この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

Azure Virtual WANに作成したハブでExpressRouteを構成し、2つのVnetを接続している環境を想定します。また各Vnet間は通信ができないようにハブルーティングを構成します。
ハブの構成上は問題がないにも関わらず、Vnet間での通信ができてしまう場合はExpress Routeから広報されてくる経路情報に問題がある可能性があります。

ハブにExpress Routeを接続する前の構成を記載します。Vnet間では通信ができないように構成している(Vnet1の経路情報にVnet2が存在しない)。

ハブにExpressRouteを接続すると、Vnet間での接続ができてしまう場合、ExpressRouteから広報されてくる経路情報に問題がある可能性がある場合があります。

例えば上記構成において、ExpressRouteから広報として広いアドレス範囲(例：10.0.0.0/16)のネクストホップとしてExpressRouteの接続元ルーターであった場合は通信ができるようになってしまいます。

ExpressRouteから広報されてくる経路を制限するか、各VnetにUDRを作成して不要な経度をDrop(例えばVnet1からVnet2への通信をDrop)といった対処が必要になります。

Azure Virtual WANに関する情報は他の記事もありますのでご参照ください。
https://cloudsteady.jp/post/category/faq/azure-virtual-wan/