Architektura łączności SD-WAN z usługą Azure Virtual WAN
Azure Virtual WAN to usługa sieciowa, która łączy wiele usług łączności w chmurze i zabezpieczeń za pomocą jednego interfejsu operacyjnego. Te usługi obejmują gałąź (za pośrednictwem sieci VPN typu lokacja-lokacja), połączenie użytkownika zdalnego (sieć VPN typu punkt-lokacja), łączność prywatna (ExpressRoute), łączność przechodnia wewnątrz chmury dla sieci wirtualnych, sieci VPN i połączenia usługi ExpressRoute, routingu, Azure Firewall i szyfrowania na potrzeby łączności prywatnej.
Mimo że usługa Azure Virtual WAN to oparta na chmurze usługa SD-WAN, która zapewnia bogaty zestaw usług łączności, routingu i zabezpieczeń platformy Azure, usługa Azure Virtual WAN została również zaprojektowana w celu zapewnienia bezproblemowego wzajemnego połączenia z opartymi na środowisku lokalnym technologiami SD-WAN i usługami SASE. Wiele takich usług jest oferowanych przez naszych Virtual WAN ekosystemów i partnerów usług zarządzanych azure Networking (MSP). Przedsiębiorstwa, które przekształcają swoją prywatną sieć WAN na SD-WAN, mają opcje podczas łączenia ich prywatnej sieci SD-WAN z usługą Azure Virtual WAN. Przedsiębiorstwa mogą wybierać spośród następujących opcji:
- Model połączeń bezpośrednich
- Model bezpośredniego połączenia z urządzeniem WUS-in-VWAN-hub
- Model pośredniego połączenia międzyoperaowego
- Zarządzany model hybrydowej sieci WAN przy użyciu ulubionego dostawcy usług zarządzanych MSP
We wszystkich tych przypadkach wzajemne połączenia Virtual WAN z sd-WAN są podobne od strony łączności, ale mogą się różnić po stronie aranżacji i działania.
Model połączeń bezpośrednich
W tym modelu architektury sprzęt klienta (CPE) odgałęzienia SD-WAN jest bezpośrednio połączony z koncentratorami Virtual WAN za pośrednictwem połączeń IPsec. Gałąź CPE może być również połączona z innymi gałęziami za pośrednictwem prywatnej sieci SD-WAN lub użyć Virtual WAN dla gałęzi do łączności gałęzi. Gałęzie, które muszą uzyskiwać dostęp do obciążeń na platformie Azure, będą mogły uzyskiwać bezpośredni i bezpieczny dostęp do platformy Azure za pośrednictwem tuneli IPsec, które zostały zakończone w centrach Virtual WAN.
Partnerzy SD-WAN CPE mogą włączyć automatyzację w celu zautomatyzowania zwykle żmudnej i podatnej na błędy łączności IPsec z odpowiednich urządzeń CPE. Usługa Automation umożliwia kontrolerowi SD-WAN komunikację z platformą Azure za pośrednictwem interfejsu API Virtual WAN w celu skonfigurowania lokacji Virtual WAN i wypychania niezbędnej konfiguracji tunelu IPsec do gałęzi CPE. Zapoznaj się z wytycznymi dotyczącymi automatyzacji automatyzacji połączeń międzysystemowych Virtual WAN przez różnych partnerów SD-WAN.
Sd-WAN CPE nadal jest miejscem, w którym optymalizacja ruchu i wybór ścieżki jest implementowany i wymuszany.
W tym modelu niektóre zastrzeżone optymalizacje ruchu dostawcy oparte na cechach ruchu w czasie rzeczywistym mogą nie być obsługiwane, ponieważ łączność z Virtual WAN odbywa się za pośrednictwem protokołu IPsec, a sieć VPN IPsec jest przerywana w bramie sieci VPN Virtual WAN. Na przykład wybór ścieżki dynamicznej w gałęzi CPE jest możliwy ze względu na to, że urządzenie gałęzi wymienia różne informacje o pakiecie sieciowym z innym węzłem SD-WAN, dlatego identyfikuje najlepszy link do użycia dla różnych ruchów priorytetowych dynamicznie w gałęzi. Ta funkcja może być przydatna w obszarach, w których wymagana jest optymalizacja ostatniej mili (odgałęzienie najbliższej usługi Microsoft POP).
Dzięki Virtual WAN użytkownicy mogą uzyskać wybór ścieżki platformy Azure, czyli wybór ścieżki opartej na zasadach w wielu linkach usługodawcy internetowego z gałęzi CPE do bram sieci VPN Virtual WAN. Virtual WAN umożliwia skonfigurowanie wielu linków (ścieżek) z tego samego serwera CPE gałęzi SD-WAN; każde łącze reprezentuje połączenie podwójnego tunelu z unikatowego publicznego adresu IP CPE SD-WAN do dwóch różnych wystąpień usługi Azure Virtual WAN VPN Gateway. Dostawcy SD-WAN mogą zaimplementować najbardziej optymalną ścieżkę do platformy Azure na podstawie zasad ruchu ustawionych przez aparat zasad w linkach CPE. Na końcu platformy Azure wszystkie połączenia przychodzące są traktowane równie.
Model bezpośredniego połączenia z urządzeniem WUS-in-VWAN-hub
Ten model architektury obsługuje wdrażanie wirtualnego urządzenia sieciowego innej firmy bezpośrednio w koncentratorze wirtualnym. Dzięki temu klienci, którzy chcą połączyć swój oddział CPE z tym samym urządzeniem WUS marki w koncentratonie wirtualnym, dzięki czemu mogą korzystać z zastrzeżonych funkcji SD-WAN podczas nawiązywania połączenia z obciążeniami platformy Azure.
Kilku partnerów Virtual WAN pracowało nad zapewnieniem środowiska, które automatycznie konfiguruje urządzenie WUS w ramach procesu wdrażania. Po aprowizacji urządzenia WUS w koncentratonie wirtualnym należy wykonać dodatkową konfigurację, która może być wymagana dla urządzenia WUS za pośrednictwem portalu partnerów urządzenia WUS lub aplikacji do zarządzania. Bezpośredni dostęp do urządzenia WUS jest niedostępny. Urządzenia WUS, które są dostępne do wdrożenia bezpośrednio w centrum usługi Azure Virtual WAN, są przeznaczone specjalnie do użycia w koncentratonie wirtualnym. W przypadku partnerów, którzy obsługują urządzenie WUS w centrum VWAN i przewodniki wdrażania, zobacz artykuł Virtual WAN Partners.
Sd-WAN CPE nadal jest miejscem, w którym optymalizacja ruchu i wybór ścieżki jest implementowany i wymuszany. W tym modelu obsługiwana jest zastrzeżona optymalizacja ruchu dostawcy oparta na cechach ruchu w czasie rzeczywistym, ponieważ łączność z Virtual WAN odbywa się za pośrednictwem wirtualnego urządzenia WAN SD-WAN w centrum.
Model pośredniego połączenia międzyoperaowego
W tym modelu architektury procesory CPU gałęzi SD-WAN są pośrednio połączone z centrami Virtual WAN. Jak pokazano na rysunku, wirtualny cpE SD-WAN jest wdrażany w sieci wirtualnej przedsiębiorstwa. Ten wirtualny procesor CPUE jest z kolei połączony z koncentratorami Virtual WAN przy użyciu protokołu IPsec. Wirtualny procesor CPE służy jako brama SD-WAN na platformie Azure. Gałęzie, które muszą uzyskiwać dostęp do obciążeń na platformie Azure, będą mogły uzyskiwać do nich dostęp za pośrednictwem bramy v-CPE.
Ponieważ łączność z platformą Azure odbywa się za pośrednictwem bramy V-CPE (NVA), cały ruch do i z sieci wirtualnych obciążeń platformy Azure do innych gałęzi SD-WAN odbywa się za pośrednictwem urządzenia WUS. W tym modelu użytkownik jest odpowiedzialny za zarządzanie wirtualnym urządzeniem WAN SD-WAN, w tym wysoką dostępność, skalowalność i routing.
Zarządzany model hybrydowej sieci WAN
W tym modelu architektury przedsiębiorstwa mogą korzystać z zarządzanej usługi SD-WAN oferowanej przez partnera dostawcy usług zarządzanych (MSP). Ten model jest podobny do modeli bezpośrednich lub pośrednich opisanych powyżej. Jednak w tym modelu projekt SD-WAN, aranżacja i operacje są dostarczane przez dostawcę SD-WAN.
Partnerzy dostawcy usług Azure Networking MSP mogą używać usługi Azure Lighthouse do implementowania usługi SD-WAN i Virtual WAN w subskrypcji platformy Azure klienta przedsiębiorstwa, a także obsługiwać kompleksową hybrydową sieć WAN w imieniu klienta. Ci dostawcy usług zarządzania mogą również mieć możliwość zaimplementowania usługi Azure ExpressRoute w Virtual WAN i obsługi jej jako kompleksowej usługi zarządzanej.