Arquitectura de red de tránsito global y Virtual WANGlobal transit network architecture and Virtual WAN

Las empresas modernas requieren de una conectividad ubicua entre las aplicaciones, los datos y los usuarios hiperdistribuidos en la nube y en el entorno local.Modern enterprises require ubiquitous connectivity between hyper-distributed applications, data, and users across the cloud and on-premises. Las empresas están adoptando la arquitectura de red de tránsito global para consolidar, conectar y controlar la huella de una TI empresarial moderna y global centrada en la nube.Global transit network architecture is being adopted by enterprises to consolidate, connect, and control the cloud-centric modern, global enterprise IT footprint.

La arquitectura de red de tránsito global se basa en un modelo de conectividad radial clásica donde el "centro" de la red que se hospeda en la nube permite la conectividad transitiva entre puntos de conexión que pueden estar distribuidos en distintos tipos de "radios".The global transit network architecture is based on a classic hub-and-spoke connectivity model where the cloud hosted network 'hub' enables transitive connectivity between endpoints that may be distributed across different types of 'spokes'.

En este modelo, una radio puede ser:In this model, a spoke can be:

  • Red virtual (redes virtuales)Virtual network (VNets)
  • Sitio de sucursal físicaPhysical branch site
  • Usuario remotoRemote user
  • InternetInternet

centro y radio

Figura 1: red radial de tránsito globalFigure 1: Global transit hub-and-spoke network

En la figura 1 se muestra la vista lógica de la red de tránsito global donde los usuarios, los sitios físicos y las redes virtuales distribuidos geográficamente están interconectados a través de un centro de redes hospedado en la nube.Figure 1 shows the logical view of the global transit network where geographically distributed users, physical sites, and VNets are interconnected via a networking hub hosted in the cloud. Esta arquitectura permite la conectividad de tránsito de un salto lógico entre los puntos de conexión de red.This architecture enables logical one-hop transit connectivity between the networking endpoints.

Red de tránsito global con Virtual WANGlobal transit network with Virtual WAN

Azure Virtual WAN es un servicio de redes en la nube administrado de Microsoft.Azure Virtual WAN is a Microsoft-managed cloud networking service. Microsoft hospeda y administra todos los componentes de red que conforman este servicio.All the networking components that this service is composed of are hosted and managed by Microsoft. Para más información sobre Virtual WAN, consulte el artículo de información general sobre Virtual WAN.For more information about Virtual WAN, see the Virtual WAN Overview article.

Azure Virtual WAN permite una arquitectura de red de tránsito global al habilitar una conectividad ubicua universal entre conjuntos distribuidos globalmente de cargas de trabajo en la nube de redes virtuales, sitios de sucursales, aplicaciones SaaS y PaaS, y usuarios.Azure Virtual WAN allows a global transit network architecture by enabling ubiquitous, any-to-any connectivity between globally distributed sets of cloud workloads in VNets, branch sites, SaaS and PaaS applications, and users.

Azure Virtual WAN

Figura 2: Red de tránsito global y Virtual WANFigure 2: Global transit network and Virtual WAN

En la arquitectura de Azure Virtual WAN, los centros WAN virtuales se aprovisionan en regiones de Azure, y puede elegir conectar sus sucursales, redes virtuales y usuarios remotos a ellas.In the Azure Virtual WAN architecture, virtual WAN hubs are provisioned in Azure regions, to which you can choose to connect your branches, VNets, and remote users. Los sitios de sucursales físicas están conectados al centro mediante ExpressRoute Premium o estándar o VPN de sitio a sitio, las redes virtuales están conectadas al centro mediante conexiones de red virtual y los usuarios remotos pueden conectarse directamente al centro mediante una VPN de usuario (VPN de punto a sitio).The physical branch sites are connected to the hub by Premium or Standard ExpressRoute or site-to site-VPNs, VNets are connected to the hub by VNet connections, and remote users can directly connect to the hub using User VPN (point-to-site VPNs). Virtual WAN también admite la conexión de red virtual entre regiones, donde una red virtual de una región puede estar conectada a un centro WAN virtual en una región diferente.Virtual WAN also supports cross-region VNet connection where a VNet in one region can be connected to a virtual WAN hub in a different region.

Puede establecer una WAN virtual mediante la creación de un centro único de Virtual WAN en la región con el mayor número de radios (sucursales, redes virtuales, usuarios) y, luego, la conexión con el centro de radios que están en otras regiones.You can establish a virtual WAN by creating a single virtual WAN hub in the region that has the largest number of spokes (branches, VNets, users), and then connecting the spokes that are in other regions to the hub. Esta es una buena opción cuando la superficie de una empresa está principalmente en una región con algunos radios remotos.This is a good option when an enterprise footprint is mostly in one region with a few remote spokes.

Conectividad de centro a centroHub-to-hub connectivity

La superficie en la nube empresarial puede abarcar varias regiones en la nube y resulta óptimo (en términos de latencia) tener acceso a la nube desde una región más cercana a su sitio físico y a los usuarios.An Enterprise cloud footprint can span multiple cloud regions and it is optimal (latency-wise) to access the cloud from a region closest to their physical site and users. Uno de los principios clave de la arquitectura de red de tránsito global es habilitar la conectividad entre regiones entre todos los puntos de conexión de red locales y en la nube.One of the key principles of global transit network architecture is to enable cross-region connectivity between all cloud and on-premises network endpoints. Esto significa que el tráfico de una sucursal que está conectada a la nube en una región puede llegar a otra sucursal o a una red virtual en otra región mediante la conectividad de centro a centro que permite la red global de Azure.This means that traffic from a branch that is connected to the cloud in one region can reach another branch or a VNet in a different region using hub-to-hub connectivity enabled by Azure Global Network.

varias regiones

Figura 3: Conectividad entre regiones de Virtual WANFigure 3: Virtual WAN cross-region connectivity

Cuando se habilitan varios centros en una sola WAN virtual, estos se interconectan automáticamente mediante vínculos de centro a centro, lo que habilita la conectividad global entre las sucursales y las redes virtuales distribuidas en varias regiones.When multiple hubs are enabled in a single virtual WAN, the hubs are automatically interconnected via hub-to-hub links, thus enabling global connectivity between branches and Vnets that are distributed across multiple regions.

Además, todos los centros que son parte de la misma WAN virtual se pueden asociar con distintas directivas de seguridad y acceso regionales.Additionally, hubs that are all part of the same virtual WAN, can be associated with different regional access and security policies. Para obtener más información, consulte control de seguridad y directivas más adelante en este artículo.For more information, see Security and policy control later in this article.

Conectividad universalAny-to-any connectivity

La arquitectura de red de tránsito global permite la conectividad universal a través de centros de WAN virtuales.Global transit network architecture enables any-to-any connectivity via virtual WAN hubs. Esta arquitectura elimina o disminuye la necesidad de la conectividad de malla parcial o de malla completa entre radios, que son más complejos de crear y mantener.This architecture eliminates or reduces the need for full mesh or partial mesh connectivity between spokes, that are more complex to build and maintain. Además, el enrutamiento de control entre las redes radiales y las redes de malla es más fácil de configurar y mantener.In addition, routing control in hub-and-spoke vs. mesh networks is easier to configure and maintain.

La conectividad universal, en el contexto de una arquitectura global, permite que una empresa con usuarios, sucursales, centros de datos, redes virtuales y aplicaciones distribuidos globalmente se conecten entre sí a través de los centros de "tránsito".Any-to-any connectivity (in the context of a global architecture) allows an enterprise with globally distributed users, branches, datacenters, VNets, and applications to connect to each other through the “transit” hub(s). Azure Virtual WAN actúa como el sistema de tránsito global.Azure Virtual WAN acts as the global transit system.

universal

Ilustración 4: Rutas de tráfico de Virtual WANFigure 4: Virtual WAN traffic paths

Azure Virtual WAN admite las siguientes rutas de conectividad de tránsito global.Azure Virtual WAN supports the following global transit connectivity paths. Las letras entre paréntesis hacen referencia a la figura 4.The letters in parentheses map to Figure 4.

  • Sucursal a red virtual (a)Branch-to-VNet (a)
  • Sucursal a sucursal (b)Branch-to-branch (b)
    • Global Reach de ExpressRoute y Virtual WANExpressRoute Global Reach and Virtual WAN
  • Usuario remoto a red virtual (c)Remote User-to-VNet (c)
  • Usuario remoto a sucursal (d)Remote User-to-branch (d)
  • De red virtual a red virtual (e)VNet-to-VNet (e)
  • De sucursal a centro y de centro a sucursal (f)Branch-to-hub-hub-to-Branch (f)
  • De sucursal a centro y de centro a red virtual (g)Branch-to-hub-hub-to-VNet (g)
  • De red virtual a centro y de centro a red virtual (h)VNet-to-hub-hub-to-VNet (h)

De sucursal a red virtual (a) y de sucursal a red virtual entre regiones (g)Branch-to-VNet (a) and Branch-to-VNet Cross-region (g)

Sucursal a red virtual es la ruta principal admitida por Azure Virtual WAN.Branch-to-VNet is the primary path supported by Azure Virtual WAN. Esta ruta le permite conectar sucursales a las cargas de trabajo empresariales de IaaS de Azure que están implementadas en redes virtuales de Azure.This path allows you to connect branches to Azure IAAS enterprise workloads that are deployed in Azure VNets. Las sucursales se pueden conectar a la WAN virtual a través de ExpressRoute o de VPN de sitio a sitio.Branches can be connected to the virtual WAN via ExpressRoute or site-to-site VPN. El tráfico transita a las redes virtuales que están conectadas a los centros de Virtual WAN a través de conexiones de red virtual.The traffic transits to VNets that are connected to the virtual WAN hubs via VNet Connections. El tránsito de puerta de enlace explícito no es necesario para Virtual WAN, porque Virtual WAN habilita automáticamente el tránsito de puerta de enlace al sitio de sucursal.Explicit gateway transit is not required for Virtual WAN because Virtual WAN automatically enables gateway transit to branch site. Consulte el artículo Asociados de WAN virtual sobre cómo conectar un SD-WAN CPE a Virtual WAN.See Virtual WAN Partners article on how to connect an SD-WAN CPE to Virtual WAN.

Global Reach de ExpressRoute y Virtual WANExpressRoute Global Reach and Virtual WAN

ExpressRoute es una forma privada y resistente de conectar las redes locales a la nube de Microsoft.ExpressRoute is a private and resilient way to connect your on-premises networks to the Microsoft Cloud. Virtual WAN admite conexiones de circuito de ExpressRoute.Virtual WAN supports Express Route circuit connections. La conexión de un sitio de sucursal a Virtual WAN con Express Route requiere 1) un circuito Premium o Estándar 2) un circuito que esté en una ubicación habilitada para Global Reach.Connecting a branch site to Virtual WAN with Express Route requires 1) Premium or Standard Circuit 2) Circuit to be in a Global Reach enabled location.

Global Reach ExpressRoute es una característica de complemento para ExpressRoute.ExpressRoute Global Reach is an add-on feature for ExpressRoute. Con Global Reach, puede vincular los circuitos de ExpressRoute para crear una red privada entre las redes locales.With Global Reach, you can link ExpressRoute circuits together to make a private network between your on-premises networks. Las sucursales que se conectan a Azure Virtual WAN a través de ExpressRoute requieren que Global Reach de ExpressRoute se comuniquen entre sí.Branches that are connected to Azure Virtual WAN using ExpressRoute require the ExpressRoute Global Reach to communicate with each other.

En este modelo, cada sucursal que se conecta al centro de Virtual WAN mediante ExpressRoute se puede conectar a las redes virtuales mediante la ruta de sucursal a red virtual.In this model, each branch that is connected to the virtual WAN hub using ExpressRoute can connect to VNets using the branch-to-VNet path. El tráfico de sucursal a sucursal no atravesará el centro, porque Global Reach de ExpressRoute permite una ruta más óptima a través de Azure WAN.Branch-to-branch traffic won't transit the hub because ExpressRoute Global Reach enables a more optimal path over Azure WAN.

Sucursal a sucursal (b) y sucursal a sucursal entre regiones (f)Branch-to-branch (b) and Branch-to-Branch cross-region (f)

Las sucursales se pueden conectar a un centro de Azure Virtual WAN mediante circuitos de ExpressRoute o conexiones de VPN de sitio a sitio.Branches can be connected to an Azure virtual WAN hub using ExpressRoute circuits and/or site-to-site VPN connections. Puede conectar las sucursales al centro de Virtual WAN que se encuentra en la región más cercana a la sucursal.You can connect the branches to the virtual WAN hub that is in the region closest to the branch.

Esta opción permite que las empresas usen la red troncal de Azure para conectar las sucursales.This option lets enterprises leverage the Azure backbone to connect branches. Sin embargo, aunque esta funcionalidad esté disponible, debe ponderar los beneficios de conectar las sucursales a través de Azure Virtual WAN en comparación con usar una WAN privada.However, even though this capability is available, you should weigh the benefits of connecting branches over Azure Virtual WAN vs. using a private WAN.

Nota

Deshabilitación de la conectividad de rama a rama en Virtual WAN: Virtual WAN puede configurarse para deshabilitar la conectividad de rama a rama.Disabling Branch-to-Branch Connectivity in Virtual WAN - Virtual WAN can be configured to disable Branch-to-Branch connectivity. Esta configuración bloqueará la propagación de rutas entre VPN (S2S y P2S) y los sitios conectados de ExpressRoute.This configuation will block route propagation between VPN (S2S and P2S) and Express Route connected sites. Esta configuración no afectará a la conectividad y propagación de rutas de red virtual a red virtual y de rama a red virtual.This configuration will not affect branch-to-Vnet and Vnet-to-Vnet route propogation and connectivity. Para configurar esta opción con Azure Portal: En el menú configuración de Virtual WAN, elija Configuración: De rama a rama: deshabilitado.To configure this setting using Azure Portal: Under Virtual WAN Configuration menu, Choose Setting: Branch-to-Branch - Disabled.

Usuario remoto a red virtual (c)Remote User-to-VNet (c)

Puede habilitar el acceso remoto seguro y directo a Azure mediante una conexión de punto a sitio desde un cliente de usuario remoto a una WAN virtual.You can enable direct, secure remote access to Azure using point-to-site connection from a remote user client to a virtual WAN. Los usuarios empresariales remotos ya no tienen que conectarse a la nube a través de una VPN corporativa.Enterprise remote users no longer have to hairpin to the cloud using a corporate VPN.

Usuario remoto a sucursal (d)Remote User-to-branch (d)

La ruta de usuario remoto a sucursal permite que los usuarios remotos que usan una conexión de punto a sitio a Azure accedan a aplicaciones y cargas de trabajo locales mediante el tránsito a través de la nube.The Remote User-to-branch path lets remote users who are using a point-to-site connection to Azure access on-premises workloads and applications by transiting through the cloud. Esta ruta brinda a los usuarios remotos la flexibilidad para acceder a las cargas de trabajo que están implementadas en Azure y en el entorno local.This path gives remote users the flexibility to access workloads that are both deployed in Azure and on-premises. Las empresas pueden habilitar el servicio central de acceso remoto seguro basado en la nube en Azure Virtual WAN.Enterprises can enable central cloud-based secure remote access service in Azure Virtual WAN.

Tránsito de red virtual a red virtual (e) y de red virtual a red virtual entre (h)VNet-to-VNet transit (e) and VNet-to-VNet cross-region (h)

El tránsito de red virtual a red virtual permite que las redes virtuales se conecten entre sí para interconectar aplicaciones de varios niveles implementadas en varias redes virtuales.The VNet-to-VNet transit enables VNets to connect to each other in order to interconnect multi-tier applications that are implemented across multiple VNets. Opcionalmente, puede conectar redes virtuales entre sí mediante el emparejamiento de red virtual. Esta opción puede ser adecuada para algunos escenarios en los que no es necesario el tránsito a través del centro de WAN virtual.Optionally, you can connect VNets to each other through VNet Peering and this may be suitable for some scenarios where transit via the VWAN hub is not necessary.

Tunelización forzada y ruta predeterminada en Azure Virtual WANForce Tunneling and Default Route in Azure Virtual WAN

La tunelización forzada se puede habilitar configurando la opción para habilitar la ruta predeterminada en una conexión de VPN, ExpressRoute o Virtual Network en una red de Virtual WAN.Force Tunneling can be enabled by configuring the enable default route on a VPN, ExpressRoute, or Virtual Network connection in Virtual WAN.

Un centro de conectividad virtual puede propagar una ruta predeterminada aprendida en una red virtual, una VPN de sitio a sitio y una conexión ExpressRoute si la marca está habilitada en la conexión.A virtual hub propagates a learned default route to a virtual network/site-to-site VPN/ExpressRoute connection if enable default flag is 'Enabled' on the connection.

Esta marca está visible cuando el usuario edita una conexión de red virtual, una conexión VPN o una conexión ExpressRoute.This flag is visible when the user edits a virtual network connection, a VPN connection, or an ExpressRoute connection. De forma predeterminada, esta marca está deshabilitada cuando un sitio o circuito de ExpressRoute se conecta a un centro.By default, this flag is disabled when a site or an ExpressRoute circuit is connected to a hub. Está habilitada de forma predeterminada cuando se agrega una conexión de red virtual para conectar una red virtual a un centro de conectividad virtual.It is enabled by default when a virtual network connection is added to connect a VNet to a virtual hub. La ruta predeterminada no se origina en el centro de conectividad de Virtual WAN; la ruta se propaga si ya la ha aprendido el centro de Virtual WAN como resultado de la implementación de un firewall en el centro o en caso de que otro sitio conectado tenga habilitada la tunelización forzada.The default route does not originate in the Virtual WAN hub; the default route is propagated if it is already learned by the Virtual WAN hub as a result of deploying a firewall in the hub, or if another connected site has forced-tunneling enabled.

Seguridad y control de directivasSecurity and policy control

Los centros de Azure Virtual WAN interconectan todos los puntos de conexión de red a través de la red híbrida y pueden ver todo el tráfico de red de tránsito.The Azure Virtual WAN hubs interconnect all the networking end points across the hybrid network and potentially see all transit network traffic. Los centros de Virtual WAN se pueden convertir en centros virtuales protegidos si implementa Azure Firewall dentro de los centros de Virtual WAN para habilitar la seguridad, el acceso y el control de directivas basados en la nube.Virtual WAN hubs can be converted to Secured Virtual Hubs by deploying the Azure Firewall inside VWAN hubs to enable cloud-based security, access, and policy control. Azure Firewall Manager puede realizar la orquestación de Azure Firewall en los centros de WAN virtual.Orchestration of Azure Firewalls in virtual WAN hubs can be performed by Azure Firewall Manager.

Azure Firewall Manager proporciona las funcionalidades para administrar y escalar la seguridad de las redes de tránsito global.Azure Firewall Manager provides the capabilities to manage and scale security for global transit networks. Azure Firewall Manager ofrece la posibilidad de administrar de forma centralizada el enrutamiento, la administración global de directivas y los servicios de seguridad de Internet avanzados a través de terceros junto con Azure Firewall.Azure Firewall Manager provides ability to centrally manage routing, global policy management, advanced Internet security services via third-party along with the Azure Firewall.

centro virtual protegido con Azure Firewall

Ilustración 5: Centro virtual protegido con Azure FirewallFigure 5: Secured virtual hub with Azure Firewall

Nota

Actualmente no se admite el tráfico entre centros con el firewall.Inter-hub with firewall is currently not supported. El tráfico entre centros se desplazará directamente por Azure Firewall en cada centro.Traffic between hubs will move directly bypassing the Azure Firewall in each hub.

Azure Firewall a la WAN virtual admite las siguientes rutas de conectividad de tránsito seguro global.Azure Firewall to the virtual WAN supports the following global secured transit connectivity paths. Las letras entre paréntesis hacen referencia a la figura 5.The letters in parentheses map to Figure 5.

  • Tránsito seguro de red virtual a red virtual (e)VNet-to-VNet secure transit (e)
  • Servicio de seguridad de red virtual a Internet o a terceros (i)VNet-to-Internet or third-party Security Service (i)
  • Servicio de seguridad de sucursal a Internet o a terceros (i)Branch-to-Internet or third-party Security Service (j)

Tránsito seguro de red virtual a red virtual (e)VNet-to-VNet secured transit (e)

El tránsito seguro de red virtual a red virtual permite que las redes virtuales se conecten entre sí a través de Azure Firewall en el centro de WAN virtual.The VNet-to-VNet secured transit enables VNets to connect to each other via the Azure Firewall in the virtual WAN hub.

Servicio de seguridad de red virtual a Internet o a terceros (i)VNet-to-Internet or third-party Security Service (i)

El tránsito de red virtual a Internet permite que las redes virtuales se conecten entre sí a través de Azure Firewall en el centro de conectividad de WAN virtual.The VNet-to-Internet enables VNets to connect to the internet via the Azure Firewall in the virtual WAN hub. El tráfico de Internet a través de servicios de seguridad admitidos de terceros no fluye a través de Azure Firewall.Traffic to internet via supported third-party security services does not flow through the Azure Firewall. Puede configurar la ruta de acceso de red virtual a Internet a través de un servicio de seguridad admitido de terceros mediante Azure Firewall Manager.You can configure Vnet-to-Internet path via supported third-party security service using Azure Firewall Manager.

Servicio de seguridad de sucursal a Internet o a terceros (i)Branch-to-Internet or third-party Security Service (j)

El tránsito de rama a Internet permite que las ramas se conecten a Internet a través de Azure Firewall en el centro de conectividad de WAN virtual.The Branch-to-Internet enables branches to connect to the internet via the Azure Firewall in the virtual WAN hub. El tráfico de Internet a través de servicios de seguridad admitidos de terceros no fluye a través de Azure Firewall.Traffic to internet via supported third-party security services does not flow through the Azure Firewall. Puede configurar la ruta de acceso de rama a Internet a través de un servicio de seguridad admitido de terceros mediante Azure Firewall Manager.You can configure Branch-to-Internet path via supported third-party security service using Azure Firewall Manager.

Cómo habilitar la ruta predeterminada (0.0.0.0/0) en un centro virtual protegidoHow do I enable default route (0.0.0.0/0) in a Secured Virtual Hub

Si Azure Firewall está implementado en un centro de conectividad WAN virtual (centro virtual protegido), se puede configurar como enrutador predeterminado a Internet o al proveedor de seguridad de confianza en todas las ramas (siempre que estén conectadas mediante VPN o Express Route), redes virtuales de radios y usuarios (conectados a través de VPN P2S).Azure Firewall deployed in a Virtual WAN hub (Secure Virtual Hub) can be configured as default router to the Internet or Trusted Security Provider for all branches (connected by VPN or Express Route), spoke Vnets and Users (connected via P2S VPN). Esta configuración debe realizarse mediante Azure Firewall Manager.This configuration must be done using Azure Firewall Manager. Consulte el enrutamiento del tráfico al centro de conectividad para configurar todo el tráfico de las ramas (incluidos los usuarios), así como las redes virtuales a Internet a través de Azure Firewall.See Route Traffic to your hub to configure all traffic from branches (including Users) as well as Vnets to Internet via the Azure Firewall.

Esta es una configuración de dos pasos:This is a two step configuration:

  1. Configure el enrutamiento de tráfico de Internet mediante el menú de configuración de la ruta del centro virtual protegido.Configure Internet traffic routing using Secure Virtual Hub Route Setting menu. Configure las redes virtuales y las ramas que puedan enviar tráfico a Internet a través del firewall.Configure Vnets and Branches that can send traffic to the internet via the Firewall.

  2. Configure qué conexiones (de red virtual y rama) pueden enrutar el tráfico a Internet (0.0.0.0/0) a través del FW de Azure en el centro de conectividad o el proveedor de seguridad de confianza.Configure which Connections (Vnet and Branch) can route traffic to the internet (0.0.0.0/0) via the Azure FW in the hub or Trusted Security Provider. Este paso garantiza que la ruta predeterminada se propague a las ramas y redes virtuales seleccionadas que están conectadas al centro de Virtual WAN a través de las conexiones.This step ensures that the default route is propagated to selected branches and Vnets that are attached to the Virtual WAN hub via the Connections.

Forzar el tráfico de tunelización al firewall local en un centro virtual protegidoForce Tunneling Traffic to On-Premises Firewall in a Secured Virtual Hub

Si el centro virtual ya ha aprendido una ruta predeterminada (a través de BGP) de una de las ramas (sitios VPN o ER), esta ruta predeterminada se invalida mediante la ruta predeterminada aprendida de la configuración de Azure Firewall Manager.If there is already a default route learned (via BGP) by the Virtual Hub from one of the Branches (VPN or ER sites), this default route is overridden by the default route learned from Azure Firewall Manager setting. En este caso, todo el tráfico que entra en el centro desde las redes virtuales y las ramas destinadas a Internet se enrutará a Azure Firewall o al proveedor de seguridad de confianza.In this case, all traffic that is entering the hub from Vnets and branches destined to internet, will be routed to the Azure Firewall or Trusted Security Provider.

Nota

Actualmente, no hay ninguna opción para seleccionar la instancia de firewall o de Azure Firewall local (así como el proveedor de seguridad de confianza) para el tráfico enlazado a Internet que se origina en las redes virtuales, las ramas o los usuarios.Currently there is no option to select on-premises Firewall or Azure Firewall (and Trusted Security Provider) for internet bound traffic originating from Vnets, Branches or Users. La ruta predeterminada aprendida de la configuración de Azure Firewall Manager siempre es preferible a la ruta predeterminada aprendida de una de las ramas.The default route learned from the Azure Firewall Manager setting is always preferred over the default route learned from one of the branches.

Pasos siguientesNext steps

Cree una conexión mediante Virtual WAN e implemente Azure Firewall en los centros de Virtual WAN.Create a connection using Virtual WAN and Deploy Azure Firewall in VWAN hub(s).