Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Im folgenden Dokument werden verschiedene Routingmuster beschrieben, die Sie mit der Virtual WAN-Routingabsicht verwenden können, um den an das Internet gebundenen Datenverkehr zu untersuchen.
Hintergrund
Mit der Routing-Intention im virtuellen WAN können Sie privaten und Internet-Datenverkehr an Sicherheitslösungen leiten, die im virtuellen WAN-Hub bereitgestellt werden.
In der folgenden Tabelle sind die beiden verschiedenen Modi zusammengefasst, mit denen definiert wird, wie virtual WAN Internet-gebundene Datenverkehr prüft und leitet:
| Modus | Internetdatenverkehr |
|---|---|
| Direktzugriff | Direkt nach Inspektion an das Internet weitergeleitet. |
| Erzwungener Tunnel | Weitergeleitet über einen bestimmten nächsten Hop (0.0.0.0/0-Route, die von einer lokalen Umgebung, einem virtuellen Netzwerkgerät (NVA) oder einer statischen Virtual WAN-Route angegeben wird) nach der Überprüfung. Wenn keine 0.0.0.0/0-Route von der lokalen Umgebung, einem NVA oder einer statischen Route für eine Virtual Network-Verbindung angegeben wird, wird der an das Internet gebundene Datenverkehr blockiert. |
Verfügbarkeit
In diesem Abschnitt wird die Verfügbarkeit des direkten Zugriffs und des erzwungenen Tunnelmodus beschrieben. Stellen Sie sicher, dass Sie den Unterschied zwischen den beiden Modi verstehen und den Abschnitt im Zusammenhang mit Ihrer beabsichtigten Konfiguration überprüfen.
Direktzugriff
Die folgende Tabelle zeigt den Verfügbarkeitsstatus der Sicherung des Internetzugriffs mit direktem Zugriff durch Konfigurieren der Internetroutingrichtlinie.
| Sicherheitslösung | Der Status |
|---|---|
| Azure Firewall | Allgemein verfügbar in Azure Public and Azure Government Clouds. |
| Firewall-NVA im virtuellen WAN-Hub | Allgemein verfügbar in Regionen, in denen virtuelle Netzwerkgeräte verfügbar sind. |
| Software-as-a-Service im virtuellen WAN-Hub | Allgemein verfügbar in Regionen, in denen Palo Alto Cloud NGFW verfügbar ist. |
Erzwungener Tunnel
Die folgende Tabelle zeigt den Verfügbarkeitsstatus der Sicherung des Internetzugriffs mit erzwungener Tunnelung durch Konfigurieren der privaten Routingrichtlinie.
Von Bedeutung
Das Konfigurieren von virtuellen WAN-Hubs im erzwungenen Tunnelmodus wird in Azure Public bereitgestellt. Die Bereitstellung erfolgt für Azure Government. Wenn Sie Fragen zur Verfügbarkeit von Regionen haben, wenden Sie sich an virtual-wan-forced-tunnel@microsoft.com oder an Ihr Microsoft-Kontoteam.
| Sicherheitslösung | Der Status |
|---|---|
| Azure Firewall | Allgemein verfügbar in Azure Public. |
| Firewall-NVA im virtuellen WAN-Hub | Öffentliche Vorschau in Regionen, in denen virtuelle Netzwerkgeräte verfügbar sind. |
| Software-as-a-Service im virtuellen WAN-Hub | Public Preview in Regionen, in denen Palo Alto Cloud NGFW verfügbar ist. |
Bekannte Einschränkungen
Konfiguration des erzwungenen Tunnels:
- Für den erzwungenen Tunnel ist eine bestimmte Routingabsichtskonfiguration erforderlich.
- Destination-NAT (DNAT) für Sicherheitslösungen, die im virtuellen WAN-Hub bereitgestellt werden, werden für virtuelle WAN-Hubs, die mit dem Erzwungenen Tunnel-Internetroutingmodus konfiguriert sind, nicht unterstützt . Die eingehende Verbindung für DNAT-Datenverkehr stammt aus dem Internet. Der erzwungene Tunnelmodus erzwingt jedoch den Rückgabedatenverkehr über die lokale Umgebung oder ein NVA. Dieses Routingmuster führt zu asymmetrischer Weiterleitung.
- Datenverkehr vom lokalen Netzwerk, der für die öffentliche IP-Adresse eines Azure-Speicherkontos bestimmt ist, das in derselben Azure-Region wie der virtuelle WAN-Hub bereitgestellt wird, umgeht die Sicherheitslösung, die im Hub liegt. Weitere Informationen zum Problem finden Sie unter Virtual WAN bekannte Probleme.
- Lokal können erzwungene Tunnelrouten nicht spezifischer als 0.0.0.0/0 angekündigt werden. Die Ankündigung spezifischerer Routen wie 0.0.0.0/1 und 128.0.0.0/1 lokal kann den Verwaltungsdatenverkehr für Azure Firewall oder für die in den virtuellen Hub integrierten NVAs fehlleiten.
- Wenn eine 0.0.0.0/0-Route als statische Route für eine Virtuelle Netzwerke-Verbindung konfiguriert ist, wird die Einstellung für das Umgehen des nächsten Hops, die für die Virtuelle Netzwerke-Verbindung konfiguriert ist, ignoriert und es wird angenommen, dass sie auf Bypass/Gleich festgelegt ist. Dies bedeutet, dass der datenverkehr, der für IP-Adressen innerhalb der Virtuellen Netzwerkverbindung mit der konfigurierten statischen Route 0.0.0.0/0 bestimmt ist, von der Sicherheitsanwendung im virtuellen Hub überprüft und direkt an die Ziel-IP im virtuellen Netzwerk weitergeleitet wird. Der Datenverkehr umgeht die nächste IP-Adresse des nächsten Hops, die in der statischen Route konfiguriert ist. Ein ausführliches Beispiel dieses Routingverhaltens finden Sie unter traffic behavior with Bypass Next Hop IP enabled im Dokument bypass next hop IP.
- Die von ExpressRoute gelernte Standardroute kann nicht an einen anderen ExpressRoute-Schaltkreis angekündigt werden. Dies bedeutet, dass Sie virtuelles WAN nicht konfigurieren können, um Internetdatenverkehr von einem ExpressRoute-Schaltkreis an einen anderen ExpressRoute-Schaltkreis für den Ausgang weiterzuleiten.
- Wenn keine 0.0.0.0/0-Route von der lokalen Umgebung angegeben wurde oder eine statische Route so konfiguriert ist, dass sie auf ein NVA in einem Spoke-Netzwerk verweist, werden die effektiven Routen in der Sicherheitslösung fälschlicherweise als 0.0.0.0/0 mit dem nächsten Hop Internet angezeigt. Da Internetdatenverkehr nicht an die Sicherheitslösung im Hub weitergeleitet wird, wenn der erzwungene Tunnelmodus konfiguriert ist, ohne dass 0.0.0.0/0 explizit von der lokalen Umgebung angegeben oder als statische Route konfiguriert wurde, sollten effektive Routen keine 0.0.0.0/0-Route enthalten.
Direkter Zugriff:
- Datenverkehr vom lokalen Netzwerk, der für die öffentliche IP-Adresse eines Azure-Speicherkontos bestimmt ist, das in derselben Azure-Region wie der virtuelle WAN-Hub bereitgestellt wird, umgeht die Sicherheitslösung, die im Hub liegt. Weitere Informationen zu dieser Einschränkung und potenziellen Gegenmaßnahmen finden Sie unter Virtual WAN bekannte Probleme.
Portalprobleme:
- Wenn ein Hub im Erzwungenen Tunnelmodus konfiguriert ist, zeigt Azure Firewall Manager den Internetverkehr für Verbindungen nicht ordnungsgemäß als gesichert an. Darüber hinaus lässt Azure Firewall Manager nicht zu, dass Sie den gesicherten Status von Verbindungen ändern können. Um den gesicherten Status zu ändern, ändern Sie die Einstellung "Internetsicherheit aktivieren " oder "Standardrouteneinstellung für die Verbindung weitergeben".
Direktzugriff
Wenn virtual WAN für die direkte Weiterleitung des Datenverkehrs an das Internet konfiguriert ist, wendet Virtual WAN eine statische Standardroute 0.0.0.0/0 auf der Sicherheitslösung mit dem nächsten Hop Internet an.Diese Konfiguration ist die einzige Möglichkeit, um sicherzustellen, dass die Sicherheitslösung Datenverkehr direkt an das Internet weiter leitet.
Diese statische Standardroute hat eine höhere Priorität als jede Standardroute, die von der lokalen Umgebung oder von einem NVA angegeben wurde oder als statische Route in einem Virtual Network-Spoke konfiguriert wurde. Spezifischere Präfixe, die lokal angekündigt werden (0.0.0.0/1 und 128.0.0.0/1), gelten jedoch aufgrund der längsten Präfixübereinstimmung als höhere Priorität für den Internetdatenverkehr.
Effektive Routen
Wenn Sie private Routingrichtlinien auf Ihrem virtuellen WAN-Hub konfiguriert haben, können Sie die effektiven Routen für die nächste Hop-Sicherheitslösung anzeigen. Für Bereitstellungen, die mit direktem Zugriff konfiguriert sind, enthalten die effektiven Routen in der Sicherheitslösung für den nächsten Hop die Route 0.0.0.0/0 mit Internet als nächstem Hop.
Erzwungener Tunnel
Wenn virtual WAN im erzwungenen Tunnelmodus konfiguriert ist, wird die vom virtuellen WAN-Hub basierende Standardroute mit der höchsten Priorität basierend auf der Hubroutingeinstellung von der Sicherheitslösung verwendet, um Internetdatenverkehr weiterzuleiten.
Durch das erzwungene Tunneln wird Virtual WAN angewiesen, zu erwarten, dass Internetdatenverkehr an einen bestimmten nächsten Hop anstatt direkt an das Internet weitergeleitet wird. Wenn es daher keine Standardrouten gibt, die dynamisch von lokalen Umgebungen gelernt oder als statische Route für virtuelle Netzwerkverbindungen konfiguriert wurden, wird der Internetverkehr von der Azure-Plattform verworfen und nicht an die Sicherheitslösung im Hub weitergeleitet.
Die Sicherheitslösung im virtuellen WAN-Hub leitet den Datenverkehr nicht direkt als Sicherungspfad an das Internet weiter.
Unterstützte Quellen der Standardroute
Hinweis
Der 0.0.0.0/0 wird nicht über virtuelle Hubs verteilt. Dies bedeutet, dass eine lokale Verbindung für virtuelle Hubs verwendet werden muss, die für den Internetzugriff über erzwungenen Tunnel konfiguriert sind.
Die Standardroute kann aus den folgenden Quellen gelernt werden.
- ExpressRoute
- Standort-zu-Standort-VPN (dynamisch oder statisch)
- NVA im Hub
- NVA im Spoke
- Statische Route für eine Virtual Network-Verbindung (mit „Statische Route verteilen“ auf EIN festgelegt)
Die Standardroute kann nicht wie folgt konfiguriert werden :
- Statische Route in „defaultRouteTable“ mit Virtual Network-Verbindung mit nächstem Hop
Effektive Routen
Für Bereitstellungen, die mit erzwungenem Tunnel konfiguriert sind, enthalten effektive Routen in der Next-Hop-Sicherheitslösung die Route 0.0.0.0/0 mit dem nächsten Hop als die ausgewählte Standardroute, die von den lokalen Gegebenheiten gelernt oder als statische Route in einer virtuellen Netzwerkverbindung konfiguriert wurde.
Configurations
In den folgenden Abschnitten werden die erforderlichen Konfigurationen zum Weiterleiten von Internetdatenverkehr im direkten Zugriff oder erzwungenen Tunnelmodus beschrieben.
Konfiguration des virtuellen WAN-Routings
Hinweis
Der erzwungene Routing-Modus für Tunnel-Internetdatenverkehr ist nur für virtuelle WAN-Hubs verfügbar, die Routing-Intentionen mit privaten Routingrichtlinien verwenden. Hubs, die keine Routingabsicht verwenden oder Internetroutingrichtlinien verwenden, können nur den Direkten Zugriff verwenden.
In der folgenden Tabelle wird die Konfiguration zusammengefasst, die zum Weiterleiten des Datenverkehrs mithilfe der beiden verschiedenen Modi für das Routing von Internetdatenverkehr erforderlich ist.
| Modus | Private Routing-Richtlinie | Zusätzliche Präfixe | Internet-Routing-Richtlinie |
|---|---|---|---|
| Direktzugriff | Wahlfrei | Keine erforderlich | Erforderlich |
| Erzwungener Tunnel | Erforderlich | 0.0.0.0/0 | Nein |
Konfigurationsschritte im Routingabsichtsportal
Hinweis
Das Azure-Portal führt Überprüfungen durch, um sicherzustellen, dass Bereitstellungen entweder im erzwungenen Tunnelmodus oder im Direkten Zugriffsmodus ausgeführt werden. Dies bedeutet, dass Sie, wenn der erzwungene Tunnelmodus aktiviert ist, keine Internetrichtlinie direkt hinzufügen können. Führen Sie die folgenden Schritte aus, um vom erzwungenen Tunnelmodus zum Direkten Zugriffsmodus zu migrieren: Entfernen Sie die statische Route 0.0.0.0/0 aus zusätzlichen Präfixen, aktivieren Sie die Internetrichtlinie und speichern Sie.
Im folgenden Abschnitt wird beschrieben, wie Sie die Routingabsicht konfigurieren, um erzwungenen Tunnel und direkten Zugriff mithilfe der Routingabsicht und Richtlinien des virtuellen WAN im Azure-Portal zu konfigurieren. Diese Schritte gelten für Azure Firewall,Network Virtual Appliances oder Software-as-a-Service-Lösungen, die im virtuellen WAN-Hub bereitgestellt werden.
- Navigieren Sie zu Ihrem virtuellen Hub, der mit einer Sicherheitslösung bereitgestellt wird.
- Wählen Sie unter "Routing" die Option " Routingabsicht" und "Routingrichtlinien" aus.
Erzwungener Tunnel
- Wählen Sie Ihre bevorzugte Sicherheitslösung als nächste Hop-Ressource für privaten Datenverkehr aus. Wählen Sie nichts für Internetdatenverkehr aus.
- Fügen Sie die Route "0.0.0.0/0" zu zusätzlichen Präfixen hinzu.
- Speichern Sie Ihre Konfiguration.
Direktzugriff
- Wählen Sie Ihre bevorzugte Sicherheitslösung als nächste Hop-Ressource für Internetdatenverkehr aus. Wählen Sie optional Ihre bevorzugte Sicherheitslösung als nächste Hop-Ressource für privaten Datenverkehr aus.
- Speichern Sie Ihre Konfiguration.
Konfigurationsschritte in Azure Firewall Manager
Hinweis
Das Azure-Portal führt Überprüfungen durch, um sicherzustellen, dass Bereitstellungen entweder im erzwungenen Tunnelmodus oder im Direkten Zugriffsmodus ausgeführt werden. Dies bedeutet, dass Sie, wenn der erzwungene Tunnelmodus aktiviert ist, keine Internetrichtlinie direkt hinzufügen können. Führen Sie die folgenden Schritte aus, um vom erzwungenen Tunnelmodus zum Direkten Zugriffsmodus zu migrieren: Entfernen Sie die statische Route 0.0.0.0/0 aus zusätzlichen Präfixen, aktivieren Sie Die Internetrichtlinie und speichern Sie.
Im folgenden Abschnitt wird beschrieben, wie Sie Routingabsichten konfigurieren, um den erzwungenen Tunnel und direkten Zugriff mithilfe von Virtual WAN-Routingabsichten und Richtlinien in Azure Firewall Manager zu konfigurieren. Diese Schritte gelten nur für Azure Firewall im virtuellen WAN-Hub.
- Navigieren Sie zu Ihrem virtuellen WAN-Hub.
- Wählen Sie Azure Firewall und Firewall Manager unter "Sicherheit " und dann Ihren virtuellen WAN-Hub aus.
- Wählen Sie unter "Einstellungen" die Option "Sicherheitskonfiguration" aus.
Erzwungener Tunnel
- Legen Sie Privaten Datenverkehr auf "Über Azure-Firewall senden" und Inter-Hub auf "Aktiviert".
- Fügen Sie die Route "0.0.0.0/0" zu zusätzlichen Präfixen hinzu.
- Speichern Sie Ihre Konfiguration.
Direktzugriff
- Stellen Sie Internetdatenverkehr auf Azure Firewall und Inter-Hub auf aktiviert ein. Legen Sie optional den privaten Datenverkehrauf "Senden über die Azure-Firewall " und " Inter-Hub " fest, damit er aktiviert ist.
- Speichern Sie Ihre Konfiguration.
Weitere Konfigurationsmethoden (Terraform, CLI, PowerShell, REST, Bicep)
Die folgenden JSON-Konfigurationen stellen beispielweise Azure Resource Manager-Ressourcendarstellungen virtueller WAN-Routingkonstrukte dar, die für den direkten Zugriff oder erzwungene Tunnelmodi konfiguriert sind. Diese JSON-Konfigurationen können an Ihre spezifische Umgebung/Konfiguration angepasst werden und verwendet werden, um die richtige Terraform-, CLI-, PowerShell- oder Bicep-Konfiguration abzuleiten.
Erzwungener Tunnel
Das folgende Beispiel JSON zeigt eine Beispielroutingabsichtsressource, die mit einer privaten Routingrichtlinie konfiguriert ist.
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
Das folgende Beispiel JSON zeigt eine Beispiel für eine Standardroutentabellenkonfiguration mit Routen für private Routingrichtlinien und zusätzlichem Präfix (0.0.0.0/0), die in der Standardroutentabelle hinzugefügt wurden.
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "private_traffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
Direktzugriff
Das folgende Beispiel JSON zeigt eine Beispielroutingabsichtsressource, die sowohl mit der Internet- als auch der privaten Routingrichtlinie konfiguriert ist.
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
},
{
"name": "PublicTraffic",
"destinations": [
"Internet"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
Das folgende Beispiel-JSON zeigt ein Beispiel für eine Standardkonfiguration der Routentabelle mit privaten Routen und Routen mit Internet-Weiterleitungsrichtlinien.
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "_policy_PublicTraffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
Konfigurieren Sie Verbindungen, um die Standardroute (0.0.0.0/0) zu lernen.
Stellen Sie für Verbindungen, die Internetzugriff über Virtual WAN benötigen, sicher, dass Internetsicherheit aktivieren oder Standardroute propagieren auf true festgelegt ist. Diese Konfiguration weist virtuelles WAN an, die Standardroute für diese Verbindung anzukündigen.
Besonderer Hinweis für erzwungene Tunnelhubs
Stellen Sie für Hubs, die im erzwungenen Tunnelmodus konfiguriert sind, sicher, dass für die lokale ExpressRoute- oder VPN- und Virtual Network-Verbindung, die die Route 0.0.0.0/0-Route für Virtual WAN ankündigt, Internetsicherheit aktivieren oder Standardroute verteilen auf false festgelegt ist. Dadurch wird sichergestellt, dass Virtual WAN die Route 0.0.0.0/0 ordnungsgemäß von der On-Premises-Umgebung erlernt und gleichzeitig unerwartete Routing-Schleifen verhindert.
Konfigurationen von Sicherheitslösungen
Im folgenden Abschnitt werden die Unterschiede bei der Sicherheitslösungskonfiguration für den direkten Zugriff und erzwungene Tunnelweiterleitungsmodi beschrieben.
Direktzugriff
Im folgenden Abschnitt werden Konfigurationsüberlegungen beschrieben, die erforderlich sind, um sicherzustellen, dass Sicherheitslösungen im virtuellen WAN-Hub Pakete direkt an das Internet weiterleiten können.
Azure Firewall:
- Stellen Sie sicher, dass Source-NAT (SNAT) für alle nicht RFC1918 Netzwerkverkehr Konfigurationen aktiviert ist.
- Vermeiden Sie die SNAT-Portausschöpfung, indem Sie sicherstellen, dass ihrer Azure Firewall-Bereitstellung ausreichende öffentliche IP-Adressen zugeordnet sind.
SaaS-Lösung oder integrierte NVAs:
Die folgenden Empfehlungen sind allgemeine Basisempfehlungen. Wenden Sie sich an Ihren Anbieter, um vollständige Anleitungen zu erhalten.
- Referenzanbieterdokumentation, um Folgendes sicherzustellen:
- Die interne Routentabelle in der NVA- oder SaaS-Lösung hat 0.0.0.0/0 ordnungsgemäß konfiguriert, um Internetdatenverkehr über die externe Schnittstelle weiterzuleiten.
- SNAT ist für die NVA- oder SaaS-Lösungen bei allen Konfigurationen von Netzwerkdatenverkehr konfiguriert, die nicht RFC-1918 entsprechen.
- Stellen Sie sicher, dass ihrer NVA - oder SaaS-Bereitstellung ausreichende öffentliche IP-Adressen zugeordnet sind, um die SNAT-Portausschöpfung zu vermeiden.
Erzwungener Tunnel
Im folgenden Abschnitt werden Konfigurationsüberlegungen beschrieben, die erforderlich sind, um sicherzustellen, dass Sicherheitslösungen im virtuellen WAN-Hub internetgebundene Pakete an lokale oder eine NVA weiterleiten können, die die 0.0.0.0/0-Route an virtual WAN anzeigt.
Azure Firewall:
- Konfigurieren sie Source-NAT (SNAT).
- Ursprüngliche Quell-IP des Internetdatenverkehrs beibehalten: SNAT für alle Datenverkehrskonfigurationen deaktivieren .
- SNAT-Internetdatenverkehr an die private IP-Adresse der Firewall-Instanz: Schalten Sie SNAT ein für nicht-RFC 1918-Datenverkehrsbereiche.
SaaS-Lösung oder integrierte NVAs:
Die folgenden Empfehlungen sind allgemeine Basisempfehlungen. Wenden Sie sich an Ihren Anbieter, um vollständige Anleitungen zu erhalten.
- Referenzanbieterdokumentation, um Folgendes sicherzustellen:
- Die interne Routentabelle in der NVA- oder SaaS-Lösung hat 0.0.0.0/0 ordnungsgemäß konfiguriert, um Internetdatenverkehr über die interne Schnittstelle weiterzuleiten.
- Die Konfiguration der internen Routentabelle stellt sicher, dass der Verwaltungsdatenverkehr und der VPN/SDWAN-Datenverkehr über die externe Schnittstelle weitergeleitet werden.
- Konfigurieren Sie SNAT entsprechend, je nachdem, ob die ursprüngliche Quell-IP des Datenverkehrs beibehalten werden muss.