Aracılığıyla paylaş


Azure Sanal WAN ile SD-WAN bağlantı mimarisi

Azure Sanal WAN, birçok bulut bağlantısını ve güvenlik hizmetini tek bir işlem arabirimiyle bir araya getiren bir ağ hizmetidir. Bu hizmetler arasında dal (Siteden siteye VPN aracılığıyla), uzak kullanıcı (Noktadan siteye VPN), özel (ExpressRoute) bağlantısı, sanal ağlar için bulut içi geçişli bağlantı, VPN ve ExpressRoute bağlantısı, yönlendirme, Azure Güvenlik Duvarı ve özel bağlantı için şifreleme yer alır.

Azure Sanal WAN, Azure birinci taraf bağlantı, yönlendirme ve güvenlik hizmetlerinden oluşan zengin bir paket sunan bulut tabanlı bir SD-WAN olsa da, Azure Sanal WAN ayrıca şirket içi SD-WAN ve SASE teknolojileri ve hizmetleriyle sorunsuz bir şekilde bağlantı kurmak için tasarlanmıştır. Bu tür hizmetlerin çoğu Sanal WAN ekosistemimiz ve Azure Ağ Yönetilen Hizmetler iş ortakları (MSP) tarafından sunulmaktadır. Özel WAN'larını SD-WAN'a dönüştüren kuruluşlar, özel SD-WAN'larını Azure Sanal WAN ile birbirine bağlarken seçeneklere sahiptir. Kuruluşlar şu seçenekler arasından seçim yapabilir:

Tüm bu durumlarda, Sanal WAN SD-WAN ile bağlantısı bağlantı tarafında benzerdir, ancak düzenleme ve işlem açısından farklılık gösterebilir.

Doğrudan Bağlantı modeli

Doğrudan bağlantı modelinin diyagramı.

Bu mimari modelinde, SD-WAN şubesi müşteri şirket içi ekipmanı (CPE), IPsec bağlantıları aracılığıyla Sanal WAN hub'lara doğrudan bağlanır. Dal CPE ayrıca özel SD-WAN aracılığıyla diğer dallara bağlanabilir veya daldan dala bağlantı için Sanal WAN kullanabilir. Azure'da iş yüklerine erişmesi gereken dallar, Sanal WAN hub'larında sonlandırılan IPsec tünelleri aracılığıyla Azure'a doğrudan ve güvenli bir şekilde erişebilir.

SD-WAN CPE iş ortakları, ilgili CPE cihazlarından normal sıkıcı ve hataya açık IPsec bağlantısını otomatikleştirmek için otomasyonu etkinleştirebilir. Otomasyon, SD-WAN denetleyicisinin Sanal WAN sitelerini yapılandırmak için Sanal WAN API'sini kullanarak Azure ile konuşmasına ve gerekli IPsec tünel yapılandırmasını dal CPU'larına göndermesine olanak tanır. Çeşitli SD-WAN iş ortakları tarafından Sanal WAN bağlantı otomasyonu açıklaması için bkz. Otomasyon yönergeleri.

SD-WAN CPE, trafik iyileştirme ve yol seçiminin uygulandığı ve uygulandığı yer olmaya devam eder.

Bu modelde, Sanal WAN bağlantısı IPsec üzerinden olduğundan ve IPsec VPN Sanal WAN VPN ağ geçidinde sonlandırıldığı için gerçek zamanlı trafik özelliklerine dayalı bazı satıcıya özel trafik iyileştirmesi desteklenmeyebilir. Örneğin, dal CPE'de dinamik yol seçimi, dal cihazının farklı ağ paketi bilgilerini başka bir SD-WAN düğümüyle değiştirerek dalda dinamik olarak önceliklendirilmiş çeşitli trafik için kullanılacak en iyi bağlantıyı belirlemesi nedeniyle mümkündür. Bu özellik, son kilometre iyileştirmesinin (microsoft POP'a en yakın dal) gerekli olduğu alanlarda yararlı olabilir.

Sanal WAN ile kullanıcılar, dal CPE'den Sanal WAN VPN ağ geçitlerine birden çok ISS bağlantısı arasında ilke tabanlı yol seçimi olan Azure Yol Seçimi'ni alabilir. Sanal WAN aynı SD-WAN dalı CPE'den birden çok bağlantının (yolların) ayarlanmasına olanak tanır; her bağlantı, SD-WAN CPE'nin benzersiz bir genel IP'sinden Azure Sanal WAN VPN ağ geçidinin iki farklı örneğine çift tünel bağlantısını temsil eder. SD-WAN satıcıları, CPE bağlantılarında ilke altyapıları tarafından ayarlanan trafik ilkelerine göre Azure'a en uygun yolu uygulayabilir. Azure ucunda, gelen tüm bağlantılar eşit şekilde işlenir.

NVA-in-VWAN-hub ile Doğrudan Bağlantı modeli

VWAN hub'da NVA ile doğrudan bağlantı modelinin diyagramı.

Bu mimari modeli, bir üçüncü taraf Ağ Sanal Gereci'nin (NVA) doğrudan sanal hub'a dağıtımını destekler. Bu, azure iş yüklerine bağlanırken özel uçtan uca SD-WAN özelliklerinden yararlanabilmeleri için şube CPE'lerini sanal hub'daki aynı marka NVA'ya bağlamak isteyen müşterilere olanak tanır.

Çeşitli Sanal WAN İş Ortakları, dağıtım işleminin bir parçası olarak NVA'yi otomatik olarak yapılandıran bir deneyim sağlamak için çalışmıştır. NVA sanal hub'a sağlandıktan sonra, NVA için gerekli olabilecek tüm ek yapılandırmaların NVA iş ortakları portalı veya yönetim uygulaması aracılığıyla yapılması gerekir. NVA'ya doğrudan erişim kullanılamaz. Doğrudan Azure Sanal WAN hub'ına dağıtılabilen NVA'lar, sanal hub'da kullanılmak üzere özel olarak geliştirilmiştir. VWAN hub'ında NVA'yı destekleyen iş ortakları ve dağıtım kılavuzları için lütfen Sanal WAN İş Ortakları makalesine bakın.

SD-WAN CPE, trafik iyileştirme ve yol seçiminin uygulandığı ve uygulandığı yer olmaya devam eder. Bu modelde, Sanal WAN bağlantısı hub'daki SD-WAN NVA üzerinden olduğundan gerçek zamanlı trafik özelliklerine dayalı satıcıya özel trafik iyileştirmesi desteklenir.

Dolaylı Bağlantı modeli

Dolaylı bağlantı modelinin diyagramı.

Bu mimari modelinde SD-WAN dal CPU'ları dolaylı olarak Sanal WAN hub'lara bağlanır. Şekilde gösterildiği gibi, SD-WAN sanal CPE bir kurumsal sanal ağa dağıtılır. Bu sanal CPE de IPsec kullanılarak Sanal WAN hub'larına bağlıdır. Sanal CPE, Azure'a bir SD-WAN ağ geçidi görevi görür. Azure'da iş yüklerine erişmesi gereken dallar bunlara v-CPE ağ geçidi üzerinden erişebilir.

Azure bağlantısı v-CPE ağ geçidi (NVA) üzerinden olduğundan, Azure iş yükü sanal ağlarından diğer SD-WAN dallarına giden ve giden tüm trafik NVA üzerinden gider. Bu modelde, kullanıcı yüksek kullanılabilirlik, ölçeklenebilirlik ve yönlendirme dahil olmak üzere SD-WAN NVA'yı yönetmekten ve çalıştırmakla sorumludur.

Yönetilen Karma WAN modeli

Yönetilen karma WAN modelinin diyagramı.

Bu mimari modelinde kuruluşlar, Yönetilen Hizmet Sağlayıcısı (MSP) iş ortağı tarafından sunulan yönetilen bir SD-WAN hizmetinden yararlanabilir. Bu model, yukarıda açıklanan doğrudan veya dolaylı modellere benzer. Ancak bu modelde SD-WAN tasarımı, düzenleme ve işlemleri SD-WAN Sağlayıcısı tarafından teslim edilir.

Azure Ağ MSP iş ortakları Azure Lighthouse'ı kullanarak kurumsal müşterinin Azure aboneliğinde SD-WAN ve Sanal WAN hizmetini uygulayabilir ve müşteri adına uçtan uca hibrit WAN'ı çalıştırabilir. Bu MSP'ler Sanal WAN Azure ExpressRoute'u uygulayabilir ve uçtan uca yönetilen bir hizmet olarak çalıştırabilir.

Ek bilgi