Scenario: Azure Firewall – anpassad
När du arbetar med Virtual WAN routning av virtuella hubbar finns det en hel del tillgängliga scenarier. I det här scenariot är målet att dirigera trafik mellan virtuella nätverk direkt, men använda Azure Firewall för trafikflöden mellan virtuella nätverk/gren-till-VNet.
Design
För att ta reda på hur många routningstabeller som behövs kan du skapa en anslutningsmatris där varje cell representerar om en källa (rad) kan kommunicera med ett mål (kolumn). Anslutningsmatrisen i det här scenariot är trivial, men i enlighet med andra scenarier kan vi fortfarande titta på den.
Anslutningsmatris
| Från | Till: | Virtuella nätverk | Grenar | Internet |
|---|---|---|---|---|
| Virtuella nätverk | → | Direct | AzFW | AzFW |
| Grenar | → | AzFW | Direct | Direct |
I föregående tabell representerar "Direct" direktanslutning mellan två anslutningar utan trafik som passerar Azure Firewall i Virtual WAN, och "AzFW" anger att flödet går igenom Azure Firewall. Eftersom det finns två distinkta anslutningsmönster i matrisen behöver vi två routningstabeller som konfigureras på följande sätt:
- Virtuella nätverk:
- Associerad routningstabell: RT_VNet
- Spridning till routningstabeller: RT_VNet
- Grenar:
- Associerad routningstabell: Standard
- Spridning till routningstabeller: Standard
Anteckning
Du kan skapa en separat Virtual WAN instans med en enda säker virtuell hubb i varje region, och sedan kan du ansluta varje Virtual WAN till varandra via plats-till-plats-VPN.
Information om routning av virtuella hubbar finns i Om routning av virtuell hubb.
Arbetsflöde
I det här scenariot vill du dirigera trafik via Azure Firewall för VNet-till-Internet-, VNet-till-branch- eller branch-till-VNet-trafik, men vill gå direkt för VNet-till-VNet-trafik. Om du använde Azure Firewall Manager fylls väginställningarna automatiskt i standardroutningstabellen. Privat trafik gäller för VNet och grenar, Internettrafik gäller för 0.0.0.0/0.
VPN-, ExpressRoute- och User VPN-anslutningar kallas gemensamt grenar och associeras med samma routningstabell (standard). Alla VPN-, ExpressRoute- och User VPN-anslutningar sprider vägar till samma uppsättning routningstabeller. Ta följande steg i beaktande för att konfigurera det här scenariot:
Skapa en anpassad routningstabell RT_VNet.
Skapa en väg för att aktivera VNet-till-Internet och VNet-to-Branch: 0.0.0.0/0 med nästa hopp som pekar på Azure Firewall. I avsnittet Spridning ser du till att virtuella nätverk har valts, vilket säkerställer mer specifika vägar, vilket tillåter direkttrafikflöde mellan virtuella nätverk.
- I Association: Välj virtuella nätverk som innebär att virtuella nätverk når målet enligt routningstabellens vägar.
- I Spridning: Välj virtuella nätverk som innebär att de virtuella nätverken sprids till den här routningstabellen. Med andra ord sprids mer specifika vägar till den här routningstabellen, vilket säkerställer direkt trafikflöde mellan VNet och VNet.
Lägg till en aggregerad statisk väg för virtuella nätverk i tabellen Standardväg för att aktivera flödet Förgrena till VNet via Azure Firewall.
- Kom ihåg att grenar är associerade och sprids till standardroutningstabellen.
- Grenar sprids inte till RT_VNet routningstabell. Detta säkerställer trafikflödet mellan virtuella nätverk via Azure Firewall.
Detta resulterar i ändringar i routningskonfigurationen enligt bild 1.
Bild 1
Nästa steg
- Mer information om Virtual WAN finns i Vanliga frågor och svar.
- Mer information om routning av virtuella hubbar finns i Om routning av virtuell hubb.
- Mer information om hur du konfigurerar routning för virtuella hubbar finns i Så här konfigurerar du routning för virtuell hubb.