • Associerad routningstabell: Standard
  • Spridning till routningstabeller: RT_BLUE, RT_RED och standard

Anteckning

Eftersom alla grenar måste associeras med standardroutningstabellen och spridas till samma uppsättning routningstabeller, har alla grenar samma anslutningsprofil. Med andra ord kan inte red/blue-konceptet för virtuella nätverk tillämpas på grenar.

Anteckning

Om din Virtual WAN distribueras över flera hubbar måste du skapa RT_BLUE och RT_RED routningstabeller i varje hubb, och vägar från varje VNet-anslutning måste spridas till routningstabellerna i varje virtuell hubb med hjälp av spridningsetiketter.

Mer information om routning av virtuella hubbar finns i Om routning av virtuell hubb.

Arbetsflöde

I bild 1 finns det anslutningar för blå och rött virtuellt nätverk.

• Blåanslutna virtuella nätverk kan nå varandra och nå alla grenar (VPN/ER/P2S) anslutningar.
• Röda virtuella nätverk kan nå varandra och nå alla grenar (VPN/ER/P2S) anslutningar.

Tänk på följande steg när du konfigurerar routning.

1. Skapa två anpassade routningstabeller i Azure Portal, RT_BLUE och RT_RED.
2. För routningstabell RT_BLUE för följande inställningar:
   • Association: Välj alla blå virtuella nätverk.
   • Spridning: För Grenar väljer du alternativet för grenar, vilket innebär att grenanslutningar (VPN/ER/P2S) sprider vägar till den här routningstabellen.
3. Upprepa samma steg för RT_RED routningstabell för röda virtuella nätverk och grenar (VPN/ER/P2S).

Detta resulterar i att routningskonfigurationen ändras enligt följande bild.

Bild 1

Nästa steg

• Mer information om Virtual WAN finns i Vanliga frågor och svar.
• Mer information om routning av virtuella hubbar finns i Om routning av virtuell hubb.