什么是 Azure 虛擬 WAN？

Azure虛擬WAN是一個網(wǎng)絡(luò)服務(wù)，其中整合了多種網(wǎng)絡(luò)、安全和路由功能，提供單一操作界面。這些功能包括分支連接（通過SD-WAN或VPN CPE等虛擬WAN合作伙伴設(shè)備的連接自動化）、站點到站點VPN連接、遠程用戶VPN（點到站點）連接、專用(ExpressRoute)連接、云內(nèi)部連接（虛擬網(wǎng)絡(luò)的可中轉(zhuǎn)連接）、VPN ExpressRoute互連、路由、Azure防火墻、專用連接加密。無需所有這些用例即可開始使用虛擬WAN?？蓮囊粋€用例開始，并隨著情況變化對網(wǎng)絡(luò)進行調(diào)整。

虛擬WAN體系結(jié)構(gòu)是一種內(nèi)置了規(guī)模和性能的中心輻射型體系結(jié)構(gòu)，適用于分支（VPN/SD-WAN設(shè)備）、用戶（Azure VPN/OpenVPN/IKEv2客戶端）、ExpressRoute線路和虛擬網(wǎng)絡(luò)。它支持全球傳輸網(wǎng)絡(luò)體系結(jié)構(gòu)，其中的云托管網(wǎng)絡(luò)“中心”支持可能分布在不同“輻射”類型上的終結(jié)點之間的傳輸連接。

Azure區(qū)域充當可供連接的中心。所有中心均在標準虛擬WAN中以完整網(wǎng)格的形式進行連接，使得用戶能夠輕松地使用Microsoft主干進行任意分支到任意分支的連接。對于包含SD-WAN/VPN設(shè)備的輻射連接，用戶可以在Azure虛擬WAN中手動設(shè)置該連接，或者使用虛擬WAN CPE(SD-WAN/VPN)合作伙伴解決方案來設(shè)置與Azure的連接。我們提供了一個列表，其中的合作伙伴支持使用Azure虛擬WAN實現(xiàn)連接自動化（能夠?qū)⒃O(shè)備信息導出到Azure、下載Azure配置和建立連接）。有關(guān)詳細信息，請參閱虛擬WAN合作伙伴和位置一文。

本文提供Azure虛擬WAN中網(wǎng)絡(luò)連接的快速視圖。虛擬WAN提供以下優(yōu)勢：

中心和輻射中的集成式連接解決方案：在本地站點與Azure中心之間自動建立站點到站點配置和連接。

自動化的輻射設(shè)置和配置：將虛擬網(wǎng)絡(luò)和工作負載無縫連接到Azure中心。

直觀的疑難解答：可以查看Azure中的端到端流，并使用此信息來執(zhí)行所需的操作。

基本和標準虛擬WAN

虛擬WAN分為兩種類型：“基本”和“標準”。下表顯示了每種類型的可用配置。

基本和標準虛擬WAN

備注

可以從基本升級到標準，但無法從標準還原為基本。

有關(guān)升級虛擬WAN的步驟，請參閱從基本虛擬WAN升級到標準虛擬WAN。

體系結(jié)構(gòu)

有關(guān)虛擬WAN體系結(jié)構(gòu)以及如何遷移到虛擬WAN的信息，請參閱以下文章：

虛擬WAN體系結(jié)構(gòu)

全局傳輸網(wǎng)絡(luò)體系結(jié)構(gòu)

虛擬WAN資源

若要配置端到端虛擬WAN，請創(chuàng)建以下資源：

virtualWAN：virtualWAN資源表示Azure網(wǎng)絡(luò)的虛擬覆蓋，并且是多個資源的集合。它包含要部署到虛擬WAN中的所有虛擬中心的鏈接。虛擬WAN資源相互隔離，不能包含公用中心。跨虛擬WAN的虛擬中心不會相互通信。

中心：虛擬中心是Microsoft托管的虛擬網(wǎng)絡(luò)。中心包含用于建立連接的不同服務(wù)終結(jié)點。從本地網(wǎng)絡(luò)(vpnsite)，你可以連接到虛擬中心內(nèi)的VPN網(wǎng)關(guān)，將ExpressRoute線路連接到虛擬中心，甚至可以將移動用戶連接到虛擬中心中的點到站點網(wǎng)關(guān)。中心是區(qū)域中網(wǎng)絡(luò)的核心。每個Azure區(qū)域只能有一個中心。

中心網(wǎng)關(guān)與用于ExpressRoute和VPN網(wǎng)關(guān)的虛擬網(wǎng)絡(luò)網(wǎng)關(guān)不同。例如，使用虛擬WAN時，不要直接從本地站點創(chuàng)建與VNet的站點到站點連接。而應(yīng)與中心建立站點到站點連接。流量始終通過中心網(wǎng)關(guān)。這意味著，VNet不需要自身的虛擬網(wǎng)絡(luò)網(wǎng)關(guān)。虛擬WAN可讓VNet通過虛擬中心和虛擬中心網(wǎng)關(guān)輕松利用縮放功能。

中心虛擬網(wǎng)絡(luò)連接：中心虛擬網(wǎng)絡(luò)連接資源用于將中心無縫連接到虛擬網(wǎng)絡(luò)。

中心到中心連接：中心都在虛擬WAN中彼此連接。這意味著連接到本地中心的分支、用戶或VNet可以使用連接中心的完整網(wǎng)格體系結(jié)構(gòu)與另一個分支或VNet通信。還可以使用中心到中心連接框架連接通過虛擬中心傳輸?shù)闹行膬?nèi)的VNet，以及跨中心的VNet。

中心路由表：可以創(chuàng)建一個虛擬中心路由，并將該路由應(yīng)用于虛擬中心路由表?？梢詫⒍鄠€路由應(yīng)用于虛擬中心路由表。

其他虛擬WAN資源

站點：此資源僅用于站點到站點連接。站點資源為vpnsite。它表示本地VPN設(shè)備及其設(shè)置。可以通過與虛擬WAN合作伙伴合作，使用一個內(nèi)置的解決方案自動將此信息導出到Azure。

連接類型

虛擬WAN允許以下類型的連接：站點到站點VPN、用戶VPN（點到站點）和ExpressRoute。

站點到站點VPN連接

通過站點到站點IPsec/IKE(IKEv2)連接可以連接到Azure中的資源。有關(guān)詳細信息，請參閱使用虛擬WAN創(chuàng)建站點到站點連接。

此類型的連接需要VPN設(shè)備或虛擬WAN合作伙伴設(shè)備。虛擬WAN合作伙伴提供自動進行連接的功能：將設(shè)備信息導出到Azure中，下載Azure配置，然后建立與Azure虛擬WAN中心的連接。有關(guān)可用的合作伙伴和位置的列表，請參閱虛擬WAN合作伙伴和位置一文。如果VPN/SD-WAN設(shè)備提供程序未在提到的鏈接中列出，則可以僅使用分步說明使用虛擬WAN創(chuàng)建站點到站點連接來設(shè)置連接。

用戶VPN（點到站點）連接

通過IPsec/IKE(IKEv2)或OpenVPN連接可以連接到Azure中的資源。此類連接要求在客戶端計算機上配置一個VPN客戶端。有關(guān)詳細信息，請參閱創(chuàng)建點到站點連接。

ExpressRoute連接

ExpressRoute允許通過專用連接將本地網(wǎng)絡(luò)連接到Azure。要創(chuàng)建連接，請參閱使用虛擬WAN創(chuàng)建ExpressRoute連接。

中心到VNet連接

可以將Azure虛擬網(wǎng)絡(luò)連接到虛擬中心。有關(guān)詳細信息，請參閱將VNet連接到中心。

傳輸連接

VNet之間的傳輸連接

虛擬WAN允許VNet之間的傳輸連接。VNet通過虛擬網(wǎng)絡(luò)連接連接到虛擬中心。由于每個虛擬中心中都有路由器，因此啟用了標準虛擬WAN中的VNet之間的傳輸連接。首次創(chuàng)建虛擬中心時，將實例化此路由器。

路由器可以有四種路由狀態(tài)：“已預(yù)配”、“正在預(yù)配”、“失敗”或“無”。在Azure門戶中，通過導航到“虛擬中心”頁面可以找到“路由狀態(tài)”。

“無”狀態(tài)表示虛擬中心未預(yù)配路由器。如果虛擬WAN為“基本”類型，或者虛擬中心是在提供服務(wù)之前部署的，則可能會出現(xiàn)此狀態(tài)。

“失敗”狀態(tài)表示在實例化過程中失敗。若要實例化或重置路由器，可以通過導航到Azure門戶中的虛擬中心“概述”頁面，找到“重置路由器”選項。

每個虛擬中心路由器支持的聚合吞吐量上限為50 Gbps。虛擬網(wǎng)絡(luò)連接之間的連接假設(shè)所有連接到單個虛擬中心的VNet共有2000 VM工作負載。

VPN和ExpressRoute之間的傳輸連接

虛擬WAN允許VNet和ExpressRoute之間的傳輸連接。這意味著VPN連接的站點或遠程用戶可以與ExpressRoute連接的站點進行通信。此外，還存在一個隱式假設(shè)，即啟用“分支到分支標記”，并在VPN和ExpressRoute連接中支持BGP。在Azure門戶中的“Azure虛擬WAN”設(shè)置中可找到此標記。所有路由管理功能均由虛擬中心路由器提供，該路由器還啟用了虛擬網(wǎng)絡(luò)之間的傳輸連接。

自定義路由

虛擬WAN提供了高級路由增強功能。能夠設(shè)置自定義路由表，通過路由關(guān)聯(lián)和傳播優(yōu)化虛擬網(wǎng)絡(luò)路由，使用標簽對路由表進行邏輯分組以及簡化眾多網(wǎng)絡(luò)虛擬設(shè)備(NVA)或共享服務(wù)路由方案。

全局VNet對等互連

全局VNet對等互連提供了一種機制，用于連接不同區(qū)域中的兩個VNet。在虛擬WAN中，虛擬網(wǎng)絡(luò)連接將VNet連接到虛擬中心。用戶無需顯式設(shè)置全局VNet對等互連。連接到虛擬中心的VNet位于同一區(qū)域，因此會產(chǎn)生VNet對等互連費用。連接到不同區(qū)域中的虛擬中心的VNet會產(chǎn)生全局VNet對等互連費用。

ExpressRoute流量加密

Azure虛擬WAN提供了加密ExpressRoute流量的功能。此方法通過ExpressRoute在本地網(wǎng)絡(luò)和Azure虛擬網(wǎng)絡(luò)之間提供加密的傳輸，而無需通過公共Internet或使用公共IP地址。有關(guān)詳細信息，請參閱虛擬WAN的基于ExpressRoute的IPsec。

位置

有關(guān)位置信息，請參閱虛擬WAN合作伙伴和位置一文。

用于基本和標準虛擬WAN的路由表

路由表現(xiàn)在具有關(guān)聯(lián)和傳播功能。預(yù)先存在的路由表是不具有這些功能的路由表。如果中心路由中有預(yù)先存在的路由，并且你希望使用新功能，請考慮以下事項：

在虛擬中心中具有預(yù)先存在的路由的標準虛擬WAN客戶：如果在Azure門戶中的中心的“路由”部分有預(yù)先存在的路由，則需要先將其刪除，然后嘗試在Azure門戶中的中心的“路由表”部分創(chuàng)建新的路由表。強烈建議對虛擬WAN中的所有中心執(zhí)行刪除步驟。

在虛擬中心中具有預(yù)先存在的路由的基本虛擬WAN客戶：如果在Azure門戶中的中心的“路由”部分有預(yù)先存在的路由，則需要先將其刪除，然后將虛擬WAN從基本版升級到標準版。請參閱將虛擬WAN從基本版升級到標準版。強烈建議對虛擬WAN中的所有中心執(zhí)行刪除步驟。