0

我尝试为我的 azure VNET 设置自定义 NVA(具有应用程序特定功能的简单路由器)。

我的网络:

互联网 <-> 带有 NIC1(NVA) 的子网 1 <-> 带有 NIC2 (NVA) 和 VM 的子网 2

我希望过滤进出互联网的 NVA VM 流量。

据我了解,我可以使用 UDR 通过 NVA 将来自 VM 的传出流量路由到 Internet(并且我在 NVA NIC 上设置了转发标志).. 这一步工作......

但在那之后我有问题。我的简单 NVA 只是将数据包从一个接口转发到另一个接口(它的简单路由器)-> 所以来自 NIC2 的数据包(带有 VM 的 src IP 和互联网服务的 dst IP)转发到 NIC1 并使用原始 src IP 发送到子网 1(带有VM 的 src IP 和 Internet 服务的 dst IP)...我无法从 Internet 服务中看到任何答案。

所以我有问题:

  • 我可以为我的案例创建工作解决方案吗(当 NVA 不使用 NAT 时)

  • 有人可以告诉我为什么我的流量在某处下降而我在 VM 中看不到答案(我知道流量不能通过我的 NVA,但为什么我看不到答案?)

  • Azure 路线图是否有计划在 UDR 中支持基于源的路由策略(如 linux 一样)?

4

1 回答 1

0

当您通过缩进到 Internet 的 NVA 发送流量时,SNAT 在 NVA 上完成,以便 NVA 接收返回的流量并将其发送回 VM。

这是一般行为。如果您不使用 NVA 过滤流量而仅用于监控目的,您可以通过名为 Virtual Network Tap 的新功能来实现您的要求。使用此技术,您可以将 VM 发起的所有流量镜像到 NVA,而无需使用复杂的 UDR,并且仍将源 IP 作为 VM 的公共 IP 地址。

参考:https ://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-tap-overview

于 2019-07-09T03:46:58.883 回答