Redes (UDT) en Azure: inserción de la VM- serie en un entorno de Azure

Redes (UDT) en Azure: inserción de la VM- serie en un entorno de Azure

88565
Created On 09/25/18 15:12 PM - Last Modified 01/18/23 20:45 PM


Symptom


Antecedentes: Azure proporciona una representación de red virtual de redes del mundo real. Esta red virtual ( VNET ) proporciona un espacio privado de RFC 1918 que se puede configurar con subredes. Por ejemplo, un VNET espacio puede ser 10.0.0.0/16 y contener subredes 10.0.1.0/24 y 10.0.2.0/24. VM ' s en estas subredes pueden hablar entre sí "automáticamente." Esto lo proporciona el enrutamiento integrado proporcionado por Azure. El ". 1" de cada subred es siempre la puerta de enlace predeterminada y Azure se encarga de entregar los paquetes al destino dentro de la red virtual. Esto se controla mediante las rutas del sistema que se muestran a través de líneas punteadas entre las VMs del diagrama siguiente.  

Azure+ UDR +Routing+ VM- Series.png

Resolution


Rutas definidas por el usuario ( UDR )

UDR las tablas le permiten, como usuario o IT administrador /security, agregar reglas adicionales que controlen los flujos de tráfico dentro del VNET archivo . Puede especificar que para subnet1 intentando llegar a una IP dirección/rango/subred específico cuál debe ser el siguiente salto, que puede ser un dispositivo virtual que sea una VM- firewall serie. En el diagrama anterior, las UDR reglas para subnet1 y subnet2 ahora están forzando paquetes a través de la VM- firewall serie. El firewall se implementa con 3 interfaces: eth0 para la administración (Mgmt), eth1 (E1/1) para el lado orientado a Internet (Untrust), y eth2 (E1/2) para las redes internas/privadas del lado (Confianza). La interfaz de confianza puede proteger a través de todas las subredes internas teniendo UDR fuerza todos los paquetes a través de la VM- firewall serie. Según la documentación de Microsoft: "las subredes dependen de las rutas del sistema hasta que se asocie una tabla de ruta a la subred. Una vez que existe una asociación, el ruteo se realiza en función de la coincidencia de prefijo más larga ( LPM ) entre las rutas definidas por el usuario y las rutas del sistema. Si hay más de una ruta con la misma coincidencia de prefijo más baja ( LPM ) haga juego entonces se selecciona una ruta en función de su origen en el orden siguiente:

  1. Ruta definida por el usuario
  2. BGP ruta (cuando se utiliza ExpressRoute)
  3. Ruta del sistema "

 

Esto significa que el UDR obtendrá mayor precedencia siempre y cuando cree un más específico UDR (por ejemplo, con el prefijo /24) que la ruta del sistema policy (/16). Puede ver la UDR tabla de rutas en Azure Portal >. Para ver las rutas del sistema y UDR aplicarse en una VM persona: en el > de Azure Portal (seleccione VM el ) > (seleccione la interfaz de red) > Rutas efectivas.


Ahora la VM- serie está en la ruta de acceso de tráfico y puede aplicar las firewall directivas de seguridad que usted configura. Cuando el tráfico fluye entre las interfaces (y sus zonas relacionadas), por ejemplo, el valor de confianza, las directivas de seguridad entre zonas deben ser de configuración. Y cuando está entre subredes protegidas por una sola interfaz, digamos entre la subred 1 y la subred 2, entonces se debe crear una seguridad policy intrazona. Por ejemplo, subred1 (para aplicaciones web) à subred 2 (para base de datos): Permitir SQL tráfico.

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClD6CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language