你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
以下文档介绍了可与虚拟 WAN 路由意图配合使用的不同路由模式,用于检查发往互联网的流量。
背景
虚拟 WAN 路由意图允许你将专用流量和互联网流量发送到部署在虚拟 WAN 中心的安全解决方案。
下表总结了两种不同的模式,这些模式定义了虚拟 WAN 如何检查和路由 Internet 绑定流量:
| 模式 | Internet 流量 |
|---|---|
| 直接访问 | 检查后被路由直接到互联网。 |
| 强制隧道 | 检查后,通过指定的下一跃点(从本地、网络虚拟设备 (NVA) 或虚拟 WAN 静态路由学习到的 0.0.0.0/0 路由)进行路由。 如果未从本地设备、NVA 或虚拟网络连接上的静态路由中学习到 0.0.0.0/0 路由,则 Internet 相关流量将被阻止。 |
可用性
本部分介绍 直接访问 和 强制隧道 模式的可用性。 请确保了解这两种模式之间的差异,并检查与预期配置相关的部分。
直接访问
下表显示了通过配置 Internet 路由策略通过 直接访问 保护 Internet 访问的可用性状态。
| 安全解决方案 | 状态 |
|---|---|
| Azure 防火墙 | Azure 公共云和 Azure 政府云中普遍可用。 |
| 虚拟 WAN 中心中的防火墙 NVA | 在 Azure 公有云中正式发布 |
| 虚拟 WAN 中心中的软件即服务 | 在 Azure 公有云中正式发布 |
强制隧道
下表显示了通过配置专用路由策略来保护具有 强制隧道 的 Internet 访问的可用性状态。
重要
在强制隧道模式下配置虚拟 WAN 中心正在逐步部署到所有 Azure 区域。 当前可用区域列表包括:澳大利亚中部、巴西南部、印度中部、东亚、美国东部、印度西部、韩国中部、马来西亚南部、马来西亚西部、卡塔尔中部、英国南部和美国中西部。 如果对区域可用性有任何疑问,请联系 virtual-wan-forced-tunnel@microsoft.com 或Microsoft帐户团队。
| 安全解决方案 | 状态 |
|---|---|
| Azure 防火墙 | 在选择的 Azure 区域中正式发布(请参阅上面的说明)。 |
| 虚拟 WAN 中心中的防火墙 NVA | 选择 Azure 区域中的公共预览版(请参阅上面的说明)。 |
| 虚拟 WAN 中心中的软件即服务 | 选择 Azure 区域中的公共预览版(请参阅上面的说明)。 |
已知限制
强制隧道配置:
- 强制隧道需要特定的路由意向配置。
- 对于配置为强制隧道互联网路由模式的虚拟 WAN 中心,不支持为部署在虚拟 WAN 中心的安全解决方案提供目标网络地址转换 (DNAT)。 DNAT 流量的传入连接源自互联网。 但是,强制隧道模式会强制返回流量通过本地或 NVA 传输。 此路由模式会导致非对称路由。
- 来自本地、发往与虚拟 WAN 中心位于同一 Azure 区域的 Azure 存储帐户公共 IP 地址的流量,会绕过中心的安全解决方案。 有关问题的更多详细信息,请参阅 虚拟 WAN 已知问题。
- 本地 无法 通告比 0.0.0.0/0 更具体的强制隧道路由。 从本地发布更具体的路由(如 0.0.0.0/1 和 128.0.0.0/1)可能会导致 Azure 防火墙或集成在虚拟中心中的网络虚拟设备(NVA)的管理流量被黑洞化。
- 当将 0.0.0.0/0 路由配置为虚拟网络连接上的静态路由时,虚拟网络连接中配置的绕过下一个跃点设置将被忽略,虚拟 WAN 将其视为绕过/等于。 这意味着,以配置了 0.0.0.0/0 静态路由的虚拟网络连接中的 IP 地址为目的地的流量将由虚拟中心中的安全设备检查,并直接路由到辐射虚拟网络中的目标 IP。 流量将绕过静态路由中配置的下一个跃点 IP。 有关此路由行为的详细示例,请参阅绕过下一个跃点 IP 文档中的启用绕过下一个跃点 IP 的流量行为。
- 从 ExpressRoute 学习到的默认路由无法播发到另一条 ExpressRoute 线路。 这意味着无法将虚拟 WAN 配置为将 Internet 流量从一条 ExpressRoute 线路路由到另一条 ExpressRoute 线路进行出口。
- 如果没有从本地学习到的 0.0.0.0/0 路由,也没有配置为指向分支网络中 NVA 的静态路由,则安全解决方案上的有效路由会错误地显示下一跃点为互联网的 0.0.0.0/0 路由。 当配置强制隧道模式但未从本地学习到明确的 0.0.0.0/0 路由,也未将其配置为静态路由时,互联网流量不会转发到中心的安全解决方案,因此有效路由中不应包含 0.0.0.0/0 路由。
直接访问:
- 来自本地、发往与虚拟 WAN 中心位于同一 Azure 区域的 Azure 存储帐户公共 IP 地址的流量,会绕过中心的安全解决方案。 有关此限制和潜在缓解的更多详细信息,请参阅 虚拟 WAN 已知问题。
门户问题:
- 当中心配置为强制隧道模式时,Azure 防火墙管理器无法正确将连接的互联网流量显示为已受保护状态。 此外,Azure 防火墙管理器不允许更改连接的安全状态。 若要修改 安全 状态,请更改 启用 Internet 安全性 或在连接上 传播默认路由 设置。
直接访问
将虚拟 WAN 配置为将流量直接路由到 Internet 时,虚拟 WAN 会在安全解决方案上应用静态默认的 0.0.0.0/0 路由,其中包含下一跃点 Internet。此配置是确保安全解决方案将流量直接路由到 Internet 的唯 一方法。
此静态默认路由的优先级高于从本地、NVA 学习到的任何默认路由,也高于在分支虚拟网络上配置的静态默认路由。 但是,由于最长前缀匹配原则,从本地播发的更具体前缀(0.0.0.0/1 和 128.0.0.0/1)被视为互联网流量的更高优先级路由。
有效路由
如果在虚拟 WAN 中心配置了专用路由策略,可以在下一跃点安全解决方案上查看有效路由。 对于配置有直接访问的部署,下一跃点安全解决方案上的有效路由将包含以 Internet 为下一跃点的 0.0.0.0/0 路由。
强制隧道
在强制隧道模式下配置虚拟 WAN 时,安全解决方案使用虚拟 WAN 中心根据 中心路由首选项 选择的最高优先级默认路由来转发 Internet 流量。
强制隧道指示虚拟 WAN 将互联网流量路由到指定的下一跃点,而非直接路由到互联网。 因此,如果没有从本地动态学习的默认路由或配置为虚拟网络连接上的静态路由,则 Azure 平台会 丢弃 Internet 流量,并且不会转发到中心的安全解决方案。
虚拟 WAN 中心的安全解决方案 不会 将流量直接转发到 Internet 作为备份路径。
默认路由支持的源
注释
0.0.0.0/0 不会 跨虚拟中心传播。 这意味着,对于配置为通过强制隧道访问互联网的虚拟中心,必须使用本地连接。
可以从以下源中学习默认路由。
- ExpressRoute
- 站点到站点 VPN (动态或静态)
- 中心内的 NVA
- 分支中的 NVA
- 虚拟网络连接上的静态路由(“静态路由传播”设置为启用)
无法通过以下方式配置默认路由:
- defaultRouteTable 中具有下一跃点虚拟网络连接的静态路由
有效路由
对于配置了强制隧道的部署,下一跃点安全解决方案上的有效路由将包含 0.0.0.0/0 路由,其下一跃点为从本地学习到的或在虚拟网络连接上配置为静态路由的选定默认路由。
配置
以下部分介绍了在直接访问或强制隧道模式下路由 Internet 流量所需的配置。
虚拟 WAN 路由配置
注释
强制隧道互联网流量路由模式仅适用于利用带有专用路由策略的路由意图的虚拟 WAN 中心。 不使用路由意图或使用互联网路由策略的中心只能以直接访问模式运行。
下表总结了使用两种不同的 Internet 流量路由模式路由流量所需的配置。
| 模式 | 专用路由策略 | 其他前缀 | Internet 路由策略 |
|---|---|---|---|
| 直接访问 | 可选 | 不需要 | 必选 |
| 强制隧道 | 必选 | 0.0.0.0/0 | 否 |
路由意图门户中的配置步骤
注释
Azure 门户执行验证,以确保部署处于强制隧道模式或直接访问模式。 这意味着,如果启用了强制隧道模式,则无法直接添加 Internet 策略。 若要从强制隧道模式迁移到直接访问模式,请执行以下步骤:从其他前缀中删除 0.0.0.0/0 静态路由、启用 Internet 策略并保存。
以下部分介绍如何在 Azure 门户中使用虚拟 WAN 路由意向和策略来配置 强制隧道 和 直接访问。 这些步骤适用于在虚拟 WAN 中心部署的 Azure 防火墙、网络虚拟设备或软件即服务解决方案。
- 导航到使用安全解决方案部署的虚拟中心。
- 在 “路由”下,选择 “路由意向”和“路由策略”。
强制隧道
- 选择首选的安全解决方案作为专用流量的下一跃点资源。
不要为 Internet 流量选择任何内容。
- 将 0.0.0.0/0 路由添加到 其他前缀。
- 保存你的配置。
直接访问
- 选择首选的安全解决方案作为互联网流量的下一跃点资源。 (可选)选择首选的安全解决方案作为专用流量的下一跃点资源。
- 保存你的配置。
Azure 防火墙管理器中的配置步骤
注释
Azure 门户执行验证,以确保部署处于强制隧道模式或直接访问模式。 这意味着,如果启用了强制隧道模式,则无法直接添加 Internet 策略。 若要从强制隧道模式迁移到直接访问模式,请执行以下步骤:从其他前缀中删除 0.0.0.0/0 静态路由,启用 Internet 策略并保存。
以下部分介绍如何使用虚拟 WAN 路由意图和策略(Azure 防火墙管理器)配置路由意图,以设置强制隧道和直接访问。 这些步骤 仅适用于 虚拟 WAN 中心中的 Azure 防火墙。
- 导航到虚拟 WAN 中心。
- 在“安全性”下选择“Azure 防火墙和防火墙管理器”,然后选择虚拟 WAN 中心。
- 在“设置”下选择“安全配置”。
强制隧道
- 将 专用流量 设置为 通过 Azure 防火墙 和 中心间 进行发送以启用。
- 将 0.0.0.0/0 路由添加到 其他前缀。
- 保存你的配置。
直接访问
- 将 Internet 流量 设置为 Azure 防火墙,并启用 中心间。 (可选)将 专用流量 设置为 通过 Azure 防火墙 和 中心间 进行发送以启用。
- 保存你的配置。
其他配置方法(Terraform、CLI、PowerShell、REST、Bicep)
以下 JSON 配置表示为直接访问或强制隧道模式配置的虚拟 WAN 路由构造的示例 Azure 资源管理器资源表示形式。 这些 JSON 配置可以根据特定环境/配置进行自定义,并用于生成正确的 Terraform、CLI、PowerShell 或 Bicep 配置。
强制隧道
以下示例 JSON 显示了配置了专用路由策略的示例路由意向资源。
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
以下示例 JSON 显示了一个示例默认路由表配置,该配置在默认路由表中添加了专用路由策略路由和其他前缀(0.0.0.0/0)。
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "private_traffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
直接访问
以下示例 JSON 显示了使用 Internet 和专用路由策略配置的示例路由意向资源。
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
},
{
"name": "PublicTraffic",
"destinations": [
"Internet"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
以下示例 JSON 显示了包含专用路由和 Internet 路由策略路由的示例默认路由表配置。
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "_policy_PublicTraffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
配置连接以获取默认路由(0.0.0.0/0)
对于需要通过虚拟 WAN 进行 Internet 访问的连接,请确保 启用 Internet 安全性 或 传播默认路由 设置为 true。 此配置指示虚拟 WAN 宣告该连接上的默认路由。
有关强制性隧道中心的特别说明
对于配置为强制隧道模式的中心,请确保在向虚拟 WAN 播发 0.0.0.0/0 路由的本地 ExpressRoute 或 VPN 以及虚拟网络连接上,将启用互联网安全或传播默认路由设置为 false。 这可确保虚拟 WAN 从本地正确了解 0.0.0.0/0 路由,并阻止任何意外的路由循环。
安全解决方案配置
以下部分介绍直接访问和强制隧道路由模式的安全解决方案配置的差异。
直接访问
以下部分介绍确保 虚拟 WAN 中心的安全 解决方案可以直接将数据包转发到 Internet 所需的配置注意事项。
Azure 防火墙:
- 确保所有非RFC1918网络流量配置都启用Source-NAT(SNAT)。
- 确保为 Azure 防火墙部署分配足够的公共 IP 地址,避免 SNAT 端口耗尽。
SaaS 解决方案或集成的网络虚拟设备 (NVA):
以下建议是通用基线建议。 请联系提供商获取完整的指导。
- 参考提供程序文档,确保:
- NVA 或 SaaS 解决方案中的内部路由表已正确配置 0.0.0.0/0,以将互联网流量从外部接口转发出去。
- 针对所有非 RFC 1918 网络流量配置,为 NVA 或 SaaS 解决方案设置了 SNAT(源网络地址转换)。
- 确保为 NVA 或 SaaS 部署分配足够的公共 IP 地址,以避免 SNAT 端口耗尽。
强制隧道
以下部分介绍所需的配置注意事项,以确保虚拟 WAN 中心内的安全解决方案能够将发往互联网的数据包转发到本地或向虚拟 WAN 播发 0.0.0.0/0 路由的 NVA。
Azure 防火墙:
- 配置 Source-NAT(SNAT)。
- 保留 Internet 流量的原始源 IP:对所有流量配置关闭 SNAT。
- 将互联网流量通过 SNAT 转换为防火墙实例专用 IP:为非 RFC 1918 流量范围启用 SNAT。
SaaS 解决方案或集成的网络虚拟设备 (NVA):
以下建议是通用基线建议。 请联系提供商获取完整的指导。
- 参考提供程序文档,确保:
- NVA 或 SaaS 解决方案中的内部路由表已正确配置 0.0.0.0/0,以便将 Internet 流量通过内部接口转发出去。
- 内部路由表配置确保管理流量和 VPN/SDWAN 流量从外部接口路由出去。
- 根据是否需要保留流量的原始源 IP,适当地配置 SNAT。