我想在 Azure 中设置强制隧道。所有发往 Internet 的流量都应路由到本地并从那里退出到 Internet。
来自 Azure 子网的所有流量都将转到 NVA,然后从那里路由到本地或另一个 vNET。
问题是从本地到 Azure 的流量如何?我希望该流量也通过 NVA cisco 防火墙。网关子网不支持 0.0.0.0/0 UDR 的 Express 路由设置。
【问题讨论】:
标签: azure networking azure-virtual-network bgp azure-hybrid-connections
您对设置的初步理解是正确的。您必须通过 BGP 从您的本地到 Azure 通告 0.0.0.0/0 的默认路由,以便您的所有 Azure 流量都通过 ExpressRoute 发送到您的本地。为了通过 NVA 过滤所有流量,您可以在所有子网(NVA 子网除外)上添加一个 0.0.0.0/0 的 UDR,并将下一跳作为您的 Cisco 防火墙 NVA。
此设置将负责从 Azure 到本地的路由,如下所示: 所有子网 --> Cisco NVA --> ExpressRoute 网关 --> 本地。
现在回到关于返回流量的问题,是的,GatewaySubnet 不支持 0.0.0.0/0 UDR,但它支持具有其他地址前缀的 UDR。
因此,您可以将 UDR 添加到 ExpressRoute GatewaySubnet,其中包含您的 Vnet 范围的地址前缀、下一跃点类型虚拟设备和您的 Cisco NVA 的 IP 地址。这将确保来自本地 Azure Vnet 范围的任何流量在到达 ExpressRoute 网关时都将转发到 Cisco NVA。
例如:如果您的 Vnet 地址范围是 10.0.0.0/16,那么您可以将 UDR 添加到您的 ExpressRoute GatewaySubnet,如下所示: 地址前缀:10.0.0.0/16 --> 下一跳 = 虚拟设备 --> 下一跳 = Cisco NVA 的 IP 地址 因此,从本地到 Azure 的路由将如下所示: 本地 --> ExpressRoute 网关 --> Cisco NVA --> 所有子网。
【讨论】: