Sobre o tunelamento forçado para configurações site a site
Este artigo ajuda você a entender como o tunelamento forçado funciona para conexões IPsec site a site (S2S). Por padrão, o tráfego vinculado à Internet de suas cargas de trabalho e VMs dentro de uma rede virtual é enviado diretamente para a Internet.
O tunelamento forçado permite redirecionar ou "forçar" todo o tráfego ligado à Internet de volta ao seu local através do túnel VPN S2S para inspeção e auditoria. Este é um requisito de segurança crítico para a maioria das políticas de TI corporativas. O acesso não autorizado à Internet pode potencialmente levar à divulgação de informações ou a outros tipos de violações de segurança.
O exemplo a seguir mostra todo o tráfego da Internet sendo forçado através do gateway VPN de volta ao local para inspeção e auditoria.
Métodos de configuração para tunelamento forçado
Há algumas maneiras diferentes de configurar o túnel forçado.
Configurar usando BGP
Você pode configurar o túnel forçado para o Gateway VPN via BGP. Você precisa anunciar uma rota padrão de 0.0.0.0/0 via BGP do seu local local para o Azure para que todo o seu tráfego do Azure seja enviado por meio do túnel S2S do Gateway VPN.
Configurar usando o site padrão
Você pode configurar o túnel forçado definindo o Site Padrão para seu gateway VPN baseado em rota. Para conhecer as etapas, consulte Túnel forçado via site padrão.
- Você atribui um Site Padrão para o gateway de rede virtual usando o PowerShell.
- O dispositivo VPN local deve ser configurado usando 0.0.0.0/0 como seletores de tráfego.
Roteamento de tráfego ligado à Internet para sub-redes específicas
Por padrão, todo o tráfego ligado à Internet vai diretamente para a Internet se você não tiver o túnel forçado configurado. Quando o túnel forçado é configurado, todo o tráfego ligado à Internet é enviado para o local local.
Em alguns casos, talvez você queira que o tráfego vinculado à Internet apenas de determinadas sub-redes (mas não de todas as sub-redes) passe da infraestrutura de rede do Azure diretamente para a Internet, em vez de para seu local local. Esse cenário pode ser configurado usando uma combinação de túnel forçado e UDRs (rotas personalizadas definidas pelo usuário) de rede virtual. Para conhecer as etapas, consulte Rotear tráfego vinculado à Internet para sub-redes específicas.
Próximos passos
Consulte Como configurar o túnel forçado via Site Padrão para conexões S2S do Gateway VPN.
Para obter mais informações sobre roteamento de tráfego de rede virtual, consulte Roteamento de tráfego VNet.