Поделиться через

Пользовательский сценарий маршрутизации для Брандмауэра Azure

  • Статья

При работе с маршрутизацией виртуальных концентраторов Виртуальной глобальной сети существует несколько доступных сценариев. В этом сценарии нам нужно, чтобы трафик между виртуальными сетями передавался напрямую, но для трафика из виртуальной сети в Интернет или ветвь и из ветвей в виртуальную сеть использовался Брандмауэр Azure.

Проект

Чтобы определить, сколько потребуется таблиц маршрутизации, можно создать матрицу подключения, где каждая ячейка указывает, может ли источник (строка) связаться с целевым объектом (столбцом). В этом сценарии используется обычная матрица подключений, но мы приводим ее для сохранения единообразия с другими сценариями.

Матрица подключений

From Кому: Виртуальные сети Ветви Интернет
Виртуальные сети Напрямую AzFW AzFW
Ветви AzFW Напрямую Напрямую

В предыдущей таблице "Direct" представляет прямое подключение между двумя подключениями без обхода трафика Брандмауэр Azure в Виртуальная глобальная сеть, а "AzFW" указывает, что поток будет проходить через Брандмауэр Azure. Так как в матрице есть два разных шаблона подключения, нам потребуется две таблицы маршрутов, которые будут настроены следующим образом:

  • Виртуальные сети:
    • Идентификатор связанной таблицы маршрутизации RT_VNet.
    • Распространяется в таблицы маршрутизации: RT_VNet.
  • Ветви:
    • Связанная таблица маршрутизации: Default
    • Распространение на таблицы маршрутизации: Default

Примечание.

Вы можете создать отдельный экземпляр Виртуальной глобальной сети с одним защищенным виртуальным концентратором в каждом регионе, а затем подключить все эти виртуальные сети к друг другу через VPN-подключения типа "сеть — сеть".

Дополнительные сведения см. в статье О маршрутизации виртуальных концентраторов.

Рабочий процесс

В этом сценарии вам нужно направить через Брандмауэр Azure трафик из виртуальных сетей в ветви или Интернет и из ветвей в виртуальные сети, но при этом передавать напрямую трафик между виртуальными сетями. Если вы выполняли настройку через Диспетчер брандмауэра Azure, параметры маршрутов автоматически заполняются в таблице маршрутизации Default. Частный трафик обозначает трафик виртуальных сетей и ветвей, а Интернет-трафик обозначает трафик всех других сетей (0.0.0.0/0).

Все подключения VPN, ExpressRoute и пользовательские VPN совокупно называются ветвями, и все они связываются с одной таблицей маршрутизации (Default). Все подключения VPN, ExpressRoute и пользовательские VPN распространяют маршруты в один и тот же набор таблиц маршрутизации. Чтобы настроить этот сценарий, выполните следующие шаги:

  1. Создайте пользовательскую таблицу маршрутизации RT_VNet.

  2. Создайте маршрут, разрешающий трафик из виртуальной сети в Интернет и в ветви: 0.0.0.0/0 и Брандмауэр Azure в качестве следующего прыжка. В разделе "Распространение" убедитесь, что выбраны нужные виртуальные сети, чтобы передавать более конкретные маршруты и обеспечивать прямой поток трафика между виртуальными сетями.

    • В поле Связь выберите виртуальные сети, чтобы они отправляли трафик к целевым объектам в соответствии с маршрутами этой таблицы маршрутизации.
    • В поле Распространение выберите виртуальные сети, чтобы включать информацию о них в эту таблицу маршрутов. Это означает, что более конкретные маршруты из виртуальных сетей будут передаваться в эту таблицу маршрутов и позволят организовать прямой поток трафика между виртуальными сетями.

  3. Добавьте агрегированный статический маршрут для виртуальных сетей в таблицу маршрутов Default, чтобы направить поток трафика из ветвей в виртуальные сети через Брандмауэр Azure.

    • Не забывайте, что ветви связаны с таблицей маршрутов Default и распространяются в нее же.
    • Ветви не распространяются в таблицу маршрутов RT_VNet. В такой конфигурации трафик из виртуальной сети в ветви будет направляться через Брандмауэр Azure.

Это приводит к изменениям конфигурации маршрутизации, как показано на рис. 1.

Рисунок 1

Рисунок 1

Следующие шаги