Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Virtual WAN je síťová služba, která spojuje řadu cloudových připojení a služeb zabezpečení s jedním provozním rozhraním. Mezi tyto služby patří pobočkové připojení (prostřednictvím sítě VPN typu Site-to-Site), připojení vzdálených uživatelů (VPN typu Point-to-Site), privátní připojení (ExpressRoute), tranzitivní konektivita uvnitř cloudu pro VNety, propojení VPN a ExpressRoute, směrování, Azure Firewall a šifrování pro privátní připojení.
I když je Azure Virtual WAN cloudovou sítí SD-WAN, která poskytuje bohatou sadu služeb připojení, směrování a zabezpečení Azure první strany, služba Azure Virtual WAN je také navržená tak, aby umožňovala bezproblémové propojení s místními technologiemi a službami SD-WAN a SASE. Mnoho takových služeb nabízí náš ekosystém Virtual WAN a partneři spravovaných služeb (MSPs) pro sítě Azure. Podniky, které transformují svou privátní síť WAN na SD-WAN, mají možnosti při propojení privátní sítě SD-WAN se službou Azure Virtual WAN. Podniky si můžou vybrat z těchto možností:
- Přímý model propojení
- Přímý model vzájemného propojení s NVA ve VWAN hubu
- Nepřímý model propojení
- Model spravované hybridní sítě WAN s využitím svého oblíbeného poskytovatele spravovaných služeb MSP
Ve všech těchto případech je propojení služby Virtual WAN s SD-WAN podobné ze stránky konektivity, ale na úrovni orchestrace a provozní stránky se může lišit.
Přímý model propojení
V tomto modelu architektury je místní zařízení (CPE) pobočky SD-WAN přímo připojené k rozbočovačům Virtual WAN prostřednictvím připojení IPsec. Pobočka CPE může být také připojena k jiným větvím prostřednictvím privátní sítě SD-WAN nebo pomocí služby Virtual WAN pro větvení připojení. Větve, které potřebují přistupovat ke svým úlohám v Azure, budou moci přímo a bezpečně přistupovat k Azure prostřednictvím IPsec tunelů, které jsou ukončeny v uzlech virtuální WAN.
Partneři SD-WAN CPE mohou povolit automatizaci pro zjednodušení běžně zdlouhavé a náchylné k chybám IPsec konektivity z jejich příslušných zařízení CPE. Automatizace umožňuje kontroléru SD-WAN komunikovat s Azure prostřednictvím rozhraní API Virtual WAN ke konfiguraci lokalit Virtual WAN a přenosu nezbytné konfigurace tunelového propojení IPsec na pobočkové CPE. Podívejte se na pokyny pro automatizaci, kde naleznete popis automatizace propojení virtuální WAN různými partnery SD-WAN.
SD-WAN CPE je i nadále místem, kde se implementuje a vynucuje optimalizace provozu a výběr cesty.
V tomto modelu nemusí být podporována proprietární optimalizace provozu na základě charakteristik provozu v reálném čase, protože připojení ke službě Virtual WAN je přes protokol IPsec a síť VPN s IPsec je ukončena na VPN bráně služby Virtual WAN. Například dynamický výběr cest u pobočkového zařízení CPE je možný díky výměně různých informací o síťových paketech s jiným uzlem SD-WAN, což umožňuje dynamicky na pobočce identifikovat nejlepší propojení pro různé prioritizované datové provozy. Tato funkce může být užitečná v oblastech, kde je vyžadována optimalizace poslední míle (směrování k nejbližšímu místu připojení Microsoft POP).
Díky službě Virtual WAN můžou uživatelé získat Azure Path Selection, což je výběr cesty na základě zásad napříč několika připojeními od CPE z pobočky k VPN branám Virtual WAN. Virtual WAN umožňuje nastavit více propojení (cest) ze stejné větve SD-WAN CPE; každý odkaz představuje duální tunelové připojení z jedinečné veřejné IP adresy SD-WAN CPE do dvou různých instancí služby Azure Virtual WAN VPN Gateway. Dodavatelé SD-WAN můžou implementovat optimální cestu k Azure na základě zásad provozu nastavených modulem zásad na odkazech CPE. Na konci Azure se všechna příchozí připojení zpracovávají stejně.
Přímý model vzájemného propojení s NVA ve VWAN hubu
Tento model architektury podporuje nasazení síťového virtuálního zařízení třetí strany přímo do virtuálního centra. To umožňuje zákazníkům, kteří chtějí připojit svou pobočku CPE ke stejnému značkovému NVA ve virtuálním centru, aby mohli při připojování k úlohám Azure využívat výhody proprietárních end-to-end funkcí SD-WAN.
Několik partnerů Virtual WAN spolupracovalo na vytvoření zkušenosti, která v rámci procesu nasazení automaticky nakonfiguruje síťové virtuální zařízení (NVA). Po zřízení síťového virtuálního zařízení do virtuálního centra je potřeba provést jakoukoli další konfiguraci, která může být vyžadována pro síťové virtuální zařízení, prostřednictvím portálu partnerů síťového virtuálního zařízení nebo aplikace pro správu. Přímý přístup k NVA není k dispozici. Síťová virtuální zařízení, která jsou dostupná pro přímé nasazení do uzlu Azure Virtual WAN, jsou navržená speciálně pro použití ve virtuálním uzlu. Pro informace o partnerech podporujících NVA v centru VWAN a jejich průvodcích nasazením si prosím přečtěte článek o Virtual WAN partnerech.
SD-WAN CPE je i nadále místem, kde se implementuje a vynucuje optimalizace provozu a výběr cesty. V tomto modelu je podporována proprietární dodavatelská optimalizace provozu na základě charakteristik provozu v reálném čase, protože připojení k Virtual WAN probíhá prostřednictvím síťového virtuálního zařízení SD-WAN v centru.
Nepřímý model propojení
V tomto modelu architektury jsou pobočkové CPE SD-WAN nepřímo připojené k rozbočovačům Virtual WAN. Jak ukazuje obrázek, virtuální CPE sítě SD-WAN se nasadí v podnikové VNet. Toto virtuální CPE je zase připojeno k uzlům sítě Virtual WAN pomocí protokolu IPsec. Virtuální CPE slouží jako brána SD-WAN do Azure. Větve, které potřebují přístup ke svým úlohám v Azure, k nim budou mít přístup přes bránu v-CPE.
Vzhledem k tomu, že připojení k Azure je přes bránu v-CPE (NVA), veškerý provoz do a z virtuálních sítí úloh Azure do a z dalších poboček SD-WAN prochází přes síťové virtuální zařízení. V tomto modelu zodpovídá uživatel za správu a provoz síťového virtuálního zařízení SD-WAN, včetně vysoké dostupnosti, škálovatelnosti a směrování.
Model spravované hybridní sítě WAN
V tomto modelu architektury můžou podniky využívat spravovanou službu SD-WAN, kterou nabízí partner spravovaného poskytovatele služeb (MSP). Tento model se podobá přímým nebo nepřímým modelům popsaným výše. V tomto modelu ale poskytovatel SD-WAN poskytuje návrh, orchestraci a operace SD-WAN.
Partneři Azure Networking MSP můžou pomocí Azure Lighthouse implementovat službu SD-WAN a Virtual WAN v předplatném Azure podnikového zákazníka a provozovat komplexní hybridní síť WAN jménem zákazníka. Tito poskytovatelé cloudových služeb můžou také implementovat Azure ExpressRoute do služby Virtual WAN a provozovat ji jako ucelenou spravovanou službu.