Tentang penerowongan paksa untuk konfigurasi situs-ke-situs

  • Artikel

Artikel ini membantu Anda memahami cara kerja penerowongan paksa untuk koneksi IPsec situs-ke-situs (S2S). Secara default, lalu lintas yang terikat Internet dari beban kerja dan VM Anda dalam jaringan virtual dikirim langsung ke Internet.

Penerowongan paksa memungkinkan Anda mengalihkan atau "memaksa" semua lalu lintas yang terikat Internet kembali ke lokasi lokal Anda melalui terowongan VPN S2S untuk inspeksi dan audit. Ini adalah persyaratan keamanan penting untuk sebagian besar kebijakan IT perusahaan. Akses Internet yang tidak sah dapat berpotensi menyebabkan pengungkapan informasi atau jenis pelanggaran keamanan lainnya.

Contoh berikut menunjukkan semua lalu lintas Internet yang dipaksa melalui gateway VPN kembali ke lokasi lokal untuk inspeksi dan audit.

Diagram shows forced tunneling.

Metode konfigurasi untuk penerowongan paksa

Ada beberapa cara berbeda untuk mengonfigurasi penerowongan paksa.

Mengonfigurasi menggunakan BGP

Anda dapat mengonfigurasi penerowongan paksa untuk VPN Gateway melalui BGP. Anda perlu mengiklankan rute default 0.0.0.0/0 melalui BGP dari lokasi lokal Anda ke Azure sehingga semua lalu lintas Azure Anda dikirim melalui terowongan VPN Gateway S2S.

Mengonfigurasi menggunakan Situs Default

Anda dapat mengonfigurasi penerowongan paksa dengan mengatur Situs Default untuk gateway VPN berbasis rute Anda. Untuk langkah-langkahnya, lihat Penerowongan paksa melalui Situs Default.

  • Anda menetapkan Situs Default untuk gateway jaringan virtual menggunakan PowerShell.
  • Perangkat VPN lokal harus dikonfigurasi menggunakan 0.0.0.0/0 sebagai pemilih lalu lintas.

Merutekan lalu lintas yang terikat Internet untuk subnet tertentu

Secara default, semua lalu lintas yang terikat Internet langsung masuk ke Internet jika Anda tidak memiliki penerowongan paksa yang dikonfigurasi. Saat penerowongan paksa dikonfigurasi, semua lalu lintas yang terikat Internet dikirim ke lokasi lokal Anda.

Dalam beberapa kasus, Anda mungkin ingin lalu lintas yang terikat Internet hanya dari subnet tertentu (tetapi tidak semua subnet) melintasi dari infrastruktur jaringan Azure langsung ke Internet, bukan ke lokasi lokal Anda. Skenario ini dapat dikonfigurasi menggunakan kombinasi penerowongan paksa dan rute yang ditentukan pengguna (UDR) kustom jaringan virtual. Untuk langkah-langkahnya, lihat Merutekan lalu lintas yang terikat Internet untuk subnet tertentu.

Langkah berikutnya