Condividi tramite


Novità della rete WAN virtuale di Azure

La rete WAN virtuale di Azure viene aggiornata regolarmente. Restare aggiornati con gli ultimi annunci. Questo articolo illustra quanto segue:

  • Versioni recenti
  • Anteprime in corso con limitazioni note (se applicabile)
  • Problemi noti
  • Funzionalità deprecate (se applicabile)

È anche possibile trovare gli aggiornamenti della rete WAN virtuale di Azure più recenti e sottoscrivere il feed RSS qui.

Versioni recenti

Definizione dei percorsi di trasferimento

Type Area Nome Descrizione Data di aggiunta Limiti
Metric Routing Nuove metriche dell'hub virtuale Sono ora disponibili due nuove metriche dell'hub rete WAN virtuale che visualizzano l'utilizzo della capacità e della macchina virtuale spoke dell'hub virtuale: Unità di infrastruttura di routing e utilizzo vm spoke. Agosto 2024 La metrica utilizzo delle macchine virtuali spoke rappresenta un numero approssimativo di macchine virtuali spoke distribuite come percentuale del numero totale di macchine virtuali spoke supportate dalle unità dell'infrastruttura di routing dell'hub.
Funzionalità Definizione dei percorsi di trasferimento Finalità di routing La finalità di routing è il meccanismo attraverso il quale è possibile configurare la rete WAN virtuale per inviare traffico privato o Internet tramite una soluzione di sicurezza distribuita nell'hub. Maggio 2023 La finalità di routing è disponibile a livello generale nel cloud pubblico di Azure. Vedere la documentazione per altre limitazioni.
Funzionalità Definizione dei percorsi di trasferimento Preferenze di routing dell'hub virtuale La preferenza di routing dell'hub offre un maggiore controllo sull'infrastruttura, consentendo di selezionare il modo in cui il traffico viene instradato quando un router hub virtuale apprende più route tra connessioni VPN da sito a sito, ER e SD-WAN. Ottobre 2022
Funzionalità Definizione dei percorsi di trasferimento Ignorare l'IP dell'hop successivo per i carichi di lavoro all'interno di una rete virtuale spoke connessa all'hub della rete WAN virtuale disponibile a livello generale Ignorando l'IP dell'hop successivo per i carichi di lavoro all'interno di una rete virtuale spoke connessa all'hub della rete WAN virtuale, è possibile distribuire e accedere ad altre risorse nella rete virtuale con l'appliance virtuale di rete senza alcuna configurazione aggiuntiva. Ottobre 2022
SKU/Funzionalità/Convalida Definizione dei percorsi di trasferimento Endpoint BGP (disponibilità generale) Il router dell'hub virtuale ora espone la possibilità di eseguire il peering, scambiando quindi le informazioni di routing direttamente tramite il protocollo di routing Border Gateway Protocol (BGP). Giugno 2022
Funzionalità Definizione dei percorsi di trasferimento 0.0.0.0/0 tramite appliance virtuale di rete nello spoke Possibilità di inviare traffico Internet a un'appliance virtuale di rete in spoke per l'uscita. Marzo 2021 0.0.0.0/0 non viene propagata tra hub.

Non è possibile specificare più prefissi pubblici con indirizzi IP di hop successivi diversi.

Appliance virtuali di rete e soluzioni di terze parti integrate

Type Area Nome Descrizione Data di aggiunta Limiti
Funzionalità Appliance virtuali di rete (NVA)/Soluzioni di terze parti integrate negli hub della rete WAN virtuale Anteprima pubblica delle appliance virtuali di rete firewall di nuova generazione in ingresso/DNAT Internet La NAT di destinazione per appliance virtuali di rete nell'hub della rete WAN virtuale consente di pubblicare applicazioni per gli utenti in Internet senza esporre direttamente l'indirizzo IP pubblico dell'applicazione o del server. I consumer accedono alle applicazioni tramite un indirizzo IP pubblico assegnato a un'appliance virtuale di rete firewall. Febbraio 2024 Supportato per firewall di nuova generazione Fortinet, Check Point CloudGuard. Per l'elenco completo delle limitazioni e delle considerazioni, vedere la documentazione DNAT.
Funzionalità SaaS (Software-as-a-service) Palo Alto Networks Cloud NGFW Disponibilità generale di Palo Alto Networks Cloud NGFW, la prima offerta di sicurezza software-as-a-serivce distribuibile all'interno dell'hub della rete WAN virtuale. Luglio 2023 Palo Alto Networks Cloud NGFW è ora distribuibile in tutti gli hub della rete WAN virtuale (nuovi e vecchi). Per un elenco completo delle limitazioni e della disponibilità a livello di area, vedere Limitazioni di Palo Alto Networks Cloud NGFW. Stesse limitazioni della finalità di routing.
Funzionalità Appliance virtuali di rete (NVA)/Soluzioni di terze parti integrate negli hub della rete WAN virtuale Fortinet NGFW Disponibilità generale delle appliance virtuali di rete Fortinet NGFW e Fortinet SD-WAN/NGFW a doppio ruolo. Maggio 2023 Stesse limitazioni della finalità di routing. Non supporta lo scenario in ingresso di Internet.
Funzionalità Appliance virtuali di rete (NVA)/Soluzioni di terze parti integrate negli hub della rete WAN virtuale Check Point CloudGuard Network Security per la rete WAN virtuale di Azure Disponibilità generale dell’appliance virtuale di rete Check Point CloudGuard Network Security distribuibile da Azure Marketplace all'interno dell'hub della rete WAN virtuale in tutte le aree di Azure. Maggio 2023 Stesse limitazioni della finalità di routing. Non supporta lo scenario in ingresso di Internet.
Funzionalità Appliance virtuali di rete (NVA)/Soluzioni di terze parti integrate negli hub della rete WAN virtuale Versa SD-WAN Anteprima di Versa SD-WAN. Novembre 2021
Funzionalità Appliance virtuali di rete (NVA)/Soluzioni di terze parti integrate negli hub della rete WAN virtuale Cisco Viptela, Barracuda e VMware (Velocloud) SD-WAN Disponibilità generale delle soluzioni SD-WAN nella rete WAN virtuale. Giugno/luglio 2021

ExpressRoute

Type Area Nome Descrizione Data di aggiunta Limiti
Funzionalità ExpressRoute Le metriche di ExpressRoute possono essere esportate come log di diagnostica Aprile 2023
Funzionalità ExpressRoute La pagina del circuito ExpressRoute mostra ora la connessione vWAN Agosto 2022

Da sito a sito

Type Area Nome Descrizione Data di aggiunta Limiti
Funzionalità Connettività del ramo/VPN da sito a sito BGP multi-APIPA Possibilità di specificare più indirizzi IP BGP personalizzati per le istanze del gateway VPN nella rete WAN virtuale. Giugno 2022 Attualmente disponibile solo tramite il portale. (Non ancora disponibile in PowerShell)
Funzionalità Connettività del ramo/VPN da sito a sito Selettori traffico personalizzati Possibilità di specificare quali coppie di selettori di traffico negoziano il gateway VPN da sito a sito Maggio 2022 Azure negozia i selettori di traffico per tutte le coppie di prefissi remoti e locali. Non è possibile specificare singole coppie di selettori di traffico da negoziare.
Funzionalità Connettività del ramo/VPN da sito a sito Opzioni di modalità di connessione da sito a sito Possibilità di configurare se il gateway del cliente o della rete WAN virtuale deve avviare la connessione da sito a sito durante la creazione di una nuova connessione da sito a sito. Febbraio 2022
Funzionalità Connettività del ramo/VPN da sito a sito Acquisizione pacchetti Possibilità per il cliente di eseguire acquisizioni di pacchetti nel gateway VPN da sito a sito. Novembre 2021
Funzionalità Connettività del ramo/VPN da sito a sito

Connettività utente remoto/VPN da punto a sito
Routing hot-potato e routing cold-potato per il traffico VPN Possibilità di specificare la preferenza POP Microsoft o ISP per il traffico in uscita VPN di Azure. Per altre informazioni, vedere Preferenza di routing in Azure. Giugno 2021 Questo parametro può essere specificato solo in fase di creazione del gateway e non può essere modificato dopo l’operazione.
Funzionalità Connettività del ramo/VPN da sito a sito NAT Possibilità di sovrapporre indirizzi NAT tra rami VPN da sito a sito e tra rami VPN da sito a sito e Azure. Marzo 2021 La NAT non è supportata con connessioni VPN basate su criteri.

VPN utente (da punto a sito)

Type Area Nome Descrizione Data di aggiunta Limiti
Funzionalità Connettività utente remoto/VPN da punto a sito Gruppi di utenti e pool di indirizzi IP per VPN utente da punto a sito Possibilità di configurare VPN utente da punto a sito per assegnare gli indirizzi IP degli utenti da pool di indirizzi specifici in base alle proprie credenziali di identità o autenticazione. Maggio 2023
Funzionalità Connettività utente remoto/VPN da punto a sito Inclusione/esclusione del profilo globale Possibilità di contrassegnare un gateway da punto a sito come "escluso", ovvero gli utenti che si connettono al profilo globale non saranno con carico bilanciato con tale gateway. Febbraio 2022
Funzionalità Connettività utente remoto/VPN da punto a sito Tunneling forzato per VPN da punto a sito Possibilità di forzare tutto il traffico verso la rete WAN virtuale di Azure per l'uscita. Ottobre 2021 Disponibile solo per il client VPN di Azure di versione 2:1900:39.0 o successiva.
Funzionalità Connettività utente remoto/VPN da punto a sito Client VPN di Azure macOS Disponibilità generale del client VPN di Azure per macOS. Agosto 2021
Funzionalità Connettività del ramo/VPN da sito a sito

Connettività utente remoto/VPN da punto a sito
Routing hot-potato e routing cold-potato per il traffico VPN Possibilità di specificare la preferenza POP Microsoft o ISP per il traffico in uscita VPN di Azure. Per altre informazioni, vedere Preferenza di routing in Azure. Giugno 2021 Questo parametro può essere specificato solo in fase di creazione del gateway e non può essere modificato dopo l’operazione.
Funzionalità Connettività utente remoto/VPN da punto a sito Server RADIUS remoto Possibilità per un gateway VPN da punto a sito di inoltrare il traffico di autenticazione a un server RADIUS in una rete virtuale connessa a un hub diverso o a un server RADIUS ospitato in locale. Aprile 2021
Funzionalità Connettività utente remoto/VPN da punto a sito Server RADIUS doppio Possibilità di specificare i server RADIUS primari e di backup per il traffico di autenticazione del servizio. Marzo 2021
Funzionalità Connettività utente remoto/VPN da punto a sito Criteri IPsec personalizzati Possibilità di specificare i parametri di connessione/crittografia per le connessioni da punto a sito IKEv2. Marzo 2021 Supportato solo per le connessioni basate su IKEv2.

Visualizzare l'elenco dei parametri disponibili.
SKU Connettività utente remoto/VPN da punto a sito Supportare fino a 100.000 utenti connessi a un singolo hub È stato aumentato il numero massimo di utenti simultanei connessi a un singolo gateway a 100.000. Marzo 2021
Funzionalità Connettività utente remoto/VPN da punto a sito Metodi di autenticazione multipli Possibilità per un singolo gateway di usare più meccanismi di autenticazione. Giugno 2023 Supportato per i gateway che eseguono tutte le combinazioni di protocolli. Si noti che l'autenticazione di Azure AD richiede ancora l'uso di OpenVPN

Anteprima

Le seguenti funzionalità sono attualmente in anteprima pubblica gestita. Se, dopo aver consultato gli articoli elencati, si hanno domande o è necessaria assistenza, contattare l'alias di contatto (se disponibile) che corrisponde alla funzionalità.

Tipo di anteprima Funzionalità Descrizione Alias di contatto Limiti
Anteprima gestita Mappe di route Questa funzionalità consente di eseguire aggregazioni di route, filtrare le route e modificare gli attributi BGP per le route nella rete WAN virtuale. preview-route-maps@microsoft.com Le limitazioni note sono visualizzate qui: Informazioni sulle mappe di route.
Anteprima gestita Aruba EdgeConnect SD-WAN Distribuzione dell’appliance virtuale di rete Aruba EdgeConnect SD-WAN nell'hub della rete WAN virtuale preview-vwan-aruba@microsoft.com

Problemi noti

# Problema Descrizione Data della prima segnalazione Strategia di riduzione del rischio
1 Connettività ExpressRoute con Archiviazione di Azure e la route 0.0.0.0/0 Se è stata configurata una route 0.0.0.0/0 in modo statico in una tabella di route dell'hub virtuale o in modo dinamico tramite un'appliance virtuale di rete per l'ispezione del traffico, il traffico ignora l'ispezione quando è destinato ad Archiviazione di Azure e si trova nella stessa area del gateway ExpressRoute nell'hub virtuale. Come soluzione alternativa, è possibile usare il collegamento privato per accedere ad Archiviazione di Azure o inserire il servizio Archiviazione di Azure in un'area diversa rispetto all'hub virtuale.
2 Le route predefinite (0/0) non verranno propagate tra hub Le route 0/0 non verranno propagate tra due hub della rete WAN virtuale. Giugno 2020 Nessuno. Nota: mentre il team della rete WAN virtuale ha risolto il problema per cui le route statiche definite nella sezione route statica della pagina di peering reti virtuali si propagano nelle tabelle di route elencate in "propaga nelle tabelle di route" o nelle etichette elencate in "propaga nelle tabelle di route" nella pagina di connessione della rete virtuale, le route predefinite (0/0) non verranno propagate tra hub.
3 Due circuiti ExpressRoute nella stessa posizione di peering connessi a più hub Se si dispone di due circuiti ExpressRoute nella stessa posizione di peering ed entrambi i circuiti sono connessi a più hub virtuali nella stessa rete WAN virtuale, la connettività alle risorse di Azure potrebbe essere influenzata da ciò. Luglio 2023 Assicurarsi che a ogni hub virtuale sia connessa almeno 1 rete virtuale. In questo modo si garantisce la connettività alle risorse di Azure. Il team della rete WAN virtuale sta lavorando anche a una soluzione per questo problema.
4 Supporto ECMP di ExpressRoute Attualmente ECMP di ExpressRoute non è abilitato per impostazione predefinita per le distribuzioni dell'hub virtuale. Quando più circuiti ExpressRoute sono connessi a un hub della rete WAN virtuale, ECMP consente il traffico dalle reti virtuali spoke all'ambiente locale tramite ExpressRoute per essere distribuito in tutti i circuiti ExpressRoute che annunciano le stesse route locali. Per abilitare ECMP per l'hub rete WAN virtuale, contattare virtual-wan-ecmp@microsoft.com il 1° gennaio 2025.
5 I prefissi degli indirizzi dell'hub della rete WAN virtuale non vengono annunciati ad altri hub della rete WAN virtuale nella stessa rete WAN virtuale. Non è possibile sfruttare le funzionalità di routing con rete WAN virtuale da hub a hub con mesh completa per fornire connettività tra il software di orchestrazione dell'appliance virtuale di rete, distribuito in una rete virtuale o in locale, connesso a un hub della rete WAN virtuale e a una soluzione SaaS o a un’appliance virtuale di rete integrata distribuita in un hub della rete WAN virtuale diverso. Se l'appliance virtuale di rete o l'agente di orchestrazione SaaS viene distribuito in locale, connettere il sito locale a tutti gli hub della rete WAN virtuale con appliance virtuali di rete o soluzioni SaaS distribuite in essi. Se l'agente di orchestrazione si trova in una rete virtuale di Azure, gestire le appliance virtuali di rete o le soluzioni SaaS usando l'indirizzo IP pubblico. Il supporto per gli agenti di orchestrazione della rete virtuale di Azure fa parte della roadmap.
6 Configurazione della finalità di routing per il routing tra connettività e appliance virtuali di rete firewall nello stesso hub della rete WAN virtuale rete WAN virtuale criteri di routing privato della finalità di routing non supporta il routing tra un'appliance virtuale di rete SD-WAN e una soluzione di appliance virtuale di rete del firewall (o soluzione SaaS) distribuita nello stesso hub virtuale. Distribuire le appliance virtuali di rete integrate del firewall e della connettività in due hub diversi nella stessa area di Azure. In alternativa, distribuire l'appliance virtuale di rete di connettività a una rete virtuale spoke connessa all'hub della rete WAN virtuale e sfruttare il peering BGP.
7 Il BGP tra il router dell'hub della rete WAN virtuale e le appliance virtuali di rete distribuite nell'hub della rete WAN virtuale non viene visualizzato se l'ASN usato per il peering BGP viene aggiornato dopo la distribuzione. Il router dell'hub virtuale prevede che l'appliance virtuale di rete nell'hub usi l'ASN configurato nel router quando l'appliance virtuale di rete è stata distribuita per la prima volta. L'aggiornamento dell'ASN associato all'appliance virtuale di rete nella risorsa appliance virtuale di rete non registra correttamente il nuovo ASN con il router dell'hub virtuale, in modo che il router rifiuti le sessioni BGP dall'appliance virtuale di rete se il sistema operativo dell'appliance virtuale di rete è configurato per l'uso del nuovo ASN. Eliminare e ricreare l'appliance virtuale di rete nell'hub della rete WAN virtuale con l'ASN corretto.
8 La pubblicità della route predefinita (0.0.0.0/0) da locale (VPN, ExpressRoute, endpoint BGP) o configurata in modo statico in una connessione di rete virtuale non è supportata per i casi d'uso di tunneling forzato. La route 0.0.0.0/0 annunciata dall'ambiente locale (o configurata in modo statico in una connessione di rete virtuale) non viene applicata al Firewall di Azure o ad altre soluzioni di sicurezza distribuite nell'hub della rete WAN virtuale. I pacchetti controllati dalla soluzione di sicurezza nell'hub vengono instradati direttamente a Internet, ignorando la route appresa dall'ambiente locale Pubblicare la route predefinita solo dall'ambiente locale in scenari hub non sicuri.
9 Le operazioni di aggiornamento delle finalità di routing hanno esito negativo nelle distribuzioni in cui la risorsa hop successivo dei criteri di routing privato è una soluzione NVA o SaaS. Nelle distribuzioni in cui i criteri di routing privato sono configurati con l'appliance virtuale di rete hop successivo o soluzioni SaaS insieme a prefissi privati aggiuntivi, la modifica della finalità di routing ha esito negativo. Esempi di operazioni che hanno esito negativo sono l'aggiunta o la rimozione di criteri di routing Internet o privati. Questo problema noto non influisce sulle distribuzioni senza prefissi privati aggiuntivi configurati. Rimuovere eventuali prefissi privati aggiuntivi, aggiornare la finalità di routing e quindi riconfigurare prefissi privati aggiuntivi.
10 Il traffico DNAT non viene inoltrato all'appliance virtuale di rete dopo aver associato un indirizzo IP aggiuntivo. Dopo aver associato indirizzi IP aggiuntivi a un'appliance virtuale di rete che dispone già di regole di sicurezza in ingresso attive, il traffico DNAT non viene inoltrato correttamente all'appliance virtuale di rete a causa di un difetto del codice. Novembre 2024 Usare il software di orchestrazione/gestione dei partner per modificare (creare o eliminare regole di sicurezza in ingresso esistenti) configurate per ripristinare la connettività.
11 Scalabilità della configurazione delle regole di sicurezza in ingresso La configurazione delle regole di sicurezza in ingresso potrebbe non riuscire quando vengono configurate regole di grandi dimensioni (circa 100). Novembre 2024 Nessuna, contattare il supporto tecnico di Azure per altre informazioni.

Passaggi successivi

Per altre informazioni sulla rete WAN virtuale di Azure, vedere Informazioni sulla rete WAN virtuale di Azure e le domande frequenti.