Sdílet prostřednictvím


Nejčastější dotazy ke službě Virtual WAN

Je Azure Virtual WAN ve verzi GA?

Ano, Azure Virtual WAN je obecně dostupná (GA). Virtual WAN se ale skládá z několika funkcí a scénářů. Ve službě Virtual WAN existují funkce nebo scénáře, ve kterých Microsoft používá značku Preview. V takových případech je konkrétní funkce nebo samotný scénář ve verzi Preview. Pokud nepoužíváte konkrétní funkci Preview, platí běžná podpora ga. Další informace o podpoře verze Preview najdete v dodatečných podmínkách použití pro microsoft Azure Preview.

Která umístění a oblasti jsou k dispozici?

Pokud chcete zobrazit dostupné oblasti pro Virtual WAN, přečtěte si informace o produktech dostupných v jednotlivých oblastech. Jako název produktu zadejte Virtual WAN .

Potřebuje uživatel k používání služby Azure Virtual WAN hvězdicová zařízení a paprsky se zařízeními SD-WAN nebo VPN?

Virtual WAN poskytuje řadu funkcí integrovaných v jediném podokně, jako je připojení VPN typu site/site-to-site, připojení user/P2S, připojení ExpressRoute, připojení k virtuální síti, propojení vpn ExpressRoute interconnectivity, připojení typu VNet-to-VNet, centralizované směrování, zabezpečení brány Azure Firewall a Správce brány firewall, monitorování, šifrování ExpressRoute a mnoho dalších funkcí. Abyste mohli začít používat Virtual WAN, nemusíte mít všechny tyto případy použití. Můžete začít jenom s jedním případem použití.

Architektura Virtual WAN je hvězdicová architektura s škálováním a výkonem integrovanou ve větvích (zařízení VPN/SD-WAN), uživatelé (Klient Azure VPN, openVPN nebo klienti IKEv2), okruhy ExpressRoute, virtuální sítě slouží jako paprsky virtuálním rozbočovačům. Všechna rozbočovače jsou připojená v celé síti ve službě Virtual WAN úrovně Standard, aby uživatel snadno používal páteřní síť Microsoftu pro připojení typu any-to-any (jakýkoli paprsk). Pro hvězdicová zařízení SD-WAN/VPN ho uživatelé můžou buď ručně nastavit na portálu Azure Virtual WAN, nebo použít Partner CPE (SD-WAN/VPN) služby Virtual WAN k nastavení připojení k Azure.

Partneři virtual WAN poskytují automatizaci připojení, což je schopnost exportovat informace o zařízení do Azure, stáhnout konfiguraci Azure a navázat připojení k centru Azure Virtual WAN. Pro připojení VPN typu point-to-site/user podporujeme klienta Azure VPN, OpenVPN nebo klienta IKEv2.

Můžete ve službě Virtual WAN zakázat plně sítové rozbočovače?

Virtual WAN má dvě varianty: Basic a Standard. Ve službě Basic Virtual WAN nejsou rozbočovače v síti meshed. Ve službě Virtual WAN úrovně Standard se rozbočovače automaticky připojují při prvním nastavení virtuální sítě WAN. Uživatel nemusí nic konkrétního dělat. Uživatel také nemusí funkci zakázat ani povolit, aby získal meshed hubs. Virtual WAN poskytuje řadu možností směrování pro směrování provozu mezi libovolným paprskem (virtuální sítí, vpn nebo ExpressRoute). Poskytuje snadné plně okamé rozbočovače a také flexibilitu směrování provozu podle vašich potřeb.

Jak se Zóny dostupnosti a odolnost zpracovává ve službě Virtual WAN?

Virtual WAN je kolekce center a služeb zpřístupněných v rámci centra. Uživatel může mít podle potřeby tolik virtuální sítě WAN. V centru Virtual WAN existuje několik služeb, jako je VPN, ExpressRoute atd. Každá z těchto služeb se automaticky nasadí napříč Zóny dostupnosti (s výjimkou služby Azure Firewall), pokud oblast podporuje Zóny dostupnosti. Pokud se oblast stane zónou dostupnosti po počátečním nasazení v centru, může uživatel znovu vytvořit brány, což aktivuje nasazení zóny dostupnosti. Všechny brány se zřídí v centru jako aktivní-aktivní, což znamená, že v centru je integrovaná odolnost. Uživatelé se můžou připojit k více rozbočovačům, pokud chtějí odolnost napříč oblastmi.

V současné době je možné službu Azure Firewall nasadit tak, aby podporovala Zóny dostupnosti pomocí portálu Azure Firewall Manager, PowerShellu nebo rozhraní příkazového řádku. V současné době neexistuje způsob, jak nakonfigurovat existující bránu firewall tak, aby se nasadila napříč zónami dostupnosti. Budete muset odstranit a znovu nasadit bránu Azure Firewall.

Koncept služby Virtual WAN je globální, ale skutečný prostředek Virtual WAN je založený na Resource Manageru a nasazuje se v jednotlivých oblastech. Pokud by samotná oblast virtuální sítě WAN měla problém, budou všechna centra v této virtuální síti WAN dál fungovat tak, jak je, ale uživatel nebude moct vytvářet nová centra, dokud nebude dostupná oblast virtual WAN.

Je možné sdílet bránu firewall v chráněném centru s jinými rozbočovači?

Ne, každé virtuální centrum Azure musí mít vlastní bránu firewall. Nasazení vlastních tras pro nasměrování brány firewall jiného zabezpečeného centra selže a úspěšně se nedokončí. Zvažte převod těchto center na zabezpečené rozbočovače s vlastními bránami firewall.

Jaký klient podporuje síť VPN uživatele azure Virtual WAN (point-to-site)?

Virtual WAN podporuje klienta Azure VPN, klienta OpenVPN nebo jakéhokoli klienta IKEv2. U Klient Azure VPN se podporuje ověřování Microsoft Entra. Vyžaduje se minimálně klientský operační systém Windows 10 verze 17763.0 nebo vyšší. Klienti OpenVPN můžou podporovat ověřování na základě certifikátů. Po výběru ověřování na základě certifikátu v bráně se zobrazí soubor .ovpn* ke stažení do zařízení. IKEv2 podporuje ověřování pomocí certifikátu i protokolu RADIUS.

Pro síť VPN uživatele (point-to-site) – proč je fond klientů P2S rozdělený na dvě trasy?

Každá brána má dvě instance. Rozdělení probíhá tak, aby každá instance brány nezávisle přidělovala IP adresy klientů pro připojené klienty a provoz z virtuální sítě se směruje zpět do správné instance brány, aby se zabránilo směrování instancí mezi bránami.

Návody přidat servery DNS pro klienty P2S?

Existují dvě možnosti přidání serverů DNS pro klienty P2S. První metoda je upřednostňovaná, protože přidává vlastní servery DNS do brány místo klienta.

  1. Pomocí následujícího skriptu PowerShellu přidejte vlastní servery DNS. Nahraďte hodnoty pro vaše prostředí.

    // Define variables
    $rgName = "testRG1"
    $virtualHubName = "virtualHub1"
    $P2SvpnGatewayName = "testP2SVpnGateway1"
    $vpnClientAddressSpaces = 
    $vpnServerConfiguration1Name = "vpnServerConfig1"
    $vpnClientAddressSpaces = New-Object string[] 2
    $vpnClientAddressSpaces[0] = "192.168.2.0/24"
    $vpnClientAddressSpaces[1] = "192.168.3.0/24"
    $customDnsServers = New-Object string[] 2
    $customDnsServers[0] = "7.7.7.7"
    $customDnsServers[1] = "8.8.8.8"
    $virtualHub = $virtualHub = Get-AzVirtualHub -ResourceGroupName $rgName -Name $virtualHubName
    $vpnServerConfig1 = Get-AzVpnServerConfiguration -ResourceGroupName $rgName -Name $vpnServerConfiguration1Name
    
    // Specify custom dns servers for P2SVpnGateway VirtualHub while creating gateway
    createdP2SVpnGateway = New-AzP2sVpnGateway -ResourceGroupName $rgname -Name $P2SvpnGatewayName -VirtualHub $virtualHub -VpnGatewayScaleUnit 1 -VpnClientAddressPool $vpnClientAddressSpaces -VpnServerConfiguration $vpnServerConfig1 -CustomDnsServer $customDnsServers
    
    // Specify custom dns servers for P2SVpnGateway VirtualHub while updating existing gateway
    $P2SVpnGateway = Get-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName
    $updatedP2SVpnGateway = Update-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName -CustomDnsServer $customDnsServers 
    
    // Re-generate Vpn profile either from PS/Portal for Vpn clients to have the specified dns servers
    
  2. Nebo pokud používáte Klient Azure VPN pro Windows 10, můžete před importem upravit stažený soubor XML profilu a přidat značky dnsservers dnsservers dnsserver<>/><dnsserver></dnsservers>.<

       <azvpnprofile>
       <clientconfig>
    
           <dnsservers>
               <dnsserver>x.x.x.x</dnsserver>
               <dnsserver>y.y.y.y</dnsserver>
           </dnsservers>
    
       </clientconfig>
       </azvpnprofile>
    

Kolik klientů se podporuje pro VPN uživatele (point-to-site)?

Následující tabulka popisuje počet souběžných připojení a agregovanou propustnost brány VPN typu Point-to-Site podporovanou v různých jednotkách škálování.

Jednotka škálování Instance brány Podporovaná souběžná připojení Agregovaná propustnost
1 2 500 0,5 Gb/s
2 2 500 1 Gb/s
3 2 500 1,5 Gb/s
4 2 1000 2 Gb/s
5 2 1000 2,5 Gb/s
6 2 1000 3 Gb/s
7 2 5000 3,5 Gb/s
8 2 5000 4 Gb/s
9 2 5000 4,5 Gb/s
10 2 5000 5 Gb/s
11 2 10000 5,5 Gb/s
12 2 10000 6 Gb/s
13 2 10000 6,5 Gb/s
14 2 10000 7 Gb/s
15 2 10000 7,5 Gb/s
16 2 10000 8 Gb/s
17 2 10000 8,5 Gb/s
18 2 10000 9 Gb/s
19 2 10000 9,5 Gb/s
20 2 10000 10 Gb/s
40 4 20 000 20 Gb/s
60 6 30000 30 Gb/s
80 8 40000 40 Gb/s
100 10 50000 50 Gb/s
120 12 60000 60 Gb/s
140 14 70000 70 Gb/s
160 16 800 000 80 Gb/s
180 18 90000 90 Gb/s
200 20 100000 100 Gb/s

Řekněme například, že uživatel zvolí 1 jednotku škálování. Každá jednotka škálování by znamenala nasazenou bránu aktivní-aktivní a každá instance (v tomto případě 2) by podporovala až 500 připojení. Vzhledem k tomu, že můžete získat 500 připojení × 2 na bránu, neznamená to, že pro tuto jednotku škálování plánujete 1000 místo 500. Pokud překročíte doporučený počet připojení, bude možná potřeba obsluhovat instance, během kterých může být přerušeno připojení pro dalších 500 instancí.

U bran s jednotkami škálování většími než 20 se nasadí další páry instancí brány s vysokou dostupností, které poskytují další kapacitu pro připojení uživatelů. Každá dvojice instancí podporuje až 10 000 dalších uživatelů. Pokud například nasadíte bránu s 100 jednotkami škálování, nasadí se 5 dvojic bran (10 celkového počtu instancí) a můžou se připojit až 50 000 (10 000 uživatelů x 5 párů bran).

Nezapomeňte také naplánovat výpadek v případě, že se rozhodnete vertikálně navýšit nebo snížit kapacitu jednotky škálování nebo změnit konfiguraci point-to-site v bráně VPN.

Pro síť VPN uživatele (point-to-site) je podporovaná aplikace zaregistrovaná microsoftem v ověřování Entra ID?

Ano, aplikace zaregistrovaná Microsoftem se podporuje ve službě Virtual WAN. Síť VPN uživatele můžete migrovat z ručně zaregistrované aplikace do aplikace zaregistrované Microsoftem, abyste zajistili bezpečnější připojení.

Co jsou jednotky škálování brány služby Virtual WAN?

Jednotka škálování je jednotka definovaná pro výběr agregované propustnosti brány ve virtuálním centru. 1 jednotka škálování sítě VPN = 500 Mb/s. 1 jednotka škálování ExpressRoute = 2 Gb/s. Příklad: 10 jednotek škálování sítě VPN by znamenalo 500 Mb/s × 10 = 5 Gb/s.

Jaký je rozdíl mezi bránou virtuální sítě Azure (VPN Gateway) a bránou VPN azure Virtual WAN?

Virtual WAN poskytuje možnosti připojení typu Site-to-Site ve velkém měřítku a je určená pro zajištění propustnosti, škálovatelnosti a snadného použití. Když připojíte lokalitu k bráně VPN virtual WAN, liší se od běžné brány virtuální sítě, která používá typ brány site-to-site VPN. Pokud chcete připojit vzdálené uživatele ke službě Virtual WAN, použijte typ brány VPN typu point-to-site. Brány VPN typu point-to-site a site-to-site jsou samostatné entity v centru Virtual WAN a musí být nasazeny jednotlivě. Podobně když připojíte okruh ExpressRoute k centru Virtual WAN, použije pro bránu ExpressRoute jiný prostředek než brána běžné virtuální sítě, která používá typ brány ExpressRoute.

Virtual WAN podporuje agregovanou propustnost až 20 Gb/s pro VPN i ExpressRoute. Virtual WAN má také automatizaci pro připojení k ekosystému partnerů pro pobočky CPE. Pobočková zařízení CPE mají integrovanou automatizaci, která automaticky zřadí a připojí se ke službě Azure Virtual WAN. Tato zařízení jsou dostupná od stále rostoucího ekosystému partnerů pro SD-WAN a VPN. Podívejte se na seznam preferovaných partnerů.

Jak se Virtual WAN liší od brány virtuální sítě Azure?

Síť VPN brány virtuální sítě je omezená na 100 tunelů. Pro připojení byste měli pro rozsáhlé sítě VPN používat Virtual WAN. Můžete připojit až 1 000 připojení větví na virtuální centrum s agregací 20 Gb/s na rozbočovač. Připojení je tunel typu aktivní-aktivní z místního zařízení VPN do virtuálního rozbočovače. Můžete mít také více virtuálních center pro každou oblast, což znamená, že můžete připojit více než 1 000 větví k jedné oblasti Azure nasazením několika center Virtual WAN v dané oblasti Azure, z nichž každá má vlastní bránu VPN typu site-to-site.

Jaký je doporučený algoritmus a pakety za sekundu na instanci site-to-site v centru Virtual WAN? Kolik tunelů podporuje každou instanci? Jaká je maximální propustnost podporovaná v jednom tunelu?

Virtual WAN podporuje 2 aktivní instance brány VPN typu site-to-site ve virtuálním centru. To znamená, že ve virtuálním centru je 2 instance brány VPN typu aktivní-aktivní. Během operací údržby se každá instance upgraduje o jednu o jednu, protože uživatel může zaznamenat krátký pokles agregované propustnosti brány VPN.

I když vpn virtual WAN podporuje mnoho algoritmů, doporučujeme GCMAES256 pro šifrování IPSEC i integritu, aby byl optimální výkon. AES256 a SHA256 jsou považovány za méně výkonné, a proto je možné u podobných typů algoritmů očekávat snížení výkonu, jako je latence a poklesy paketů.

Pakety za sekundu nebo PPS jsou faktorem celkového počtu paketů a propustnosti podporované pro každou instanci. To je nejlépe pochopitelné v příkladu. Řekněme, že v centru virtuální sítě WAN je nasazená 1 jednotka škálování 500 Mb/s instance brány VPN typu site-to-site. Za předpokladu, že velikost paketu 1400, očekává se PPS pro danou instanci brány vpn maximálně = [(500 Mb/s * 1024 * 1024) /8/1400] ~ 47000.

Virtual WAN má koncepty připojení VPN, propojení připojení a tunelů. Jedno připojení VPN se skládá z propojení připojení. Virtual WAN podporuje až 4 připojení v připojení VPN. Každé připojení propojení se skládá ze dvou tunelů IPsec, které končí ve dvou instancích brány VPN aktivní-aktivní nasazené ve virtuálním centru. Celkový počet tunelů, které se můžou ukončit v jedné aktivní instanci, je 1000, což také znamená, že propustnost pro 1 instanci bude k dispozici agregovaná napříč všemi tunely připojujícími se k této instanci. Každý tunel má také určité hodnoty propustnosti. V případě několika tunelů připojených k bráně jednotky škálování nižší hodnoty je nejlepší vyhodnotit potřebu tunelu a naplánovat bránu VPN, která je agregovanou hodnotou propustnosti napříč všemi tunely ukončovanými v instanci VPN.

Hodnoty pro různé jednotky škálování podporované ve službě Virtual WAN

Jednotka škálování Maximální propustnost na tunel (Mb/s) Maximální počet PPS na tunel Maximální propustnost na instanci (Mb/s) Maximální počet PPS na instanci
0 500 47K 500 47K
2 1000 94K 1000 94K
3 1500 140K 1500 140K
4 1500 140K 2000 187K
5 1500 140K 2500 234K
6 1500 140K 3000 281K
7 2300 215K 3500 328K
8 2300 215K 4000 374K
9 2300 215K 4500 421K
10 2300 215K 5000 468K
11 2300 215K 5500 515K
12 2300 215K 6000 562K
13 2300 215K 6500 609K
14 2300 215K 7000 655K
15 2300 215K 7 500 702K
16 2300 215K 8000 749K
17 2300 215K 8500 796K
18 2300 215K 9000 843K
19 2300 215K 9500 889K
20 2300 215K 10000 936K

Poznámka:

Všechna čísla jsou založená na algoritmu GCM.

Kteří poskytovatelé zařízení (partneři virtual WAN) jsou podporováni?

Plně automatizované prostředí Virtual WAN v současnosti podporuje celá řada partnerů. Další informace najdete v tématu Partneři Virtual WAN.

Jaké jsou kroky automatizace Virtual WAN u partnerů?

Informace o krocích automatizace u partnerů najdete v tématu o automatizaci Virtual WAN u partnerů.

Musím použít preferované partnerské zařízení?

Ne. Můžete použít libovolné zařízení s podporou VPN, které vyhovuje požadavkům Azure na podporu IKEv2/IKEv1 protokolu IPsec. Virtual WAN má také partnerová řešení CPE, která automatizují připojení ke službě Azure Virtual WAN, což usnadňuje nastavení připojení IPsec VPN ve velkém měřítku.

Jak partneři pro Virtual WAN automatizují možnosti připojení s využitím Azure Virtual WAN?

Softwarově definovaná řešení možností připojení obvykle spravují svá pobočková zařízení s využitím kontroleru nebo centra pro zřizování zařízení. Kontroler může k automatizaci připojení k Azure Virtual WAN využívat rozhraní API Azure. Automatizace zahrnuje nahrání informací o větvi, stažení konfigurace Azure, nastavení tunelů IPsec do virtuálních center Azure a automatické nastavení připojení ze zařízení větve ke službě Azure Virtual WAN. Pokud máte stovky větví, připojení pomocí partnerů CPE pro Virtual WAN je snadné, protože onboardingové prostředí odpojí nutnost nastavení, konfigurace a správy rozsáhlého připojení IPsec. Další informace najdete v tématu věnovaném automatizaci partnerů pro Virtual WAN.

Co když zařízení, které používám, není v seznamu partnerů pro Virtual WAN? Můžu ho dál používat k připojení k síti VPN služby Azure Virtual WAN?

Ano, pokud zařízení podporuje protokol IPsec IKEv1 nebo IKEv2. Partneři virtual WAN automatizují připojení ze zařízení k koncovým bodům Azure VPN. To znamená, že se automatizují kroky, jako je nahrání informací o větvi, protokol IPsec a konfigurace a připojení. Vzhledem k tomu, že vaše zařízení není z partnerského ekosystému virtual WAN, budete muset provést náročné ruční převzetí konfigurace Azure a aktualizaci zařízení, abyste mohli nastavit připojení IPsec.

Jak se noví partneři, kteří nejsou uvedení v seznamu spouštěčů partnerů, zprovozní?

Všechna rozhraní API virtuální sítě WAN jsou OpenAPI. Pokud chcete posoudit technickou proveditelnost, můžete si projít dokumentaci k automatizaci partnerů virtual WAN. Ideální partner je takový, pro jehož zařízení se dá zřídit připojení IKEv1 nebo IKEv2 protokolu IPSec. Jakmile společnost dokončí automatizaci svého zařízení CPE na základě výše uvedených pokynů pro automatizaci, můžete azurevirtualwan@microsoft.com se spojit s připojením prostřednictvím partnerů. Pokud jste zákazník, který by chtěl, aby určité firemní řešení bylo uvedeno jako partner služby Virtual WAN, požádejte společnost o kontaktování služby Virtual WAN odesláním e-mailu na azurevirtualwan@microsoft.comadresu .

Jak virtual WAN podporuje zařízení SD-WAN?

Partneři virtual WAN automatizují připojení IPsec ke koncovým bodům Azure VPN. Pokud je partner služby Virtual WAN poskytovatelem SD-WAN, předpokládá se, že kontroler SD-WAN spravuje automatizaci a připojení IPsec ke koncovým bodům Azure VPN. Pokud zařízení SD-WAN vyžaduje vlastní koncový bod místo Azure VPN pro všechny funkce SD-WAN, můžete koncový bod SD-WAN nasadit ve virtuální síti Azure a současně existovat ve službě Azure Virtual WAN.

Virtual WAN podporuje partnerský vztah protokolu BGP a má také možnost nasazovat síťová virtuální zařízení do centra virtual WAN.

Kolik zařízení VPN se může připojit k jednomu rozbočovači?

Pro každé virtuální centrum se podporuje až 1 000 připojení. Každé připojení se skládá ze čtyř propojení a každé připojení propojení podporuje dva tunely, které jsou v konfiguraci aktivní-aktivní. Tunely se ukončí v bráně VPN virtuálního centra Azure. Odkazy představují fyzické propojení ISP ve větvi nebo zařízení VPN.

Co je připojení větve ke službě Azure Virtual WAN?

Připojení z větve nebo zařízení VPN k Azure Virtual WAN je připojení VPN, které se připojuje prakticky k lokalitě VPN a bráně Azure VPN ve virtuálním centru.

Co se stane, když má místní zařízení VPN jenom 1 tunel k bráně VPN azure Virtual WAN?

Připojení Azure Virtual WAN se skládá ze 2 tunelů. Brána VPN služby Virtual WAN je nasazená ve virtuálním centru v režimu aktivní-aktivní, což znamená, že existují samostatné tunely od místních zařízení ukončovaných v samostatných instancích. Toto je doporučení pro všechny uživatele. Pokud se ale uživatel rozhodne, že má pouze 1 tunel na jednu z instancí brány VPN Virtual WAN, pokud z nějakého důvodu (údržba, opravy atd.) se instance brány přepne do offline režimu, tunel se přesune do sekundární aktivní instance a uživatel se může znovu připojit. Relace protokolu BGP se nepřesouvají mezi instancemi.

Co se stane během resetování brány ve službě Virtual WAN VPN Gateway?

Tlačítko Pro resetování brány by se mělo použít, pokud všechna vaše místní zařízení fungují podle očekávání, ale připojení VPN typu site-to-site v Azure je v odpojeném stavu. Brány VPN virtual WAN se vždy nasazují ve stavu Aktivní-Aktivní, aby byla vysoká dostupnost. To znamená, že v libovolném okamžiku je v bráně VPN vždy nasazeno více instancí. Když se použije tlačítko Pro resetování brány, restartuje instance v bráně VPN postupně, aby se vaše připojení nenarušovala. Při přesunu připojení z jedné instance na druhou bude krátká mezera, ale tato mezera by měla být menší než minuta. Kromě toho mějte na paměti, že resetování bran nezmění vaše veřejné IP adresy.

Tento scénář platí jenom pro připojení S2S.

Může se místní zařízení VPN připojit k více rozbočovačům?

Ano. Tok provozu, při zahájení, je z místního zařízení na nejbližší hraniční síť Microsoftu a pak do virtuálního centra.

Jsou pro Virtual WAN k dispozici nějaké nové prostředky Resource Manageru?

Ano, Virtual WAN má nové prostředky Resource Manageru. Další informace najdete v tématu Přehled.

Můžu nasadit a používat své oblíbené síťové virtuální zařízení (ve virtuální síti nvA) se službou Azure Virtual WAN?

Ano, ke službě Azure Virtual WAN můžete připojit oblíbenou virtuální síť síťového virtuálního zařízení (NVA).

Můžu ve virtuálním centru vytvořit síťové virtuální zařízení?

Síťové virtuální zařízení je možné nasadit v rámci virtuálního centra. Postup najdete v tématu Informace o síťových virtuálních zařízeních v centru Virtual WAN.

Může paprsková virtuální síť mít bránu virtuální sítě?

Ne. Paprsková virtuální síť nemůže mít bránu virtuální sítě, pokud je připojená k virtuálnímu centru.

Může paprsková virtuální síť obsahovat směrovací server Azure?

Ne. Paprsková virtuální síť nemůže mít směrovací server, pokud je připojený k centru virtual WAN.

Podporuje se protokol BGP v připojení VPN?

Ano, BGP se podporuje. Když vytvoříte lokalitu VPN, můžete v ní zadat parametry protokolu BGP. To znamená, že všechna připojení vytvořená v Azure pro danou lokalitu budou povolená pro protokol BGP.

Jsou pro Virtual WAN k dispozici nějaké informace o cenách nebo licencích?

Ano. Prohlédněte si stránku s cenami.

Je možné vytvořit Azure Virtual WAN s využitím šablony Resource Manageru?

Jednoduchou konfiguraci jedné virtuální sítě WAN s jedním centrem a jednou lokalitou vpn je možné vytvořit pomocí šablony rychlého startu. Virtual WAN je primárně služba řízená rozhraním REST nebo portálem.

Můžou paprskové virtuální sítě připojené k virtuálnímu rozbočovači vzájemně komunikovat (průchod V2V)?

Ano. Standard Virtual WAN podporuje tranzitivní připojení typu VNet-to-VNet prostřednictvím centra Virtual WAN, ke kterému jsou virtuální sítě připojené. V terminologii služby Virtual WAN se na tyto cesty odkazujeme jako na místní průchod virtuální sítě Virtual WAN pro virtuální sítě připojené k centru Virtual WAN v rámci jedné oblasti a globální průchod virtuální sítí Virtual WAN pro virtuální sítě propojené prostřednictvím několika center Virtual WAN ve dvou nebo více oblastech.

V některých scénářích můžou být paprskové virtuální sítě také přímo v partnerském vztahu pomocí partnerského vztahu virtuálních sítí kromě místního nebo globálního přenosu virtuální sítě Virtual WAN. V tomto případě má partnerský vztah virtuálních sítí přednost před tranzitivním připojením přes centrum Virtual WAN.

Jsou ve Virtual WAN povolené možnosti připojení mezi jednotlivými pobočkami?

Ano, možnosti připojení mezi jednotlivými pobočkami jsou ve Virtual WAN k dispozici. Větev se koncepčně vztahuje na lokalitu VPN, okruhy ExpressRoute nebo uživatele VPN typu point-to-site/user VPN. Povolení větve-větev je ve výchozím nastavení povolené a může se nacházet v nastavení konfigurace sítě WAN. To umožňuje, aby se větve VPN a uživatelé připojili k jiným větvím VPN a tranzitnímu připojení, je také povolené mezi uživateli VPN a ExpressRoute.

Prochází provoz mezi větvemi přes Azure Virtual WAN?

Ano. Provoz mezi pobočkami prochází přes Azure Virtual WAN.

Vyžaduje Virtual WAN z každé lokality ExpressRoute?

Ne. Virtual WAN nevyžaduje ExpressRoute z každé lokality. Vaše lokality můžou být připojené k síti poskytovatele pomocí okruhu ExpressRoute. U lokalit připojených pomocí ExpressRoute k virtuálnímu rozbočovači a protokolu IPsec VPN do stejného centra poskytuje virtuální centrum tranzitní připojení mezi sítí VPN a uživatelem ExpressRoute.

Je při používání služby Azure Virtual WAN k dispozici omezení propustnosti sítě nebo připojení?

Propustnost sítě je pro každou službu v centru virtual WAN. V každém centru je agregovaná propustnost sítě VPN až 20 Gb/s, agregovaná propustnost ExpressRoute je až 20 Gb/s a agregovaná propustnost VPN/vpn typu point-to-site je až 200 Gb/s. Směrovač ve virtuálním centru podporuje až 50 Gb/s pro toky přenosů mezi virtuálními sítěmi a předpokládá celkem 2000 úloh virtuálních počítačů ve všech virtuálních sítích připojených k jednomu virtuálnímu centru.

Pokud chcete zabezpečit počáteční kapacitu, aniž byste museli čekat na horizontální navýšení kapacity virtuálního centra, když je potřeba větší propustnost, můžete nastavit minimální kapacitu nebo podle potřeby upravit. Viz Informace o nastavení virtuálního centra – kapacita centra. Náklady na náklady najdete v tématu Náklady na jednotku infrastruktury směrování na stránce s cenami služby Azure Virtual WAN.

Když se lokality VPN připojují k rozbočovači, dělají to s připojeními. Virtual WAN podporuje až 1 000 připojení nebo 2000 tunelů IPsec na virtuální centrum. Když se vzdálení uživatelé připojují k virtuálnímu centru, připojují se k bráně VPN typu P2S, která podporuje až 100 000 uživatelů v závislosti na jednotce škálování (šířce pásma) zvolené pro bránu VPN typu P2S ve virtuálním centru.

Můžu pro připojení VPN použít překlad adres (NAT-T)?

Ano, podporuje se procházení NAT (NAT-T). Brána VPN virtual WAN neprovádí žádné funkce podobné překladu adres (NAT) u vnitřních paketů do a z tunelů IPsec. V této konfiguraci se ujistěte, že místní zařízení inicializuje tunel IPsec.

Jak můžu nakonfigurovat jednotku škálování na konkrétní nastavení, jako je 20 Gb/s?

Přejděte na bránu VPN v centru na portálu a kliknutím na jednotku škálování ji změňte na příslušné nastavení.

Umožňuje Virtual WAN místnímu zařízení paralelně využívat více poskytovatelů služeb isPs, nebo je to vždy jeden tunel VPN?

Řešení místních zařízení můžou použít zásady provozu pro směrování provozu napříč několika tunely do centra Azure Virtual WAN (brána VPN ve virtuálním centru).

Co je globální architektura přenosu?

Informace najdete v tématu Architektura globální tranzitní sítě a Virtual WAN.

Jak se směruje provoz v páteřní síti Azure?

Provoz se řídí vzorem: zařízení větvení -ISP-Microsoft network edge-Microsoft> DC (hub VNet)->Microsoft network edge-ISP-branch>> device>>

Co je při použití tohoto modelu potřeba na jednotlivých lokalitách? Jenom připojení k internetu?

Ano. Připojení k internetu a fyzické zařízení, které podporuje protokol IPsec, nejlépe od našich integrovaných partnerů virtual WAN. Volitelně můžete konfiguraci a připojení k Azure spravovat ručně z preferovaného zařízení.

Návody povolit výchozí trasu (0.0.0.0/0) pro připojení (VPN, ExpressRoute nebo virtuální síť)?

Virtuální centrum může rozšířit naučenou výchozí trasu do virtuální sítě nebo připojení VPN typu site-to-site/ExpressRoute, pokud je příznak v připojení povolený. Tento příznak se zobrazí, když uživatel upraví připojení k virtuální síti, připojení VPN nebo připojení ExpressRoute. Ve výchozím nastavení je tento příznak zakázán, když je lokalita nebo okruh ExpressRoute připojený k centru. Ve výchozím nastavení je povolená, když se přidá připojení k virtuální síti pro připojení virtuální sítě k virtuálnímu centru.

Výchozí trasa nepochází z centra Virtual WAN; Výchozí trasa se rozšíří, pokud se centrum Virtual WAN už naučilo v důsledku nasazení brány firewall v centru nebo pokud má jiná propojená lokalita povolené vynucené tunelování. Výchozí trasa se mezi rozbočovači (mezi rozbočovači) nerozšíruje.

Je možné vytvořit ve stejné oblasti několik center virtual WAN?

Ano. Zákazníci teď můžou vytvořit více než jedno centrum ve stejné oblasti pro stejnou službu Azure Virtual WAN.

Jak virtuální centrum ve virtuální síti WAN vybere nejlepší cestu pro trasu z více center?

Informace najdete na stránce předvoleb směrování virtuálního centra.

Umožňuje centrum Virtual WAN připojení mezi okruhy ExpressRoute?

Průchod mezi ER-to-ER je vždy přes globální dosah. Brány virtuálních center se nasazují v oblastech DC nebo Azure. Když se dva okruhy ExpressRoute připojují přes globální dosah, není potřeba, aby se provoz dostal až od hraničních směrovačů do řadiče domény virtuálního centra.

Existuje koncept váhy v okruhech Azure Virtual WAN ExpressRoute nebo připojení VPN.

Pokud je k virtuálnímu rozbočovači připojeno více okruhů ExpressRoute, poskytuje váha směrování připojení mechanismus pro ExpressRoute ve virtuálním centru, který dává přednost jednomu okruhu před druhým. Pro připojení VPN neexistuje žádný mechanismus, který by nastavil váhu. Azure vždy upřednostňuje připojení ExpressRoute přes připojení VPN v rámci jednoho centra.

Dává Virtual WAN přednost ExpressRoute před vpn pro přenos dat v Azure.

Ano. Virtual WAN preferuje ExpressRoute před vpn pro odchozí přenosy dat v Azure. Můžete ale nakonfigurovat předvolbu směrování virtuálního centra tak, aby změnila výchozí předvolbu. Postup najdete v tématu Konfigurace předvoleb směrování virtuálního centra.

Pokud má centrum Virtual WAN okruh ExpressRoute a lokalitu VPN, která je k ní připojená, co by způsobilo preferovanou trasu připojení VPN přes ExpressRoute?

Když je okruh ExpressRoute připojený k virtuálnímu rozbočovači, jsou směrovače Microsoft Edge prvním uzlem pro komunikaci mezi místním prostředím a Azure. Tyto hraniční směrovače komunikují s bránami ExpressRoute služby Virtual WAN, které se postupně učí trasy z směrovače virtuálního rozbočovače, který řídí všechny trasy mezi všemi bránami ve službě Virtual WAN. Hraniční směrovače Microsoftu zpracovávají trasy ExpressRoute virtuálních center s vyšší předvolbou než trasy získané z místního prostředí.

Z jakéhokoli důvodu platí, že pokud se připojení VPN stane primárním prostředkem pro virtuální centrum, ze které se budou učit trasy (např. scénáře převzetí služeb při selhání mezi ExpressRoute a VPN), pokud má lokalita VPN delší délku cesty AS, bude virtuální centrum dál sdílet trasy získané službou VPN s bránou ExpressRoute. To způsobí, že směrovače Microsoft Edge preferují trasy VPN před místními trasami.

Podporuje ExpressRoute směrování ECMP (Equal-Cost Multi-Path) ve službě Virtual WAN?

Pokud je k centru Virtual WAN připojeno více okruhů ExpressRoute, ecMP umožňuje distribuci provozu z paprskových virtuálních sítí do místního prostředí přes ExpressRoute napříč všemi okruhy ExpressRoute, které inzerují stejné místní trasy. EcMP v současné době není pro centra Virtual WAN ve výchozím nastavení povolená.

Když jsou dvě rozbočovače (rozbočovač 1 a 2) připojené a k oběma rozbočovačům je připojený okruh ExpressRoute, jaká je cesta pro virtuální síť připojenou k rozbočovači 1, aby se připojila k virtuální síti připojené v centru 2?

Aktuální chování je upřednostňovat cestu okruhu ExpressRoute před centrem pro připojení typu VNet-to-VNet. V nastavení služby Virtual WAN se to ale nepodporuje. Pokud chcete tento problém vyřešit, můžete udělat jednu ze dvou věcí:

  • Nakonfigurujte několik okruhů ExpressRoute (různých poskytovatelů) pro připojení k jednomu rozbočovači a pro toky přenosů mezi oblastmi použijte připojení typu hub-to-hub poskytované službou Virtual WAN.

  • Nakonfigurujte cestu AS jako předvolbu směrování centra pro vaše virtuální centrum. Tím se zajistí provoz mezi 2 rozbočovači procházející přes směrovač virtuálního rozbočovače v každém rozbočovači a používá cestu typu hub-to-hub místo cesty ExpressRoute (která prochází přes hraniční směrovače Microsoftu). Další informace najdete v tématu Konfigurace předvoleb směrování virtuálního centra.

Když je okruh ExpressRoute připojený jako přímka k rozbočovači Virtual WAN a samostatné virtuální síti, jaká je cesta pro připojení k samostatné virtuální síti k centru Virtual WAN?

U nových nasazení je toto připojení ve výchozím nastavení blokované. Pokud chcete toto připojení povolit, můžete tyto přepínače brány ExpressRoute povolit v okně Upravit virtuální centrum a v okně Brána virtuální sítě na portálu. Doporučujeme ale ponechat tyto přepínače zakázané a místo toho vytvořit připojení virtuální sítě pro přímé připojení samostatných virtuálních sítí k centru Virtual WAN. Poté bude provoz virtuální sítě do virtuální sítě procházet přes směrovač rozbočovače Virtual WAN, který nabízí lepší výkon než cesta ExpressRoute. Cesta ExpressRoute zahrnuje bránu ExpressRoute, která má nižší omezení šířky pásma než směrovač rozbočovače, a také hraniční směrovače Microsoft Enterprise Edge /MSEE, což je další segment směrování v cestě k datům.

V následujícím diagramu je potřeba povolit oba přepínače, aby bylo možné povolit připojení mezi samostatnou virtuální sítí 4 a virtuálními sítěmi přímo připojenými k rozbočovači 2 (VNet 2 a VNet 3): Povolit provoz ze vzdálených sítí Virtual WAN pro bránu virtuální sítě a Povolit provoz z jiných sítí než Virtual WAN pro bránu ExpressRoute virtuálního centra. Pokud je azure Route Server nasazený v samostatné virtuální síti 4 a směrovací server má povolenou větev a větev , připojení se zablokuje mezi virtuální sítí 1 a samostatnou virtuální sítí 4.

Povolení nebo zakázání přepínače ovlivní pouze následující tok provozu: provoz mezi centrem Virtual WAN a samostatnými virtuálními sítěmi přes okruh ExpressRoute. Povolením nebo zakázáním přepínače nedojde k výpadkům všech ostatních toků provozu (např. místní lokalita do paprskové virtuální sítě 2 nebude ovlivněna, nebude mít vliv na virtuální síť VNet 2 do virtuální sítě 3 atd.).

Diagram samostatné virtuální sítě, která se připojuje k virtuálnímu centru přes okruh ExpressRoute

Je možné centra vytvářet v různých skupinách prostředků ve službě Virtual WAN?

Ano. Tato možnost je aktuálně dostupná jenom přes PowerShell. Portál Virtual WAN vyžaduje, aby rozbočovače byly ve stejné skupině prostředků jako samotný prostředek Virtual WAN.

Doporučený adresní prostor centra Virtual WAN je /23. Centrum Virtual WAN přiřazuje podsítě různým branám (ExpressRoute, vpn typu site-to-site, vpn typu point-to-site, Azure Firewall, směrovač virtuálního rozbočovače). Ve scénářích, ve kterých jsou síťová virtuální zařízení nasazená ve virtuálním centru, se obvykle vyřezává /28 pro instance síťového virtuálního zařízení. Pokud ale uživatel zřídil více síťových virtuálních zařízení, může být přiřazena podsíť /27. Proto mějte na paměti budoucí architekturu, zatímco centra Virtual WAN se nasazují s minimální velikostí /24, doporučený adresní prostor centra při vytváření vstupu uživatele je /23.

Podporuje se protokol IPv6 ve službě Virtual WAN?

V centru Virtual WAN a jejích branách se protokol IPv6 nepodporuje. Pokud máte virtuální síť s podporou IPv4 a IPv6 a chcete připojit virtuální síť k virtual WAN, tento scénář se v současné době nepodporuje.

V případě scénáře vpn typu point-to-site uživatele s internetovým přerušením přes Azure Firewall budete pravděpodobně muset vypnout připojení IPv6 na klientském zařízení, abyste vynutili provoz do centra Virtual WAN. Důvodem je to, že moderní zařízení ve výchozím nastavení používají adresy IPv6.

Vyžaduje se minimální verze 05-01-2022 (1. května 2022).

Existují nějaká omezení služby Virtual WAN?

Podívejte se na část Omezení služby Virtual WAN na stránce Omezení předplatného a služeb.

Jaké jsou rozdíly mezi typy služby Virtual WAN (Basic a Standard)?

Viz Sítě WAN úrovně Basic a Standard. Ceny najdete na stránce Ceny .

Ukládá Virtual WAN zákaznická data?

Ne. Virtual WAN neukládá žádná zákaznická data.

Existují poskytovatelé spravovaných služeb, kteří můžou spravovat Virtual WAN pro uživatele jako službu?

Ano. Seznam řešení poskytovatelů spravovaných služeb (MSP) povolených prostřednictvím Azure Marketplace najdete v tématu Nabídky Azure Marketplace partnerů Azure Networking MSP.

Jak se směrování centra Virtual WAN liší od azure Route Serveru ve virtuální síti?

Centrum Azure Virtual WAN i Azure Route Server poskytují možnosti partnerského vztahu protokolu BGP (Border Gateway Protocol), které můžou síťová virtuální zařízení využívat k inzerování IP adres z síťového virtuálního zařízení do virtuálních sítí Azure uživatele. Možnosti nasazení se liší v tom smyslu, že azure Route Server je obvykle nasazený virtuální sítí centra zákazníka se samoobslužnou správou, zatímco Azure Virtual WAN poskytuje plně síťovou službu centra s nulovým dotykem, ke které zákazníci propojují své různé koncové body paprsků (virtuální síť Azure, místní větve s vpn typu site-to-site nebo SDWAN, vzdálenými uživateli s připojením VPN typu point-to-site/remote user VPN a privátními připojeními expressRoute) a užijte si partnerský vztah protokolu BGP pro síťová virtuální zařízení nasazená v paprskové virtuální síti spolu s dalšími virtuálními sítěmi WAN možnosti, jako je připojení k přenosu pro virtuální síť typu VNet-to-VNet, tranzitní připojení mezi sítěmi VPN a ExpressRoute, vlastní/pokročilé směrování, přidružení vlastních tras a šíření, záměr směrování/zásady pro žádné potíže se zabezpečením mezi oblastmi, secure hubem nebo bránou firewall Azure atd. Další podrobnosti o partnerském vztahu protokolu BGP služby Virtual WAN najdete v tématu Postup partnerského vztahu protokolu BGP s virtuálním centrem.

Pokud k zabezpečení internetového provozu používám poskytovatele zabezpečení třetí strany (Zscaler, iBoss nebo Checkpoint), proč se na webu Azure Portal nezobrazuje web VPN přidružený k poskytovateli zabezpečení třetí strany?

Když se rozhodnete nasadit poskytovatele partnera zabezpečení pro ochranu přístupu k internetu pro vaše uživatele, poskytovatel zabezpečení třetí strany vytvoří web VPN vaším jménem. Vzhledem k tomu, že poskytovatel zabezpečení třetí strany automaticky vytvoří a není uživatelem vytvořený web VPN, tento web VPN se na webu Azure Portal nezobrazí.

Další informace o dostupných možnostech poskytovatelů zabezpečení třetích stran a o tom, jak to nastavit, najdete v tématu Nasazení poskytovatele partnera zabezpečení.

Zachovají se komunity protokolu BGP vygenerované místním prostředím ve službě Virtual WAN?

Ano, komunity protokolu BGP vygenerované místním prostředím se ve službě Virtual WAN zachovají.

Zachová se komunity protokolu BGP vygenerované partnerskými vztahy protokolu BGP (v připojené virtuální síti) ve službě Virtual WAN?

Ano, komunity protokolu BGP vygenerované partnerskými vztahy protokolu BGP se ve službě Virtual WAN zachovají. Komunity se zachovají napříč stejným centrem a mezihubovými připojeními. To platí také pro scénáře služby Virtual WAN pomocí zásad záměru směrování.

Jaká čísla ASN se podporují pro vzdáleně připojené místní sítě s protokolem BGP?

Pro místní sítě můžete použít vlastní veřejné sítě ASN nebo privátní sítě ASN. Rozsahy rezervované službou Azure nebo IANA nemůžete použít:

  • Sítě ASN rezervované v Azure:
    • Veřejná ASN: 8074, 8075, 12076
    • Privátní ASN: 65515, 65517, 65518, 65519, 65520
    • Sítě ASN rezervované IANA: 23456, 64496-64511, 65535-65551

Existuje způsob, jak změnit ASN pro bránu VPN?

Ne. Virtual WAN nepodporuje změny ASN pro brány VPN.

Jaké jsou odhadované výkony v síti Virtual WAN podle SKU brány ExpressRoute?

Jednotka škálování Připojení za sekundu Megabitové bity za sekundu Pakety za sekundu
1 jednotka škálování
14,000 2 000 200 000
2 jednotky škálování
28,000 4 000 400 000
3 jednotky škálování
42,000 6 000 600,000
4 jednotky škálování
56,000 8 000 800,000
5 jednotek škálování
70,000 10 000 1 000 000
6 jednotek škálování
84,000 12 000 1,200,000
7 jednotek škálování
98,000 14,000 1,400,000
8 jednotek škálování
112,000 16 000 1,600,000
9 jednotek škálování
126,000 18 000 1,800,000
10 jednotek škálování
140,000 20,000 2,000,000

Jednotky škálování 2–10 během operací údržby udržují agregovanou propustnost. Během operace údržby se však může v jednotce škálování 1 zobrazit mírné změny v číslech propustnosti.

Pokud připojím místní okruh ExpressRoute k centru Virtual WAN, budu mít přístup pouze k oblastem ve stejné lokalitě metra jako místní okruh?

Místní okruhy je možné připojit pouze k branám ExpressRoute v odpovídající oblasti Azure. Neexistuje však žádné omezení směrování provozu do paprskových virtuálních sítí v jiných oblastech.

Proč se na portálu zobrazuje zpráva a tlačítko s názvem Aktualizovat směrovač na nejnovější verzi softwaru?

Poznámka:

Od 1. července 2024 budou centra ve staré verzi vyřazena ve fázích a přestanou fungovat podle očekávání.

Infrastruktura založená na cloudových službách Azure je zastaralá. V důsledku toho tým virtual WAN pracuje na upgradu virtuálních směrovačů z aktuální infrastruktury cloudových služeb na nasazení založená na škálovacích sadách virtuálních počítačů. Všechna nově vytvořená virtuální centra se automaticky nasadí na nejnovější infrastrukturu založenou na škálovacích sadách virtuálních počítačů. Pokud přejdete k prostředku centra Virtual WAN a zobrazí se tato zpráva a tlačítko, můžete směrovač upgradovat na nejnovější verzi kliknutím na tlačítko. Pokud chcete využít nové funkce Virtual WAN, jako je partnerský vztah protokolu BGP s centrem, budete muset aktualizovat směrovač virtuálního rozbočovače prostřednictvím webu Azure Portal. Pokud tlačítko není viditelné, otevřete případ podpory.

Směrovač virtuálního rozbočovače budete moct aktualizovat jenom v případě, že všechny prostředky (brány, směrovací tabulky nebo připojení virtuální sítě) ve vašem centru jsou v úspěšném stavu. Ujistěte se, že jsou všechny vaše paprskové virtuální sítě v předplatných aktivních a povolených a že se vaše paprskové virtuální sítě neodstraní. Vzhledem k tomu, že tato operace vyžaduje nasazení nových směrovačů virtuálních center založených na škálovacích sadách virtuálních počítačů, dojde k očekávanému výpadku 1–2 minut pro provoz mezi virtuálními sítěmi přes stejné centrum a 5 až 7 minut pro všechny ostatní přenosy procházející centrem. Naplánujte časový interval údržby nejméně 30 minut, protože výpadek může trvat až 30 minut v nejhorším scénáři. V rámci jednoho prostředku virtual WAN by se rozbočovače měly aktualizovat postupně po jednom místo aktualizace více současně. Když se ve verzi směrovače zobrazí "Nejnovější", centrum se aktualizuje. Po této aktualizaci nedojde ke změnám chování směrování.

Při upgradu směrovače virtuálního rozbočovače je potřeba mít na paměti několik věcí:

  • Pokud jste už nakonfigurovali partnerský vztah protokolu BGP mezi centrem Virtual WAN a síťovým virtuálním zařízením v paprskové virtuální síti, budete muset partnerský vztah protokolu BGP odstranit a znovu vytvořit. Vzhledem k tomu, že se IP adresy směrovače virtuálního rozbočovače po upgradu změní, budete také muset překonfigurovat síťové virtuální virtuální zařízení tak, aby bylo v partnerském vztahu s novými IP adresami směrovače virtuálního rozbočovače. Tyto IP adresy jsou reprezentovány jako pole "virtualRouterIps" ve formátu JSON prostředku virtuálního centra.

  • Pokud máte ve virtuálním centru síťové virtuální zařízení, budete muset spolupracovat s partnerem síťového virtuálního zařízení a získat pokyny k upgradu centra Virtual WAN.

  • Pokud je vaše virtuální centrum nakonfigurované s více než 15 jednotkami infrastruktury směrování, před pokusem o upgrade škálujte kapacitu ve virtuálním centru na 2 jednotky infrastruktury směrování. Po upgradu centra můžete škálovat zpět na více než 15 jednotek infrastruktury směrování.

Pokud se aktualizace z nějakého důvodu nezdaří, centrum se automaticky obnoví na starou verzi, aby se zajistilo, že je stále funkční nastavení.

Další věci, které je potřeba si uvědomit:

  • Aby uživatel viděl přesný stav verze směrovače rozbočovače, musí mít roli vlastníka nebo přispěvatele . Pokud je uživateli přiřazena role čtenáře k prostředku a předplatnému virtual WAN, azure Portal zobrazí ho uživateli, že směrovač rozbočovače musí být upgradován na nejnovější verzi, a to i v případě, že je centrum již v nejnovější verzi.

  • Pokud změníte stav předplatného paprskové virtuální sítě na zakázané a pak virtuální centrum upgradujete, budete muset po upgradu virtuálního centra aktualizovat připojení k virtuální síti (např. můžete nakonfigurovat připojení k virtuální síti tak, aby se rozšířilo na fiktivní popisek).

  • Pokud je vaše centrum připojené k velkému počtu paprskových virtuálních sítí (60 nebo více), můžete si všimnout, že partnerské vztahy virtuálních sítí s 1 nebo více paprsky po upgradu vstoupí do stavu selhání. Pokud chcete tyto partnerské vztahy virtuálních sítí obnovit do úspěšného stavu po upgradu, můžete nakonfigurovat připojení virtuální sítě tak, aby se šířily na fiktivní popisek, nebo je můžete odstranit a znovu vytvořit.

Proč směrovač virtuálního rozbočovače vyžaduje veřejnou IP adresu s otevřenými porty?

Tyto veřejné koncové body jsou potřeba pro základní platformu SDN a pro správu Azure ke komunikaci se směrovačem virtuálního rozbočovače. Vzhledem k tomu, že se směrovač virtuálního rozbočovače považuje za součást privátní sítě zákazníka, základní platforma Azure nemůže přímo přistupovat k směrovači rozbočovačů a spravovat ho prostřednictvím jeho privátních koncových bodů kvůli požadavkům na dodržování předpisů. Připojení k veřejným koncovým bodům směrovače rozbočovače se ověřuje prostřednictvím certifikátů a Azure provádí pravidelné audity zabezpečení těchto veřejných koncových bodů. V důsledku toho nepředstavují bezpečnostní expozici vašeho virtuálního centra.

Existuje limit tras pro klienty OpenVPN, kteří se připojují k bráně VPN Azure P2S?

Limit trasy pro klienty OpenVPN je 1000.

Jak se počítá smlouva SLA služby Virtual WAN?

Virtual WAN je síťová platforma jako služba, která má smlouvu SLA o 99,95 %. Virtual WAN ale kombinuje mnoho různých komponent, jako jsou Azure Firewall, vpn typu site-to-site, ExpressRoute, vpn typu point-to-site a virtual WAN Hub nebo integrovaná síťová virtuální zařízení.

Smlouva SLA pro každou komponentu se počítá jednotlivě. Pokud má například ExpressRoute 10minutový výpadek, bude dostupnost ExpressRoute vypočítána jako (Maximální počet dostupných minut – výpadek) / Maximální počet dostupných minut * 100.

Můžete změnit adresní prostor virtuální sítě v paprskové virtuální síti připojené k centru?

Ano, u připojení peeringu je to možné provést automaticky bez aktualizace nebo resetování. Je třeba počítat s následujícím:

  • V okně Partnerské vztahy nemusíte kliknout na tlačítko Synchronizovat. Jakmile se adresní prostor virtuální sítě změní, partnerský vztah virtuálních sítí se automaticky synchronizuje s virtuální sítí virtuálního centra.
  • Ujistěte se, že se aktualizovaný adresní prostor nepřekrývá s adresními prostory pro žádné existující paprskové virtuální sítě ve vaší službě Virtual WAN.

Další informace o tom, jak změnit adresní prostor virtuální sítě, najdete tady.

Jaký je maximální počet adres paprskových virtuálních sítí podporovaných pro rozbočovače nakonfigurované se záměrem směrování?

Maximální počet adresních prostorů ve všech virtuálních sítích přímo připojených k jednomu centru Virtual WAN je 400. Tento limit se použije jednotlivě pro každé centrum Virtual WAN v nasazení služby Virtual WAN. K tomuto limitu se nezapočítávají adresní prostory virtuální sítě připojené ke vzdáleným (jiným rozbočovačům Virtual WAN ve stejných centrech Virtual WAN).

Tento limit je možné upravit. Další informace o limitu najdete v postupu pro vyžádání zvýšení limitu a ukázkových skriptů, které určují počet adresních prostorů napříč virtuálními sítěmi připojenými k centru Virtual WAN, viz omezení adresního prostoru virtuální sítě záměru směrování.

Údržba brány řízené zákazníkem ve službě Virtual WAN

Které služby jsou součástí oboru Konfigurace údržby bran sítě?

Pro Virtual WAN můžete nakonfigurovat časové intervaly údržby pro brány VPN typu site-to-site a brány ExpressRoute.

Která údržba se podporuje nebo nepodporuje údržbou řízenou zákazníkem?

Služby Azure procházejí pravidelnými aktualizacemi údržby za účelem zlepšení funkčnosti, spolehlivosti, výkonu a zabezpečení. Po nakonfigurování časového období údržby pro vaše prostředky se během tohoto časového období provede údržba hostovaného operačního systému a služby. Tyto aktualizace představují většinu položek údržby, které pro zákazníky způsobují obavy.

Aktualizace hardwaru hostitele a infrastruktury datacentra nejsou pokryty údržbou řízenou zákazníkem. Kromě toho, pokud dojde k problému s vysokou závažností zabezpečení, který může ohrozit naše zákazníky, azure může potřebovat přepsat kontrolu zákazníků nad časovým obdobím údržby a zavést změnu. Jedná se o vzácné výskyty, které by se používaly pouze v extrémních případech.

Můžu získat upřesňující oznámení o údržbě?

V tuto chvíli není možné povolit upřesňující oznámení pro údržbu prostředků síťové brány.

Můžu nakonfigurovat časové období údržby kratší než pět hodin?

V tuto chvíli musíte ve svém upřednostňovaném časovém pásmu nakonfigurovat minimálně pět hodin intervalu.

Můžu nakonfigurovat plán údržby, který se neopakuje každý den?

V tuto chvíli musíte nakonfigurovat denní časové období údržby.

Musí být prostředky konfigurace údržby ve stejné oblasti jako prostředek brány?

Ano.

Musím nasadit minimální jednotku škálování brány, aby byla způsobilá pro údržbu řízenou zákazníkem?

Ne.

Jak dlouho trvá, než se zásady konfigurace údržby projeví po přiřazení k prostředku brány?

Po přidružení zásad údržby k prostředku brány může trvat až 24 hodin, než se síťové brány řídí plánem údržby.

Jak mám naplánovat časové období údržby při používání sítě VPN a ExpressRoute ve scénáři koexistence?

Při práci s VPN a ExpressRoute ve scénáři koexistence nebo při každém použití prostředků, které fungují jako zálohy, doporučujeme nastavit samostatná časová období údržby. Tento přístup zajišťuje, že údržba nemá vliv na prostředky zálohování současně.

Naplánoval(a) jsem časové období údržby pro budoucí datum pro některý z mých prostředků. Budou se u tohoto prostředku do té doby pozastavit aktivity údržby?

Ne, aktivity údržby se na vašem prostředku během období před časovým obdobím plánované údržby pozastaví. Pro dny, které nejsou zahrnuté v plánu údržby, údržba pokračuje obvyklým způsobem u prostředku.

Existují nějaká omezení počtu tras, které můžu inzerovat?

Ano, existují omezení. ExpressRoute podporuje až 4 000 předpon pro privátní partnerský vztah a 200 předpon pro partnerský vztah Microsoftu. S ExpressRoute Premium můžete limit zvýšit na 10 000 tras pro privátní partnerský vztah. Maximální počet tras inzerovaných z privátního partnerského vztahu Azure prostřednictvím brány ExpressRoute přes okruh ExpressRoute je 1 000, což je stejné pro okruhy ExpressRoute úrovně Standard i Premium. Další podrobnosti najdete v omezeních tras okruhů ExpressRoute na stránce omezení a kvót předplatného Azure. Upozorňujeme, že inzerování tras IPv6 se v současné době ve službě Virtual WAN nepodporuje.

Existují omezení rozsahů IP adres, které můžu inzerovat přes relaci protokolu BGP?

Ano, existují omezení. Privátní předpony (RFC1918) nejsou pro relaci protokolu BGP partnerského vztahu Microsoftu přijímány. Jakákoli velikost předpony až /32 se však přijme u Microsoftu i privátního partnerského vztahu.

Co se stane, když dojde k překročení limitu trasy protokolu BGP?

Pokud je překročen limit trasy protokolu BGP, relace protokolu BGP se odpojí. Relace se obnoví, jakmile se počet předpon sníží pod limit. Další informace najdete v omezeních tras okruhů ExpressRoute na stránce omezení a kvót předplatného Azure.

Můžu monitorovat počet inzerovaných tras nebo přijatých přes okruh ExpressRoute?

Ano, můžete. Osvědčené postupy a konfigurace monitorování výstrah založených na metrikách najdete v osvědčených postupech monitorování Azure.

Jaké je doporučení snížit počet předpon IP adres?

Před inzerováním předpon přes ExpressRoute nebo bránu VPN doporučujeme agregovat předpony. Kromě toho můžete pomocí Route-Maps shrnout trasy inzerované z nebo do služby Virtual WAN.

Další kroky

Další informace o službě Virtual WAN najdete v tématu Informace o službě Virtual WAN.