Scenario: Azure Firewall - aangepast
Wanneer u met Virtual WAN virtuele hubroutering werkt, zijn er nogal wat scenario's beschikbaar. In dit scenario is het doel om verkeer rechtstreeks tussen VNets te routeren, maar gebruik Azure Firewall voor VNet-naar-internet-/vertakkings- en vertakking-naar-VNet-verkeersstromen.
Ontwerp
Als u wilt weten hoeveel routetabellen er nodig zijn, kunt u een connectiviteitsmatrix maken, waarbij elke cel aangeeft of een bron (rij) kan communiceren met een doel (kolom). De connectiviteitsmatrix in dit scenario is triviaal, maar als u consistent bent met andere scenario's, kunnen we deze nog steeds bekijken.
Connectiviteitsmatrix
| Van | Aan: | VNets | Vertakkingen | Internet |
|---|---|---|---|---|
| VNets | → | Direct | AzFW | AzFW |
| Vertakkingen | → | AzFW | Direct | Direct |
In de vorige tabel vertegenwoordigt 'Direct' directe connectiviteit tussen twee verbindingen zonder dat het verkeer de Azure Firewall in Virtual WAN doorkruist. 'AzFW' geeft aan dat de stroom via de Azure Firewall gaat. Omdat de matrix twee verschillende verbindingspatronen bevat, hebben we twee routetabellen nodig die als volgt worden geconfigureerd:
- Virtuele netwerken:
- Gekoppelde routetabel: RT_VNet
- Doorgeven aan routetabellen: RT_VNet
- Takken:
- Gekoppelde routetabel: standaard
- Doorgeven aan routetabellen: standaard
Notitie
U kunt een afzonderlijk Virtual WAN-exemplaar maken met één beveiligde virtuele hub in elke regio en vervolgens kunt u elke Virtual WAN met elkaar verbinden via site-naar-site-VPN.
Zie Over routering van virtuele hubs voor informatie over routering van virtuele hubs.
Werkstroom
In dit scenario wilt u verkeer routeren via de Azure Firewall voor VNet-naar-internet-, VNet-naar-vertakkings- of vertakking-naar-VNet-verkeer, maar wilt u rechtstreeks VNet-naar-VNet-verkeer gebruiken. Als u Azure Firewall Manager hebt gebruikt, worden de route-instellingen automatisch ingevuld in de standaardroutetabel. Privéverkeer is van toepassing op VNet en branches, internetverkeer is van toepassing op 0.0.0.0/0.
VPN-, ExpressRoute- en gebruikers-VPN-verbindingen worden gezamenlijk Vertakkingen genoemd en worden gekoppeld aan dezelfde (standaard) routetabel. Alle VPN-, ExpressRoute- en Gebruikers-VPN-verbindingen geven routes door aan dezelfde set routetabellen. Als u dit scenario wilt configureren, moet u rekening houden met de volgende stappen:
Maak een aangepaste routetabel RT_VNet.
Maak een route om VNet-to-Internet en VNet-to-Branch te activeren: 0.0.0.0/0 met de volgende hop die naar Azure Firewall wijst. In de sectie Doorgifte zorgt u ervoor dat VNets zijn geselecteerd die zorgen voor specifiekere routes, waardoor een directe verkeersstroom van VNet-naar-VNet mogelijk wordt.
- In koppeling: selecteer VNets die impliceren dat VNets het doel bereiken volgens de routes van deze routetabel.
- In Doorgifte: selecteer VNets die impliceren dat de VNets worden doorgegeven aan deze routetabel; met andere woorden, specifiekere routes worden doorgegeven aan deze routetabel, waardoor een directe verkeersstroom tussen VNet en VNet wordt gegarandeerd.
Voeg een geaggregeerde statische route voor VNets toe aan de tabel Standaardroute om de vertakkings-naar-VNet-stroom te activeren via de Azure Firewall.
- Houd er rekening mee dat vertakkingen zijn gekoppeld en worden doorgegeven aan de standaardrouteringstabel.
- Vertakkingen worden niet doorgegeven aan RT_VNet routetabel. Dit zorgt ervoor dat het VNet-naar-branch-verkeer stroomt via de Azure Firewall.
Dit resulteert in wijzigingen in de routeringsconfiguratie, zoals weergegeven in afbeelding 1.
Afbeelding 1
Volgende stappen
- Zie de veelgestelde vragen voor meer informatie over Virtual WAN.
- Zie Over routering van virtuele hubs voor meer informatie over routering van virtuele hubs.
- Zie Routering van virtuele hubs configureren voor meer informatie over het configureren van routering van virtuele hubs.