Sd-WAN-connectiviteitsarchitectuur met Azure Virtual WAN
Azure Virtual WAN is een netwerkservice die veel cloudconnectiviteits- en beveiligingsservices combineert met één operationele interface. Deze services omvatten vertakking (via site-naar-site-VPN), externe gebruiker (punt-naar-site-VPN), privéconnectiviteit (ExpressRoute), connectiviteit tussen clouds voor VNets, VPN en ExpressRoute-interconnectiviteit, routering, Azure Firewall en versleuteling voor privéconnectiviteit.
Hoewel Azure Virtual WAN een sd-WAN in de cloud is dat een uitgebreide suite connectiviteit, routering en beveiligingsservices van Azure biedt, is Azure Virtual WAN ook ontworpen om naadloze interconnectie mogelijk te maken met on-premises SD-WAN- en SASE-technologieën en -services. Veel dergelijke services worden aangeboden door ons Virtual WAN-ecosysteem en Azure Networking Managed Services-partners (MSP's). Ondernemingen die hun privé-WAN transformeren naar SD-WAN, hebben opties bij het verbinden van hun privé-SD-WAN met Azure Virtual WAN. Ondernemingen kunnen kiezen uit deze opties:
- Direct Interconnect-model
- Direct Interconnect-model met NVA-in-VWAN-hub
- Indirect Interconnect-model
- Beheerd Hybride WAN-model met behulp van hun favoriete MSP van beheerde serviceprovider
In al deze gevallen is de interconnectie van Virtual WAN met SD-WAN vergelijkbaar aan de verbindingszijde, maar kan verschillen aan de indelings- en operationele kant.
Direct Interconnect-model
In dit architectuurmodel is de SD-WAN-vertakking klant-premises apparatuur (CPE) rechtstreeks verbonden met Virtual WAN-hubs via IPsec-verbindingen. De vertakkingS CPE kan ook worden verbonden met andere vertakkingen via de privé-SD-WAN of Virtual WAN gebruiken voor vertakkingsconnectiviteit. Vertakkingen die toegang moeten hebben tot hun workloads in Azure, hebben rechtstreeks en veilig toegang tot Azure via de IPsec-tunnel(s) die zijn beëindigd in de Virtual WAN-hub(s).
SD-WAN CPE-partners kunnen automatisering inschakelen om de normaal tijdrovende en foutgevoelige IPsec-connectiviteit van hun respectieve CPE-apparaten te automatiseren. Met Automation kan de SD-WAN-controller met Azure communiceren via de Virtual WAN-API om de Virtual WAN-sites te configureren en de benodigde IPsec-tunnelconfiguratie naar de vertakkings-CPU's te pushen. Zie de automatiseringsrichtlijnen voor de beschrijving van automatisering van Virtual WAN-verbindingen door verschillende SD-WAN-partners.
De SD-WAN CPE blijft de plaats waar verkeersoptimalisatie en padselectie worden geïmplementeerd en afgedwongen.
In dit model wordt een aantal bedrijfseigen verkeersoptimalisaties van de leverancier mogelijk niet ondersteund op basis van realtime verkeerskenmerken, omdat de connectiviteit met Virtual WAN via IPsec is en de IPsec VPN wordt beëindigd op de Virtual WAN VPN-gateway. Dynamische padselectie op de vertakkingS CPE is bijvoorbeeld haalbaar omdat het vertakkingsapparaat verschillende netwerkpakketgegevens uitwisselt met een ander SD-WAN-knooppunt, waardoor de beste koppeling wordt geïdentificeerd die moet worden gebruikt voor verschillende verkeer met prioriteit dynamisch in de vertakking. Deze functie kan nuttig zijn in gebieden waar optimalisatie van laatste mijl (vertakking naar de dichtstbijzijnde Microsoft POP) is vereist.
Met Virtual WAN kunnen gebruikers Selectie van Azure-pad ophalen. Dit is op beleid gebaseerde padselectie tussen meerdere ISP-koppelingen van de vertakking CPE naar Virtual WAN VPN-gateways. Virtual WAN maakt het mogelijk om meerdere koppelingen (paden) van dezelfde SD-WAN-vertakking CPE in te stellen; elke koppeling vertegenwoordigt een dubbele tunnelverbinding vanaf een uniek openbaar IP-adres van de SD-WAN CPE naar twee verschillende exemplaren van azure Virtual WAN VPN-gateway. SD-WAN-leveranciers kunnen het meest optimale pad naar Azure implementeren op basis van verkeersbeleid dat is ingesteld door hun beleidsengine op de CPE-koppelingen. Aan het einde van Azure worden alle verbindingen die binnenkomen, gelijk behandeld.
Direct Interconnect-model met NVA-in-VWAN-hub
Dit architectuurmodel ondersteunt de implementatie van een nvA (Network Virtual Appliance) van derden rechtstreeks naar de virtuele hub. Hierdoor kunnen klanten die hun vertakking CPE willen verbinden met hetzelfde merk NVA in de virtuele hub, zodat ze kunnen profiteren van eigen end-to-end SD-WAN-mogelijkheden wanneer ze verbinding maken met Azure-workloads.
Verschillende Virtual WAN-partners hebben gewerkt om een ervaring te bieden waarmee de NVA automatisch wordt geconfigureerd als onderdeel van het implementatieproces. Zodra de NVA is ingericht in de virtuele hub, moet u eventuele aanvullende configuraties uitvoeren die nodig zijn voor de NVA via de NVA-partnerportal of beheertoepassing. Directe toegang tot de NVA is niet beschikbaar. De NVA's die rechtstreeks in de Azure Virtual WAN-hub kunnen worden geïmplementeerd, worden speciaal ontworpen voor gebruik in de virtuele hub. Zie het artikel Virtual WAN-partners voor partners die NVA ondersteunen in de VWAN-hub en hun implementatiehandleidingen.
De SD-WAN CPE blijft de plaats waar verkeersoptimalisatie en padselectie worden geïmplementeerd en afgedwongen. In dit model wordt bedrijfseigen verkeersoptimalisatie van leveranciers ondersteund op basis van realtime verkeerskenmerken, omdat de connectiviteit met Virtual WAN via de SD-WAN NVA in de hub is.
Indirect Interconnect-model
In dit architectuurmodel zijn SD-WAN-vertakkings-CPU's indirect verbonden met Virtual WAN-hubs. Zoals in de afbeelding wordt weergegeven, wordt een virtuele SD-WAN-CPE geïmplementeerd in een enterprise-VNet. Deze virtuele CPE is op zijn beurt verbonden met de Virtual WAN-hub(s) met behulp van IPsec. De virtuele CPE fungeert als een SD-WAN-gateway in Azure. Vertakkingen die toegang nodig hebben tot hun workloads in Azure, hebben toegang tot deze branches via de v-CPE-gateway.
Omdat de connectiviteit met Azure via de V-CPE-gateway (NVA) is, gaat al het verkeer van en naar Azure-workload-VNets naar andere SD-WAN-vertakkingen via de NVA. In dit model is de gebruiker verantwoordelijk voor het beheren en uitvoeren van de SD-WAN NVA, waaronder hoge beschikbaarheid, schaalbaarheid en routering.
Beheerd Hybrid WAN-model
In dit architectuurmodel kunnen ondernemingen gebruikmaken van een beheerde SD-WAN-service die wordt aangeboden door een MSP-partner (Managed Service Provider). Dit model is vergelijkbaar met de hierboven beschreven directe of indirecte modellen. In dit model worden het SD-WAN-ontwerp, de indeling en de bewerkingen echter geleverd door de SD-WAN-provider.
Azure Networking MSP-partners kunnen Azure Lighthouse gebruiken om de SD-WAN- en Virtual WAN-service te implementeren in het Azure-abonnement van de enterprise-klant, en het end-to-end hybride WAN namens de klant te gebruiken. Deze MSP's kunnen Azure ExpressRoute ook implementeren in virtual WAN en deze gebruiken als een end-to-end beheerde service.