采用NVA强制掘进的Azure高速公路
我想在Azure建立强制隧道。所有以互联网为目的地的流量应该被路由到网上,然后从那里出口到互联网。
据我所知,
- 需要在Azure中宣传通过BGP的默认路由,以取代互联网默认路由,并通过快捷路由将所有内容发送到Express。然后,在Azure.
的所有子网上,我将UDR 0.0.0.0/0发送到NVA思科防火墙。
从Azure子网的所有流量将进入NVA,从那里它将被路由到another或另一个vNET。
问题是从prem到Azure的交通情况如何?我希望流量也通过NVA思科防火墙。如何将其作为网关子网使用Express路由设置不支持0.0.0.0/0 UDR。
回答 1
Stack Overflow用户
发布于 2021-09-28 06:31:04
您对设置的初步理解是正确的。您将不得不广告的默认路线0.0.0.0/0通过BGP从您的酒店内到Azure,以便您的所有Azure流量被发送到您的酒店内通过ExpressRoute。为了通过NVA过滤所有这些通信量,您可以在所有子网( NVA子网除外)上添加一个具有0.0.0.0/0的UDR,下一跳作为您的Cisco防火墙NVA。
这一设置将负责从Azure路由到店内的路由,如下所示:所有子网--> Cisco NVA -> ExpressRoute网关->就地。
现在回到您关于返回流量的问题,是的,GatewaySubnet不支持0.0.0.0/0 UDR,但它支持带有其他地址前缀的UDR。
因此,您可以使用Vnet范围的地址前缀向ExpressRoute GatewaySubnet添加一个UDR,并使用Cisco的下一跳类型Virtual和IP地址。这将确保来自您的Azure Vnet范围内的任何流量,当到达您的ExpressRoute网关时,将被转发到思科NVA。
例如:如果您的Vnet地址范围为10.0.0.0/16,那么您可以在您的ExpressRoute GatewaySubnet中添加一个UDR,如下所示:地址前缀: 10.0.0.0/16 -> Next = Virtual -> Next = Cisco的IP地址,因此从-处所到Azure的路由将按照以下方式进行:On> ExpressRoute网关-> Cisco >所有子网。
https://stackoverflow.com/questions/69361494
复制
腾讯云开发者
