Sanal WAN merkez yönlendirme amacını ve yönlendirme ilkelerini yapılandırma

  • Makale

Sanal WAN Hub yönlendirme amacı, Azure Güvenlik Duvarı, Ağ Sanal Gereçleri veya Sanal WAN hub'ında dağıtılan hizmet olarak yazılım (SaaS) çözümleri gibi kablodaki engebeli güvenlik çözümlerine trafik göndermek için basit ve bildirim temelli yönlendirme ilkeleri ayarlamanıza olanak tanır.

Background

Yönlendirme Amacı ve Yönlendirme İlkeleri, Sanal WAN hub'ını İnternet'e bağlı ve Özel (Noktadan siteye VPN, Siteden siteye VPN, ExpressRoute, Sanal Ağ ve Ağ Sanal Gereci) Trafiği bir Azure Güvenlik Duvarı iletecek şekilde yapılandırmanıza olanak tanır, Sanal hub'da dağıtılan Yeni Nesil Güvenlik Duvarı Ağ Sanal Gereci (NGFW-NVA) veya hizmet olarak güvenlik yazılımı (SaaS) çözümü.

İki tür Yönlendirme İlkeleri vardır: İnternet Trafiği ve Özel Trafik Yönlendirme İlkeleri. Her Sanal WAN Hub'ında, her biri tek bir Sonraki Atlama kaynağına sahip en fazla bir İnternet Trafik Yönlendirme İlkesi ve bir Özel Trafik Yönlendirme İlkesi olabilir. Özel Trafik hem dal hem de Sanal Ağ adres ön eklerini içerirken, Yönlendirme İlkeleri bunları Yönlendirme Amacı kavramları içinde tek bir varlık olarak kabul eder.

  • İnternet Trafik Yönlendirme İlkesi: bir Sanal WAN hub'ına bir İnternet Trafik Yönlendirme İlkesi yapılandırıldığında, tüm dal (Uzak Kullanıcı VPN 'i (Noktadan siteye VPN), Siteden siteye VPN ve ExpressRoute) ve bu Sanal WAN Hub'a Sanal Ağ bağlantıları İnternet'e bağlı trafiği Azure Güvenlik Duvarı iletir, Üçüncü Taraf Güvenlik sağlayıcısı, Ağ Sanal Gereci veya SaaS çözümü, Yönlendirme İlkesi'nin bir parçası olarak belirtilir.

    Başka bir deyişle, Sanal WAN hub'ında bir İnternet Trafik Yönlendirme İlkesi yapılandırıldığında, Sanal WAN tüm uçlara, Ağ Geçitlerine ve Ağ Sanal Gereçlerine (merkez veya uçta dağıtılan) varsayılan bir (0.0.0.0/0) yolu tanıtılır.

  • Özel Trafik Yönlendirme İlkesi: Özel Trafik Yönlendirme İlkesi bir Sanal WAN hub'ında yapılandırıldığında, merkezler arası trafik de dahil olmak üzere Sanal WAN Hub'a gelen ve giden tüm dal ve Sanal Ağ trafiği Sonraki Atlama Azure Güvenlik Duvarı, Ağ Sanal Gereci veya SaaS'a iletilir çözüm kaynağı.

    Başka bir deyişle, Sanal WAN Hub'da Özel Trafik Yönlendirme İlkesi yapılandırıldığında, tüm daldan dala, daldan sanal ağa, sanal ağdan dallara ve merkezler arası trafik Sanal WAN Hub'da dağıtılan Azure Güvenlik Duvarı, Ağ Sanal Gereci veya SaaS çözümü aracılığıyla gönderilir.

Kullanım Örnekleri

Aşağıdaki bölümde, Yönlendirme İlkelerinin Güvenli Sanal WAN hub'larına uygulandığı iki yaygın senaryo açıklanmaktadır.

Tüm Sanal WAN Hub'ları güvenlidir (Azure Güvenlik Duvarı, NVA veya SaaS çözümüyle dağıtılır)

Bu senaryoda, tüm Sanal WAN hub'ları bir Azure Güvenlik Duvarı, NVA veya SaaS çözümüyle dağıtılır. Bu senaryoda, her bir Sanal WAN Hub'ında bir İnternet Trafik Yönlendirme İlkesi, Özel Trafik Yönlendirme İlkesi veya her ikisini de yapılandırabilirsiniz.

Screenshot showing architecture with two secured hubs.

Hub 1 ve Hub 2'nin hem Özel hem de İnternet Trafiği için Yönlendirme İlkelerine sahip olduğu aşağıdaki yapılandırmayı göz önünde bulundurun.

Hub 1 yapılandırması:

  • Sonraki Atlama Hub'ı 1 Azure Güvenlik Duvarı, NVA veya SaaS çözümü ile Özel Trafik İlkesi
  • Next Hop Hub 1 Azure Güvenlik Duvarı, NVA veya SaaS çözümü ile İnternet Trafik İlkesi

Hub 2 yapılandırması:

  • Next Hop Hub 2 Azure Güvenlik Duvarı, NVA veya SaaS çözümü ile Özel Trafik İlkesi
  • Next Hop Hub 2 Azure Güvenlik Duvarı, NVA veya SaaS çözümü ile İnternet Trafik İlkesi

Aşağıda, bu tür bir yapılandırmadan kaynaklanan trafik akışları yer alır.

Not

Varsayılan yol (0.0.0.0/0) hub'lar arasında yayılmadığından İnternet Trafiğinin merkezdeki yerel güvenlik çözümünden geçmesi gerekir.

Kaynak Amaç Hub 1 sanal ağları Hub 1 dalları Hub 2 sanal ağları Hub 2 dalları İnternet
Hub 1 sanal ağları Hub 1 AzFW veya NVA Hub 1 AzFW veya NVA Merkez 1 ve 2 AzFW, NVA veya SaaS Merkez 1 ve 2 AzFW, NVA veya SaaS Hub 1 AzFW, NVA veya SaaS
Hub 1 Dalları Hub 1 AzFW, NVA veya SaaS Hub 1 AzFW, NVA veya SaaS Merkez 1 ve 2 AzFW, NVA veya SaaS Merkez 1 ve 2 AzFW, NVA veya SaaS Hub 1 AzFW, NVA veya SaaS
Hub 2 sanal ağları Merkez 1 ve 2 AzFW, NVA veya SaaS Merkez 1 ve 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS
Hub 2 Dalları Merkez 1 ve 2 AzFW, NVA veya SaaS Merkez 1 ve 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS Hub 2AzFW, NVA veya SaaS

Hem güvenli hem de normal Sanal WAN Hub'ları dağıtma

Bu senaryoda WAN'daki tüm hub'lar Güvenli Sanal WAN Hub'ları (bunlara bir güvenlik çözümü dağıtılan hub'lar) değildir.

Hub 1 (Normal) ve Hub 2 'nin (Güvenli) bir Sanal WAN dağıtıldığı aşağıdaki yapılandırmayı göz önünde bulundurun. Hub 2'de hem Özel hem de İnternet Trafiği için Yönlendirme İlkeleri vardır.

Hub 1 Yapılandırması:

  • Yok (hub Azure Güvenlik Duvarı, NVA veya SaaS çözümüyle dağıtılmadıysa Yönlendirme İlkeleri yapılandırılamaz)

Hub 2 Yapılandırması:

  • Next Hop Hub 2 Azure Güvenlik Duvarı, NVA veya SaaS çözümüne sahip Özel Trafik İlkesi.
  • Next Hop Hub 2 Azure Güvenlik Duvarı, NVA veya SaaS çözümü ile İnternet Trafik İlkesi.

Screenshot showing architecture with one secured hub one normal hub.

Aşağıda, bu tür bir yapılandırmadan kaynaklanan trafik akışları yer alır. Hub 1'e bağlı dallar ve Sanal Ağ, varsayılan yol (0.0.0.0/0) hub'lar arasında yayılmadığından Hub'da dağıtılan bir güvenlik çözümü aracılığıyla İnternet'e erişemez.

Kaynak Amaç Hub 1 sanal ağları Hub 1 dalları Hub 2 sanal ağları Hub 2 dalları İnternet
Hub 1 sanal ağları Doğrudan Doğrudan Hub 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS -
Hub 1 Dalları Doğrudan Doğrudan Hub 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS -
Hub 2 sanal ağları Hub 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS
Hub 2 Dalları Hub 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS Hub 2 AzFW, NVA veya SaaS

Bilinen Sınırlamalar

  • Yönlendirme Amacı şu anda Azure genel sürümünde kullanılabilir. 21Vianet ve Azure Kamu tarafından sağlanan Microsoft Azure şu anda yol haritasındadır.
  • Yönlendirme Amacı, tüm bağlantılar (Sanal Ağ, Siteden siteye VPN, Noktadan siteye VPN ve ExpressRoute) için yönlendirme tablosu ilişkilendirmelerini ve yaymalarını yöneterek yönlendirmeyi basitleştirir. Sanal WAN özel yol tabloları ve özelleştirilmiş ilkeler bu nedenle Yönlendirme Amacı yapıları ile kullanılamaz.
  • Şifrelenmiş ExpressRoute (ExpressRoute devreleri üzerinden çalışan siteden siteye VPN tünelleri), Azure Güvenlik Duvarı VPN tüneli uç noktaları (Siteden siteye VPN Gateway özel IP'si ve şirket içi VPN cihazı özel IP'si) arasında trafiğe izin verecek şekilde yapılandırılmışsa yönlendirme amacının yapılandırıldığı merkezlerde desteklenir. Gerekli yapılandırmalar hakkında daha fazla bilgi için bkz . Yönlendirme amacı ile Şifrelenmiş ExpressRoute.
  • Yönlendirme Amacı ile aşağıdaki bağlantı kullanım örnekleri desteklenmez :
    • defaultRouteTable'da Sanal Ağ bir bağlantıya işaret eden statik yollar yönlendirme amacı ile birlikte kullanılamaz. Ancak BGP eşleme özelliğini kullanabilirsiniz.
    • Aynı Sanal WAN hub'ına hem SD-WAN bağlantı NVA'sı hem de ayrı bir Güvenlik Duvarı NVA veya SaaS çözümü dağıtma özelliği şu anda yol haritasındadır. Yönlendirme amacı sonraki atlama SaaS çözümü veya Güvenlik Duvarı NVA ile yapılandırıldıktan sonra SD-WAN NVA ile Azure arasındaki bağlantı etkilenir. Bunun yerine SD-WAN NVA ve Güvenlik Duvarı NVA veya SaaS çözümünü farklı Sanal Hub'lara dağıtın. Alternatif olarak, SD-WAN NVA'yı hub'a bağlı bir uç Sanal Ağ dağıtabilir ve sanal hub BGP eşleme özelliğinden yararlanabilirsiniz.
    • Ağ Sanal Gereçleri (NVA' lar) yalnızca Yeni Nesil Güvenlik Duvarı veya çift rollü Yeni Nesil Güvenlik Duvarı ve SD-WAN NVA'ları ise yönlendirme amacı için sonraki atlama kaynağı olarak belirtilebilir. Şu anda denetim noktası, fortinet-ngfw ve fortinet-ngfw-and-sdwan yönlendirme amacı için bir sonraki atlama olacak şekilde yapılandırılmaya uygun tek NVA'lardır. Başka bir NVA belirtmeye çalışırsanız Yönlendirme Amacı oluşturma başarısız olur. Sanal Hub -> Ağ Sanal Gereçleri'ne gidip Satıcı alanına bakarak NVA'nın türünü de kontrol edebilirsiniz.
    • Birden çok ExpressRoute bağlantı hattını Sanal WAN bağlamak ve hub'a dağıtılan bir güvenlik çözümü aracılığıyla aralarında trafik göndermek isteyen Yönlendirme Amacı kullanıcıları, bu kullanım örneğini etkinleştirmek için bir destek olayı açılmasını sağlayabilir. Daha fazla bilgi için ExpressRoute bağlantı hatları arasında bağlantıyı etkinleştirme başvurusu.

Dikkat edilmesi gereken noktalar

Şu anda Sanal WAN hub'ında Yönlendirme Amacı olmadan Azure Güvenlik Duvarı kullanan müşteriler, Azure Güvenlik Duvarı Yöneticisi, Sanal WAN hub yönlendirme portalı veya diğer Azure yönetim araçları (PowerShell, CLI, REST API) aracılığıyla yönlendirme amacını etkinleştirebilir.

Yönlendirme amacını etkinleştirmeden önce aşağıdakileri göz önünde bulundurun:

  • Yönlendirme amacı yalnızca özel yol tablolarının olmadığı ve defaultRouteTable'da sonraki atlama Sanal Ağ Bağlan ion ile statik yolların bulunmadığı hub'larda yapılandırılabilir. Daha fazla bilgi için bkz . önkoşullar.
  • Yönlendirme amacını etkinleştirmeden önce ağ geçitlerinizin, bağlantılarınızın ve yönlendirme tablolarınızın bir kopyasını kaydedin. Sistem, önceki yapılandırmaları otomatik olarak kaydetmez ve uygulamaz. Daha fazla bilgi için bkz . geri alma stratejisi.
  • Yönlendirme amacı, defaultRouteTable'daki statik yolları değiştirir. Azure portalı iyileştirmeleri nedeniyle, YÖNLENDIRME amacı yapılandırıldıktan sonra varsayılanRouteTable'ın durumu REST, CLI veya PowerShell kullanarak yönlendirme amacını yapılandırdığınızda farklı olabilir. Daha fazla bilgi için bkz . statik yollar.
  • Yönlendirme amacının etkinleştirilmesi, ön eklerin şirket içi kullanıma tanıtılmasını etkiler. Daha fazla bilgi için önek tanıtımlarına bakın.
  • Hub'daki bir Güvenlik Duvarı gereci aracılığıyla ExpressRoute bağlantı hatları arasında bağlantıyı etkinleştirmek için bir destek olayı açabilirsiniz. Bu bağlantı düzeninin etkinleştirilmesi, ExpressRoute bağlantı hatlarına tanıtılan ön ekleri değiştirir. Daha fazla bilgi için bkz . ExpressRoute Hakkında.

Önkoşullar

Yönlendirme amacını ve ilkelerini etkinleştirmek için Sanal Hub'ınızın aşağıdaki önkoşulları karşılaması gerekir:

  • Sanal Hub ile dağıtılan özel yol tablosu yok. Var olan tek yol tabloları noneRouteTable ve defaultRouteTable'dır.
  • Sonraki atlama Sanal Ağ Bağlan ile statik yollarınız olamaz. DefaultRouteTable'da statik yollarınız sonraki atlama Azure Güvenlik Duvarı olabilir.

Yönlendirme amacını yapılandırma seçeneği, yukarıdaki gereksinimleri karşılamayen hub'lar için gridir.

Azure Güvenlik Duvarı Yöneticisi'nde yönlendirme amacını (merkezler arası seçeneği etkinleştirme) kullanmanın ek bir gereksinimi vardır:

  • Azure Güvenlik Duvarı Manager tarafından oluşturulan yollar private_traffic, internet_traffic veya all_traffic adlandırma kuralını izler. Bu nedenle, defaultRouteTable'daki tüm yolların bu kurala uyması gerekir.

Geri alma stratejisi

Not

Yönlendirme amacı yapılandırması bir hub'dan tamamen kaldırıldığında, hub'a yönelik tüm bağlantılar varsayılan etikete yayılacak şekilde ayarlanır (bu, Sanal WAN 'tümü' varsayılanRouteTable'lar için geçerlidir). Sonuç olarak, Sanal WAN'da Yönlendirme Amacı uygulamayı düşünüyorsanız, özgün yapılandırmaya geri dönmek istiyorsanız geçerli olmak üzere mevcut yapılandırmalarınızın (ağ geçitleri, bağlantılar, yönlendirme tabloları) bir kopyasını kaydetmeniz gerekir. Sistem önceki yapılandırmanızı otomatik olarak geri yüklemez.

Yönlendirme Amacı, bir hub'daki tüm bağlantıların yol ilişkilendirmelerini ve yaymalarını yöneterek yönlendirmeyi ve yapılandırmayı basitleştirir.

Aşağıdaki tabloda, yönlendirme amacı yapılandırıldıktan sonra tüm bağlantıların ilişkili yol tablosu ve yayılan yol tabloları açıklanmaktadır.

Yönlendirme Amacı yapılandırması İlişkili yol tablosu Yayılan rota tabloları
İnternet defaultRouteTable varsayılan etiket (Sanal WAN tüm hub'lar için defaultRouteTable)
Özel defaultRouteTable noneRouteTable
İnternet ve Özel defaultRouteTable noneRouteTable

defaultRouteTable'da statik yollar

Aşağıdaki bölümde, yönlendirme amacı bir hub'da etkinleştirildiğinde yönlendirme amacının defaultRouteTable'daki statik yolları nasıl yönettiği açıklanmaktadır. Yönlendirme Amacının defaultRouteTable'da yaptığı değişiklikler geri alınamaz.

Yönlendirme amacını kaldırırsanız, önceki yapılandırmanızı el ile geri yüklemeniz gerekir. Bu nedenle, yönlendirme amacını etkinleştirmeden önce yapılandırmanızın anlık görüntüsünü kaydetmenizi öneririz.

Azure Güvenlik Duvarı Yöneticisi ve Sanal WAN Hub Portalı

Yönlendirme amacı hub'da etkinleştirildiğinde, yapılandırılan yönlendirme ilkelerine karşılık gelen statik yollar defaultRouteTable'da otomatik olarak oluşturulur. Bu yollar şunlardır:

Yol Adı Ön Ekler Sonraki Atlama Kaynağı
_policy_PrivateTraffic 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 Azure Güvenlik Duvarı
_policy_PublicTraffic 0.0.0.0/0 Azure Güvenlik Duvarı

Not

DefaultRouteTable'da 0.0.0.0/0 veya RFC1918 süper ağlarla (10.0.0.0/8) tam eşleşmemiş ön ekleri içeren tüm statik yollar, 192.168.0.0/16 ve 172.16.0.0/12) otomatik olarak private_traffic adlı tek bir statik yolda birleştirilir. defaultRouteTable'da RFC1918 süper ağlarla veya 0.0.0.0/0 ile eşleşen ön ekler, ilke türünden bağımsız olarak yönlendirme amacı yapılandırıldıktan sonra her zaman otomatik olarak kaldırılır.

Örneğin, yönlendirme amacını yapılandırmadan önce defaultRouteTable'ın aşağıdaki yollara sahip olduğu senaryoyu göz önünde bulundurun:

Yol Adı Ön Ekler Sonraki Atlama Kaynağı
private_traffic 192.168.0.0/16, 172.16.0.0/12, 40.0.0.0/24, 10.0.0.0/24 Azure Güvenlik Duvarı
to_internet 0.0.0.0/0 Azure Güvenlik Duvarı
additional_private 10.0.0.0/8, 50.0.0.0/24 Azure Güvenlik Duvarı

Bu hub'da yönlendirme amacının etkinleştirilmesi defaultRouteTable'ın aşağıdaki bitiş durumuna neden olur. RFC1918 veya 0.0.0.0/0 olmayan tüm ön ekler private_traffic adlı tek bir yol halinde birleştirilir.

Yol Adı Ön Ekler Sonraki Atlama Kaynağı
_policy_PrivateTraffic 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 Azure Güvenlik Duvarı
_policy_PublicTraffic 0.0.0.0/0 Azure Güvenlik Duvarı
private_traffic 40.0.0.0/24, 10.0.0.0/24, 50.0.0.0/24 Azure Güvenlik Duvarı

Diğer yöntemler (PowerShell, REST, CLI)

Portal dışı yöntemleri kullanarak yönlendirme amacı oluşturma, defaultRouteTable'da karşılık gelen ilke yollarını otomatik olarak oluşturur ve ayrıca statik yollarda 0.0.0.0/0 veya RFC1918 süper ağlarla (10.0.0.0/8) tam olarak eşleşen tüm ön ekleri kaldırır. 192.168.0.0/16 veya 172.16.0.0/12). Ancak, diğer statik yollar otomatik olarak birleştirilmemiştir .

Örneğin, yönlendirme amacını yapılandırmadan önce defaultRouteTable'ın aşağıdaki yollara sahip olduğu senaryoyu göz önünde bulundurun:

Yol Adı Ön Ekler Sonraki Atlama Kaynağı
firewall_route_ 1 10.0.0.0/8 Azure Güvenlik Duvarı
firewall_route_2 192.168.0.0/16, 10.0.0.0/24 Azure Güvenlik Duvarı
firewall_route_3 40.0.0.0/24 Azure Güvenlik Duvarı
to_internet 0.0.0.0/0 Azure Güvenlik Duvarı

Aşağıdaki tablo, yönlendirme amacı oluşturma işlemi başarılı olduktan sonra defaultRouteTable'ın son durumunu temsil eder. Firewall_route_1 ve to_internet otomatik olarak kaldırıldığını unutmayın. Bu yollardaki tek ön ek 10.0.0.0/8 ve 0.0.0.0/0'dır. firewall_route_2, 192.168.0.0/16'nın kaldırılacağı şekilde değiştirildi, bu ön ek RFC1918 bir toplama ön ekidir.

Yol Adı Ön Ekler Sonraki Atlama Kaynağı
_policy_PrivateTraffic 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 Azure Güvenlik Duvarı
_policy_PublicTraffic 0.0.0.0/0 Azure Güvenlik Duvarı
firewall_route_2 10.0.0.0/24 Azure Güvenlik Duvarı
firewall_route_3 40.0.0.0/24 Azure Güvenlik Duvarı

Şirket içi önek tanıtımı

Aşağıdaki bölümde, Sanal WAN Yönlendirme Amacı bir Sanal Hub'da yapılandırıldıktan sonra şirket içi yollara nasıl yol tanıtıldığı açıklanmaktadır.

İnternet yönlendirme ilkesi

Not

0.0.0.0/0 varsayılan yolu sanal hub'lar arasında tanıtılmaz .

Sanal Hub'da İnternet yönlendirme ilkelerini etkinleştirirseniz 0.0.0.0/0 varsayılan yolu, Varsayılan yolu yay veya İnternet güvenliğini etkinleştir bayrağının true olarak ayarlandığı merkez (Sanal Ağ ExpressRoute, Siteden siteye VPN, Noktadan siteye VPN, merkezdeki NVA ve BGP bağlantıları) tüm bağlantılara tanıtılır. Varsayılan yolu öğrenmemesi gereken tüm bağlantılar için bu bayrağı false olarak ayarlayabilirsiniz.

Özel yönlendirme ilkesi

Bir Sanal hub Özel Yönlendirme ilkesiyle yapılandırıldığında Sanal WAN yerel şirket içi bağlantılara giden yolları aşağıdaki şekilde tanıtıyor:

  • Yerel hub'ın Sanal Ağ, ExpressRoute, Siteden siteye VPN, Noktadan siteye VPN, hub'da NVA veya geçerli hub'a bağlı BGP bağlantılarından öğrenilen ön eklere karşılık gelen yollar.
  • Uzak hub Sanal Ağ, ExpressRoute, Siteden siteye VPN, Noktadan siteye VPN, Özel Yönlendirme ilkelerinin yapılandırıldığı NVA-in-the-hub veya BGP bağlantılarından öğrenilen ön eklere karşılık gelen yollar.
  • Yönlendirme Amacının yapılandırılmadığı ve uzak bağlantıların yerel hub'ın defaultRouteTable'ına yayıldığı uzak hub Sanal Ağ, ExpressRoute, Siteden siteye VPN, Noktadan siteye VPN, Hub'da NVA ve BGP bağlantılarından öğrenilen ön eklere karşılık gelen yollar.
  • Bir ExpressRoute bağlantı hattından öğrenilen ön ekler, Global Reach etkinleştirilmediği sürece diğer ExpressRoute bağlantı hatlarına tanıtılamaz. Hub'da dağıtılan bir güvenlik çözümü aracılığıyla ExpressRoute'dan ExpressRoute'a geçişini etkinleştirmek istiyorsanız bir destek olayı açın. Daha fazla bilgi için bkz . ExpressRoute bağlantı hatları arasında bağlantıyı etkinleştirme.

Yönlendirme amacı ile ExpressRoute bağlantı hatları arasında geçiş bağlantısı

Sanal WAN içindeki ExpressRoute bağlantı hatları arasında geçiş bağlantısı iki farklı yapılandırmayla sağlanır. Bu iki yapılandırma uyumlu olmadığından, müşterilerin iki ExpressRoute bağlantı hattı arasındaki aktarım bağlantısını desteklemek için bir yapılandırma seçeneği belirlemesi gerekir.

Not

ExpressRoute'dan ExpressRoute'a aktarım bağlantısını özel yönlendirme ilkelerine sahip hub'daki bir Güvenlik Duvarı gereci aracılığıyla etkinleştirmek için Microsoft Desteği ile bir destek olayı açın. Bu seçenek Global Reach ile uyumlu değildir ve Sanal WAN bağlı tüm ExpressRoute bağlantı hatları arasında doğru transit yönlendirme sağlamak için Global Reach'in devre dışı bırakılmasını gerektirir.

  • ExpressRoute Global Reach: ExpressRoute Global Reach, Iki Global Reach özellikli bağlantı hattının Sanal Hub'a geçiş yapmadan birbirleriyle doğrudan trafik göndermesine olanak tanır.
  • Yönlendirme Amacı özel yönlendirme ilkesi: Özel yönlendirme ilkelerinin yapılandırılması, iki ExpressRoute bağlantı hattının hub'a dağıtılan bir güvenlik çözümü aracılığıyla birbirine trafik göndermesine olanak tanır.

Yönlendirme amacı özel yönlendirme ilkesine sahip hub'daki bir Güvenlik Duvarı gereci aracılığıyla ExpressRoute bağlantı hatlarında Bağlan üretkenliği aşağıdaki yapılandırmalarda bulabilirsiniz:

  • Her iki ExpressRoute bağlantı hattı da aynı hub'a bağlanır ve bu hub'da bir özel yönlendirme ilkesi yapılandırılır.
  • ExpressRoute bağlantı hatları farklı hub'lara bağlanır ve her iki merkezde de özel yönlendirme ilkesi yapılandırılır. Bu nedenle, her iki hub'da da dağıtılan bir güvenlik çözümü olmalıdır.

ExpressRoute ile yönlendirme konusunda dikkat edilmesi gerekenler

Not

Aşağıdaki yönlendirme konuları, expressroute'un hub'daki bir güvenlik gereci aracılığıyla ExpressRoute bağlantısına izin vermek için Microsoft Desteği tarafından etkinleştirilen aboneliklerdeki tüm Sanal hub'lar için geçerlidir.

Sanal Hub'da dağıtılan bir güvenlik duvarı gereci kullanılarak ExpressRoute bağlantı hatları arasında geçiş bağlantısı etkinleştirildikten sonra, yolların şirket içi ExpressRoute'a tanıtılma davranışında aşağıdaki değişiklikleri bekleyebilirsiniz:

  • Sanal WAN otomatik olarak RFC1918 toplama ön eklerini (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) ExpressRoute'a bağlı şirket içi kullanıma duyurur. Bu toplama yolları, önceki bölümde açıklanan yollara ek olarak tanıtılır.
  • Sanal WAN, varsayılanRouteTable'daki tüm statik yolları otomatik olarak ExpressRoute bağlantı hattına bağlı şirket içi olarak tanıtır. Bu, Sanal WAN özel trafik ön eki metin kutusunda belirtilen yolları şirket içinde tanıtma anlamına gelir.

Bu yol tanıtımı değişiklikleri nedeniyle, ExpressRoute'a bağlı şirket içi RFC1918 toplama adres aralıkları için tam adres aralıklarını tanıtamadığı anlamına gelir (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). Özel Trafik metin kutusundaki süper ağları ve önekleri toplamak yerine daha belirli alt ağlar (RFC1918 aralıklar içinde) reklam verdiğinizden emin olun.

Ayrıca ExpressRoute bağlantı hattınız Azure'a RFC1918 olmayan bir ön ek tanıtıyorsa, Özel Trafik Ön Ekleri metin kutusuna eklediğiniz adres aralıklarının ExpressRoute tarafından tanıtılan yollardan daha az özel olduğundan emin olun. Örneğin, ExpressRoute Bağlantı Hattı şirket içinden 40.0.0.0/24'ün reklamını alıyorsa, Özel Trafik Ön Eki metin kutusuna bir /23 CIDR aralığı veya daha büyük bir aralık koyun (örnek: 40.0.0.0/23).

Diğer şirket içi reklamlara yönlendirme (Siteden siteye VPN, Noktadan siteye VPN, NVA), hub'da dağıtılan bir güvenlik gereci aracılığıyla ExpressRoute'dan ExpressRoute'a geçiş bağlantısı etkinleştirildiğinde etkilenmez.

Şifrelenmiş ExpressRoute

Yönlendirme amacı özel yönlendirme ilkeleriyle Encrypted ExpressRoute (ExpressRoute bağlantı hattı üzerinden çalışan siteden siteye VPN tüneli) kullanmak için, Sanal WAN Siteden siteye VPN Gateway'in (kaynak) tünel özel IP adresleri ile şirket içi VPN cihazı (hedef) arasında trafiğe izin verecek bir güvenlik duvarı kuralı yapılandırın. Güvenlik duvarı cihazında derin paket incelemesi kullanan müşteriler için, bu özel IP'ler arasındaki trafiği derin paket incelemesinin dışında tutmanız önerilir.

VPN yapılandırmasını indirip vpnSite Bağlan ions - gatewayConfiguration ->> IPAddresses görüntüleyerek Sanal WAN Siteden siteye VPN Gateway'in tünel özel IP adreslerini alabilirsiniz. IPAddresses alanında listelenen IP adresleri, ExpressRoute üzerinden VPN tünellerini sonlandırmak için kullanılan Siteden siteye VPN Gateway'in her örneğine atanan özel IP adresleridir. Aşağıdaki örnekte, Ağ Geçidi üzerindeki tünel IP'leri 192.168.1.4 ve 192.168.1.5'tır.

 "vpnSiteConnections": [
      {
        "hubConfiguration": {
          "AddressSpace": "192.168.1.0/24",
          "Region": "South Central US",
          "ConnectedSubnets": [
            "172.16.1.0/24",
            "172.16.2.0/24",
            "172.16.3.0/24",
            "192.168.50.0/24",
            "192.168.0.0/24"
          ]
        },
        "gatewayConfiguration": {
          "IpAddresses": {
            "Instance0": "192.168.1.4",
            "Instance1": "192.168.1.5"
          },
          "BgpSetting": {
            "Asn": 65515,
            "BgpPeeringAddresses": {
              "Instance0": "192.168.1.15",
              "Instance1": "192.168.1.12"
            },
            "CustomBgpPeeringAddresses": {
              "Instance0": [
                "169.254.21.1"
              ],
              "Instance1": [
                "169.254.21.2"
              ]
            },
            "PeerWeight": 0
          }
        }

Şirket içi cihazların VPN sonlandırma için kullandığı özel IP adresleri, VPN sitesi bağlantı bağlantısının bir parçası olarak belirtilen IP adresleridir.

Screenshot showing VPN site on-premises device tunnel IP address.

Yukarıdaki örnek VPN yapılandırmasını ve VPN sitesini kullanarak aşağıdaki trafiğe izin vermek için güvenlik duvarı kuralları oluşturun. VPN Gateway IP'lerinin kaynak IP olması ve şirket içi VPN cihazının yapılandırılan kurallarda hedef IP olması gerekir.

Kural Parametresi Değer
Kaynak IP 192.168.1.4 ve 192.168.1.5
Kaynak Bağlantı Noktası *
Hedef IP 10.100.0.4
Hedef Bağlantı Noktası *
Protokol HERHANGİ BİRİ

Performans

Encrypted ExpressRoute ile özel yönlendirme ilkelerini yapılandırmak, VPN ESP paketlerini hub'a dağıtılan sonraki atlama güvenlik gereci aracılığıyla yönlendirir. Sonuç olarak, her iki yönde de (şirket içinden gelen ve Azure'dan giden) 1 Gb/sn'lik şifrelenmiş ExpressRoute maksimum VPN tüneli aktarım hızı bekleyebilirsiniz. En yüksek VPN tüneli aktarım hızına ulaşmak için aşağıdaki dağıtım iyileştirmelerini göz önünde bulundurun:

  • Azure Güvenlik Duvarı Standard veya Azure Güvenlik Duvarı Basic yerine Azure Güvenlik Duvarı Premium dağıtın.
  • Azure Güvenlik Duvarı kuralın önce Azure Güvenlik Duvarı ilkenizde en yüksek önceliğe sahip olmasını sağlayarak VPN tüneli uç noktaları (yukarıdaki örnekte 192.168.1.4 ve 192.168.1.5) arasında trafiğe izin veren kuralı işlediğinden emin olun. Azure Güvenlik Duvarı kural işleme mantığı hakkında daha fazla bilgi için bkz. kural işleme mantığı Azure Güvenlik Duvarı.
  • VPN tüneli uç noktaları arasındaki trafik için derin paketi kapatın. Azure Güvenlik Duvarı derin paket incelemesinden trafiği dışlayacak şekilde yapılandırma hakkında bilgi için IDPS atlama listesi belgelerine başvurun.
  • Performansı en üst düzeye çıkarmak için VPN cihazlarını hem IPSEC Şifrelemesi hem de Bütünlük için GCMAES256 kullanacak şekilde yapılandırın.

Azure portalı aracılığıyla yönlendirme amacını yapılandırma

Yönlendirme amacı ve yönlendirme ilkeleri, Azure Güvenlik Duvarı Yöneticisi veya Sanal WAN portalı kullanılarak Azure portalı üzerinden yapılandırılabilir. Azure Güvenlik Duvarı Yöneticisi portalı, sonraki atlama kaynağı Azure Güvenlik Duvarı ile yönlendirme ilkelerini yapılandırmanıza olanak tanır. Sanal WAN portalı, bir sonraki atlama kaynağı Azure Güvenlik Duvarı, Sanal hub veya SaaS çözümleri içinde dağıtılan Ağ Sanal Gereçleri ile yönlendirme ilkelerini yapılandırmanıza olanak tanır.

Güvenli Sanal WAN hub'da Azure Güvenlik Duvarı kullanan müşteriler yönlendirme amacını kullanmak için Azure Güvenlik Duvarı Yöneticisi'nin 'Merkezler arası etkinleştirme' ayarını 'Etkin' olarak ayarlayabilir veya Azure Güvenlik Duvarı doğrudan yapılandırmak için Sanal WAN portalını kullanabilir yönlendirme amacı ve ilkeleri için sonraki atlama kaynağı olarak. Her iki portal deneyimindeki yapılandırmalar eşdeğerdir ve Azure Güvenlik Duvarı Yöneticisi'ndeki değişiklikler otomatik olarak Sanal WAN portala yansıtılır ve tam tersi de geçerlidir.

Azure Güvenlik Duvarı Yöneticisi aracılığıyla yönlendirme amacını ve ilkelerini yapılandırma

Aşağıdaki adımlarda, Azure Güvenlik Duvarı Yöneticisi'ni kullanarak Sanal Hub'ınızda yönlendirme amacını ve yönlendirme ilkelerini yapılandırma açıklanmaktadır. Azure Güvenlik Duvarı Yöneticisi yalnızca Azure Güvenlik Duvarı türünde sonraki atlama kaynaklarını destekler.

  1. Yönlendirme İlkelerini yapılandırmak istediğiniz Sanal WAN Merkezi'ne gidin.

  2. Güvenlik'in altında Güvenli Sanal hub ayarları'nı ve ardından Azure Güvenlik Duvarı Yöneticisi'nde bu Güvenli sanal hub için güvenlik sağlayıcısı ve yönlendirme ayarlarını yönet'i seçin. Screenshot showing how to modify secured hub settings.

  3. Menüden Yönlendirme İlkelerinizi yapılandırmak istediğiniz Merkez'i seçin.

  4. Ayarlar altında Güvenlik yapılandırması'nıseçin

  5. Bir İnternet Trafik Yönlendirme İlkesi yapılandırmak istiyorsanız, İnternet Trafiği açılır listesinden Azure Güvenlik Duvarı veya ilgili İnternet Güvenliği sağlayıcısını seçin. Aksi takdirde Yok'a tıklayın

  6. Azure Güvenlik Duvarı aracılığıyla bir Özel Trafik Yönlendirme İlkesi (dal ve Sanal Ağ trafik için) yapılandırmak istiyorsanız, Özel Trafik açılan listesinden Azure Güvenlik Duvarı seçin. Yoksa, Azure Güvenlik Duvarı atla'yı seçin.

    Screenshot showing how to configure routing policies.

  7. Özel Trafik Yönlendirme İlkesi yapılandırmak istiyorsanız ve IANA olmayan RFC1918 Ön Eklerini gösteren dallarınız veya sanal ağlarınız varsa, Özel Trafik Ön Ekleri'ni seçin ve açılan metin kutusunda IANA olmayan RFC1918 ön ek aralıklarını belirtin. Bitti'yi seçin.

    Screenshot showing how to edit private traffic prefixes.

  8. Etkinleştirilecek Hub'lar arası seçeneğini belirleyin. Bu seçeneğin etkinleştirilmesi, Yönlendirme İlkelerinizin bu Sanal WAN Merkezi'nin Yönlendirme Amacına uygulanmasını sağlar.

  9. Kaydet'i seçin.

  10. Yönlendirme ilkelerini yapılandırmak istediğiniz diğer Güvenli Sanal WAN merkezleri için 2 ila 8. adımları yineleyin.

  11. Bu noktada test trafiği göndermeye hazır olursunuz. Güvenlik Duvarı İlkelerinizin, istediğiniz güvenlik yapılandırmalarına göre trafiğe izin verecek/trafiği reddedecek şekilde uygun şekilde yapılandırıldığından emin olun.

Sanal WAN portalı aracılığıyla yönlendirme amacını ve ilkelerini yapılandırma

Aşağıdaki adımlar, Sanal WAN portalını kullanarak Sanal Hub'ınızda yönlendirme amacını ve yönlendirme ilkelerini yapılandırmayı açıklar.

  1. Önkoşullar bölümündeki 3. adımdaki onay e-postasında sağlanan özel portal bağlantısından yönlendirme ilkelerini yapılandırmak istediğiniz Sanal WAN hub'ına gidin.

  2. Yönlendirme'nin altında Yönlendirme İlkeleri'ne tıklayın.

    Screenshot showing how to navigate to routing policies.

  3. Özel Trafik Yönlendirme İlkesi yapılandırmak istiyorsanız (dal ve Sanal Ağ Trafik için), Özel Trafik altında Azure Güvenlik Duvarı, Ağ Sanal Gereci veya SaaS çözümleri'ni seçin. Sonraki Atlama Kaynağı'nın altında ilgili sonraki atlama kaynağını seçin.

    Screenshot showing how to configure NVA private routing policies.

  4. Özel Trafik Yönlendirme İlkesi yapılandırmak istiyorsanız ve IANA olmayan RFC1918 Ön Ekleri kullanan dallara veya sanal ağlara sahip olmak istiyorsanız, Ek Önekler'i seçin ve açılan metin kutusunda IANA olmayan RFC1918 ön ek aralıklarını belirtin. Bitti'yi seçin. Tüm merkezlere doğru rotaların tanıtıldığından emin olmak için, Özel Yönlendirme İlkeleri ile yapılandırılmış tüm Sanal Merkezlerde Özel Trafik ön eki metin kutusuna aynı ön eki eklediğinizden emin olun.

    Screenshot showing how to configure additional private prefixes for NVA routing policies.

  5. İnternet Trafik Yönlendirme İlkesi yapılandırmak istiyorsanız Azure Güvenlik Duvarı, Ağ Sanal Gereci veya SaaS çözümü'ne tıklayın. Sonraki Atlama Kaynağı'nın altında ilgili sonraki atlama kaynağını seçin.

    Screenshot showing how to configure public routing policies for NVA.

  6. Yönlendirme amacınızı ve yönlendirme ilkeleri yapılandırmanızı uygulamak için Kaydet'e tıklayın.

    Screenshot showing how to save routing policies configurations.

  7. Yönlendirme ilkelerini yapılandırmak istediğiniz tüm merkezler için bu işlemi tekrarlayın.

  8. Bu noktada test trafiği göndermeye hazır olursunuz. Güvenlik Duvarı İlkelerinizin, istediğiniz güvenlik yapılandırmalarına göre trafiğe izin verecek/trafiği reddedecek şekilde uygun şekilde yapılandırıldığından emin olun.

BICEP şablonu kullanarak yönlendirme amacını yapılandırma

Şablon ve adımlar hakkında bilgi için bkz. BICEP şablonu.

Sorun giderme

Aşağıdaki bölümde, Sanal WAN Hub'ınızda yönlendirme amacını ve ilkelerini yapılandırırken sorun gidermenin yaygın yolları açıklanmaktadır.

Geçerli Yollar

Sanal Hub'da özel yönlendirme ilkeleri yapılandırıldığında, şirket içi ve Sanal Ağ arasındaki tüm trafik Sanal hub'daki Azure Güvenlik Duvarı, Ağ Sanal Gereci veya SaaS çözümü tarafından incelenir.

Bu nedenle defaultRouteTable'ın geçerli yolları, sonraki atlama Azure Güvenlik Duvarı veya Ağ Sanal Gereci ile RFC1918 toplama ön eklerini (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) gösterir. Bu, Sanal Ağ ve dallar arasındaki tüm trafiğin denetim için merkezdeki Azure Güvenlik Duvarı, NVA veya SaaS çözümüne yönlendirildiğini yansıtır.

Screenshot showing effective routes for defaultRouteTable.

Güvenlik Duvarı paketi inceledikten sonra (ve güvenlik duvarı kuralı yapılandırmasına göre pakete izin verilir), Sanal WAN paketi son hedefine iletir. Sanal WAN denetlenen paketleri iletmek için hangi yolları kullandığını görmek için Güvenlik Duvarı veya Ağ Sanal Gereci'nin etkin yol tablosunu görüntüleyin.

Screenshot showing effective routes for Azure Firewall.

Güvenlik duvarı etkin yol tablosu, ağınızdaki yanlış yapılandırmalar veya belirli dallar ve Sanal ağlarla ilgili sorunlar gibi sorunları daraltmanıza ve yalıtmanıza yardımcı olur.

Yapılandırma sorunlarını giderme

Yapılandırma sorunlarını gideriyorsanız aşağıdakileri göz önünde bulundurun:

  • Sonraki atlama Sanal Ağ bağlantısına sahip defaultRouteTable'da özel yol tablolarının veya statik yolların olmadığından emin olun.
    • Dağıtımınız yukarıdaki gereksinimleri karşılamıyorsa Yönlendirme amacını yapılandırma seçeneği Azure portalında gri gösterilir.
    • CLI, PowerShell veya REST kullanıyorsanız yönlendirme amacı oluşturma işlemi başarısız olur. Başarısız yönlendirme amacını silin, özel yol tablolarını ve statik yolları kaldırın ve yeniden oluşturmayı deneyin.
    • Azure Güvenlik Duvarı Yöneticisi kullanıyorsanız defaultRouteTable'daki mevcut yolların private_traffic, internet_traffic veya all_traffic olarak adlandırıldığından emin olun. Yönlendirme amacını yapılandırma seçeneği (hub'lar arası etkinleştirme) yollar farklı adlandırılırsa gri görüntülenir.
  • Bir hub'da yönlendirme amacını yapılandırdıktan sonra, isteğe bağlı ilişkilendirilmiş ve yayılan yol tablosu alanları boş olarak ayarlanmış mevcut bağlantılarda veya hub'a yeni bağlantılarda yapılan güncelleştirmelerin oluşturulduğundan emin olun. İsteğe bağlı ilişkilendirmeleri ve yaymaları boş olarak ayarlamak, Azure portalı aracılığıyla gerçekleştirilen tüm işlemler için otomatik olarak yapılır.

Veri yolu sorunlarını giderme

Bilinen Sınırlamalar bölümünü zaten gözden geçirdiyseniz, veri yolu ve bağlantı sorunlarını gidermenin bazı yolları şunlardır:

  • Etkili Yollar ile ilgili sorun giderme:
    • Özel Yönlendirme İlkeleri yapılandırıldıysa, RFC1918 toplamaları için defaultRouteTable'ın geçerli yollarında (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) sonraki atlama Güvenlik Duvarı olan yolları ve özel trafik metin kutusunda belirtilen ön ekleri görmeniz gerekir. Tüm Sanal Ağ ve şirket içi ön eklerinin defaultRouteTable'daki statik yollar içindeki alt ağlar olduğundan emin olun. Şirket içi veya Sanal Ağ, defaultRouteTable'daki geçerli yollar içinde alt ağ olmayan bir adres alanı kullanıyorsa, öneki özel trafik metin kutusuna ekleyin.
    • İnternet Trafik Yönlendirme İlkeleri yapılandırıldıysa, defaultRouteTable'ın geçerli yollarında varsayılan (0.0.0.0/0) yolunu görmeniz gerekir.
    • DefaultRouteTable'ın geçerli yollarının doğru ön eklere sahip olduğunu doğruladıktan sonra Ağ Sanal Gereci'nin Etkin Yolları'nı veya Azure Güvenlik Duvarı görüntüleyin. Güvenlik Duvarı'nda geçerli yollar, Sanal WAN hangi yolları seçtiğini gösterir ve Güvenlik Duvarı'nın paketleri hangi hedeflere iletebileceğini belirler. Hangi ön eklerin eksik veya yanlış durumda olduğunu anlamak, veri yolu sorunlarını daraltmaya ve sorun gidermek için doğru VPN, ExpressRoute, NVA veya BGP bağlantısına işaret etmeye yardımcı olur.
  • Senaryoya özgü sorun giderme:
    • Sanal WAN güvenli olmayan bir hub'ınız (Azure Güvenlik Duvarı veya NVA olmayan hub) varsa, güvenli olmayan hub bağlantılarının yönlendirme amacı yapılandırılmış hub'ların defaultRouteTable'ına yayıldığından emin olun. Yaymalar defaultRouteTable olarak ayarlanmamışsa, güvenli hub'a yapılan bağlantılar güvenli olmayan hub'a paket gönderemez.
    • İnternet Yönlendirme İlkeleri yapılandırılmışsa, 0.0.0.0/0 varsayılan yolunu öğrenmesi gereken tüm bağlantılar için 'Varsayılan Yolu Yay' veya 'İnternet Güvenliğini Etkinleştir' ayarının 'true' olarak ayarlandığından emin olun. Bu ayarın 'false' olarak ayarlandığı Bağlan, İnternet Yönlendirme İlkeleri yapılandırılsa bile 0.0.0.0/0 yolunu öğrenmez.
    • Sanal Hub'a bağlı Sanal Ağ dağıtılan Özel Uç Noktaları kullanıyorsanız, Sanal WAN hub'ına bağlı Sanal Ağ'lerde dağıtılan özel uç noktaları hedefleyen şirket içi trafik varsayılan olarak sonraki atlama Azure Güvenlik Duvarı, NVA veya SaaS yönlendirme amacını atlar. Ancak bu durum asimetrik yönlendirmeye (şirket içi ile Özel Uç Noktalar arasında bağlantı kaybına neden olabilir) ve Uç Noktalarda Özel Uç Noktalar Sanal Ağ şirket içi trafiği Güvenlik Duvarı'na iletir. Yönlendirme simetrisini sağlamak için, Özel Uç Noktaların dağıtıldığı alt ağlardaki özel uç noktalar için Yönlendirme Tablosu ağ ilkelerini etkinleştirin. Özel Trafik metin kutusunda Özel Uç Nokta özel IP adreslerine karşılık gelen /32 yollarının yapılandırılması, hub'da özel yönlendirme ilkeleri yapılandırıldığında trafik simetrisini sağlamaz .
    • Özel Yönlendirme İlkeleri ile Şifrelenmiş ExpressRoute kullanıyorsanız, Güvenlik Duvarı cihazınızın Sanal WAN Siteden siteye VPN Gateway özel IP tüneli uç noktası ile şirket içi VPN cihazı arasında trafiğe izin verecek şekilde yapılandırılmış bir kuralı olduğundan emin olun. ESP (şifrelenmiş dış) paketleri Azure Güvenlik Duvarı günlüklerde oturum açmalıdır. Yönlendirme amacı olan Encrypted ExpressRoute hakkında daha fazla bilgi için Bkz . Encrypted ExpressRoute belgeleri.

Azure Güvenlik Duvarı yönlendirme sorunlarını giderme

  • Yönlendirme amacını yapılandırmaya çalışmadan önce Azure Güvenlik Duvarı sağlama durumunun başarılı olduğundan emin olun.
  • Dallarınızda/Sanal Ağ'lerinizde IANA olmayan RFC1918 ön ekleri kullanıyorsanız, bu ön ekleri "Özel Önekler" metin kutusunda belirttiğinizden emin olun. Yapılandırılan "Özel Ön Ekler", yönlendirme amacı ile yapılandırılan Sanal WAN diğer hub'lara otomatik olarak yayılmaz. Bağlantıyı sağlamak için, yönlendirme amacı olan her bir hub'daki "Özel Önekler" metin kutusuna bu ön ekleri ekleyin.
  • Güvenlik Duvarı Yöneticisi'ndeki Özel Trafik Ön Ekleri metin kutusunun parçası olarak RFC1918 olmayan adresler belirttiyseniz, güvenlik duvarınızda SNAT ilkelerini RFC1918 olmayan özel trafik için SNAT'yi devre dışı bırakmak üzere yapılandırmanız gerekebilir. Daha fazla bilgi için SNAT aralıklarına Azure Güvenlik Duvarı başvurun.
  • Ağ trafiğinizin sorunlarını gidermeye ve analiz etmeye yardımcı olmak için Azure Güvenlik Duvarı günlüklerini yapılandırın ve görüntüleyin. Azure Güvenlik Duvarı için izlemeyi ayarlama hakkında daha fazla bilgi için Azure Güvenlik Duvarı tanılamaya başvurun. Güvenlik duvarı günlüklerinin farklı türlerine genel bakış için bkz. Azure Güvenlik Duvarı günlükleri ve ölçümler.
  • Azure Güvenlik Duvarı hakkında daha fazla bilgi için Azure Güvenlik Duvarı Belgeleri'ne bakın.

Ağ Sanal Gereçleriyle İlgili Sorunları Giderme

  • Yönlendirme amacını yapılandırmaya çalışmadan önce Ağ Sanal Gereci'nin sağlama durumunun başarılı olduğundan emin olun.
  • Bağlı şirket içi veya Sanal Ağ IANA olmayan RFC1918 ön ekleri kullanıyorsanız, bu ön ekleri "Özel Ön Ekler" metin kutusunda belirttiğinizden emin olun. Yapılandırılan "Özel Ön Ekler", yönlendirme amacı ile yapılandırılan Sanal WAN diğer hub'lara otomatik olarak yayılmaz. Bağlantıyı sağlamak için, yönlendirme amacı olan her bir hub'daki "Özel Önekler" metin kutusuna bu ön ekleri ekleyin.
  • Özel Trafik Ön Ekleri metin kutusunun parçası olarak RFC1918 olmayan adresler belirttiyseniz, RFC1918 olmayan belirli özel trafik için SNAT'yi devre dışı bırakmak üzere NVA'nızda SNAT ilkelerini yapılandırmanız gerekebilir.
  • Güvenlik duvarı kurallarınız tarafından trafiğin bırakılıp bırakılmadığını veya reddedildiğini görmek için NVA Güvenlik Duvarı günlüklerini denetleyin.
  • Sorun giderme konusunda daha fazla destek ve rehberlik için NVA sağlayıcınıza ulaşın.

Hizmet olarak yazılım sorunlarını giderme

  • Yönlendirme amacını yapılandırmaya çalışmadan önce SaaS çözümünün sağlama durumunun başarılı olduğundan emin olun.
  • Daha fazla sorun giderme ipucu için Sanal WAN belgelerindeki sorun giderme bölümüne bakın veya Palo Alto Networks Cloud NGFW belgelerine bakın.

Sonraki adımlar

Sanal hub yönlendirme hakkında daha fazla bilgi için bkz . Sanal hub yönlendirme hakkında. Sanal WAN hakkında daha fazla bilgi için bkz. SSS.