Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Note
Questo articolo si applica agli hub rete WAN virtuale sicuri che usano route statiche per instradare il traffico a Firewall di Azure. Gli scenari di bypass personalizzati non sono supportati quando si utilizza la finalità di routing.
Panoramica dello scenario
Questo modello di progettazione descrive gli scenari in un hub rete WAN virtuale sicuro in cui determinati flussi di traffico ignorano Firewall di Azure ispezione, mentre altri continuano a essere controllati da Firewall di Azure.
Questi scenari sono utili quando è necessario selezionare il traffico tra due reti virtuali o tra reti virtuali locali e specifiche, per instradare direttamente anziché attraversare Firewall di Azure.
Ispezione selettiva da rete virtuale a rete virtuale
Questo modello di progettazione consente alle reti virtuali attendibili di comunicare direttamente, mentre tutto il traffico tra rami e reti virtuali non attendibili viene instradato attraverso Firewall di Azure.
Diagramma di rete
Nel diagramma precedente le reti virtuali sono suddivise in due tipi:
- Reti virtuali attendibili: le reti virtuali attendibili fanno parte di un dominio che può comunicare direttamente.
- Reti virtuali non attendibili: il traffico all'interno del dominio non attendibile e il traffico tra i domini attendibili e non attendibili richiede l'ispezione con Firewall di Azure.
Flussi di traffico
| origine | Reti virtuali attendibili | Reti virtuali non attendibili | Filiali |
|---|---|---|---|
| Reti virtuali attendibili | Diretto tramite router hub della rete WAN virtuale | Tramite Firewall di Azure | Tramite Firewall di Azure |
| Reti virtuali non attendibili | Tramite Firewall di Azure | Tramite Firewall di Azure | Tramite Firewall di Azure |
| Filiali | Tramite Firewall di Azure | Tramite Firewall di Azure | Diretto |
Configuration
Tabelle di route rete WAN virtuale
| Nome della tabella di routing | Connessioni associate | Reasoning |
|---|---|---|
| defaultRouteTable | Rami e reti virtuali non attendibili | Usato dalle connessioni per inoltrare il traffico a Firewall di Azure, incluso il traffico di succursale e tutto il traffico da o verso reti virtuali non attendibili. Nessuna connessione viene propagata a questa tabella di routing per garantire che il traffico venga controllato da Firewall di Azure. |
| trustedRouteTable | Reti virtuali attendibili | Usato per mantenere le reti virtuali attendibili in una tabella di route separata, indirizzare direttamente il traffico tra attendibili e bypassare l'ispezione del firewall Azure. |
Configurazione del routing della rete WAN virtuale
| Connessione | Tabella di route associata | Tabella di route propagata | Reasoning |
|---|---|---|---|
| Reti virtuali attendibili | trustedRouteTable | trustedRouteTable | Le reti virtuali attendibili si associano e propagano alle tabelle di route dedicate, in modo che il traffico tra reti attendibili possa bypassare Firewall di Azure. |
| Reti virtuali non attendibili | defaultRouteTable | noneRouteTable | Le reti virtuali non attendibili possono essere raggiunte solo tramite Firewall di Azure. |
| Filiali | defaultRouteTable | noneRouteTable | Il traffico di succursale deve essere instradato tramite Firewall di Azure. |
Route statiche
| Tabella di route | Prefisso indirizzo | Hop successivo | Reasoning |
|---|---|---|---|
| trustedRouteTable | 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Firewall di Azure | La rete WAN virtuale pubblicizza gli intervalli delle reti virtuali attendibili ad altre reti virtuali attendibili (consentendo il bypass del firewall). Tutto l'altro traffico viene instradato tramite Firewall di Azure. |
| defaultRouteTable | 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Firewall di Azure | Tutte le reti virtuali di succursale e non attendibili usano route statiche per instradare tutto il traffico a Firewall di Azure per l'ispezione. |
Ispezione selettiva da on-premises alla rete virtuale
Questo modello di progettazione si basa sulla progettazione precedente consentendo ai rami di accedere direttamente alle reti virtuali attendibili. Tutti gli altri modelli di traffico rimangono invariati.
Diagramma di rete
Come in precedenza, le reti virtuali vengono suddivise in due tipi:
- Reti virtuali attendibili: le reti virtuali attendibili fanno parte di un dominio con cui le connessioni locali possono comunicare direttamente.
- Reti virtuali non attendibili: il traffico da locale a reti virtuali non attendibili richiede l'ispezione con Firewall di Azure.
Flussi di traffico
Note
Poiché tutte le connessioni locali devono essere associate e propagate alle stesse tabelle di route, tutte le connessioni locali devono inviare traffico a reti virtuali attendibili o non attendibili tramite lo stesso percorso di routing. La personalizzazione del traffico a livello di connessione locale non è supportata.
| origine | Reti virtuali attendibili | Reti virtuali non attendibili | Filiali |
|---|---|---|---|
| Reti virtuali attendibili | Diretto tramite router hub della rete WAN virtuale | Tramite Firewall di Azure | Diretto |
| Reti virtuali non attendibili | Tramite Firewall di Azure | Tramite Firewall di Azure | Tramite Firewall di Azure |
| Filiali | Instrada tramite il router hub di rete WAN virtuale verso reti virtuali attendibili, altrimenti tramite Firewall di Azure | Tramite Firewall di Azure | Diretto |
Configuration
Tabelle di route rete WAN virtuale
| Nome della tabella di routing | Connessioni associate | Reasoning |
|---|---|---|
| defaultRouteTable | Rami e reti virtuali non attendibili | Usato dalle connessioni che devono inoltrare il traffico a Firewall di Azure, incluso il traffico di succursale verso reti virtuali non attendibili e tutto il traffico da o verso reti virtuali non attendibili. |
| trustedRouteTable | Reti virtuali attendibili | Usato dalle reti virtuali attendibili per inoltrare il traffico direttamente ad altre reti virtuali attendibili e in locale. |
Configurazione del routing della rete WAN virtuale
| Connessione | Tabella di route associata | Tabella di route propagata | Reasoning |
|---|---|---|---|
| Reti virtuali attendibili | trustedRouteTable | tabella di instradamento fidata, tabella di instradamento predefinita | Le reti virtuali attendibili si associano e si propagano a una tabella di routing attendibile in modo che le reti virtuali attendibili possano comunicare direttamente. Le reti virtuali attendibili vengono propagate anche a defaultRouteTable in modo che i rami possano raggiungere direttamente reti virtuali attendibili. |
| Reti virtuali non attendibili | defaultRouteTable | noneRouteTable | Le reti virtuali non attendibili possono essere raggiunte solo tramite Firewall di Azure. |
| Rami selezionati | defaultRouteTable | tabella di instradamento fidata, tabella di instradamento predefinita | Le connessioni di ramo devono essere associate a defaultRouteTable. I rami si propagano alla tabella di route attendibile in modo che il traffica aggiri il Firewall di Azure. |
Route statiche
| Tabella di route | Prefisso indirizzo | Hop successivo | Reasoning |
|---|---|---|---|
| trustedRouteTable | 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Firewall di Azure | La rete WAN virtuale annuncia route più specifiche per i prefissi attendibili di rete virtuale e on-premises verso spoke attendibili. Tutto l'altro traffico viene instradato a Firewall di Azure usando route statiche. |
| defaultRouteTable | 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Firewall di Azure | Tutto il traffico per le reti virtuali non attendibili e la connettività delle filiali non bypassate viene instradato ad Firewall di Azure per l'ispezione. |