你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在某些企业环境中,可能需要将一个 Azure 虚拟 WAN 连接到另一个。 常见方案包括:
- 合并和收购
- 需要互连的分散式业务部门
本文介绍可用于链接多个虚拟 WAN 环境的各种连接选项。
使用虚拟网络网关的 IPsec 隧道
在此选项中,可以使用 IPsec 隧道在虚拟 WAN 环境中每个虚拟中心部署虚拟网络网关来连接虚拟 WAN。
由于虚拟网络网关 ASN 始终为 65515,您无法通过 IPsec 使用 BGP,因为 BGP 循环防护机制会使远程虚拟中心从源虚拟中心接收到带有 65515 的 AS-PATH 路由,随后 BGP 将丢弃该路由。 因此,如果要连接两个不同的虚拟 WAN,隧道必须使用静态路由。
如果要使用虚拟网络网关连接两个虚拟 WAN,则此选项是理想的选择。 但是,它具有以下限制:
- 不支持 BGP。
- 每个隧道的最大吞吐量为 2.3 Gbps,具体取决于密码。 有关详细信息,请参阅 单个隧道中支持的最大吞吐量是多少?
在虚拟中心使用 SD-WAN NVA 的 IPsec 隧道
如果已使用 SD-WAN 网络虚拟设备(NVA)将虚拟 WAN 连接到本地环境,则也可以使用它们来互连虚拟 WAN。 通过在每个虚拟 WAN 中心部署 SD-WAN NVA,可以在虚拟中心之间通过 IPsec 运行 BGP。
在此应用场景中,必须将 ASN 65520 和 65515 替换为 SD-WAN 使用的 ASN,以避免 BGP 环路防护。 此方法类似于第一个连接选项,但在这里,你可以灵活地对第三方设备执行 BGP 操作。
如果要使用 SD-WAN NVA 连接两个虚拟 WAN,则此选项是理想的选择。 但是,它具有以下限制:
- 只有某些 SD-WAN NVA 可以部署到虚拟 WAN 中心。 有关详细信息,请参阅 虚拟 WAN 中心中的 NVA。
- SD-WAN NVA 无法与虚拟 WAN 中心中的其他 NVA 组合在一起。
- 与虚拟网络网关相比,SD-WAN NVA 的成本可能更高。
在对等互连分支中使用 SD-WAN NVA 的 IPsec 隧道
此选项与上一个选项类似,不同之处在于将 SD-WAN NVA 放置在与虚拟中心对等互连的分支虚拟网络中,而不是将其部署到虚拟中心。 使用此设置,你可以在 SD-WAN NVA 和虚拟中心路由服务器之间配置 BGP 对等互连。
此方法适用于无法将 SD-WAN NVA 部署到虚拟 WAN 中心但仍支持 BGP 的方案。 与第二个选项一样,必须将 ASN 65520 和 65515 替换为 SD-WAN 使用的 ASN,以避免 BGP 环路防护。
如果你想在虚拟中心不支持的情况下,在分支虚拟网络中使用 SD-WAN NVA 连接两个虚拟 WAN,则此选项是理想的选择。 但是,此选项具有以下限制:
- 设置和维护的复杂性。
- 与虚拟网络网关相比,SD-WAN NVA 的成本可能更高。