Сценарий. Пользовательская изоляция для виртуальных сетей
При работе с маршрутизацией виртуальных концентраторов Виртуальной глобальной сети существует несколько доступных сценариев. В сценарии пользовательской изоляции для виртуальных сетей цель заключается в запрещении доступа определенному набору виртуальных сетей к другому заданному набору виртуальных сетей. Но виртуальные сети должны охватывать все ветви (VPN, ER и VPN пользователя). Дополнительные сведения о маршрутизации виртуальных концентраторов см. в статье о маршрутизации виртуальных концентраторов.
Конструирование
Чтобы определить, сколько таблиц маршрутизации необходимо, можно создать матрицу подключения. Для этого сценария это выглядит следующим образом, где каждая ячейка указывает, может ли источник (строка) обмениваться данными с назначением (столбцом):
| Исходный тип | на: | Синие виртуальные сети | Красные виртуальные сети | Ветви |
|---|---|---|---|---|
| Синие виртуальные сети | → | Прямой доступ | Прямой доступ | |
| Красные виртуальные сети | → | Прямой доступ | Прямой доступ | |
| Ветви | → | Прямой доступ | Прямой доступ | Прямой доступ |
Каждая ячейка в предыдущей таблице отражает, взаимодействует ли подключение Виртуальной глобальной сети (сторона потока "От", заголовки строк) с назначением (сторона потока "До", заголовки столбцов, выделенные курсивом). В этом сценарии нет брандмауэров или виртуальных сетевых модулей, поэтому обмен данными проходит непосредственно через Виртуальная глобальная сеть (отсюда и слово "Direct" в таблице).
Количество различных шаблонов строк — это количество таблиц маршрутизации, необходимое для этого сценария. В этом случае мы вызываем три таблицы маршрутов : RT_BLUE и RT_RED для виртуальных сетей и по умолчанию для ветвей. Помните, что ветви всегда должны быть связаны с таблицей маршрутизации Default.
Ветвям необходимо изучить префиксы из красных и синих виртуальных сетей, поэтому все виртуальные сети должны распространяться на значения по умолчанию (в дополнение к RT_BLUE или RT_RED). Синие и красные виртуальные сети должны изучать префиксы ветвей, поэтому ветви распространяются на таблицы маршрутов RT_BLUE и RT_RED . Так будет выглядеть окончательный проект:
- Синие виртуальные сети:
- Идентификатор связанной таблицы маршрутизации: RT_BLUE.
- Накопление в таблицах маршрутизации: RT_BLUE и Default.
- Красные виртуальные сети:
- Идентификатор связанной таблицы маршрутизации: RT_RED.
- Накопление в таблицах маршрутизации: RT_RED и Default.
- Ветви:
- Идентификатор связанной таблицы маршрутизации: Default.
- Накопление в таблицах маршрутизации: RT_BLUE, RT_RED и Default.
Примечание
Так как все ветви необходимо связать с таблицей маршрутизации Default, а также распространять в один и тот же набор таблиц маршрутизации, все ветви могут иметь один профиль подключения. Другими словами, для ветвей нельзя применять концепцию красных и синих виртуальных сетей.
Примечание
Если Виртуальная глобальная сеть развертывается на нескольких концентраторах, необходимо создать RT_BLUE и RT_RED таблицы маршрутизации в каждом концентраторе, а маршруты из каждого подключения к виртуальной сети необходимо распространить на таблицы маршрутизации в каждом виртуальном концентраторе с помощью меток распространения.
Дополнительные сведения см. в статье Сведения о маршрутизации виртуальных концентраторов.
Рабочий процесс
На рис. 1 представлены синие и красные подключения к виртуальной сети.
- Синие виртуальные сети могут подключаться друг к другу и подключаться ко всем ветвям (VPN,ER/P2S).
- Красные виртуальные сети могут подключаться друг к другу и подключаться ко всем ветвям (VPN,ER/P2S).
При настройке маршрутизации рекомендуем следующие действия.
- Создайте две пользовательские таблицы маршрутизации на портале Azure: RT_BLUE и RT_RED.
- Таблица маршрутизации RT_BLUE с такими параметрами:
- Связь. Выберите все синие виртуальные сети.
- Распространение. Для ветвей выберите параметр для ветвей, подразумевающий, что подключения ветви (VPN/ER/P2S) распространяют маршруты в эту таблицу маршрутов.
- Повторите те же действия для таблицы маршрутизации RT_RED для красных виртуальных сетей и ветвей (VPN, ER и P2S).
Это приводит к изменению конфигурации маршрутизации, как показано на следующем рисунке.
Рисунок 1
Дальнейшие действия
- Дополнительные сведения о виртуальной глобальной сети см. в статье, содержащей Часто задаваемые вопросы о ней.
- Дополнительные сведения о маршрутизации виртуальных концентраторов см. в статье о маршрутизации виртуальных концентраторов.