什么是 Azure 虛擬 WAN？

Azure虛擬WAN是一個(gè)網(wǎng)絡(luò)服務(wù)，其中整合了多種網(wǎng)絡(luò)、安全和路由功能，提供單一操作界面。這些功能包括分支連接（通過(guò)SD-WAN或VPN CPE等虛擬WAN合作伙伴設(shè)備的連接自動(dòng)化）、站點(diǎn)到站點(diǎn)VPN連接、遠(yuǎn)程用戶VPN（點(diǎn)到站點(diǎn)）連接、專用(ExpressRoute)連接、云內(nèi)部連接（虛擬網(wǎng)絡(luò)的可中轉(zhuǎn)連接）、VPN ExpressRoute互連、路由、Azure防火墻、專用連接加密。無(wú)需所有這些用例即可開(kāi)始使用虛擬WAN?？蓮囊粋€(gè)用例開(kāi)始，并隨著情況變化對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)整。

虛擬WAN體系結(jié)構(gòu)是一種內(nèi)置了規(guī)模和性能的中心輻射型體系結(jié)構(gòu)，適用于分支（VPN/SD-WAN設(shè)備）、用戶（Azure VPN/OpenVPN/IKEv2客戶端）、ExpressRoute線路和虛擬網(wǎng)絡(luò)。它支持全球傳輸網(wǎng)絡(luò)體系結(jié)構(gòu)，其中的云托管網(wǎng)絡(luò)“中心”支持可能分布在不同“輻射”類型上的終結(jié)點(diǎn)之間的傳輸連接。

Azure區(qū)域充當(dāng)可供連接的中心。所有中心均在標(biāo)準(zhǔn)虛擬WAN中以完整網(wǎng)格的形式進(jìn)行連接，使得用戶能夠輕松地使用Microsoft主干進(jìn)行任意分支到任意分支的連接。對(duì)于包含SD-WAN/VPN設(shè)備的輻射連接，用戶可以在Azure虛擬WAN中手動(dòng)設(shè)置該連接，或者使用虛擬WAN CPE(SD-WAN/VPN)合作伙伴解決方案來(lái)設(shè)置與Azure的連接。我們提供了一個(gè)列表，其中的合作伙伴支持使用Azure虛擬WAN實(shí)現(xiàn)連接自動(dòng)化（能夠?qū)⒃O(shè)備信息導(dǎo)出到Azure、下載Azure配置和建立連接）。有關(guān)詳細(xì)信息，請(qǐng)參閱虛擬WAN合作伙伴和位置一文。

本文提供Azure虛擬WAN中網(wǎng)絡(luò)連接的快速視圖。虛擬WAN提供以下優(yōu)勢(shì)：

中心和輻射中的集成式連接解決方案：在本地站點(diǎn)與Azure中心之間自動(dòng)建立站點(diǎn)到站點(diǎn)配置和連接。

自動(dòng)化的輻射設(shè)置和配置：將虛擬網(wǎng)絡(luò)和工作負(fù)載無(wú)縫連接到Azure中心。

直觀的疑難解答：可以查看Azure中的端到端流，并使用此信息來(lái)執(zhí)行所需的操作。

基本和標(biāo)準(zhǔn)虛擬WAN

虛擬WAN分為兩種類型：“基本”和“標(biāo)準(zhǔn)”。下表顯示了每種類型的可用配置。

基本和標(biāo)準(zhǔn)虛擬WAN

備注

可以從基本升級(jí)到標(biāo)準(zhǔn)，但無(wú)法從標(biāo)準(zhǔn)還原為基本。

有關(guān)升級(jí)虛擬WAN的步驟，請(qǐng)參閱從基本虛擬WAN升級(jí)到標(biāo)準(zhǔn)虛擬WAN。

體系結(jié)構(gòu)

有關(guān)虛擬WAN體系結(jié)構(gòu)以及如何遷移到虛擬WAN的信息，請(qǐng)參閱以下文章：

虛擬WAN體系結(jié)構(gòu)

全局傳輸網(wǎng)絡(luò)體系結(jié)構(gòu)

虛擬WAN資源

若要配置端到端虛擬WAN，請(qǐng)創(chuàng)建以下資源：

virtualWAN：virtualWAN資源表示Azure網(wǎng)絡(luò)的虛擬覆蓋，并且是多個(gè)資源的集合。它包含要部署到虛擬WAN中的所有虛擬中心的鏈接。虛擬WAN資源相互隔離，不能包含公用中心?？缣摂MWAN的虛擬中心不會(huì)相互通信。

中心：虛擬中心是Microsoft托管的虛擬網(wǎng)絡(luò)。中心包含用于建立連接的不同服務(wù)終結(jié)點(diǎn)。從本地網(wǎng)絡(luò)(vpnsite)，你可以連接到虛擬中心內(nèi)的VPN網(wǎng)關(guān)，將ExpressRoute線路連接到虛擬中心，甚至可以將移動(dòng)用戶連接到虛擬中心中的點(diǎn)到站點(diǎn)網(wǎng)關(guān)。中心是區(qū)域中網(wǎng)絡(luò)的核心。每個(gè)Azure區(qū)域只能有一個(gè)中心。

中心網(wǎng)關(guān)與用于ExpressRoute和VPN網(wǎng)關(guān)的虛擬網(wǎng)絡(luò)網(wǎng)關(guān)不同。例如，使用虛擬WAN時(shí)，不要直接從本地站點(diǎn)創(chuàng)建與VNet的站點(diǎn)到站點(diǎn)連接。而應(yīng)與中心建立站點(diǎn)到站點(diǎn)連接。流量始終通過(guò)中心網(wǎng)關(guān)。這意味著，VNet不需要自身的虛擬網(wǎng)絡(luò)網(wǎng)關(guān)。虛擬WAN可讓VNet通過(guò)虛擬中心和虛擬中心網(wǎng)關(guān)輕松利用縮放功能。

中心虛擬網(wǎng)絡(luò)連接：中心虛擬網(wǎng)絡(luò)連接資源用于將中心無(wú)縫連接到虛擬網(wǎng)絡(luò)。

中心到中心連接：中心都在虛擬WAN中彼此連接。這意味著連接到本地中心的分支、用戶或VNet可以使用連接中心的完整網(wǎng)格體系結(jié)構(gòu)與另一個(gè)分支或VNet通信。還可以使用中心到中心連接框架連接通過(guò)虛擬中心傳輸?shù)闹行膬?nèi)的VNet，以及跨中心的VNet。

中心路由表：可以創(chuàng)建一個(gè)虛擬中心路由，并將該路由應(yīng)用于虛擬中心路由表?？梢詫⒍鄠€(gè)路由應(yīng)用于虛擬中心路由表。

其他虛擬WAN資源

站點(diǎn)：此資源僅用于站點(diǎn)到站點(diǎn)連接。站點(diǎn)資源為vpnsite。它表示本地VPN設(shè)備及其設(shè)置?？梢酝ㄟ^(guò)與虛擬WAN合作伙伴合作，使用一個(gè)內(nèi)置的解決方案自動(dòng)將此信息導(dǎo)出到Azure。

連接類型

虛擬WAN允許以下類型的連接：站點(diǎn)到站點(diǎn)VPN、用戶VPN（點(diǎn)到站點(diǎn)）和ExpressRoute。

站點(diǎn)到站點(diǎn)VPN連接

通過(guò)站點(diǎn)到站點(diǎn)IPsec/IKE(IKEv2)連接可以連接到Azure中的資源。有關(guān)詳細(xì)信息，請(qǐng)參閱使用虛擬WAN創(chuàng)建站點(diǎn)到站點(diǎn)連接。

此類型的連接需要VPN設(shè)備或虛擬WAN合作伙伴設(shè)備。虛擬WAN合作伙伴提供自動(dòng)進(jìn)行連接的功能：將設(shè)備信息導(dǎo)出到Azure中，下載Azure配置，然后建立與Azure虛擬WAN中心的連接。有關(guān)可用的合作伙伴和位置的列表，請(qǐng)參閱虛擬WAN合作伙伴和位置一文。如果VPN/SD-WAN設(shè)備提供程序未在提到的鏈接中列出，則可以僅使用分步說(shuō)明使用虛擬WAN創(chuàng)建站點(diǎn)到站點(diǎn)連接來(lái)設(shè)置連接。

用戶VPN（點(diǎn)到站點(diǎn)）連接

通過(guò)IPsec/IKE(IKEv2)或OpenVPN連接可以連接到Azure中的資源。此類連接要求在客戶端計(jì)算機(jī)上配置一個(gè)VPN客戶端。有關(guān)詳細(xì)信息，請(qǐng)參閱創(chuàng)建點(diǎn)到站點(diǎn)連接。

ExpressRoute連接

ExpressRoute允許通過(guò)專用連接將本地網(wǎng)絡(luò)連接到Azure。要?jiǎng)?chuàng)建連接，請(qǐng)參閱使用虛擬WAN創(chuàng)建ExpressRoute連接。

中心到VNet連接

可以將Azure虛擬網(wǎng)絡(luò)連接到虛擬中心。有關(guān)詳細(xì)信息，請(qǐng)參閱將VNet連接到中心。

傳輸連接

VNet之間的傳輸連接

虛擬WAN允許VNet之間的傳輸連接。VNet通過(guò)虛擬網(wǎng)絡(luò)連接連接到虛擬中心。由于每個(gè)虛擬中心中都有路由器，因此啟用了標(biāo)準(zhǔn)虛擬WAN中的VNet之間的傳輸連接。首次創(chuàng)建虛擬中心時(shí)，將實(shí)例化此路由器。

路由器可以有四種路由狀態(tài)：“已預(yù)配”、“正在預(yù)配”、“失敗”或“無(wú)”。在Azure門(mén)戶中，通過(guò)導(dǎo)航到“虛擬中心”頁(yè)面可以找到“路由狀態(tài)”。

“無(wú)”狀態(tài)表示虛擬中心未預(yù)配路由器。如果虛擬WAN為“基本”類型，或者虛擬中心是在提供服務(wù)之前部署的，則可能會(huì)出現(xiàn)此狀態(tài)。

“失敗”狀態(tài)表示在實(shí)例化過(guò)程中失敗。若要實(shí)例化或重置路由器，可以通過(guò)導(dǎo)航到Azure門(mén)戶中的虛擬中心“概述”頁(yè)面，找到“重置路由器”選項(xiàng)。

每個(gè)虛擬中心路由器支持的聚合吞吐量上限為50 Gbps。虛擬網(wǎng)絡(luò)連接之間的連接假設(shè)所有連接到單個(gè)虛擬中心的VNet共有2000 VM工作負(fù)載。

VPN和ExpressRoute之間的傳輸連接

虛擬WAN允許VNet和ExpressRoute之間的傳輸連接。這意味著VPN連接的站點(diǎn)或遠(yuǎn)程用戶可以與ExpressRoute連接的站點(diǎn)進(jìn)行通信。此外，還存在一個(gè)隱式假設(shè)，即啟用“分支到分支標(biāo)記”，并在VPN和ExpressRoute連接中支持BGP。在Azure門(mén)戶中的“Azure虛擬WAN”設(shè)置中可找到此標(biāo)記。所有路由管理功能均由虛擬中心路由器提供，該路由器還啟用了虛擬網(wǎng)絡(luò)之間的傳輸連接。

自定義路由

虛擬WAN提供了高級(jí)路由增強(qiáng)功能。能夠設(shè)置自定義路由表，通過(guò)路由關(guān)聯(lián)和傳播優(yōu)化虛擬網(wǎng)絡(luò)路由，使用標(biāo)簽對(duì)路由表進(jìn)行邏輯分組以及簡(jiǎn)化眾多網(wǎng)絡(luò)虛擬設(shè)備(NVA)或共享服務(wù)路由方案。

全局VNet對(duì)等互連

全局VNet對(duì)等互連提供了一種機(jī)制，用于連接不同區(qū)域中的兩個(gè)VNet。在虛擬WAN中，虛擬網(wǎng)絡(luò)連接將VNet連接到虛擬中心。用戶無(wú)需顯式設(shè)置全局VNet對(duì)等互連。連接到虛擬中心的VNet位于同一區(qū)域，因此會(huì)產(chǎn)生VNet對(duì)等互連費(fèi)用。連接到不同區(qū)域中的虛擬中心的VNet會(huì)產(chǎn)生全局VNet對(duì)等互連費(fèi)用。

ExpressRoute流量加密

Azure虛擬WAN提供了加密ExpressRoute流量的功能。此方法通過(guò)ExpressRoute在本地網(wǎng)絡(luò)和Azure虛擬網(wǎng)絡(luò)之間提供加密的傳輸，而無(wú)需通過(guò)公共Internet或使用公共IP地址。有關(guān)詳細(xì)信息，請(qǐng)參閱虛擬WAN的基于ExpressRoute的IPsec。

位置

有關(guān)位置信息，請(qǐng)參閱虛擬WAN合作伙伴和位置一文。

用于基本和標(biāo)準(zhǔn)虛擬WAN的路由表

路由表現(xiàn)在具有關(guān)聯(lián)和傳播功能。預(yù)先存在的路由表是不具有這些功能的路由表。如果中心路由中有預(yù)先存在的路由，并且你希望使用新功能，請(qǐng)考慮以下事項(xiàng)：

在虛擬中心中具有預(yù)先存在的路由的標(biāo)準(zhǔn)虛擬WAN客戶：如果在Azure門(mén)戶中的中心的“路由”部分有預(yù)先存在的路由，則需要先將其刪除，然后嘗試在Azure門(mén)戶中的中心的“路由表”部分創(chuàng)建新的路由表。強(qiáng)烈建議對(duì)虛擬WAN中的所有中心執(zhí)行刪除步驟。

在虛擬中心中具有預(yù)先存在的路由的基本虛擬WAN客戶：如果在Azure門(mén)戶中的中心的“路由”部分有預(yù)先存在的路由，則需要先將其刪除，然后將虛擬WAN從基本版升級(jí)到標(biāo)準(zhǔn)版。請(qǐng)參閱將虛擬WAN從基本版升級(jí)到標(biāo)準(zhǔn)版。強(qiáng)烈建議對(duì)虛擬WAN中的所有中心執(zhí)行刪除步驟。