问采用NVA强制掘进的Azure高速公路

EN

您对设置的初步理解是正确的。您将不得不广告的默认路线0.0.0.0/0通过BGP从您的酒店内到Azure，以便您的所有Azure流量被发送到您的酒店内通过ExpressRoute。为了通过NVA过滤所有这些通信量，您可以在所有子网( NVA子网除外)上添加一个具有0.0.0.0/0的UDR，下一跳作为您的Cisco防火墙NVA。

这一设置将负责从Azure路由到店内的路由，如下所示:所有子网--> Cisco NVA -> ExpressRoute网关->就地。

现在回到您关于返回流量的问题，是的，GatewaySubnet不支持0.0.0.0/0 UDR，但它支持带有其他地址前缀的UDR。

因此，您可以使用Vnet范围的地址前缀向ExpressRoute GatewaySubnet添加一个UDR，并使用Cisco的下一跳类型Virtual和IP地址。这将确保来自您的Azure Vnet范围内的任何流量，当到达您的ExpressRoute网关时，将被转发到思科NVA。

例如:如果您的Vnet地址范围为10.0.0.0/16，那么您可以在您的ExpressRoute GatewaySubnet中添加一个UDR，如下所示:地址前缀: 10.0.0.0/16 -> Next = Virtual -> Next = Cisco的IP地址，因此从-处所到Azure的路由将按照以下方式进行:On> ExpressRoute网关-> Cisco >所有子网。