你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 虚拟 WAN 中有哪些新增功能?
Azure 虚拟 WAN 定期更新。 随时了解最新公告。 本文提供以下事项的信息:
- 最新版本
- 正在实行的预览和已知限制(如果适用)
- 已知问题
- 已弃用的功能(如果适用)
还可以在此处找到最新的 Azure 虚拟 WAN 更新并订阅 RSS 源。
最新版本
路由
| 类型 | 区域 | 名称 | 说明 | 添加日期 | 限制 |
|---|---|---|---|---|---|
| 功能 | 路由 | 路由意向 | 路由意向是一种机制,可用于配置虚拟 WAN,以便通过中心内部署的安全解决方案发送专用或 Internet 流量。 | 2023 年 5 月 | 路由意向已在 Azure 公有云中正式发布。 有关其他限制,请参阅文档。 |
| 功能 | 路由 | 虚拟中心路由首选项 | 使用中心路由首选项可以在虚拟中心路由器跨 S2S VPN、ER 和 SD-WAN NVA 连接学习多条路由时选择如何路由流量,从而更好地控制基础结构。 | 2022 年 10 月 | |
| 功能 | 路由 | 为连接到虚拟 WAN 中心的分支 VNet 中的工作负载绕过下一个跃点 IP 正式发布版 | 通过为连接到虚拟 WAN 中心的分支 VNet 中的工作负载绕过下一个跃点 IP,可以在不进行任何其他配置的情况下使用 NVA 部署和访问 VNet 中的其他资源。 | 2022 年 10 月 | |
| SKU/功能/验证 | 路由 | BGP 终结点(正式版) | 虚拟中心路由器现在已公开与之对等互连的功能,从而实现直接通过边界网关协议 (BGP) 路由协议交换路由信息。 | 2022 年 6 月 | |
| 功能 | 路由 | 通过支路中的 NVA 传播 0.0.0.0/0 | 可将 Internet 流量发送到支路中的 NVA 以供传出。 | 2021 年 3 月 | 0.0.0.0/0 不会跨中心传播。 无法指定包含不同下一个跃点 IP 地址的多个公共前缀。 |
NVA 和集成式第三方解决方案
| 类型 | 区域 | 名称 | 说明 | 添加日期 | 限制 |
|---|---|---|---|---|---|
| 功能 | 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 | Fortinet NGFW | Fortinet NGFW 和 Fortinet SD-WAN/NGFW 双角色 NVA 已正式发布。 | 2023 年 5 月 | 限制与路由意图相同。 不支持 Internet 入站方案。 |
| 功能 | 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 | Azure 虚拟 WAN 的 Check Point CloudGuard 网络安全 | 已在所有 Azure 区域的虚拟 MAN 中心内正式发布可从 Azure 市场部署的 Check Point CloudGuard 网络安全 NVA。 | 2023 年 5 月 | 限制与路由意图相同。 不支持 Internet 入站方案。 |
| Feature | 服务型软件 | Palo Alto Networks Cloud NGFW | Palo Alto Networks Cloud NGFW 的公共预览版,这是第一个可在虚拟 WAN 中心内部署的软件即服务安全产品。 | 2023 年 5 月 | Palo Alto Networks Cloud NGFW 只能在某些 Azure 区域中新创建的虚拟 WAN 中心部署。 有关限制的完整列表,请参阅 Palo Alto Networks Cloud NGFW 的限制。 |
| 功能 | 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 | Fortinet SD-WAN | 虚拟 WAN 中的 Fortinet SD-WAN 解决方案正式发布版。 下一代防火墙用例预览版。 | 2022 年 10 月 | SD-WAN 解决方案正式发布。 下一代防火墙用例预览版。 |
| 功能 | 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 | Versa SD-WAN | Versa SD-WAN 预览版。 | 2021 年 11 月 | |
| 功能 | 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 | Cisco Viptela、Barracuda 和 VMware (Velocloud) SD-WAN | 虚拟 WAN 中的 SD-WAN 解决方案正式版。 | 2021 年 6 月/7 月 |
ExpressRoute
| 类型 | 区域 | 名称 | 说明 | 添加日期 | 限制 |
|---|---|---|---|---|---|
| 功能 | ExpressRoute | 可将 ExpressRoute 指标导出为诊断日志 | 2023 年 4 月 | ||
| 功能 | ExpressRoute | ExpressRoute 线路页现在显示 vWAN 连接 | 2022 年 8 月 |
站点到站点
| 类型 | 区域 | 名称 | 说明 | 添加日期 | 限制 |
|---|---|---|---|---|---|
| 功能 | 分支连接/站点到站点 VPN | 多 APIPA BGP | 可为 vWAN 中的 VPN 网关实例指定多个自定义 BGP IP。 | 2022 年 6 月 | 目前只能通过门户使用此功能。 (在 PowerShell 中尚不可用) |
| 功能 | 分支连接/站点到站点 VPN | 自定义流量选择器 | 可以指定站点到站点 VPN 网关协商哪些流量选择器对 | 2022 年 5 月 | Azure 协商所有远程和本地前缀对的流量选择器。 无法指定协商单个流量选择器对。 |
| 功能 | 分支连接/站点到站点 VPN | 站点到站点连接模式选项 | 可以配置客户或 vWAN 网关是否应在创建新的 S2S 连接时启动站点到站点连接。 | 2022 年 2 月 | |
| 功能 | 分支连接/站点到站点 VPN | 数据包捕获 | 客户可以在站点到站点 VPN 网关上执行数据包捕获。 | 2021 年 11 月 | |
| 功能 | 分支连接/站点到站点 VPN 远程用户连接/点到站点 VPN |
VPN 流量的热土豆路由与冷土豆路由 | 可为 Azure VPN 出口流量指定 Microsoft 或 ISP POP 首选项。 有关详细信息,请参阅 Azure 中的路由首选项。 | 2021 年 6 月 | 该参数只能在创建网关时指定,事后不可修改。 |
| 功能 | 分支连接/站点到站点 VPN | NAT | 可对站点到站点 VPN 分支之间,以及站点到站点 VPN 分支与 Azure 之间的重叠地址进行 NAT 处理。 | 2021 年 3 月 | 基于策略的 VPN 连接不支持 NAT。 |
用户 VPN(点到站点)
| 类型 | 区域 | 名称 | 说明 | 添加日期 | 限制 |
|---|---|---|---|---|---|
| 功能 | 远程用户连接/点到站点 VPN | 全局配置文件包含/排除 | 可将点到站点网关标记为“已排除”,这意味着连接到全局配置文件的用户不会负载均衡到该网关。 | 2022 年 2 月 | |
| 功能 | 远程用户连接/点到站点 VPN | P2S VPN 的强制隧道 | 可以强制将所有流量发送到 Azure 虚拟 WAN 以供传出。 | 2021 年 10 月 | 仅适用于 Azure VPN 客户端版本 2:1900:39.0 或更高版本。 |
| 功能 | 远程用户连接/点到站点 VPN | macOS Azure VPN 客户端 | 适用于 macOS 的 Azure VPN 客户端正式版。 | 2021 年 8 月 | |
| 功能 | 分支连接/站点到站点 VPN 远程用户连接/点到站点 VPN |
VPN 流量的热土豆路由与冷土豆路由 | 可为 Azure VPN 出口流量指定 Microsoft 或 ISP POP 首选项。 有关详细信息,请参阅 Azure 中的路由首选项。 | 2021 年 6 月 | 该参数只能在创建网关时指定,事后不可修改。 |
| 功能 | 远程用户连接/点到站点 VPN | 远程 RADIUS 服务器 | P2S VPN 网关能够将身份验证流量转发到与不同中心连接的 VNet 中的 RADIUS 服务器,或转发到本地托管的 RADIUS 服务器。 | 2021 年 4 月 | |
| 功能 | 远程用户连接/点到站点 VPN | 双 RADIUS 服务器 | 可以指定用来为身份验证流量提供服务的主要和后备 RADIUS 服务器。 | 2021 年 3 月 | |
| Feature | 远程用户连接/点到站点 VPN | 自定义 IPsec 策略 | 可为 IKEv2 点到站点连接指定连接/加密参数。 | 2021 年 3 月 | 只有基于 IKEv2 的连接支持此功能。 查看可用参数列表。 |
| SKU | 远程用户连接/点到站点 VPN | 支持最多 10 万个用户连接到单个中心 | 将连接到单个网关的最大并发用户数增加到了 100,000。 | 2021 年 3 月 | |
| Feature | 远程用户连接/点到站点 VPN | 多种身份验证方法 | 单个网关可以使用多种身份验证机制。 | 2021 年 3 月 | 只有基于 OpenVPN 的网关支持此功能。 |
预览
以下功能目前处于封闭公共预览版阶段。 如果在阅读列出的文章后,你仍有疑问或需要支持,请联系与该功能对应的联系人别名(如果适用)。
| 预览版类型 | 功能 | 说明 | 联系人别名 | 限制 |
|---|---|---|---|---|
| 托管预览版 | 路由映射 | 通过此功能,可以对虚拟 WAN 中的路由执行路由聚合、路由筛选和修改 BGP 属性。 | preview-route-maps@microsoft.com | 有关已知限制,请参阅:关于路线映射(预览版)。 |
| 托管预览版 | 为 P2S 用户 VPN 配置用户组和 IP 地址池 | 使用此功能可以通过创建用户组来配置 P2S 用户 VPN,以基于用户的标识或身份验证凭据从特定地址池为用户分配 IP 地址。 | 此处显示了已知限制:为 P2S 用户 VPN 配置用户组和 IP 地址池(预览版)。 | |
| 托管预览版 | Aruba EdgeConnect SD-WAN | 将 Aruba EdgeConnect SD-WAN NVA 部署到虚拟 WAN 中心 | preview-vwan-aruba@microsoft.com | |
| 托管预览版 | Checkpoint NGFW | 将 Checkpoint NGFW NVA 部署到虚拟 WAN 中心 | DL-vwan-support-preview@checkpoint.com, previewinterhub@microsoft.com | 限制与路由意图相同。 不支持 Internet 入站方案。 |
| 托管预览版 | Fortinet NGFW/SD-WAN | 将 Fortinet 双角色 SD-WAN/NGFW NVA 部署到虚拟 WAN 中心 | azurevwan@fortinet.com, previewinterhub@microsoft.com | 限制与路由意图相同。 不支持 Internet 入站方案。 |
| 公共预览版/自助服务 | 虚拟中心路由首选项 | 使用此功能可以影响虚拟中心路由器的路由决策。 有关详细信息,请参阅虚拟中心路由首选项。 | 若有问题或反馈,请联系 preview-vwan-hrp@microsoft.com | 如果可以通过 ER 或 VPN 连接和虚拟中心 SD-WAN NVA 访问路由前缀,则路由选择算法会忽略虚拟中心 SD-WAN NVA 路由。 因此,只能通过虚拟中心访问发往前缀的流。 SD-WAN NVA 采用通过 NVA 进行的路由。 这是中心路由首选项功能预览期间的一个限制。 |
| 公共预览版/自助服务 | 通过中心到中心路径传送流量,而不是通过连接到不同中心的 ER 线路传送(通过 ER 进行中心到中心路由) | 通过此功能,2 个中心之间的流量可以遍历每个中心内的 Azure 虚拟 WAN 路由器,并使用中心到中心路径,而不是 ExpressRoute 路径(它遍历 Microsoft 的边缘路由器/MSEE)。 有关详细信息,请参阅通过 ER 进行中心到中心路由预览版链路。 | 若有问题或反馈,请联系 preview-vwan-hrp@microsoft.com |
已知问题
| # | 问题 | 说明 | 首次报告日期 | 缓解措施 |
|---|---|---|---|---|
| 1 | 虚拟中心升级到基于 VMSS 的基础结构:与中心内 NVA 的兼容性。 | 对于在中心预配 NVA 的部署,虚拟中心路由器无法升级到虚拟机规模集。 | 2022 年 7 月 | 虚拟 WAN 团队正在开发一个修复程序,以便能够将允许虚拟中心路由器升级到虚拟机规模集,即使在中心内配置了 NVA。 升级中心路由器后,必须将 NVA 重新对等互连到中心路由器的新 IP 地址(不必删除 NVA)。 |
| 2 | 虚拟中心升级到基于 VMSS 的基础结构:与分支 VNet 中 NVA 的兼容性。 | 对于在分支 VNet 中预配了 NVA 的部署,必须删除再重新创建 BGP 与分支 NVA 的对等互连。 | 2022 年 3 月 | 虚拟 WAN 团队正在开发一个修复程序,使用户无需在升级后删除再重新创建 BGP 与支路 NVA 的对等互连。 |
| 3 | 虚拟中心升级到基于 VMSS 的基础结构:与不同区域中分支 VNet 的兼容性 | 如果虚拟 WAN 中心连接到中心所在区域和非中心所在区域中的分支虚拟网络组合,则在将中心路由器升级到基于 VMSS 的基础结构后,可能会遇到与这些相应分支虚拟网络的连接缺失的情况。 | 2023 年 3 月 | 要解决此问题并还原与这些虚拟网络的连接,可以修改任何虚拟网络连接属性(例如,可以修改连接以传播到虚拟标签)。 我们正在积极努力消除这项要求。 |
| 4 | 虚拟中心升级到基于 VMSS 的基础结构:与超过 100 个分支 VNet 的兼容性 | 如果将虚拟 WAN 中心连接到超过 100 个分支 VNet,则升级可能会超时,从而导致虚拟中心保留在基于云服务的基础结构上。 | 2023 年 3 月 | 虚拟 WAN 团队正在研究修补程序,以在连接超过 100 个分支 VNet 时支持升级。 |
| 5 | ExpressRoute 与 Azure 存储和 0.0.0.0/0 路由的连接 | 如果你已在虚拟中心路由表中静态配置了 0.0.0.0/0 路由,或通过网络虚拟设备动态配置了流量检查,则该流量在发往 Azure 存储并且与虚拟中心中的 ExpressRoute 网关位于同一区域时会绕过检查。 变通方法是使用专用链接访问 Azure 存储,或者将 Azure 存储服务放在虚拟中心以外的其他区域。 | ||
| 6 | 默认路由 (0/0) 不会在中心之间传播 | 0/0 路由不会在两个虚拟 WAN 中心之间传播。 | 2020 年 6 月 | 无。 注意:尽管虚拟 WAN 团队已修复此问题,即“VNet 对等互连”页的“静态路由”部分中定义的静态路由会传播到在“传播到路由表”中列出的路由表或在“VNet 连接”页上的“传播到路由表”中列出的标签,但是默认路由 (0/0) 不会在中心之间传播。 |
后续步骤
有关 Azure 虚拟 WAN 的详细信息,请参阅什么是 Azure 虚拟 WAN 和常见问题解答 - FAQ。