Om tvingad tunneltrafik för plats-till-plats-konfigurationer

  • Artikel

Den här artikeln hjälper dig att förstå hur tvingad tunneltrafik fungerar för IPsec-anslutningar (plats-till-plats) (S2S). Som standard skickas Internetbunden trafik från dina arbetsbelastningar och virtuella datorer i ett virtuellt nätverk direkt till Internet.

Med tvingad tunneltrafik kan du omdirigera eller "tvinga" all Internetbunden trafik tillbaka till din lokala plats via S2S VPN-tunnel för inspektion och granskning. Detta är ett kritiskt säkerhetskrav för de flesta it-principer för företag. Obehörig Internetåtkomst kan potentiellt leda till avslöjande av information eller andra typer av säkerhetsöverträdelser.

I följande exempel visas all Internettrafik som tvingas via VPN-gatewayen tillbaka till den lokala platsen för inspektion och granskning.

Diagram shows forced tunneling.

Konfigurationsmetoder för tvingad tunneltrafik

Det finns några olika sätt som du kan konfigurera tvingad tunneltrafik på.

Konfigurera med BGP

Du kan konfigurera tvingad tunneltrafik för VPN Gateway via BGP. Du måste annonsera en standardväg på 0.0.0.0/0 via BGP från din lokala plats till Azure så att all Azure-trafik skickas via VPN Gateway S2S-tunneln.

Konfigurera med standardwebbplats

Du kan konfigurera tvingad tunneltrafik genom att ange standardwebbplatsen för din routningsbaserade VPN Gateway. Anvisningar finns i Tvingad tunneltrafik via standardwebbplatsen.

  • Du tilldelar en standardplats för den virtuella nätverksgatewayen med hjälp av PowerShell.
  • Den lokala VPN-enheten måste konfigureras genom att använda 0.0.0.0/0 som trafikväljare.

Routning av Internetbunden trafik för specifika undernät

Som standard går all Internetbunden trafik direkt till Internet om du inte har konfigurerat tvingad tunneltrafik. När tvingad tunneltrafik har konfigurerats skickas all Internetbunden trafik till din lokala plats.

I vissa fall kanske du bara vill att Internetbunden trafik från vissa undernät (men inte alla undernät) ska passera från Azure-nätverksinfrastrukturen direkt ut till Internet i stället för till din lokala plats. Det här scenariot kan konfigureras med hjälp av en kombination av tvingad tunneltrafik och anpassade användardefinierade vägar för virtuella nätverk (UDR). Anvisningar finns i Dirigera Internetbunden trafik för specifika undernät.

Nästa steg