Sanal WAN merkez yönlendirme amacını ve yönlendirme ilkelerini yapılandırma
Sanal WAN Hub yönlendirme amacı, Azure Güvenlik Duvarı, Ağ Sanal Gereçleri veya Sanal WAN hub'ında dağıtılan hizmet olarak yazılım (SaaS) çözümleri gibi kablodaki engebeli güvenlik çözümlerine trafik göndermek için basit ve bildirim temelli yönlendirme ilkeleri ayarlamanıza olanak tanır.
Background
Yönlendirme Amacı ve Yönlendirme İlkeleri, İnternet'e bağlı ve Özel (Noktadan siteye VPN, Siteden siteye VPN, ExpressRoute, Sanal Ağ ve Ağ Sanal Gereci) Trafiğini bir Azure Güvenlik Duvarı iletmek için Sanal WAN hub'ını yapılandırmanıza olanak tanır, Sanal hub'da dağıtılan Yeni Nesil Güvenlik Duvarı (NGFW), Ağ Sanal Gereci (NVA) veya hizmet olarak güvenlik yazılımı (SaaS) çözümü.
İki tür Yönlendirme İlkeleri vardır: İnternet Trafiği ve Özel Trafik Yönlendirme İlkeleri. Her Sanal WAN Hub'ında, her biri tek bir Sonraki Atlama kaynağına sahip en fazla bir İnternet Trafik Yönlendirme İlkesi ve bir Özel Trafik Yönlendirme İlkesi olabilir. Özel Trafik hem dal hem de Sanal Ağ adres ön eklerini içerirken, Yönlendirme İlkeleri bunları Yönlendirme Amacı kavramları içinde tek bir varlık olarak kabul eder.
İnternet Trafik Yönlendirme İlkesi: bir Sanal WAN hub'ına bir İnternet Trafik Yönlendirme İlkesi yapılandırıldığında, tüm dal (Uzak Kullanıcı VPN 'i (Noktadan siteye VPN), Siteden siteye VPN ve ExpressRoute) ve bu Sanal WAN Hub'a Sanal Ağ bağlantıları İnternet'e bağlı trafiği Azure Güvenlik Duvarı iletir, Üçüncü Taraf Güvenlik sağlayıcısı, Ağ Sanal Gereci veya Yönlendirme İlkesi kapsamında belirtilen SaaS çözümü.
Başka bir deyişle, Sanal WAN hub'ında bir İnternet Trafik Yönlendirme İlkesi yapılandırıldığında, Sanal WAN tüm uçlara, Ağ Geçitlerine ve Ağ Sanal Gereçlerine (merkez veya uçta dağıtılan) varsayılan bir (0.0.0.0/0) yolu tanıtılır.
Özel Trafik Yönlendirme İlkesi: Özel Trafik Yönlendirme İlkesi bir Sanal WAN hub'ında yapılandırıldığında, merkezler arası trafik de dahil olmak üzere Sanal WAN Hub'ına gelen ve giden tüm dal ve Sanal Ağ trafiği Sonraki Atlama Azure Güvenlik Duvarı, Ağ Sanal Gereci veya SaaS'a iletilir çözüm kaynağı.
Başka bir deyişle, Sanal WAN Hub'da Özel Trafik Yönlendirme İlkesi yapılandırıldığında, tüm daldan dala, daldan sanal ağa, sanal ağdan dala ve merkezler arası trafik, Sanal WAN Hub'ına dağıtılan Azure Güvenlik Duvarı, Ağ Sanal Gereci veya SaaS çözümü aracılığıyla gönderilir.
Kullanım Örnekleri
Aşağıdaki bölümde, Yönlendirme İlkelerinin Güvenli Sanal WAN hub'larına uygulandığı iki yaygın senaryo açıklanmaktadır.
Tüm Sanal WAN Hub'ları güvenlidir (Azure Güvenlik Duvarı, NVA veya SaaS çözümüyle dağıtılır)
Bu senaryoda, tüm Sanal WAN hub'ları bir Azure Güvenlik Duvarı, NVA veya SaaS çözümüyle dağıtılır. Bu senaryoda, her bir Sanal WAN Hub'ında bir İnternet Trafik Yönlendirme İlkesi, Özel Trafik Yönlendirme İlkesi veya her ikisini de yapılandırabilirsiniz.
Hub 1 ve Hub 2'nin hem Özel hem de İnternet Trafiği için Yönlendirme İlkelerine sahip olduğu aşağıdaki yapılandırmayı göz önünde bulundurun.
Hub 1 yapılandırması:
- Sonraki Atlama Hub'ı 1 Azure Güvenlik Duvarı, NVA veya SaaS çözümü ile Özel Trafik İlkesi
- Next Hop Hub 1 Azure Güvenlik Duvarı, NVA veya SaaS çözümü ile İnternet Trafik İlkesi
Hub 2 yapılandırması:
- Sonraki Atlama Hub'ı 2 Azure Güvenlik Duvarı, NVA veya SaaS çözümü ile Özel Trafik İlkesi
- Next Hop Hub 2 Azure Güvenlik Duvarı, NVA veya SaaS çözümü ile İnternet Trafik İlkesi
Aşağıda, bu tür bir yapılandırmadan kaynaklanan trafik akışları yer alır.
Not
Varsayılan yol (0.0.0.0/0) hub'lar arasında yayılmadığından İnternet Trafiğinin merkezdeki yerel güvenlik çözümünden geçmesi gerekir.
Kaynak | Amaç | Hub 1 sanal ağları | Hub 1 dalları | Hub 2 sanal ağları | Hub 2 dalları | İnternet |
---|---|---|---|---|---|---|
Hub 1 sanal ağları | → | Hub 1 AzFW veya NVA | Hub 1 AzFW veya NVA | Merkez 1 ve 2 AzFW, NVA veya SaaS | Merkez 1 ve 2 AzFW, NVA veya SaaS | Hub 1 AzFW, NVA veya SaaS |
Hub 1 Dalları | → | Hub 1 AzFW, NVA veya SaaS | Hub 1 AzFW, NVA veya SaaS | Merkez 1 ve 2 AzFW, NVA veya SaaS | Merkez 1 ve 2 AzFW, NVA veya SaaS | Hub 1 AzFW, NVA veya SaaS |
Hub 2 sanal ağları | → | Merkez 1 ve 2 AzFW, NVA veya SaaS | Merkez 1 ve 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS |
Hub 2 Dalları | → | Merkez 1 ve 2 AzFW, NVA veya SaaS | Merkez 1 ve 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS | Hub 2AzFW, NVA veya SaaS |
Hem güvenli hem de normal Sanal WAN Hub'ları dağıtma
Bu senaryoda WAN'daki tüm hub'lar Güvenli Sanal WAN Hub'ları (bunlara bir güvenlik çözümü dağıtılan hub'lar) değildir.
Hub 1 (Normal) ve Hub 2 'nin (Güvenli) bir Sanal WAN dağıtıldığı aşağıdaki yapılandırmayı göz önünde bulundurun. Hub 2'de hem Özel hem de İnternet Trafiği için Yönlendirme İlkeleri vardır.
Hub 1 Yapılandırması:
- Yok (hub Azure Güvenlik Duvarı, NVA veya SaaS çözümüyle dağıtılmadıysa Yönlendirme İlkeleri yapılandırılamaz)
Hub 2 Yapılandırması:
- Next Hop Hub 2 Azure Güvenlik Duvarı, NVA veya SaaS çözümüne sahip Özel Trafik İlkesi.
- Next Hop Hub 2 Azure Güvenlik Duvarı, NVA veya SaaS çözümü ile İnternet Trafik İlkesi.
Aşağıda, bu tür bir yapılandırmadan kaynaklanan trafik akışları yer alır. Hub 1'e bağlı dallar ve Sanal Ağ, varsayılan yol (0.0.0.0/0) hub'lar arasında yayılmadığından Hub'da dağıtılan bir güvenlik çözümü aracılığıyla İnternet'e erişemez.
Kaynak | Amaç | Hub 1 sanal ağları | Hub 1 dalları | Hub 2 sanal ağları | Hub 2 dalları | İnternet |
---|---|---|---|---|---|---|
Hub 1 sanal ağları | → | Doğrudan | Doğrudan | Hub 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS | - |
Hub 1 Dalları | → | Doğrudan | Doğrudan | Hub 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS | - |
Hub 2 sanal ağları | → | Hub 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS |
Hub 2 Dalları | → | Hub 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS | Hub 2 AzFW, NVA veya SaaS |
Bilinen Sınırlamalar
- Aşağıdaki tabloda farklı Azure ortamlarında yönlendirme amacının kullanılabilirliği açıklanmaktadır.
- Yönlendirme amacı, 21 Vianet tarafından sağlanan Microsoft Azure'da kullanılamaz.
- Palo Alto Cloud NGFW yalnızca Azure Genel'de kullanılabilir. Viacom tarafından sağlanan Azure Kamu ve Microsoft Azure'da Cloud NGFW'nin kullanılabilirliği hakkında Palo Alto Networks'e ulaşın.
- Ağ Sanal Gereçleri tüm Azure Kamu bölgelerde kullanılamaz. Azure Kamu'da kullanılabilirlik durumuyla ilgili olarak NVA iş ortağınıza başvurun.
Bulut Ortamı | Azure Güvenlik Duvarı | Ağ Sanal Gereci | SaaS çözümleri |
---|---|---|---|
Azure Genel | Yes | Evet | Yes |
Azure Kamu | Yes | Sınırlı | Hayır |
21 Vianet tarafından sağlanan Microsoft Azure | Hayır | Hayır | Hayır |
- Yönlendirme Amacı, tüm bağlantılar (Sanal Ağ, Siteden siteye VPN, Noktadan siteye VPN ve ExpressRoute) için yönlendirme tablosu ilişkilendirmelerini ve yaymalarını yöneterek yönlendirmeyi basitleştirir. Sanal WAN özel yol tabloları ve özelleştirilmiş ilkeler bu nedenle Yönlendirme Amacı yapıları ile kullanılamaz.
- Şifrelenmiş ExpressRoute (ExpressRoute devreleri üzerinden çalışan siteden siteye VPN tünelleri), Azure Güvenlik Duvarı VPN tüneli uç noktaları (Siteden siteye VPN Gateway özel IP'si ve şirket içi VPN cihazı özel IP'si) arasında trafiğe izin verecek şekilde yapılandırılmışsa yönlendirme amacının yapılandırıldığı merkezlerde desteklenir. Gerekli yapılandırmalar hakkında daha fazla bilgi için bkz . Yönlendirme amacı ile Şifrelenmiş ExpressRoute.
- Yönlendirme Amacı ile aşağıdaki bağlantı kullanım örnekleri desteklenmez :
- defaultRouteTable'da Sanal Ağ bir bağlantıya işaret eden statik yollar yönlendirme amacı ile birlikte kullanılamaz. Ancak BGP eşleme özelliğini kullanabilirsiniz.
- "Statik yol yayma" ile Sanal Ağ bağlantısındaki statik yollar, özel yönlendirme ilkelerinde belirtilen sonraki atlama kaynağına uygulanmaz. Özel yönlendirme ilkesine Sanal Ağ bağlantılarda statik yollar uygulama desteği yol haritasındadır.
- Aynı Sanal WAN hub'ına hem SD-WAN bağlantı NVA'sı hem de ayrı bir Güvenlik Duvarı NVA veya SaaS çözümü dağıtma özelliği şu anda yol haritasındadır. Yönlendirme amacı sonraki atlama SaaS çözümü veya Güvenlik Duvarı NVA ile yapılandırıldıktan sonra SD-WAN NVA ile Azure arasındaki bağlantı etkilenir. Bunun yerine SD-WAN NVA ve Güvenlik Duvarı NVA veya SaaS çözümünü farklı Sanal Hub'lara dağıtın. Alternatif olarak, SD-WAN NVA'yı hub'a bağlı bir uç Sanal Ağ dağıtabilir ve sanal hub BGP eşleme özelliğinden yararlanabilirsiniz.
- Ağ Sanal Gereçleri (NVA' lar) yalnızca Yeni Nesil Güvenlik Duvarı veya çift rollü Yeni Nesil Güvenlik Duvarı ve SD-WAN NVA'ları ise yönlendirme amacı için sonraki atlama kaynağı olarak belirtilebilir. Şu anda denetim noktası, fortinet-ngfw ve fortinet-ngfw-and-sdwan yönlendirme amacı için bir sonraki atlama olacak şekilde yapılandırılmaya uygun tek NVA'lardır. Başka bir NVA belirtmeye çalışırsanız Yönlendirme Amacı oluşturma başarısız olur. Sanal Hub -> Ağ Sanal Gereçleri'ne gidip Satıcı alanına bakarak NVA'nın türünü de kontrol edebilirsiniz. Palo Alto Networks Cloud NGFW, Yönlendirme Amacı için sonraki atlama olarak da desteklenir, ancak SaaS çözümünün bir sonraki atlama türü olarak kabul edilir.
- Birden çok ExpressRoute bağlantı hattını Sanal WAN'a bağlamak isteyen ve merkezde dağıtılmış bir güvenlik çözümü aracılığıyla bunlar arasında trafik göndermek isteyen Yönlendirme Amaçlı kullanıcılar, bu kullanım durumunu etkinleştirmek için bir destek olayı açabilir. Daha fazla bilgi için bkz. ExpressRoute bağlantı hatları arasında bağlantıyı etkinleştirme.
adres alanı sınırlarını Sanal Ağ
Not
Tek bir Sanal WAN hub'ına bağlanabileceğiniz en fazla Sanal Ağ adres alanı sayısı ayarlanabilir. Sınır artışı istemek için bir Azure desteği servis talebi açın. Sınırlar, Sanal WAN merkezi düzeyinde geçerlidir. Sınır artışı gerektiren birden çok Sanal WAN hub'ınız varsa, Sanal WAN dağıtımınızdaki tüm Sanal WAN hub'lar için bir sınır artışı isteyin.
Yönlendirme amacını kullanan müşteriler için, doğrudan tek bir Sanal WAN merkezine bağlı tüm Sanal Ağlar genelinde maksimum adres alanı sayısı 400'dür. Bu sınır, bir Sanal WAN dağıtımındaki her Sanal WAN hub'ına ayrı ayrı uygulanır. uzak (aynı Sanal WAN diğer Sanal WAN hub'larına) bağlı Sanal Ağ adres alanları bu sınıra doğru sayılmaz.
Bir hub'a bağlı doğrudan bağlı Sanal Ağ adres alanı sayısı sınırı aşarsa, Sanal Hub'da yönlendirme amacını etkinleştirme veya güncelleştirme başarısız olur. Sanal Ağ adres alanlarının Sanal Ağ adres alanı güncelleştirmesi gibi bir işlemin sonucu olarak sınırı aştığı yönlendirme amacı ile yapılandırılmış hub'lar için, yeni bağlanan adres alanı yönlendirilebilir olmayabilir.
Tüm yerel olarak bağlı Sanal Ağ toplam adres alanı sayısı belgelenen sınırın %90'ını aşarsa veya sınırı aşan Sanal Ağ adres alanı sayısını artıracak planlı ağ genişletme veya dağıtım işlemleriniz varsa proaktif olarak bir sınır artışı isteyin.
Aşağıdaki tabloda adres alanı hesaplamaları Sanal Ağ örnek verilmiştir.
Sanal Merkez | Sanal Ağ Sayısı | Sanal Ağ başına adres alanları | Sanal Hub'a bağlı Sanal Ağ adres alanlarının toplam sayısı | Önerilen Eylem |
---|---|---|---|---|
Hub #1 | 200 | 1 | 200 | Eylem gerekmez, adres alanı sayısını izleyin. |
Hub #2 | 150 | 3 | 450 | Yönlendirme amacını kullanmak için sınır artışı isteyin. |
Hub #3 | 370 | 1 | 370 | İstek sınırı artışı. |
Tek bir Sanal WAN hub'ına bağlı Sanal Ağ adres alanlarının sayısını yaklaşık olarak ayarlamak için aşağıdaki PowerShell betiğini kullanabilirsiniz. Sanal WAN tüm Sanal WAN hub'ları için bu betiği çalıştırın. Yol haritasında bağlı Sanal Ağ adres alanlarındaki uyarıları izlemenize ve yapılandırmanıza olanak sağlayan bir Azure İzleyici ölçümü bulunur.
Betikteki Sanal WAN Hub'ının kaynak kimliğini ortamınızla eşleşecek şekilde değiştirdiğinizden emin olun. Kiracılar arası Sanal Ağ bağlantılarınız varsa, Sanal WAN Sanal Ağ bağlantı nesnesini ve bağlı Sanal Ağ kaynağını okumak için yeterli izinlere sahip olduğunuzdan emin olun.
$hubVNETconnections = Get-AzVirtualHubVnetConnection -ParentResourceId "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualHubs/<virtual hub name>"
$addressSpaceCount = 0
foreach($connection in $hubVNETconnections) {
try{
$resourceURI = $connection.RemoteVirtualNetwork.Id
$RG = ($resourceURI -split "/")[4]
$name = ($resourceURI -split "/")[8]
$VNET = Get-AzVirtualNetwork -Name $name -ResourceGroupName $RG -ErrorAction "Stop"
$addressSpaceCount += $VNET.AddressSpace.AddressPrefixes.Count
}
catch{
Write-Host "An error occurred while processing VNET connected to Virtual WAN hub with resource URI: " -NoNewline
Write-Host $resourceURI
Write-Host "Error Message: " -ForegroundColor Red
Write-Host $_.Exception.Message -ForegroundColor Red
}
finally{
}
}
Write-Host "Total Address Spaces in VNETs connected to this Virtual WAN Hub: " -ForegroundColor Green -NoNewline
Write-Host $addressSpaceCount -ForegroundColor Green
Dikkat edilmesi gereken noktalar
Şu anda Sanal WAN hub'ında Yönlendirme Amacı olmadan Azure Güvenlik Duvarı kullanan müşteriler, Azure Güvenlik Duvarı Yöneticisi, Sanal WAN hub yönlendirme portalı veya diğer Azure yönetim araçları (PowerShell, CLI, REST API) aracılığıyla yönlendirme amacını etkinleştirebilir.
Yönlendirme amacını etkinleştirmeden önce aşağıdakileri göz önünde bulundurun:
- Yönlendirme amacı yalnızca, varsayılanRouteTable'da bir sonraki atlama Sanal Ağ Bağlantı ile özel yol tabloları ve statik yolların bulunmadığı hub'larda yapılandırılabilir. Daha fazla bilgi için bkz . önkoşullar.
- Yönlendirme amacını etkinleştirmeden önce ağ geçitlerinizin, bağlantılarınızın ve yönlendirme tablolarınızın bir kopyasını kaydedin. Sistem, önceki yapılandırmaları otomatik olarak kaydetmez ve uygulamaz. Daha fazla bilgi için bkz . geri alma stratejisi.
- Yönlendirme amacı, defaultRouteTable'daki statik yolları değiştirir. Azure portalı iyileştirmeleri nedeniyle, YÖNLENDIRME amacı yapılandırıldıktan sonra varsayılanRouteTable'ın durumu REST, CLI veya PowerShell kullanarak yönlendirme amacını yapılandırdığınızda farklı olabilir. Daha fazla bilgi için bkz . statik yollar.
- Yönlendirme amacının etkinleştirilmesi, ön eklerin şirket içi kullanıma tanıtılmasını etkiler. Daha fazla bilgi için önek tanıtımlarına bakın.
- Hub'daki bir Güvenlik Duvarı gereci aracılığıyla ExpressRoute bağlantı hatları arasında bağlantıyı etkinleştirmek için bir destek olayı açabilirsiniz. Bu bağlantı düzeninin etkinleştirilmesi, ExpressRoute bağlantı hatlarına tanıtılan ön ekleri değiştirir. Daha fazla bilgi için bkz . ExpressRoute Hakkında.
- Yönlendirme amacı, hub'a dağıtılan güvenlik gereçleri aracılığıyla merkezler arası trafik denetimini etkinleştirmek için Sanal WAN tek mekanizmadır. Merkezler arası trafik denetimi, trafiğin Sanal WAN hub'larında dağıtılan güvenlik gereçleri arasında simetrik olarak yönlendirildiğinden emin olmak için yönlendirme amacının tüm hub'larda etkinleştirilmesini de gerektirir.
- Yönlendirme amacı, yönlendirme ilkesinde belirtilen sonraki atlama kaynağına Sanal Ağ ve şirket içi trafiği gönderir. Sanal WAN, şirket içi ve Sanal Ağ trafiğinizi yapılandırılan yönlendirme ilkesine uygun olarak yönlendirmek için temel alınan Azure platformunu programlar ve trafiği Sanal Hub yönlendiricisi üzerinden işlemez. Yönlendirme amacı aracılığıyla yönlendirilen paketler yönlendirici tarafından işlenmediğinden, yönlendirme amacı ile yapılandırılmış hub'larda veri düzlemi paket iletme için ek yönlendirme altyapısı birimleri ayırmanız gerekmez. Ancak, Sanal WAN Hub'a bağlı Sanal Ağ'lerdeki Sanal Makineler sayısına bağlı olarak ek yönlendirme altyapısı birimleri ayırmanız gerekebilir.
- Yönlendirme amacı, özel ve internet yönlendirme ilkeleri için farklı sonraki atlama kaynaklarını yapılandırmanıza olanak tanır. Örneğin, özel yönlendirme ilkeleri için sonraki atlamayı hub'da Azure Güvenlik Duvarı ve İnternet yönlendirme ilkesi için sonraki atlamayı merkezdeki bir NVA veya SaaS çözümüne ayarlayabilirsiniz. SaaS çözümleri ve Güvenlik Duvarı NVA'ları Sanal WAN hub'ında aynı alt ağda dağıtıldığından, saas çözümlerinin aynı hub'da bir Güvenlik Duvarı NVA'sı ile dağıtılması, saas çözümlerinin yatay ölçeklenebilirliğini etkileyebilir çünkü yatay ölçeği genişletme için daha az IP adresi kullanılabilir. Ayrıca, her Sanal WAN hub'ına en fazla bir SaaS çözümü dağıtabilirsiniz.
Önkoşullar
Yönlendirme amacını ve ilkelerini etkinleştirmek için Sanal Hub'ınızın aşağıdaki önkoşulları karşılaması gerekir:
- Sanal Hub ile dağıtılan özel yol tablosu yok. Var olan tek yol tabloları noneRouteTable ve defaultRouteTable'dır.
- Sonraki atlama Sanal Ağ Bağlantı ile statik yollarınız olamaz. DefaultRouteTable'da statik yollarınız sonraki atlama Azure Güvenlik Duvarı olabilir.
Yönlendirme amacını yapılandırma seçeneği, yukarıdaki gereksinimleri karşılamayen hub'lar için gridir.
Azure Güvenlik Duvarı Yöneticisi'nde yönlendirme amacını (merkezler arası seçeneği etkinleştirme) kullanmanın ek bir gereksinimi vardır:
- Azure Güvenlik Duvarı Manager tarafından oluşturulan yollar private_traffic, internet_traffic veya all_traffic adlandırma kuralını izler. Bu nedenle, defaultRouteTable'daki tüm yolların bu kurala uyması gerekir.
Geri alma stratejisi
Not
Yönlendirme amacı yapılandırması bir hub'dan tamamen kaldırıldığında, hub'a yönelik tüm bağlantılar varsayılan etikete yayılacak şekilde ayarlanır (bu, Sanal WAN 'tümü' varsayılanRouteTable'lar için geçerlidir). Sonuç olarak, Sanal WAN'da Yönlendirme Amacı uygulamayı düşünüyorsanız, özgün yapılandırmaya geri dönmek istiyorsanız geçerli olmak üzere mevcut yapılandırmalarınızın (ağ geçitleri, bağlantılar, yönlendirme tabloları) bir kopyasını kaydetmeniz gerekir. Sistem önceki yapılandırmanızı otomatik olarak geri yüklemez.
Yönlendirme Amacı, bir hub'daki tüm bağlantıların yol ilişkilendirmelerini ve yaymalarını yöneterek yönlendirmeyi ve yapılandırmayı basitleştirir.
Aşağıdaki tabloda, yönlendirme amacı yapılandırıldıktan sonra tüm bağlantıların ilişkili yol tablosu ve yayılan yol tabloları açıklanmaktadır.
Yönlendirme Amacı yapılandırması | İlişkili yol tablosu | Yayılan rota tabloları |
---|---|---|
İnternet | defaultRouteTable | varsayılan etiket (Sanal WAN tüm hub'lar için defaultRouteTable) |
Özel | defaultRouteTable | noneRouteTable |
İnternet ve Özel | defaultRouteTable | noneRouteTable |
defaultRouteTable'da statik yollar
Aşağıdaki bölümde, yönlendirme amacı bir hub'da etkinleştirildiğinde yönlendirme amacının defaultRouteTable'daki statik yolları nasıl yönettiği açıklanmaktadır. Yönlendirme Amacının defaultRouteTable'da yaptığı değişiklikler geri alınamaz.
Yönlendirme amacını kaldırırsanız, önceki yapılandırmanızı el ile geri yüklemeniz gerekir. Bu nedenle, yönlendirme amacını etkinleştirmeden önce yapılandırmanızın anlık görüntüsünü kaydetmenizi öneririz.
Azure Güvenlik Duvarı Yöneticisi ve Sanal WAN Hub Portalı
Yönlendirme amacı hub'da etkinleştirildiğinde, yapılandırılan yönlendirme ilkelerine karşılık gelen statik yollar defaultRouteTable'da otomatik olarak oluşturulur. Bu yollar şunlardır:
Yol Adı | Ön Ekler | Sonraki Atlama Kaynağı |
---|---|---|
_policy_PrivateTraffic | 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Azure Güvenlik Duvarı |
_policy_PublicTraffic | 0.0.0.0/0 | Azure Güvenlik Duvarı |
Not
DefaultRouteTable'da 0.0.0.0/0 veya RFC1918 süper ağlarla (10.0.0.0/8) tam eşleşmemiş ön ekleri içeren tüm statik yollar, 192.168.0.0/16 ve 172.16.0.0/12) otomatik olarak private_traffic adlı tek bir statik yolda birleştirilir. defaultRouteTable'da RFC1918 süper ağlarla veya 0.0.0.0/0 ile eşleşen ön ekler, ilke türünden bağımsız olarak yönlendirme amacı yapılandırıldıktan sonra her zaman otomatik olarak kaldırılır.
Örneğin, yönlendirme amacını yapılandırmadan önce defaultRouteTable'ın aşağıdaki yollara sahip olduğu senaryoyu göz önünde bulundurun:
Yol Adı | Ön Ekler | Sonraki Atlama Kaynağı |
---|---|---|
private_traffic | 192.168.0.0/16, 172.16.0.0/12, 40.0.0.0/24, 10.0.0.0/24 | Azure Güvenlik Duvarı |
to_internet | 0.0.0.0/0 | Azure Güvenlik Duvarı |
additional_private | 10.0.0.0/8, 50.0.0.0/24 | Azure Güvenlik Duvarı |
Bu hub'da yönlendirme amacının etkinleştirilmesi defaultRouteTable'ın aşağıdaki bitiş durumuna neden olur. RFC1918 veya 0.0.0.0/0 olmayan tüm ön ekler private_traffic adlı tek bir yol halinde birleştirilir.
Yol Adı | Ön Ekler | Sonraki Atlama Kaynağı |
---|---|---|
_policy_PrivateTraffic | 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Azure Güvenlik Duvarı |
_policy_PublicTraffic | 0.0.0.0/0 | Azure Güvenlik Duvarı |
private_traffic | 40.0.0.0/24, 10.0.0.0/24, 50.0.0.0/24 | Azure Güvenlik Duvarı |
Diğer yöntemler (PowerShell, REST, CLI)
Portal dışı yöntemleri kullanarak yönlendirme amacı oluşturma, defaultRouteTable'da karşılık gelen ilke yollarını otomatik olarak oluşturur ve ayrıca statik yollarda 0.0.0.0/0 veya RFC1918 süper ağlarla (10.0.0.0/8) tam olarak eşleşen tüm ön ekleri kaldırır. 192.168.0.0/16 veya 172.16.0.0/12). Ancak, diğer statik yollar otomatik olarak birleştirilmemiştir .
Örneğin, yönlendirme amacını yapılandırmadan önce defaultRouteTable'ın aşağıdaki yollara sahip olduğu senaryoyu göz önünde bulundurun:
Yol Adı | Ön Ekler | Sonraki Atlama Kaynağı |
---|---|---|
firewall_route_ 1 | 10.0.0.0/8 | Azure Güvenlik Duvarı |
firewall_route_2 | 192.168.0.0/16, 10.0.0.0/24 | Azure Güvenlik Duvarı |
firewall_route_3 | 40.0.0.0/24 | Azure Güvenlik Duvarı |
to_internet | 0.0.0.0/0 | Azure Güvenlik Duvarı |
Aşağıdaki tablo, yönlendirme amacı oluşturma işlemi başarılı olduktan sonra defaultRouteTable'ın son durumunu temsil eder. Firewall_route_1 ve to_internet otomatik olarak kaldırıldığını unutmayın. Bu yollardaki tek ön ek 10.0.0.0/8 ve 0.0.0.0/0'dır. firewall_route_2, 192.168.0.0/16'nın kaldırılacağı şekilde değiştirildi, bu ön ek RFC1918 bir toplama ön ekidir.
Yol Adı | Ön Ekler | Sonraki Atlama Kaynağı |
---|---|---|
_policy_PrivateTraffic | 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Azure Güvenlik Duvarı |
_policy_PublicTraffic | 0.0.0.0/0 | Azure Güvenlik Duvarı |
firewall_route_2 | 10.0.0.0/24 | Azure Güvenlik Duvarı |
firewall_route_3 | 40.0.0.0/24 | Azure Güvenlik Duvarı |
Şirket içi önek tanıtımı
Aşağıdaki bölümde, Sanal WAN Yönlendirme Amacı bir Sanal Hub'da yapılandırıldıktan sonra şirket içi yollara nasıl yol tanıtıldığı açıklanmaktadır.
İnternet yönlendirme ilkesi
Not
0.0.0.0/0 varsayılan yolu sanal hub'lar arasında tanıtılmaz .
Sanal Hub'da İnternet yönlendirme ilkelerini etkinleştirirseniz 0.0.0.0/0 varsayılan yolu, Varsayılan yolu yay veya İnternet güvenliğini etkinleştir bayrağının true olarak ayarlandığı merkez (Sanal Ağ ExpressRoute, Siteden siteye VPN, Noktadan siteye VPN, merkezdeki NVA ve BGP bağlantıları) tüm bağlantılara tanıtılır. Varsayılan yolu öğrenmemesi gereken tüm bağlantılar için bu bayrağı false olarak ayarlayabilirsiniz.
Özel yönlendirme ilkesi
Bir Sanal hub Özel Yönlendirme ilkesiyle yapılandırıldığında Sanal WAN yerel şirket içi bağlantılara giden yolları aşağıdaki şekilde tanıtıyor:
- Yerel hub'ın Sanal Ağ, ExpressRoute, Siteden siteye VPN, Noktadan siteye VPN, hub'da NVA veya geçerli hub'a bağlı BGP bağlantılarından öğrenilen ön eklere karşılık gelen yollar.
- Uzak hub Sanal Ağ, ExpressRoute, Siteden siteye VPN, Noktadan siteye VPN, Özel Yönlendirme ilkelerinin yapılandırıldığı NVA-in-the-hub veya BGP bağlantılarından öğrenilen ön eklere karşılık gelen yollar.
- Yönlendirme Amacının yapılandırılmadığı ve uzak bağlantıların yerel hub'ın defaultRouteTable'ına yayıldığı uzak hub Sanal Ağ, ExpressRoute, Siteden siteye VPN, Noktadan siteye VPN, Hub'da NVA ve BGP bağlantılarından öğrenilen ön eklere karşılık gelen yollar.
- Bir ExpressRoute bağlantı hattından öğrenilen ön ekler, Global Reach etkinleştirilmediği sürece diğer ExpressRoute bağlantı hatlarına tanıtılamaz. Hub'da dağıtılan bir güvenlik çözümü aracılığıyla ExpressRoute'dan ExpressRoute'a geçişini etkinleştirmek istiyorsanız bir destek olayı açın. Daha fazla bilgi için bkz . ExpressRoute bağlantı hatları arasında bağlantıyı etkinleştirme.
Anahtar yönlendirme senaryoları
Aşağıdaki bölümde, bir Sanal WAN hub'ına yönlendirme amacını yapılandırırken birkaç temel yönlendirme senaryosu ve yönlendirme davranışı açıklanmaktadır.
Yönlendirme amacı ile ExpressRoute bağlantı hatları arasında geçiş bağlantısı
Sanal WAN içindeki ExpressRoute bağlantı hatları arasında geçiş bağlantısı iki farklı yapılandırmayla sağlanır. Bu iki yapılandırma uyumlu olmadığından, müşterilerin iki ExpressRoute bağlantı hattı arasındaki aktarım bağlantısını desteklemek için bir yapılandırma seçeneği belirlemesi gerekir.
Not
ExpressRoute'dan ExpressRoute'a aktarım bağlantısını özel yönlendirme ilkelerine sahip hub'daki bir Güvenlik Duvarı gereci aracılığıyla etkinleştirmek için Microsoft Desteği ile bir destek olayı açın. Bu seçenek Global Reach ile uyumlu değildir ve Sanal WAN bağlı tüm ExpressRoute bağlantı hatları arasında doğru transit yönlendirme sağlamak için Global Reach'in devre dışı bırakılmasını gerektirir.
- ExpressRoute Global Reach: ExpressRoute Global Reach, Iki Global Reach özellikli bağlantı hattının Sanal Hub'a geçiş yapmadan birbirleriyle doğrudan trafik göndermesine olanak tanır.
- Yönlendirme Amacı özel yönlendirme ilkesi: Özel yönlendirme ilkelerinin yapılandırılması, iki ExpressRoute bağlantı hattının hub'a dağıtılan bir güvenlik çözümü aracılığıyla birbirine trafik göndermesine olanak tanır.
Yönlendirme amacı özel yönlendirme ilkesiyle merkezdeki bir Güvenlik Duvarı gereci aracılığıyla ExpressRoute bağlantı hatları arasında bağlantı aşağıdaki yapılandırmalarda kullanılabilir:
- Her iki ExpressRoute bağlantı hattı da aynı hub'a bağlanır ve bu hub'da bir özel yönlendirme ilkesi yapılandırılır.
- ExpressRoute bağlantı hatları farklı hub'lara bağlanır ve her iki merkezde de özel yönlendirme ilkesi yapılandırılır. Bu nedenle, her iki hub'da da dağıtılan bir güvenlik çözümü olmalıdır.
ExpressRoute ile yönlendirme konusunda dikkat edilmesi gerekenler
Not
Aşağıdaki yönlendirme konuları, expressroute'un hub'daki bir güvenlik gereci aracılığıyla ExpressRoute bağlantısına izin vermek için Microsoft Desteği tarafından etkinleştirilen aboneliklerdeki tüm Sanal hub'lar için geçerlidir.
Sanal Hub'da dağıtılan bir güvenlik duvarı gereci kullanılarak ExpressRoute bağlantı hatları arasında geçiş bağlantısı etkinleştirildikten sonra, yolların şirket içi ExpressRoute'a tanıtılma davranışında aşağıdaki değişiklikleri bekleyebilirsiniz:
- Sanal WAN otomatik olarak RFC1918 toplama ön eklerini (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) ExpressRoute'a bağlı şirket içi kullanıma duyurur. Bu toplama yolları, önceki bölümde açıklanan yollara ek olarak tanıtılır.
- Sanal WAN, varsayılanRouteTable'daki tüm statik yolları otomatik olarak ExpressRoute bağlantı hattına bağlı şirket içi olarak tanıtır. Bu, Sanal WAN özel trafik ön eki metin kutusunda belirtilen yolları şirket içinde tanıtma anlamına gelir.
Bu yol tanıtımı değişiklikleri nedeniyle, ExpressRoute'a bağlı şirket içi RFC1918 toplama adres aralıkları için tam adres aralıklarını tanıtamadığı anlamına gelir (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). Özel Trafik metin kutusundaki süper ağları ve önekleri toplamak yerine daha belirli alt ağlar (RFC1918 aralıklar içinde) reklam verdiğinizden emin olun.
Ayrıca ExpressRoute bağlantı hattınız Azure'a RFC1918 olmayan bir ön ek tanıtıyorsa, Özel Trafik Ön Ekleri metin kutusuna eklediğiniz adres aralıklarının ExpressRoute tarafından tanıtılan yollardan daha az özel olduğundan emin olun. Örneğin, ExpressRoute Bağlantı Hattı şirket içinden 40.0.0.0/24'ün reklamını alıyorsa, Özel Trafik Ön Eki metin kutusuna bir /23 CIDR aralığı veya daha büyük bir aralık koyun (örnek: 40.0.0.0/23).
Diğer şirket içi reklamlara yönlendirme (Siteden siteye VPN, Noktadan siteye VPN, NVA), hub'da dağıtılan bir güvenlik gereci aracılığıyla ExpressRoute'dan ExpressRoute'a geçiş bağlantısı etkinleştirildiğinde etkilenmez.
Şifrelenmiş ExpressRoute
Yönlendirme amacı özel yönlendirme ilkeleriyle Encrypted ExpressRoute (ExpressRoute bağlantı hattı üzerinden çalışan siteden siteye VPN tüneli) kullanmak için, Sanal WAN Siteden siteye VPN Gateway'in (kaynak) tünel özel IP adresleri ile şirket içi VPN cihazı (hedef) arasında trafiğe izin verecek bir güvenlik duvarı kuralı yapılandırın. Güvenlik duvarı cihazında derin paket incelemesi kullanan müşteriler için, bu özel IP'ler arasındaki trafiği derin paket incelemesinin dışında tutmanız önerilir.
VPN yapılandırmasını indirip vpnSiteConnections - gatewayConfiguration ->> IPAddresses öğesini görüntüleyerek Sanal WAN Siteden siteye VPN Gateway'in tünel özel IP adreslerini alabilirsiniz. IPAddresses alanında listelenen IP adresleri, ExpressRoute üzerinden VPN tünellerini sonlandırmak için kullanılan Siteden siteye VPN Gateway'in her örneğine atanan özel IP adresleridir. Aşağıdaki örnekte, Ağ Geçidi üzerindeki tünel IP'leri 192.168.1.4 ve 192.168.1.5'tır.
"vpnSiteConnections": [
{
"hubConfiguration": {
"AddressSpace": "192.168.1.0/24",
"Region": "South Central US",
"ConnectedSubnets": [
"172.16.1.0/24",
"172.16.2.0/24",
"172.16.3.0/24",
"192.168.50.0/24",
"192.168.0.0/24"
]
},
"gatewayConfiguration": {
"IpAddresses": {
"Instance0": "192.168.1.4",
"Instance1": "192.168.1.5"
},
"BgpSetting": {
"Asn": 65515,
"BgpPeeringAddresses": {
"Instance0": "192.168.1.15",
"Instance1": "192.168.1.12"
},
"CustomBgpPeeringAddresses": {
"Instance0": [
"169.254.21.1"
],
"Instance1": [
"169.254.21.2"
]
},
"PeerWeight": 0
}
}
Şirket içi cihazların VPN sonlandırma için kullandığı özel IP adresleri, VPN sitesi bağlantı bağlantısının bir parçası olarak belirtilen IP adresleridir.
Yukarıdaki örnek VPN yapılandırmasını ve VPN sitesini kullanarak aşağıdaki trafiğe izin vermek için güvenlik duvarı kuralları oluşturun. VPN Gateway IP'lerinin kaynak IP olması ve şirket içi VPN cihazının yapılandırılan kurallarda hedef IP olması gerekir.
Kural Parametresi | Değer |
---|---|
Kaynak IP | 192.168.1.4 ve 192.168.1.5 |
Kaynak Bağlantı Noktası | * |
Hedef IP | 10.100.0.4 |
Hedef Bağlantı Noktası | * |
Protokol | HERHANGİ BİRİ |
Şifrelenmiş ExpressRoute performansı
Encrypted ExpressRoute ile özel yönlendirme ilkelerini yapılandırmak, VPN ESP paketlerini hub'a dağıtılan sonraki atlama güvenlik gereci aracılığıyla yönlendirir. Sonuç olarak, her iki yönde de (şirket içinden gelen ve Azure'dan giden) 1 Gb/sn'lik şifrelenmiş ExpressRoute maksimum VPN tüneli aktarım hızı bekleyebilirsiniz. En yüksek VPN tüneli aktarım hızına ulaşmak için aşağıdaki dağıtım iyileştirmelerini göz önünde bulundurun:
- Azure Güvenlik Duvarı Standard veya Azure Güvenlik Duvarı Basic yerine Azure Güvenlik Duvarı Premium dağıtın.
- Azure Güvenlik Duvarı kuralın önce Azure Güvenlik Duvarı ilkenizde en yüksek önceliğe sahip olmasını sağlayarak VPN tüneli uç noktaları (yukarıdaki örnekte 192.168.1.4 ve 192.168.1.5) arasında trafiğe izin veren kuralı işlediğinden emin olun. Azure Güvenlik Duvarı kural işleme mantığı hakkında daha fazla bilgi için bkz. kural işleme mantığı Azure Güvenlik Duvarı.
- VPN tüneli uç noktaları arasındaki trafik için derin paketi kapatın. Azure Güvenlik Duvarı derin paket incelemesinden trafiği dışlayacak şekilde yapılandırma hakkında bilgi için IDPS atlama listesi belgelerine başvurun.
- Performansı en üst düzeye çıkarmak için VPN cihazlarını hem IPSEC Şifrelemesi hem de Bütünlük için GCMAES256 kullanacak şekilde yapılandırın.
Çift rollü bağlantı ve güvenlik duvarı NVA'ları için NVA örneklerine doğrudan yönlendirme
Not
Sanal WAN'de özel yönlendirme ilkeleriyle kullanılan çift rollü NVA'ya doğrudan yönlendirme yalnızca Sanal WAN hub'ında dağıtılan NVA'dan BGP aracılığıyla öğrenilen Sanal Ağ ve yollar arasındaki trafik için geçerlidir. NVA'ya bağlı şirket içi ExpressRoute ve VPN aktarım bağlantısı doğrudan NVA örneklerine yönlendirilir ve bunun yerine çift rollü NVA'nın yük dengeleyicisi aracılığıyla yönlendirilir.
Belirli Ağ Sanal Gereçleri aynı cihazda hem bağlantı (SD-WAN) hem de güvenlik (NGFW) özelliklerine sahip olabilir. Bu NVA'lar çift rollü NVA'lar olarak kabul edilir. NVA iş ortakları altında NVA'nızın çift rollü NVA olup olmadığını denetleyin.
Çift rollü NVA'lar için özel yönlendirme ilkeleri yapılandırıldığında, Sanal WAN bu Sanal WAN hub'ın NVA cihazından öğrenilen yolları, NVA İç Yük Dengeleyici'nin aksine bir sonraki atlamayla Sanal WAN doğrudan bağlı (yerel) Sanal Ağ ve diğer Sanal Hub'lara otomatik olarak tanıtılır.
NVA'ların yalnızca bir örneğinin Sanal WAN belirli bir ön ek için yol tanıttığı (veya örneklerden birinden öğrenilen yolların AS-PATH uzunluğu her zaman en kısadır) etkin-pasif NVA yapılandırmaları için Sanal WAN Azure Sanal Ağ giden trafiğin her zaman etkin (veya tercih edilen) NVA örneğine yönlendirilmesini sağlar.
Etkin-etkin NVA yapılandırmaları için (birden çok NVA örneği aynı AS-PATH uzunluğuyla aynı ön eki tanıtmaktadır), Azure otomatik olarak trafiği Azure'dan şirket içi yola yönlendirmek için ECMP gerçekleştirir. Azure'ın yazılım tanımlı ağ platformu akış düzeyi simetriyi garanti etmez; bu da Azure'a gelen akışın ve Azure'dan giden akışın farklı NVA örneklerine inebileceği anlamına gelir. Bu durum bilgisi olan güvenlik duvarı incelemesi tarafından bırakılan asimetrik yönlendirmeyle sonuçlanır. Bu nedenle, NVA asimetrik iletmeyi desteklemediği veya oturum paylaşımını/eşitlemesini desteklemediği sürece NVA'nın çift rollü NVA olarak davrandığı etkin-etkin bağlantı desenlerinin kullanılması önerilmez. NVA'nızın asimetrik iletmeyi mi yoksa oturum durumu paylaşımını/eşitlemesini mi desteklediği hakkında daha fazla bilgi için NVA sağlayıcınıza ulaşın.
Azure portal aracılığıyla yönlendirme amacını yapılandırma
Yönlendirme amacı ve yönlendirme ilkeleri, Azure Güvenlik Duvarı Yöneticisi veya Sanal WAN portalı kullanılarak Azure portalı üzerinden yapılandırılabilir. Azure Güvenlik Duvarı Yöneticisi portalı, sonraki atlama kaynağı Azure Güvenlik Duvarı ile yönlendirme ilkelerini yapılandırmanıza olanak tanır. Sanal WAN portalı, bir sonraki atlama kaynağı Azure Güvenlik Duvarı ve Sanal merkez veya SaaS çözümleri içinde dağıtılan Ağ Sanal Gereçleri ile yönlendirme ilkelerini yapılandırmanıza olanak tanır.
Sanal WAN güvenli merkezde Azure Güvenlik Duvarı kullanan müşteriler, yönlendirme amacını kullanmak için Azure Güvenlik Duvarı Yöneticisi'nin "Merkezler arası seçeneğini etkinleştir" ayarını "Etkin" olarak ayarlayabilir veya yönlendirme amacı ve ilkeleri için sonraki atlama kaynağı olarak Azure Güvenlik Duvarı'nı doğrudan yapılandırmak için Sanal WAN portalını kullanabilir. Her iki portal deneyimindeki yapılandırmalar eş değerdir ve Azure Güvenlik Duvarı Yöneticisi'ndeki değişiklikler otomatik olarak Sanal WAN portalına yansıtılır ve tam tersi de geçerlidir.
Azure Güvenlik Duvarı Yöneticisi aracılığıyla yönlendirme amacını ve ilkelerini yapılandırma
Aşağıdaki adımlarda, Azure Güvenlik Duvarı Yöneticisi'ni kullanarak Sanal Hub'ınızda yönlendirme amacını ve yönlendirme ilkelerini yapılandırma açıklanmaktadır. Azure Güvenlik Duvarı Yöneticisi yalnızca Azure Güvenlik Duvarı türünde sonraki atlama kaynaklarını destekler.
Yönlendirme İlkelerini yapılandırmak istediğiniz Sanal WAN Merkezi'ne gidin.
Güvenlik'in altında Güvenli Sanal hub ayarları'nı ve ardından Azure Güvenlik Duvarı Yöneticisi'nde bu Güvenli sanal hub için güvenlik sağlayıcısı ve yönlendirme ayarlarını yönet'i seçin.
Menüden Yönlendirme İlkelerinizi yapılandırmak istediğiniz Merkez'i seçin.
Ayarlar'ın altında Güvenlik yapılandırması'nıseçin
Bir İnternet Trafik Yönlendirme İlkesi yapılandırmak istiyorsanız, İnternet Trafiği açılır listesinden Azure Güvenlik Duvarı veya ilgili İnternet Güvenliği sağlayıcısını seçin. Aksi takdirde Yok'a tıklayın
Azure Güvenlik Duvarı aracılığıyla bir Özel Trafik Yönlendirme İlkesi (dal ve Sanal Ağ trafik için) yapılandırmak istiyorsanız, Özel Trafik açılan listesinden Azure Güvenlik Duvarı seçin. Yoksa, Azure Güvenlik Duvarı atla'yı seçin.
Özel Trafik Yönlendirme İlkesi yapılandırmak istiyorsanız ve IANA olmayan RFC1918 Ön Eklerini gösteren dallarınız veya sanal ağlarınız varsa, Özel Trafik Ön Ekleri'ni seçin ve açılan metin kutusunda IANA olmayan RFC1918 ön ek aralıklarını belirtin. Bitti'yi seçin.
Etkinleştirilecek Hub'lar arası seçeneğini belirleyin. Bu seçeneğin etkinleştirilmesi, Yönlendirme İlkelerinizin bu Sanal WAN Merkezi'nin Yönlendirme Amacına uygulanmasını sağlar.
Kaydet'i seçin.
Yönlendirme ilkelerini yapılandırmak istediğiniz diğer Güvenli Sanal WAN merkezleri için 2 ila 8. adımları yineleyin.
Bu noktada test trafiği göndermeye hazır olursunuz. Güvenlik Duvarı İlkelerinizin, istediğiniz güvenlik yapılandırmalarına göre trafiğe izin verecek/trafiği reddedecek şekilde uygun şekilde yapılandırıldığından emin olun.
Sanal WAN portalı aracılığıyla yönlendirme amacını ve ilkelerini yapılandırma
Aşağıdaki adımlar, Sanal WAN portalını kullanarak Sanal Hub'ınızda yönlendirme amacını ve yönlendirme ilkelerini yapılandırmayı açıklar.
Önkoşullar bölümündeki 3. adımdaki onay e-postasında sağlanan özel portal bağlantısından yönlendirme ilkelerini yapılandırmak istediğiniz Sanal WAN hub'ına gidin.
Yönlendirme'nin altında Yönlendirme İlkeleri'ne tıklayın.
Özel Trafik Yönlendirme İlkesi yapılandırmak istiyorsanız (dal ve Sanal Ağ Trafik için), Özel Trafik altında Azure Güvenlik Duvarı, Ağ Sanal Gereci veya SaaS çözümleri'ni seçin. Sonraki Atlama Kaynağı'nın altında ilgili sonraki atlama kaynağını seçin.
Özel Trafik Yönlendirme İlkesi yapılandırmak istiyorsanız ve IANA olmayan RFC1918 Ön Ekleri kullanan dallara veya sanal ağlara sahip olmak istiyorsanız, Ek Önekler'i seçin ve açılan metin kutusunda IANA olmayan RFC1918 ön ek aralıklarını belirtin. Bitti'yi seçin. Tüm merkezlere doğru rotaların tanıtıldığından emin olmak için, Özel Yönlendirme İlkeleri ile yapılandırılmış tüm Sanal Merkezlerde Özel Trafik ön eki metin kutusuna aynı ön eki eklediğinizden emin olun.
İnternet Trafik Yönlendirme İlkesi yapılandırmak istiyorsanız Azure Güvenlik Duvarı, Ağ Sanal Gereci veya SaaS çözümü'ne tıklayın. Sonraki Atlama Kaynağı'nın altında ilgili sonraki atlama kaynağını seçin.
Yönlendirme amacınızı ve yönlendirme ilkeleri yapılandırmanızı uygulamak için Kaydet'e tıklayın.
Yönlendirme ilkelerini yapılandırmak istediğiniz tüm merkezler için bu işlemi tekrarlayın.
Bu noktada test trafiği göndermeye hazır olursunuz. Güvenlik Duvarı İlkelerinizin, istediğiniz güvenlik yapılandırmalarına göre trafiğe izin verecek/trafiği reddedecek şekilde uygun şekilde yapılandırıldığından emin olun.
BICEP şablonu kullanarak yönlendirme amacını yapılandırma
Şablon ve adımlar hakkında bilgi için bkz. BICEP şablonu.
Sorun giderme
Aşağıdaki bölümde, Sanal WAN Hub'ınızda yönlendirme amacını ve ilkelerini yapılandırırken sorun gidermenin yaygın yolları açıklanmaktadır.
Geçerli Yollar
Not
Sanal WAN yönlendirme amacı sonraki atlama kaynaklarına geçerli yolların uygulanması yalnızca özel yönlendirme ilkesinde belirtilen sonraki atlama kaynağı için desteklenir. Hem özel hem de İnternet yönlendirme ilkeleri kullanıyorsanız, internet yönlendirme ilkesi sonraki atlama kaynağında geçerli yollar Sanal WAN programlar için özel yönlendirme ilkesinde belirtilen sonraki atlama kaynağındaki geçerli yolları denetleyin. Yalnızca İnternet yönlendirme ilkelerini kullanıyorsanız, sonraki atlama kaynağında İnternet yönlendirme ilkesinde programlanan yolları görüntülemek için defaultRouteTable'da geçerli yolları denetleyin.
Sanal Hub'da özel yönlendirme ilkeleri yapılandırıldığında, şirket içi ve Sanal Ağ arasındaki tüm trafik Sanal hub'daki Azure Güvenlik Duvarı, Ağ Sanal Gereci veya SaaS çözümü tarafından incelenir.
Bu nedenle defaultRouteTable'ın geçerli yolları, sonraki atlama Azure Güvenlik Duvarı veya Ağ Sanal Gereci ile RFC1918 toplama ön eklerini (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) gösterir. Bu, Sanal Ağ ve dallar arasındaki tüm trafiğin denetim için merkezdeki Azure Güvenlik Duvarı, NVA veya SaaS çözümüne yönlendirildiğini yansıtır.
Güvenlik Duvarı paketi inceledikten sonra (ve güvenlik duvarı kuralı yapılandırmasına göre pakete izin verilir), Sanal WAN paketi son hedefine iletir. Sanal WAN denetlenen paketleri iletmek için hangi yolları kullandığını görmek için Güvenlik Duvarı veya Ağ Sanal Gereci'nin etkin yol tablosunu görüntüleyin.
Güvenlik duvarı etkin yol tablosu, ağınızdaki yanlış yapılandırmalar veya belirli dallar ve Sanal ağlarla ilgili sorunlar gibi sorunları daraltmanıza ve yalıtmanıza yardımcı olur.
Yapılandırma sorunlarını giderme
Yapılandırma sorunlarını gideriyorsanız aşağıdakileri göz önünde bulundurun:
- Sonraki atlama Sanal Ağ bağlantısına sahip defaultRouteTable'da özel yol tablolarının veya statik yolların olmadığından emin olun.
- Dağıtımınız yukarıdaki gereksinimleri karşılamıyorsa Yönlendirme amacını yapılandırma seçeneği Azure portalında gri gösterilir.
- CLI, PowerShell veya REST kullanıyorsanız yönlendirme amacı oluşturma işlemi başarısız olur. Başarısız yönlendirme amacını silin, özel yol tablolarını ve statik yolları kaldırın ve yeniden oluşturmayı deneyin.
- Azure Güvenlik Duvarı Yöneticisi kullanıyorsanız defaultRouteTable'daki mevcut yolların private_traffic, internet_traffic veya all_traffic olarak adlandırıldığından emin olun. Yönlendirme amacını yapılandırma seçeneği (hub'lar arası etkinleştirme) yollar farklı adlandırılırsa gri görüntülenir.
- Bir hub'da yönlendirme amacını yapılandırdıktan sonra, isteğe bağlı ilişkilendirilmiş ve yayılan yol tablosu alanları boş olarak ayarlanmış mevcut bağlantılarda veya hub'a yeni bağlantılarda yapılan güncelleştirmelerin oluşturulduğundan emin olun. İsteğe bağlı ilişkilendirmeleri ve yaymaları boş olarak ayarlamak, Azure portalı aracılığıyla gerçekleştirilen tüm işlemler için otomatik olarak yapılır.
Veri yolu sorunlarını giderme
Bilinen Sınırlamalar bölümünü zaten gözden geçirdiyseniz, veri yolu ve bağlantı sorunlarını gidermenin bazı yolları şunlardır:
- Etkili Yollar ile ilgili sorun giderme:
- Özel Yönlendirme İlkeleri yapılandırıldıysa, RFC1918 toplamaları için defaultRouteTable'ın geçerli yollarında (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) sonraki atlama Güvenlik Duvarı olan yolları ve özel trafik metin kutusunda belirtilen ön ekleri görmeniz gerekir. Tüm Sanal Ağ ve şirket içi ön eklerinin defaultRouteTable'daki statik yollar içindeki alt ağlar olduğundan emin olun. Şirket içi veya Sanal Ağ, defaultRouteTable'daki geçerli yollar içinde alt ağ olmayan bir adres alanı kullanıyorsa, öneki özel trafik metin kutusuna ekleyin.
- İnternet Trafik Yönlendirme İlkeleri yapılandırıldıysa, defaultRouteTable'ın geçerli yollarında varsayılan (0.0.0.0/0) yolunu görmeniz gerekir.
- DefaultRouteTable'ın geçerli yollarının doğru ön eklere sahip olduğunu doğruladıktan sonra Ağ Sanal Gereci'nin Etkin Yolları'nı veya Azure Güvenlik Duvarı görüntüleyin. Güvenlik Duvarı'nda geçerli yollar, Sanal WAN hangi yolları seçtiğini gösterir ve Güvenlik Duvarı'nın paketleri hangi hedeflere iletebileceğini belirler. Hangi ön eklerin eksik veya yanlış durumda olduğunu anlamak, veri yolu sorunlarını daraltmaya ve sorun gidermek için doğru VPN, ExpressRoute, NVA veya BGP bağlantısına işaret etmeye yardımcı olur.
- Senaryoya özgü sorun giderme:
- Sanal WAN güvenli olmayan bir hub'ınız (Azure Güvenlik Duvarı veya NVA olmayan hub) varsa, güvenli olmayan hub bağlantılarının yönlendirme amacı yapılandırılmış hub'ların defaultRouteTable'ına yayıldığından emin olun. Yaymalar defaultRouteTable olarak ayarlanmamışsa, güvenli hub'a yapılan bağlantılar güvenli olmayan hub'a paket gönderemez.
- İnternet Yönlendirme İlkeleri yapılandırılmışsa, 0.0.0.0/0 varsayılan yolunu öğrenmesi gereken tüm bağlantılar için 'Varsayılan Yolu Yay' veya 'İnternet Güvenliğini Etkinleştir' ayarının 'true' olarak ayarlandığından emin olun. Bu ayarın 'false' olarak ayarlandığı bağlantılar, İnternet Yönlendirme İlkeleri yapılandırılmış olsa bile 0.0.0.0/0 yolunu öğrenmez.
- Sanal Hub'a bağlı Sanal Ağ dağıtılan Özel Uç Noktaları kullanıyorsanız, Sanal WAN hub'ına bağlı Sanal Ağ'lerde dağıtılan şirket içi özel uç noktaları hedefleyen trafik varsayılan olarak yönlendirme amacını atlar Azure Güvenlik Duvarı, NVA veya SaaS. Ancak bu durum, Uç Sanal Ağlar'daki Özel Uç Noktalar şirket içi trafiği Güvenlik Duvarı'na ilettiğinden asimetrik yönlendirmeye yola açabilir (bu da şirket içi ile Özel Uç Noktalar arasında bağlantı kaybına neden olabilir). Yönlendirme simetrisini sağlamak için Özel Uç Noktaların dağıtıldığı alt ağlardaki özel uç noktalar için Rota Tablosu ağ ilkelerini etkinleştirin. Özel Trafik metin kutusunda Özel Uç Nokta özel IP adreslerine karşılık gelen /32 yollarının yapılandırılması, hub'da özel yönlendirme ilkeleri yapılandırıldığında trafik simetrisini sağlamaz .
- Özel Yönlendirme İlkeleri ile Şifrelenmiş ExpressRoute kullanıyorsanız, Güvenlik Duvarı cihazınızın Sanal WAN Siteden siteye VPN Gateway özel IP tüneli uç noktası ile şirket içi VPN cihazı arasında trafiğe izin verecek şekilde yapılandırılmış bir kuralı olduğundan emin olun. ESP (şifrelenmiş dış) paketleri Azure Güvenlik Duvarı günlüklerde oturum açmalıdır. Yönlendirme amacı olan Encrypted ExpressRoute hakkında daha fazla bilgi için Bkz . Encrypted ExpressRoute belgeleri.
- Uç sanal ağlarınızda kullanıcı tanımlı rota tabloları kullanıyorsanız, yol tablosunda "Ağ geçidi yollarını yay" seçeneğinin "Evet" olarak ayarlandığından emin olun. Sanal WAN Sanal WAN bağlı uç Sanal Ağ dağıtılan iş yüklerine yol tanıtması için "Ağ geçidi yollarını yay" etkinleştirilmelidir. Kullanıcı tanımlı yönlendirme tablosu ayarları hakkında daha fazla bilgi için kullanıcı tanımlı yönlendirme belgeleri Sanal Ağ bakın.
Azure Güvenlik Duvarı yönlendirme sorunlarını giderme
- Yönlendirme amacını yapılandırmaya çalışmadan önce Azure Güvenlik Duvarı sağlama durumunun başarılı olduğundan emin olun.
- Dallarınızda/Sanal Ağ'lerinizde IANA olmayan RFC1918 ön ekleri kullanıyorsanız, bu ön ekleri "Özel Önekler" metin kutusunda belirttiğinizden emin olun. Yapılandırılan "Özel Ön Ekler", yönlendirme amacı ile yapılandırılan Sanal WAN diğer hub'lara otomatik olarak yayılmaz. Bağlantıyı sağlamak için, yönlendirme amacı olan her bir hub'daki "Özel Önekler" metin kutusuna bu ön ekleri ekleyin.
- Güvenlik Duvarı Yöneticisi'ndeki Özel Trafik Ön Ekleri metin kutusunun parçası olarak RFC1918 olmayan adresler belirttiyseniz, güvenlik duvarınızda SNAT ilkelerini RFC1918 olmayan özel trafik için SNAT'yi devre dışı bırakmak üzere yapılandırmanız gerekebilir. Daha fazla bilgi için SNAT aralıklarına Azure Güvenlik Duvarı başvurun.
- Ağ trafiğinizin sorunlarını gidermeye ve analiz etmeye yardımcı olmak için Azure Güvenlik Duvarı günlüklerini yapılandırın ve görüntüleyin. Azure Güvenlik Duvarı için izlemeyi ayarlama hakkında daha fazla bilgi için Azure Güvenlik Duvarı tanılamaya başvurun. Güvenlik duvarı günlüklerinin farklı türlerine genel bakış için bkz. Azure Güvenlik Duvarı günlükleri ve ölçümler.
- Azure Güvenlik Duvarı hakkında daha fazla bilgi için Azure Güvenlik Duvarı Belgeleri'ne bakın.
Ağ Sanal Gereçleriyle İlgili Sorunları Giderme
- Yönlendirme amacını yapılandırmaya çalışmadan önce Ağ Sanal Gereci'nin sağlama durumunun başarılı olduğundan emin olun.
- Bağlı şirket içi veya Sanal Ağ IANA olmayan RFC1918 ön ekleri kullanıyorsanız, bu ön ekleri "Özel Ön Ekler" metin kutusunda belirttiğinizden emin olun. Yapılandırılan "Özel Ön Ekler", yönlendirme amacı ile yapılandırılan Sanal WAN diğer hub'lara otomatik olarak yayılmaz. Bağlantıyı sağlamak için, yönlendirme amacı olan her bir hub'daki "Özel Önekler" metin kutusuna bu ön ekleri ekleyin.
- Özel Trafik Ön Ekleri metin kutusunun parçası olarak RFC1918 olmayan adresler belirttiyseniz, RFC1918 olmayan belirli özel trafik için SNAT'yi devre dışı bırakmak üzere NVA'nızda SNAT ilkelerini yapılandırmanız gerekebilir.
- Güvenlik duvarı kurallarınız tarafından trafiğin bırakılıp bırakılmadığını veya reddedildiğini görmek için NVA Güvenlik Duvarı günlüklerini denetleyin.
- Sorun giderme konusunda daha fazla destek ve rehberlik için NVA sağlayıcınıza ulaşın.
Hizmet olarak yazılım sorunlarını giderme
- Yönlendirme amacını yapılandırmaya çalışmadan önce SaaS çözümünün sağlama durumunun başarılı olduğundan emin olun.
- Daha fazla sorun giderme ipucu için Sanal WAN belgelerindeki sorun giderme bölümüne bakın veya Palo Alto Networks Cloud NGFW belgelerine bakın.
Sonraki adımlar
Sanal hub yönlendirme hakkında daha fazla bilgi için bkz . Sanal hub yönlendirme hakkında. Sanal WAN hakkında daha fazla bilgi için bkz. SSS.