本文說明了將Virtual WAN流量傳送至虛擬樞紐Azure 防火牆的基本靜態路由情境。
Overview
本文件總結了使用靜態路由將 Virtual WAN 流量路由至 Azure 防火牆 的基本情境。 文件 沒有涵蓋路由意圖。
文件中也包含關於 Azure 防火牆管理員 如何在 Virtual WAN 中配置路由的說明。 Azure 防火牆管理員 中有兩種可設定的路由模式:
- 中樞間設定為關閉:使用靜態路由,將流量導向本機虛擬中樞內的 Azure 防火牆,而不使用路由意圖。 此配置由本文件涵蓋。
- 中樞間設定為開啟:在 Virtual WAN 中樞上啟用路由意圖。 此配置 未 被本文件涵蓋。
私有流量檢測:透過 Azure 防火牆 進行分支至虛擬網路及虛擬網路至虛擬網路的檢查
Note
在此配置中,Azure 防火牆管理員 將 defaultRouteTable 設定為靜態路由,名稱為 private_traffic。
交通模式
- 私人 (虛擬網路與內部部署) 由 Azure 防火牆檢查。
組態
連線路由特性:
| 連接類型 | 相關聯的路由表 | 傳播路由表 |
|---|---|---|
| 支線連接 | 預設路由表 | noneRouteTable |
| 虛擬網路連接 | 預設路由表 | noneRouteTable |
Virtual WAN 路由表:defaultRouteTable
Note
如果您的私人網路使用非RFC1918位址空間,請確保對應的位址範圍包含在private_traffic靜態路由中,以確保前往該網路的流量能正確路由至Azure 防火牆進行檢查。
| 目的地前綴 | 下一跳 |
|---|---|
| 10.0.0.0/8、192.168.0.0/16、172.16.0.0/12 | 本地中心的 Azure 防火牆 |
Azure 防火牆 進行網路流量檢查
Note
在此配置下,Azure 防火牆管理員預期 defaultRouteTable 會有單一靜態路由,名為 internet_traffic。 此外,當啟用網際網路安全設定或傳播預設路由設定為true時,Virtual WAN 連線會自動獲取預設路由(0.0.0.0/0)。 Azure 防火牆管理員 使用此設定來顯示連線的網路流量是否為 secured。
交通模式
- 網際網路流量會由 Azure 防火牆 進行檢查。
- 這些私有流量(本地與虛擬網路間)不會由 Azure 防火牆 檢查。
組態
| 連接類型 | 相關聯的路由表 | 傳播的路由資料表 | 傳播的路由標籤 |
|---|---|---|---|
| 支線連接 | 預設路由表 | 預設路由表 | - |
| 虛擬網路連接 | 預設路由表 | 預設路由表 | - |
虛擬 WAN 路由表:「defaultRouteTable」
| 目的地前綴 | 下一跳 |
|---|---|
| 0.0.0.0/0 | 本地中心的 Azure 防火牆 |
私人與網際網路流量檢測
Note
在此配置下,Azure 防火牆管理員預期 defaultRouteTable 會有一個名為 all_traffic 的單一靜態路由。
為確保 Azure 防火牆 檢查樞紐間及分支間的流量,請使用 路由意圖和策略。
交通模式
- 私有(本地與虛擬網路間)流量則由 Azure 防火牆 檢查。
- 網際網路流量會由 Azure 防火牆 進行檢查。
- 分支到分支的流量不受 Azure 防火牆 檢查。
組態
| 連接類型 | 相關聯的路由表 | 傳播的路由資料表 |
|---|---|---|
| 支線連接 | 預設路由表 | none |
| 虛擬網路連接 | 預設路由表 | none |
Virtual WAN 路由表:預設路由表 (defaultRouteTable)
Note
在此配置下,Azure 防火牆管理員預期 defaultRouteTable 會有一個名為 all_traffic 的單一靜態路由。
| 目的地前綴 | 下一跳 |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | 本地中心的 Azure 防火牆 |
使用中樞間直接路由的本機中樞檢查
為了確保 Azure 防火牆 能夠檢查樞紐之間的流量,請使用路由意圖及政策。
交通模式
- 中樞間流量會透過 Virtual WAN 集線器直接繞過 Azure 防火牆。
- 虛擬網路與本地之間的本地(同一樞紐)流量由 Azure 防火牆 檢查。
- 網際網路流量會使用本機 Azure 防火牆進行檢查和出口。
Note
使用 Virtual WAN 路由表標籤將集線器在 Virtual WAN 上進行群組,以降低操作複雜度。 此網路設計為not可透過Azure 防火牆管理員配置。
配置中樞 1
| 連接類型 | 相關聯的路由表 | 傳播的路由資料表 | 傳播的路由標籤 |
|---|---|---|---|
| 支線連接 | 預設路由表 | defaultRouteTable(樞紐 2) | - |
| 虛擬網路連接 | 預設路由表 | defaultRouteTable(樞紐 2) | - |
Virtual WAN 路由表 Hub 1:defaultRouteTable
| 目的地前綴 | 下一跳 |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | 中樞 1 中的 Azure 防火牆 |
配置中心 2
| 連接類型 | 相關聯的路由表 | 傳播的路由資料表 | 傳播的路由標籤 |
|---|---|---|---|
| 支線連接 | 預設路由表 | defaultRouteTable(樞紐 1) | - |
| 虛擬網路連接 | 預設路由表 | defaultRouteTable(樞紐 1) | - |
虛擬 WAN 路由表集線器 2:預設路由表
| 目的地前綴 | 下一跳 |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | Azure 防火牆 in Hub 2 |