Сценарий. Пользовательская изоляция для виртуальных сетей
При работе с маршрутизацией виртуальных концентраторов Виртуальной глобальной сети существует несколько доступных сценариев. В сценарии пользовательской изоляции для виртуальных сетей цель заключается в запрещении доступа определенному набору виртуальных сетей к другому заданному набору виртуальных сетей. Но виртуальные сети должны охватывать все ветви (VPN, ER и VPN пользователя). Дополнительные сведения см. в статье Сведения о маршрутизации виртуальных концентраторов.
Проект
Чтобы узнать, сколько таблиц маршрутов необходимо, можно создать матрицу подключения. Для этого сценария это выглядит следующим образом, где каждая ячейка представляет, может ли источник (строка) взаимодействовать с назначением (столбцом):
| From | Кому: | Синие виртуальные сети | Красные виртуальные сети | Ветви |
|---|---|---|---|---|
| Синие виртуальные сети | → | Напрямую | Напрямую | |
| Красные виртуальные сети | → | Напрямую | Напрямую | |
| Ветви | → | Напрямую | Напрямую | Напрямую |
Каждая ячейка в предыдущей таблице отражает, взаимодействует ли соединение Виртуальной глобальной сети (сторона потока "От", заголовки строк) с назначением (сторона потока "До", заголовки столбцов, выделенные курсивом). В этом сценарии нет брандмауэров или сетевых виртуальных устройств, поэтому обмен данными передается непосредственно по Виртуальная глобальная сеть (следовательно, слово Direct в таблице).
Количество разных шаблонов строк — это количество таблиц маршрутов, необходимых в этом сценарии. В этом случае три таблицы маршрутов, которые мы вызываем, являются RT_BLUE и RT_RED для виртуальных сетей и по умолчанию для ветвей. Помните, что ветви всегда должны быть связаны с таблицей маршрутизации Default.
Ветви должны изучать префиксы из красных и голубых виртуальных сетей, поэтому все виртуальные сети должны распространяться по умолчанию (кроме того, RT_BLUE или RT_RED). Синие и красные виртуальные сети должны изучать префиксы ветвей, поэтому ветви распространяются как на таблицы маршрутов RT_BLUE , так и на RT_RED . В результате будет получен окончательный проект:
- Голубые виртуальные сети:
- Идентификатор связанной таблицы маршрутизации: RT_BLUE.
- Накопление в таблицах маршрутизации: RT_BLUE и Default.
- Красные виртуальные сети:
- Идентификатор связанной таблицы маршрутизации: RT_RED.
- Накопление в таблицах маршрутизации: RT_RED и Default.
- Ветви:
- Связанная таблица маршрутизации: Default
- Накопление в таблицах маршрутизации: RT_BLUE, RT_RED и Default.
Примечание.
Так как все ветви необходимо связать с таблицей маршрутизации Default, а также распространять в один и тот же набор таблиц маршрутизации, все ветви могут иметь один профиль подключения. Другими словами, для ветвей нельзя применять концепцию красных и синих виртуальных сетей.
Примечание.
Если Виртуальная глобальная сеть развертывается по нескольким концентраторам, необходимо создать RT_BLUE и RT_RED таблицы маршрутов в каждом концентраторе, а маршруты из каждого подключения виртуальной сети необходимо распространить на таблицы маршрутов в каждом виртуальном концентраторе с помощью меток распространения.
Дополнительные сведения см. в статье Сведения о маршрутизации виртуальных концентраторов.
Рабочий процесс
На рис. 1 представлены синие и красные подключения к виртуальной сети.
- Синие подключенные виртуальные сети могут достигать друг друга и достигать всех ветвей (VPN/ER/P2S).
- Красные виртуальные сети могут связаться друг с другом и достичь всех ветвей (VPN/ER/P2S).
При настройке маршрутизации рекомендуем следующие действия.
- Создайте две пользовательские таблицы маршрутизации на портале Azure: RT_BLUE и RT_RED.
- Для таблицы маршрутов RT_BLUE для следующих параметров:
- Связь. Выберите все синие виртуальные сети.
- Распространение. Для ветвей выберите вариант для ветвей, подразумевая подключения branch(VPN/ER/P2S) распространять маршруты в эту таблицу маршрутов.
- Повторите те же действия для таблицы маршрутизации RT_RED для красных виртуальных сетей и ветвей (VPN, ER и P2S).
Это приводит к изменению конфигурации маршрутизации, как показано на следующем рисунке.
Рисунок 1
Следующие шаги
- Дополнительные сведения о виртуальной глобальной сети см. в статье, содержащей Часто задаваемые вопросы о ней.
- Дополнительные сведения см. в статье Сведения о маршрутизации виртуальных концентраторов.