你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟 WAN 中有哪些新增功能?

Azure 虚拟 WAN 定期更新。 随时了解最新公告。 本文提供以下事项的信息:

  • 最新版本
  • 正在实行的预览和已知限制(如果适用)
  • 已知问题
  • 已弃用的功能(如果适用)

还可以在此处找到最新的 Azure 虚拟 WAN 更新并订阅 RSS 源。

最新版本

路由

类型 区域 名称 说明 添加日期 限制
指标 路由 新的虚拟中心指标 现在有两个新的虚拟 WAN 中心指标可显示虚拟中心的容量和分支虚拟机 (VM) 使用率:“路由基础结构单元”和“分支 VM 使用率” 2024 年 8 月 “支路 VM 利用率”指标表示已部署支路 VM 的数量占中心路由基础结构单元能够支持的支路 VM 总数的百分比
功能 路由 路由意向 路由意向是一种机制,可用于配置虚拟 WAN,以便通过中心内部署的安全解决方案发送专用或 Internet 流量。 2023 年 5 月 路由意向已在 Azure 公有云中正式发布。 请参阅其他限制的文档。
功能 路由 虚拟中心路由首选项 使用中心路由首选项,可以在虚拟中心路由器跨 S2S VPN、ER 和 SD-WAN NVA 连接学习多个路由时选择路由流量的方式,从而更好地控制基础结构。 2022 年 10 月
功能 路由 为连接到虚拟 WAN 中心的分支 VNet 中的工作负载绕过下一个跃点 IP 正式发布版 通过为连接到虚拟 WAN 中心的分支 VNet 中的工作负载绕过下一个跃点 IP,可以在不进行任何其他配置的情况下使用 NVA 部署和访问 VNet 中的其他资源。 2022 年 10 月
SKU/功能/验证 路由 BGP 终结点(正式版) 虚拟中心路由器现在已公开与之对等互连的功能,直接通过边界网关协议 (BGP) 路由协议交换路由信息。 2022 年 6 月
功能 路由 通过支路中的 NVA 传播 0.0.0.0/0 可将 Internet 流量发送到支路中的 NVA 以供传出。 2021 年 3 月 0.0.0.0/0 不会跨中心传播。

无法指定包含不同下一个跃点 IP 地址的多个公共前缀。

NVA 和集成式第三方解决方案

类型 区域 名称 说明 添加日期 限制
功能 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 适用于下一代防火墙 NVA 的 Internet 入站/DNAT 公共预览版 虚拟 WAN 中心内网络虚拟设备的目标 NAT 让你可以将应用程序发布给 Internet 中的用户,而无需直接公开应用程序或服务器的公共 IP。 使用者通过分配给防火墙网络虚拟设备的公共 IP 地址访问应用程序。 2024 年 2 月 支持 Fortinet 下一代防火墙 Check Point CloudGuard。 有关限制和注意事项的完整列表,请参阅 DNAT 文档
功能 服务型软件 Palo Alto Networks Cloud NGFW Palo Alto Networks Cloud NGFW 正式发布,这是第一个可在虚拟 WAN 中心内部署的服务型软件安全产品/服务。 2023 年 7 月 Palo Alto Networks Cloud NGFW 现在可在所有虚拟 WAN 中心(新和旧)部署。 有关限制和区域可用性的完整列表,请参阅 Palo Alto Networks Cloud NGFW 的限制。 限制与路由意图相同。
功能 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 Fortinet NGFW Fortinet NGFWFortinet SD-WAN/NGFW 双角色 NVA 已正式发布。 2023 年 5 月 限制与路由意图相同。 不支持 Internet 入站方案。
功能 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 Azure 虚拟 WAN 的 Check Point CloudGuard 网络安全 已在所有 Azure 区域的虚拟 MAN 中心内正式发布可从 Azure 市场部署的 Check Point CloudGuard 网络安全 NVA。 2023 年 5 月 限制与路由意图相同。 不支持 Internet 入站方案。
功能 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 Versa SD-WAN Versa SD-WAN 预览版。 2021 年 11 月
功能 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 Cisco Viptela、Barracuda 和 VMware (Velocloud) SD-WAN 虚拟 WAN 中的 SD-WAN 解决方案正式版。 2021 年 6 月/7 月

ExpressRoute

类型 区域 名称 说明 添加日期 限制
功能 ExpressRoute 可将 ExpressRoute 指标导出为诊断日志 2023 年 4 月
功能 ExpressRoute ExpressRoute 线路页现在显示 vWAN 连接 2022 年 8 月

站点到站点

类型 区域 名称 说明 添加日期 限制
功能 分支连接/站点到站点 VPN 多 APIPA BGP 可为 vWAN 中的 VPN 网关实例指定多个自定义 BGP IP。 2022 年 6 月 目前只能通过门户使用此功能。 (在 PowerShell 中尚不可用)
功能 分支连接/站点到站点 VPN 自定义流量选择器 可以指定站点到站点 VPN 网关协商哪些流量选择器对 2022 年 5 月 Azure 协商所有远程和本地前缀对的流量选择器。 无法指定协商单个流量选择器对。
功能 分支连接/站点到站点 VPN 站点到站点连接模式选项 可以配置客户或 vWAN 网关是否应在创建新的 S2S 连接时启动站点到站点连接。 2022 年 2 月
功能 分支连接/站点到站点 VPN 数据包捕获 客户可以在站点到站点 VPN 网关上执行数据包捕获。 2021 年 11 月
功能 分支连接/站点到站点 VPN

远程用户连接/点到站点 VPN
VPN 流量的热土豆路由与冷土豆路由 可为 Azure VPN 出口流量指定 Microsoft 或 ISP POP 首选项。 有关详细信息,请参阅 Azure 中的路由首选项 2021 年 6 月 该参数只能在创建网关时指定,事后不可修改。
功能 分支连接/站点到站点 VPN NAT 可对站点到站点 VPN 分支之间,以及站点到站点 VPN 分支与 Azure 之间的重叠地址进行 NAT 处理。 2021 年 3 月 基于策略的 VPN 连接不支持 NAT。

用户 VPN(点到站点)

类型 区域 名称 说明 添加日期 限制
功能 远程用户连接/点到站点 VPN 适用于 P2S 用户 VPN 的用户组和 IP 地址池 配置 P2S 用户 VPN 的功能,可基于用户标识或身份验证凭据向用户分配特定地址池中的 IP 地址。 2023 年 5 月
功能 远程用户连接/点到站点 VPN 全局配置文件包含/排除 可将点到站点网关标记为“已排除”,这意味着系统不会将连接到全局配置文件的用户负载均衡到该网关。 2022 年 2 月
功能 远程用户连接/点到站点 VPN P2S VPN 的强制隧道 可以强制将所有流量发送到 Azure 虚拟 WAN 以供传出。 2021 年 10 月 仅适用于 Azure VPN 客户端版本 2:1900:39.0 或更高版本。
功能 远程用户连接/点到站点 VPN macOS Azure VPN 客户端 适用于 macOS 的 Azure VPN 客户端正式版。 2021 年 8 月
功能 分支连接/站点到站点 VPN

远程用户连接/点到站点 VPN
VPN 流量的热土豆路由与冷土豆路由 可为 Azure VPN 出口流量指定 Microsoft 或 ISP POP 首选项。 有关详细信息,请参阅 Azure 中的路由首选项 2021 年 6 月 该参数只能在创建网关时指定,事后不可修改。
功能 远程用户连接/点到站点 VPN 远程 RADIUS 服务器 P2S VPN 网关能够将身份验证流量转发到与另一中心连接的虚拟网络中的 RADIUS 服务器,或转发到本地托管的 RADIUS 服务器。 2021 年 4 月
功能 远程用户连接/点到站点 VPN 双 RADIUS 服务器 可以指定用来为身份验证流量提供服务的主要和后备 RADIUS 服务器。 2021 年 3 月
Feature 远程用户连接/点到站点 VPN 自定义 IPsec 策略 可为 IKEv2 点到站点连接指定连接/加密参数。 2021 年 3 月 只有基于 IKEv2 的连接支持此功能。

查看可用参数列表
SKU 远程用户连接/点到站点 VPN 支持最多 10 万个用户连接到单个中心 将连接到单个网关的最大并发用户数增加到了 100,000。 2021 年 3 月
Feature 远程用户连接/点到站点 VPN 多种身份验证方法 单个网关可以使用多种身份验证机制。 2023 年 6 月 支持运行所有协议组合的网关。 请注意,Azure AD 身份验证仍然需要使用 OpenVPN

预览

以下功能目前处于封闭公共预览版阶段。 如果在阅读列出的文章后,你仍有疑问或需要支持,请联系与该功能对应的联系人别名(如果适用)。

预览版类型 功能 说明 联系人别名 限制
托管预览版 路由映射 通过此功能,可以对虚拟 WAN 中的路由执行路由聚合、路由筛选和修改 BGP 属性。 preview-route-maps@microsoft.com 有关已知限制,请参阅:关于路线映射
托管预览版 Aruba EdgeConnect SD-WAN 将 Aruba EdgeConnect SD-WAN NVA 部署到虚拟 WAN 中心 preview-vwan-aruba@microsoft.com

已知问题

# 问题 说明 首次报告日期 缓解措施
1 ExpressRoute 与 Azure 存储和 0.0.0.0/0 路由的连接 如果已在虚拟中心路由表中静态配置了 0.0.0.0/0 路由,或已通过网络虚拟设备动态配置了该路由,以便进行流量检查,则该流量在发往 Azure 存储且与虚拟中心内的 ExpressRoute 网关位于同一区域时会绕过检查。 变通方法是使用专用链接访问 Azure 存储,或者将 Azure 存储服务放在虚拟中心以外的其他区域。
2 默认路由 (0/0) 不会在中心之间传播 0/0 路由不会在两个虚拟 WAN 中心之间传播。 2020 年 6 月 无。 注意:尽管虚拟 WAN 团队已修复此问题,即“VNet 对等互连”页的“静态路由”部分中定义的静态路由会传播到在“传播到路由表”中列出的路由表或在“VNet 连接”页上的“传播到路由表”中列出的标签,但是默认路由 (0/0) 不会在中心之间传播。
3 同一对等互连位置中的两条 ExpressRoute 线路连接到了多个中心 如果在同一对等互连位置中拥有两条 ExpressRoute 线路,并且这两条线路都连接到同一虚拟 WAN 中的多个虚拟中心,则与 Azure 资源的连接可能会受到影响。 2023 年 7 月 确保每个虚拟中心至少有 1 个虚拟网络与其连接。 这可确保与 Azure 资源建立连接。 虚拟 WAN 团队也在努力解决此问题。
4 ExpressRoute ECMP 支持 目前并未默认为虚拟中心部署启用 ExpressRoute ECMP。 当多个 ExpressRoute 线路连接到虚拟 WAN 中心时,ECMP 允许通过 ExpressRoute 将从分支虚拟网络到本地的流量分布到所有播发相同本地路由的 ExpressRoute 线路上。 在 2025 年 1 月 1 日之后,若要为虚拟 WAN 中心启用 ECMP,请联系 virtual-wan-ecmp@microsoft.com。
5 虚拟 WAN 中心地址前缀不会播发到同一虚拟 WAN 中的其他虚拟 WAN 中心。 无法利用虚拟 WAN 中心到中心的完整网格路由功能,为部署在 VNET 或与虚拟 WAN 中心连接的本地部署 NVA 编排软件提供与部署在不同虚拟 WAN 中心的集成 NVA 或 SaaS 解决方案之间的连接性。 如果 NVA 或 SaaS 业务流程协调程序部署在本地,请将该本地站点连接到部署了 NVA 或 SaaS 解决方案的所有虚拟 WAN 中心。 如果业务流程协调程序位于 Azure VNET 中,请使用公共 IP 管理 NVA 或 SaaS 解决方案。 对 Azure VNET 协调器的支持已在路线图上提供。
6 将路由意向配置为在同一虚拟 WAN 中心内的连接 NVA 与防火墙 NVA 之间路由 虚拟 WAN 路由意向专用路由策略不支持在部署在同一虚拟中心内的 SD-WAN NVA 与防火墙 NVA(或 SaaS 解决方案)之间进行路由。 请将连接和防火墙集成 NVA 部署在同一 Azure 区域中的两个不同中心内。 或者,将连接 NVA 部署到连接到虚拟 WAN 中心的辐射虚拟网络,并利用 BGP 对等互连
7 如果用于 BGP 对等互连的 ASN 在部署后更新,则虚拟 WAN 中心路由器与部署在虚拟 WAN 中心内的 NVA 之间的 BGP 不会启动。 虚拟中心路由器要求中心内的 NVA 使用首次部署 NVA 时在路由器上配置的 ASN。 如果 NVA OS 配置为使用新的 ASN,则更新与 NVA 资源上的 NVA 关联的 ASN 不会将新的 ASN 注册到虚拟中心路由器,因此,如果 NVA OS 配置为使用新的 ASN,则路由器会拒绝来自 NVA 的 BGP 会话。 使用正确的 ASN 删除并重新创建虚拟 WAN 中心的 NVA。
8 强制隧道用例不支持从本地(VPN、ExpressRoute、BGP 终结点)或在虚拟网络连接上静态配置的默认路由 (0.0.0.0/0)。 从本地播发的 0.0.0.0.0/0 路由(或在虚拟网络连接上静态配置)不会应用于 Azure 防火墙或其他在虚拟 WAN 中心部署的安全解决方案。 中心的安全解决方案检查的数据包将绕过从本地学习的路由,直接路由到 Internet 仅在非安全中心方案中从本地发布默认路由。
9 路由意向更新操作在专用路由策略下一跃点资源是 NVA 或 SaaS 解决方案的部署中会失败。 在将专用路由策略配置为下一跃点 NVA 或 SaaS 解决方案以及其他专用前缀的部署中,修改路由意向会失败。 失败的操作示例包括添加或删除 Internet 或专用路由策略。 此已知问题不会影响未配置其他专用前缀的部署。 移除任何其他专用前缀,更新路由意向,然后重新配置其他专用前缀。
10 DNAT 流量在关联其他 IP 地址后不会转发到 NVA。 将其他 IP 地址关联到已具有活动入站安全规则的 NVA 后,由于代码缺陷,DNAT 流量不会正确转发到 NVA。 2024 年 11 月 使用合作伙伴业务流程/管理软件修改(创建或删除现有)配置的入站安全规则以还原连接。
11 入站安全规则配置可伸缩性 配置大量(大约 100 条)规则时,入站安全规则配置可能会失败。 2024 年 11 月 无,请联系 Azure 支持部门了解详细信息。
12 虚拟 WAN 未选取分支虚拟网络地址空间更新 分支虚拟网络地址空间的多个并发更新未与虚拟中心正确同步。 2024 年 11 月 确保单个虚拟网络中的地址空间更新按顺序完成。 等到第一个地址更新正确反映在虚拟中心的有效路由中之后,再更新分支虚拟网络的地址空间。 如果此问题已经发生,请确保使用不会造成影响的地址空间更新受影响的虚拟网络的地址空间。 一旦这反映在虚拟网络和虚拟中心中,就将虚拟网络地址空间更新为首选虚拟网络地址空间。

后续步骤

有关 Azure 虚拟 WAN 的详细信息,请参阅什么是 Azure 虚拟 WAN常见问题解答 - FAQ