En mai 2023, nous avons annoncé la disponibilité générale des stratégies d’intention de routage et de routage pour tous les clients Virtual WAN. Cette fonctionnalité est alimentée par l’infrastructure de routage Virtual WAN et permet aux clients Pare-feu Azure de configurer des stratégies pour le trafic privé et Internet. Nous étendons également les mêmes fonctionnalités de routage à toutes les solutions de pare-feu déployées dans Azure Virtual WAN , notamment les appliances virtuelles réseau et les solutions SaaS (Software as a Service) qui fournissent des fonctionnalités de pare-feu.

L’intention de routage termine également deux cas d’usage de hub sécurisés dans lesquels les utilisateurs peuvent sécuriser le trafic entre les hubs Virtual WAN, ainsi que l’inspection du trafic entre différents services locaux (branche/ExpressRoute/SD-WAN) qui transitent par des hubs Virtual WAN.

Azure Virtual WAN (vWAN), réseau en tant que service, regroupe les fonctionnalités de mise en réseau, de sécurité et de routage pour simplifier la mise en réseau dans Azure. Grâce à sa facilité d’utilisation et à sa simplicité, vWAN est un guichet unique pour connecter, protéger, acheminer le trafic et surveiller votre réseau étendu.

Dans ce blog, nous allons d’abord décrire les cas d’utilisation des intentions de routage, les expériences de produit et résumer avec quelques considérations et ressources supplémentaires pour l’utilisation de l’intention de routage avec Virtual WAN.

Cas d’usage pour Virtual WAN

Vous pouvez utiliser l’intention de routage pour concevoir le trafic dans Virtual WAN de plusieurs façons. Voici les principaux cas d’usage :

Appliquer des stratégies de routage pour les Réseau virtuel et localement

Les clients implémentant des architectures réseau hub-and-spoke avec un grand nombre d’itinéraires trouvent souvent leurs réseaux difficiles à comprendre, gérer et résoudre les problèmes. Dans Virtual WAN, ces itinéraires peuvent être simplifiés pour le trafic entre azure Réseau virtuel s et localement (ExpressRoute, VPN et SD-WAN).

Virtual WAN facilite cette opération pour les clients en permettant aux clients de configurer des stratégies de routage privé simples et déclaratives. Il est supposé que les stratégies de routage privé seront appliquées pour tous les Réseau virtuel Azure et les réseaux locaux connectés à Virtual WAN. Des personnalisations supplémentaires pour les préfixes Réseau virtuel et locaux ne sont actuellement pas prises en charge. Les stratégies de routage privé indiquent à Virtual WAN de programmer l’infrastructure de routage Virtual WAN sous-jacente pour permettre le transit entre deux différents locaux (1) via une solution de sécurité déployée dans le hub virtuel. Il permet également de transiter le trafic entre deux Réseau virtuel Azure (2) ou entre un Réseau virtuel Azure et un point de terminaison local (3) via une solution de sécurité déployée dans le hub virtuel. Les mêmes cas d’utilisation du trafic sont pris en charge pour Pare-feu Azure, les appliances virtuelles réseau et les solutions logicielles en tant que service déployées dans le hub.

Appliquer des stratégies de routage pour le trafic Internet

Virtual WAN vous permet de configurer des stratégies de routage pour le trafic Internet afin de publier un itinéraire par défaut (0.0.0.0/0) vers vos Réseau virtuel Azure et localement. Les configurations de routage du trafic Internet vous permettent de configurer des Réseau virtuel Azure et des réseaux locaux pour envoyer le trafic sortant Internet (1) aux appliances de sécurité dans le hub. Vous pouvez également tirer parti des fonctionnalités DNAT (Destination-Network Address Translation) de votre appliance de sécurité si vous souhaitez fournir aux utilisateurs externes l’accès aux applications dans un Réseau virtuel Azure ou localement (2).

Appliquer des stratégies de routage pour le trafic inter-hub entre régions

Virtual WAN déploie automatiquement tous les hubs virtuels sur votre réseau étendu virtuel dans un maillage complet, fournissant une connectivité sans contact à n’importe quelle région à région et hub à hub à l’aide de la colonne principale globale de Microsoft. Les stratégies de routage programment Virtual WAN pour inspecter le trafic inter-hub et interrégion entre deux Réseau virtuel Azure (1), entre deux réseaux locaux (2) et entre azure Réseau virtuel s et locaux (3) connectés à différents hubs. Chaque paquet entrant ou quittant le hub est routé vers la solution de sécurité déployée dans le hub virtuel avant d’être routé vers sa destination finale.

Expérience utilisateur pour l’intention de routage

Pour utiliser l’intention de routage, accédez à votre hub Virtual WAN. Sous Routage, sélectionnez Intention de routage et stratégies de routage.

Configurez une stratégie de routage internet ou privé pour envoyer le trafic à une solution de sécurité déployée dans le hub en sélectionnant le type de tronçon suivant (Pare-feu Azure, appliance virtuelle réseau ou solution SaaS) et la ressource de tronçon suivant correspondante.

Pare-feu Azure clients peuvent également configurer l’intention de routage à l’aide de Pare-feu Azure Manager en activant le paramètre « inter-hub ».

Après avoir configuré l’intention de routage, vous pouvez afficher les itinéraires effectifs de la solution de sécurité en accédant à votre hub virtuel, puis en sélectionnant Routage, puis en cliquant sur Itinéraires effectifs. Les itinéraires effectifs de la solution de sécurité offrent une visibilité supplémentaire pour résoudre les problèmes de routage du trafic Virtual WAN qui a été inspecté par la solution de sécurité du hub virtuel.

Avant de commencer à utiliser cette fonctionnalité, voici quelques éléments clés à prendre en compte :

1. La fonctionnalité s’adresse aux utilisateurs qui considèrent Réseau virtuel et le trafic local en tant que trafic privé. Virtual WAN applique des stratégies de routage privé à tous les Réseau virtuel et au trafic local.
2. L’intention de routage s’exclue mutuellement avec le routage personnalisé et les itinéraires statiques dans le « defaultRouteTable » pointant vers l’appliance virtuelle réseau (NVA) déployée dans un Réseau virtuel spoke connecté à Virtual WAN. Par conséquent, les cas d’usage où les utilisateurs utilisent des tables de routage personnalisées ou des cas d’usage NVA-in-spoke ne sont pas applicables.
3. L’intention de routage publie des préfixes correspondant à toutes les connexions à Virtual WAN vers des réseaux locaux. Les utilisateurs peuvent utiliser route Cartes pour synthétiser et agréger des itinéraires et filtrer en fonction des conditions de correspondance définies.

En savoir plus sur Azure Virtual WAN

Nous nous réjouissons de continuer à développer Azure Virtual WAN et de l’enrichir de nouvelles fonctionnalités dans les années à venir. Nous vous encourageons à essayer la fonctionnalité d’intention de routage dans Azure Virtual WAN et nous vous attendons à en savoir plus sur vos expériences pour incorporer vos commentaires dans le produit.

• Guide pratique pour configurer des stratégies de routage virtual WAN Hub
• Nouveautés d’Azure Virtual WAN ?
• Tutoriel : Sécuriser votre hub virtuel avec Azure Firewall Manager
• Pare-feu fortinet nouvelle génération
• Check Point Cloud Guard pour Virtual WAN
• Installer Palo Alto Networks Cloud NGFW dans un hub Virtual WAN