Im Mai 2023 haben wir die allgemeine Verfügbarkeit von Routingabsichts- und Routingrichtlinien für alle Virtual WAN-Kunden angekündigt. Dieses Feature wird von der Virtual WAN-Routinginfrastruktur unterstützt und ermöglicht Azure Firewall-Kunden das Einrichten von Richtlinien für privaten und Internetdatenverkehr. Darüber hinaus erweitern wir dieselben Routingfunktionen auf alle Firewalllösungen, die in Azure Virtual WAN bereitgestellt werden, einschließlich Network Virtual Appliances und Software-as-a-Service (SaaS)-Lösungen, die Firewallfunktionen bereitstellen.

Routing Intent schließt auch zwei gesicherte Hub-Anwendungsfälle ab, in denen Benutzer den Datenverkehr zwischen virtuellen WAN-Hubs sichern und den Datenverkehr zwischen verschiedenen lokalen Netzwerken (Branch/ExpressRoute/SD-WAN) prüfen können, die über virtuelle WAN-Hubs transitiert.

Azure Virtual WAN (vWAN), Networking-as-a-Service, bringt Netzwerk-, Sicherheits- und Routingfunktionen zusammen, um das Netzwerk in Azure zu vereinfachen. Dank seiner Benutzerfreundlichkeit und Einfachheit ist vWAN ein Komplettangebot zum Verbinden, Schützen und Weiterleiten des Datenverkehrs und Überwachen Ihres WAN (Wide Area Network).

In diesem Blog werden zunächst Routingabsichtsanwendungsfälle, Produkterfahrungen und einige zusätzliche Überlegungen und Ressourcen für die Verwendung von Routingabsichten mit virtual WAN beschrieben.

Anwendungsfälle für virtuelles WAN

Sie können Routingabsicht verwenden, um Datenverkehr innerhalb des virtuellen WAN auf mehrere Arten zu entwickeln. Hier sind die Standard Anwendungsfälle:

Anwenden von Routingrichtlinien für virtuelle Netzwerke und lokal

Kunden, die Hub-and-Spoke-Netzwerkarchitekturen mit einer großen Anzahl von Routen implementieren, finden häufig ihre Netzwerke schwer zu verstehen, Standard tain und Problembehandlung. In Virtual WAN können diese Routen für den Datenverkehr zwischen virtuellen Azure-Netzwerken und lokalem Datenverkehr (ExpressRoute, VPN und SD-WAN) vereinfacht werden.

Virtual WAN vereinfacht dies für Kunden, indem Kunden einfache und deklarative private Routingrichtlinien konfigurieren können. Es wird davon ausgegangen, dass private Routingrichtlinien für alle virtuellen Azure-Netzwerke und lokalen Netzwerke angewendet werden, die mit virtuellem WAN verbunden sind. Weitere Anpassungen für virtuelle Netzwerke und lokale Präfixe werden derzeit nicht unterstützt. Private Routingrichtlinien weisen virtuelles WAN an, die zugrunde liegende virtuelle WAN-Routinginfrastruktur zu programmieren, um die Übertragung zwischen zwei verschiedenen lokalen (1) über eine im Virtual Hub bereitgestellte Sicherheitslösung zu ermöglichen. Es ermöglicht außerdem die Übertragung des Datenverkehrs zwischen zwei virtuellen Azure-Netzwerken (2) oder zwischen einem virtuellen Azure-Netzwerk und einem lokalen Endpunkt (3) über eine im Virtuellen Hub bereitgestellte Sicherheitslösung. Die gleichen Datenverkehrsanwendungsfälle werden für Azure Firewall-, Netzwerk virtual Appliances und Software-as-a-Service-Lösungen unterstützt, die im Hub bereitgestellt werden.

Anwenden von Routingrichtlinien für Internetdatenverkehr

Mit virtual WAN können Sie Routingrichtlinien für Internetdatenverkehr einrichten, um eine Standardroute (0.0.0.0/0) an Ihre virtuellen Azure-Netzwerke und lokal zu bewerben. Mit Konfigurationen für das Routing von Internetdatenverkehr können Sie Azure Virtual Networks und lokale Netzwerke so konfigurieren, dass ausgehender Internetdatenverkehr (1) an sicherheitsrelevante Anwendung im Hub gesendet wird. Sie können auch DIE DNAT-Features (Destination-Network Address Translation) Ihrer Sicherheits-Anwendung nutzen, wenn Sie externen Benutzern Zugriff auf Anwendungen in einem virtuellen Azure-Netzwerk oder lokal (2) gewähren möchten.

Anwenden von Routingrichtlinien für den grenzüberschreitenden Datenverkehr zwischen hubs

Virtual WAN stellt automatisch alle virtuellen Hubs über Ihr virtuelles WAN in einem vollständigen Gitter bereit, und bietet zero-touch any-touch-to-any connectivity region-to-region- und hub-to-hub-to-hub unter Verwendung des globalen Backbones von Microsoft. Routingrichtlinienprogramm für virtuelles WAN, um den Datenverkehr zwischen zwei virtuellen Azure-Netzwerken (1), zwischen zwei lokalen Netzwerken (2) und zwischen Azure Virtual Networks und lokalen Netzwerken (3) zu prüfen, die mit verschiedenen Hubs verbunden sind. Jedes Paket, das den Hub eingibt oder verlässt, wird an die im Virtuellen Hub bereitgestellte Sicherheitslösung weitergeleitet, bevor es an das endgültige Ziel weitergeleitet wird.

Benutzererfahrung für Routingabsicht

Um die Routingabsicht zu verwenden, navigieren Sie zu Ihrem virtuellen WAN-Hub. Wählen Sie unter "Routing" die Option "Routingabsicht" und "Routingrichtlinien" aus.

Konfigurieren Sie eine Internet- oder private Routingrichtlinie, um Datenverkehr an eine im Hub bereitgestellte Sicherheitslösung zu senden, indem Sie den nächsten Hoptyp (Azure Firewall, Network Virtual Appliance oder SaaS-Lösung) und die entsprechende nächste Hopressource auswählen.

Azure Firewall-Kunden können die Routingabsicht auch mithilfe von Azure Firewall Manager konfigurieren, indem sie die Einstellung "Hub-Inter-Hub" aktivieren.

Nach dem Konfigurieren der Routingabsicht können Sie die effektiven Routen der Sicherheitslösung anzeigen, indem Sie zu Ihrem virtuellen Hub navigieren, dann "Routing" auswählen und auf "Effektive Routen" klicken. Die effektiven Routen der Sicherheitslösung bieten zusätzliche Sichtbarkeit, um zu beheben, wie Virtual WAN Datenverkehr leitet, der von der Sicherheitslösung des virtuellen Hubs überprüft wurde.

Bevor Sie mit diesem Feature beginnen, finden Sie hier einige wichtige Überlegungen:

1. Das Feature richtet sich an Benutzer, die virtuelles Netzwerk und lokalen Datenverkehr als privaten Datenverkehr betrachten. Virtuelles WAN wendet private Routingrichtlinien auf alle virtuellen Netzwerke und lokalen Datenverkehr an.
2. Routingabsichten schließen sich gegenseitig mit benutzerdefinierten Routing- und statischen Routen in der "defaultRouteTable" aus, die auf network Virtual Appliance (NVA) verweisen, die in einem virtuellen Netzwerk mit virtual WAN verbunden ist. Daher sind Anwendungsfälle, in denen Benutzer benutzerdefinierte Routentabellen oder NVA-in-Spoke-Anwendungsfälle verwenden, nicht anwendbar.
3. Routing Intent kündigt Präfixe an, die allen Verbindungen mit virtuellem WAN zu lokalen Netzwerken entsprechen. Benutzer können Route Karten verwenden, um Routen zusammenzufassen und zu aggregieren und basierend auf definierten Übereinstimmungsbedingungen zu filtern.

Weitere Informationen zu Azure Virtual WAN

Wir planen, Azure Virtual WAN in Zukunft weiter auszubauen und weitere Features hinzuzufügen. Wir empfehlen Ihnen, die Routingabsichtsfunktion in Azure Virtual WAN auszuprobieren und freuen uns darauf, mehr über Ihre Erfahrungen zu erfahren, um Ihr Feedback in das Produkt zu integrieren.

• Konfigurieren von Routingrichtlinien für virtuelle WAN-Hubs
• Neuerungen in Azure Virtual WAN
• Tutorial: Schützen Ihres virtuellen Hubs mit Azure Firewall Manager
• Fortinet Firewall der nächsten Generation
• Point Cloud Guard für virtuelles WAN überprüfen
• Installieren von Palo Alto Networks Cloud NGFW in einem virtuellen WAN-Hub