Architektura připojení SD-WAN s využitím služby Azure Virtual WAN
Azure Virtual WAN je síťová služba, která spojuje řadu cloudových připojení a služeb zabezpečení s jedním provozním rozhraním. Mezi tyto služby patří větev (prostřednictvím sítě VPN typu Site-to-Site), vzdáleného uživatele (VPN typu Point-to-Site), privátní připojení (ExpressRoute), přenosná připojení v rámci cloudu pro virtuální sítě, propojení VPN a ExpressRoute, směrování, Azure Firewall a šifrování pro privátní připojení.
I když je Azure Virtual WAN cloudovou sítí SD-WAN, která poskytuje bohatou sadu služeb připojení, směrování a zabezpečení Azure první strany, služba Azure Virtual WAN je také navržená tak, aby umožňovala bezproblémové propojení s místními technologiemi a službami SD-WAN a SASE. Mnoho takových služeb nabízí náš ekosystém Virtual WAN a partneři spravovaných služeb (MSPs) pro sítě Azure. Podniky, které transformují svou privátní síť WAN na SD-WAN, mají možnosti při propojení privátní sítě SD-WAN se službou Azure Virtual WAN. Podniky si můžou vybrat z těchto možností:
- Přímý model interconnect
- Přímý model vzájemného propojení s centrem NVA-in-VWAN-Hub
- Nepřímý model interconnect
- Model spravované hybridní sítě WAN s využitím svého oblíbeného poskytovatele spravovaných služeb MSP
Ve všech těchto případech se propojení služby Virtual WAN s SD-WAN podobá straně připojení, ale může se lišit na orchestraci a provozní straně.
Přímý model interconnect
V tomto modelu architektury je místní zařízení (CPE) pobočky SD-WAN přímo připojené k rozbočovačům Virtual WAN prostřednictvím připojení IPsec. Pobočka CPE může být také připojena k jiným větvím prostřednictvím privátní sítě SD-WAN nebo pomocí služby Virtual WAN pro větvení připojení. Větve, které potřebují přistupovat ke svým úlohám v Azure, budou moci přímo a bezpečně přistupovat k Azure prostřednictvím tunelů IPsec, které jsou ukončeny v centrech Virtual WAN.
Partneři SD-WAN CPE můžou povolit automatizaci, aby mohli automatizovat běžně zdlouhavé a náchylné připojení protokolu IPsec z příslušných zařízení CPE. Automatizace umožňuje kontroleru SD-WAN komunikovat s Azure prostřednictvím rozhraní API virtual WAN ke konfiguraci lokalit Virtual WAN a nabízení nezbytné konfigurace tunelového propojení IPsec do větve CPEs. Přečtěte si pokyny pro automatizaci automatizace propojení Virtual WAN od různých partnerů SD-WAN.
SD-WAN CPE je i nadále místem, kde se implementuje a vynucuje optimalizace provozu a výběr cesty.
V tomto modelu nemusí být podporována optimalizace provozu proprietárního dodavatele na základě charakteristik provozu v reálném čase, protože připojení ke službě Virtual WAN je přes protokol IPsec a síť VPN IPsec se ukončí na bráně VPN služby Virtual WAN. Například výběr dynamické cesty ve větvi CPE je možný z důvodu výměny různých informací o síťových paketech s jiným uzlem SD-WAN, a proto identifikuje nejlepší propojení pro různé prioritní přenosy dynamicky ve větvi. Tato funkce může být užitečná v oblastech, kde je vyžadována optimalizace poslední míle (větev k nejbližšímu protokolu MICROSOFT POP).
Díky službě Virtual WAN můžou uživatelé získat výběr cesty Azure, což je výběr cesty na základě zásad napříč několika odkazy z pobočky CPE na brány VPN virtual WAN. Virtual WAN umožňuje nastavit více propojení (cest) ze stejné větve SD-WAN CPE; každý odkaz představuje duální tunelové připojení z jedinečné veřejné IP adresy SD-WAN CPE do dvou různých instancí služby Azure Virtual WAN VPN Gateway. Dodavatelé SD-WAN můžou implementovat optimální cestu k Azure na základě zásad provozu nastavených modulem zásad na odkazech CPE. Na konci Azure se všechna příchozí připojení zpracovávají stejně.
Přímý model vzájemného propojení s centrem NVA-in-VWAN-Hub
Tento model architektury podporuje nasazení síťového virtuálního zařízení třetí strany přímo do virtuálního centra. To umožňuje zákazníkům, kteří chtějí připojit svou pobočku CPE ke stejnému síťovému virtuálnímu zařízení ve virtuálním centru, aby mohli při připojování k úlohám Azure využívat výhody vlastních funkcí SD-WAN.
Několik partnerů virtual WAN pracovalo na tom, aby v rámci procesu nasazení automaticky nakonfigurovalo síťové virtuální zařízení. Po zřízení síťového virtuálního zařízení do virtuálního centra je potřeba provést jakoukoli další konfiguraci, která může být vyžadována pro síťové virtuální zařízení, prostřednictvím portálu partnerů síťového virtuálního zařízení nebo aplikace pro správu. Přímý přístup k síťovému virtuálnímu zařízení není k dispozici. Síťová virtuální zařízení, která jsou dostupná pro nasazení přímo do centra Azure Virtual WAN, jsou navržená speciálně pro použití ve virtuálním centru. Partneři, kteří podporují síťové virtuální zařízení v centru VWAN a jejich průvodci nasazením, najdete v článku Partneři pro Virtual WAN.
SD-WAN CPE je i nadále místem, kde se implementuje a vynucuje optimalizace provozu a výběr cesty. V tomto modelu je podporována optimalizace provozu proprietárního dodavatele na základě charakteristik provozu v reálném čase, protože připojení k Virtual WAN je prostřednictvím síťového virtuálního zařízení SD-WAN v centru.
Nepřímý model interconnect
V tomto modelu architektury jsou pobočky SD-WAN nepřímo připojené k rozbočovačům Virtual WAN. Jak ukazuje obrázek, virtuální cpe sítě SD-WAN se nasadí v podnikové virtuální síti. Tato virtuální cpe je zase připojená k rozbočovačům Virtual WAN pomocí protokolu IPsec. Virtuální CPE slouží jako brána SD-WAN do Azure. Větve, které potřebují přístup ke svým úlohám v Azure, k nim budou mít přístup přes bránu v-CPE.
Vzhledem k tomu, že připojení k Azure je přes bránu v-CPE (NVA), veškerý provoz do virtuálních sítí úloh Azure do jiných větví SD-WAN prochází přes síťové virtuální zařízení. V tomto modelu zodpovídá uživatel za správu a provoz síťového virtuálního zařízení SD-WAN, včetně vysoké dostupnosti, škálovatelnosti a směrování.
Model spravované hybridní sítě WAN
V tomto modelu architektury můžou podniky využívat spravovanou službu SD-WAN, kterou nabízí partner spravovaného poskytovatele služeb (MSP). Tento model se podobá přímým nebo nepřímým modelům popsaným výše. V tomto modelu ale poskytovatel SD-WAN poskytuje návrh, orchestraci a operace SD-WAN.
Partneři Azure Networking MSP můžou pomocí Azure Lighthouse implementovat službu SD-WAN a Virtual WAN v předplatném Azure podnikového zákazníka a provozovat komplexní hybridní síť WAN jménem zákazníka. Tito poskytovatelé cloudových služeb můžou také implementovat Azure ExpressRoute do služby Virtual WAN a provozovat ji jako ucelenou spravovanou službu.