Azure 虛擬 WAN 有哪些新功能?
Azure 虛擬 WAN 會定期更新。 請隨時掌握最新公告。 本文提供以下相關資訊:
- 最新發行
- 預覽已推出,但存在已知限制 (如果適用)
- 已知問題
- 已取代的功能 (如果適用)
您也可以在這裡找到最新的 Azure 虛擬 WAN 更新並訂閱 RSS 摘要。
最新發行
路由
| 類型 | 面積圖 | 名稱 | 描述 | 新增日期 | 限制 |
|---|---|---|---|---|---|
| 計量 | 路由 | 新的虛擬中樞計量 | 現在有兩個額外的虛擬 WAN 中樞計量顯示虛擬中樞的容量和輪輻 VM 使用率:路由基礎結構單位和輪輻 VM 使用率。 | 2024 年 8 月 | 輪輻 VM 使用率計量代表大約部署的輪輻 VM 數目,以中樞路由基礎結構單位可支援的輪輻 VM 總數百分比表示。 |
| 功能 | 路由 | 路由意圖 | 路由意圖是一種機制,可讓您設定虛擬 WAN,透過中樞內部署的安全性解決方案傳送私人或網際網路流量。 | 2023 年 5 月 | 路由意圖已在 Azure 公用雲端中正式推出。 如需相關資訊,請參閱其他限制文件。 |
| 功能 | 路由 | 虛擬中樞路由喜好設定 | 中樞路由喜好設定讓您能夠透過選取當虛擬中樞路由器在 S2S VPN、ER 及 SD-WAN NVA 連線之間學習多個路由時如何路由傳送流量的方式,更充分掌控基礎結構。 | 2022 年 10 月 | |
| 功能 | 路由 | 針對連線至虛擬 WAN 中樞的輪輻 VNet 內的工作負載略過下一個躍點 IP 已正式發行 | 針對連線至虛擬 WAN 中樞的輪輻 VNet 內的工作負載略過下一個躍點 IP,可讓您使用 NVA 部署和存取 VNet 中的其他資源,而不需任何其他設定。 | 2022 年 10 月 | |
| SKU/功能/驗證 | 路由 | BGP 端點 (正式發行) | 虛擬中樞路由器現在公開了與其對等連線的能力,因而可直接透過邊界閘道協定 (BGP) 路由通訊協定來交換路由資訊。 | 2022 年 6 月 | |
| 功能 | 路由 | 輪輻中透過 NVA 的 0.0.0.0/0 | 能夠將網際網路流量傳送至輪輻中的 NVA 以進行輸出。 | 2021 年 3 月 | 0.0.0.0/0 不會跨中樞散佈。 無法使用不同的下一個躍點 IP 位址來指定多個公用前置詞。 |
NVA 和整合式協力廠商解決方案
| 類型 | 面積圖 | 名稱 | 描述 | 新增日期 | 限制 |
|---|---|---|---|---|---|
| 功能 | 網路虛擬設備 (NVA)/虛擬 WAN 中樞內的整合式協力廠商解決方案 | 新一代防火牆 NVA 的網際網路輸入/DNAT 公開預覽 | 虛擬 WAN 中樞的網路虛擬設備目的地 NAT,可讓您將應用程式發佈至網際網路中的使用者,而且不必直接公開應用程式或伺服器的公用 IP。 取用者透過指派給防火牆網路虛擬設備的公用 IP 位址存取應用程式。 | 2024 年 2 月 | 支援 Fortinet 新一代防火牆 Check Point CloudGuard。 如需限制和考慮事項的完整清單,請參閱 DNAT 文件。 |
| 功能 | 軟體即服務 | Palo Alto Networks Cloud NGFW | Palo Alto Networks Cloud NGFW 已正式發行,這是第一個可在虛擬 WAN 中樞內部署的軟體即服務安全性供應項目。 | 2023 年 7 月 | Palo Alto Networks Cloud NGFW 現可在所有虛擬 WAN 中樞 (新版和舊版) 中部署。 如需限制和區域可用性的完整清單,請參閱 Palo Alto Networks Cloud NGFW 的限制。 與路由意圖相同的限制。 |
| 功能 | 網路虛擬設備 (NVA)/虛擬 WAN 中樞內的整合式協力廠商解決方案 | Fortinet NGFW | Fortinet NGFW 和 Fortinet SD-WAN/NGFW 雙重角色 NVA 已正式發行。 | 2023 年 5 月 | 與路由意圖相同的限制。 不支援網際網路輸入案例。 |
| 功能 | 網路虛擬設備 (NVA)/虛擬 WAN 中樞內的整合式協力廠商解決方案 | 適用於 Azure 虛擬 WAN 的 Check Point CloudGuard 網路安全性 | Check Point CloudGuard 網路安全性 NVA 已正式發行,可在所有 Azure 區域的虛擬 WAN 中樞內 Azure Marketplace 進行部署。 | 2023 年 5 月 | 與路由意圖相同的限制。 不支援網際網路輸入案例。 |
| 功能 | 網路虛擬設備 (NVA)/虛擬 WAN 中樞內的整合式協力廠商解決方案 | Versa SD-WAN | Versa SD-WAN 的預覽。 | 2021 年 11 月 | |
| 功能 | 網路虛擬設備 (NVA)/虛擬 WAN 中樞內的整合式協力廠商解決方案 | Cisco Viptela、Barracuda 及 VMware (Velocloud) SD-WAN | 已在虛擬 WAN 中正式發行 SD-WAN 解決方案。 | 2021 年 6 月/7 月 |
ExpressRoute
| 類型 | 面積圖 | 名稱 | 描述 | 新增日期 | 限制 |
|---|---|---|---|---|---|
| 功能 | ExpressRoute | ExpressRoute 計量可以匯出為診斷記錄 | 2023 年 4 月 | ||
| 功能 | ExpressRoute | ExpressRoute 線路頁面現在會顯示 vWAN 連線 | 2022 年 8 月 |
站對站
| 類型 | 面積圖 | 名稱 | 描述 | 新增日期 | 限制 |
|---|---|---|---|---|---|
| 功能 | 分支連線能力/站對站 VPN | 多重 APIPA BGP | 能夠為 vWAN 中的 VPN 閘道執行個體指定多個自訂 BGP IP。 | 2022 年 6 月 | 目前只能透過入口網站使用。 (PowerShell 中尚未提供) |
| 功能 | 分支連線能力/站對站 VPN | 自訂流量選取器 | 能夠指定哪個流量選取器可與站對站 VPN 閘道交涉配對 | 2022 年 5 月 | Azure 會針對所有遠端和本機前置詞配對交涉流量選取器。 您無法指定要交涉的個別流量選取器配對。 |
| 功能 | 分支連線能力/站對站 VPN | 站對站連線模式選項 | 能夠在建立新的 S2S 連線時,設定客戶或 vWAN 閘道是否應該起始站對站連線。 | 2022 年 2 月 | |
| 功能 | 分支連線能力/站對站 VPN | 封包擷取 | 客戶能夠在站對站 VPN 閘道上執行封包擷取。 | 2021 年 11 月 | |
| 功能 | 分支連線能力/站對站 VPN 遠端使用者連線能力/點對站 VPN |
針對 VPN 流量進行熱馬鈴薯路由和冷馬鈴薯路由傳送 | 能夠針對 Azure VPN 輸出流量指定 Microsoft 或 ISP POP 喜好設定。 如需詳細資訊,請參閱 Azure 中的路由喜好設定。 | 2021 年 6 月 | 此參數只能在閘道建立期間指定,且事後無法修改。 |
| 功能 | 分支連線能力/站對站 VPN | NAT | 能夠在站對站 VPN 分支之間,以及站對站 VPN 分支與 Azure 之間重疊位址的 NAT。 | 2021 年 3 月 | 原則型 VPN 連線不支援 NAT。 |
使用者 VPN (點對站)
| 類型 | 面積圖 | 名稱 | 描述 | 新增日期 | 限制 |
|---|---|---|---|---|---|
| 功能 | 遠端使用者連線能力/點對站 VPN | P2S 使用者 VPN 的使用者群組與 IP 位址集區 | 可設定 P2S 使用者 VPN,並根據使用者身分識別或驗證認證,從特定位址集區指派使用者 IP 位址。 | 2023 年 5 月 | |
| 功能 | 遠端使用者連線能力/點對站 VPN | 全域設定檔包含/排除 | 能夠將點對站閘道標示為「已排除」,這表示連線到全域設定檔的使用者將不會對該閘道進行負載平衡。 | 2022 年 2 月 | |
| 功能 | 遠端使用者連線能力/點對站 VPN | 針對 P2S VPN 強制進行通道作業 | 能夠強制所有流量進入 Azure 虛擬 WAN 以進行輸出。 | 2021 年 10 月 | 僅適用於 Azure VPN Client 2:1900:39.0 版或更新版本。 |
| 功能 | 遠端使用者連線能力/點對站 VPN | macOS Azure VPN Client | 適用於 macOS 的 Azure VPN Client 已正式發行。 | 2021 年 8 月 | |
| 功能 | 分支連線能力/站對站 VPN 遠端使用者連線能力/點對站 VPN |
針對 VPN 流量進行熱馬鈴薯路由和冷馬鈴薯路由傳送 | 能夠針對 Azure VPN 輸出流量指定 Microsoft 或 ISP POP 喜好設定。 如需詳細資訊,請參閱 Azure 中的路由喜好設定。 | 2021 年 6 月 | 此參數只能在閘道建立期間指定,且事後無法修改。 |
| 功能 | 遠端使用者連線能力/點對站 VPN | 遠端 RADIUS 伺服器 | P2S VPN 閘道能夠將驗證流量轉送到 VNet 中連線至不同中樞的 RADIUS 伺服器,或裝載於內部部署的 RADIUS 伺服器。 | 2021 年 4 月 | |
| 功能 | 遠端使用者連線能力/點對站 VPN | 雙重 RADIUS 伺服器 | 能夠指定主要和備份 RADIUS 伺服器來為驗證流量提供服務。 | 2021 年 3 月 | |
| 功能 | 遠端使用者連線能力/點對站 VPN | 自訂 IPsec 原則 | 能夠針對 IKEv2 點對站連線指定連線/加密參數。 | 2021 年 3 月 | 僅支援 IKEv2 型連線。 檢視可用參數的清單。 |
| SKU | 遠端使用者連線能力/點對站 VPN | 最多支援 10 萬個使用者連線到單一中樞 | 將連線到單一閘道的並行使用者數目上限提高到 100,000。 | 2021 年 3 月 | |
| 功能 | 遠端使用者連線能力/點對站 VPN | 多重驗證方法 | 讓單一閘道能夠使用多重驗證機制。 | 2023 年 6 月 | 支援可執行所有通訊協定組合的閘道。 請注意,Azure AD 驗證仍然需要使用 OpenVPN |
預覽
下列功能目前為受管制的公開預覽版。 如果您在依照列出的文章進行之後有任何疑問或需要支援,請連絡與該功能對應的連絡人別名 (如果有的話)。
| 預覽類型 | 功能 | 描述 | 連絡人別名 | 限制 |
|---|---|---|---|---|
| 受控預覽 | 路由對應 | 這項功能可讓您針對虛擬 WAN 中的路由,來執行路由彙總、路由篩選和修改 BGP 屬性。 | preview-route-maps@microsoft.com | 此處會顯示已知的限制:關於路由對應。 |
| 受控預覽 | Aruba EdgeConnect SD-WAN | 將 Aruba EdgeConnect SD-WAN NVA 部署至虛擬 WAN 中樞 | preview-vwan-aruba@microsoft.com |
已知問題
| # | 問題 | 描述 | 首次報告的日期 | 風險降低 |
|---|---|---|---|---|
| 1 | ExpressRoute 與 Azure 儲存體和 0.0.0.0/0 路由的連線 | 如果您已在虛擬中樞路由表內以靜態方式設定 0.0.0.0/0 路由,或透過網路虛擬設備以動態方式設定流量檢查,則流量會在目的地為 Azure 儲存體時略過檢查,且與虛擬中樞內的 ExpressRoute 閘道位於相同區域。 | 若要採取因應措施,您可以使用 Private Link 來存取 Azure 儲存體,或將 Azure 儲存體服務放在與虛擬中樞不同的區域中。 | |
| 2 | 預設路由 (0/0) 不會在中樞間傳播 | 0/0 路由不會在兩個虛擬 WAN 中樞之間傳播。 | 2020 年 6 月 | 無。 請注意:雖然虛擬 WAN 小組已修正此問題,但 VNet 對等互連頁面靜態路由區段中定義的靜態路由,會傳播至「傳播至路由表」中列出的路由表,或 VNet 連線頁面上列出的「傳播至路由表」標籤,預設路由 (0/0) 不會在中樞間傳播。 |
| 3 | 兩個 ExpressRoute 線路位於相同對等互連位置並連線至多個中樞 | 如果相同對等互連位置有兩個 ExpressRoute 線路,而且這兩個線路都連線到相同虛擬 WAN 中的多個虛擬中樞,則可能會影響您的 Azure 資源連線。 | 2023 年 7 月 | 請確定每個虛擬中樞至少已連線至 1 個虛擬網路。 這可確保連線至您的 Azure 資源。 虛擬 WAN 小組也正在修正此問題。 |
| 4 | ExpressRoute ECMP 支援 | 目前,虛擬中樞部署預設不會啟用 ExpressRoute ECMP。 多個 ExpressRoute 線路連線到虛擬 WAN 中樞時,ECMP 支援從輪輻虛擬網路到內部部署的流量,透過 ExpressRoute 分散到公告相同內部部署路由的所有 ExpressRoute 線路。 | 若要啟用虛擬 WAN 中樞的 ECMP,請連絡 virtual-wan-ecmp@microsoft.com。 | |
| 5 | 虛擬 WAN 中樞位址前置詞,不會向相同虛擬 WAN 中其他虛擬 WAN 中樞公告。 | 您無法利用虛擬 WAN 中樞到中樞的完整網路由功能,在部署於連線至虛擬 WAN 中樞之 VNET 或內部部署的 NVA 協調流程軟體,以及部署在不同虛擬 WAN 中樞的整合式 NVA 或 SaaS 解決方案之間提供連線。 | 如果您的 NVA 或 SaaS 協調器部署在內部部署,請將該內部部署網站連線到部署 NVA 或 SaaS 解決方案的所有虛擬 WAN 中樞。 如果您的協調器位於 Azure VNET 中,請使用公用 IP 管理 NVA 或 SaaS 解決方案。 對 Azure VNET 協調器的支援已列入藍圖規劃。 | |
| 6 | 設定路由意圖,在相同虛擬 WAN 中樞的連線和防火牆 NVA 之間路由傳送 | 虛擬 WAN 路由意圖私人路由原則,不支援 SD-WAN NVA 與部署在相同虛擬中樞之防火牆 NVA (或 SaaS 解決方案) 之間的路由。 | 在相同 Azure 區域兩個不同的中樞部署整合連線能力和防火牆的 NVA。 或者,將連線能力 NVA 部署到連線至虛擬 WAN 中樞的輪輻虛擬網路,並利用 BGP 對等互連。 | |
| 7 | 如果在部署後更新用於 BGP 對等互連的 ASN,則虛擬 WAN 中樞路由器與部署於虛擬 WAN 中樞的 NVA 之間不會出現 BGP。 | 虛擬中樞路由器預期中樞內的 NVA 會使用第一次部署 NVA 時在路由器上設定的 ASN。 更新與 NVA 資源上 NVA 相關聯的 ASN,並不會正確地向虛擬中樞路由器註冊新的 ASN,因此如果 NVA OS 設定為使用新的 ASN,路由器會拒絕來自 NVA 的 BGP 工作階段。 | 請使用正確的 ASN 刪除並重新建立虛擬 WAN 中樞中的 NVA。 | |
| 8 | 強制通道使用案例不支援從內部部署 (VPN、ExpressRoute、BGP 端點) 公告預設路由 (0.0.0.0.0/0),或在虛擬網路連線上以靜態方式設定。 | 從內部部署公告 (或在虛擬網路連線上以靜態方式設定) 的 0.0.0.0/0 路由不會套用至部署在虛擬 WAN 中樞的 Azure 防火牆或其他安全性解決方案。 由中樞內安全性解決方案檢查的封包會直接路由傳送至網際網路,略過從內部部署得知的路由 | 只有在非安全中樞案例中,才從內部部署發佈預設路由。 |
下一步
如需 Azure 虛擬 WAN 的詳細資訊,請參閱什麼是 Azure 虛擬 WAN 和常見問題集 - FAQ。