Scenario: Azure Firewall - aangepast
Wanneer u werkt met Virtual WAN virtuele hubroutering, zijn er een groot aantal beschikbare scenario's. In dit scenario is het doel om verkeer rechtstreeks tussen VNets te leiden, maar Azure Firewall te gebruiken voor VNet-naar-internet/branch- en vertakking-naar-VNet-verkeersstromen.
Ontwerp
Als u wilt weten hoeveel routetabellen er nodig zijn, kunt u een connectiviteitsmatrix maken, waarbij elke cel vertegenwoordigt of een bron (rij) kan communiceren met een bestemming (kolom). De connectiviteitsmatrix in dit scenario is eenvoudig, maar consistent met andere scenario's kunnen we er nog steeds naar kijken.
Connectiviteitsmatrix
| Van | Aan: | VNets | Vertakkingen | Internet |
|---|---|---|---|---|
| VNets | → | Direct | AzFW | AzFW |
| Vertakkingen | → | AzFW | Direct | Direct |
In de vorige tabel vertegenwoordigt 'Direct' directe connectiviteit tussen twee verbindingen zonder dat het verkeer de Azure Firewall in Virtual WAN doorkruist, en 'AzFW' geeft aan dat de stroom via de Azure Firewall. Omdat er twee verschillende connectiviteitspatronen in de matrix zijn, hebben we twee routetabellen nodig die als volgt worden geconfigureerd:
- Virtuele netwerken:
- Gekoppelde routetabel: RT_VNet
- Doorgeven aan routetabellen: RT_VNet
- Takken:
- Gekoppelde routetabel: standaard
- Doorgeven aan routetabellen: standaard
Notitie
U kunt een afzonderlijk Virtual WAN-exemplaar maken met één beveiligde virtuele hub in elke regio. Vervolgens kunt u elke Virtual WAN met elkaar verbinden via site-naar-site-VPN.
Zie About virtual hub routing (Virtuele hubroutering) voor meer informatie over routering van virtuele hubs.
Werkstroom
In dit scenario wilt u verkeer om leiden via de Azure Firewall voor VNet-naar-internet-, VNet-naar-vertakking- of vertakking-naar-VNet-verkeer, maar u wilt direct voor VNet-naar-VNet-verkeer gaan. Als u een Azure Firewall Manager, worden de route-instellingen automatisch ingevuld in de standaardroutetabel. Privéverkeer is van toepassing op VNet en vertakkingen. Internetverkeer is van toepassing op 0.0.0.0/0.
VPN-, ExpressRoute- en Gebruikers-VPN-verbindingen worden gezamenlijk Vertakkingen genoemd en zijn aan dezelfde (standaard)routetabel te koppelen. Alle VPN-, ExpressRoute- en Gebruikers-VPN-verbindingen geven routes door aan dezelfde set routetabellen. Als u dit scenario wilt configureren, moet u rekening houden met de volgende stappen:
Maak een aangepaste routetabel RT_VNet.
Maak een route om VNet-naar-internet en VNet-naar-vertakking te activeren: 0.0.0.0/0 met de volgende hop die naar Azure Firewall. In de sectie Doormelding controleert u of VNets zijn geselecteerd, waardoor specifiekere routes worden gegarandeerd, waardoor een rechtstreekse VNet-naar-VNet-verkeersstroom mogelijk is.
- In Verband: selecteer VNets die impliceren dat VNets de bestemming bereiken op basis van de routes van deze routetabel.
- In Doormelding: selecteer VNets die impliceren dat de VNets worden doorgegeven aan deze routetabel; Met andere woorden, specifiekere routes worden doorgegeven aan deze routetabel, waardoor een rechtstreekse verkeersstroom tussen VNet en VNet wordt gewaarborgd.
Voeg een geaggregeerde statische route voor VNets toe aan de standaardroutetabel om de stroom Vertakking naar VNet te activeren via de Azure Firewall.
- Vergeet niet dat vertakkingen worden gekoppeld en doorgegeven aan de standaardroutetabel.
- Vertakkingen worden niet doorgegeven aan RT_VNet routetabel. Dit zorgt ervoor dat de VNet-naar-vertakking-verkeersstroom via de Azure Firewall.
Dit resulteert in wijzigingen in de routeringsconfiguratie, zoals wordt weergegeven in afbeelding 1.
Afbeelding 1
Volgende stappen
- Zie de Veelgestelde vragen Virtual WAN meer informatie over de gegevens.
- Zie About virtual hub routing (Virtuele hubroutering) voor meer informatie over routering van virtuele hubs.
- Zie Routering van virtuele hubs configureren voor meer informatie over het configureren van routering van virtuele hubs.