Aracılığıyla paylaş


Senaryo: Azure Güvenlik Duvarı - özel

Sanal WAN sanal hub yönlendirmesi ile çalışırken, birkaç kullanılabilir senaryo vardır. Bu senaryoda amaç, sanal ağlar arasındaki trafiği doğrudan yönlendirmek, ancak sanal ağdan İnternete/Dal ve Daldan Sanal Ağa trafik akışları için Azure Güvenlik Duvarı kullanmaktır.

Tasarlama

Kaç yol tablosuna ihtiyaç duyulacağını bulmak için, her hücrenin bir kaynak (satır) hedefle (sütun) iletişim kurup iletişim kuramayacağını temsil ettiği bir bağlantı matrisi oluşturabilirsiniz. Bu senaryodaki bağlantı matrisi önemsizdir, ancak diğer senaryolarla tutarlı olursak yine de bu matrise bakabiliriz.

Bağlantı matrisi

Kaynak Hedef: Sanal ağlar Şube Internet
Sanal ağlar Direct AzFW AzFW
Şube AzFW Doğrudan Doğrudan

Önceki tabloda "Doğrudan", trafiğin Sanal WAN Azure Güvenlik Duvarı dolaşmadan iki bağlantı arasındaki doğrudan bağlantıyı, "AzFW" ise akışın Azure Güvenlik Duvarı geçeceğini gösterir. Matriste iki ayrı bağlantı deseni olduğundan, aşağıdaki gibi yapılandırılacak iki yol tablosuna ihtiyacımız vardır:

  • Sanal ağlar:
    • İlişkili yol tablosu: RT_VNet
    • Yönlendirme tablolarına yayma: RT_VNet
  • Şube:
    • İlişkili yol tablosu: Varsayılan
    • Yönlendirme tablolarına yayma: Varsayılan

Not

Her bölgede tek bir Güvenli Sanal Hub ile ayrı bir Sanal WAN örneği oluşturabilir ve ardından siteden siteye VPN aracılığıyla her Sanal WAN birbirine bağlayabilirsiniz.

Sanal hub yönlendirme hakkında bilgi için bkz . Sanal hub yönlendirme hakkında.

İş Akışı

Bu senaryoda, trafiği sanal ağdan İnternete, Sanal Ağdan Dala veya Daldan VNet trafiğine Azure Güvenlik Duvarı yönlendirmek istiyorsunuz, ancak sanal ağdan sanal ağa trafik için doğrudan gitmek istiyorsunuz. Azure Güvenlik Duvarı Yöneticisi'ni kullandıysanız, yol ayarları otomatik olarak Varsayılan Yol Tablosu'na doldurulur. Özel Trafik sanal ağ ve dallar için geçerlidir, İnternet trafiği 0.0.0.0/0 için geçerlidir.

VPN, ExpressRoute ve Kullanıcı VPN bağlantıları topluca Dallar olarak adlandırılır ve aynı (Varsayılan) yönlendirme tablosuyla ilişkilendirilir. Tüm VPN, ExpressRoute ve Kullanıcı VPN bağlantıları yolları aynı yol tabloları kümesine yayılır. Bu senaryoyu yapılandırmak için aşağıdaki adımları dikkate alın:

  1. RT_VNet özel bir yol tablosu oluşturun.

  2. VNet-internet ve VNet-to-Branch'ı etkinleştirmek için bir yol oluşturun: 0.0.0.0/0 sonraki atlama Azure Güvenlik Duvarı işaret eder. Yayma bölümünde sanal ağların seçildiğinden emin olacak ve bu sayede sanal ağdan sanal ağa doğrudan trafik akışına izin verecek daha belirli yollar sağlayacaksınız.

    • İlişkilendirme: Sanal ağların bu yol tablosunun yollarına göre hedefe ulaşacağını ima edecek sanal ağları seçin.
    • Yayma: Sanal ağların bu yol tablosuna yayıldığını ima edecek sanal ağları seçin; başka bir deyişle, daha belirli yollar bu yol tablosuna yayılır ve böylece sanal ağdan sanal ağa doğrudan trafik akışını sağlar.
  3. Azure Güvenlik Duvarı aracılığıyla Daldan Sanal Ağa akışı etkinleştirmek için Varsayılan Yol tablosuna sanal ağlar için toplu statik bir yol ekleyin.

    • Dalların ilişkili olduğunu ve varsayılan yol tablosuna yaydığını unutmayın.
    • Dallar RT_VNet yönlendirme tablosuna yayılmaz. Bu, Azure Güvenlik Duvarı aracılığıyla Sanal Ağdan Dallara trafik akışını sağlar.

Bu, Şekil 1'de gösterildiği gibi yönlendirme yapılandırması değişikliklerine neden olur.

Şekil 1

Şekil 1

Sonraki adımlar