虛擬 WAN 常見問題集

發行項
06/12/2024

Azure 虛擬 WAN 是否正式發行？

是，Azure 虛擬 WAN 已正式發行 (GA)。不過，虛擬 WAN 是由數個功能和情節所組成。 Microsoft 對虛擬 WAN 中的一些功能或案例套用了預覽標籤。在這些情況下，特定功能或情節本身會處於預覽狀態。如果您不使用特定的預覽功能，則適用一般 GA 支援。如需有關預覽版支援的詳細資訊，請參閱 Microsoft Azure 預覽版增補使用條款。

有哪些位置和區域可供使用？

若要檢視虛擬 WAN 的可用區域，請參閱依區域提供的產品。將虛擬 WAN 指定為產品名稱。

使用者是否需要具有 SD-WAN/VPN 裝置的中樞與輪輻才能使用 Azure 虛擬 WAN？

虛擬 WAN 提供內建在單一窗口中的許多功能，例如站台/站對站 VPN 連線、使用者/P2S 連線、ExpressRoute 連線、虛擬網路連線、VPN ExpressRoute 相互連線、VNet 對 VNet 的可轉移連線、集中式路由、Azure 防火牆和防火牆管理員安全性、監視、ExpressRoute 加密，以及許多其他功能。您不一定要符合上述所有使用案例，也能開始使用虛擬 WAN。只要一個使用案例即可開始使用。

虛擬 WAN 架構是一種中樞與輪輻架構，具有內建的規模和效能，其中分支 (VPN/SD-WAN 裝置)、使用者 (Azure VPN 用戶端、openVPN 或 IKEv2 用戶端)、ExpressRoute 線路和虛擬網路都可作為虛擬中樞的輪輻。所有中樞都會在標準虛擬 WAN 中以完整網格連線，讓使用者可以輕鬆地使用 Microsoft 骨幹進行任意點對任意點 (任何輪輻) 的連線。針對具有 SD-WAN/VPN 裝置的中樞與輪輻，使用者可以在 Azure 虛擬 WAN 入口網站中手動設定，或使用虛擬 WAN 合作夥伴 CPE (SD-WAN/VPN) 來設定與 Azure 的連線。

虛擬 WAN 合作夥伴提供自動連線功能，可將裝置資訊匯出至 Azure、下載 Azure 設定，以及建立與 Azure 虛擬 WAN 中樞的連線。針對點對站/使用者 VPN 連線能力，我們支援 Azure VPN 用戶端、OpenVPN 或 IKEv2 用戶端。

您可以停用虛擬 WAN 中的完全網格化中樞嗎？

虛擬 WAN 有兩種類別：基本和標準。在基本虛擬 WAN 中，中樞並未網格化。在標準虛擬 WAN 中，中樞會在第一次設定虛擬 WAN 時網格化並且自動連線。使用者不需要執行任何特定動作。使用者也不需要停用或啟用功能來取得網格化中樞。虛擬 WAN 提供許多路由選項，在任何輪輻 (VNet、VPN 或 ExpressRoute) 之間引導流量。虛擬 WAN 提供輕鬆完全網格化的中樞，以及根據您的需求路由傳送流量的彈性。

如何在虛擬 WAN 中處理可用性區域和復原？

虛擬 WAN 是中樞內所提供的中樞和服務集合。使用者可以根據自己的需求擁有多個虛擬 WAN。在虛擬 WAN 中樞中有多個服務，例如 VPN、ExpressRoute 等等。這些服務都會自動部署在可用性區域中 (Azure 防火牆除外)，前提是該區域支援可用性區域。如果區域在中樞的初始部署之後變成可用性區域，使用者可以重新建立閘道，這樣會觸發可用性區域部署。所有閘道都會以主動-主動的形式佈建在中樞內，也就是說，在中樞內會有內建的復原功能。如果使用者想要跨區域進行復原，則可以連線到多個中樞。

目前，Azure 防火牆可以使用 Azure 防火牆管理員入口網站、PowerShell 或 CLI 來支援可用性區域。目前沒有任何方法可將現有防火牆設定為跨可用性區域部署。您必須刪除並重新部署您的 Azure 防火牆。

雖然虛擬 WAN 的概念是全域的，但是實際的虛擬 WAN 資源是以 Resource Manager 為基礎，並且部署在區域內。如果虛擬 WAN 區域本身發生問題，該虛擬 WAN 中的所有中樞都會繼續正常運作，但是在虛擬 WAN 區域可供使用之前，使用者將無法建立新的中樞。

否，每個 Azure 虛擬中樞都必須有自己的防火牆。將自定義路由部署至指向另一個安全中樞的防火牆將會失敗，且無法順利完成。請考慮使用自己的防火牆將這些中樞轉換成安全的中樞。

Azure 虛擬 WAN 使用者 VPN (點對站) 支援哪些用戶端？

虛擬 WAN 支援 Azure VPN 用戶端、OpenVPN 用戶端或任何 IKEv2 用戶端。 Azure VPN Client 支援 Microsoft Entra 驗證，但至少需要 Windows 10 用戶端作業系統版本 17763.0 或更高版本。 OpenVPN 用戶端可以支援憑證型驗證。在閘道上選取憑證型驗證之後，您就會看到可下載到您裝置的 .ovpn* 檔案。 IKEv2 同時支援憑證和 RADIUS 驗證。

若是使用者 VPN (點對站) - 為什麼 P2S 用戶端集區會分割成兩個路由？

每個閘道都有兩個實例。發生分割，讓每個網關實例可以獨立配置連線用戶端的用戶端 IP，而來自虛擬網路的流量會路由回正確的網關實例，以避免閘道間實例躍點。

如何新增 P2S 用戶端的 DNS 伺服器？

有兩個選項可新增 P2S 用戶端的 DNS 伺服器。第一個方法是慣用方法，因為該方法會將自訂 DNS 伺服器新增至閘道，而不是用戶端。

使用下列 PowerShell 指令碼來新增自訂 DNS 伺服器。請針對您的環境取代值。

// Define variables
$rgName = "testRG1"
$virtualHubName = "virtualHub1"
$P2SvpnGatewayName = "testP2SVpnGateway1"
$vpnClientAddressSpaces = 
$vpnServerConfiguration1Name = "vpnServerConfig1"
$vpnClientAddressSpaces = New-Object string[] 2
$vpnClientAddressSpaces[0] = "192.168.2.0/24"
$vpnClientAddressSpaces[1] = "192.168.3.0/24"
$customDnsServers = New-Object string[] 2
$customDnsServers[0] = "7.7.7.7"
$customDnsServers[1] = "8.8.8.8"
$virtualHub = $virtualHub = Get-AzVirtualHub -ResourceGroupName $rgName -Name $virtualHubName
$vpnServerConfig1 = Get-AzVpnServerConfiguration -ResourceGroupName $rgName -Name $vpnServerConfiguration1Name

// Specify custom dns servers for P2SVpnGateway VirtualHub while creating gateway
createdP2SVpnGateway = New-AzP2sVpnGateway -ResourceGroupName $rgname -Name $P2SvpnGatewayName -VirtualHub $virtualHub -VpnGatewayScaleUnit 1 -VpnClientAddressPool $vpnClientAddressSpaces -VpnServerConfiguration $vpnServerConfig1 -CustomDnsServer $customDnsServers

// Specify custom dns servers for P2SVpnGateway VirtualHub while updating existing gateway
$P2SVpnGateway = Get-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName
$updatedP2SVpnGateway = Update-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName -CustomDnsServer $customDnsServers 

// Re-generate Vpn profile either from PS/Portal for Vpn clients to have the specified dns servers

或者，如果您使用適用於 Windows 10 的 Azure VPN Client，您可以修改下載的設定檔 XML 檔案，並新增 <dnsservers><dnsserver></dnsserver></dnsservers> 標記，之後再匯入該檔案。
```
   <azvpnprofile>
   <clientconfig>

       <dnsservers>
           <dnsserver>x.x.x.x</dnsserver>
           <dnsserver>y.y.y.y</dnsserver>
       </dnsservers>

   </clientconfig>
   </azvpnprofile>
```

針對使用者 VPN (點對站)，可支援多少用戶端？

下表描述不同縮放單位所支援點對站 VPN 閘道的並行連線數目和彙總輸送量。

縮放單位	閘道執行個體	支援的並行連線數目	彙總輸送量
1	2	500	0.5 Gbps
2	2	500	1 Gbps
3	2	500	1.5 Gbps
4	2	1000	2 Gbps
5	2	1000	2.5 Gbps
6	2	1000	3 Gbps
7	2	5000	3.5 Gbps
8	2	5000	4 Gbps
9	2	5000	4.5 Gbps
10	2	5000	5 Gbps
11	2	10000	5.5 Gbps
12	2	10000	6 Gbps
13	2	10000	6.5 Gbps
14	2	10000	7 Gbps
15	2	10000	7.5 Gbps
16	2	10000	8 Gbps
17	2	10000	8.5 Gbps
18	2	10000	9 Gbps
19	2	10000	9.5 Gbps
20	2	10000	10 Gbps
40	4	20000	20 Gbps
60	6	30000	30 Gbps
80	8	40000	40 Gbps
100	10	50000	50 Gbps
120	12	60000	60 Gbps
140	14	70000	70 Gbps
160	16	80000	80 Gbps
180	18	90000	90 Gbps
200	20	100000	100 Gbps

例如，我們假設使用者選擇 1 作為縮放單位。每個縮放單位表示已部署的主動-主動閘道，而每個執行個體 (在此案例中為 2 個) 會支援最多 500 個連線。每個閘道可以取得 500 個連線 * 2，但這並不表示您該為此縮放單位規劃 1000 個連線，而不是 500 個。如果您超過建議的連線計數，在額外 500 個連線期間系統要提供服務的執行個體可能會中斷。

針對縮放單位大於 20 的閘道，您應多部署幾組高可用性閘道執行個體，以提供使用者連線所需的額外容量。每組執行個體可額外支援高達 10,000 個使用者。例如，如果您部署具有 100 個縮放單位的閘道，則應部署 5 組閘道 (總共 10 個執行個體)，以供高達 50,000 個 (10,000 個使用者 x 5 組閘道) 並行使用者連線。

此外，如果您決定在縮放單位上擴大或縮小，或變更 VPN 閘道上的點對站設定，請務必規劃停機時間。

什麼是虛擬 WAN 閘道縮放單位？

縮放單位是定義來挑選虛擬中樞內閘道匯總輸送量的單位。 1 個 VPN 縮放單位等於 500 Mbps。 1 個 ExpressRoute 縮放單位等於 2 Gbps。範例：10 個 VPN 縮放單位則會有 500 Mbps * 10 = 5 Gbps。

Azure 虛擬網路閘道 (VPN 閘道) 與 Azure 虛擬 WAN VPN 閘道之間有何差異？

虛擬 WAN 提供大規模站對站連線，而且是針對輸送量、延展性和易用性而建置的。當您將站台連線到虛擬 WAN VPN 閘道時，這就與使用「站對站 VPN」閘道類型的一般虛擬網路閘道不同。當您想要將遠端使用者連線到虛擬 WAN 時，您會使用的閘道類型為「點對站 VPN」。點對站和站對站 VPN 閘道在虛擬 WAN 中樞內是不同實體，必須個別部署。同樣地，當您將 ExpressRoute 線路連線到虛擬 WAN 中樞時，它會使用與使用閘道類型「ExpressRoute」的一般虛擬網路閘道不同的 ExpressRoute 閘道資源。

針對 VPN 和 ExpressRoute，虛擬 WAN 最多支援 20-Gbps 的彙總輸送量。虛擬 WAN 也有自動化功能，可與 CPE 分支裝置夥伴的生態系統建立連線。 CPE 分支裝置有內建的自動化功能，可自動佈建和連線至 Azure 虛擬 WAN。這些裝置都可以從 SD-WAN 和 VPN 合作夥伴日益成長的生態系統中取用。請參閱慣用的合作夥伴清單。

虛擬 WAN 與 Azure 虛擬網路閘道有何不同？

虛擬網路閘道 VPN 限定為 100 個通道。對於連線，您應將虛擬 WAN 用於大規模的 VPN。每個虛擬中樞最多可連線 1,000 個分支連線，而每個中樞的彙總輸送量為 20 Gbps。連線是從內部部署 VPN 裝置到虛擬中樞的主動-主動通道。您也可以為每個區域配置多個虛擬中樞，這表示您可以在該 Azure 區域中部署多個虛擬 WAN 中樞 (每一個都有自己的站對站 VPN 閘道)，以將 1,000 個以上的分支連線到單一 Azure 區域。

針對虛擬 WAN 中樞中每個站對站執行個體建議的演算法和每秒封包數為何？每個執行個體支援多少通道？單一通道中支援的最大輸送量為何？

虛擬 WAN 可在一個虛擬中樞中支援 2 個主動的站對站 VPN 閘道執行個體。這表示一個虛擬中樞有 2 組主動-主動 VPN 閘道執行個體。在維護作業期間，每個執行個體都會逐一升級，因為使用者可能會遇到 VPN 閘道彙總輸送量的短暫減少。

雖然虛擬 WAN VPN 支援許多演算法，但針對 IPSEC 加密和完整性，我們建議使用 GCMAES256 來獲得最佳效能。一般認為 AES256 和 SHA256 的效能較低，因此類似的演算法類型可能有延遲和封包捨棄等效能降低情形。

每秒封包數 (PPS) 是影響封包總數和每執行個體支援輸送量的因素。透過範例最能了解相關情況。假設 1 縮放單位 500-Mbps 的站對站 VPN 閘道執行個體部署在虛擬 WAN 中樞。假設封包大小為 1400，則 VPN 閘道執行個體的預期 PPS 最大值 = [(500 Mbps * 1024 * 1024) /8/1400] ~ 47000。

虛擬 WAN 具有 VPN 連線、連結連線和通道的概念。單一 VPN 連線是由連結連線所組成。虛擬 WAN 在 VPN 連線中支援最多 4 個連結連線。每個連結連線都包含兩個 IPsec 通道，這些通道會在部署於虛擬中樞的主動-主動 VPN 閘道的兩個執行個體中終止。可在單一主動執行個體中終止的通道總數為 1000 個，這表示 1 個執行個體的輸送量將會跨連線至該執行個體的所有通道進行彙總。每個通道也有特定的輸送量值。如果多個通道連線到值較低的縮放單位閘道，建議您評估每個通道的需求，並規劃 VPN 閘道，也就是在 VPN 執行個體中終止的所有通道的輸送量彙總值。

虛擬 WAN 中支援的各種縮放單位值

縮放單位	每個通道的最大輸送量 (Mbps)	每個通道的最大 PPS	每個執行個體的最大輸送量 (Mbps)	每個執行個體的最大 PPS
1	500	47K	500	47K
2	1000	94K	1000	94K
3	1500	140K	1500	140K
4	1500	140K	2000	187K
5	1500	140K	2500	234K
6	1500	140K	3000	281K
7	2300	215K	3500	328K
8	2300	215K	4000	374K
9	2300	215K	4500	421K
10	2300	215K	5000	468K
11	2300	215K	5500	515K
12	2300	215K	6000	562K
13	2300	215K	6500	609K
14	2300	215K	7000	655K
15	2300	215K	7500	702K
16	2300	215K	8000	749K
17	2300	215K	8500	796K
18	2300	215K	9000	843K
19	2300	215K	9500	889K
20	2300	215K	10000	936K

注意

所有數字皆以 GCM 演算法為基礎。

啟動時支援哪些裝置提供者 (虛擬 WAN 合作夥伴)？

目前有許多合作夥伴支援完全自動化的虛擬 WAN 體驗。如需詳細資訊，請參閱虛擬 WAN 合作夥伴。

虛擬 WAN 合作夥伴自動化步驟是什麼？

若要了解合作夥伴自動化步驟，請參閱虛擬 WAN 合作夥伴自動化。

我是否必須使用偏好的合作夥伴裝置？

否。您可以使用任何支援 VPN 且符合 IKEv2/IKEv1 IPsec 支援需求的裝置。虛擬 WAN 也有 CPE 合作夥伴解決方案，可將與 Azure 虛擬 WAN 的連線自動化，讓大規模設定 IPsec VPN 連線更輕鬆。

虛擬 WAN 合作夥伴如何將與 Azure 虛擬 WAN 的連線自動化？

軟體定義的連線解決方案通常會使用控制器或裝置佈建中心，來管理它們的分支裝置。控制器可以使用 Azure API，將與 Azure 虛擬 WAN 的連線自動化。自動化包括上傳分支資訊、下載 Azure 設定、將 IPsec 通道設定到 Azure 虛擬中樞，以及自動設定從分支裝置到 Azure 虛擬 WAN 的連線。當您有數百個分支時，使用虛擬 WAN CPE 夥伴進行連線很方便，因為上線體驗可讓您不需要安裝、設定及管理大規模的 IPsec 連線。如需詳細資訊，請參閱虛擬 WAN 合作夥伴自動化。

如果我使用的裝置不在虛擬 WAN 合作夥伴清單中又該如何？我仍可用它來連線到 Azure 虛擬 WAN VPN 嗎？

是的，只要裝置支援 IPsec IKEv1 或 IKEv2 即可。虛擬 WAN 合作夥伴協力會將裝置到 Azure VPN 端點的連線自動化。這表示自動化的步驟，例如「分支資訊上傳」、「IPsec 和組態」和「連線」。由於您的裝置不是來自虛擬 WAN 合作夥伴生態系統，因此您必須執行繁重的工作，以手動方式取得 Azure 設定，並更新您的裝置以設定 IPsec 連線。

未列在產品發佈合作夥伴清單中的新合作夥伴要如何上線？

所有虛擬 WAN API 都是 OpenAPI。您可以查看說明文件虛擬 WAN 合作夥伴自動化以評估技術可行性。理想的合作夥伴是有裝置可用來佈建 IKEv1 或 IKEv2 IPSec 連線的合作夥伴。當公司根據上述自動化指導方針完成其 CPE 裝置的自動化工作之後，您就可以聯繫 azurevirtualwan@microsoft.com，在這裡列出透過合作夥伴的連線能力。如果您是想要將特定公司解決方案列為虛擬 WAN 合作夥伴的客戶，您可以請該公司將電子郵件傳送給 azurevirtualwan@microsoft.com，以連絡虛擬 WAN 部門。

虛擬 WAN 如何支援 SD-WAN 裝置？

虛擬 WAN 合作夥伴會將 IPsec 連線到 Azure VPN 端點自動化。如果虛擬 WAN 合作夥伴是 SD-WAN 提供者，那就表示 SD-WAN 控制器會管理自動化作業及 Azure VPN 端點的 IPsec 連線。如果 SD-WAN 裝置的任何專用 SD-WAN 功能需要它自己的端點，而不是 Azure VPN，您可以在 Azure 虛擬網路中部署 SD-WAN 端點，並與 Azure 虛擬 WAN 並存。

虛擬 WAN 支援 BGP 對等互連，也能夠將 NVA 部署至虛擬 WAN 中樞。

有多少部 VPN 裝置可以連線到單一中樞？

每個虛擬中樞支援多達 1,000 個連線。每個連線是由四個連結組成，每個連結連線支援兩個其設定為主動-主動的通道。通道會在 Azure 虛擬中樞 VPN 閘道內終止。連結代表分支/VPN 裝置上的實體 ISP 連結。

什麼是 Azure 虛擬 WAN 的分支連線？

VPN 連線是指從分支或 VPN 裝置到 Azure 虛擬 WAN 的連線，其實際上會連接虛擬中樞中的 VPN 站台和 Azure VPN 閘道。

如果內部部署 VPN 裝置只有 1 個通道可連結至 Azure 虛擬 WAN VPN 閘道，會發生什麼事？

Azure 虛擬 WAN 連線是由 2 個通道所組成。虛擬 WAN VPN 閘道會以主動-主動模式部署在虛擬中樞，這表示來自內部部署裝置的不同通道終止在不同執行個體上。這是適用於所有使用者的建議。不過，如果使用者選擇只使用 1 個通道連結到其中一個虛擬 WAN VPN 閘道執行個體，則只要閘道執行個體基於任何原因 (維護、修補等) 而離線，通道就會移至次要的主動執行個體，而且使用者可能會重新連線。 BGP 工作階段不會跨執行個體移動。

虛擬 WAN VPN 閘道的閘道重設期間會發生什麼事？

如果您的內部部署裝置都如預期般運作，但 Azure 中的站對站 VPN 連線處於「已中斷連線」的狀態，則您應使用 [閘道重設] 按鈕。虛擬 WAN VPN 閘道一律會以主動-主動狀態進行部署，以提供高可用性。這表示，在任何時間點，VPN 閘道中一律會部署一個以上的執行個體。使用 [閘道重設] 按鈕時，VPN 閘道中的執行個體會循序重新開機，因此您的連線不會中斷。當連線從一個執行個體移到另一個執行個體時，期間會有短暫的落差，但此落差應該小於一分鐘。此外，請注意，重設閘道不會變更您的公用 IP。

此案例僅適用於 S2S 連線。

內部部署 VPN 裝置是否可以連線到多個中樞？

是。開始時的流量會從內部部署裝置流至最近的 Microsoft 網路邊緣，然後流至虛擬中樞。

虛擬 WAN 是否有任何新的 Resource Manager 資源可用？

是，虛擬 WAN 具有新的 Resource Manager 資源。如需詳細資訊，請參閱概觀。

是否可以使用 Azure 虛擬 WAN 部署及使用我慣用的網路虛擬設備 (在 NVA 虛擬網路中)？

是，您可以將慣用的網路虛擬設備 (NVA) 虛擬網路連線至 Azure 虛擬 WAN。

我可以在虛擬中樞內建立網路虛擬設備嗎？

您可以在虛擬中樞內部署網路虛擬設備 (NVA)。如需步驟，請參閱關於虛擬 WAN 中樞內的 NVA。

輪幅 VNet 是否可以有虛擬網路閘道？

否。如果輪幅 VNet 會連線到虛擬中樞，則不能有虛擬網路閘道。

輪輻 VNet 是否可以有 Azure 路由伺服器？

否。如果輪幅 VNet 連線至虛擬 WAN 中樞，則不能有路由伺服器。

VPN 連線是否支援 BGP？

是，有支援 BGP。當您建立 VPN 網站時，可以在其中提供 BGP 參數。這表示在 Azure 中為該網站建立的任何連線，將會針對 BGP 啟用。

虛擬 WAN 是否有任何授權或價格資訊？

是。請參閱定價頁面。

是否可以使用 Resource Manager 範本來建構 Azure 虛擬 WAN？

可以使用快速入門範本來建立一個簡易設定的虛擬 WAN，其中包含一個中樞和一個 vpnsite。虛擬 WAN 主要是 REST 或入口網站驅動的服務。

連線到虛擬中樞的輪輻 VNet 之間，是否可以彼此通訊 (V2V 傳輸)？

是。標準虛擬 WAN 支援透過 VNet 所連接的虛擬 WAN 中樞進行 VNet 對 VNet 的傳輸連線。在虛擬 WAN 術語中，我們將這些路徑稱為「本機虛擬 WAN VNet 傳輸」(若 VNet 連線至單一區域內的虛擬 WAN 中樞)，以及「全域虛擬 WAN VNet 傳輸」(若透過多個虛擬 WAN 中樞跨兩個或更多區域連接 VNet)。

在某些情況下，除了本機或全域虛擬 WAN VNet 傳輸外，輪輻 VNet 也可以使用虛擬網路對等互連直接相互對等互連。在此情況下，VNet 對等互連的優先順序會高於透過虛擬 WAN 中樞的傳輸連線。

虛擬 WAN 中是否允許分支對分支連線？

是，在虛擬 WAN 中可使用分支對分支連線。分支在概念上適用於 VPN 站台、ExpressRoute 線路，或點對站/使用者 VPN 使用者。預設會啟用分支對分支，而且可以在 WAN 的 [設定] 中找到。這可讓 VPN 分支/使用者連線到其他 VPN 分支，以及在 VPN 和 ExpressRoute 使用者之間啟用傳輸連線能力。

分支對分支流量是否會透過 Azure 虛擬 WAN 而周遊？

是。分支對分支流量會透過 Azure 虛擬 WAN 周遊。

虛擬 WAN 是否需要來自每個網站的 ExpressRoute？

否。虛擬 WAN 不需要來自每個站台的 ExpressRoute。您的網站可以使用 ExpressRoute 線路連線至提供者網路。對於使用 ExpressRoute 連線至虛擬中樞以及將 IPsec VPN 連線至相同中樞的網站，虛擬中樞會提供 VPN 和 ExpressRoute 使用者之間的傳輸連線能力。

使用 Azure 虛擬 WAN 時是否有網路輸送量或連線限制？

網路輸送量是根據虛擬 WAN 中樞中的服務。在每個中樞中，VPN 彙總輸送量最高可達 20 Gbps，ExpressRoute 彙總輸送量最高可達 20 Gbps，使用者 VPN/點對站 VPN 彙總輸送量最高可達 200 Gbps。虛擬中樞內的路由器最多可支援 50 Gbps 的 VNet 對 VNet 流量，並假設連線至單一虛擬中樞的所有 VNet 之間有總計 2000 個 VM 工作負載。

您可以設定最小容量或視需要修改，以保護預先容量，而不必等到虛擬中樞因需要更多輸送量而擴增。請參閱關於虛擬中樞設定 - 中樞容量。如需了解可能產生的成本，請參閱 Azure 虛擬 WAN 定價頁面中的「路由基礎結構單位」成本。

當 VPN 網站連線到中樞時，會使用連線來執行此動作。虛擬 WAN 支援每個虛擬中樞最多 1000 個連線或 2000 個 IPsec 通道。當遠端使用者連線到虛擬中樞時，他們會連線到 P2S VPN 閘道，該閘道最多可支援 100,000 個使用者，這取決於針對虛擬中樞內 P2S VPN 閘道所選擇的縮放單位 (頻寬)。

我可以在 VPN 連線上使用 NAT-T 嗎？

可以，有支援 NAT 周遊 (NAT-T)。虛擬 WAN VPN 閘道「不會」對進出 IPsec 通道的內部封包執行任何類似 NAT 的功能。在此設定中，請確定內部部署裝置會起始 IPsec 通道。

如何將縮放單位設定為特定設定，例如 20-Gbps？

在入口網站上，前往中樞內的 VPN 閘道，然後按一下縮放單位，以將其變更為適當的設定。

虛擬 WAN 是否允許內部部署裝置以平行方式使用多個 ISP，還是一律為單一 VPN 通道？

內部部署裝置解決方案可以套用流量原則，將多個通道的流量引導至 Azure 虛擬 WAN 中樞 (虛擬中樞中的 VPN 閘道)。

什麼是全域傳輸架構？

如需詳細資訊，請參閱全域傳輸網路架構和虛擬 WAN。

流量在 Azure 骨幹上的路由傳送方式為何？

流量會依循下列模式：分支裝置 ->ISP->Microsoft 網路邊緣->Microsoft DC (中樞 VNet)->Microsoft 網路邊緣->ISP->分支裝置

在此模型中，每個站台需要什麼？有網際網路連線就可以嗎？

是。支援 IPsec 的網際網路連線與實體裝置，最好是我們的整合式虛擬 WAN 夥伴所提供的。或者，您可以從慣用的裝置手動管理 Azure 的設定與連線。

如何為連線 (VPN、ExpressRoute 或虛擬網路) 啟用預設路由 (0.0.0.0/0)？

如果連線上的旗標為「啟用」，則虛擬中樞可以將學習到的預設路由傳播到虛擬網路/站對站 VPN/ExpressRoute 連線。當使用者編輯虛擬網路連線、VPN 連線或 ExpressRoute 連線時，此旗標為可見。根據預設，當網站或 ExpressRoute 線路連線至中樞時，會停用此旗標。而在新增虛擬網路連線以連接 VNet 和虛擬中樞時，預設會啟用旗標。

預設路由並非源自於虛擬 WAN 中樞，而是因下列時機而傳播：中樞內有部署防火牆，因此虛擬 WAN 中樞已得知預設路由時，或其他連線的站台已啟用強制通道時。預設路由不會在中樞間之間 (inter-hub) 傳播。

是否可以在同一個區域中建立多個虛擬 WAN 中樞？

是。客戶現在可以在相同區域內為相同 Azure 虛擬 WAN 建立多個中樞。

虛擬 WAN 中的虛擬中樞如何從多個中樞選取路由的最佳路徑？

如需詳細資訊，請參閱虛擬中樞路由喜好設定頁面。

虛擬 WAN 中樞是否允許 ExpressRoute 線路之間的連線？

ER 對 ER 之間的傳輸一律透過全域範圍進行。虛擬中樞閘道會部署在 DC 或 Azure 區域中。當兩個 ExpressRoute 線路透過全域範圍連線時，流量路線就不需要從邊緣路由器一路到虛擬中樞 DC。

是否有 Azure 虛擬 WAN ExpressRoute 線路或 VPN 連線的權數概念

當有多個 ExpressRoute 線路連線到虛擬中樞時，連線上的路由權數會提供一個機制，讓虛擬中樞的 ExpressRoute 能夠優先使用其中一個線路。沒有任何機制可在 VPN 連線上設定權數。 Azure 一律偏好透過單一中樞內的 VPN 連線進行 ExpressRoute 連線。

虛擬 WAN 針對輸出到 Azure 的流量是否偏好透過 VPN 使用 ExpressRoute

是。針對輸出到 Azure 的流量，虛擬 WAN 偏好 ExpressRoute 而非 VPN。不過，您可以設定虛擬中樞路由喜好設定來變更預設喜好設定。如需步驟，請參閱設定虛擬中樞路由喜好設定。

當虛擬 WAN 中樞已連線 ExpressRoute 線路和 VPN 站台時，什麼原因會導致 VPN 連線路由優先於 ExpressRoute？

ExpressRoute 線路連線至虛擬中樞時，Microsoft Edge 路由器是內部部署與 Azure 之間通訊的第一個節點。這些邊緣路由器會與虛擬 WAN ExpressRoute 閘道通訊，進而從虛擬中樞路由器學習路由，以控制虛擬 WAN 中任何閘道之間的所有路由。比起從內部部署得知的路由，Microsoft Edge 路由器會優先處理虛擬中樞 ExpressRoute 路由。

不論任何原因，如果 VPN 連線成為虛擬中樞得知路由的主要媒體 (例如 ExpressRoute 與 VPN 之間的容錯移轉案例)，除非 VPN 站台具有較長的 AS 路徑長度，否則虛擬中樞會繼續與 ExpressRoute 閘道共用從 VPN 得知的路由。這會導致 Microsoft Edge 路由器偏好使用 VPN 路由，而非內部部署路由。

當兩個中樞 (中樞 1 和 2) 連線，而且有連線的 ExpressRoute 線路作為兩個中樞的繫結時，連線到中樞 1 的 VNet 如何抵達連線到中樞 2 的 VNet？其路徑為何？

目前的行為是偏好透過中樞對中樞的 ExpressRoute 線路路徑來進行 VNet 對 VNet 連線。不過，在虛擬 WAN 設定中並不建議這麼做。若要解決此問題，您可以採取下列其中一個做法：

設定多個 ExpressRoute 線路 (不同的提供者) 來連線到一個中樞，並且針對區域間流量使用虛擬 WAN 提供的中樞對中樞連線。
將 AS-Path 設定為虛擬中樞的中樞路由喜好設定。這確保 2 個中樞之間的流量會透過每個中樞內的虛擬中樞路由器進行周遊，並使用中樞對中樞路徑，而不是 ExpressRoute 路徑 (其透過 Microsoft Edge 路由器進行周遊)。如需詳細資訊，請參閱設定虛擬中樞路由偏好設定。

若有 ExpressRoute 線路以蝶形形式連線至虛擬 WAN 中樞，並且有獨立 VNet，則獨立 VNet 會使用何路徑前往虛擬 WAN 中樞？

針對新的部署，預設會封鎖此連線。若要允許此連線，您可以在入口網站的 [編輯虛擬中樞] 刀鋒視窗和 [虛擬網路網關] 刀鋒視窗中啟用這些 ExpressRoute 網關切換。不過，建議停用這些切換，並改為建立虛擬網絡連線，直接將獨立 VNet 連線至虛擬 WAN 中樞。之後，VNet 對 VNet 流量會透過虛擬 WAN 中樞路由器周遊，以提供比 ExpressRoute 路徑更好的效能。 ExpressRoute 路徑包含 ExpressRoute 閘道，其頻寬限制低於中樞路由器，以及 Microsoft Enterprise Edge 路由器/MSEE，這是數據路徑中的額外躍點。

在下圖中，必須啟用這兩個切換，以允許獨立 VNet 4 與直接連線至中樞 2 的 VNet 之間的連線（VNet 2 和 VNet 3）： 允許來自遠端虛擬網路 網關的虛擬網路流量，以及 允許來自虛擬中樞 ExpressRoute 網關之非虛擬網路 的流量。如果 Azure 路由伺服器部署在獨立 VNet 4 中，且路由伺服器已啟用分支對分支，則會封鎖 VNet 1 與獨立 VNet 4 之間的連線。

啟用或停用切換只會對下列流量產生影響：透過 ExpressRoute 線路在虛擬 WAN 中樞與獨立 VNet 之間傳輸的流量。啟用或停用切換不會對所有其他流量造成停機時間（例如：輪輻 VNet 2 的內部部署網站不會受到影響，VNet 2 至 VNet 3 不會受到影響等等）。

可以在虛擬 WAN 的不同資源群組中建立中樞嗎？

是。此選項目前僅可透過 PowerShell 取得。虛擬 WAN 入口網站會要求中樞與虛擬 WAN 資源本身位於相同的資源群組中。

中樞建立期間的建議中樞位址空間為何？

建議的虛擬 WAN 中樞位址空間為 /23。虛擬 WAN 中樞會將子網路指派給各種閘道 (ExpressRoute、站對站 VPN、點對站 VPN、Azure 防火牆、虛擬中樞路由器)。針對在虛擬中樞內部署 NVA 的情況，通常會為 NVA 執行個體劃分出 /28。不過，如果使用者要佈建多個 NVA，則可能會指派 /27 子網路。因此，考量到未來的架構，雖然虛擬 WAN 的最小部署大小為 /24，但建議使用者在建立時輸入 /23 作為中樞位址空間。

虛擬 WAN 中是否支援 IPv6？

虛擬 WAN 中樞和其閘道不支援 IPv6。如果您的 VNet 具有 IPv4 與 IPv6 支援，並且想要將 VNet 連線至虛擬 WAN，則此情況目前不受支援。

針對透過 Azure 防火牆進行網際網路分類的點對站使用者 VPN 案例，建議您關閉用戶端裝置上的 IPv6 連線功能，以將流量強制導向虛擬 WAN 中樞。這是因為根據預設，新式裝置預設會使用 IPv6 位址。

自動化各種虛擬 WAN 功能的指令碼所使用的建議 API 版本為何？

需要的最低版本為 05-01-2022 (2022 年 5 月 1 日)。

是否有任何虛擬 WAN 限制？

請參閱「訂用帳戶與服務限制」頁面上的虛擬 WAN 限制一節。

虛擬 WAN 類型 (基本和標準) 之間有何差異？

請參閱基本和標準虛擬 WAN。如需價格資訊，請參閱價格頁面。

虛擬 WAN 是否會儲存客戶資料？

否。虛擬 WAN 不會儲存任何客戶資料。

是否有任何受控服務提供者可以管理使用者即服務的虛擬 WAN？

是。如需透過 Azure Marketplace 啟用的受控服務提供 (MSP) 解決方案清單，請參閱 Azure 網路功能 MSP 合作夥伴的 Azure Marketplace 供應項目。

虛擬 WAN 中樞路由與 VNet 中的 Azure 路由伺服器有何不同？

Azure 虛擬 WAN 中樞和 Azure 路由伺服器都會提供邊界閘道協定 (BGP) 對等互連功能，而 NVA (網路虛擬設備) 可使用這些功能向使用者的 Azure 虛擬網路公告 NVA 中的 IP 位址。部署選項不同之處在於，Azure 路由伺服器通常是由自我管理的客戶中樞 VNet 所部署，而 Azure 虛擬 WAN 則會提供零觸控的完全網格狀中樞服務，客戶可將他們的各種輪輻端點 (Azure VNET、具有站對站 VPN 或 SDWAN 的內部部署分支、具有點對站/遠端使用者 VPN 的遠端使用者及具有 ExpressRoute 的私人連線) 連線至其中，並享有 BGP 對等互連 (適用於部署在輪輻 VNET 中的 NVA) 及其他 vWAN 功能，例如 VNet 對 VNet 的傳輸連線、VPN 與 ExpressRoute 之間的傳輸連線、自訂/進階路由、自訂路由關聯和傳播、可輕鬆確保區域間安全性的路由意圖/原則、安全中樞/Azure 防火牆等。如需虛擬 WAN BGP 對等互連的詳細資料，請參閱如何將 BGP 與虛擬中樞對等互連。

使用第三方安全性提供者 (Zscaler、iBoss 或 Checkpoint) 來保護網際網路流量時，為什麼 Azure 入口網站中未顯示與第三方安全性提供者相關聯的 VPN 站台？

當您選擇部署安全性合作夥伴提供者來保護使用者的網際網路存取時，協力廠商安全性提供者會代表您建立 VPN 網站。由於第三方安全性提供者是由提供者自動建立，而不是使用者建立的 VPN 站台，因此 Azure 入口網站不會顯示這類 VPN 站台。

如需有關協力廠商安全性提供者可用選項及如何進行設定的詳細資訊，請參閱部署安全性合作夥伴提供者。

內部部署環境所產生的 BGP 社群是否會保留在虛擬 WAN 中？

是，內部部署環境所產生的 BGP 社群將會保留在虛擬 WAN 中。

BGP 對等互連所產生的 BGP 社群（在連結虛擬網絡中）是否會保留在虛擬 WAN 中？

是，BGP 對等互連所產生的 BGP 社群將會保留在虛擬 WAN 中。社群會跨相同中樞和跨中樞連線保留。這也適用於使用路由意圖原則的虛擬 WAN 案例。

執行 BGP 的遠端連結內部部署網路支援哪些 ASN 號碼？

針對您的內部部署網路，您可以使用您自己的公用 ASN 或私人 ASN。您不能使用 Azure 或 IANA 所保留的範圍：

Azure 所保留的 ASN：
- 公用 ASN：8074、8075、12076
- 私人 ASNs：65515、65517、65518、65519、65520
- IANA 保留的 ASN：23456、64496-64511、65535-65551

是否有方法可變更 VPN 閘道的 ASN？

否。虛擬 WAN 不支援 VPN 閘道的 ASN 變更。

在虛擬 WAN中，ExpressRoute 閘道 SKU 的預估效能為何？

縮放單位	每秒連線數	每秒百萬位元	每秒封包數
1 縮放單位	14,000	2,000	200,000
2 縮放單位	28,000	4,000	400,000
3 縮放單位	42,000	6,000	600,000
4 縮放單位	56,000	8,000	800,000
5 縮放單位	70,000	10,000	1,000,000
6 縮放單位	84,000	12,000	1,200,000
7 縮放單位	98,000	14,000	1,400,000
8 縮放單位	112,000	16,000	1,600,000
9 縮放單位	126,000	18,000	1,800,000
10 縮放單位	140,000	20,000	2,000,000

*縮放單位 2-10，可在維護作業期間維持彙總輸送量。不過，在維護作業期間，縮放單位 1 可能會看到輸送量數目稍有變化。

如果我將 ExpressRoute 本機線路連線至虛擬 WAN 中樞，是否只能存取與本機線路位於相同都會區的區域？

本機線路只能連線至其對應 Azure 區域中的 ExpressRoute 閘道。不過，將流量路由傳送至其他區域中的輪輻虛擬網路時，並無相關限制。

為什麼我在入口網站中看到稱為「將路由器更新為最新軟體版本」的訊息和按鈕？

注意

自 2024 年 1 月起，虛擬 WAN 小組已開始將虛擬中樞升級至最新版本。如果您未升級中樞，但此時發現中樞的路由器版本顯示為「最新」，表示您的中樞已由虛擬 WAN 小組升級。

整個 Azure 的雲端服務基礎結構即將淘汰。虛擬 WAN 小組正努力將虛擬路由器從其目前的雲端服務基礎結構升級至以虛擬機器擴展集為基礎的部署。 所有新建立的虛擬中樞都會自動部署在以最新虛擬機器擴展集為基礎的基礎結構上。 如果您瀏覽至虛擬 WAN 中樞資源，並看到此訊息和按鈕，您可以按一下按鈕，將您的路由器升級至最新版本。如果您想要利用新的虛擬 WAN 功能，例如中樞之間的 BGP 對等互連，您必須透過 Azure 入口網站更新虛擬中樞路由器。若未看到按鈕，請開啟支援案例。

僅有當中樞內的所有資源 (閘道/路由表/VNET 連線) 處於成功狀態時，您才能更新虛擬中樞路由器。請確定您所有的輪輻虛擬網路都位於有效/已啟用訂用帳戶中，且您的輪輻虛擬網路未刪除。此外，因為此作業需要部署新的虛擬機器擴展集型虛擬中樞路由器，所以您將會面臨流經相同中樞的 VNet 對 VNet 流量有 1-2 分鐘的預期停機時間，而流經中樞的所有其他流量則會有 5-7 分鐘。在單一虛擬 WAN 資源內，中樞應該一次更新一個，而不是同時更新多個。當路由器版本顯示「最新」時，中樞就會完成更新。此更新之後不會有任何路由行為變更。

虛擬中樞路由器升級有若干事項需要注意：

如果您已在虛擬 WAN 中樞與輪輻 VNet 中的 NVA 之間設定 BGP 對等互連，則必須刪除並重新建立 BGP 對等互連。由於虛擬中樞路由器的 IP 位址在升級後會變更，您也必須重新設定 NVA，以與虛擬中樞路由器的新 IP 位址對等互連。這些 IP 位址在虛擬中樞的資源 JSON 中會顯示為 "virtualRouterIps" 欄位。
如果您在虛擬中樞有網路虛擬設備 (NVA)，您必須與 NVA 合作夥伴合作，以取得關於如何升級虛擬 WAN 中樞的指示。
如果您的虛擬中樞設定了超過 15 個路由基礎結構單位，請先將虛擬中樞縮減為 2 個路由基礎結構單位，再嘗試升級。升級中樞之後，您可以重新將中樞擴增至超過 15 個路由基礎結構單位。

如果更新因任何原因而失敗，您的中樞將會自動復原至舊版本，以確保仍有正常運作的設定。

其他注意事項：

使用者必須擁有擁有者或參與者角色，才能查看中樞路由器版本的精確狀態。如果使用者已獲指派虛擬 WAN 資源和描述的讀者角色，則即使中樞已經是最新版本，Azure 入口網站還是會向使用者顯示中樞路由器需要升級為最新版本。
如果您將輪輻虛擬網路的訂用帳戶狀態從停用變更為已啟用，然後升級虛擬中樞，則必須在虛擬中樞升級之後更新虛擬網路連線 (例如：您可以設定虛擬網路連線以傳播至虛擬標籤)。
如果您的中樞已連線到大量的輪輻虛擬網路（60 個以上），您可能會注意到升級后，1 或多個輪輻 VNet 對等互連會進入失敗狀態。若要在升級後將這些 VNet 對等互連還原為成功狀態，您可以設定虛擬網路連線以傳播至虛擬標籤，或者，您可以刪除並重新建立這些各自的 VNet 連線。

為什麼虛擬中樞路由器需要具有已開啟埠的公用IP位址？

Azure 的基礎 SDN 和管理平臺需要這些公用端點，才能與虛擬中樞路由器通訊。由於虛擬中樞路由器被視為客戶專用網的一部分，因此 Azure 的基礎平台由於合規性需求而無法透過其私人端點直接存取和管理中樞路由器。聯機到中樞路由器的公用端點會透過憑證進行驗證，Azure 會對這些公用端點進行例行安全性稽核。因此，它們不會構成虛擬中樞的安全性暴露。

連線到 Azure P2S VPN 閘道的 OpenVPN 用戶端是否有路由限制？

OpenVPN 用戶端的路由限制為 1000。

如何計算虛擬 WAN SLA？

虛擬 WAN 是具有 99.95% SLA 的網路即服務平台。不過，虛擬 WAN 結合許多不同的元件，例如 Azure 防火牆、站對站 VPN、ExpressRoute、點對站 VPN，以及虛擬 WAN 中樞/整合式網路虛擬設備。

每個元件的 SLA 會個別計算。例如，如果 ExpressRoute 有 10 分鐘的停機時間，ExpressRoute 的可用性會計算為 (最大可用分鐘數 - 停機時間) / 最大可用分鐘數 * 100。

您是否可在連線至中樞的輪輻 VNet 中變更 VNet 位址空間？

是，此作業可自動完成，無須更新或重設對等互連連線。您可以在這裡找到更多關於如何變更 VNet 位址空間的資訊。

虛擬 WAN 客戶控制的閘道維護作業

網路閘道的維護設定範圍包含哪些服務？

針對虛擬 WAN，您可以設定站對站 VPN 閘道和 ExpressRoute 閘道的維護時段。

客戶控制的維護支援或不支援哪一項維護？

Azure 服務會定期進行維護更新，以改善功能、可靠性、效能和安全性。設定資源的維護時段後，就會在該時段內執行客體 OS 和服務維護。就客戶關注的維護項目而言，這些更新佔了大多數。

客戶控制的維護未涵蓋基礎主機硬體和資料中心基礎結構更新。此外，如果發生高嚴重性安全性問題，而可能會危及我們的客戶，Azure 可能需要覆寫客戶對維護時段的控制，並推出變更。這類做法很罕見，只會在極端情況下使用。

我是否可取得維護的進階通知？

目前無法針對網路閘道資源的維護啟用進階通知。

我是否可設定少於五小時的維護時段？

目前，您必須在慣用時區中設定至少五個小時的時段。

我可以設定不會每天重複的維護排程嗎？

目前，您必須設定每日維護時段。

維護設定資源是否必須位於與閘道資源相同的區域中？

是。

至少須部署最小閘道縮放單位，才有資格進行客戶控制的維護嗎？

否。

將維護設定原則指派給閘道資源之後，需要多久才會生效？

在維護原則與閘道資源相關聯之後，網路閘道最多可能需要 24 小時才能遵循維護排程。

在共存案例中使用 VPN 和 ExpressRoute 時，應如何規劃維護時段？

在共存案例中使用 VPN 和 ExpressRoute 時，或有作為備份的資源時，建議您設定個別的維護時段。此方法可確保維護不會同時影響備份資源。

我已為其中一個資源排定未來日期的維護時段。在該日期之前，此資源是否將暫停維護活動？

否，在排定的維護時段之前的期間內，資源不會暫停維護活動。針對維護排程中未涵蓋的天數，維護會如往常在資源上繼續執行。

下一步

如需有關虛擬 WAN 的詳細資訊，請參閱關於虛擬 WAN。

共用方式為