Udostępnij za pośrednictwem

Architektura łączności SD-WAN z usługą Azure Virtual WAN

  • Artykuł

Azure Virtual WAN to usługa sieciowa, która łączy wiele usług łączności w chmurze i zabezpieczeń z jednym interfejsem operacyjnym. Te usługi obejmują gałąź (za pośrednictwem sieci VPN typu lokacja-lokacja), połączenie użytkownika zdalnego (vpn typu punkt-lokacja), łączność prywatna (ExpressRoute), łączność przechodnia wewnątrz chmury dla sieci wirtualnych, sieci VPN i połączenia usługi ExpressRoute, routingu, usługi Azure Firewall i szyfrowania na potrzeby łączności prywatnej.

Chociaż usługa Azure Virtual WAN to oparta na chmurze usługa SD-WAN, która zapewnia bogaty zestaw usług łączności, routingu i zabezpieczeń platformy Azure, usługa Azure Virtual WAN została zaprojektowana w celu zapewnienia bezproblemowego połączenia z lokalnymi technologiami SD-WAN i SASE oraz usługami. Wiele takich usług jest oferowanych przez nasz ekosystem usługi Virtual WAN i partnerów azure Networking Managed Services (MSPs). Przedsiębiorstwa, które przekształcają prywatną sieć WAN na SD-WAN, mają opcje podczas łączenia prywatnej sieci SD-WAN z usługą Azure Virtual WAN. Przedsiębiorstwa mogą wybierać spośród następujących opcji:

  • Model połączeń bezpośrednich
  • Model połączenia bezpośredniego z urządzeniem WUS-in-VWAN-hub
  • Model pośredniego połączenia międzyoperaowego
  • Zarządzany model hybrydowej sieci WAN przy użyciu ulubionego dostawcy usług zarządzanych MSP

We wszystkich tych przypadkach wzajemne połączenie usługi Virtual WAN z siecią SD-WAN jest podobne z boku łączności, ale może się różnić po stronie aranżacji i działania.

Model połączeń bezpośrednich

Diagram przedstawiający bezpośredni model połączenia wzajemnego.

W tym modelu architektury sprzęt klienta (CPE) odgałęzienia SD-WAN jest bezpośrednio połączony z koncentratorami usługi Virtual WAN za pośrednictwem połączeń IPsec. Gałąź CPE może być również połączona z innymi gałęziami za pośrednictwem prywatnej sieci SD-WAN lub użyć wirtualnej sieci WAN do łączności gałęzi. Gałęzie, które muszą uzyskiwać dostęp do obciążeń na platformie Azure, będą mogły bezpośrednio i bezpiecznie uzyskiwać dostęp do platformy Azure za pośrednictwem tuneli IPsec zakończonych w koncentratorach usługi Virtual WAN.

Partnerzy SD-WAN CPE mogą włączyć automatyzację w celu zautomatyzowania zwykle żmudnej i podatnej na błędy łączności IPsec z odpowiednich urządzeń CPE. Automatyzacja umożliwia kontrolerowi SD-WAN komunikację z platformą Azure za pośrednictwem interfejsu API wirtualnej sieci WAN w celu skonfigurowania lokacji usługi Virtual WAN i wypychania niezbędnej konfiguracji tunelu protokołu IPsec do gałęzi CPE. Zobacz Wskazówki dotyczące automatyzacji, aby zapoznać się z opisem automatyzacji połączeń usługi Virtual WAN przez różnych partnerów SD-WAN.

Sd-WAN CPE nadal jest miejscem, w którym optymalizacja ruchu i wybór ścieżki jest implementowany i wymuszany.

W tym modelu niektóre zastrzeżone optymalizacje ruchu dostawcy oparte na cechach ruchu w czasie rzeczywistym mogą nie być obsługiwane, ponieważ łączność z wirtualną siecią WAN odbywa się za pośrednictwem protokołu IPsec, a sieć VPN protokołu IPsec jest przerywana w bramie sieci VPN usługi Virtual WAN. Na przykład wybór ścieżki dynamicznej w gałęzi CPE jest wykonalny ze względu na urządzenie gałęzi wymieniające różne informacje o pakiecie sieciowym z innym węzłem SD-WAN, dlatego identyfikując najlepsze łącze do użycia dla różnych priorytetowych ruchu dynamicznie w gałęzi. Ta funkcja może być przydatna w obszarach, w których wymagana jest optymalizacja ostatniej mili (gałąź najbliższego programu Microsoft POP).

Dzięki wirtualnej sieci WAN użytkownicy mogą uzyskać wybór ścieżki platformy Azure, czyli wybór ścieżki opartej na zasadach w wielu linkach usługodawcy internetowego z gałęzi CPE do bram sieci VPN usługi Virtual WAN. Usługa Virtual WAN umożliwia konfigurację wielu łączy (ścieżek) z tej samej gałęzi SD-WAN CPE; każdy link reprezentuje połączenie z podwójnym tunelem z unikatowego publicznego adresu IP standardu SD-WAN CPE do dwóch różnych wystąpień bramy sieci VPN usługi Azure Virtual WAN. Dostawcy SD-WAN mogą zaimplementować najbardziej optymalną ścieżkę do platformy Azure na podstawie zasad ustawionych przez aparat zasad w linkach CPE. Na końcu platformy Azure wszystkie połączenia przychodzące są traktowane równie.

Model połączenia bezpośredniego z urządzeniem WUS-in-VWAN-hub

Diagram modelu bezpośredniego połączenia z urządzeniem WUS-in-VWAN-hub.

Ten model architektury obsługuje wdrażanie wirtualnego urządzenia sieciowego innej firmy bezpośrednio w koncentratorze wirtualnym. Dzięki temu klienci, którzy chcą połączyć swój oddział CPE z tym samym urządzeniem WUS marki w koncentratorze wirtualnym, dzięki czemu mogą korzystać z zastrzeżonych funkcji SD-WAN podczas nawiązywania połączenia z obciążeniami platformy Azure.

Kilku partnerów usługi Virtual WAN pracowało nad zapewnieniem środowiska, które automatycznie konfiguruje urządzenie WUS w ramach procesu wdrażania. Po aprowizacji urządzenia WUS w koncentratonie wirtualnym należy wykonać dodatkową konfigurację, która może być wymagana dla urządzenia WUS za pośrednictwem portalu partnerów urządzenia WUS lub aplikacji do zarządzania. Bezpośredni dostęp do urządzenia WUS nie jest dostępny. Urządzenia WUS, które są dostępne do wdrożenia bezpośrednio w koncentratorze usługi Azure Virtual WAN, są przeznaczone specjalnie do użycia w koncentratorze wirtualnym. Partnerzy, którzy obsługują urządzenie WUS w centrum VWAN i przewodniki wdrażania, zobacz artykuł Virtual WAN Partners (Partnerzy usługi Virtual WAN).

Sd-WAN CPE nadal jest miejscem, w którym optymalizacja ruchu i wybór ścieżki jest implementowany i wymuszany. W tym modelu obsługiwana jest zastrzeżona optymalizacja ruchu dostawcy oparta na cechach ruchu w czasie rzeczywistym, ponieważ łączność z wirtualną siecią WAN odbywa się za pośrednictwem wirtualnego urządzenia WAN SD-WAN w koncentratorze.

Model pośredniego połączenia międzyoperaowego

Diagram modelu pośredniego połączenia wzajemnego.

W tym modelu architektury cpE gałęzi SD-WAN są pośrednio połączone z koncentratorami usługi Virtual WAN. Jak pokazano na rysunku, wirtualny procesor CPE SD-WAN jest wdrażany w sieci wirtualnej przedsiębiorstwa. Ten wirtualny procesor CPE jest z kolei połączony z koncentratorami usługi Virtual WAN przy użyciu protokołu IPsec. Wirtualny procesor CPE służy jako brama SD-WAN na platformie Azure. Gałęzie, które muszą uzyskiwać dostęp do obciążeń na platformie Azure, będą mogły uzyskiwać do nich dostęp za pośrednictwem bramy v-CPE.

Ponieważ łączność z platformą Azure odbywa się za pośrednictwem bramy V-CPE (NVA), cały ruch do i z sieci wirtualnych obciążeń platformy Azure do innych gałęzi SD-WAN odbywa się za pośrednictwem urządzenia WUS. W tym modelu użytkownik jest odpowiedzialny za zarządzanie wirtualnym urządzeniem WAN SD-WAN oraz zarządzanie nim, w tym wysoką dostępność, skalowalność i routing.

Model zarządzanej hybrydowej sieci WAN

Diagram zarządzanego hybrydowego modelu sieci WAN.

W tym modelu architektury przedsiębiorstwa mogą korzystać z zarządzanej usługi SD-WAN oferowanej przez partnera dostawcy usług zarządzanych (MSP). Ten model jest podobny do modeli bezpośrednich lub pośrednich opisanych powyżej. Jednak w tym modelu projekt SD-WAN, aranżacja i operacje są dostarczane przez dostawcę SD-WAN.

Partnerzy programu Azure Networking MSP mogą używać usługi Azure Lighthouse do implementowania usługi SD-WAN i Virtual WAN w subskrypcji platformy Azure klienta przedsiębiorstwa, a także obsługiwać kompleksową hybrydową sieć WAN w imieniu klienta. Ci dostawcy usług zarządzania mogą być również w stanie zaimplementować usługę Azure ExpressRoute w usłudze Virtual WAN i obsługiwać ją jako kompleksową usługę zarządzaną.

Dodatkowe informacje