Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł pomaga zrozumieć, jak działa wymuszone tunelowanie dla połączeń IPsec typu lokacja-lokacja (S2S). Domyślnie ruch przesyłany do Internetu z zadań i maszyn wirtualnych w sieci wirtualnej jest wysyłany bezpośrednio do Internetu.
Wymuszone tunelowanie umożliwia przekierowanie lub "wymuszenie" ruchu wychodzącego do Internetu z powrotem do lokalizacji lokalnej za pośrednictwem tunelu S2S VPN w celu inspekcji i audytu. Jest to krytyczne wymaganie dotyczące zabezpieczeń dla większości zasad IT przedsiębiorstwa. Nieautoryzowany dostęp do Internetu może potencjalnie prowadzić do ujawnienia informacji lub innych rodzajów naruszeń zabezpieczeń.
W poniższym przykładzie pokazano, że cały ruch internetowy jest wymuszany przez bramę sieci VPN z powrotem do lokalizacji lokalnej na potrzeby inspekcji i audytu.
Metody konfiguracji wymuszonego tunelowania
Istnieje kilka różnych sposobów konfigurowania wymuszonego tunelowania.
Konfigurowanie przy użyciu protokołu BGP
Możesz skonfigurować wymuszone tunelowanie dla usługi VPN Gateway za pośrednictwem protokołu BGP. Musisz anonsować domyślną trasę 0.0.0.0.0/0 za pośrednictwem protokołu BGP z lokalizacji lokalnej do platformy Azure, aby cały ruch platformy Azure był wysyłany za pośrednictwem tunelu S2S usługi VPN Gateway.
Konfigurowanie przy użyciu witryny domyślnej
Możesz skonfigurować wymuszone tunelowanie, ustawiając domyślną lokację dla bramy sieci VPN opartej na trasach. Aby uzyskać instrukcje, zobacz Wymuszone tunelowanie za pośrednictwem domyślnej witryny.
- Lokacja domyślna bramy sieci wirtualnej jest przypisywana przy użyciu programu PowerShell.
- Lokalne urządzenie sieci VPN musi być skonfigurowane przy użyciu selektorów ruchu 0.0.0.0/0.
Routing ruchu powiązanego z Internetem dla określonych podsieci
Domyślnie cały ruch związany z Internetem przechodzi bezpośrednio do Internetu, jeśli nie skonfigurowano wymuszonego tunelowania. Po skonfigurowaniu wymuszonego tunelowania cały ruch związany z Internetem jest wysyłany do lokalizacji lokalnej.
W niektórych przypadkach możesz chcieć, aby ruch wychodzący do Internetu był kierowany tylko z niektórych podsieci (ale nie wszystkich podsieci), aby przechodził z infrastruktury sieci Azure bezpośrednio do Internetu, zamiast do lokalnej infrastruktury. Ten scenariusz można skonfigurować przy użyciu kombinacji wymuszonego tunelowania i niestandardowych tras zdefiniowanych przez użytkownika (UDR) sieci wirtualnej. Aby uzyskać instrukcje, zobacz Route Internet-bound traffic for specific subnets (Kierowanie ruchu internetowego dla określonych podsieci).
Następne kroki
Zobacz How to configure forced tunneling via Default Site for VPN Gateway S2S connections (Jak skonfigurować wymuszone tunelowanie za pośrednictwem lokacji domyślnej dla połączeń S2S bramy sieci VPN).
Aby uzyskać więcej informacji na temat routingu ruchu w sieci wirtualnej, zobacz Routing ruchu w sieci wirtualnej.