Siteden siteye yapılandırmalar için zorlamalı tünel oluşturma hakkında

  • Makale

Bu makale, zorlamalı tünelin siteden siteye (S2S) IPsec bağlantıları için nasıl çalıştığını anlamanıza yardımcı olur. Varsayılan olarak, bir sanal ağ içindeki iş yüklerinizden ve VM'lerden gelen İnternet'e bağlı trafik doğrudan İnternet'e gönderilir.

Zorlamalı tünel, İnternet'e bağlı tüm trafiği denetleme ve denetim için S2S VPN tüneli aracılığıyla şirket içi konumunuza yeniden yönlendirmenize veya "zorlamanıza" olanak tanır. Bu, çoğu kurumsal BT ilkesi için kritik bir güvenlik gereksinimidir. Yetkisiz İnternet erişimi, bilgilerin açığa çıkmasına veya diğer güvenlik ihlallerine yol açabilir.

Aşağıdaki örnekte, vpn ağ geçidi üzerinden denetlenmek ve denetlenmek üzere şirket içi konuma zorlanan tüm İnternet trafiği gösterilmektedir.

Diagram shows forced tunneling.

Zorlamalı tünel için yapılandırma yöntemleri

Zorlamalı tünel yapılandırmanın birkaç farklı yolu vardır.

BGP kullanarak yapılandırma

BGP aracılığıyla VPN Gateway için zorlamalı tünel yapılandırabilirsiniz. Tüm Azure trafiğinizin VPN Gateway S2S tüneli aracılığıyla gönderilmesi için şirket içi konumunuzdan Azure'a BGP aracılığıyla varsayılan 0.0.0.0/0 yolunu tanıtmalısınız.

Varsayılan Site kullanarak yapılandırma

Rota tabanlı VPN ağ geçidiniz için Varsayılan Site'yi ayarlayarak zorlamalı tünel yapılandırabilirsiniz. Adımlar için bkz . Varsayılan Site aracılığıyla zorlamalı tünel oluşturma.

  • PowerShell kullanarak sanal ağ geçidi için Varsayılan Site atarsınız.
  • Şirket içi VPN cihazı, trafik seçici olarak 0.0.0.0/0 kullanılarak yapılandırılmalıdır.

Belirli alt ağlar için İnternet'e bağlı trafiği yönlendirme

Varsayılan olarak, zorlamalı tünel yapılandırmadıysanız tüm İnternet'e bağlı trafik doğrudan İnternet'e gider. Zorlamalı tünel yapılandırıldığında, tüm İnternet'e bağlı trafik şirket içi konumunuza gönderilir.

Bazı durumlarda, yalnızca belirli alt ağlardan gelen İnternet'e bağlı trafiğin (tüm alt ağlardan değil) Azure ağ altyapısından şirket içi konumunuza değil doğrudan İnternet'e geçişini isteyebilirsiniz. Bu senaryo zorlamalı tünel ve sanal ağ özel kullanıcı tanımlı yolların (UDR) birleşimi kullanılarak yapılandırılabilir. Adımlar için bkz . Belirli alt ağlar için İnternet'e bağlı trafiği yönlendirme.

Sonraki adımlar