你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍将虚拟 WAN流量发送到虚拟中心Azure 防火墙的基本静态路由方案。
Overview
本文档总结了使用静态路由将虚拟 WAN流量路由到Azure 防火墙的基本方案。 本文档 不包括路由意向。
本文档还包含有关Azure 防火墙管理器如何在虚拟 WAN中配置路由的说明。 Azure 防火墙管理器中有两种可配置的路由模式:
- Inter-hub 设置为关闭:利用静态路由在没有路由意图的情况下,将流量定向到本地虚拟中心中的 Azure 防火墙。 本文档介绍了此配置。
- 中心间设置为打开:在虚拟 WAN 中心启用路由意向。 本文档 未 介绍此配置。
专用流量检测:通过 Azure 防火墙的分支到虚拟网络和虚拟网络到虚拟网络
注释
在此配置中,Azure 防火墙管理器将 defaultRouteTable 配置为具有名为 private_traffic 的静态路由。
流量模式
- Azure 防火墙会检查专用流量(虚拟网络和本地)。
Configuration
连接路由属性:
| 连接类型 | 关联的路由表 | 传播的路由表 |
|---|---|---|
| 分支连接 | defaultRouteTable | noneRouteTable |
| 虚拟网络连接 | defaultRouteTable | noneRouteTable |
虚拟 WAN 路由表:defaultRouteTable
注释
如果任何专用网络使用非RFC1918地址空间,请确保相应的地址范围包含在 private_traffic 静态路由中,以便将这些网络发往这些网络的流量正确路由到Azure 防火墙进行检查。
| 目标前缀 | 下一跳 |
|---|---|
| 10.0.0.0/8、192.168.0.0/16、172.16.0.0/12 | 本地中心的Azure 防火墙 |
Azure 防火墙 对 Internet 流量的检查
注释
在此配置中,Azure 防火墙管理器需要 defaultRouteTable 具有名为 internet_traffic 的单个静态路由。 此外,如果“启用 Internet 安全”设置或传播默认路由设置设置为 true,则虚拟 WAN连接将了解默认路由(0.0.0.0/0)。 Azure 防火墙管理器 使用此设置来显示连接的互联网流量是否已被 加密。
流量模式
- Azure 防火墙 检查 Internet 流量。
- Azure 防火墙 不检查专用流量(在本地和虚拟网络之间)。
Configuration
| 连接类型 | 关联的路由表 | 传播的路由表 | 传播的路由标签 |
|---|---|---|---|
| 分支连接 | defaultRouteTable | defaultRouteTable | - |
| 虚拟网络连接 | defaultRouteTable | defaultRouteTable | - |
虚拟 WAN路由表:默认路由表(defaultRouteTable)
| 目标前缀 | 下一跳 |
|---|---|
| 0.0.0.0/0 | 本地中心的Azure 防火墙 |
专用和 Internet 流量检查
注释
在此配置中,Azure 防火墙管理器需要 defaultRouteTable 具有名为 all_traffic 的单个静态路由。
若要确保Azure 防火墙检查中心间和分支到分支流量,请使用路由意向和策略。
流量模式
- Azure 防火墙检查私有流量(在内部部署和虚拟网络之间)。
- Azure 防火墙 负责检查互联网流量。
- Azure 防火墙不会检查分支到分支流量。
Configuration
| 连接类型 | 关联的路由表 | 传播的路由表 |
|---|---|---|
| 分支连接 | defaultRouteTable | none |
| 虚拟网络连接 | defaultRouteTable | none |
虚拟广域网路由表:defaultRouteTable
注释
在此配置中,Azure 防火墙管理器需要 defaultRouteTable 具有名为 all_traffic 的单个静态路由。
| 目标前缀 | 下一跳 |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | 本地中心的Azure 防火墙 |
本地中心检查与中心间直接路由
若要确保Azure 防火墙检查中心间流量,请使用路由意向和策略。
流量模式
- 中心间流量通过虚拟 WAN中心绕过Azure 防火墙(直接路由)。
- Azure 防火墙将检查虚拟网络与本地之间的本地(同一中心)流量。
- Internet 流量使用本地 Azure 防火墙进行检查和接入。
注释
使用虚拟广域网路由表标签跨虚拟广域网对中心进行分组,以减少操作复杂性。 此网络设计不可通过Azure 防火墙管理器进行配置。
配置中心 1
| 连接类型 | 关联的路由表 | 传播的路由表 | 传播的路由标签 |
|---|---|---|---|
| 分支连接 | defaultRouteTable | defaultRouteTable (Hub 2) | - |
| 虚拟网络连接 | defaultRouteTable | defaultRouteTable (Hub 2) | - |
虚拟 WAN 路由表中心 1:defaultRouteTable
| 目标前缀 | 下一跳 |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | 中心 1 中的Azure 防火墙 |
配置中心 2
| 连接类型 | 关联的路由表 | 传播的路由表 | 传播的路由标签 |
|---|---|---|---|
| 分支接口 | defaultRouteTable | defaultRouteTable(中心 1) | - |
| 虚拟网络连接 | defaultRouteTable | defaultRouteTable(中心 1) | - |
虚拟广域网路由表枢纽2:defaultRouteTable
| 目标前缀 | 下一跳 |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | 中心 2 中的Azure 防火墙 |