Passer au contenu principal

 Subscribe

En mai 2023, nous avons annoncé la disponibilité générale des stratégies d’intention de routage et de routage pour tous les clients Virtual WAN. Cette fonctionnalité est alimentée par l’infrastructure de routage Virtual WAN et permet aux clients Pare-feu Azure de configurer des stratégies pour le trafic privé et Internet. Nous étendons également les mêmes fonctionnalités de routage à toutes les solutions de pare-feu déployées dans Azure Virtual WAN , notamment les appliances virtuelles réseau et les solutions SaaS (Software as a Service) qui fournissent des fonctionnalités de pare-feu.

L’intention de routage termine également deux cas d’usage de hub sécurisés dans lesquels les utilisateurs peuvent sécuriser le trafic entre les hubs Virtual WAN, ainsi que l’inspection du trafic entre différents services locaux (branche/ExpressRoute/SD-WAN) qui transitent par des hubs Virtual WAN.

Azure Virtual WAN (vWAN), réseau en tant que service, regroupe les fonctionnalités de mise en réseau, de sécurité et de routage pour simplifier la mise en réseau dans Azure. Grâce à sa facilité d’utilisation et à sa simplicité, vWAN est un guichet unique pour connecter, protéger, acheminer le trafic et surveiller votre réseau étendu.

Dans ce blog, nous allons d’abord décrire les cas d’utilisation des intentions de routage, les expériences de produit et résumer avec quelques considérations et ressources supplémentaires pour l’utilisation de l’intention de routage avec Virtual WAN.

Cas d’usage pour Virtual WAN

Vous pouvez utiliser l’intention de routage pour concevoir le trafic dans Virtual WAN de plusieurs façons. Voici les principaux cas d’usage :

Appliquer des stratégies de routage pour les Réseau virtuel et localement

Les clients implémentant des architectures réseau hub-and-spoke avec un grand nombre d’itinéraires trouvent souvent leurs réseaux difficiles à comprendre, gérer et résoudre les problèmes. Dans Virtual WAN, ces itinéraires peuvent être simplifiés pour le trafic entre azure Réseau virtuel s et localement (ExpressRoute, VPN et SD-WAN).

Virtual WAN facilite cette opération pour les clients en permettant aux clients de configurer des stratégies de routage privé simples et déclaratives. Il est supposé que les stratégies de routage privé seront appliquées pour tous les Réseau virtuel Azure et les réseaux locaux connectés à Virtual WAN. Des personnalisations supplémentaires pour les préfixes Réseau virtuel et locaux ne sont actuellement pas prises en charge. Les stratégies de routage privé indiquent à Virtual WAN de programmer l’infrastructure de routage Virtual WAN sous-jacente pour permettre le transit entre deux différents locaux (1) via une solution de sécurité déployée dans le hub virtuel. Il permet également de transiter le trafic entre deux Réseau virtuel Azure (2) ou entre un Réseau virtuel Azure et un point de terminaison local (3) via une solution de sécurité déployée dans le hub virtuel. Les mêmes cas d’utilisation du trafic sont pris en charge pour Pare-feu Azure, les appliances virtuelles réseau et les solutions logicielles en tant que service déployées dans le hub.

This image shows a diagram of a single Virtual WAN Hub secured with an integrated security solution. The diagram also shows traffic flows between Virtual Networks and on-premises.
Figure 1 : Diagramme d’un hub virtuel montrant des exemples de flux de trafic privé (entre local et Azure).

Appliquer des stratégies de routage pour le trafic Internet

Virtual WAN vous permet de configurer des stratégies de routage pour le trafic Internet afin de publier un itinéraire par défaut (0.0.0.0/0) vers vos Réseau virtuel Azure et localement. Les configurations de routage du trafic Internet vous permettent de configurer des Réseau virtuel Azure et des réseaux locaux pour envoyer le trafic sortant Internet (1) aux appliances de sécurité dans le hub. Vous pouvez également tirer parti des fonctionnalités DNAT (Destination-Network Address Translation) de votre appliance de sécurité si vous souhaitez fournir aux utilisateurs externes l’accès aux applications dans un Réseau virtuel Azure ou localement (2).

This image shows a diagram of a single Virtual WAN hub with an integrated security solution. The diagram also shows traffic flows for Destination Network Address Translation and Internet-outbound use cases.
Figure 2 : Diagramme d’un hub virtuel montrant les flux de trafic DNAT sortants et entrants Internet.

Appliquer des stratégies de routage pour le trafic inter-hub entre régions

Virtual WAN déploie automatiquement tous les hubs virtuels sur votre réseau étendu virtuel dans un maillage complet, fournissant une connectivité sans contact à n’importe quelle région à région et hub à hub à l’aide de la colonne principale globale de Microsoft. Les stratégies de routage programment Virtual WAN pour inspecter le trafic inter-hub et interrégion entre deux Réseau virtuel Azure (1), entre deux réseaux locaux (2) et entre azure Réseau virtuel s et locaux (3) connectés à différents hubs. Chaque paquet entrant ou quittant le hub est routé vers la solution de sécurité déployée dans le hub virtuel avant d’être routé vers sa destination finale.

This image shows a diagram of two Virtual WAN hubs, each with an integrated security solution. The diagram also shows inter-region and inter-hub secure hub use cases.
Figure 3 : Diagramme des flux de trafic interrégion et inter-hub inspectés par les solutions de sécurité dans le hub.

Pour utiliser l’intention de routage, accédez à votre hub Virtual WAN. Sous Routage, sélectionnez Intention de routage et stratégies de routage.

Configurez une stratégie de routage internet ou privé pour envoyer le trafic à une solution de sécurité déployée dans le hub en sélectionnant le type de tronçon suivant (Pare-feu Azure, appliance virtuelle réseau ou solution SaaS) et la ressource de tronçon suivant correspondante.

This image is a screenshot of the user experience of configuring routing intent and policies through Virtual WAN Portal. The hub is configured to send Internet and Private traffic via Azure Firewall.
Figure 4 : Exemple de configuration de l’intention de routage avec une stratégie de routage privé et Internet dans le portail Virtual WAN.

Pare-feu Azure clients peuvent également configurer l’intention de routage à l’aide de Pare-feu Azure Manager en activant le paramètre « inter-hub ».

This image is a screenshot of the user experience of configuring routing intent and policies through Azure Firewall Manager. The inter-hub setting is toggled to Enabled.
Figure 5 : Activation de l’intention de routage via Pare-feu Azure Manager.

Après avoir configuré l’intention de routage, vous pouvez afficher les itinéraires effectifs de la solution de sécurité en accédant à votre hub virtuel, puis en sélectionnant Routage, puis en cliquant sur Itinéraires effectifs. Les itinéraires effectifs de la solution de sécurité offrent une visibilité supplémentaire pour résoudre les problèmes de routage du trafic Virtual WAN qui a été inspecté par la solution de sécurité du hub virtuel.

The image is a screenshot of the output when you view the effective routes on Azure Firewall. The screenshot shows a list of routes that
Figure 6 : Vue d’obtenir les itinéraires effectifs sur une solution de sécurité déployée dans le hub.

Avant de commencer à utiliser cette fonctionnalité, voici quelques éléments clés à prendre en compte :

  1. La fonctionnalité s’adresse aux utilisateurs qui considèrent Réseau virtuel et le trafic local en tant que trafic privé. Virtual WAN applique des stratégies de routage privé à tous les Réseau virtuel et au trafic local.
  2. L’intention de routage s’exclue mutuellement avec le routage personnalisé et les itinéraires statiques dans le « defaultRouteTable » pointant vers l’appliance virtuelle réseau (NVA) déployée dans un Réseau virtuel spoke connecté à Virtual WAN. Par conséquent, les cas d’usage où les utilisateurs utilisent des tables de routage personnalisées ou des cas d’usage NVA-in-spoke ne sont pas applicables.
  3. L’intention de routage publie des préfixes correspondant à toutes les connexions à Virtual WAN vers des réseaux locaux. Les utilisateurs peuvent utiliser route Cartes pour synthétiser et agréger des itinéraires et filtrer en fonction des conditions de correspondance définies.

En savoir plus sur Azure Virtual WAN

Nous nous réjouissons de continuer à développer Azure Virtual WAN et de l’enrichir de nouvelles fonctionnalités dans les années à venir. Nous vous encourageons à essayer la fonctionnalité d’intention de routage dans Azure Virtual WAN et nous vous attendons à en savoir plus sur vos expériences pour incorporer vos commentaires dans le produit.

  • Explore

     

    Let us know what you think of Azure and what you would like to see in the future.

     

    Provide feedback

  • Build your cloud computing and Azure skills with free courses by Microsoft Learn.

     

    Explore Azure learning


Join the conversation

Leave a Reply

Your email address will not be published. Required fields are marked *