如何設定虛擬 WAN 中樞路由意圖和路由原則

  • 發行項

虛擬 WAN 中樞路由意圖可讓您設定簡單的宣告式原則,將流量傳送至連線安全性解決方案,例如 Azure 防火牆、網路虛擬設備,或虛擬 WAN 中樞內部署的軟體即服務 (SaaS) 解決方案。

背景

路由意圖和路由原則可讓您設定虛擬 WAN 中樞,將網際網路繫結和私人 (點對站 VPN、站對站 VPN、ExpressRoute、虛擬網路和網路虛擬設備) 流量轉送至 Azure 防火牆、新一代防火牆網路虛擬設備 (NGFW-NVA),或虛擬中樞內部署的安全性軟體即服務 (SaaS) 解決方案。

路由原則有兩種類型:網際網路流量與私人流量路由原則。 每個虛擬 WAN 中樞最多有一個網際網路流量路由原則與一個私人流量路由原則,每個都各自有單一下一個躍點資源。 雖然私人流量同時包含分支與虛擬網路位址前置詞,但路由原則會將其視為路由意圖概念中的一個實體。

  • 網際網路流量路由原則:在虛擬 WAN 中樞上設定網際網路流量路由原則時,所有分支 (遠端使用者 VPN (點對站 VPN)、站對站 VPN 與 ExpressRoute) 及連線至該虛擬 WAN 中樞的虛擬網路,會將網際網路繫結流量轉送至指定為路由原則一部分的 Azure 防火牆協力廠商安全性提供者網路虛擬設備SaaS 解決方案

    換句話說,在虛擬 WAN 中樞上設定網際網路流量路由原則時,虛擬 WAN 會將預設 (0.0.0.0/0) 路由公告至所有輪輻、閘道,以及網路虛擬設備 (部署於中樞或輪輻)。

  • 私人流量路由原則:在虛擬 WAN 中樞上設定私人流量路由原則時,所有來往虛擬 WAN 中樞的分支與虛擬網路流量 (包括中樞間流量),都會轉送至下一個躍點 Azure 防火牆網路虛擬設備SaaS 解決方案資源。

    換句話說,在虛擬 WAN 中樞上設定私人流量路由原則時,所有分支對分支、分支對虛擬網路、虛擬網路對分支和中樞間流量,都會透過 Azure 防火牆、網路虛擬設備,或虛擬 WAN 中樞內部署的 SaaS 解決方案傳送。

使用案例

下一節會說明將路由原則套用至安全虛擬 WAN 中樞的兩個常見案例。

所有虛擬 WAN 中樞都會受到保護 (使用 Azure 防火牆、NVA 或 SaaS 解決方案部署)

在此案例中,所有虛擬 WAN 中樞都會部署 Azure 防火牆、NVA 或 SaaS 解決方案。 在此案例中,您可以在每個虛擬 WAN 中樞上設定網際網路流量路由原則、私人流量路由原則或同時設定兩者。

顯示具有兩個安全中樞之架構的螢幕快照。

請考慮下列設定,中樞 1 和中樞 2 均具有私人和網際網路流量的路由原則。

中樞 1 設定:

  • 下一個躍點中樞 1 Azure 防火牆、NVA 或 SaaS 解決方案的私人流量原則
  • 下一個躍點中樞 1 Azure 防火牆、NVA 或 SaaS 解決方案的網際網路流量原則

中樞 2 設定:

  • 下一個躍點中樞 2 Azure 防火牆、NVA 或 SaaS 解決方案的私人流量原則
  • 下一個躍點中樞 2 Azure 防火牆、NVA 或 SaaS 解決方案的網際網路流量原則

下列為這類設定所產生的流量流程。

注意

網際網路流量必須透過中樞內的本機安全性解決方案輸出,因為預設路由 (0.0.0.0/0) 不會跨中樞傳播。

中樞 1 VNet 中樞 1 分支 中樞 2 VNet 中樞 2 分支 網際網路
中樞 1 VNet 中樞 1 AzFW 或 NVA 中樞 1 AzFW 或 NVA 中樞 1 和 2 AzFW、NVA 或 SaaS 中樞 1 和 2 AzFW、NVA 或 SaaS 中樞 1 AzFW、NVA 或 SaaS
中樞 1 分支 中樞 1 AzFW、NVA 或 SaaS 中樞 1 AzFW、NVA 或 SaaS 中樞 1 和 2 AzFW、NVA 或 SaaS 中樞 1 和 2 AzFW、NVA 或 SaaS 中樞 1 AzFW、NVA 或 SaaS
中樞 2 VNet 中樞 1 和 2 AzFW、NVA 或 SaaS 中樞 1 和 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS
中樞 2 分支 中樞 1 和 2 AzFW、NVA 或 SaaS 中樞 1 和 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS

同時部署安全與一般虛擬 WAN 中樞

在此案例中,並非所有的 WAN 中樞都是安全虛擬 WAN 中樞 (已部署安全性解決方案的中樞)。

請考慮下列設定,其中中樞 1 (正常) 和中樞 2 (安全) 部署在虛擬 WAN 中。 中樞 2 具有私人和網際網路流量的路由原則。

中樞 1 設定:

  • N/A (如果中樞未部署 Azure 防火牆、NVA 或 SaaS 解決方案,則無法設定路由原則)

中樞 2 設定:

  • 下一個躍點中樞 2 Azure 防火牆、NVA 或 SaaS 解決方案的私人流量原則。
  • 下一個躍點中樞 2 Azure 防火牆、NVA 或 SaaS 解決方案的網際網路流量原則。

顯示具有一個安全中樞一個一般中樞之架構的螢幕快照。

下列為這類設定所產生的流量流程。 由於預設路由 (0.0.0.0/0)不會跨中樞傳播,連線到中樞 1 的分支和虛擬網路無法透過中樞內部署的安全性解決方案存取網際網路。

中樞 1 VNet 中樞 1 分支 中樞 2 VNet 中樞 2 分支 網際網路
中樞 1 VNet 直接 直接 中樞 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS -
中樞 1 分支 直接 直接 中樞 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS -
中樞 2 VNet 中樞 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS
中樞 2 分支 中樞 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS 中樞 2 AzFW、NVA 或 SaaS

已知限制

  • 路由意圖目前可在 Azure 公用中使用。 由 21Vianet 和 Azure Government 營運的 Microsoft Azure 目前處於規劃階段。
  • 路由意圖藉由管理所有連線 (虛擬網路、站對站 VPN、點對站 VPN 和 ExpressRoute) 的路由表關聯和傳播,從而簡化路由。 具有自訂路由表和自訂原則的虛擬 WAN 無法搭配路由意圖建構使用。
  • 若 Azure 防火牆設定為允許 VPN 通道端點 (站對站 VPN 閘道私人 IP 和內部部署 VPN 裝置私人 IP) 之間的流量,且中樞內已設定路由意圖,則該中樞即可支援加密的 ExpressRoute (透過 ExpressRoute 線路執行站對站 VPN 通道)。 如需所需設定的詳細資訊,請參閱具有路由意圖的加密 ExpressRoute
  • 路由意圖「不支援」下列連線使用案例:
    • defaultRouteTable 中指向虛擬網路連線的靜態路由,無法與路由意圖搭配使用。 不過,您可以使用 BGP 對等互連功能
    • 目前正在規劃部署功能,以在「相同」虛擬 WAN 中樞同時部署 SD-WAN 連線 NVA 和個別防火牆 NVA 或 SaaS 解決方案。 當路由意圖設定為具有下一個躍點 SaaS 解決方案或防火牆 NVA,SD-WAN NVA 與 Azure 之間的連線就會受到影響。 因此,請改為在不同虛擬中樞部署 SD-WAN NVA 和防火牆 NVA 或 SaaS 解決方案。 或者,您也可以在連線至中樞的輪輻虛擬網路內部署 SD-WAN NVA,並利用虛擬中樞 BGP 對等互連功能。
    • 只有當網路虛擬設備 (NVA) 是新一代防火牆或雙重角色新一代防火牆,且是 SD-WAN NVA 時,才能將其指定為路由意圖的下一個躍點資源。 目前只有「檢查點」、「fortinet-ngfw」和「fortinet-ngfw-and-sdwan」這三個 NVA 可設定為路由意圖下一個躍點。 如果您嘗試指定其他 NVA,路由意圖建立會失敗。 若要檢查 NVA 類型,您可以瀏覽至虛擬中樞 -> 網路虛擬設備,然後查看 [廠商] 欄位。 Palo Alto Networks Cloud NGFW 也支援作為路由意圖的下一個躍點,但被視為 SaaS 解決方案類型的下一個躍點。
    • 如果路由意圖使用者想將多個 ExpressRoute 線路連線至虛擬 WAN,並想透過中樞內部署的安全性解決方案傳送流量,則可以開啟支援案例以啟用此使用案例。 如需詳細資訊,請參考啟用跨 ExpressRoute 線路的連線

考量

若目前在虛擬 WAN 中樞使用 Azure 防火牆的客戶沒有路由意圖,可以透過 Azure 防火牆管理員、虛擬 WAN 中樞路由入口網站,或其他 Azure 管理工具 (PowerShell、CLI、REST API) 來啟用路由意圖。

啟用路由意圖之前,請考慮下列事項:

  • 只能在沒有自訂路由表的中樞上設定路由意圖,且 defaultRouteTable 中沒有具有下一個躍點虛擬網路連線的靜態路由。 如需詳細資訊,請參閱必要條件
  • 啟用路由意圖之前,請先儲存閘道、連線和路由表的複本。 系統不會自動儲存並套用先前的設定。 如需詳細資訊,請參閱復原策略
  • 路由意圖會變更 defaultRouteTable 中的靜態路由。 由於 Azure 入口網站最佳化,當您使用 REST、CLI 或 PowerShell 設定路由意圖時,設定路由意圖之後的 defaultRouteTable 狀態可能會有所不同。 如需詳細資訊,請參閱靜態路由
  • 啟用路由意圖會影響前置詞公告至內部部署的情形。 如需詳細資訊,請參閱前置詞公告
  • 您可以開啟支援案例,透過中樞內防火牆設備啟用跨 ExpressRoute 線路的連線。 啟用此連線模式會修改要公告至 ExpressRoute 線路的前置詞。 如需詳細資訊,請參閱關於 ExpressRoute
  • 路由意圖是虛擬 WAN 中唯一的機制,可透過部署在中樞的安全性設備啟用中樞間流量檢查。 中樞間流量檢查也需要在所有中樞上啟用路由意圖,以確保流量會在部署於虛擬 WAN 中樞的安全性設備之間對稱地路由傳送。

必要條件

若要啟用路由意圖和原則,您的虛擬中樞必須符合下列必要條件:

  • 沒有使用虛擬中樞部署的自訂路由表。 唯一存在的路由表是 noneRouteTable 和 defaultRouteTable。
  • 您無法具有下一個躍點是虛擬網路連線的靜態路由。 您在 defaultRouteTable 中可能有下一個躍點是 Azure 防火牆的靜態路由。

針對不符合上述需求的中樞,設定路由意圖的選項會呈現灰色。

在 Azure 防火牆管理員中使用路由意圖 (啟用中樞間選項) 則有額外的需求:

  • Azure 防火牆管理員建立的路由會遵循「private_traffic」、「internet_traffic」或「all_traffic」命名慣例。 因此,defaultRouteTable 中的所有路由都必須遵循此慣例。

復原策略

注意

從中樞完全移除路由意圖組態時,中樞的所有連線都會設定為傳播至默認標籤(這適用於虛擬WAN 中的 'all' defaultRouteTables)。 因此,如果您考慮在虛擬 WAN 中實作路由意圖,您應該先儲存現有設定的複本 (閘道、連線、路由表),若後續想還原原始設定,即可套用該複本。 系統不會自動還原先前的設定。

路由意圖藉由管理中樞內所有連線的路由關聯和傳播,簡化路由和設定。

下表描述設定路由意圖之後,所有連線的相關聯路由表和傳播路由表。

路由意圖設定 相關聯的路由表 傳播的路由表
網際網路 defaultRouteTable 預設標籤 (虛擬 WAN 中所有中樞的 defaultRouteTable)
私人 defaultRouteTable noneRouteTable
網際網路和私人 defaultRouteTable noneRouteTable

defaultRouteTable 中的靜態路由

下一節說明在中樞上啟用路由意圖時,路由意圖如何管理 defaultRouteTable 中的靜態路由。 路由意圖對 defaultRouteTable 所做的修改無法加以復原。

如果您移除路由意圖,則必須手動還原先前的設定。 因此,建議您先儲存設定的快照集,再啟用路由意圖。

Azure 防火牆管理員和虛擬 WAN 中樞入口網站

在中樞上啟用路由意圖時,系統會在 defaultRouteTable 中自動建立靜態路由,該路由則對應至設定的路由原則。 這些路由包括:

路由名稱 首碼 下一個躍點資源
_policy_PrivateTraffic 10.0.0.0/8、192.168.0.0/16、172.16.0.0/12 Azure 防火牆
_policy_PublicTraffic 0.0.0.0/0 Azure 防火牆

注意

defaultRouteTable 中的任何靜態路由,包含與 0.0.0.0/0 或 RFC1918 超級網路 (10.0.0.0/8, 192.168.0.0/16 和 172.16.0.0/12) 不完全符合的前置詞,會自動合併成名為「private_traffic」的單一靜態路由。 不論原則類型為何,defaultRouteTable 中符合 RFC1918 超級網路或 0.0.0.0/0 的前置詞,一律會在設定路由意圖後自動移除。

例如,在設定路由意圖之前,請考量 defaultRouteTable 具有下列路由的案例:

路由名稱 首碼 下一個躍點資源
private_traffic 192.168.0.0/16、172.16.0.0/12、40.0.0.0/24、10.0.0.0/24 Azure 防火牆
to_internet 0.0.0.0/0 Azure 防火牆
additional_private 10.0.0.0/8、50.0.0.0/24 Azure 防火牆

在此中樞上啟用路由意圖會導致下列 defaultRouteTable 的結束狀態。 非 RFC1918 或 0.0.0.0/0 的所有前置詞都會合併成名為 private_traffic 的單一路由。

路由名稱 首碼 下一個躍點資源
_policy_PrivateTraffic 10.0.0.0/8、192.168.0.0/16、172.16.0.0/12 Azure 防火牆
_policy_PublicTraffic 0.0.0.0/0 Azure 防火牆
private_traffic 40.0.0.0/24、10.0.0.0/24、50.0.0.0/24 Azure 防火牆

其他方法 (PowerShell、REST、CLI)

使用非入口網站方法來建立路由意圖時,會自動在 defaultRouteTable 中建立對應的原則路由,並移除靜態路由中與 0.0.0.0/0 或 RFC1918 超級網路 (10.0.0.0/8、192.168.0.0/16 或 172.16.0.0/12) 完全相符的任何前置詞。 不過,其他靜態路由「不會」自動合併

例如,在設定路由意圖之前,請考量 defaultRouteTable 具有下列路由的案例:

路由名稱 首碼 下一個躍點資源
firewall_route_ 1 10.0.0.0/8 Azure 防火牆
firewall_route_2 192.168.0.0/16、10.0.0.0/24 Azure 防火牆
firewall_route_3 40.0.0.0/24 Azure 防火牆
to_internet 0.0.0.0/0 Azure 防火牆

下表呈現成功建立路由意圖後,defaultRouteTable 的最終狀態。 請注意,系統會自動移除 firewall_route_1 和 to_internet,因為這些路由中唯一的前置詞是 10.0.0.0/8 和 0.0.0.0/0。 firewall_route_2 已修改為移除 192.168.0.0/16,因為該前置詞是 RFC1918 彙總前置詞。

路由名稱 首碼 下一個躍點資源
_policy_PrivateTraffic 10.0.0.0/8、192.168.0.0/16、172.16.0.0/12 Azure 防火牆
_policy_PublicTraffic 0.0.0.0/0 Azure 防火牆
firewall_route_2 10.0.0.0/24 Azure 防火牆
firewall_route_3 40.0.0.0/24 Azure 防火牆

將前置詞公告至內部部署

下一節說明在虛擬中樞上設定路由意圖之後,虛擬 WAN 如何將路由公告至內部部署。

網際網路路由原則

注意

0.0.0.0/0 預設路由「不會」跨虛擬中樞進行公告。

若您在虛擬中樞上啟用網際網路路由原則,0.0.0.0/0 預設路由會公告至中樞的所有連線 (虛擬網路 ExpressRoute、站對站 VPN、點對站 VPN、中樞內的 NVA 和 BGP 連線),其中 [傳播預設路由] 或 [啟用網際網路安全性] 旗標會設為 true。 對於不應該獲知預設路由的所有連線,您可以將此旗標設定為 false。

私人路由原則

使用私人路由原則設定虛擬中樞時,虛擬 WAN 會以下列方式將路由公告至本機內部部署連線:

  • 針對本機中樞的虛擬網路、ExpressRoute、站對站 VPN、點對站 VPN、中樞內的 NVA,或連線至目前中樞的 BGP 連線,與從上述項目獲知前置詞所對應的路由。
  • 針對遠端中樞虛擬網路、ExpressRoute、站對站 VPN、點對站 VPN、中樞內的 NVA,或設定私人路由原則的 BGP 連線,與從上述項目獲知前置詞所對應的路由。
  • 針對遠端中樞虛擬網路、ExpressRoute、站對站 VPN、點對站 VPN、中樞內的 NVA、未設定路由意圖的 BGP 連線,「以及」傳播至本機中樞 defaultRouteTable 的遠端連線,與從上述項目獲知前置詞所對應的路由。
  • 除非啟用 Global Reach,否則從一個 ExpressRoute 線路獲知的前置詞不會公告至其他 ExpressRoute 線路。 如果您想透過中樞內部署的安全性解決方案啟用 ExpressRoute 對 ExpressRoute 傳輸,請開啟支援案例。 如需詳細資訊,請參閱啟用跨 ExpressRoute 線路的連線

透過路由意圖在 ExpressRoute 線路間傳輸連線

有兩個不同設定可在虛擬 WAN 內的 ExpressRoute 線路間傳輸連線。 由於這兩個組態不相容,客戶應該選擇一個組態選項,以支援兩個 ExpressRoute 線路之間的傳輸連線。

注意

若要使用私人路由原則,透過中樞內的防火牆設備啟用 ExpressRoute 對 ExpressRoute 傳輸連線,請向 Microsoft 支援服務開啟支援案例。 此選項與 Global Reach 不相容,而且需要停用 Global Reach,以確保連線至虛擬 WAN 的所有 ExpressRoute 線路之間的傳輸路由正確。

  • ExpressRoute Global Reach: ExpressRoute Global Reach 可讓兩個已啟用 Global Reach 的線路直接向彼此傳送流量,而不需要透過虛擬中樞傳輸。
  • 路由意圖私人路由原則:設定私人路由原則可讓兩個 ExpressRoute 線路,透過在中樞內部署的安全性解決方案向彼此傳送流量。

下列設定可讓您在具有路由意圖私人路由原則的中樞內,透過防火牆設備跨 ExpressRoute 線路連線:

  • 兩個 ExpressRoute 線路皆連線至相同中樞,並在該中樞上設定私人路由原則。
  • ExpressRoute 線路會連線到不同的中樞,並在這兩個中樞上設定私人路由原則。 因此,兩個中樞都必須部署安全性解決方案。

ExpressRoute 的路由考量

注意

下列路由考量適用於訂用帳戶 (由 Microsoft 支援服務啟用) 的所有虛擬中樞,以允許 ExpressRoute 透過中樞內的安全性設備連線至 ExpressRoute。

使用在虛擬中樞內部署的防火牆設備,來啟用跨 ExpressRoute 線路的傳輸連線後,針對路由公告至 ExpressRoute 內部部署的方式,您可以預期下列行為變更:

  • 虛擬 WAN 自動將 RFC1918 彙總前置詞 (10.0.0.0/8、192.168.0.0/16、172.16.0.0/12) 公告至已和 ExpressRoute 連線的內部部署。 除了上一節所述的路由,系統也會公告這些彙總路由。
  • 虛擬 WAN 自動將 defaultRouteTable 中所有靜態路由公告至已和 ExpressRoute 線路連線的內部部署。 這表示虛擬 WAN 會將私人流量前置詞文字輸入框中指定的路由公告至內部部署。

由於這些路由公告變更,連線至 ExpressRoute 的內部部署無法針對 RFC1918 彙總位址範圍 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) 公告確切位址範圍。 請確定您正在公告更特定的子網(在RFC1918範圍內),而不是彙總超級網路和私人流量文本框中的任何前置詞。

此外,如果您的 ExpressRoute 線路在向 Azure 公告非RFC1918前置詞,請確定您在 [私人流量前綴] 文本框中放置的位址範圍比 ExpressRoute 公告的路由更不明確。 例如,如果 ExpressRoute 線路從內部部署公告 40.0.0.0/24,請在 [私人流量前置詞] 文字輸入框中,填入 /23 CIDR 範圍或更大範圍 (範例:40.0.0.0/23)。

將公告路由傳送至其他內部部署(站對站 VPN、點對站 VPN、NVA)不會受到透過中樞部署的安全性設備啟用 ExpressRoute 到 ExpressRoute 傳輸連線的影響。

加密的 ExpressRoute

若要使用加密的 ExpressRoute (透過 ExpressRoute 線路執行的站對站 VPN 通道),搭配路由意圖私人路由原則,請設定防火牆規則,「允許」虛擬 WAN 站對站 VPN 閘道 (來源) 和內部部署 VPN 裝置 (目的地) 中通道私人 IP 位址之間的流量。 對於在防火牆裝置上使用深層封包檢查的客戶,建議從深層封包檢查中排除這些私人IP之間的流量。

若要取得虛擬 WAN 站對站 VPN 閘道的通道私人 IP 位址,您可以下載 VPN 設定,並依序檢視 [vpnSiteConnections] -> [gatewayConfiguration] -> [IPAddresses]。 [IPAddresses] 欄位中所列的 IP 位址,是指派給站對站 VPN 閘道中每個執行個體的私人 IP 位址,可用來終止透過 ExpressRoute 執行的 VPN 通道。 在下列範例中,閘道上的通道 IP 為 192.168.1.4 和 192.168.1.5。

 "vpnSiteConnections": [
      {
        "hubConfiguration": {
          "AddressSpace": "192.168.1.0/24",
          "Region": "South Central US",
          "ConnectedSubnets": [
            "172.16.1.0/24",
            "172.16.2.0/24",
            "172.16.3.0/24",
            "192.168.50.0/24",
            "192.168.0.0/24"
          ]
        },
        "gatewayConfiguration": {
          "IpAddresses": {
            "Instance0": "192.168.1.4",
            "Instance1": "192.168.1.5"
          },
          "BgpSetting": {
            "Asn": 65515,
            "BgpPeeringAddresses": {
              "Instance0": "192.168.1.15",
              "Instance1": "192.168.1.12"
            },
            "CustomBgpPeeringAddresses": {
              "Instance0": [
                "169.254.21.1"
              ],
              "Instance1": [
                "169.254.21.2"
              ]
            },
            "PeerWeight": 0
          }
        }

內部部署裝置用於 VPN 終止的私人 IP 位址,是指定為 VPN 網站連結連線一部分的 IP 位址。

顯示 VPN 網站內部部署裝置通道 IP 位址的螢幕快照。

使用上述範例 VPN 設定和 VPN 網站,建立防火牆規則以允許下列流量。 VPN 閘道 IP 必須是來源 IP,而內部部署 VPN 裝置必須是設定規則中的目的地 IP。

規則參數
來源 IP 192.168.1.4 和 192.168.1.5
來源連接埠 *
目的地 IP 10.100.0.4
目的地連接埠 *
通訊協定 ANY

效能

使用加密的 ExpressRoute 設定私人路由原則,會透過中樞中部署的下一個躍點安全性設備,路由 VPN ESP 封包。 因此,您可以預期加密的 ExpressRoute VPN 通道輸送量上限為 1 Gbps 雙向(從內部部署輸入和從 Azure 輸出)。 若要達到最大 VPN 通道輸送量,請考慮下列部署優化:

  • 部署 Azure 防火牆 進階版,而不是 Azure 防火牆 Standard 或 Azure 防火牆 Basic。
  • 請確定 Azure 防火牆 先讓規則在 Azure 防火牆 原則中具有最高的優先順序,以處理允許 VPN 通道端點之間的流量的規則(192.168.1.4 和 192.168.1.5。 如需 Azure 防火牆 規則處理邏輯的詳細資訊,請參閱 Azure 防火牆 規則處理邏輯
  • 關閉 VPN 通道端點之間流量的深層封包。如需如何設定 Azure 防火牆 以排除來自深層封包檢查流量的資訊,請參閱參考 IDPS 略過清單檔
  • 將 VPN 裝置設定為針對 IPSEC 加密和完整性使用GCMAES256,以將效能最大化。

透過 Azure 入口網站設定路由意圖

您可以使用 Azure 防火牆管理員虛擬 WAN 入口網站,透過 Azure 入口網站設定路由意圖和路由原則。 您可以透過 Azure 防火牆管理員入口網站,使用下一個躍點資源 Azure 防火牆來設定路由原則。 您可以透過虛擬 WAN 入口網站,使用虛擬中樞或 SaaS 解決方案內部署的下一個躍點資源 Azure 防火牆、網路虛擬設備來設定路由原則。

在虛擬 WAN 安全中樞使用 Azure 防火牆的客戶,可以將 Azure 防火牆管理員的 [在中樞間啟用] 設定設為 [已啟用],以使用路由意圖,或使用虛擬 WAN 入口網站,直接將 Azure 防火牆設定為路由意圖和原則的下一個躍點資源。 任一入口網站體驗中的設定皆相同,且 Azure 防火牆管理員中的變更會自動反映在虛擬 WAN 入口網站中,反之亦然。

透過 Azure 防火牆管理員設定路由意圖和原則

下列步驟說明如何使用 Azure 防火牆管理員,在虛擬中樞上設定路由意圖和路由原則。 Azure 防火牆 Manager 僅支援類型為 Azure 防火牆 的下一個躍點資源。

  1. 瀏覽至要設定路由原則的虛擬 WAN 中樞。

  2. 在 [安全性] 底下選取 [安全虛擬中心設定],然後選取 [在 Azure 防火牆管理員中管理此安全虛擬中樞的安全性提供者和路由設定]顯示如何修改安全中樞設定的螢幕快照。

  3. 從功能表中選取要設定路由原則的中樞。

  4. 在 [設定] 下選取 [安全性設定]

  5. 如果您想要設定網際網路流量路由原則,請從 [網際網路流量] 下拉式清單中選取 [Azure 防火牆] 或相關的網際網路安全性提供者。 如果沒有,請選取 [無]

  6. 如果您想要透過 Azure 防火牆,為分支和虛擬網路流量設定私人流量路由原則,請從 [私人流量] 下拉式清單中選取 [Azure 防火牆]。 如果沒有,請選取 [略過 Azure 防火牆]

    顯示如何設定路由原則的螢幕快照。

  7. 如果您想要設定私人流量路由原則,並讓分支或虛擬網路公告非 IANA RFC1918 前置詞,請選取 [私人流量前置詞],然後在出現的文字輸入框中指定非 IANA RFC1918 前置詞範圍。 選取完成

    顯示如何編輯私人流量前置詞的螢幕快照。

  8. 選取要啟用中樞間。 啟用此選項可確保您的路由原則會套用至此虛擬 WAN 中樞的路由意圖。

  9. 選取 [儲存]。

  10. 針對您想要設定路由原則的其他安全虛擬 WAN 中樞重複步驟 2-8。

  11. 此時,您已準備好傳送測試流量。 請確定防火牆原則已適當地設定為根據您的所需安全性設定來允許/拒絕流量。

透過虛擬 WAN 入口網站設定路由意圖和原則

下列步驟說明如何使用虛擬 WAN 入口網站,在虛擬中樞上設定路由意圖和路由原則。

  1. 從 [必要條件] 區段中步驟 3 的確認電子郵件中提供的自訂入口網站連結,瀏覽至您想要設定路由原則的虛擬 WAN 中樞。

  2. 在 [路由] 底下,選取 [路由原則]

    顯示如何流覽至路由原則的螢幕快照。

  3. 如果您想為分支和虛擬網路流量設定私人流量路由原則,請在 [私人流量] 下方選取 [Azure 防火牆]、[網路虛擬設備] 或 [SaaS 解決方案]。 在 [下一個躍點資源] 下方,選取相關的下一個躍點資源。

    顯示如何設定 NVA 私人路由原則的螢幕快照。

  4. 如果您想要設定私人流量路由原則,並讓分支或虛擬網路使用非 IANA RFC1918 前置詞,請選取 [其他前置詞],然後在出現的文字輸入框中指定非 IANA RFC1918 前置詞範圍。 選取完成。 務必在所有使用私人路由原則設定的虛擬中樞中,向 [私人流量前置詞] 文字方塊中新增相同的前置詞,確保向所有中樞公告正確的路由。

    顯示如何為 NVA 路由原則設定其他私人前置詞的螢幕快照。

  5. 若要設定網際網路流量路由原則,請選取 [Azure 防火牆]、[網路虛擬設備] 或 [SaaS 解決方案]。 在 [下一個躍點資源] 下方,選取相關的下一個躍點資源。

    顯示如何為 NVA 設定公用路由原則的螢幕快照。

  6. 若要套用路由意圖和路由原則設定,請按一下 [儲存]

    顯示如何儲存路由原則設定的螢幕快照。

  7. 對想要設定路由原則的所有中樞重複執行上述步驟。

  8. 此時,您已準備好傳送測試流量。 請確定您已妥善設定防火牆原則,以便根據所需安全性設定來允許/拒絕流量。

使用 BICEP 範本設定路由意圖

如需範本和步驟的相關資訊,請參閱 BICEP 範本

疑難排解

下一節說明在虛擬 WAN 中樞上設定路由意圖和原則時,對問題進行移難排解的常見方法。

有效路由

在虛擬中樞上設定私人路由原則時,內部部署與 虛擬網絡 之間的所有流量都會由虛擬中樞 Azure 防火牆、網路虛擬設備或 SaaS 解決方案檢查。

因此,defaultRouteTable 的有效路由會顯示 RFC1918 彙總前置詞 (10.0.0.0/8、192.168.0.0/16、172.16.0.0/12),以及下一個躍點 Azure 防火牆或網路虛擬設備。 這反映了虛擬網路與分支之間的所有流量,都會路由傳送至 Azure 防火牆、NVA 或中樞內的 SaaS 解決方案以進行檢查。

顯示 defaultRouteTable 有效路由的螢幕快照。

在防火牆檢查封包之後 (且每個防火牆規則設定允許封包),虛擬 WAN 會將封包轉送至其最終目的地。 若要查看虛擬 WAN 用來轉送已檢查封包的路由,請檢視防火牆或網路虛擬設備的有效路由表。

顯示 Azure 防火牆 有效路由的螢幕快照。

防火牆有效路由表可協助縮小網路問題範圍並隔離問題,例如設定錯誤或特定分支和虛擬網路發生問題。

針對設定問題進行疑難排解

如果您要針對設定問題進行疑難排解,請考量下列事項:

  • 請確定您在 defaultRouteTable 中,沒有具備下一個躍點虛擬網路連線的自訂路由表或靜態路由。
    • 如果您的部署不符合上述需求,設定路由意圖的選項會在 Azure 入口網站中呈現灰色。
    • 如果您使用 CLI、PowerShell 或 REST,路由意圖建立作業會失敗。 請刪除失敗的路由意圖、移除自訂路由表和靜態路由,然後嘗試重新建立。
    • 如果您使用 Azure 防火牆管理員,請確定 defaultRouteTable 中的現有路由名為 private_traffic、internet_traffic 或 all_traffic。 如果路由的名稱不同,則設定路由意圖 (在中樞間啟用) 的選項會呈現灰色。
  • 在中樞上設定路由意圖之後,請確定已更新中樞的現有連線,或已建立新的中樞連線,並將選擇性的關聯和傳播路由表欄位設定為空白。 針對透過 Azure 入口網站執行的所有作業,系統會自動將選擇性的關聯和傳播設定設為空白。

針對資料路徑進行疑難排解

假設您已檢閱已知限制一節,以下是對資料路徑和連線進行疑難排解的一些方式:

  • 對有效路由進行疑難排解:
    • 如果已設定私人路由原則,針對 RFC1918 彙總 (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12),以及 [私人流量] 文字輸入框中指定的任何前置詞,您應該會在 defaultRouteTable 的有效路由中看到具有下一個躍點防火牆的路由。 請確定所有虛擬網路和內部部署前置詞,都是 defaultRouteTable 中靜態路由內的子網路。 如果內部部署或虛擬網路使用的位址空間,並非 defaultRouteTable 中有效路由內的子網路,請將前置詞新增至 [私人流量] 文字輸入框。
    • 如果已設定網際網路流量路由原則,您應該會在 defaultRouteTable 的有效路由中看到預設 (0.0.0.0/0) 路由。
    • 當您確認 defaultRouteTable 的有效路由具有正確前置詞,請檢視網路虛擬設備或 Azure 防火牆的有效路由。 防火牆上的有效路由會顯示虛擬 WAN 已選取何種路由,並決定防火牆可以將封包轉送至哪些目的地。 找出遺漏的前置詞或前置詞處於不正確的狀態,有助於縮小資料路徑問題的範圍,並指向正確的 VPN、ExpressRoute、NVA 或 BGP 連線以進行疑難排解。
  • 對特定案例進行疑難排解:
    • 如果虛擬 WAN 中具有未受保護的中樞 (沒有 Azure 防火牆或 NVA 的中樞),請確定未受保護的中樞連線,會傳播至具有已設定路由意圖的中樞內 defaultRouteTable。 如果未將傳播設定為 defaultRouteTable,則安全中樞連線就無法將封包傳送至未受保護的中樞。
    • 如果您已設定網際網路路由原則,則針對應該獲知 0.0.0.0/0 預設路由的所有連線,請確定已將 [傳播預設路由] 或 [啟用網際網路安全性] 設定為 'true'。 即使已設定網際網路路由原則,此設定設為 'false' 的連線也不會獲知 0.0.0.0.0/0 路由。
    • 如果您使用在虛擬網路 (已連線至虛擬中樞) 內部署的私人端點,當流量從內部部署傳送至在虛擬網路 (已連線至虛擬 WAN 中樞) 內部署的私人端點,這些流量依預設會「略過」路由意圖下一個躍點 Azure 防火牆、NVA 或 SaaS。 不過,這會導致非對稱路由 (這可能會導致內部部署與私人端點之間的連線中斷),因為輪輻虛擬網路中的私人端點會將內部部署流量轉送至防火牆。 為了確保路由對稱性,請在已部署私人端點的子網路上,啟用私人端點的路由表網路原則。 在 [私人流量] 文字輸入框中設定可對應至私人端點私人 IP 位址的 /32 路由,無法在中樞上設定私人路由原則時確保流量對稱性。
    • 如果您使用加密的 ExpressRoute 搭配私人路由原則,請確定您的防火牆裝置已設定規則,以允許虛擬 WAN 站對站 VPN 閘道私人 IP 通道端點和內部部署 VPN 裝置之間的流量。 ESP (在外部加密) 封包應該記錄在 Azure 防火牆記錄中。 如需具有路由意圖的加密 ExpressRoute 詳細資訊,請參閱加密的 ExpressRoute 文件

針對 Azure 防火牆路由問題進行疑難排解

  • 嘗試設定路由意圖之前,請確定 Azure 防火牆的佈建狀態為「成功」
  • 如果您在分支/虛擬網路中使用非 IANA RFC1918 前置詞,請確定您已在 [私人前置詞] 文字輸入框中指定這些前置詞。 設定的「私人前置詞」不會自動傳播至已設定路由意圖的虛擬WAN 中的其他中樞。 若要確保連線,請將這些前置詞新增至每個具有路由意圖的單一中樞內 [私人前置詞] 文字輸入框。
  • 如果您已在防火牆管理員的 [私人流量前置詞] 文字輸入框中,指定非 RFC1918 位址,您可能需要在防火牆上設定 SNAT 原則,以停用非 RFC1918 私人流量的 SNAT。 如需詳細資訊,請參考 Azure 防火牆 SNAT 範圍
  • 設定和檢視 Azure 防火牆記錄,以協助針對網路流量進行疑難排解和分析。 如需如何設定 Azure 防火牆 監視的詳細資訊,請參閱 Azure 防火牆 診斷。 如需不同類型的防火牆記錄概觀,請參閱 Azure 防火牆記錄和計量
  • 如需 Azure 防火牆的詳細資訊,請參閱 Azure 防火牆文件

針對網路虛擬設備進行疑難排解

  • 嘗試設定路由意圖之前,請確定網路虛擬設備的佈建狀態為「成功」
  • 如果您在已連線的內部部署或虛擬網路中使用非 IANA RFC1918 前置詞,請確定您已在 [私人前置詞] 文字輸入框中指定這些前置詞。 設定的「私人前置詞」不會自動傳播至已設定路由意圖的虛擬WAN 中的其他中樞。 若要確保連線,請將這些前置詞新增至每個具有路由意圖的單一中樞內 [私人前置詞] 文字輸入框。
  • 如果您已在 [私人流量前置詞] 文字輸入框中,指定非 RFC1918 位址,您可能需要在 NVA 上設定 SNAT 原則,以停用特定非 RFC1918 私人流量的 SNAT。
  • 檢查 NVA 防火牆記錄,以查看防火牆規則是否已捨棄或拒絕流量。
  • 請聯絡您的 NVA 提供者,以取得更多移難排解的支援和指導。

對軟體即服務進行疑難排解

下一步

如需虛擬中樞路由的詳細資訊,請參閱關於虛擬中樞路由。 如需虛擬 WAN 的詳細資訊,請參閱常見問題集