Globális átviteli hálózati architektúra és Virtual WAN

2025-04-01

A modern vállalatok mindenütt megfelelő kapcsolatot igényelnek a felhőalapú és a helyszíni hiper-osztott alkalmazások, adatok és felhasználók között. A vállalatok globális tranzithálózati architektúrát alkalmaznak a felhőközpontú modern, globális vállalati informatikai lábnyom konszolidálása, összekapcsolása és szabályozása érdekében.

A globális átviteli hálózati architektúra egy klasszikus küllős kapcsolati modellen alapul, ahol a felhőben üzemeltetett hálózat "hubja" lehetővé teszi a végpontok közötti tranzitív kapcsolatot, amely a küllők különböző típusai között terjeszthető.

Ebben a modellben a küllő a következő lehet:

Virtuális hálózat (VNet)
Fizikai fiókhelyszín
Távoli felhasználó
Internet

Ábra 1: Globális tranzit csomóponti és küllős hálózat

Az 1. ábra a globális tranzithálózat logikai nézetét mutatja be, ahol a földrajzilag elosztott felhasználók, fizikai helyek és virtuális hálózatok a felhőben üzemeltetett hálózati központon keresztül kapcsolódnak egymáshoz. Ez az architektúra logikai egy ugrásos átvitelt tesz lehetővé a hálózati végpontok között.

Globális tranzithálózat a Virtual WAN használatával

Az Azure Virtual WAN egy Microsoft által felügyelt felhőalapú hálózatkezelési szolgáltatás. A szolgáltatás összes hálózati összetevőjét a Microsoft üzemelteti és felügyeli. A Virtual WAN-ról további információt a Virtual WAN áttekintési című cikkben talál.

Az Azure Virtual WAN lehetővé teszi a globális átjáró hálózat architektúrát azáltal, hogy bármilyen-bármilyen közötti kapcsolatot biztosít a globálisan elosztott felhőalapú számítási feladatok, VNetek, fiókhelyszínek, SaaS- és PaaS-alkalmazások és felhasználók között.

2. ábra: Globális tranzithálózat és Virtual WAN

Az Azure Virtual WAN architektúrában a virtuális WAN-központok az Azure-régiókban vannak kiépítve, amelyekhez csatlakoztathatja az ágakat, a virtuális hálózatokat és a távoli felhasználókat. A fizikai ághelyeket Premium vagy Standard ExpressRoute vagy helyszínek közötti VPN-ek csatlakoztatják a központhoz, a virtuális hálózatokat VNet kapcsolatok kötik össze a központtal, és a távoli felhasználók közvetlenül a központhoz csatlakozhatnak felhasználói VPN-en keresztül (helyről-helyre VPN-ekkel). A Virtual WAN támogatja a régiók közötti virtuális hálózati kapcsolatot is, ahol az egyik régióban lévő virtuális hálózat egy másik régióban lévő virtuális WAN-központhoz csatlakoztatható.

A virtuális WAN-t úgy hozhatja létre, hogy egyetlen virtuális WAN-központot hoz létre abban a régióban, amelyben a legtöbb küllő (ágak, virtuális hálózatok, felhasználók) találhatók, majd csatlakoztatja a más régiókban lévő küllőket a központhoz. Ez jó megoldás, ha egy nagyvállalati jelenlét többnyire egy régióban van néhány távoli egységgel.

Hubok közötti kapcsolat

A vállalati felhőlábnyom több felhőrégiót is lefedhet, és optimális (késési szempontból) optimális a felhő elérése a fizikai helyükhöz és felhasználóikhoz legközelebbi régióból. A globális tranzithálózati architektúra egyik fő alapelve, hogy lehetővé tegye a régiók közötti kapcsolatot az összes felhőbeli és helyszíni hálózati végpont között. Ez azt jelenti, hogy az egyik régióban a felhőhöz csatlakoztatott ágból érkező forgalom elérheti a másik ágat vagy egy másik régióban lévő virtuális hálózatot az Azure Global Networkáltal engedélyezett központ-központ kapcsolat használatával.

3. ábra: Virtuális WAN régiók közötti kapcsolat

Ha egyetlen virtuális WAN-ban több központ is engedélyezve van, a hubok automatikusan összekapcsolódnak a központ–központ kapcsolatokon keresztül, így lehetővé válik a több régióban elosztott ágak és virtuális hálózatok közötti globális kapcsolat.

Emellett az ugyanahhoz a virtuális WAN-hoz tartozó központok különböző regionális hozzáférési és biztonsági szabályzatokkal is társíthatók. További információkért lásd a Biztonság és házirend-vezérlés című részt a cikk későbbi részében.

Bármilyen-bármilyen összekapcsolhatóság

A globális átviteli hálózati architektúra bármilyen kapcsolatot lehetővé tesz a virtuális WAN-központokon keresztül. Ez az architektúra kiküszöböli vagy csökkenti a küllők közötti teljes vagy részleges hálókapcsolat szükségességét, amelyek felépítése és karbantartása összetettebb. Emellett a küllős és a hálós hálózatok útválasztás-vezérlése egyszerűbben konfigurálható és karbantartható.

A bármilyen kapcsolat (globális architektúra kontextusában) lehetővé teszi, hogy a globálisan elosztott felhasználókkal, ágakkal, adatközpontokkal, virtuális hálózatokkal és alkalmazásokkal rendelkező vállalatok a "tranzit" központ(ok)on keresztül csatlakozzanak egymáshoz. Az Azure Virtual WAN globális tranzitrendszerként működik.

4. ábra: A Virtual WAN forgalmi útvonalai

Az Azure Virtual WAN a következő globális átviteli kapcsolati útvonalakat támogatja. A zárójelben lévő betűk a 4. ábrára vonatkoznak.

Hálózati kapcsolódás–VNet (a)
Ágról ágra (b)
ExpressRoute Global Reach és Virtual WAN
Távoli felhasználó – VNet kapcsolódás (c)
Távoli felhasználó–fiók hozzáférés
Virtuális hálózatok közötti kapcsolat (e)
Ág-á-bázis-bázis-á-ág (f)
Branch-to-hub-hub-to-VNet (g)
VNet-to-hub-hub-to-VNet (h)

Ág–VNet (a) és Ág–VNet Keresztrégió (g)

Az Azure Virtual WAN által támogatott elsődleges útvonal a branch-to-VNet. Ez az elérési út lehetővé teszi az Azure-beli virtuális hálózatokban üzembe helyezett Azure IAAS vállalati számítási feladatokhoz való csatlakozást. Az ágak expressroute-on vagy helyek közötti VPN-en keresztül csatlakoztathatók a virtuális WAN-hoz. Azokba a virtuális hálózatokba irányul a forgalom, amelyek VNet-kapcsolatokkal csatlakoznak a virtuális WAN-központokhoz. A Virtual WAN esetében nem szükséges az explicit átjárótovábbítás, mert a Virtual WAN automatikusan engedélyezi az átjárótovábbítást a fiókirodákhoz. Tekintse meg Virtual WAN-partnerek cikket arról, hogyan csatlakoztathat SD-WAN CPE-t a Virtual WAN-hoz.

ExpressRoute Global Reach és Virtual WAN

Az ExpressRoute egy privát és rugalmas módszer a helyszíni hálózatok Microsoft Cloudhoz való csatlakoztatására. A Virtual WAN támogatja az Express Route kapcsolatcsoport-kapcsolatokat. A következő ExpressRoute-kapcsolatcsoport termékváltozatai csatlakoztathatók a Virtual WAN-hoz: Local, Standard és Premium.

Az ExpressRoute és az ExpressRoute közötti átvitel kapcsolatának engedélyezésére két lehetőség áll rendelkezésre az Azure Virtual WAN használatakor:

Az ExpressRoute Global Reach engedélyezésével lehetővé teheti az ExpressRoute tranzit kapcsolatot az ExpressRoute körökön. Global Reach egy ExpressRoute-bővítmény, amely lehetővé teszi az ExpressRoute-kapcsolatcsoportok összekapcsolását különböző társviszony-létesítési helyeken, hogy privát hálózatot hozzon létre. Az ExpressRoute-ról ExpressRoute-ra való átmenő kapcsolat a Global Reach bővítményrel rendelkező kapcsolatcsoportok között nem halad át a Virtual WAN-központon, mert a Global Reach optimálisabb útvonalat tesz lehetővé a globális gerinchálózaton.
Az Útválasztási szándék funkció magánforgalmi útválasztási szabályzatokkal lehetővé teszi az ExpressRoute-csatlakozást egy a Virtual WAN Hubban üzembe helyezett biztonsági berendezésen keresztül. Ehhez az opcióhoz nincs szükség a Global Reach szolgáltatásra. További információért tekintse meg az útválasztási szándék dokumentációjában az ExpressRoute szakaszt.

Ágról ágra (b) és ágak közötti keresztrégió (f)

Az ágak ExpressRoute-kapcsolatcsoportokkal és/vagy helyek közötti VPN-kapcsolatokkal csatlakoztathatók egy Azure-beli virtuális WAN-központhoz. Az ágakat az ághoz legközelebbi régióban található virtuális WAN-központhoz csatlakoztathatja.

Ez a lehetőség lehetővé teszi, hogy a vállalatok az Azure gerincét használva csatlakozzanak az ágakhoz. Annak ellenére azonban, hogy ez a képesség elérhető, mérlegelnie kell az ágak Azure Virtual WAN-on keresztüli csatlakoztatásának előnyeit, illetve a magánhálózati WAN használatát.

Megjegyzés

Ág–ág kapcsolat letiltása a Virtual WAN-ban – A Virtual WAN konfigurálható az ág–ág kapcsolat letiltására. Ez a konfiguráció blokkolja az útvonalak propagálását a VPN (S2S és P2S) és az Express Route-hez csatlakoztatott helyek között. Ez a konfiguráció nem befolyásolja az ág-VNet és a virtuális hálózatok közötti útvonalak propagálását és kapcsolatát. Ha ezt a beállítást az Azure Portalon szeretné konfigurálni: A Virtual WAN Konfiguráció menüjében válassza a következő beállítást: Ágról ágra – Letiltva.

Távoli felhasználó–virtuális hálózat (c)

Engedélyezheti a közvetlen és biztonságos távoli hozzáférést az Azure-hoz pont–hely kapcsolat használatával egy távoli felhasználói ügyfélről egy virtuális WAN-ra. A nagyvállalati távoli felhasználóknak már nem kell kerülőúton csatlakozniuk a felhőbe vállalati VPN révén.

Távoli felhasználó–fiók hozzáférés

A távoli felhasználók közötti elérési út lehetővé teszi a pont–hely kapcsolatot használó távoli felhasználók számára a helyszíni számítási feladatokhoz és alkalmazásokhoz való hozzáférést a felhőn keresztül. Ez az elérési út rugalmasságot biztosít a távoli felhasználóknak az Azure-ban és a helyszínen üzembe helyezett számítási feladatok eléréséhez. A nagyvállalatok engedélyezhetik a központi felhőalapú biztonságos távelérési szolgáltatást az Azure Virtual WAN-ban.

Virtuális hálózatok közötti átvitel (e) és régiók közötti VNet–VNet kapcsolat (h)

A virtuális hálózatok közötti átvitel lehetővé teszi, hogy a virtuális hálózatok egymáshoz csatlakozzanak a többszintű alkalmazások összekapcsolása érdekében, amelyek több virtuális hálózaton vannak implementálva. Opcionálisan a virtuális hálózatokat virtuális hálózatok közötti társviszony-létesítéssel is csatlakoztathatja egymáshoz, és ez alkalmas lehet olyan helyzetekre, amikor nincs szükség a VWAN-központon keresztüli átvitelre.

Kényszerített bújtatás és alapértelmezett útvonal

A kényszerített bújtatás engedélyezéséhez konfigurálja az alapértelmezett engedélyezési útvonalat VPN-, ExpressRoute- vagy virtuális hálózati kapcsolaton a Virtual WAN-ban.

A virtuális központ propagálja a tanult alapértelmezett útvonalat egy virtuális hálózatra/helyek közötti VPN-/ExpressRoute-kapcsolatra, ha az alapértelmezett jelző engedélyezve van a kapcsolaton.

Ez a jelző akkor jelenik meg, ha a felhasználó módosít egy virtuális hálózati kapcsolatot, egy VPN-kapcsolatot vagy egy ExpressRoute-kapcsolatot. Ez a jelző alapértelmezés szerint le van tiltva, ha egy hely vagy egy ExpressRoute-kapcsolatcsoport csatlakozik egy központhoz. Alapértelmezés szerint engedélyezve van, ha virtuális hálózati kapcsolatot adnak hozzá egy virtuális hálózat virtuális központhoz való csatlakoztatásához. Az alapértelmezett útvonal nem a Virtual WAN-központból származik; Az alapértelmezett útvonal propagálása akkor történik, ha a Virtual WAN hub már megtanulta azt egy tűzfal központi telepítése miatt, vagy ha egy másik csatlakoztatott hely kényszerített bújtatást engedélyezett.

Biztonság és házirend-vezérlés

Az Azure Virtual WAN hubok összekapcsolják a hibrid hálózat összes hálózati végpontjait, és potenciálisan az összes átviteli hálózati forgalmat látják. A virtuális WAN hubok biztonságos virtuális központokká alakíthatók úgy, hogy a központba egy átmeneti biztonsági megoldást telepítenek. Az Azure Firewall üzembe helyezéséhez válassza a következő generációs tűzfal hálózati virtuális berendezéseit vagy a szolgáltatásként nyújtott biztonsági szoftvereket (SaaS) a Virtual WAN-központokban a felhőalapú biztonság, hozzáférés és szabályzatvezérlés engedélyezéséhez. A Virtual WAN konfigurálható úgy, hogy a forgalmat a központ biztonsági megoldásaihoz irányítsa a Virtual Hub Routing Intenthasználatával.

Az Azure Firewall virtuális WAN-központokban való vezénylését az Azure Firewall Manager végezheti el. Azure Firewall Manager biztosítja a globális tranzithálózatok biztonságának felügyeletét és skálázását. Az Azure Firewall Manager lehetővé teszi az útválasztás, a globális szabályzatkezelés és az internetes biztonsági szolgáltatások központi kezelését fejlett külső szolgáltatókon keresztül, az Azure Firewall mellett.

További információ a következő generációs tűzfalhálózati virtuális berendezések virtualizálásáról és üzembe helyezéséről a Virtual WAN hubon: Integrált hálózati virtuális berendezések a Virtual Hub. A SaaS (szolgáltatásként használható szoftver) biztonsági megoldásokkal kapcsolatos további információkért, amelyek a Virtual WAN hubon üzembe helyezhetők, lásd .

5. ábra: Biztonságos virtuális központ az Azure Firewallel

A Virtual WAN a következő globálisan biztonságos tranzitkapcsolati útvonalakat támogatja. Bár az ebben a szakaszban szereplő diagram és forgalmi minták az Azure Firewall használati eseteit ismertetik, ugyanezeket a forgalmi mintákat támogatja a hálózati virtuális berendezések és a központban üzembe helyezett SaaS biztonsági megoldások. A zárójelben lévő betűk az 5. ábrára értelmezhetők.

Fiókhálózat–VNet biztonságos forgalom (c)
Virtuális hálózatok közötti biztonságos átjárás virtuális központokon keresztül, útválasztási szándékkal támogatva
VNet-közti biztonságos forgalom (e)
Virtuális központokon (h) keresztüli virtuális hálózatok közötti biztonságos átvitel, amelyet a útválasztási szándék támogat
Fiók-fiók biztonságos átvitel (b), útválasztási szándékkal támogatott
Ágak közötti biztonságos átvitel a virtuális központokon keresztül (f), útvonal szándékkal támogatott
VNet-to-Internet vagy külső biztonsági szolgáltatás (i)
Fiók internetkapcsolat vagy harmadik fél biztonsági szolgáltatás (j)

VNet-to-VNet biztonságos átvitel (e), VNet-to-VNet régióközi biztonságos átvitel (h)

A virtuális hálózatok közötti biztonságos átvitel lehetővé teszi, hogy a virtuális hálózatok a Virtual WAN-központban üzembe helyezett biztonsági berendezéseken (Azure Firewall, NVA és SaaS kiválasztása) keresztül csatlakozzanak egymáshoz.

VNet-to-Internet vagy külső biztonsági szolgáltatás (i)

A VNet-to-Internet lehetővé teszi, hogy a virtuális hálózatok a virtuális WAN-központban található biztonsági eszközökön (például Azure Firewall, kiválasztott NVA és SaaS) keresztül csatlakozzanak az internethez. A támogatott külső biztonsági szolgáltatásokon keresztüli internetes forgalom nem halad át egy biztonsági berendezésen, és közvetlenül a külső biztonsági szolgáltatáshoz irányítja. A virtuális hálózatok közötti elérési utat a támogatott külső biztonsági szolgáltatáson keresztül konfigurálhatja az Azure Firewall Managerrel.

Fiók internetkapcsolat vagy harmadik fél biztonsági szolgáltatás (j)

Az ág-internet kapcsolat lehetővé teszi, hogy az ágak az Azure Firewallon keresztül csatlakozzanak az internethez a virtuális WAN-központban. A támogatott külső biztonsági szolgáltatásokon keresztüli internetes forgalom nem halad át egy biztonsági berendezésen, és közvetlenül a külső biztonsági szolgáltatáshoz irányítja. Az Azure Firewall Managerrel a támogatott külső biztonsági szolgáltatáson keresztül konfigurálhatja a branch-to-internet elérési utat.

Ágról ágra biztonságos tranzit, ágról ágra biztonságos tranzit régióközi (b), (f)

Az ágak expressRoute-kapcsolatcsoportokkal és/vagy helyek közötti VPN-kapcsolatokkal csatlakoztathatók biztonságos virtuális központhoz az Azure Firewall használatával. Az ágakat az ághoz legközelebbi régióban található virtuális WAN-központhoz csatlakoztathatja. A Útválasztási szándék konfigurálása a virtuális WAN-központokon lehetővé teszi a biztonsági eszközök (Azure Firewall, kiválasztott NVA és SaaS) számára, hogy ág-hub vagy régiók közötti ellenőrzést végezzenek a virtuális WAN Hubban telepített biztonsági berendezésekkel az elágaztatások között.

Fiók–VNet biztonságos átvitel (c), fiók–VNet biztonságos átvitel régiók közötti (g)

A Branch-to-VNet biztonságos átmenet lehetővé teszi az ágak számára, hogy kommunikáljanak ugyanabban a régióban lévő virtuális hálózatokkal, mint a virtuális WAN-központ, valamint egy másik régióban lévő másik virtuális WAN-központhoz csatlakoztatott virtuális hálózattal (a központközi forgalomvizsgálat csak a útválasztási szándékkaltámogatott).

Hogyan engedélyezhetem az alapértelmezett útvonalat (0.0.0.0/0) egy biztonságos virtuális központban?

A Virtual WAN-központban (Secure Virtual Hub) üzembe helyezett Azure Firewall az internet vagy a megbízható biztonsági szolgáltató alapértelmezett útválasztójaként konfigurálható minden ághoz (VPN-hez vagy Express Route-hoz csatlakoztatva), küllős virtuális hálózatokhoz és felhasználókhoz (P2S VPN-en keresztül csatlakoztatva). Ezt a konfigurációt az Azure Firewall Managerrel kell elvégezni. Lásd: Forgalom átirányítása a központhoz az ágakból (beleértve a felhasználókat is) és a virtuális hálózatokból az internetre irányuló összes adatforgalom konfigurálásához az Azure Firewallon keresztül.

Ez egy kétlépéses konfiguráció:

Az internetes forgalom útválasztásának konfigurálása a Biztonságos virtuális központ útvonalbeállítás menüjével. Konfiguráljon olyan virtuális hálózatokat és ágakat, amelyek a tűzfalon keresztül küldhetnek forgalmat az internetre.
Konfigurálja, hogy mely kapcsolatok (virtuális hálózat és ág) irányíthatják a forgalmat az internetre (0.0.0.0/0) az Azure FW-n keresztül a központban vagy a megbízható biztonsági szolgáltatón keresztül. Ez a lépés biztosítja, hogy az alapértelmezett útvonal propagálásra kerüljön a Virtuális WAN központhoz a kapcsolatokon keresztül csatlakoztatott kijelölt ágakra és virtuális hálózatokra.

Egy biztonságos virtuális csomópontban a forgalom kényszerített alagutazása a helyszíni tűzfal felé.

Ha a Virtual Hub már betanított egy alapértelmezett útvonalat (BGP-n keresztül) az egyik ágból (VPN- vagy ER-webhelyről), ezt az alapértelmezett útvonalat felülírja az Azure Firewall Manager-beállításból tanult alapértelmezett útvonal. Ebben az esetben az internetre irányuló virtuális hálózatokról és ágakról a központba érkező összes forgalom az Azure Firewallra vagy a megbízható biztonsági szolgáltatóra lesz irányítva.