Configurar o túnel forçado para conexões Site a Site
Este artigo ajuda a compreender como as conexões IPsec para túneis forçados para Site a Site (S2S) funcionam. Por padrão, o tráfego vinculado à Internet de suas cargas de trabalho e VMs em uma rede virtual é enviado diretamente para a Internet.
Um túnel forçado permite redirecionar ou "forçar" todo o tráfego direcionado à Internet de volta para você no local por meio de um túnel VPN S2S para inspeção e auditoria. Esse é um requisito crítico de segurança para a maioria das políticas de TI empresariais. O acesso não autorizado à Internet pode levar à divulgação de informações ou outros tipos de violações de segurança.
O exemplo a seguir mostra todo o tráfego sendo forçado por meio do gateway de VPN de volta ao local para inspeção e auditoria.
Métodos de configuração para túnel forçado
Há algumas maneiras diferentes de configurar o túnel forçado.
Configurar usando o BGP
Você pode configurar o túnel forçado para o Gateway de VPN por meio do BGP. Você precisa anunciar uma rota padrão de 0.0.0.0/0 via BGP de seu local para o Azure para que todo o tráfego do Azure seja enviado por meio do túnel S2S do Gateway de VPN.
Configurar usando Site Padrão
Você pode configurar o túnel forçado definindo o Site Padrão para o gateway de VPN baseado em rota. Para ver as etapas, confira Túnel forçado por meio do Site Padrão.
- Você atribui um Site Padrão para o gateway de rede virtual usando o PowerShell.
- O dispositivo VPN local deve ser configurado usando 0.0.0.0/0 como seletores de tráfego.
Roteamento do tráfego associado à Internet em sub-redes específicas
Por padrão, todo o tráfego associado à Internet vai diretamente para a Internet se você não tiver o túnel forçado configurado. Quando o túnel forçado é configurado, todo o tráfego associado à Internet é enviado para seu local interno.
Em alguns casos, pode ser interessante que o tráfego associado à Internet somente de determinadas sub-redes (mas nem todas elas) passe da infraestrutura de rede do Azure diretamente para a Internet, em vez de passar em seu local interno. Esse cenário pode ser configurado usando uma combinação de túnel forçado e UDRs (rotas definidas pelo usuário) personalizadas da rede virtual. Para ver as etapas, confira Rotear o tráfego associado à Internet em sub-redes específicas.
Próximas etapas
Veja como configurar o túnel forçado por meio de Site Padrão para conexões S2S do Gateway de VPN.
Para saber mais sobre roteamento de tráfego de rede virtual, consulte Roteamento de tráfego de VNET.