Globális átviteli hálózati architektúra és virtuális WANGlobal transit network architecture and Virtual WAN

A modern vállalatok a felhőben és a helyszíni környezetekben a Hyper-elosztott alkalmazások, az adatközpontok és a felhasználók közötti mindennapos kapcsolatokat igénylik.Modern enterprises require ubiquitous connectivity between hyper-distributed applications, data, and users across the cloud and on-premises. A vállalatok a globális átviteli hálózati architektúrát a felhőalapú modern, globális vállalati IT-lábnyom megszilárdítására, összekapcsolására és szabályozására használják.Global transit network architecture is being adopted by enterprises to consolidate, connect, and control the cloud-centric modern, global enterprise IT footprint.

A globális átviteli hálózat architektúrája egy olyan klasszikus sugaras kapcsolati modellen alapul, ahol a felhőben üzemeltetett hálózat "hub" lehetővé teszi az olyan végpontok közötti tranzitív kapcsolódást, amelyek különböző típusú "küllők" között terjeszthetők.The global transit network architecture is based on a classic hub-and-spoke connectivity model where the cloud hosted network 'hub' enables transitive connectivity between endpoints that may be distributed across different types of 'spokes'.

Ebben a modellben a küllő a következő lehet:In this model, a spoke can be:

  • Virtuális hálózat (virtuális hálózatok)Virtual network (VNets)
  • Fizikai ág helyePhysical branch site
  • Távoli felhasználóRemote user
  • InternetInternet

hub és küllő

1. ábra: globális árutovábbítási hub és küllős hálózatFigure 1: Global transit hub-and-spoke network

Az 1. ábrán a globális átviteli hálózat logikai nézete látható, ahol a földrajzilag elosztott felhasználók, fizikai helyek és virtuális hálózatok a felhőben üzemeltetett hálózati elosztón keresztül kapcsolódnak egymáshoz.Figure 1 shows the logical view of the global transit network where geographically distributed users, physical sites, and VNets are interconnected via a networking hub hosted in the cloud. Ez az architektúra lehetővé teszi a logikai egyugrásos átviteli kapcsolatok használatát a hálózati végpontok között.This architecture enables logical one-hop transit connectivity between the networking endpoints.

Globális átviteli hálózat virtuális WAN-kapcsolattalGlobal transit network with Virtual WAN

Az Azure Virtual WAN egy Microsoft által felügyelt felhőalapú hálózati szolgáltatás.Azure Virtual WAN is a Microsoft-managed cloud networking service. A szolgáltatás által alkotott összes hálózati összetevőt a Microsoft üzemelteti és kezeli.All the networking components that this service is composed of are hosted and managed by Microsoft. A virtuális WAN-ról további információt a virtuális WAN áttekintése című cikkben talál.For more information about Virtual WAN, see the Virtual WAN Overview article.

Az Azure Virtual WAN lehetővé teszi a globális átviteli hálózatok architektúráját azáltal, hogy a virtuális hálózatok, a fiókirodákban, az SaaS-és a Pásti-alkalmazásokban, valamint a felhasználókon elérhető, globálisan elosztott Felhőbeli számítási feladatok teljes körű és bármilyen módon elérhető kapcsolatát engedélyezi.Azure Virtual WAN allows a global transit network architecture by enabling ubiquitous, any-to-any connectivity between globally distributed sets of cloud workloads in VNets, branch sites, SaaS and PaaS applications, and users.

Azure Virtual WAN

2. ábra: globális tranzit hálózat és virtuális WANFigure 2: Global transit network and Virtual WAN

Az Azure Virtual WAN architektúrában a virtuális WAN-hubok az Azure-régiókban vannak kiépítve, amelyekhez az ágakat, a virtuális hálózatok és a távoli felhasználókat is összekapcsolhatjuk.In the Azure Virtual WAN architecture, virtual WAN hubs are provisioned in Azure regions, to which you can choose to connect your branches, VNets, and remote users. A fizikai fiókirodák prémium vagy standard szintű ExpressRoute vagy helyek közötti VPN-en keresztül csatlakoznak a központhoz, a virtuális hálózatok pedig VNet-kapcsolatokkal csatlakoznak a központhoz, a távoli felhasználók pedig közvetlenül kapcsolódhatnak a hubhoz a felhasználói VPN (pont – hely VPN) használatával.The physical branch sites are connected to the hub by Premium or Standard ExpressRoute or site-to site-VPNs, VNets are connected to the hub by VNet connections, and remote users can directly connect to the hub using User VPN (point-to-site VPNs). A Virtual WAN támogatja a régiók közötti VNet kapcsolatot is, ahol az egyik régióban lévő VNet egy másik régióban lévő virtuális WAN-hubhoz is csatlakoztathatók.Virtual WAN also supports cross-region VNet connection where a VNet in one region can be connected to a virtual WAN hub in a different region.

Létrehozhat egy virtuális WAN-t úgy, hogy létrehoz egy virtuális WAN-központot a régiójában, amely a legnagyobb számú küllőt (ágakat, virtuális hálózatok, felhasználókat) és a más régiókban lévő küllőket csatlakoztatja a hubhoz.You can establish a virtual WAN by creating a single virtual WAN hub in the region that has the largest number of spokes (branches, VNets, users), and then connecting the spokes that are in other regions to the hub. Ez jó megoldás, ha egy nagyvállalati lábnyom főleg egy régióban, néhány távoli küllővel.This is a good option when an enterprise footprint is mostly in one region with a few remote spokes.

Központ – központ kapcsolatHub-to-hub connectivity

A vállalati Felhőbeli lábnyom több Felhőbeli régióra is kiterjed, és az optimális (késés-Wise) a felhőnek a fizikai helyükhöz és a felhasználókhoz legközelebb eső régióból való elérésére szolgál.An Enterprise cloud footprint can span multiple cloud regions and it is optimal (latency-wise) to access the cloud from a region closest to their physical site and users. A globális átviteli hálózati architektúra egyik kulcsfontosságú alapelve a régiók közötti kapcsolat engedélyezése a Felhőbeli és a helyszíni hálózati végpontok között.One of the key principles of global transit network architecture is to enable cross-region connectivity between all cloud and on-premises network endpoints. Ez azt jelenti, hogy egy adott régióban a felhőhöz csatlakoztatott ágakból érkező forgalom egy másik régióban is elérheti az Azure globális hálózataáltal engedélyezett, a csomópontok közötti kapcsolatot használó régiókat vagy VNet.This means that traffic from a branch that is connected to the cloud in one region can reach another branch or a VNet in a different region using hub-to-hub connectivity enabled by Azure Global Network.

régiók közötti

3. ábra: virtuális WAN régiók közötti kapcsolatFigure 3: Virtual WAN cross-region connectivity

Ha egy virtuális WAN-ban több hub is engedélyezve van, a hubok automatikusan csatlakoznak a hub – hub kapcsolatokon keresztül, így lehetővé téve a globális kapcsolódást a több régióban elosztott ágak és virtuális hálózatok között.When multiple hubs are enabled in a single virtual WAN, the hubs are automatically interconnected via hub-to-hub links, thus enabling global connectivity between branches and Vnets that are distributed across multiple regions.

Emellett a virtuális WAN összes részét képező hubok különböző regionális hozzáférési és biztonsági házirendekhez társíthatók.Additionally, hubs that are all part of the same virtual WAN, can be associated with different regional access and security policies. További információ: biztonsági és házirend-vezérlés a cikk későbbi részében.For more information, see Security and policy control later in this article.

Bármilyen kapcsolatAny-to-any connectivity

A globális átviteli hálózati architektúra a virtuális WAN-hubokon keresztül bármilyen kapcsolódást tesz lehetővé.Global transit network architecture enables any-to-any connectivity via virtual WAN hubs. Ez az architektúra kiküszöböli vagy csökkenti a küllők közötti teljes rácsvonal vagy részleges háló kapcsolat szükségességét, amelyek összetettebbek a létrehozáshoz és a karbantartáshoz.This architecture eliminates or reduces the need for full mesh or partial mesh connectivity between spokes, that are more complex to build and maintain. Emellett a hub-és küllős és a mesh hálózatok útválasztási vezérlése könnyebben konfigurálható és kezelhető.In addition, routing control in hub-and-spoke vs. mesh networks is easier to configure and maintain.

Bármely – bármely kapcsolat (globális architektúra kontextusában) lehetővé teszi, hogy a vállalat globálisan elosztott felhasználókkal, ágakkal, adatközpontokkal, virtuális hálózatok és alkalmazásokkal kapcsolódjon egymáshoz az "árutovábbítási" központ (ok) n keresztül.Any-to-any connectivity (in the context of a global architecture) allows an enterprise with globally distributed users, branches, datacenters, VNets, and applications to connect to each other through the “transit” hub(s). Az Azure Virtual WAN globális árutovábbítási rendszerrel működik.Azure Virtual WAN acts as the global transit system.

bármilyen

4. ábra: virtuális WAN-forgalom elérési útjaiFigure 4: Virtual WAN traffic paths

Az Azure Virtual WAN a következő globális átviteli csatlakozási útvonalakat támogatja.Azure Virtual WAN supports the following global transit connectivity paths. A zárójelben lévő betűk a 4. ábrán láthatók.The letters in parentheses map to Figure 4.

  • Ág – VNet (a)Branch-to-VNet (a)
  • Ág – ág (b)Branch-to-branch (b)
    • ExpressRoute Global Reach és virtuális WANExpressRoute Global Reach and Virtual WAN
  • Távoli felhasználó – VNet (c)Remote User-to-VNet (c)
  • Távoli felhasználó – ág (d)Remote User-to-branch (d)
  • VNet – VNet (e)VNet-to-VNet (e)
  • Ág – központ – hub – ág (f)Branch-to-hub-hub-to-Branch (f)
  • Ág – központ – hub – VNet (g)Branch-to-hub-hub-to-VNet (g)
  • VNet – hub-VNet (h)VNet-to-hub-hub-to-VNet (h)

Ág – VNet (a) és ág – VNet közötti régió (g)Branch-to-VNet (a) and Branch-to-VNet Cross-region (g)

A VNet az Azure Virtual WAN által támogatott elsődleges elérési út.Branch-to-VNet is the primary path supported by Azure Virtual WAN. Ez az elérési út lehetővé teszi, hogy az Azure virtuális hálózatok üzembe helyezett Azure IAAS Enterprise-munkaterhelésekhez csatlakozhasson ágakat.This path allows you to connect branches to Azure IAAS enterprise workloads that are deployed in Azure VNets. Az ágak a ExpressRoute vagy a helyek közötti VPN használatával csatlakoztathatók a virtuális WAN-hoz.Branches can be connected to the virtual WAN via ExpressRoute or site-to-site VPN. A VNet-kapcsolatokon keresztül a virtuális WAN-központokhoz csatlakozó virtuális hálózatok áthaladó forgalom.The traffic transits to VNets that are connected to the virtual WAN hubs via VNet Connections. A virtuális WAN esetében nem szükséges explicit átjáró-átvitel , mert a virtuális WAN automatikusan engedélyezi az átjárónak a fiókirodába való átvitelét.Explicit gateway transit is not required for Virtual WAN because Virtual WAN automatically enables gateway transit to branch site. Tekintse meg a virtuális WAN-partnerek című cikket, amely bemutatja, hogyan CSATLAKOZTATHATÓ egy SD-WAN CPE a virtuális WAN-hoz.See Virtual WAN Partners article on how to connect an SD-WAN CPE to Virtual WAN.

ExpressRoute Global Reach és virtuális WANExpressRoute Global Reach and Virtual WAN

A ExpressRoute egy privát és rugalmas módszer a helyi hálózatok Microsoft Cloudhoz való összekapcsolására.ExpressRoute is a private and resilient way to connect your on-premises networks to the Microsoft Cloud. A Virtual WAN támogatja az Express Route Circuit-kapcsolatokat.Virtual WAN supports Express Route circuit connections. Ha egy fiókirodai helyet a Virtual WAN-hoz csatlakoztat, az Express Route 1) Prémium vagy standard 2. szintű áramkört igényel, Global Reach engedélyezett helyen kell lennie.Connecting a branch site to Virtual WAN with Express Route requires 1) Premium or Standard Circuit 2) Circuit to be in a Global Reach enabled location.

A ExpressRoute Global Reach a ExpressRoute kiegészítő szolgáltatása.ExpressRoute Global Reach is an add-on feature for ExpressRoute. A Global Reach segítségével összekapcsolhatja a ExpressRoute-áramköröket, hogy magánhálózat legyen a helyszíni hálózatok között.With Global Reach, you can link ExpressRoute circuits together to make a private network between your on-premises networks. Azok az ágak, amelyek az Azure Virtual WAN-hoz csatlakoznak a ExpressRoute használatával, az ExpressRoute Global Reach kell kommunikálni egymással.Branches that are connected to Azure Virtual WAN using ExpressRoute require the ExpressRoute Global Reach to communicate with each other.

Ebben a modellben minden olyan ág, amely a ExpressRoute használatával csatlakozik a virtuális WAN-hubhoz, a virtuális hálózatok a VNet útvonalon keresztül csatlakozhat.In this model, each branch that is connected to the virtual WAN hub using ExpressRoute can connect to VNets using the branch-to-VNet path. Az elágazási forgalom nem kerül át a központba, mert az ExpressRoute Global Reach az Azure WAN-on keresztüli optimális elérési utat tesz lehetővé.Branch-to-branch traffic won't transit the hub because ExpressRoute Global Reach enables a more optimal path over Azure WAN.

Ág – ág (b) és ág – ág közötti régió (f)Branch-to-branch (b) and Branch-to-Branch cross-region (f)

Az ágak ExpressRoute áramkörök és/vagy helyek közötti VPN-kapcsolatok használatával csatlakoztathatók egy Azure-beli virtuális WAN-hubhoz.Branches can be connected to an Azure virtual WAN hub using ExpressRoute circuits and/or site-to-site VPN connections. Az ágakat csatlakoztathatja a virtuális WAN-hubhoz, amely az ág legközelebb eső régiójában található.You can connect the branches to the virtual WAN hub that is in the region closest to the branch.

Ez a beállítás lehetővé teszi, hogy a vállalatok az Azure gerincet használják az ágak összekapcsolásához.This option lets enterprises leverage the Azure backbone to connect branches. Bár ez a funkció elérhető, érdemes mérlegelni a fiókirodák Azure-beli virtuális WAN-kapcsolaton keresztül történő csatlakoztatásának előnyeit, valamint a privát WAN használatát.However, even though this capability is available, you should weigh the benefits of connecting branches over Azure Virtual WAN vs. using a private WAN.

Megjegyzés

Ág – ág kapcsolat letiltása a virtuális WAN-ban – a virtuális WAN konfigurálható a fiókirodák közötti kapcsolat letiltására.Disabling Branch-to-Branch Connectivity in Virtual WAN - Virtual WAN can be configured to disable Branch-to-Branch connectivity. Ez a configuation letiltja a VPN (S2S és P2S) és az Express Route Connected-helyek közötti továbbítást.This configuation will block route propagation between VPN (S2S and P2S) and Express Route connected sites. Ez a konfiguráció nem befolyásolja a vnet és a vnet-vnet útvonalat, valamint a kapcsolódást.This configuration will not affect branch-to-Vnet and Vnet-to-Vnet route propogation and connectivity. A beállítás konfigurálása az Azure Portal használatával: a virtuális WAN konfigurálása menüben válassza a beállítás: ág-ág-Letiltva lehetőséget.To configure this setting using Azure Portal: Under Virtual WAN Configuration menu, Choose Setting: Branch-to-Branch - Disabled.

Távoli felhasználó – VNet (c)Remote User-to-VNet (c)

Engedélyezheti a közvetlen, biztonságos távoli hozzáférést az Azure-hoz pont – hely kapcsolat használatával egy távoli felhasználói ügyfélről egy virtuális WAN-ra.You can enable direct, secure remote access to Azure using point-to-site connection from a remote user client to a virtual WAN. A vállalati távoli felhasználóknak már nem kell hajtű a felhőbe a vállalati VPN használatával.Enterprise remote users no longer have to hairpin to the cloud using a corporate VPN.

Távoli felhasználó – ág (d)Remote User-to-branch (d)

A távoli felhasználó – ág elérési út lehetővé teszi, hogy a távoli felhasználók, akik pont – hely kapcsolattal csatlakoznak az Azure-hoz a helyszíni számítási feladatokhoz és alkalmazásokhoz a felhőn keresztül történő átvitelsel.The Remote User-to-branch path lets remote users who are using a point-to-site connection to Azure access on-premises workloads and applications by transiting through the cloud. Ez az elérési út biztosítja a távoli felhasználók számára a rugalmasságot az Azure-ban és a helyszínen üzembe helyezett munkaterhelések eléréséhez.This path gives remote users the flexibility to access workloads that are both deployed in Azure and on-premises. A vállalatok engedélyezhetik a központi felhőalapú biztonságos távelérés szolgáltatást az Azure Virtual WAN-ban.Enterprises can enable central cloud-based secure remote access service in Azure Virtual WAN.

VNet – VNet tranzit (e) és VNet – VNet régió (h)VNet-to-VNet transit (e) and VNet-to-VNet cross-region (h)

A VNet – VNet tranzit lehetővé teszi, hogy a virtuális hálózatok a több virtuális hálózatok-ben megvalósított többrétegű alkalmazások összekapcsolásához csatlakozhasson egymáshoz.The VNet-to-VNet transit enables VNets to connect to each other in order to interconnect multi-tier applications that are implemented across multiple VNets. A virtuális hálózatok egymással is összekapcsolhatók a VNet-közvetítéssel, és ez olyan esetekben lehet megfelelő, amikor az VWAN hub-on keresztül történő átvitel nem szükséges.Optionally, you can connect VNets to each other through VNet Peering and this may be suitable for some scenarios where transit via the VWAN hub is not necessary.

Kényszerített bújtatás és alapértelmezett útvonal az Azure Virtual WAN-banForce Tunneling and Default Route in Azure Virtual WAN

A kényszerített bújtatás engedélyezéséhez konfigurálja az alapértelmezett útvonal engedélyezése VPN-, ExpressRoute-vagy Virtual Network-kapcsolaton a virtuális WAN-ban beállítást.Force Tunneling can be enabled by configuring the enable default route on a VPN, ExpressRoute, or Virtual Network connection in Virtual WAN.

Egy virtuális központ propagál egy megtanult alapértelmezett útvonalat egy virtuális hálózat/helyek közötti VPN/ExpressRoute kapcsolathoz, ha az alapértelmezett jelző engedélyezése beállítás engedélyezve van a kapcsolaton.A virtual hub propagates a learned default route to a virtual network/site-to-site VPN/ExpressRoute connection if enable default flag is 'Enabled' on the connection.

Ez a jelző akkor látható, ha a felhasználó szerkeszt egy virtuális hálózati kapcsolat, egy VPN-kapcsolat vagy egy ExpressRoute-kapcsolat.This flag is visible when the user edits a virtual network connection, a VPN connection, or an ExpressRoute connection. Alapértelmezés szerint ez a jelző le van tiltva, ha egy hely vagy egy ExpressRoute áramkör egy hubhoz van csatlakoztatva.By default, this flag is disabled when a site or an ExpressRoute circuit is connected to a hub. Alapértelmezés szerint engedélyezve van, ha egy virtuális hálózati kapcsolat hozzáadásával csatlakozik egy VNet egy virtuális hubhoz.It is enabled by default when a virtual network connection is added to connect a VNet to a virtual hub. Az alapértelmezett útvonal nem a virtuális WAN-hubhoz származik; a rendszer az alapértelmezett útvonalat propagálja, ha a virtuális WAN-központ már megtanulta a tűzfal központi telepítésének eredményeképpen, vagy ha egy másik csatlakoztatott hely kényszerített bújtatást engedélyez.The default route does not originate in the Virtual WAN hub; the default route is propagated if it is already learned by the Virtual WAN hub as a result of deploying a firewall in the hub, or if another connected site has forced-tunneling enabled.

Biztonság és házirend-vezérlésSecurity and policy control

Az Azure Virtual WAN-hubok összekötik az összes hálózati végpontot a hibrid hálózaton, és lehetséges, hogy az összes átviteli hálózati forgalom megjelenik.The Azure Virtual WAN hubs interconnect all the networking end points across the hybrid network and potentially see all transit network traffic. A virtuális WAN-hubok biztonságos virtuális hubokba alakíthatók, ha a Azure Firewallt a VWAN-hubokon belül telepíti, hogy engedélyezze a felhőalapú biztonságot, a hozzáférést és a házirend-vezérlést.Virtual WAN hubs can be converted to Secured Virtual Hubs by deploying the Azure Firewall inside VWAN hubs to enable cloud-based security, access, and policy control. A virtuális WAN-hubokban található Azure-tűzfalak összehangolása a Azure Firewall Manager által végezhető el.Orchestration of Azure Firewalls in virtual WAN hubs can be performed by Azure Firewall Manager.

A Azure Firewall Manager biztosítja a globális átviteli hálózatok biztonságának kezeléséhez és méretezéséhez szükséges képességeket.Azure Firewall Manager provides the capabilities to manage and scale security for global transit networks. A Azure Firewall Manager lehetővé teszi, hogy központilag kezelhesse az útválasztást, a globális házirendek felügyeletét, a speciális internetes biztonsági szolgáltatásokat harmadik felekkel, valamint a Azure Firewall.Azure Firewall Manager provides ability to centrally manage routing, global policy management, advanced Internet security services via third-party along with the Azure Firewall.

biztonságos virtuális központ Azure Firewall

5. ábra: biztonságos virtuális központ Azure FirewallFigure 5: Secured virtual hub with Azure Firewall

Megjegyzés

Az Inter-hub tűzfallal való használata jelenleg nem támogatott.Inter-hub with firewall is currently not supported. A hubok közötti forgalom közvetlenül megkerüli a Azure Firewall az egyes csomópontokon.Traffic between hubs will move directly bypassing the Azure Firewall in each hub.

A virtuális WAN Azure Firewall a következő globálisan biztonságos tranzit-csatlakozási útvonalakat támogatja.Azure Firewall to the virtual WAN supports the following global secured transit connectivity paths. A zárójelben lévő betűk az 5. ábrán láthatók.The letters in parentheses map to Figure 5.

  • VNet – VNet biztonságos átvitel (e)VNet-to-VNet secure transit (e)
  • VNet vagy harmadik féltől származó biztonsági szolgáltatás (i)VNet-to-Internet or third-party Security Service (i)
  • Ág – Internet vagy harmadik féltől származó biztonsági szolgáltatás (j)Branch-to-Internet or third-party Security Service (j)

VNet – VNet biztonságos átvitel (e)VNet-to-VNet secured transit (e)

A VNet – VNet biztonságos továbbítás lehetővé teszi, hogy a virtuális hálózatok a virtuális WAN-központban lévő Azure Firewall keresztül kapcsolódjon egymáshoz.The VNet-to-VNet secured transit enables VNets to connect to each other via the Azure Firewall in the virtual WAN hub.

VNet vagy harmadik féltől származó biztonsági szolgáltatás (i)VNet-to-Internet or third-party Security Service (i)

A VNet lehetővé teszi a virtuális hálózatok számára, hogy a virtuális WAN-központban lévő Azure Firewall keresztül kapcsolódjon az internethez.The VNet-to-Internet enables VNets to connect to the internet via the Azure Firewall in the virtual WAN hub. Az internetre irányuló, harmadik féltől származó biztonsági szolgáltatásokon keresztüli adatforgalom nem a Azure Firewallon keresztül áramlik.Traffic to internet via supported third-party security services does not flow through the Azure Firewall. A vnet elérési útját a támogatott külső biztonsági szolgáltatással is konfigurálhatja a Azure Firewall Manager használatával.You can configure Vnet-to-Internet path via supported third-party security service using Azure Firewall Manager.

Ág – Internet vagy harmadik féltől származó biztonsági szolgáltatás (j)Branch-to-Internet or third-party Security Service (j)

Az ág – Internet lehetővé teszi, hogy az ágak az internethez kapcsolódjanak a virtuális WAN-központ Azure Firewallján keresztül.The Branch-to-Internet enables branches to connect to the internet via the Azure Firewall in the virtual WAN hub. Az internetre irányuló, harmadik féltől származó biztonsági szolgáltatásokon keresztüli adatforgalom nem a Azure Firewallon keresztül áramlik.Traffic to internet via supported third-party security services does not flow through the Azure Firewall. A Azure Firewall Manager használatával az ág – Internet elérési utat a támogatott külső biztonsági szolgáltatással is konfigurálhatja.You can configure Branch-to-Internet path via supported third-party security service using Azure Firewall Manager.

Alapértelmezett útvonal (0.0.0.0/0) Hogyan engedélyezése biztonságos virtuális központbanHow do I enable default route (0.0.0.0/0) in a Secured Virtual Hub

A virtuális WAN-központban üzembe helyezett Azure Firewall (biztonságos virtuális központ) alapértelmezett útválasztóként konfigurálható az internethez vagy a megbízható biztonsági szolgáltatóhoz minden olyan ág számára, amely (VPN vagy Express Route használatával csatlakozik), küllős virtuális hálózatok és felhasználók (P2S VPN-en keresztül).Azure Firewall deployed in a Virtual WAN hub (Secure Virtual Hub) can be configured as default router to the Internet or Trusted Security Provider for all branches (connected by VPN or Express Route), spoke Vnets and Users (connected via P2S VPN). Ezt a konfigurációt a Azure Firewall Manager használatával kell elvégezni.This configuration must be done using Azure Firewall Manager. Lásd: forgalom irányítása a központba az ágak (beleértve a felhasználók) és az virtuális hálózatok közötti összes forgalom konfigurálásához a Azure Firewall használatával.See Route Traffic to your hub to configure all traffic from branches (including Users) as well as Vnets to Internet via the Azure Firewall.

Ez egy két lépésből álló konfiguráció:This is a two step configuration:

  1. Konfigurálja az internetes forgalom útválasztását a biztonságos virtuális hub Route Setting menü használatával.Configure Internet traffic routing using Secure Virtual Hub Route Setting menu. Olyan virtuális hálózatok és ágakat konfigurálhat, amelyek a tűzfalon keresztül küldhetnek forgalmat az internetre.Configure Vnets and Branches that can send traffic to the internet via the Firewall.

  2. Konfigurálhatja, hogy mely kapcsolatok (vnet és ág) irányítsák át a forgalmat az internetre (0.0.0.0/0) az Azure FW-ben a hub vagy a megbízható biztonsági szolgáltató használatával.Configure which Connections (Vnet and Branch) can route traffic to the internet (0.0.0.0/0) via the Azure FW in the hub or Trusted Security Provider. Ez a lépés biztosítja, hogy az alapértelmezett útvonal propagálva legyen a kiválasztott ágakra és virtuális hálózatok, amelyek a kapcsolatokon keresztül csatlakoznak a virtuális WAN-hubhoz.This step ensures that the default route is propagated to selected branches and Vnets that are attached to the Virtual WAN hub via the Connections.

A helyszíni tűzfal felé irányuló adatforgalom kényszerítése biztonságos virtuális központbanForce Tunneling Traffic to On-Premises Firewall in a Secured Virtual Hub

Ha a virtuális központ már megtanulta egy alapértelmezett útvonalat (a BGP-n keresztül), akkor ez az alapértelmezett útvonal felülbírálható az Azure Firewall Manager-beállítás által megismert alapértelmezett útvonalon.If there is already a default route learned (via BGP) by the Virtual Hub from one of the Branches (VPN or ER sites), this default route is overridden by the default route learned from Azure Firewall Manager setting. Ebben az esetben az virtuális hálózatok-ből és az internetre irányuló ágakból beérkező összes forgalom a Azure Firewall vagy a megbízható biztonsági szolgáltatóhoz lesz irányítva.In this case, all traffic that is entering the hub from Vnets and branches destined to internet, will be routed to the Azure Firewall or Trusted Security Provider.

Megjegyzés

Jelenleg nincs lehetőség a helyszíni tűzfal vagy a Azure Firewall (és a megbízható biztonsági szolgáltató) kiválasztására a virtuális hálózatok, ágakból vagy felhasználókból származó, interneten keresztül kötött forgalomhoz.Currently there is no option to select on-premises Firewall or Azure Firewall (and Trusted Security Provider) for internet bound traffic originating from Vnets, Branches or Users. Az Azure Firewall Manager beállításban megismert alapértelmezett útvonal mindig előnyben részesített az egyik ág által megismert alapértelmezett útvonalon.The default route learned from the Azure Firewall Manager setting is always preferred over the default route learned from one of the branches.

Következő lépésekNext steps

Hozzon létre egy virtuális WAN-kapcsolaton keresztüli kapcsolatokat, és telepítse a Azure Firewallt az VWAN hub (ok) ban.Create a connection using Virtual WAN and Deploy Azure Firewall in VWAN hub(s).