Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Note
Den här artikeln gäller för säkra Virtual WAN hubbar som använder statiska vägar för att dirigera trafik till Azure Firewall. Anpassade förbikopplingsscenarier stöds inte när routingintent används.
Scenarioöversikt
Det här designmönstret beskriver scenarier i en säker Virtual WAN hubb där vissa trafikflöden kringgår Azure Firewall inspektion, medan annan trafik fortsätter att inspekteras av Azure Firewall.
Dessa scenarier är användbara när du behöver vald trafik mellan två virtuella nätverk, eller mellan lokala och specifika virtuella nätverk, för att dirigera direkt i stället för att passera Azure Firewall.
Virtuellt nätverk till virtuellt nätverk selektiv inspektion
Med det här designmönstret kan betrodda virtuella nätverk kommunicera direkt, medan all annan trafik mellan grenar och ej betrodda virtuella nätverk dirigeras via Azure Firewall.
Nätverksdiagram
I diagrammet ovan delas virtuella nätverk upp i två typer:
- Betrodda virtuella nätverk: Betrodda virtuella nätverk är en del av en domän som kan kommunicera direkt.
- Ej betrodda virtuella nätverk: Trafik inom den obetrodda domänen och trafik mellan betrodda och ej betrodda domäner kräver kontroll med Azure Firewall.
Trafikflöden
| Source | Betrodda virtuella nätverk | Ej betrodda virtuella nätverk | Branches |
|---|---|---|---|
| Betrodda virtuella nätverk | Direkt via Virtual WAN-hubrouter | Via Azure Firewall | Via Azure Firewall |
| Ej betrodda virtuella nätverk | Via Azure Firewall | Via Azure Firewall | Via Azure Firewall |
| Branches | Via Azure Firewall | Via Azure Firewall | Via Azure Firewall |
Configuration
Virtual WAN routningstabeller
| Namn på routningstabell | Associerade anslutningar | Reasoning |
|---|---|---|
| standardruttabell | Grenar och ej betrodda virtuella nätverk | Används av anslutningar för att vidarebefordra trafik till Azure Firewall, inklusive grentrafik och all trafik till eller från ej betrodda virtuella nätverk. Inga anslutningar sprids till den här routningstabellen för att säkerställa att trafiken inspekteras av Azure Firewall. |
| trustedRouteTable | Betrodda virtuella nätverk | Används för att behålla betrodda virtuella nätverk i en separat routningstabell, dirigera betrodd till betrodd trafik direkt och kringgå Azure Firewall inspektion. |
Konfiguration av Virtual WAN-routning
| Connection | Associerad routningstabell | Spridd routningstabell | Reasoning |
|---|---|---|---|
| Betrodda virtuella nätverk | trustedRouteTable | trustedRouteTable | Betrodda virtuella nätverk associeras och propagerar till en dedikerad routingtabell så att trafik mellan betrodda nätverk kan gå förbi Azure Firewall. |
| Ej betrodda virtuella nätverk | standardruttabell | IngenRoutetabell | Ej betrodda virtuella nätverk kan bara nås via Azure Firewall. |
| Branches | standardruttabell | IngenRoutetabell | Grentrafik måste dirigeras via Azure Firewall. |
Statiska vägar
| Routningstabell | Adressprefix | Nästa hopp | Reasoning |
|---|---|---|---|
| trustedRouteTable | 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Azure Firewall | Virtual WAN meddelar betrodda nätverksområden till andra betrodda virtuella nätverk (vilket möjliggör förbikoppling av brandvägg). All annan trafik dirigeras via Azure Firewall. |
| standardruttabell | 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Azure Firewall | Alla grennätverk och ej betrodda virtuella nätverk använder statiska vägar för att dirigera all trafik till Azure Firewall för inspektion. |
Selektiv inspektion av lokal infrastruktur till virtuellt nätverk
Det här designmönstret bygger på den tidigare designen genom att ge grenar direkt åtkomst till betrodda virtuella nätverk. Alla andra trafikmönster förblir desamma.
Nätverksdiagram
Precis som tidigare delas virtuella nätverk upp i två typer:
- Betrodda virtuella nätverk: Betrodda virtuella nätverk ingår i en domän som lokala anslutningar kan kommunicera med direkt.
- Ej betrodda virtuella nätverk: Trafik från lokala till ej betrodda virtuella nätverk kräver kontroll med Azure Firewall.
Trafikflöden
Note
Eftersom alla lokala anslutningar måste associera och spridas till samma routningstabeller måste alla lokala anslutningar skicka trafik till betrodda eller ej betrodda virtuella nätverk via samma routningssökväg. Lokal trafikanpassning på anslutningsnivå stöds inte.
| Source | Betrodda virtuella nätverk | Ej betrodda virtuella nätverk | Branches |
|---|---|---|---|
| Betrodda virtuella nätverk | Direkt via Virtual WAN-hubrouter | Via Azure Firewall | Direkt |
| Ej betrodda virtuella nätverk | Via Azure Firewall | Via Azure Firewall | Via Azure Firewall |
| Branches | Dirigera via Virtual WAN hubbrouter till betrodda virtuella nätverk, annars via Azure Firewall | Via Azure Firewall | Direkt |
Configuration
Virtual WAN routningstabeller
| Namn på routningstabell | Associerade anslutningar | Reasoning |
|---|---|---|
| standardruttabell | Grenar och ej betrodda virtuella nätverk | Används av anslutningar som måste vidarebefordra trafik till Azure Firewall, inklusive grentrafik till ej betrodda virtuella nätverk och all trafik till eller från ej betrodda virtuella nätverk. |
| trustedRouteTable | Betrodda virtuella nätverk | Används av betrodda virtuella nätverk för att vidarebefordra trafik direkt till andra betrodda virtuella nätverk och lokalt. |
Konfiguration av Virtual WAN-routning
| Connection | Associerad routningstabell | Spridd routningstabell | Reasoning |
|---|---|---|---|
| Betrodda virtuella nätverk | trustedRouteTable | betroddRoutetabell, standardRoutetabell | Betrodda virtuella nätverk associeras med och sprids till trustedRouteTable så att betrodda virtuella nätverk kan kommunicera direkt. Betrodda virtuella nätverk sprids också till defaultRouteTable så att grenar kan nå betrodda virtuella nätverk direkt. |
| Ej betrodda virtuella nätverk | standardruttabell | IngenRoutetabell | Ej betrodda virtuella nätverk kan bara nås via Azure Firewall. |
| Markerade grenar | standardruttabell | betroddRoutetabell, standardRoutetabell | Grenanslutningar måste associeras med defaultRouteTable. Grenar sprids till den betrodda routningstabellen så att trafik för branch-to-trusted-virtual-network kringgår Azure Firewall. |
Statiska vägar
| Routningstabell | Adressprefix | Nästa hopp | Reasoning |
|---|---|---|---|
| trustedRouteTable | 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Azure Firewall | Virtual WAN annonserar ut mer specifika vägar för betrodda prefix för Virtual Network samt för lokalt anslutna till betrodda spetsar. All annan trafik dirigeras till Azure Firewall med hjälp av statiska vägar. |
| standardruttabell | 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Azure Firewall | All trafik för ej betrodda virtuella nätverk och icke-förbikopplade grenanslutningar dirigeras till Azure Firewall för inspektion. |