Scenario: Azure Firewall – anpassad
När du arbetar Virtual WAN routning av virtuella hubbar finns det ganska många tillgängliga scenarier. I det här scenariot är målet att dirigera trafik mellan virtuella nätverk direkt, men använda Azure Firewall för VNet-till-Internet/Branch- och Branch-to-VNet-trafikflöden.
Design
För att ta reda på hur många vägtabeller som behövs kan du skapa en anslutningsmatris där varje cell representerar om en källa (rad) kan kommunicera med ett mål (kolumn). Anslutningsmatrisen i det här scenariot är enkel, men var konsekvent med andra scenarier, vi kan fortfarande titta på den.
Anslutningsmatris
| Från | Till: | Virtuella nätverk | Grenar | Internet |
|---|---|---|---|---|
| Virtuella nätverk | → | Direct | AzFW | AzFW |
| Grenar | → | AzFW | Direct | Direct |
I föregående tabell representerar en "Direkt" direktanslutning mellan två anslutningar utan att trafiken passerar Azure Firewall i Virtual WAN och "AzFW" anger att flödet går genom Azure Firewall. Eftersom det finns två distinkta anslutningsmönster i matrisen behöver vi två vägtabeller som ska konfigureras på följande sätt:
- Virtuella nätverk:
- Associerad vägtabell: RT_VNet
- Spridning till flödestabeller: RT_VNet
- Grenar:
- Associerad vägtabell: Standard
- Spridning till vägtabeller: Standard
Anteckning
Du kan skapa en separat Virtual WAN-instans med en enda säker virtuell hubb i varje region och sedan ansluta varje Virtual WAN till varandra via VPN för plats till plats.
Information om routning av virtuella hubbar finns i Om routning av virtuella hubbar.
Arbetsflöde
I det här scenariot vill du dirigera trafik via Azure Firewall för VNet-till-Internet-, VNet-till-Branch- eller Branch-to-VNet-trafik, men vill gå direkt för VNet-till-VNet-trafik. Om du använde Azure Firewall Manager fylls väginställningarna i automatiskt i standardvägtabellen. Privat trafik gäller för VNet och grenar. Internettrafik gäller för 0.0.0.0/0.
VPN-, ExpressRoute- och Användar-VPN-anslutningar kallas gemensamt grenar och associeras med samma (standard) vägtabell. Alla VPN-, ExpressRoute- och Användar-VPN-anslutningar sprider vägar till samma uppsättning vägtabeller. Överväg följande steg för att konfigurera det här scenariot:
Skapa en anpassad vägtabell RT_VNet.
Skapa en väg för att aktivera VNet-till-Internet och VNet-to-Branch: 0.0.0.0/0 med nästa hopp som pekar på Azure Firewall. I avsnittet Spridning ser du till att virtuella nätverk är markerade, vilket säkerställer mer specifika vägar, vilket gör att trafikflödet mellan virtuella nätverk tillåts.
- I Association: Välj VNets som innebär att VNets kommer att nå målet enligt vägarna i den här vägtabellen.
- I Spridning: Välj virtuella nätverk som innebär att de virtuella nätverken sprids till den här vägtabellen. Med andra ord kommer mer specifika vägar att spridas till den här vägtabellen, vilket säkerställer direkt trafikflödet mellan VNet till VNet.
Lägg till en aggregerad statisk väg för virtuella nätverk i standardrabeltabellen för att aktivera flödet gren-till-VNet via Azure Firewall.
- Kom ihåg att grenar är associerade och sprids till standardvägtabellen.
- Grenar sprids inte till RT_VNet vägtabellen. Detta säkerställer trafikflödet mellan virtuella nätverk via Azure Firewall.
Detta resulterar i att routningskonfigurationen ändras enligt bild 1.
Bild 1
Nästa steg
- Mer information om hur Virtual WAN finns i Vanliga frågor och svar.
- Mer information om routning av virtuella hubbar finns i Om routning av virtuella hubbar.
- Mer information om hur du konfigurerar routning av virtuella hubbar finns i Så här konfigurerar du routning av virtuella hubbar.