Geforceerde tunneling met het klassieke implementatiemodel configureren

Met geforceerde tunneling kunt u alle voor internet bestemde verkeer geforceerd terugsturen naar uw on-premises locatie via een site-naar-site-VPN-tunnel voor inspectie en controle. Dit is een essentiële beveiligingsvereiste voor de meeste IT-beleidsregels van bedrijven. Zonder geforceerd tunnelen gaat internetverkeer van uw VM's in Azure altijd rechtstreeks van de Azure-netwerkinfrastructuur naar internet, zonder de optie om het verkeer te inspecteren of te controleren. Onbevoegde internettoegang kan leiden tot openbaarmaking van informatie of andere soorten beveiligingsschending.

Azure werkt momenteel in combinatie met twee implementatiemodellen: Resource Manager en klassiek. De twee modellen zijn niet volledig compatibel met elkaar. Voordat u begint, moet u bepalen met welk model u wilt werken. Zie Implementatiemodellen begrijpen voor meer informatie over de implementatiemodellen. Als u niet bekend bent met Azure, raden we u aan het Resource Manager-implementatiemodel te gebruiken.

In dit artikel wordt beschreven hoe u geforceerd tunneling configureert voor virtuele netwerken die zijn gemaakt met behulp van het klassieke implementatiemodel. Geforceerd tunnelen kan worden geconfigureerd met behulp van PowerShell, niet via de portal. Als u geforceerd tunneling wilt configureren voor het Resource Manager-implementatiemodel,selecteert u Resource Manager artikel in de volgende vervolgkeuzelijst:

Vereisten en overwegingen

Geforceerd tunnelen in Azure wordt geconfigureerd via door de gebruiker gedefinieerde routes (UDR) van een virtueel netwerk. Het omleiden van verkeer naar een on-premises site wordt uitgedrukt als een standaardroute naar de Azure VPN-gateway. In de volgende sectie vindt u de huidige beperking van de routeringstabel en routes voor een Azure-Virtual Network:

• Elk subnet van een virtueel netwerk heeft een ingebouwde tabel voor systeemroutering. De tabel voor systeemroutering heeft de volgende drie groepen routes:

  • Lokale VNet-routes: Rechtstreeks naar de doel-VM's in hetzelfde virtuele netwerk.
  • On-premises routes: Naar de Azure VPN-gateway.
  • Standaardroute: Rechtstreeks naar internet. Pakketten die bestemd zijn voor de privé-IP-adressen die niet onder de vorige twee routes vallen, worden uit de doos getrokken.

• Met de release van door de gebruiker gedefinieerde routes kunt u een routeringstabel maken om een standaardroute toe te voegen en vervolgens de routeringstabel koppelen aan uw VNet-subnetten om geforceerd tunnelen in die subnetten mogelijk te maken.

• U moet een 'standaardsite' instellen tussen de cross-premises lokale sites die zijn verbonden met het virtuele netwerk.

• Geforceerd tunnelen moet worden gekoppeld aan een VNet met een VPN-gateway voor dynamische routering (geen statische gateway).

• ExpressRoute geforceerd tunnelen is niet geconfigureerd via dit mechanisme, maar wordt in plaats daarvan ingeschakeld door een standaardroute te adverteren via de ExpressRoute BGP-peeringsessies. Zie Wat is ExpressRoute? voor meer informatie.

Configuratieoverzicht

In het volgende voorbeeld wordt het subnet Frontend niet geforceerd getunneld. De workloads in het subnet Front-end kunnen rechtstreeks van internet aanvragen van klanten blijven accepteren en hierop reageren. De subnetten Mid-tier en Back-end worden geforceerd getunneld. Uitgaande verbindingen van deze twee subnetten naar internet worden geforceerd of teruggeleid naar een on-premises site via een van de S2S VPN-tunnels.

Hiermee kunt u de toegang tot internet beperken en inspecteren vanaf uw virtuele machines of cloudservices in Azure, terwijl u uw servicearchitectuur met meerdere lagen blijft inschakelen. U kunt ook geforceerd tunnelen toepassen op de hele virtuele netwerken als uw virtuele netwerken geen internetbelastingen hebben.

Vereisten

Controleer of u beschikt over de volgende items voordat u begint met de configuratie:

• Een Azure-abonnement. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.
• Een geconfigureerd virtueel netwerk.
• Wanneer u werkt met het klassieke implementatie model, kunt u Azure Cloud Shell niet gebruiken. In plaats daarvan moet u de nieuwste versie van de Power shell-cmdlets voor Azure Service Management (SM) lokaal op uw computer installeren. Deze cmdlets verschillen van de AzureRM-of AZ-cmdlets. Zie Service Management-cmdlets installerenom de SM-cmdlets te installeren. Zie de Azure PowerShell documentatievoor meer informatie over Azure PowerShell in het algemeen.

Geforceerde tunneling configureren

De volgende procedure helpt u bij het opgeven van geforceerd tunnelen voor een virtueel netwerk. De configuratiestappen komen overeen met het VNet-netwerkconfiguratiebestand. In dit voorbeeld heeft het virtuele netwerk MultiTier-VNet drie subnetten: 'Frontend', 'Midtier' en 'Backend'-subnetten, met vier cross-premises verbindingen: 'DefaultSiteHQ' en drie vertakkingen.

<VirtualNetworkSite name="MultiTier-VNet" Location="North Europe">
     <AddressSpace>
      <AddressPrefix>10.1.0.0/16</AddressPrefix>
        </AddressSpace>
        <Subnets>
          <Subnet name="Frontend">
            <AddressPrefix>10.1.0.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="Midtier">
            <AddressPrefix>10.1.1.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="Backend">
            <AddressPrefix>10.1.2.0/23</AddressPrefix>
          </Subnet>
          <Subnet name="GatewaySubnet">
            <AddressPrefix>10.1.200.0/28</AddressPrefix>
          </Subnet>
        </Subnets>
        <Gateway>
          <ConnectionsToLocalNetwork>
            <LocalNetworkSiteRef name="DefaultSiteHQ">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch1">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch2">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch3">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
        </Gateway>
      </VirtualNetworkSite>
    </VirtualNetworkSite>

Met de volgende stappen wordt 'DefaultSiteHQ' ingesteld als de standaardsiteverbinding voor geforceerd tunnelen en worden de subnetten Midtier en Backend geconfigureerd voor het gebruik van geforceerd tunnelen.

1. Open uw PowerShell-console met verhoogde rechten. Verbinding maken aan uw account toe met behulp van het volgende voorbeeld:

   Add-AzureAccount
   

2. Maak een routeringstabel. Gebruik de volgende cmdlet om uw routetabel te maken.

   New-AzureRouteTable –Name "MyRouteTable" –Label "Routing Table for Forced Tunneling" –Location "North Europe"
   

3. Voeg een standaardroute toe aan de routeringstabel.

   In het volgende voorbeeld wordt een standaardroute toegevoegd aan de routeringstabel die in stap 1 is gemaakt. De enige route die wordt ondersteund, is het doel voorvoegsel '0.0.0.0/0' naar de 'VPNGateway' NextHop.

   Get-AzureRouteTable -Name "MyRouteTable" | Set-AzureRoute –RouteTable "MyRouteTable" –RouteName "DefaultRoute" –AddressPrefix "0.0.0.0/0" –NextHopType VPNGateway
   

4. Koppel de routeringstabel aan de subnetten.

   Nadat een routeringstabel is gemaakt en er een route is toegevoegd, gebruikt u het volgende voorbeeld om de routetabel toe te voegen aan of te koppelen aan een VNet-subnet. In het voorbeeld wordt de routetabel MyRouteTable toegevoegd aan de subnetten Midtier en Backend van VNet MultiTier-VNet.

   Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Midtier" -RouteTableName "MyRouteTable"
   Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Backend" -RouteTableName "MyRouteTable"
   

5. Wijs een standaardsite toe voor geforceerd tunnelen.

   In de vorige stap hebben de voorbeeld-cmdlet-scripts de routeringstabel gemaakt en de routetabel gekoppeld aan twee van de VNet-subnetten. De resterende stap is het selecteren van een lokale site in de multi-site-verbindingen van het virtuele netwerk als de standaardsite of tunnel.

   $DefaultSite = @("DefaultSiteHQ")
   Set-AzureVNetGatewayDefaultSite –VNetName "MultiTier-VNet" –DefaultSite "DefaultSiteHQ"
   

Aanvullende PowerShell-cmdlets

Een routetabel verwijderen

Remove-AzureRouteTable -Name <routeTableName>

Een routetabel in een lijst zetten

Get-AzureRouteTable [-Name <routeTableName> [-DetailLevel <detailLevel>]]

Een route uit een routetabel verwijderen

Remove-AzureRouteTable –Name <routeTableName>

Een route uit een subnet verwijderen

Remove-AzureSubnetRouteTable –VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

De routetabel die aan een subnet is gekoppeld, op een lijst zetten

Get-AzureSubnetRouteTable -VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

Een standaardsite verwijderen uit een VNet VPN-gateway

Remove-AzureVnetGatewayDefaultSite -VNetName <virtualNetworkName>