SDWAN 與 Azure 中樞和輪輻網路拓撲整合

Azure ExpressRoute

Azure VPN 閘道

Azure 虛擬網路

本文適用於想要設計軟體定義廣域網（SD-WAN）的網路架構設計人員，以彼此和 Azure 連線內部部署設施。 它描述一種架構，可讓 Azure 客戶藉由在 Microsoft 骨幹之上建置有效率的全球 SD-WAN 重疊，讓 Azure 客戶在平臺中使用其現有的投資。

適用的案例

本文中的建議與廠商無關，適用於符合兩個基本必要條件的任何非Microsoft SD-WAN 技術：

• 依賴使用傳輸控制通訊協定 （TCP） 或使用者數據報通訊協定 （UDP） 作為基礎傳輸的通道通訊協定，例如使用 NAT-Traversal 的通道模式 IPsec ESP。
• 邊界閘道通訊協定 （BGP） v4 支援與外部實體的路由交換。 未對非Microsoft SD-WAN 裝置用來交換彼此之間路由資訊的路由通訊協議沒有任何假設。

遵守這些建議的客戶可以使用其選擇的 SD-WAN 技術來達成下列目標：

• 藉由將 Azure 虛擬網絡 與 SD-WAN 裝置之間的路由交換自動化，將 SD-WAN 產品整合到現有的 Azure 中樞和輪輻網路。
• 針對具有本機因特網分組的分支，將連線能力優化（同時與 Azure 和內部部署數據中心）。 Microsoft骨幹的 觸達 能力，加上其容量、復原能力和“冷土豆”路由政策，表明它可以作為全球SD-WAN的高效能底線。
• 針對所有 Azure 對 Azure 流量使用Microsoft骨幹（跨區域和跨地理位置）。
• 使用現有的多通訊協定標籤切換 （MPLS） 網路作為高效能底線。 它也可以用來在階段式方法中取代現有的 MPLS 網路，以將業務的影響降到最低。

下列各節假設讀者熟悉 SD-WAN 範例 的基本概念，以及 Microsoft骨幹的架構。 Microsoft骨幹會將 Azure 區域彼此互連，並與公用因特網互連。

架構

具有全球狀態和多區域 Azure 使用量的組織通常會使用連線服務的組合來實作其公司網路，並連線到Microsoft骨幹：

• 專用連線服務，例如 MPLS 因特網通訊協定-虛擬-專用網（IPVPN），可用於最大的月臺，例如數據中心或總部。
• 大型月臺可以使用其中一個 支持的連線模型，透過 ExpressRoute 線路，包含Microsoft骨幹的專用連線能力。 更具體來說，月臺可以使用專用的點對點線路來連線到最近的 ExpressRoute 對等互連位置。 或者，它可以套用其 MPLS IPVPN 來存取 MPLS 電信業者所提供的 ExpressRoute 線路。
• 只有因特網連線的分公司可能會使用 IPsec VPN 連線到最接近的內部部署數據中心，並使用該數據中心的 ExpressRoute 連線來存取 Azure 資源。 或者，他們可能會使用 IPsec VPN 直接連線到 Azure 中樞和輪輻網路。

SD-WAN 專案在想要取代的傳統網路服務方面可以有不同的範圍。 某些組織可能想要堅持專用連結或適用於大型設施的 MPLS，並只部署 SD-WAN，以取代小型網站中的舊版因特網型 IPsec VPN。 其他組織可能想要將其 SD-WAN 擴充至 MPLS 連線的網站，並使用現有的 MPLS 網路作為高效能底線。 最後，某些組織可能會想要關閉其 MPLS IPVPN。 或任何專用連線服務，以採用 SD-WAN 範例。 如此一來，他們就可以將整個公司網路建置為公用或共用底線上的邏輯重疊（公用因特網和Microsoft骨幹）。

本文中所述的架構支援先前列出的所有範圍，且以下列原則為基礎：

• SD-WAN 裝置會部署為每個 Azure 區域的中樞和輪輻網路中的網路虛擬設備（NVA），並設定為 SD-WAN 中樞，以終止來自內部部署網站的通道。
• Azure 中的 SD-WAN 裝置會設定為彼此建立通道，從而建立完全網狀的中樞對中樞重疊，以有效率地在 Azure 區域之間傳輸流量，並在位於Microsoft骨幹的地理遙遠內部部署網站之間轉送流量。
• SD-WAN 裝置會部署在 SD-WAN 解決方案涵蓋的所有內部部署網站中，並設定為在最接近 Azure 區域中建立 SD-WAN NVA 的通道。 不同的月臺可以使用不同的傳輸服務作為通道的底線，例如公用因特網、ExpressRoute 連線等等。
• 從月臺到任何目的地的流量，無論是在 Azure 中，還是在另一個內部部署網站中，會路由傳送至最接近 Azure 區域中的 SD-WAN NVA。 然後它會透過中樞對中樞重迭路由傳送。

SD-WAN 產品可以使用專屬通訊協定和功能來偵測，一旦動態建立，兩個月臺之間的直接通道可以提供比透過 Azure 中的 SD-WAN NVA 轉送流量更好的效能。

下圖顯示全域 SD-WAN 的高階架構，其使用Microsoft骨幹、公用因特網和專用 ER 連線，如底圖所示。

圖 1：全域 SD-WAN 的高階架構，其使用Microsoft骨幹、公用因特網和專用 ER 連線作為底線。黑色虛線顯示兩個內部部署網站之間的流量如何透過部署在靠近網站的 Azure 區域中 SD-WAN NVA 路由傳送。Microsoft骨幹，由於其觸達，容量和“冷土豆”路由政策可能導致比公共互聯網好得多/可預測的效能，特別是長途連線。

Azure 中樞和輪輻網路中 SD-WAN 產品

本節提供將非Microsoft SD-WAN CPE 裝置部署為現有中樞和輪輻 Azure 網路中 NVA 的建議。

中樞虛擬網路中的SD-WAN NVA

中樞和輪輻是Microsoft建議使用客戶管理的虛擬網路在 Azure 區域中建置可調整網路的拓撲。 中樞虛擬網路會裝載共享元件，例如非Microsoft NVA 和原生服務，以提供網路功能，例如防火牆、負載平衡，以及透過月臺-2 月臺 VPN 或 ExpressRoute 連線至內部部署網站。 中樞虛擬網路是SD-WAN NVA 的自然位置，最終是非Microsoft閘道，可提供遠端訪問的遠端網路。

SD-WAN NVA 應該部署在中樞虛擬網路中，如下所示：

• 一個單一網路介面控制器 （NIC） 用於所有 SD-WAN 流量。 您可以新增其他 NIC，例如管理 NIC，以符合安全性和合規性需求，或遵守 Azure 部署的廠商指導方針。
• 用於 SD-WAN 流量的 NIC 必須附加至專用子網。 此子網的大小必須根據部署以符合高可用性的 SD-WAN NVA 數目和調整或輸送量需求來定義，本文稍後會討論。
• 網路安全組 （NSG） 必須與 SD-WAN 流量 NIC 直接或子網層級相關聯。 此關聯允許透過 SD-WAN 解決方案所使用的 TCP/UDP 連接埠，從遠端內部部署月台連線。
• 必須在用於 SD-WAN 流量的 NIC 上啟用 IP 轉送。

中樞虛擬網路中的 Azure 路由伺服器

Azure 路由伺服器會將 SD-WAN NVA 與 Azure 軟體定義網路 （SDN） 堆疊之間的路由交換自動化。 路由伺服器支援 BGP 作為動態路由通訊協定。 藉由建立路由伺服器與 SD-WAN NVA 之間的 BGP 相鄰專案：

• 連線至 SD-WAN 的所有內部部署月臺路由會插入虛擬網路的路由表中，並由所有 Azure VM 學習。
• 虛擬網路位址空間中包含的所有IP前綴路由會傳播至所有SD-WAN 連線的網站。

路由伺服器應該設定如下。

• 它必須根據使用 Azure 入口網站建立 和設定路由伺服器，部署在中樞虛擬網路的專用子網中。
• 若要啟用所有輪輻虛擬網路的自動路由交換，虛擬網路對等互連必須設定為允許輪輻虛擬網路使用中樞虛擬網路的網關和路由伺服器。 Azure 路由伺服器常見問題中提供的詳細數據。
• 由於路由伺服器和 SD-WAN NVA 會連結至不同的子網，路由伺服器與 SD-WAN NVA 之間的 BGP 會話必須設定為 eBGP 多hop 支援。 您可以在 2 到 SD-WAN NVA 支援的最大值之間設定任意數目的躍點。 如需設定路由伺服器 BGP 相鄰專案的詳細數據，請參閱 使用 Azure 入口網站建立及設定路由伺服器。
• 路由伺服器所公開 BGP 端點的 SD-WAN NVA 上必須設定兩 /32 個靜態路由。 此組態可確保 NVA 的路由表一律包含其多hop （未直接連線） BGP 對等互連的路由。

路由伺服器不在數據路徑中。 它是控制平面實體。 它會在 SD-WAN NVA 與虛擬網路 SDN 堆疊之間傳播路由，但 SD-WAN NVA 與虛擬網路中虛擬機之間的實際流量轉送是由 Azure SDN 堆疊完成，如下圖所示。 若要取得此路由行為，路由伺服器會插入它從 SD-WAN NVA 學習的所有路由，並將下一個躍點設定為 NVA 自己的位址。

路由伺服器目前不支援 IPv6。 此架構僅適用於 IPv4。

圖 2.路由伺服器支援 SD-WAN CPE 與虛擬網路 SDN 堆棧之間的路由傳播，但不會轉送 SD-WAN CPE 與虛擬網路中虛擬機之間的流量。

具有路由伺服器的 SD-WAN NVA 高可用性

路由伺服器具有內建HA。 兩個計算節點會備份路由伺服器的單一實例。 它們會部署到不同的可用性區域、具有可用性區域支援的區域，或部署在相同的可用性設定組中。 它們會公開兩個 BGP 端點。 SD-WAN NVA 的 HA 是藉由在不同可用性區域中部署多個實例、針對支援它們的區域，或在同一個可用性設定組中達成。 每個 SD-WAN NVA 都會建立兩個 BGP 工作階段，且兩個端點都由路由伺服器公開。

本文所述的架構並不依賴 Azure Load Balancer。 更明確地說：

• 沒有公用負載平衡器公開 SD-WAN 通道端點。 每個 SD-WAN NVA 都會公開自己的通道端點。 遠端對等會建立多個通道，每個 SD-WAN NVA 在 Azure 中各建立一個通道。

• 沒有內部負載平衡器會將 Azure VM 產生的流量分散到 SD-WAN NVA。 路由伺服器和 Azure SDN 堆疊支援等成本多重路徑 （ECMP） 路由。 如果多個 NVA 設定與路由伺服器相鄰的 BGP，並使用相同程度的喜好設定來宣告相同目的地的路由（如 in、遠端網路和連線至 SD-WAN 的網站），路由伺服器：

  • 在虛擬網路的路由表中插入這些目的地的多個路由。
  • 設定每個路由，以使用不同的 NVA 作為下一個躍點。

接著，SDN 堆疊會將流量分散到所有可用的下一個躍點。

下圖顯示產生的 HA 架構：

圖 3.路由伺服器支援 Equal-Cost 多重路徑 （ECMP） 路由。當多個 SD-WAN NVA 用於可用性和/或延展性用途時，不需要 Azure Load Balancer。

N-active 與作用中的待用高可用性

當您使用多個 SD-WAN NVA 並與路由伺服器對等互連時，BGP 會驅動故障轉移。 如果 SD-WAN NVA 離線，它會停止將公告路由傳送至路由伺服器。 從失敗裝置學習的路由接著會從虛擬網路的路由表中取出。 因此，如果 SD-WAN NVA 不再因為故障、裝置本身或底層中的故障而無法再連線到遠端 SD-WAN 網站，它就不會再向虛擬網路路由表中的遠端月台顯示下一個躍點。 所有流量都會流向其餘狀況良好的裝置。 如需 SD-WAN NVA 與路由伺服器之間路由傳播的詳細資訊，請參閱 BGP 對等互連對路由伺服器所公告的路由。

圖 4.BGP 驅動故障轉移。如果 SD-WAN NVA #0 離線，其 BGP 工作階段會關閉路由伺服器。SD-WAN NVA #0 會從虛擬網路的路由表中移除，作為從 Azure 到內部部署網站流量的下一個躍點。

BGP 驅動的故障轉移和 ECMP 路由自然會啟用 N 個裝置同時處理流量的 N 主動 HA 架構。 但您也可以使用 BGP 來實作主動和被動 HA 架構：將被動裝置設定為將路由傳送至路由伺服器，其喜好設定程度低於其主動對等。 如果路由伺服器從主動裝置接收來自主動裝置的任何路由，則路由伺服器會捨棄從主動裝置接收的任何路由，且喜好設定程度較高。 而且只會將虛擬網路路由表中的後者路由傳送。

如果作用中的裝置失敗或撤銷其部分路由，路由伺服器：

• 選取被動裝置所宣告的對應路由。
• 將虛擬網路路由表中的路由傾倒。

SD-WAN NVA 唯一可用來表達他們宣告為路由伺服器之路由的喜好設定程度為 AS Path 的 BGP 屬性。

我們建議使用 N-active HA 架構，因為它們可啟用最佳資源使用（沒有獨立 SD-WAN NVA）和水準延展性。 為了增加輸送量，多個 NVA 可以平行執行，最多可達路由伺服器所支援的 BGP 對等互連數目上限。 如需詳細資訊，請參閱 BGP 對等互連。 但 N-active HA 模型需要 SD-WAN NVA 作為無狀態、第 3 層路由器。 當月臺有多個通道存在時，TCP 連線可以非對稱方式路由傳送。 也就是說，相同 TCP 連線的 ORIGINAL 和 REPLY 流程可以透過不同的通道和不同的 NVA 路由傳送。 下圖顯示非對稱路由 TCP 連線的範例。 在虛擬網路或內部部署網站上起始的 TCP 連線，可能會有這類路由不對稱。

圖 5.主動/主動HA架構中的非對稱路由。SD-WAN NVA #0 和 SD-WAN NVA #1 宣告目的地 192.168.1.0/24 SD-WAN 的相同路由，且路徑長度與路由伺服器相同的 AS 路徑長度。原始流程（從 SD-WAN 遠端月臺到 Azure，紅色路徑）會透過 Azure 端的信道路由傳送，由 SD-WAN NVA #1 終止。內部部署 SD-WAN CPE 會選取此通道。根據虛擬網路的路由表，Azure SDN 堆疊會將 REPLY 流程（從 Azure 路由傳送至遠端 SD-WAN 網站、綠色路徑）路由至 SD-WAN NVA #0，這是 192.168.1.0/24 的可能下一個躍點之一。無法保證 Azure SDN 堆疊選擇的下一個躍點一律與接收原始流程的 CPE SD-WAN 相同。

只有在 Azure 中的 SD-WAN NVA 執行其他需要路由對稱的網路功能，例如具狀態防火牆時，才應考慮主動和被動 HA 架構。 我們不建議這種方法，因為它對延展性的影響。 在 SD-WAN NVA 上執行更多網路功能會增加資源耗用量。 同時，主動和被動HA架構允許在任何時間點有一個單一 NVA處理流量。 也就是說，整個 SD-WAN 層只能相應增加至其支援的 Azure VM 大小上限，而不是相應放大。在依賴標準 Load Balancer 進行 n-active HA 的個別 NVA 叢集上執行需要路由對稱的具狀態網路函式。

ExpressRoute 連線考慮

本文所述的架構可讓客戶完全接受 SD-WAN 架構，並將其公司網路建置為公用因特網和Microsoft骨幹上的邏輯重疊。 它也支援使用專用的 Expressroute 線路來解決特定案例，如稍後所述。

案例 #1：ExpressRoute 和 SD-WAN 共存

當 SD-WAN 裝置部署在月臺子集時，SD-WAN 解決方案可以與 ExpressRoute 連線共存。 例如，某些組織可能會部署 SD-WAN 解決方案，以取代只有因特網連線能力的網站中的傳統 IPsec VPN。 然後，他們會針對大型月臺和數據中心使用 MPLS 服務和 ExpressRoute 線路，如下圖所示。

圖 6.SD-WAN 解決方案只有在月臺子集中部署 SD-WAN CPE 裝置時，才能與 ExpressRoute 連線共存。

此共存案例需要部署在 Azure 中的 SD-WAN NVA，才能在連線到 SD-WAN 的網站和連線至 ExpressRoute 線路的網站之間路由傳送流量。 路由伺服器可以設定為在 ExpressRoute 虛擬網路閘道與 Azure 中 SD-WAN NVA 之間傳播路由，方法是啟用 AllowBranchToBranch 此功能， 如這裡所述。 ExpressRoute 虛擬網路閘道與 SD-WAN NVA 之間的路由傳播會透過 BGP 進行。 路由伺服器會同時建立 BGP 工作階段，並將路由傳播至另一個路由所學習的每個對等。 平臺會管理路由伺服器與 ExpressRoute 虛擬網路閘道之間的 BGP 工作階段。 使用者不需要明確設定它們，但只會在部署路由伺服器時啟用 AllowBranchToBranch 旗標。

圖 7.ExpressRoute 虛擬網路閘道與 SD-WAN NVA 之間的路由傳播會透過 BGP 發生。路由伺服器會使用 兩者建立 BGP 工作階段，並在設定為 「AllowBranchToBranch=TRUE」 時，以雙向傳播路由。路由伺服器可作為路由反映器，也就是說，它不屬於數據路徑的一部分。

此 SD-WAN 和 ExpressRoute 共存案例可讓從 MPLS 網路移轉至 SD-WAN。 它提供舊版 MPLS 月臺與新移轉 SD-WAN 月臺之間的路徑，而不需要透過內部部署資料中心路由傳送流量。 這種模式不僅可在移轉期間使用，也可以在公司合併和收購產生的案例中使用，以提供不同網路的無縫互連。

案例 #2：Expressroute 作為 SD-WAN 底線

如果您的內部部署網站具有 ExpressRoute 連線能力，您可以設定 SD-WAN 裝置，以在 ExpressRoute 線路或線路上，設定在 Azure 中執行的 SD-WAN 中樞 NVA 的通道。 ExpressRoute 連線可以透過點對點線路或 MPLS 網路來完成。 您可以使用 ExpressRoute 私人對等互連和Microsoft對等互連。

私人對等互連

當您使用 ExpressRoute 私人對等互連作為底線時，所有內部部署 SD-WAN 網站都會建立 Azure 中 SD-WAN 中樞 NVA 的通道。 在此案例中，不需要 SD-WAN NVA 與 ExpressRoute 虛擬網路閘道之間的路由傳播（也就是路由伺服器必須設定為 false 的 “AllowBranchToBranch” 旗標）。

此方法需要在終止 ExpressRoute 連線的客戶或提供者端路由器上進行適當的 BGP 設定。 事實上，Microsoft Enterprise Edge Routers （MSE） 會宣告連線到線路的虛擬網路的所有路由（直接或透過 虛擬網路對等互連）。 但為了透過 SD-WAN 通道將目的地為虛擬網路的流量轉送，內部部署網站應該瞭解來自 SD-WAN 裝置的這些路由，而不是 ER 線路。

因此，終止 ExpressRoute 連線的用戶端或提供者端路由器必須篩選掉從 Azure 收到的路由。 下層中設定的唯一路由應該是允許內部部署 SD-WAN 裝置連線到 Azure 中的 SD-WAN 中樞 NVA 的路由。 想要使用 ExpressRoute 私人對等互連作為 SD-WAN 底線的客戶，應該確認他們是否可以據以設定其路由裝置。 這樣做特別與沒有直接控制 ExpressRoute 邊緣裝置的客戶相關。 例如，當 ExpressRoute 線路由 IPVPN 服務頂端的 MPLS 電信業者提供時。

圖 8.ExpressRoute 私人對等互連作為 SD-WAN 底線。在此案例中，客戶和提供者端路由器會在 ER 私人對等互連 BGP 工作階段和 SD-WAN CPE 中，接收終止 ExpressRoute 連線之虛擬網路的路由。只有 SD-WAN CPE 應該將 Azure 路由傳播到網站的 LAN。

Microsoft 對等互連

您也可以使用 ExpressRoute Microsoft對等互連作為 SD-WAN 通道的底線。 在此案例中，Azure 中的 SD-WAN 中樞 NVA 只會公開公用通道端點，這兩個 SD-WAN CPU 都用於因特網連線網站、如果有的話，以及 Expressroute 連線站台中的 SD-WAN CPE。 雖然 ExpressRoute Microsoft對等互連具有比私人對等互連更複雜的必要條件，但建議您使用此選項作為底線，因為有下列兩個優點：

• 它不需要中樞虛擬網路中的 Expressroute 虛擬網路閘道。 它可移除複雜度、降低成本，並讓 SD-WAN 解決方案在不使用 ExpressRoute FastPath 時，調整超過閘道本身的頻寬限制。

• 它提供重疊和底層路由之間的全新分隔。 MSE 只會向客戶或提供者邊緣宣告Microsoft網路的公用前置詞。 您可以在個別的 VRF 中管理這些路由，並只傳播至月臺 LAN 的 DMZ 區段。 SD-WAN 裝置會在重疊中傳播客戶公司網路的路由，包括虛擬網路的路由。 考慮此方法的客戶應確認他們可以據以設定其路由裝置，或向其 MPLS 電信業者要求適當的服務。

MPLS 考慮

從傳統 MPLS 公司網路移轉至以 SD-WAN 架構為基礎的更現代化網路架構，需要大量精力和相當長的時間。 本文所述的架構可啟用階段式 SD-WAN 移轉。 稍後會討論兩個典型的移轉案例。

階段式 MPLS 解除委任

想要在公用因特網和Microsoft骨幹之上建置 SD-WAN，並完全解除委任 MPLS IPVPN 或其他專用連線服務的客戶，可以使用移轉期間上一節所述的 ExpressRoute 和 SD-WAN 共存案例 。 它可讓SD-WAN 連線的網站連線到仍連線至舊版 MPLS 的網站。 一旦月臺移轉至 SD-WAN 和 CPE 裝置部署，就可以解除委任其 MPLS 連結。 月臺可以透過其 SD-WAN 通道存取整個公司網路，以連線到最接近的 Azure 區域。

圖 9.「ExpressRoute 和 SD-WAN 共存」案例可啟用階段式 MPLS 解除委任。

移轉所有月臺時，MPLS IPVPN 可以解除委任，以及將它連線到Microsoft骨幹的 ExpressRoute 線路。 不再需要 ExpressRoute 虛擬網路閘道，而且可以取消布建。 每個區域中的 SD-WAN 中樞 NVA 會成為該區域中樞和輪輻網路的唯一進入點。

MPLS 整合

不信任公用和共享網路以提供所需效能和可靠性的組織，可能會決定使用現有的 MPLS 網路作為企業級底線。 兩個選項包括：

• 數據中心或大型分公司等網站的子集。
• 連線子集，通常是延遲敏感或任務關鍵流量。

Expressroute 作為先前所述的 SD-WAN 底線案例可啟用 SD-WAN 和 MPLS 整合。 ExpressRoute Microsoft對等互連應該優先於私人對等互連，因為先前討論的原因。 此外，當使用Microsoft對等互連時，MPLS 網路和公用因特網會變成功能上對等的底層。 它們提供 Azure 中 SD-WAN 中樞 NVA 所公開之所有 SD-WAN 通道端點的存取權。 部署在具有因特網和 MPLS 連線的站台中的 SD-WAN CPE 可以在兩個底線上建立多個通道至 Azure 中的 SD-WAN 中樞。 然後，他們可以根據 SD-WAN 控制平面所管理的應用程式層級原則，透過不同的信道路由傳送不同的連線。

圖 10.「ExpressRoute 作為 SD-WAN 底線」案例可啟用 SD-WAN 和 MPLS 整合。

路由伺服器路由喜好設定

在前兩節涵蓋的兩個 MPLS 案例中，某些分支月臺可以同時連線到 MPLS IPVPN 和 SD-WAN。 因此，部署在中樞虛擬網路中的路由伺服器實例可以從 ExpressRoute 閘道和 SD-WAN NVA 學習相同的路由。 路由伺服器路由喜好設定允許控制應慣用的路徑，並管線傳送至虛擬網路的路由表。 當無法使用 AS Path 前面時，路由喜好設定很有用。 例如，MPLS IPVPN 服務不支持終止 ExpressRoute 連線之 PES 上的自定義 BGP 設定。

路由伺服器限制和設計考慮

路由伺服器是本文中所述架構的基石。 它會在虛擬網路中部署的 SD-WAN NVA 與基礎 Azure SDN 堆疊之間傳播路由。 它提供 BGP 型方法來執行多個 SD-WAN NVA，以提供高可用性和水準延展性。 當您根據此架構設計大型 SD-WANs 時， 路由伺服器的延展性限制 必須納入考慮。

下列各節提供延展性上限的指引，以及如何處理每個限制。

BGP 對等互連對路由伺服器公告的路由

路由伺服器不會定義在設定旗標時AllowBranchToBranch可公告至 ExpressRoute 虛擬網絡 閘道的路由數目明確限制。 不過，ExpressRoute 閘道會進一步將他們從路由伺服器學習的路由傳播至所連線的 ExpressRoute 線路。

ExpressRoute 閘道可以透過私人對等互連向 ExpressRoute 線路公告的路由數目有限制，這些路由記載於 Azure 訂用帳戶和服務限制、配額和限制。 根據本文中的指引設計 SD-WAN 解決方案時，請務必確保 SD-WAN 路由不會造成達到此限制。 如果達到，ExpressRoute 閘道與 ExpressRoute 線路之間的 BGP 會話會遭到捨棄，而虛擬網路與透過 ExpressRoute 連線的遠端網路之間的連線就會遺失。

ExpressRoute 網關公告至線路的路由總數，是路由伺服器學習的路由數目和構成 Azure 中樞和輪輻網路地址空間的前置詞數目的總和。 若要避免因為 BGP 會話中斷，建議您實作下列風險降低措施：

• 如果使用此功能，請使用原生 SD-WAN 裝置的功能來限制路由伺服器所宣佈的路由數目。
• 使用 Azure 監視器警示 來主動偵測 ExpressRoute 閘道所宣佈路由數目的尖峰。 要監視的計量會命名為 已公告至對等的路由計數，如 ExpressRoute 監視中所述。

BGP 對等

路由伺服器可以建立最多 BGP 對等互連數目的 BGP 會話。 此限制會決定可與路由伺服器建立 BGP 相鄰的 SD-WAN NVA 數目上限，因此可跨所有 SD-WAN 通道支援的最大匯總輸送量。 只有大型SD-WAN 才會達到此限制。 除了建立多個中樞和輪輻網路之外，沒有因應措施可以克服，每個網路都有自己的網關和路由伺服器。

參與的 VM

虛擬網絡 閘道和路由伺服器會針對自己的虛擬網路和直接對等互連虛擬網路中的所有 VM，設定他們從遠端對等互連學習的路由。 為了保護路由伺服器免於因為路由更新至 VM 而耗用過多的資源，Azure 會定義單一中樞和輪輻網路中可存在的 VM 數目限制。 除了在相同區域中建立多個中樞和輪輻網路之外，沒有因應措施可以克服此限制。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主要作者：

• Federico Guerrini |資深雲端解決方案架構師
• Khush Kaviraj |雲端解決方案架構師

若要查看非公用LinkedIn配置檔，請登入LinkedIn。

下一步

• Microsoft優化架構框架

相關資源

• 使用 ExpressRoute 將內部部署網路連線至 Azure
• 部署高可用性 NVA

本文適用於想要設計軟體定義廣域網（SD-WAN）的網路架構設計人員，以彼此和 Azure 連線內部部署設施。 它描述一種架構，可讓 Azure 客戶藉由在 Microsoft 骨幹之上建置有效率的全球 SD-WAN 重疊，讓 Azure 客戶在平臺中使用其現有的投資。

適用的案例

本文中的建議與廠商無關，適用於符合兩個基本必要條件的任何非Microsoft SD-WAN 技術：

• 依賴使用傳輸控制通訊協定 （TCP） 或使用者數據報通訊協定 （UDP） 作為基礎傳輸的通道通訊協定，例如使用 NAT-Traversal 的通道模式 IPsec ESP。
• 邊界閘道通訊協定 （BGP） v4 支援與外部實體的路由交換。 未對非Microsoft SD-WAN 裝置用來交換彼此之間路由資訊的路由通訊協議沒有任何假設。

遵守這些建議的客戶可以使用其選擇的 SD-WAN 技術來達成下列目標：

• 藉由將 Azure 虛擬網絡 與 SD-WAN 裝置之間的路由交換自動化，將 SD-WAN 產品整合到現有的 Azure 中樞和輪輻網路。
• 針對具有本機因特網分組的分支，將連線能力優化（同時與 Azure 和內部部署數據中心）。 Microsoft骨幹的 觸達 能力，加上其容量、復原能力和“冷土豆”路由政策，表明它可以作為全球SD-WAN的高效能底線。
• 針對所有 Azure 對 Azure 流量使用Microsoft骨幹（跨區域和跨地理位置）。
• 使用現有的多通訊協定標籤切換 （MPLS） 網路作為高效能底線。 它也可以用來在階段式方法中取代現有的 MPLS 網路，以將業務的影響降到最低。

下列各節假設讀者熟悉 SD-WAN 範例 的基本概念，以及 Microsoft骨幹的架構。 Microsoft骨幹會將 Azure 區域彼此互連，並與公用因特網互連。

架構

具有全球狀態和多區域 Azure 使用量的組織通常會使用連線服務的組合來實作其公司網路，並連線到Microsoft骨幹：

• 專用連線服務，例如 MPLS 因特網通訊協定-虛擬-專用網（IPVPN），可用於最大的月臺，例如數據中心或總部。
• 大型月臺可以使用其中一個 支持的連線模型，透過 ExpressRoute 線路，包含Microsoft骨幹的專用連線能力。 更具體來說，月臺可以使用專用的點對點線路來連線到最近的 ExpressRoute 對等互連位置。 或者，它可以套用其 MPLS IPVPN 來存取 MPLS 電信業者所提供的 ExpressRoute 線路。
• 只有因特網連線的分公司可能會使用 IPsec VPN 連線到最接近的內部部署數據中心，並使用該數據中心的 ExpressRoute 連線來存取 Azure 資源。 或者，他們可能會使用 IPsec VPN 直接連線到 Azure 中樞和輪輻網路。

SD-WAN 專案在想要取代的傳統網路服務方面可以有不同的範圍。 某些組織可能想要堅持專用連結或適用於大型設施的 MPLS，並只部署 SD-WAN，以取代小型網站中的舊版因特網型 IPsec VPN。 其他組織可能想要將其 SD-WAN 擴充至 MPLS 連線的網站，並使用現有的 MPLS 網路作為高效能底線。 最後，某些組織可能會想要關閉其 MPLS IPVPN。 或任何專用連線服務，以採用 SD-WAN 範例。 如此一來，他們就可以將整個公司網路建置為公用或共用底線上的邏輯重疊（公用因特網和Microsoft骨幹）。

本文中所述的架構支援先前列出的所有範圍，且以下列原則為基礎：

• SD-WAN 裝置會部署為每個 Azure 區域的中樞和輪輻網路中的網路虛擬設備（NVA），並設定為 SD-WAN 中樞，以終止來自內部部署網站的通道。
• Azure 中的 SD-WAN 裝置會設定為彼此建立通道，從而建立完全網狀的中樞對中樞重疊，以有效率地在 Azure 區域之間傳輸流量，並在位於Microsoft骨幹的地理遙遠內部部署網站之間轉送流量。
• SD-WAN 裝置會部署在 SD-WAN 解決方案涵蓋的所有內部部署網站中，並設定為在最接近 Azure 區域中建立 SD-WAN NVA 的通道。 不同的月臺可以使用不同的傳輸服務作為通道的底線，例如公用因特網、ExpressRoute 連線等等。
• 從月臺到任何目的地的流量，無論是在 Azure 中，還是在另一個內部部署網站中，會路由傳送至最接近 Azure 區域中的 SD-WAN NVA。 然後它會透過中樞對中樞重迭路由傳送。

SD-WAN 產品可以使用專屬通訊協定和功能來偵測，一旦動態建立，兩個月臺之間的直接通道可以提供比透過 Azure 中的 SD-WAN NVA 轉送流量更好的效能。

下圖顯示全域 SD-WAN 的高階架構，其使用Microsoft骨幹、公用因特網和專用 ER 連線，如底圖所示。

圖 1：全域 SD-WAN 的高階架構，其使用Microsoft骨幹、公用因特網和專用 ER 連線作為底線。黑色虛線顯示兩個內部部署網站之間的流量如何透過部署在靠近網站的 Azure 區域中 SD-WAN NVA 路由傳送。Microsoft骨幹，由於其觸達，容量和“冷土豆”路由政策可能導致比公共互聯網好得多/可預測的效能，特別是長途連線。

Azure 中樞和輪輻網路中 SD-WAN 產品

本節提供將非Microsoft SD-WAN CPE 裝置部署為現有中樞和輪輻 Azure 網路中 NVA 的建議。

中樞虛擬網路中的SD-WAN NVA

中樞和輪輻是Microsoft建議使用客戶管理的虛擬網路在 Azure 區域中建置可調整網路的拓撲。 中樞虛擬網路會裝載共享元件，例如非Microsoft NVA 和原生服務，以提供網路功能，例如防火牆、負載平衡，以及透過月臺-2 月臺 VPN 或 ExpressRoute 連線至內部部署網站。 中樞虛擬網路是SD-WAN NVA 的自然位置，最終是非Microsoft閘道，可提供遠端訪問的遠端網路。

SD-WAN NVA 應該部署在中樞虛擬網路中，如下所示：

• 一個單一網路介面控制器 （NIC） 用於所有 SD-WAN 流量。 您可以新增其他 NIC，例如管理 NIC，以符合安全性和合規性需求，或遵守 Azure 部署的廠商指導方針。
• 用於 SD-WAN 流量的 NIC 必須附加至專用子網。 此子網的大小必須根據部署以符合高可用性的 SD-WAN NVA 數目和調整或輸送量需求來定義，本文稍後會討論。
• 網路安全組 （NSG） 必須與 SD-WAN 流量 NIC 直接或子網層級相關聯。 此關聯允許透過 SD-WAN 解決方案所使用的 TCP/UDP 連接埠，從遠端內部部署月台連線。
• 必須在用於 SD-WAN 流量的 NIC 上啟用 IP 轉送。

中樞虛擬網路中的 Azure 路由伺服器

Azure 路由伺服器會將 SD-WAN NVA 與 Azure 軟體定義網路 （SDN） 堆疊之間的路由交換自動化。 路由伺服器支援 BGP 作為動態路由通訊協定。 藉由建立路由伺服器與 SD-WAN NVA 之間的 BGP 相鄰專案：

• 連線至 SD-WAN 的所有內部部署月臺路由會插入虛擬網路的路由表中，並由所有 Azure VM 學習。
• 虛擬網路位址空間中包含的所有IP前綴路由會傳播至所有SD-WAN 連線的網站。

路由伺服器應該設定如下。

• 它必須根據使用 Azure 入口網站建立 和設定路由伺服器，部署在中樞虛擬網路的專用子網中。
• 若要啟用所有輪輻虛擬網路的自動路由交換，虛擬網路對等互連必須設定為允許輪輻虛擬網路使用中樞虛擬網路的網關和路由伺服器。 Azure 路由伺服器常見問題中提供的詳細數據。
• 由於路由伺服器和 SD-WAN NVA 會連結至不同的子網，路由伺服器與 SD-WAN NVA 之間的 BGP 會話必須設定為 eBGP 多hop 支援。 您可以在 2 到 SD-WAN NVA 支援的最大值之間設定任意數目的躍點。 如需設定路由伺服器 BGP 相鄰專案的詳細數據，請參閱 使用 Azure 入口網站建立及設定路由伺服器。
• 路由伺服器所公開 BGP 端點的 SD-WAN NVA 上必須設定兩 /32 個靜態路由。 此組態可確保 NVA 的路由表一律包含其多hop （未直接連線） BGP 對等互連的路由。

路由伺服器不在數據路徑中。 它是控制平面實體。 它會在 SD-WAN NVA 與虛擬網路 SDN 堆疊之間傳播路由，但 SD-WAN NVA 與虛擬網路中虛擬機之間的實際流量轉送是由 Azure SDN 堆疊完成，如下圖所示。 若要取得此路由行為，路由伺服器會插入它從 SD-WAN NVA 學習的所有路由，並將下一個躍點設定為 NVA 自己的位址。

路由伺服器目前不支援 IPv6。 此架構僅適用於 IPv4。

圖 2.路由伺服器支援 SD-WAN CPE 與虛擬網路 SDN 堆棧之間的路由傳播，但不會轉送 SD-WAN CPE 與虛擬網路中虛擬機之間的流量。

具有路由伺服器的 SD-WAN NVA 高可用性

路由伺服器具有內建HA。 兩個計算節點會備份路由伺服器的單一實例。 它們會部署到不同的可用性區域、具有可用性區域支援的區域，或部署在相同的可用性設定組中。 它們會公開兩個 BGP 端點。 SD-WAN NVA 的 HA 是藉由在不同可用性區域中部署多個實例、針對支援它們的區域，或在同一個可用性設定組中達成。 每個 SD-WAN NVA 都會建立兩個 BGP 工作階段，且兩個端點都由路由伺服器公開。

本文所述的架構並不依賴 Azure Load Balancer。 更明確地說：

• 沒有公用負載平衡器公開 SD-WAN 通道端點。 每個 SD-WAN NVA 都會公開自己的通道端點。 遠端對等會建立多個通道，每個 SD-WAN NVA 在 Azure 中各建立一個通道。

• 沒有內部負載平衡器會將 Azure VM 產生的流量分散到 SD-WAN NVA。 路由伺服器和 Azure SDN 堆疊支援等成本多重路徑 （ECMP） 路由。 如果多個 NVA 設定與路由伺服器相鄰的 BGP，並使用相同程度的喜好設定來宣告相同目的地的路由（如 in、遠端網路和連線至 SD-WAN 的網站），路由伺服器：

  • 在虛擬網路的路由表中插入這些目的地的多個路由。
  • 設定每個路由，以使用不同的 NVA 作為下一個躍點。

接著，SDN 堆疊會將流量分散到所有可用的下一個躍點。

下圖顯示產生的 HA 架構：

圖 3.路由伺服器支援 Equal-Cost 多重路徑 （ECMP） 路由。當多個 SD-WAN NVA 用於可用性和/或延展性用途時，不需要 Azure Load Balancer。

N-active 與作用中的待用高可用性

當您使用多個 SD-WAN NVA 並與路由伺服器對等互連時，BGP 會驅動故障轉移。 如果 SD-WAN NVA 離線，它會停止將公告路由傳送至路由伺服器。 從失敗裝置學習的路由接著會從虛擬網路的路由表中取出。 因此，如果 SD-WAN NVA 不再因為故障、裝置本身或底層中的故障而無法再連線到遠端 SD-WAN 網站，它就不會再向虛擬網路路由表中的遠端月台顯示下一個躍點。 所有流量都會流向其餘狀況良好的裝置。 如需 SD-WAN NVA 與路由伺服器之間路由傳播的詳細資訊，請參閱 BGP 對等互連對路由伺服器所公告的路由。

圖 4.BGP 驅動故障轉移。如果 SD-WAN NVA #0 離線，其 BGP 工作階段會關閉路由伺服器。SD-WAN NVA #0 會從虛擬網路的路由表中移除，作為從 Azure 到內部部署網站流量的下一個躍點。

BGP 驅動的故障轉移和 ECMP 路由自然會啟用 N 個裝置同時處理流量的 N 主動 HA 架構。 但您也可以使用 BGP 來實作主動和被動 HA 架構：將被動裝置設定為將路由傳送至路由伺服器，其喜好設定程度低於其主動對等。 如果路由伺服器從主動裝置接收來自主動裝置的任何路由，則路由伺服器會捨棄從主動裝置接收的任何路由，且喜好設定程度較高。 而且只會將虛擬網路路由表中的後者路由傳送。

如果作用中的裝置失敗或撤銷其部分路由，路由伺服器：

• 選取被動裝置所宣告的對應路由。
• 將虛擬網路路由表中的路由傾倒。

SD-WAN NVA 唯一可用來表達他們宣告為路由伺服器之路由的喜好設定程度為 AS Path 的 BGP 屬性。

我們建議使用 N-active HA 架構，因為它們可啟用最佳資源使用（沒有獨立 SD-WAN NVA）和水準延展性。 為了增加輸送量，多個 NVA 可以平行執行，最多可達路由伺服器所支援的 BGP 對等互連數目上限。 如需詳細資訊，請參閱 BGP 對等互連。 但 N-active HA 模型需要 SD-WAN NVA 作為無狀態、第 3 層路由器。 當月臺有多個通道存在時，TCP 連線可以非對稱方式路由傳送。 也就是說，相同 TCP 連線的 ORIGINAL 和 REPLY 流程可以透過不同的通道和不同的 NVA 路由傳送。 下圖顯示非對稱路由 TCP 連線的範例。 在虛擬網路或內部部署網站上起始的 TCP 連線，可能會有這類路由不對稱。

圖 5.主動/主動HA架構中的非對稱路由。SD-WAN NVA #0 和 SD-WAN NVA #1 宣告目的地 192.168.1.0/24 SD-WAN 的相同路由，且路徑長度與路由伺服器相同的 AS 路徑長度。原始流程（從 SD-WAN 遠端月臺到 Azure，紅色路徑）會透過 Azure 端的信道路由傳送，由 SD-WAN NVA #1 終止。內部部署 SD-WAN CPE 會選取此通道。根據虛擬網路的路由表，Azure SDN 堆疊會將 REPLY 流程（從 Azure 路由傳送至遠端 SD-WAN 網站、綠色路徑）路由至 SD-WAN NVA #0，這是 192.168.1.0/24 的可能下一個躍點之一。無法保證 Azure SDN 堆疊選擇的下一個躍點一律與接收原始流程的 CPE SD-WAN 相同。

只有在 Azure 中的 SD-WAN NVA 執行其他需要路由對稱的網路功能，例如具狀態防火牆時，才應考慮主動和被動 HA 架構。 我們不建議這種方法，因為它對延展性的影響。 在 SD-WAN NVA 上執行更多網路功能會增加資源耗用量。 同時，主動和被動HA架構允許在任何時間點有一個單一 NVA處理流量。 也就是說，整個 SD-WAN 層只能相應增加至其支援的 Azure VM 大小上限，而不是相應放大。在依賴標準 Load Balancer 進行 n-active HA 的個別 NVA 叢集上執行需要路由對稱的具狀態網路函式。

ExpressRoute 連線考慮

本文所述的架構可讓客戶完全接受 SD-WAN 架構，並將其公司網路建置為公用因特網和Microsoft骨幹上的邏輯重疊。 它也支援使用專用的 Expressroute 線路來解決特定案例，如稍後所述。

案例 #1：ExpressRoute 和 SD-WAN 共存

當 SD-WAN 裝置部署在月臺子集時，SD-WAN 解決方案可以與 ExpressRoute 連線共存。 例如，某些組織可能會部署 SD-WAN 解決方案，以取代只有因特網連線能力的網站中的傳統 IPsec VPN。 然後，他們會針對大型月臺和數據中心使用 MPLS 服務和 ExpressRoute 線路，如下圖所示。

圖 6.SD-WAN 解決方案只有在月臺子集中部署 SD-WAN CPE 裝置時，才能與 ExpressRoute 連線共存。

此共存案例需要部署在 Azure 中的 SD-WAN NVA，才能在連線到 SD-WAN 的網站和連線至 ExpressRoute 線路的網站之間路由傳送流量。 路由伺服器可以設定為在 ExpressRoute 虛擬網路閘道與 Azure 中 SD-WAN NVA 之間傳播路由，方法是啟用 AllowBranchToBranch 此功能， 如這裡所述。 ExpressRoute 虛擬網路閘道與 SD-WAN NVA 之間的路由傳播會透過 BGP 進行。 路由伺服器會同時建立 BGP 工作階段，並將路由傳播至另一個路由所學習的每個對等。 平臺會管理路由伺服器與 ExpressRoute 虛擬網路閘道之間的 BGP 工作階段。 使用者不需要明確設定它們，但只會在部署路由伺服器時啟用 AllowBranchToBranch 旗標。

圖 7.ExpressRoute 虛擬網路閘道與 SD-WAN NVA 之間的路由傳播會透過 BGP 發生。路由伺服器會使用 兩者建立 BGP 工作階段，並在設定為 「AllowBranchToBranch=TRUE」 時，以雙向傳播路由。路由伺服器可作為路由反映器，也就是說，它不屬於數據路徑的一部分。

此 SD-WAN 和 ExpressRoute 共存案例可讓從 MPLS 網路移轉至 SD-WAN。 它提供舊版 MPLS 月臺與新移轉 SD-WAN 月臺之間的路徑，而不需要透過內部部署資料中心路由傳送流量。 這種模式不僅可在移轉期間使用，也可以在公司合併和收購產生的案例中使用，以提供不同網路的無縫互連。

案例 #2：Expressroute 作為 SD-WAN 底線

如果您的內部部署網站具有 ExpressRoute 連線能力，您可以設定 SD-WAN 裝置，以在 ExpressRoute 線路或線路上，設定在 Azure 中執行的 SD-WAN 中樞 NVA 的通道。 ExpressRoute 連線可以透過點對點線路或 MPLS 網路來完成。 您可以使用 ExpressRoute 私人對等互連和Microsoft對等互連。

私人對等互連

當您使用 ExpressRoute 私人對等互連作為底線時，所有內部部署 SD-WAN 網站都會建立 Azure 中 SD-WAN 中樞 NVA 的通道。 在此案例中，不需要 SD-WAN NVA 與 ExpressRoute 虛擬網路閘道之間的路由傳播（也就是路由伺服器必須設定為 false 的 “AllowBranchToBranch” 旗標）。

此方法需要在終止 ExpressRoute 連線的客戶或提供者端路由器上進行適當的 BGP 設定。 事實上，Microsoft Enterprise Edge Routers （MSE） 會宣告連線到線路的虛擬網路的所有路由（直接或透過 虛擬網路對等互連）。 但為了透過 SD-WAN 通道將目的地為虛擬網路的流量轉送，內部部署網站應該瞭解來自 SD-WAN 裝置的這些路由，而不是 ER 線路。

因此，終止 ExpressRoute 連線的用戶端或提供者端路由器必須篩選掉從 Azure 收到的路由。 下層中設定的唯一路由應該是允許內部部署 SD-WAN 裝置連線到 Azure 中的 SD-WAN 中樞 NVA 的路由。 想要使用 ExpressRoute 私人對等互連作為 SD-WAN 底線的客戶，應該確認他們是否可以據以設定其路由裝置。 這樣做特別與沒有直接控制 ExpressRoute 邊緣裝置的客戶相關。 例如，當 ExpressRoute 線路由 IPVPN 服務頂端的 MPLS 電信業者提供時。

圖 8.ExpressRoute 私人對等互連作為 SD-WAN 底線。在此案例中，客戶和提供者端路由器會在 ER 私人對等互連 BGP 工作階段和 SD-WAN CPE 中，接收終止 ExpressRoute 連線之虛擬網路的路由。只有 SD-WAN CPE 應該將 Azure 路由傳播到網站的 LAN。

Microsoft 對等互連

您也可以使用 ExpressRoute Microsoft對等互連作為 SD-WAN 通道的底線。 在此案例中，Azure 中的 SD-WAN 中樞 NVA 只會公開公用通道端點，這兩個 SD-WAN CPU 都用於因特網連線網站、如果有的話，以及 Expressroute 連線站台中的 SD-WAN CPE。 雖然 ExpressRoute Microsoft對等互連具有比私人對等互連更複雜的必要條件，但建議您使用此選項作為底線，因為有下列兩個優點：

• 它不需要中樞虛擬網路中的 Expressroute 虛擬網路閘道。 它可移除複雜度、降低成本，並讓 SD-WAN 解決方案在不使用 ExpressRoute FastPath 時，調整超過閘道本身的頻寬限制。

• 它提供重疊和底層路由之間的全新分隔。 MSE 只會向客戶或提供者邊緣宣告Microsoft網路的公用前置詞。 您可以在個別的 VRF 中管理這些路由，並只傳播至月臺 LAN 的 DMZ 區段。 SD-WAN 裝置會在重疊中傳播客戶公司網路的路由，包括虛擬網路的路由。 考慮此方法的客戶應確認他們可以據以設定其路由裝置，或向其 MPLS 電信業者要求適當的服務。

MPLS 考慮

從傳統 MPLS 公司網路移轉至以 SD-WAN 架構為基礎的更現代化網路架構，需要大量精力和相當長的時間。 本文所述的架構可啟用階段式 SD-WAN 移轉。 稍後會討論兩個典型的移轉案例。

階段式 MPLS 解除委任

想要在公用因特網和Microsoft骨幹之上建置 SD-WAN，並完全解除委任 MPLS IPVPN 或其他專用連線服務的客戶，可以使用移轉期間上一節所述的 ExpressRoute 和 SD-WAN 共存案例 。 它可讓SD-WAN 連線的網站連線到仍連線至舊版 MPLS 的網站。 一旦月臺移轉至 SD-WAN 和 CPE 裝置部署，就可以解除委任其 MPLS 連結。 月臺可以透過其 SD-WAN 通道存取整個公司網路，以連線到最接近的 Azure 區域。

圖 9.「ExpressRoute 和 SD-WAN 共存」案例可啟用階段式 MPLS 解除委任。

移轉所有月臺時，MPLS IPVPN 可以解除委任，以及將它連線到Microsoft骨幹的 ExpressRoute 線路。 不再需要 ExpressRoute 虛擬網路閘道，而且可以取消布建。 每個區域中的 SD-WAN 中樞 NVA 會成為該區域中樞和輪輻網路的唯一進入點。

MPLS 整合

不信任公用和共享網路以提供所需效能和可靠性的組織，可能會決定使用現有的 MPLS 網路作為企業級底線。 兩個選項包括：

• 數據中心或大型分公司等網站的子集。
• 連線子集，通常是延遲敏感或任務關鍵流量。

Expressroute 作為先前所述的 SD-WAN 底線案例可啟用 SD-WAN 和 MPLS 整合。 ExpressRoute Microsoft對等互連應該優先於私人對等互連，因為先前討論的原因。 此外，當使用Microsoft對等互連時，MPLS 網路和公用因特網會變成功能上對等的底層。 它們提供 Azure 中 SD-WAN 中樞 NVA 所公開之所有 SD-WAN 通道端點的存取權。 部署在具有因特網和 MPLS 連線的站台中的 SD-WAN CPE 可以在兩個底線上建立多個通道至 Azure 中的 SD-WAN 中樞。 然後，他們可以根據 SD-WAN 控制平面所管理的應用程式層級原則，透過不同的信道路由傳送不同的連線。

圖 10.「ExpressRoute 作為 SD-WAN 底線」案例可啟用 SD-WAN 和 MPLS 整合。

路由伺服器路由喜好設定

在前兩節涵蓋的兩個 MPLS 案例中，某些分支月臺可以同時連線到 MPLS IPVPN 和 SD-WAN。 因此，部署在中樞虛擬網路中的路由伺服器實例可以從 ExpressRoute 閘道和 SD-WAN NVA 學習相同的路由。 路由伺服器路由喜好設定允許控制應慣用的路徑，並管線傳送至虛擬網路的路由表。 當無法使用 AS Path 前面時，路由喜好設定很有用。 例如，MPLS IPVPN 服務不支持終止 ExpressRoute 連線之 PES 上的自定義 BGP 設定。

路由伺服器限制和設計考慮

路由伺服器是本文中所述架構的基石。 它會在虛擬網路中部署的 SD-WAN NVA 與基礎 Azure SDN 堆疊之間傳播路由。 它提供 BGP 型方法來執行多個 SD-WAN NVA，以提供高可用性和水準延展性。 當您根據此架構設計大型 SD-WANs 時， 路由伺服器的延展性限制 必須納入考慮。

下列各節提供延展性上限的指引，以及如何處理每個限制。

BGP 對等互連對路由伺服器公告的路由

路由伺服器不會定義在設定旗標時AllowBranchToBranch可公告至 ExpressRoute 虛擬網絡 閘道的路由數目明確限制。 不過，ExpressRoute 閘道會進一步將他們從路由伺服器學習的路由傳播至所連線的 ExpressRoute 線路。

ExpressRoute 閘道可以透過私人對等互連向 ExpressRoute 線路公告的路由數目有限制，這些路由記載於 Azure 訂用帳戶和服務限制、配額和限制。 根據本文中的指引設計 SD-WAN 解決方案時，請務必確保 SD-WAN 路由不會造成達到此限制。 如果達到，ExpressRoute 閘道與 ExpressRoute 線路之間的 BGP 會話會遭到捨棄，而虛擬網路與透過 ExpressRoute 連線的遠端網路之間的連線就會遺失。

ExpressRoute 網關公告至線路的路由總數，是路由伺服器學習的路由數目和構成 Azure 中樞和輪輻網路地址空間的前置詞數目的總和。 若要避免因為 BGP 會話中斷，建議您實作下列風險降低措施：

• 如果使用此功能，請使用原生 SD-WAN 裝置的功能來限制路由伺服器所宣佈的路由數目。
• 使用 Azure 監視器警示 來主動偵測 ExpressRoute 閘道所宣佈路由數目的尖峰。 要監視的計量會命名為 已公告至對等的路由計數，如 ExpressRoute 監視中所述。

BGP 對等

路由伺服器可以建立最多 BGP 對等互連數目的 BGP 會話。 此限制會決定可與路由伺服器建立 BGP 相鄰的 SD-WAN NVA 數目上限，因此可跨所有 SD-WAN 通道支援的最大匯總輸送量。 只有大型SD-WAN 才會達到此限制。 除了建立多個中樞和輪輻網路之外，沒有因應措施可以克服，每個網路都有自己的網關和路由伺服器。

參與的 VM

虛擬網絡 閘道和路由伺服器會針對自己的虛擬網路和直接對等互連虛擬網路中的所有 VM，設定他們從遠端對等互連學習的路由。 為了保護路由伺服器免於因為路由更新至 VM 而耗用過多的資源，Azure 會定義單一中樞和輪輻網路中可存在的 VM 數目限制。 除了在相同區域中建立多個中樞和輪輻網路之外，沒有因應措施可以克服此限制。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主要作者：

• Federico Guerrini |資深雲端解決方案架構師
• Khush Kaviraj |雲端解決方案架構師

若要查看非公用LinkedIn配置檔，請登入LinkedIn。

下一步

• Microsoft優化架構框架

相關資源

• 使用 ExpressRoute 將內部部署網路連線至 Azure
• 部署高可用性 NVA