Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Czy usługa Azure Virtual WAN jest ogólnie dostępna?
Tak, usługa Azure Virtual WAN jest ogólnie dostępna. Jednak usługa Virtual WAN składa się z kilku funkcji i scenariuszy. Istnieją funkcje lub scenariusze w usłudze Virtual WAN, w których firma Microsoft stosuje tag Preview. W takich przypadkach konkretna funkcja lub sam scenariusz jest dostępna w wersji zapoznawczej. Jeśli nie używasz funkcji w wersji podglądowej, obowiązuje regularne wsparcie GA. Aby uzyskać więcej informacji na temat pomocy technicznej w wersji zapoznawczej, zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure.
Które lokalizacje i regiony są dostępne?
Aby wyświetlić dostępne regiony dla usługi Virtual WAN, zobacz Dostępność produktów według regionów. Określ wirtualną sieć WAN jako nazwę produktu.
Czy użytkownik musi mieć koncentrator i szprychę z urządzeniami SD-WAN/VPN do korzystania z usługi Azure Virtual WAN?
Usługa Virtual WAN udostępnia wiele funkcji wbudowanych w pojedyncze okienko szkła, takie jak łączność sieci VPN typu lokacja/lokacja, łączność użytkownika/punkt-lokacja, łączność usługi ExpressRoute, łączność sieci wirtualnej, łączność sieci vpn ExpressRoute, łączność przechodnia między sieciami wirtualnymi, scentralizowany routing, zabezpieczenia usługi Azure Firewall i menedżer zapory, monitorowanie, szyfrowanie usługi ExpressRoute i wiele innych możliwości. Nie musisz mieć wszystkich tych przypadków użycia, aby rozpocząć korzystanie z usługi Virtual WAN. Możesz rozpocząć pracę z jednym przypadkiem użycia.
Architektura usługi Virtual WAN to architektura piasty i szprych ze skalowalnością i wydajnością wbudowaną, gdzie gałęzie (urządzenia VPN/SD-WAN), użytkownicy (klienci sieci VPN platformy Azure, openVPN lub klienci IKEv2), obwody usługi ExpressRoute, sieci wirtualne służą jako szprychy dla koncentratorów (hubów) wirtualnych. Wszystkie koncentratory są połączone w pełnej siatce w standardowej wirtualnej sieci WAN, co ułatwia użytkownikowi korzystanie z sieci szkieletowej firmy Microsoft na potrzeby łączności typu dowolna-dowolna (dowolna szprycha). W przypadku architektury typu hub and spoke z urządzeń SD-WAN/VPN, użytkownicy mogą ręcznie skonfigurować je w portalu Azure Virtual WAN lub użyć partnera Virtual WAN CPE (SD-WAN/VPN), aby skonfigurować łączność z Azure.
Partnerzy usługi Virtual WAN zapewniają automatyzację łączności, czyli możliwość eksportowania informacji o urządzeniu na platformę Azure, pobierania konfiguracji platformy Azure i nawiązywania łączności z koncentratorem usługi Azure Virtual WAN. W przypadku łączności sieci VPN typu punkt-lokacja/użytkownik obsługujemy klienta sieci VPN platformy Azure, protokołu OpenVPN lub klienta IKEv2.
Czy można wyłączyć węzły w pełnej siatce w wirtualnej sieci WAN?
Usługa Virtual WAN ma dwie wersje: Podstawowa i Standardowa. W podstawowej wirtualnej sieci WAN koncentratory nie są siatki. W standardowej wirtualnej sieci WAN koncentratory są połączone w siatkę i automatycznie łączone podczas pierwszej konfiguracji sieci WAN. Użytkownik nie musi wykonywać żadnych konkretnych czynności. Użytkownik nie musi również wyłączać ani włączać funkcji uzyskiwania centrów siatki. Usługa Virtual WAN oferuje wiele opcji routingu umożliwiających kierowanie ruchem między dowolną szprychą (siecią wirtualną, siecią VPN lub usługą ExpressRoute). Zapewnia wygodę pracy z w pełni połączonymi koncentratorami oraz elastyczność kierowania ruchem zgodnie z potrzebami.
Dlaczego widzę błąd dotyczący nieprawidłowego zakresu i autoryzacji do wykonywania operacji na zasobach usługi Virtual WAN?
Jeśli w poniższym formacie zostanie wyświetlony błąd, upewnij się, że masz skonfigurowane następujące uprawnienia: Role i uprawnienia usługi Virtual WAN
Format komunikatu o błędzie: "Klient o identyfikatorze {} obiektu nie ma autoryzacji do wykonania akcji {} w zakresie {} lub zakres jest nieprawidłowy. Aby uzyskać szczegółowe informacje na temat wymaganych uprawnień, odwiedź stronę {}. Jeśli dostępu udzielono niedawno, odśwież swoje poświadczenia”.
W jaki sposób Strefy dostępności i odporność są obsługiwane w usłudze Virtual WAN?
Usługa Virtual WAN to kolekcja centrów i usług udostępnianych w centrum. Użytkownik może mieć dowolną liczbę wirtualnych sieci WAN zgodnie z potrzebami. W koncentratorze sieci Virtual WAN działa wiele usług, takich jak VPN, ExpressRoute i inne. Każda z tych usług jest automatycznie wdrażana w Strefach dostępności (z wyjątkiem usługi Azure Firewall), jeśli region obsługuje Strefy dostępności. Jeśli region stanie się strefą dostępności po początkowym wdrożeniu w hubie, użytkownik może ponownie utworzyć bramy, co wywoła wdrożenie strefy dostępności. Wszystkie bramy są konfigurowane w koncentratorze w trybie aktywny-aktywny, co oznacza, że istnieje wbudowana odporność w koncentratorze. Użytkownicy mogą łączyć się z wieloma koncentratorami, jeśli chcą niezawodności w różnych regionach.
Obecnie usługę Azure Firewall można wdrożyć w celu obsługi Strefy dostępności przy użyciu portalu usługi Azure Firewall Manager, programu PowerShell lub interfejsu wiersza polecenia. Obecnie nie ma możliwości skonfigurowania istniejącej zapory do wdrożenia w różnych strefach dostępności. Musisz usunąć i ponownie wdrożyć usługę Azure Firewall.
Chociaż koncepcja usługi Virtual WAN jest globalna, rzeczywisty zasób usługi Virtual WAN jest oparty na usłudze Resource Manager i wdrażany w regionie. Jeśli sam region wirtualnej sieci WAN miał problem, wszystkie koncentratory w tej wirtualnej sieci WAN będą nadal działać w taki sam sposób, ale użytkownik nie będzie mógł tworzyć nowych koncentratorów, dopóki region wirtualnej sieci WAN nie będzie dostępny.
Czy można udostępnić zaporę w chronionym hubie innym hubom?
Nie, każda usługa Azure Virtual Hub musi mieć własną zaporę. Wdrożenie tras niestandardowych wskazujących zaporę innego zabezpieczonego centrum zakończy się niepowodzeniem i nie zostanie ukończone pomyślnie. Rozważ przekonwertowanie tych koncentratorów na zabezpieczone koncentratory z ich własnymi zaporami sieciowymi.
Jaki klient obsługuje sieć VPN użytkownika usługi Azure Virtual WAN (punkt-lokacja)?
Usługa Virtual WAN obsługuje klienta sieci VPN platformy Azure, klienta OpenVPN lub dowolnego klienta IKEv2. Uwierzytelnianie Microsoft Entra jest obsługiwane przez Azure VPN Client. Wymagana jest minimalna wersja systemu operacyjnego klienta systemu Windows 10 w wersji 17763.0 lub nowszej. Klienci OpenVPN mogą obsługiwać uwierzytelnianie oparte na certyfikatach. Po wybraniu uwierzytelniania opartego na certyfikatach w bramie zobaczysz plik ovpn* do pobrania na urządzenie. Protokół IKEv2 obsługuje zarówno uwierzytelnianie certyfikatami, jak i uwierzytelnianie za pomocą RADIUS.
W przypadku sieci VPN użytkownika (punkt-do-sieci) — dlaczego pula klientów P2S jest podzielona na dwie trasy?
Każda brama ma dwa wystąpienia. Podział polega na tym, że każde wystąpienie bramy może niezależnie przydzielać adresy IP klientom, którzy się łączą, a ruch z sieci wirtualnej jest kierowany z powrotem do właściwego wystąpienia bramy, aby uniknąć przeskoków pomiędzy wystąpieniami bram.
Jak mogę dodać serwery DNS dla klientów P2S?
Istnieją dwie opcje dodawania serwerów DNS dla klientów P2S. Pierwsza metoda jest preferowana, ponieważ dodaje niestandardowe serwery DNS do bramy zamiast klienta.
Użyj następującego skryptu programu PowerShell, aby dodać niestandardowe serwery DNS. Zastąp wartości odpowiednie dla Twojego środowiska.
// Define variables $rgName = "testRG1" $virtualHubName = "virtualHub1" $P2SvpnGatewayName = "testP2SVpnGateway1" $vpnClientAddressSpaces = $vpnServerConfiguration1Name = "vpnServerConfig1" $vpnClientAddressSpaces = New-Object string[] 2 $vpnClientAddressSpaces[0] = "192.168.2.0/24" $vpnClientAddressSpaces[1] = "192.168.3.0/24" $customDnsServers = New-Object string[] 2 $customDnsServers[0] = "7.7.7.7" $customDnsServers[1] = "8.8.8.8" $virtualHub = $virtualHub = Get-AzVirtualHub -ResourceGroupName $rgName -Name $virtualHubName $vpnServerConfig1 = Get-AzVpnServerConfiguration -ResourceGroupName $rgName -Name $vpnServerConfiguration1Name // Specify custom dns servers for P2SVpnGateway VirtualHub while creating gateway createdP2SVpnGateway = New-AzP2sVpnGateway -ResourceGroupName $rgname -Name $P2SvpnGatewayName -VirtualHub $virtualHub -VpnGatewayScaleUnit 1 -VpnClientAddressPool $vpnClientAddressSpaces -VpnServerConfiguration $vpnServerConfig1 -CustomDnsServer $customDnsServers // Specify custom dns servers for P2SVpnGateway VirtualHub while updating existing gateway $P2SVpnGateway = Get-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName $updatedP2SVpnGateway = Update-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName -CustomDnsServer $customDnsServers // Re-generate VPN profile either from PS/Portal for VPN clients to have the specified dns serversJeśli używasz klienta Azure VPN dla systemu Windows 10, możesz zmodyfikować pobrany plik XML profilu i dodać <dnsservers><dnsserver></dnsserver></dnsservers> przed jego importowaniem.
<azvpnprofile> <clientconfig> <dnsservers> <dnsserver>x.x.x.x</dnsserver> <dnsserver>y.y.y.y</dnsserver> </dnsservers> </clientconfig> </azvpnprofile>
Ilu klientów jest obsługiwanych w przypadku sieci VPN użytkownika (punkt-lokacja)?
W poniższej tabeli opisano liczbę współbieżnych połączeń i zagregowaną przepływność bramy sieci VPN typu punkt-lokacja obsługiwana w różnych jednostkach skalowania.
| Jednostka skalowania | Instancje bram | Obsługiwane połączenia współbieżne | Zagregowana przepływność |
|---|---|---|---|
| 1 | 2 | 500 | 0,5 Gb/s |
| 2 | 2 | 500 | 1 Gb/s |
| 3 | 2 | 500 | 1,5 Gb/s |
| 4 | 2 | 1000 | 2 Gb/s |
| 5 | 2 | 1000 | 2,5 Gb/s |
| 6 | 2 | 1000 | 3 Gb/s |
| 7 | 2 | 5000 | 3,5 Gb/s |
| 8 | 2 | 5000 | 4 Gbps |
| 9 | 2 | 5000 | 4,5 Gb/s |
| 10 | 2 | 5000 | 5 Gb/s |
| 11 | 2 | 10 000 | 5,5 Gb/s |
| 12 | 2 | 10 000 | 6 Gbps |
| 13 | 2 | 10 000 | 6,5 Gb/s |
| 14 | 2 | 10 000 | 7 Gb/s |
| 15 | 2 | 10 000 | 7,5 Gb/s |
| 16 | 2 | 10 000 | 8 Gbps |
| 17 | 2 | 10 000 | 8,5 Gb/s |
| 18 | 2 | 10 000 | 9 Gbps |
| 19 | 2 | 10 000 | 9,5 Gb/s |
| 20 | 2 | 10 000 | 10 Gbps |
| 40 | 4 | 20000 | 20 Gb/s |
| 60 | 6 | 30000 | 30 Gb/s |
| 80 | 8 | 40000 | 40 Gb/s |
| 100 | 10 | 50000 | 50 Gbps |
| 120 | 12 | 60000 | 60 Gb/s |
| 140 | 14 | 70000 | 70 Gb/s |
| 160 | 16 | 80000 | 80 Gb/s |
| 180 | 18 | 90000 | 90 Gbps |
| 200 | 20 | 100000 | 100 Gb/s |
Załóżmy na przykład, że użytkownik wybierze 1 jednostkę skalowania. Każda jednostka skalowania oznacza wdrożenie bramy aktywne-aktywne, a każde z wystąpień (w tym przypadku 2) będzie obsługiwać maksymalnie 500 połączeń. Ponieważ można uzyskać 500 połączeń * 2 na bramę, nie oznacza to, że planujesz 1000 zamiast 500 dla tej jednostki skalowania. W przypadku przekroczenia zalecanej liczby połączeń może być konieczne obsługę wystąpień, podczas których łączność dla dodatkowych 500 może zostać przerwana.
W przypadku bram z jednostkami skalowania większymi niż 20 wdrażane są dodatkowe wysoko dostępne pary instancji bramy w celu zapewnienia dodatkowej pojemności dla połączeń użytkowników. Każda para instancji obsługuje maksymalnie 10 000 dodatkowych użytkowników. Jeśli na przykład wdrożysz bramę ze 100 jednostkami skalowania, wdrażane są 5 par bram (łącznie 10 wystąpień) i może się połączyć maksymalnie 50 000 równoczesnych użytkowników (10 000 użytkowników x 5 par bram).
Ponadto pamiętaj, aby zaplanować przestój w przypadku, gdy zdecydujesz się zwiększyć lub zmniejszyć skalę jednostki miary skalowania lub zmienić konfigurację połączenia punkt-do-lokalizacji w bramie VPN.
Czy aplikacja zarejestrowana przez firmę Microsoft w ramach uwierzytelniania Entra ID obsługuje sieć VPN użytkownika (punkt-do-sieci)?
Tak, aplikacja zarejestrowana przez firmę Microsoft jest obsługiwana w usłudze Virtual WAN. Możesz przeprowadzić migrację sieci VPN użytkownika z ręcznie zarejestrowanej aplikacji do aplikacji zarejestrowanej przez firmę Microsoft w celu uzyskania bezpieczniejszej łączności.
Jakie są jednostki skalowania bramy usługi Virtual WAN?
Jednostka skalowania to jednostka zdefiniowana w celu wybrania zagregowanej przepustowości bramy w węźle wirtualnym. 1 jednostka skalowania sieci VPN = 500 Mb/s. 1 jednostka skalowania usługi ExpressRoute = 2 Gb/s. Przykład: 10 jednostek skalowania sieci VPN oznaczałoby 500 Mb/s * 10 = 5 Gb/s.
Jaka jest różnica między bramą sieci wirtualnej platformy Azure (VPN Gateway) i bramą sieci VPN usługi Azure Virtual WAN?
Wirtualna sieć WAN zapewnia łączność typu lokacja-lokacja w dużej skali oraz oferuje przepływność, skalowalność i łatwość użycia. Połączenie witryny z bramą VPN usługi Virtual WAN różni się od zwykłej bramy sieci wirtualnej, która używa typu bramy "VPN typu site-to-site". Jeśli chcesz połączyć użytkowników zdalnych z usługą Virtual WAN, należy użyć typu bramy "sieć VPN typu punkt-lokacja". Bramy sieci VPN typu punkt-lokacja i lokacja-lokacja są odrębnymi jednostkami w hubie usługi Virtual WAN i powinny być wdrażane indywidualnie. Podobnie, gdy łączysz obwód ExpressRoute z koncentratorem Virtual WAN, używa on innego zasobu dla bramy ExpressRoute niż zwykłej bramy sieci wirtualnej korzystającej z typu 'ExpressRoute'.
Usługa Virtual WAN obsługuje maksymalnie 20 Gb/s zagregowaną przepływność zarówno dla sieci VPN, jak i usługi ExpressRoute. Usługa Virtual WAN ma również automatyzację połączeń z ekosystemem partnerów urządzeń oddziałowych CPE. Urządzenia oddziałowe CPE mają wbudowaną automatyzację, która konfiguruje i łączy się z usługą Azure Virtual WAN. Te urządzenia są dostępne w rozwijającym się ekosystemie partnerów sieci SD-WAN i VPN. Zobacz listę preferowanych partnerów.
Czym różni się usługa Virtual WAN od bramy sieci wirtualnej platformy Azure?
Brama sieci wirtualnej VPN jest ograniczona do 100 tuneli. W przypadku połączeń należy używać usługi Virtual WAN dla sieci VPN na dużą skalę. Można połączyć maksymalnie 1000 łączy oddziałowych na jeden wirtualny koncentrator, z łączną przepustowością 20 Gb/s na koncentrator. Połączenie to tunel typu aktywny-aktywny od lokalnego urządzenia sieci VPN do koncentratora wirtualnego. Można również mieć wiele koncentratorów wirtualnych na region, co oznacza, że można połączyć ponad 1000 gałęzi z jednym regionem świadczenia usługi Azure, wdrażając wiele koncentratorów usługi Virtual WAN w tym regionie świadczenia usługi Azure, z których każda ma własną bramę sieci VPN typu lokacja-lokacja.
Jaki jest zalecany algorytm i pakiety na sekundę na każde wystąpienie połączenia lokacja-do-lokacji w koncentratorze sieci WAN wirtualnej? Ile tuneli jest obsługiwanych przez jedno wystąpienie? Jaka jest maksymalna przepływność obsługiwana w jednym tunelu?
Usługa Virtual WAN obsługuje 2 aktywne wystąpienia bramy sieci VPN typu lokacja-lokacja w koncentratorze wirtualnym. Oznacza to, że w wirtualnym koncentratorze istnieją 2 zestawy aktywno-aktywnych wystąpień bram sieci VPN. Podczas operacji konserwacyjnych, każde wystąpienie jest aktualizowane pojedynczo, co może spowodować krótkotrwały spadek całkowitej przepustowości bramy sieci VPN, którego może doświadczyć użytkownik.
Chociaż sieć VPN usługi Virtual WAN obsługuje wiele algorytmów, naszym zaleceniem jest GCMAES256 zarówno dla szyfrowania IPSEC, jak i integralności w celu uzyskania optymalnej wydajności. Algorytmy AES256 i SHA256 są uznawane za mniej wydajne, dlatego obniżenie wydajności, takie jak opóźnienia i spadki pakietów, mogą być oczekiwane dla podobnych typów algorytmów.
Pakiety na sekundę lub PPS zależą od całkowitej liczby pakietów i przepływności obsługiwanej na instancję. Jest to najlepiej zrozumiałe z przykładem. Załóżmy, że wystąpienie bramy sieci VPN typu lokacja-lokacja 1 jednostki skalowania 500 Mb/s jest wdrażane w koncentratorze wirtualnej sieci WAN. Przy założeniu, że rozmiar pakietu wynosi 1400, oczekiwano ppS dla tego wystąpienia bramy sieci VPN o maksymalnej wartości = [(500 Mb/s * 1024 * 1024) /8/1400] ~ 47000.
Usługa Virtual WAN obejmuje pojęcia połączenia sieci VPN, połączenia łączy i tuneli. Pojedyncze połączenie sieci VPN składa się z połączeń transmisyjnych. Usługa Virtual WAN obsługuje maksymalnie 4 łącza w połączeniu sieci VPN. Każde połączenie składa się z dwóch tuneli IPsec, które kończą się w dwóch wystąpieniach bramy VPN w trybie aktywnym-aktywnym wdrożonej w koncentratorze wirtualnym. Całkowita liczba tuneli, które mogą zakończyć się w jednym aktywnym wystąpieniu, wynosi 1000, co oznacza również, że przepływność dla jednego wystąpienia zostanie zagregowana w ramach wszystkich tuneli łączących się z tym wystąpieniem. Każdy tunel ma również pewne wartości przepływności. W przypadku wielu tuneli połączonych z bramą jednostki skalowania o mniejszej wartości najlepiej ocenić zapotrzebowanie na tunel i zaplanować bramę sieci VPN, która jest zagregowaną wartością przepływności we wszystkich tunelach kończących się w wystąpieniu sieci VPN.
Wartości różnych jednostek skalowania obsługiwanych w usłudze Virtual WAN
| Jednostka skalowania | Maksymalna przepływność na tunel (Mb/s) | Maksymalna liczba PPS na tunel | Maksymalna przepływność na wystąpienie (Mb/s) | Maksymalna liczba pakietów na sekundę na instancję |
|---|---|---|---|---|
| 1 | 500 | 47K | 500 | 47 tysięcy |
| 2 | 1000 | 94 tys. | 1000 | 94 tys. |
| 3 | 1500 | 140 tys. | 1500 | 140 tys. |
| 4 | 1500 | 140 tys. | 2000 | 187K |
| 5 | 1500 | 140 tys. | 2500 | 234K |
| 6 | 1500 | 140 tys. | 3000 | 281K |
| 7 | 2300 | 215K | 3 500 | 328K |
| 8 | 2300 | 215K | 4000 | 374K |
| 9 | 2300 | 215K | 4500 | 421K |
| 10 | 2300 | 215K | 5000 | 468K |
| 11 | 2300 | 215K | 5500 | 515K |
| 12 | 2300 | 215K | 6000 | 562K |
| 13 | 2300 | 215K | 6500 | 609 tys. |
| 14 | 2300 | 215K | 7000 | 655K |
| 15 | 2300 | 215K | 7500 | 702K |
| 16 | 2300 | 215K | 8000 | 749 tys. |
| 17 | 2300 | 215K | 8500 | 796K |
| 18 | 2300 | 215K | 9000 | 843K |
| 19 | 2300 | 215K | 9500 | 889K |
| 20 | 2300 | 215K | 10 000 | 936K |
Uwaga
Wszystkie liczby są oparte na algorytmie GCM.
Którzy dostawcy urządzeń (partnerzy usługi Virtual WAN) są obsługiwani?
Obecnie wielu partnerów obsługuje w pełni zautomatyzowane środowisko usługi Virtual WAN. Aby uzyskać więcej informacji, zobacz Virtual WAN partners (Partnerzy wirtualnej sieci WAN).
Jakie są kroki automatyzacji dla partnerów usługi Virtual WAN?
Aby uzyskać informacje o krokach automatyzacji dla partnerów, zobacz Virtual WAN partner automation (Automatyzacja dla partnerów usługi Virtual WAN).
Czy muszę korzystać z urządzenia preferowanego przez partnera?
Nr Możesz używać dowolnego urządzenia obsługującego sieć VPN, które spełnia wymagania platformy Azure pod kątem obsługi protokołów IKEv2/IKEv1 IPsec. Usługa Virtual WAN ma również rozwiązania partnerskie CPE, które automatyzują łączność z usługą Azure Virtual WAN, co ułatwia konfigurowanie połączeń sieci VPN protokołu IPsec na dużą skalę.
Jak partnerzy wirtualnej sieci WAN automatyzują połączenie z wirtualną siecią WAN platformy Azure?
Zdefiniowane programowo rozwiązania w zakresie łączności zwykle umożliwiają zarządzanie urządzeniami oddziału przy użyciu kontrolera lub centrum aprowizacji urządzeń. Kontroler może zautomatyzować połączenie z wirtualną siecią WAN platformy Azure za pomocą interfejsów API platformy Azure. Automatyzacja obejmuje przekazywanie informacji o gałęzi, pobieranie konfiguracji platformy Azure, konfigurowanie tuneli IPsec do koncentratorów wirtualnych platformy Azure oraz automatyczne konfigurowanie łączności z urządzenia gałęzi do usługi Azure Virtual WAN. Jeśli masz setki oddziałów, nawiązywanie połączenia przy użyciu wirtualnych partnerów CPE sieci WAN jest łatwe, ponieważ proces wdrażania eliminuje konieczność ustawiania, konfigurowania i zarządzania łącznością IPsec na dużą skalę. Aby uzyskać więcej informacji, zobacz Virtual WAN partner automation (Automatyzacja dla partnerów usługi Virtual WAN).
Co zrobić, jeśli urządzenie, z których korzystam, nie znajduje się na liście partnerów usługi Virtual WAN? Czy nadal mogę używać go do nawiązywania połączenia z siecią VPN usługi Azure Virtual WAN?
Tak, o ile urządzenie obsługuje protokół IKEv1 lub IKEv2 protokołu IPsec. Partnerzy usługi Virtual WAN automatyzują łączność z urządzenia do punktów końcowych sieci VPN platformy Azure. Oznacza to automatyzację kroków, takich jak "przekazywanie informacji o gałęzi", "protokół IPsec i konfiguracja" i "łączność". Ponieważ Twoje urządzenie nie pochodzi z ekosystemu partnerów Virtual WAN, będziesz musiał wykonać ciężką pracę polegającą na ręcznym pobraniu konfiguracji Azure i zaktualizowaniu swojego urządzenia w celu skonfigurowania łączności IPsec.
Jak nowi partnerzy, którzy nie są wymienieni na liście partnerów startowych, są dołączani?
Wszystkie wirtualne interfejsy API sieci WAN są zgodne ze standardem OpenAPI. Aby ocenić możliwości techniczne, możesz zapoznać się z dokumentacją Automatyzacja partnerów usługi Virtual WAN. Idealny partner powinien dysponować urządzeniem, które można aprowizować na potrzeby połączeń IKEv1 lub IKEv2 IPSec. Gdy firma ukończy prace nad automatyzacją swojego urządzenia CPE zgodnie z przedstawionymi powyżej wytycznymi dotyczącymi automatyzacji, możesz skontaktować się z azurevirtualwan@microsoft.com w celu umieszczenia w sekcji Łączność za pośrednictwem partnerów. Jeśli jesteś klientem, który chciałby, aby określone rozwiązanie firmy było wymienione jako partner usługi Virtual WAN, skontaktuj się z usługą Virtual WAN, wysyłając wiadomość e-mail na azurevirtualwan@microsoft.comadres .
W jaki sposób usługa Virtual WAN obsługuje urządzenia SD-WAN?
Partnerzy usługi Virtual WAN automatyzują łączność IPsec z punktami końcowymi sieci VPN platformy Azure. Jeśli partner usługi Virtual WAN jest dostawcą SD-WAN, oznacza to, że kontroler SD-WAN zarządza automatyzacją i łącznością IPsec z punktami końcowymi sieci VPN platformy Azure. Jeśli urządzenie SD-WAN wymaga własnego punktu końcowego zamiast sieci VPN platformy Azure dla dowolnej zastrzeżonej funkcji SD-WAN, możesz wdrożyć punkt końcowy SD-WAN w sieci wirtualnej platformy Azure i współistnieć z usługą Azure Virtual WAN.
Wirtualna sieć WAN obsługuje peering BGP, a także ma możliwość wdrażania wirtualnych urządzeń sieciowych w koncentratorze wirtualnej sieci WAN.
Ile urządzeń sieci VPN może nawiązać połączenie z jednym koncentratorem?
Na jeden wirtualny koncentrator jest obsługiwanych do 1000 połączeń. Każde połączenie składa się z czterech łączy, a każde połączenie łączy obsługuje dwa tunele, które znajdują się w konfiguracji aktywne-aktywne. Tunele terminują w bramie sieci VPN wirtualnego koncentratora Azure. Łącza reprezentują fizyczne łącze ISP w oddziale/urządzeniu VPN.
Co to jest połączenie gałęzi z usługą Azure Virtual WAN?
Połączenie z oddziału lub urządzenia VPN do usługi Azure Virtual WAN to połączenie VPN, które wirtualnie łączy lokalizację sieci VPN z bramą VPN platformy Azure w wirtualnym centrum.
Co się stanie, jeśli lokalne urządzenie sieci VPN ma tylko 1 tunel do bramy sieci VPN usługi Azure Virtual WAN?
Połączenie usługi Azure Virtual WAN składa się z 2 tuneli. Brama VPN usługi Virtual WAN jest wdrażana w wirtualnym koncentratorze w trybie aktywno-aktywnym, co oznacza, że istnieją oddzielne tunele od urządzeń lokalnych, które kończą się na różnych instancjach. Jest to zalecenie dla wszystkich użytkowników. Jeśli jednak użytkownik zdecyduje się na posiadanie tylko 1 tunelu do jednej z instancji bramy VPN w usłudze Virtual WAN, jeśli z jakiegoś powodu (konserwacja, poprawki itp.) instancja bramy zostanie wyłączona, tunel zostanie przeniesiony do pomocniczej aktywnej instancji i użytkownik może doświadczyć konieczności ponownego nawiązania połączenia. Sesje protokołu BGP nie będą przenoszone między wystąpieniami.
Co się dzieje podczas resetowania bramy sieci VPN w usłudze Virtual WAN?
Przycisk resetowania bramy powinien być używany, jeśli wszystkie urządzenia lokalne działają zgodnie z oczekiwaniami, ale połączenie VPN pomiędzy lokalizacjami na platformie Azure jest w stanie rozłączenia. Bramy sieci VPN usługi Virtual WAN są zawsze wdrażane w stanie Active-Active w celu zapewnienia wysokiej dostępności. Oznacza to, że w dowolnym momencie w bramie sieci VPN zawsze wdrożono więcej niż jedno wystąpienie. Gdy używany jest przycisk Reset bramy, uruchamia on ponownie wystąpienia w bramie sieci VPN w sposób sekwencyjny, aby połączenia nie były zakłócane. Podczas przenoszenia połączeń z jednego wystąpienia do drugiego nastąpi krótka przerwa, ale powinna ona potrwać mniej niż minutę. Ponadto należy pamiętać, że zresetowanie bram nie spowoduje zmiany publicznych adresów IP.
Ten scenariusz dotyczy tylko połączeń S2S.
Czy lokalne urządzenie sieci VPN może łączyć się z wieloma koncentratorami?
Tak. Przepływ ruchu, gdy rozpoczyna się, pochodzi z urządzenia lokalnego do najbliższej krawędzi sieci firmy Microsoft, a następnie do koncentratora wirtualnego.
Czy są dostępne nowe zasoby usługi Resource Manager dla wirtualnej sieci WAN?
Tak, usługa Virtual WAN ma nowe zasoby usługi Resource Manager. Aby uzyskać więcej informacji, zapoznaj się z omówieniem.
Czy mogę wdrożyć i korzystać z mojego ulubionego wirtualnego urządzenia sieciowego (w wirtualnej sieci NVA) z usługą Azure Virtual WAN?
Tak, możesz połączyć swoją ulubioną wirtualną aplikację sieciową (NVA) z usługą Azure Virtual WAN.
Czy mogę utworzyć wirtualne urządzenie sieciowe w wirtualnym hubie?
Wirtualne urządzenie sieciowe (WUS) można wdrożyć w koncentratonie wirtualnym. Aby uzyskać instrukcje, zobacz About NVAs in a Virtual WAN hub.
Czy szprychowa sieć wirtualna może mieć bramę sieci wirtualnej?
Nr Sieć wirtualna jako szprycha nie może mieć bramy wirtualnej sieci, jeśli jest połączona do koncentratora wirtualnego.
Czy sieć wirtualna typu szprycha może mieć serwer usługi Azure Route Server?
Nie. Sieć wirtualna w konfiguracji szprychy nie może mieć serwera tras, jeśli jest połączona z koncentratorem wirtualnej sieci WAN.
Czy istnieje obsługa protokołu BGP w łączności sieci VPN?
Tak. Protokół BGP jest obsługiwany. Podczas tworzenia lokacji sieci VPN można podać w niej parametry protokołu BGP. Oznacza to, że wszystkie połączenia utworzone na platformie Azure dla tej witryny zostaną włączone dla protokołu BGP.
Czy są dostępne informacje na temat licencjonowania i cen wirtualnej sieci WAN?
Tak. Zobacz stronę z cennikiem.
Czy istnieje możliwość skonstruowania sieci usługi Azure Virtual WAN przy użyciu szablonu usługi Resource Manager?
Prostą konfigurację jednej wirtualnej sieci WAN z jednym koncentratorem i jedną lokacją sieci VPN można utworzyć przy użyciu szablonu szybkiego startu. Usługa Virtual WAN jest przede wszystkim usługą opartą na architekturze REST lub portalu.
Czy sieci wirtualne jako podsystemy połączone z koncentratorem wirtualnym mogą się komunikować ze sobą (tranzyt V2V)?
Tak. Pl-PL: Standardowa usługa Virtual WAN obsługuje połączenia przechodnie między sieciami VNet za pośrednictwem koncentratora Virtual WAN, do którego są podłączone te sieci. W terminologii Wirtualnej sieci WAN nazywamy te ścieżki "lokalnym tranzytem sieci VNet Wirtualnej sieci WAN" dla sieci VNet połączonych z koncentratorem Wirtualnej sieci WAN w jednym regionie oraz "globalnym tranzytem sieci VNet Wirtualnej sieci WAN" dla sieci VNet połączonych za pośrednictwem wielu koncentratorów Wirtualnej sieci WAN w co najmniej dwóch regionach.
W niektórych scenariuszach szprychowe sieci wirtualne mogą być również bezpośrednio sparowane ze sobą, przy użyciu komunikacji równorzędnej sieci wirtualnych, oprócz lokalnego lub globalnego tranzytu sieci wirtualnych usługi Virtual WAN. W takim przypadku usługa VNet Peering ma pierwszeństwo przed przejściowym połączeniem za pośrednictwem koncentratora usługi Virtual WAN.
Czy łączność między oddziałami jest dozwolona w usłudze Virtual WAN?
Tak. Łączność między oddziałami jest dostępna w usłudze Virtual WAN. Koncepcja oddziału ma zastosowanie do lokalizacji sieci VPN, obwodów ExpressRoute lub użytkowników sieci VPN typu punkt-do-punkt/użytkownik. Połączenie pomiędzy oddziałami jest domyślnie włączone i można je znaleźć w ustawieniach konfiguracji sieci WAN. Dzięki temu gałęzie sieci VPN/użytkownicy łączą się z innymi gałęziami sieci VPN, a łączność tranzytowa jest również włączona między użytkownikami sieci VPN i usługi ExpressRoute.
Czy ruch między gałęziami przechodzi przez usługę Azure Virtual WAN?
Tak. Ruch między oddziałami przechodzi przez usługę Azure Virtual WAN.
Czy usługa Virtual WAN wymaga usługi ExpressRoute z każdej lokacji?
Nr Usługa Virtual WAN nie wymaga usługi ExpressRoute z każdej lokacji. Twoje witryny mogą być połączone z siecią dostawcy przy użyciu łącza ExpressRoute. W przypadku lokacji połączonych przy użyciu usługi ExpressRoute z koncentratorem wirtualnym i sieci VPN protokołu IPsec w tym samym centrum koncentrator wirtualny zapewnia łączność tranzytową między siecią VPN i użytkownikiem usługi ExpressRoute.
Czy w przypadku korzystania z usługi Azure Virtual WAN istnieje limit przepływności sieci lub połączenia?
Przepustowość sieci dla każdej usługi w koncentratorze wirtualnej sieci WAN. W każdym koncentratorze zagregowana przepływność sieci VPN wynosi do 20 Gb/s, zagregowana przepływność usługi ExpressRoute wynosi do 20 Gb/s, oraz zagregowana przepływność sieci VPN użytkownika/punkt-lokacja wynosi do 200 Gb/s. Router w koncentratonie wirtualnym obsługuje do 50 Gb/s dla przepływów ruchu między sieciami wirtualnymi i zakłada łącznie 2000 obciążeń maszyn wirtualnych we wszystkich sieciach wirtualnych połączonych z jednym koncentratorem wirtualnym.
Aby zabezpieczyć pojemność z góry bez konieczności oczekiwania na skalowanie koncentratora wirtualnego, gdy potrzebna jest większa przepustowość, możesz ustawić minimalną pojemność lub zmodyfikować w razie potrzeby. Zobacz Informacje o ustawieniach koncentratora wirtualnego — pojemność koncentratora. Aby uzyskać wpływ na koszty, zobacz Koszt jednostki infrastruktury routingu na stronie Cennik usługi Azure Virtual WAN.
Gdy lokacje sieci VPN łączą się z koncentratorem, robią to przez połączenia. Usługa Virtual WAN obsługuje maksymalnie 1000 połączeń lub 2000 tuneli IPsec na koncentrator wirtualny. Gdy użytkownicy zdalni łączą się z koncentratorem wirtualnym, łączą się z bramą VPN P2S, która obsługuje maksymalnie 100 000 użytkowników, w zależności od jednostki skalowania (przepustowości) wybranej dla bramy VPN P2S w koncentratorze wirtualnym.
Czy mogę używać NAT-T w moich połączeniach VPN?
Tak, przechodzenie przez translację adresów sieciowych (NAT-T) jest obsługiwane. Brama sieci VPN usługi Virtual WAN nie będzie wykonywać żadnych funkcji podobnych do translatora adresów sieciowych w pakietach wewnętrznych do/z tuneli IPsec. W tej konfiguracji upewnij się, że urządzenie lokalne inicjuje tunel IPsec.
Jak skonfigurować jednostkę skalowania do określonego ustawienia, takiego jak 20 Gb/s?
Przejdź do bramy sieci VPN w centrum w portalu, a następnie kliknij jednostkę skalowania, aby zmienić ją na odpowiednie ustawienie.
Czy usługa Virtual WAN umożliwia urządzeniu na miejscu równoległe korzystanie z wielu dostawców usług internetowych, czy jest to zawsze pojedynczy tunel VPN?
Rozwiązania urządzeń lokalnych mogą stosować zasady ruchu w celu kierowania ruchu między wieloma tunelami do centrum Usługi Azure Virtual WAN (brama sieci VPN w koncentratorze wirtualnym).
Co to jest globalna architektura tranzytowa?
Aby uzyskać informacje, zobacz Global transit network architecture (Architektura globalnej sieci tranzytowej) i Virtual WAN (Wirtualna sieć WAN).
W jaki sposób ruch jest kierowany w sieci szkieletowej platformy Azure?
Ruch przebiega według wzorca: urządzenie oddziałowe ->ISP-Microsoft network edge->Microsoft DC (sieć wirtualna koncentratora)->Microsoft network edge->ISP->urządzenie oddziałowe
Które elementy tego modelu muszą znajdować się w każdej lokacji? Czy wystarczy tylko połączenie internetowe?
Tak. Połączenie internetowe i urządzenie fizyczne obsługujące protokół IPsec, najlepiej od naszych zintegrowanych partnerów usługi Virtual WAN. Opcjonalnie możesz ręcznie zarządzać konfiguracją i łącznością z platformą Azure z poziomu preferowanego urządzenia.
Jak mogę włączyć trasę domyślną (0.0.0.0/0) dla połączenia (VPN, ExpressRoute lub sieci wirtualnej)?
Koncentrator wirtualny może propagować wyuczoną trasę domyślną do sieci wirtualnej, sieci VPN typu lokacja-lokacja lub połączenia usługi ExpressRoute, jeśli flaga jest włączona w połączeniu. Ta flaga jest widoczna, gdy użytkownik edytuje połączenie sieci wirtualnej, połączenie sieci VPN lub połączenie usługi ExpressRoute. Domyślnie ta flaga jest wyłączona, gdy lokacja lub obwód usługi ExpressRoute jest połączony z koncentratorem. Jest ona domyślnie włączona po dodaniu połączenia sieci wirtualnej w celu połączenia sieci wirtualnej z koncentratorem wirtualnym.
Trasa domyślna nie pochodzi z koncentratora usługi Virtual WAN; trasa domyślna jest propagowana, jeśli jest już poznana przez koncentrator usługi Virtual WAN w wyniku wdrożenia zapory w centrum lub jeśli włączono tunelowanie wymuszone przez inną połączoną lokację. Trasa domyślna nie jest propagowana między koncentratorami (między koncentratorami).
Czy można utworzyć wiele koncentratorów wirtualnej sieci WAN w tym samym regionie?
Tak. Klienci mogą teraz utworzyć więcej niż jedno centrum w tym samym regionie dla tej samej usługi Azure Virtual WAN.
W jaki sposób koncentrator wirtualny w wirtualnej sieci WAN wybiera najlepszą ścieżkę dla trasy z wielu koncentratorów?
Aby uzyskać informacje, zobacz stronę preferencji routingu koncentratora wirtualnego.
Czy koncentrator usługi Virtual WAN zezwala na łączność między obwodami usługi ExpressRoute?
Tranzyt między ER-to-ER zawsze odbywa się przez Global Reach. Bramy wirtualnego huba są wdrażane w centrach danych lub regionach Azure. Gdy dwa obwody usługi ExpressRoute łączą się za pośrednictwem zasięgu globalnego, nie ma potrzeby, aby ruch przechodził przez routery brzegowe do wirtualnego kontrolera domeny koncentratora.
Czy istnieje pojęcie wagi w obwodach usługi ExpressRoute usługi Azure Virtual WAN lub połączeniach sieci VPN
Gdy wiele obwodów usługi ExpressRoute jest połączonych z koncentratorem wirtualnym, waga routingu w połączeniu zapewnia mechanizm, dzięki któremu usługa ExpressRoute w koncentratorze wirtualnym może preferować jeden obwód nad innym. Nie ma mechanizmu ustawiania wagi połączenia sieci VPN. Platforma Azure zawsze preferuje połączenie usługi ExpressRoute zamiast połączenia sieci VPN w ramach jednego koncentratora.
Czy usługa Virtual WAN preferuje ExpressRoute zamiast VPN dla ruchu wychodzącego z platformy Azure
Tak. Usługa Virtual WAN preferuje usługę ExpressRoute za pośrednictwem sieci VPN na potrzeby ruchu wychodzącego z platformy Azure. Można jednak skonfigurować preferencję routingu koncentratora wirtualnego, aby zmienić preferencję domyślną. Aby zapoznać się z krokami, zobacz Konfigurowanie preferencji routingu koncentratora wirtualnego.
Jeśli koncentrator usługi Virtual WAN ma połączony obwód usługi ExpressRoute i lokację sieci VPN, co spowodowałoby preferowanie trasy połączenia sieci VPN za pośrednictwem usługi ExpressRoute?
Gdy obwód usługi ExpressRoute jest połączony z koncentratorem wirtualnym, routery microsoft Edge są pierwszym węzłem do komunikacji między środowiskiem lokalnym a platformą Azure. Te routery brzegowe komunikują się z bramami ExpressRoute usługi Virtual WAN, które z kolei pobierają trasy z routera koncentratora wirtualnego, kontrolującego wszystkie trasy między bramami w usłudze Virtual WAN. Routery Microsoft Edge przetwarzają trasy ExpressRoute wirtualnego koncentratora z większym priorytetem niż trasy uzyskane z sieci lokalnej.
Z dowolnego powodu, jeśli połączenie sieci VPN stanie się podstawowym medium dla koncentratora wirtualnego do uczenia się tras (np. w scenariuszach przełączania awaryjnego między usługą ExpressRoute a siecią VPN), chyba że lokalizacja sieci VPN ma dłuższą długość ścieżki AS, koncentrator wirtualny będzie nadal udostępniał trasy nauczone przez VPN bramie usługi ExpressRoute. Powoduje to, że routery Microsoft Edge preferują trasy VPN zamiast tras lokalnych.
Czy usługa ExpressRoute obsługuje routing o równych kosztach (ECMP) w wirtualnej sieci WAN?
Gdy wiele obwodów usługi ExpressRoute jest połączonych z koncentratorem usługi Virtual WAN, usługa ECMP umożliwia dystrybucję ruchu z sieci wirtualnych szprych do środowiska lokalnego za pośrednictwem usługi ExpressRoute we wszystkich obwodach usługi ExpressRoute reklamowania tych samych tras lokalnych. Usługa ECMP nie jest obecnie domyślnie włączona dla koncentratorów usługi Virtual WAN. Aby włączyć usługę ECMP dla koncentratora usługi Virtual WAN, możesz utworzyć mapę tras dla koncentratora wirtualnego, gdy mapy tras są ogólnie dostępne. Podczas tworzenia mapy tras koncentrator wirtualny zostanie automatycznie uaktualniony do najnowszej wersji oprogramowania, która obsługuje protokół ECMP, niezależnie od tego, czy ta mapa tras jest stosowana na wszystkich połączeniach. W związku z tym wystarczy wykonać kroki od 1 do 7 tutaj. Mapy tras są obecnie w wersji zapoznawczej, dlatego nie zalecamy tworzenia map tras dla środowisk produkcyjnych.
Gdy dwa huby (hub 1 i 2) są połączone i obwód usługi ExpressRoute jest podłączony w formie muchy do obu hubów, jaka jest ścieżka dla sieci wirtualnej połączonej z hubem 1, aby dotrzeć do sieci wirtualnej połączonej z hubem 2?
Bieżące zachowanie polega na preferowaniu ścieżki obwodu usługi ExpressRoute zamiast połączenia między hubami dla łączności sieci VNet-do-VNet. Nie jest to jednak zalecane w konfiguracji usługi Virtual WAN. Aby rozwiązać ten problem, możesz wykonać jedną z dwóch czynności:
Skonfiguruj wiele obwodów usługi ExpressRoute (od różnych dostawców), aby nawiązać połączenie z jednym koncentratorem, i użyć łączności między koncentratorami udostępnionej przez usługę Virtual WAN do zarządzania przepływami ruchu między regionami.
Skonfiguruj AS-Path jako preferencję routingu dla swojego wirtualnego koncentratora. Dzięki temu ruch między 2 koncentratorami przechodzi przez wirtualny router koncentratora w każdym koncentratorze i używa ścieżki koncentrator-do-koncentrator zamiast ścieżki usługi ExpressRoute (która przechodzi przez routery Microsoft Edge). Aby uzyskać więcej informacji, zobacz Konfigurowanie preferencji routingu koncentratora wirtualnego.
Jeśli obwód usługi ExpressRoute jest połączony w konfiguracji „bow-tie” z koncentratorem usługi Virtual WAN oraz autonomiczną siecią wirtualną, jaka jest ścieżka autonomicznej sieci wirtualnej do koncentratora usługi Virtual WAN?
W przypadku nowych wdrożeń ta łączność jest domyślnie blokowana. Aby zezwolić na tę łączność, możesz włączyć te przełączniki bramy ExpressRoute w sekcji "Edytuj koncentrator wirtualny" i w sekcji "Brama sieci wirtualnej" w portalu. Zaleca się jednak wyłączenie tych przełączników i zamiast tego utworzenie połączenia sieci wirtualnej w celu bezpośredniego połączenia autonomicznych sieci wirtualnych z hubem usługi Virtual WAN. Następnie ruch między sieciami wirtualnymi przechodzi przez router koncentratora usługi Virtual WAN, który zapewnia lepszą wydajność niż ścieżka usługi ExpressRoute. Ścieżka usługi ExpressRoute obejmuje bramę usługi ExpressRoute, która ma mniejsze limity przepustowości niż router koncentracyjny, a także routery Microsoft Enterprise Edge/MSEE, które są dodatkowym przeskokiem na ścieżce danych.
Na poniższym diagramie należy włączyć oba przełączniki, aby zezwolić na łączność między autonomiczną siecią wirtualną 4 i sieciami wirtualnymi połączonymi bezpośrednio z koncentratorem 2 (sieć wirtualna 2 i sieć wirtualna 3): Zezwalaj na ruch z zdalnych sieci wirtualnych sieci WAN dla bramy sieci wirtualnej i Zezwalaj na ruch z sieci innych niż wirtualne sieci WAN dla bramy usługi ExpressRoute koncentratora wirtualnego. Jeśli serwer Azure Route Server jest wdrożony w autonomicznej sieci wirtualnej VNet 4, a serwer Route Server ma włączoną funkcję branch-to-branch, to łączność między siecią VNet 1 a autonomiczną siecią VNet 4 zostanie zablokowana.
Włączenie lub wyłączenie przełącznika będzie miało wpływ tylko na następujący przepływ ruchu: ruch przepływujący między koncentratorem usługi Virtual WAN i autonomicznymi sieciami wirtualnymi za pośrednictwem obwodu usługi ExpressRoute. Włączenie lub wyłączenie przełącznika nie spowoduje przestoju dla wszystkich innych przepływów ruchu (np. lokacja lokalna z siecią wirtualną szprychy 2 nie będzie mieć wpływu, sieć wirtualna 2 do sieci wirtualnej 3 nie będzie mieć wpływu itp.).
Dlaczego łączność nie działa, gdy anonsuję trasy z numerem ASN 0 w ścieżce AS-Path?
Koncentrator usługi Virtual WAN porzuca trasy z asn 0 w ścieżce AS-Path. Aby upewnić się, że te trasy zostały pomyślnie anonsowane na platformie Azure, ścieżka AS-Path nie powinna zawierać wartości 0.
Czy koncentratory można tworzyć w różnych grupach zasobów w usłudze Virtual WAN?
Tak. Ta opcja jest obecnie dostępna tylko za pośrednictwem programu PowerShell. Portal usługi Virtual WAN wymaga, aby koncentratory znajdują się w tej samej grupie zasobów co sam zasób usługi Virtual WAN.
Jaka jest zalecana przestrzeń adresowa centrum podczas tworzenia koncentratora?
Zalecana przestrzeń adresowa koncentratora usługi Virtual WAN to /23. Koncentrator usługi Virtual WAN przypisuje podsieci do różnych bram (ExpressRoute, sieć VPN typu lokacja-lokacja, sieć VPN typu punkt-lokacja, usługa Azure Firewall, router koncentratora wirtualnego). W scenariuszach, w których wirtualne urządzenia sieciowe (NVA) są wdrażane wewnątrz koncentratora wirtualnego, zwykle rezerwuje się prefiks /28 na potrzeby wystąpień tych urządzeń. Jeśli jednak użytkownik miałby konfigurować wiele wirtualnych urządzeń sieciowych, może zostać przypisana podsieć /27. Mając na uwadze przyszłą architekturę, choć koncentratory usługi Virtual WAN są wdrażane z minimalnym rozmiarem /24, zalecana przestrzeń adresowa dla użytkownika do wprowadzenia w momencie tworzenia centrum to /23.
Czy istnieje obsługa protokołu IPv6 w usłudze Virtual WAN?
Protokół IPv6 nie jest obsługiwany w koncentratorze usługi Virtual WAN i jego bramach. Jeśli połączysz sieć wirtualną szprychy z zakresem adresów IPv6 z koncentratorem usługi Virtual WAN, będzie działać tylko łączność IPv4 z tą siecią wirtualną będącej szprychą. Łączność IPv6 z tą siecią VNet typu spoke nie jest obsługiwana.
Jeśli anonsujesz prefiksy IPv6 ze środowiska lokalnego, spowoduje to przerwanie łączności IPv4 dla zasobów platformy Azure.
W scenariuszu sieci VPN użytkownika typu punkt-lokacja z przerwą w Internecie za pośrednictwem usługi Azure Firewall prawdopodobnie trzeba będzie wyłączyć łączność IPv6 na urządzeniu klienckim, aby wymusić ruch do koncentratora usługi Virtual WAN. Dzieje się tak, ponieważ nowoczesne urządzenia domyślnie używają adresów IPv6.
Jaka jest zalecana wersja interfejsu API, która ma być używana przez skrypty automatyzujące różne funkcje usługi Virtual WAN?
Wymagana jest minimalna wersja 05-01-2022 (1 maja 2022 r.).
Czy istnieją limity usługi Virtual WAN?
Zobacz sekcję Limity usługi Virtual WAN na stronie Limity subskrypcji i usługi.
Jakie są różnice między typami usługi Virtual WAN (Podstawowa i Standardowa)?
Zobacz Podstawowe i standardowe wirtualne sieci WAN. Aby uzyskać informacje o cenach, zobacz stronę Cennik .
Czy usługa Virtual WAN przechowuje dane klienta?
Nie. Usługa Virtual WAN nie przechowuje żadnych danych klientów.
Czy istnieją dostawcy usług zarządzanych, którzy mogą zarządzać wirtualną siecią WAN dla użytkowników jako usługi?
Tak. Aby uzyskać listę rozwiązań dostawcy usług zarządzanych (MSP) dostępnych w Azure Marketplace, zobacz Oferty Azure Marketplace od partnerów MSP Azure Networking.
Jak routing koncentratora usługi Virtual WAN różni się od usługi Azure Route Server w sieci wirtualnej?
Zarówno koncentrator usługi Azure Virtual WAN, jak i usługa Azure Route Server zapewniają możliwości peeringu BGP (Border Gateway Protocol), które mogą być wykorzystywane przez urządzenia NVS (Network Virtual Appliance) do reklamowania adresów IP z urządzenia NVS do sieci wirtualnych Azure użytkownika. Opcje wdrażania różnią się tym, że Azure Route Server jest zazwyczaj wdrażany przez zarządzane przez klienta centrum wirtualne w sieci VNet, podczas gdy Azure Virtual WAN zapewnia bezobsługową, w pełni zasiatą usługę centrum, do której klienci podłączają swoje różne punkty końcowe odgałęzień (w tym sieci wirtualne Azure, lokalne gałęzie z VPN typu site-to-site lub SDWAN, zdalnych użytkowników z VPN typu punkt-do-sieci/zdalny użytkownik oraz połączenia prywatne z ExpressRoute) i korzystają z BGP Peeringu dla NVAs wdrożonych w odgałęzieniach sieci VNet, wraz z innymi możliwościami vWAN, takimi jak tranzytowa łączność między sieciami VNet, tranzytowa łączność między VPN i ExpressRoute, niestandardowy/zaawansowany routing, niestandardowe przypisanie i propagacja tras, zamiary routingu/polityki dla zabezpieczeń między regionami bez komplikacji i inne, takie jak Secure Hub/Azure Firewall itp. Aby uzyskać więcej informacji na temat BGP Peering w Virtual WAN, zobacz Jak połączyć równorzędny protokół BGP z koncentratorem wirtualnym.
Jeśli używam innego dostawcy zabezpieczeń (Zscaler, iBoss lub Checkpoint) do zabezpieczenia ruchu internetowego, dlaczego nie widzę witryny sieci VPN skojarzonej z dostawcą zabezpieczeń innej firmy w witrynie Azure Portal?
Jeśli zdecydujesz się wdrożyć dostawcę partnera zabezpieczeń w celu ochrony dostępu do Internetu dla użytkowników, dostawca zabezpieczeń innej firmy tworzy witrynę sieci VPN w Twoim imieniu. Ponieważ dostawca zabezpieczeń innej firmy jest tworzony automatycznie przez dostawcę i nie jest witryną sieci VPN utworzoną przez użytkownika, ta witryna sieci VPN nie będzie wyświetlana w witrynie Azure Portal.
Aby uzyskać więcej informacji na temat dostępnych opcji dostawców zabezpieczeń innych firm i sposobu ich konfigurowania, zobacz Wdrażanie dostawcy partnera zabezpieczeń.
Czy społeczności protokołu BGP generowane przez środowisko lokalne będą zachowywane w usłudze Virtual WAN?
Tak, społeczności protokołu BGP generowane przez środowisko lokalne będą zachowywane w wirtualnej sieci WAN.
Czy społeczności protokołu BGP generowane przez peery BGP (w dołączonej sieci wirtualnej) będą zachowywane w Virtual WAN?
Tak, społeczności protokołu BGP generowane przez węzły BGP będą zachowywane w Virtual WAN. Społeczności są zachowywane w tym samym centrum i między połączeniami międzyhubowymi. Dotyczy to również scenariuszy usługi Virtual WAN przy użyciu zasad intencji routingu.
Jakie numery ASN są obsługiwane dla zdalnie podłączonych lokalnych sieci na miejscu z uruchomionym BGP?
Możesz użyć własnych publicznych numerów ASN lub prywatnych numerów ASN dla sieci lokalnych. Nie można używać zakresów zarezerwowanych przez platformę Azure lub IANA:
- Numery ASN zarezerwowane przez Azure
- Publiczne numery ASN: 8074, 8075, 12076
- Prywatne numery ASN: 65515, 65517, 65518, 65519, 65520
- Numery ASN zarezerwowane przez IANA: 23456, 64496-64511, 65535-65551
Czy istnieje sposób zmiany nazwy ASN dla bramy sieci VPN?
Nie Usługa Virtual WAN nie obsługuje zmian asn dla bram sieci VPN.
Jakie są szacowane wydajności bramy ExpressRoute według SKU w usłudze Virtual WAN?
| Jednostka skalowania | Połączenia na sekundę | Mega-bity na sekundę | Pakiety na sekundę |
|---|---|---|---|
| 1 jednostka skalowania |
14 000 | 2000 | 200,000 |
| 2 jednostki skalowania |
28,000 | 4000 | 400 000 |
| 3 jednostki skalowania |
42 000 | 6000 | 600,000 |
| 4 jednostki skalowania |
56,000 | 8000 | 800,000 |
| 5 jednostek skalowania |
70,000 | 10 000 | 1 000 000 |
| 6 jednostek skalowania |
84,000 | 12 000 | 1,200,000 |
| 7 jednostek skalowania |
98,000 | 14 000 | 1,400,000 |
| 8 jednostek skalowania |
112,000 | 16 000 | 1,600,000 |
| 9 jednostek skalowania |
126,000 | 18 000 | 1,800,000 |
| 10 jednostek skalowania |
140,000 | 20,000 | 2,000,000 |
Należy pamiętać o następujących kwestiach:
- Jednostki skalowania 2–10 podczas operacji konserwacji utrzymują zagregowaną przepływność. Jednak jednostka skalowania 1 podczas operacji konserwacji może spowodować niewielkie różnice w liczbach przepływności.
- Niezależnie od liczby wdrożonych jednostek skalowania wydajność ruchu może się pogorszyć, jeśli w jednym przepływie TCP jest przesyłane więcej niż 1,5 Gb/s.
Jeśli połączę obwód lokalny usługi ExpressRoute z koncentratorem usługi Virtual WAN, czy będę mógł uzyskać dostęp tylko do regionów w tej samej lokalizacji metra co obwód lokalny?
Obwody lokalne mogą być połączone tylko z bramami usługi ExpressRoute w odpowiadającym im regionie świadczenia usługi Azure. Nie ma jednak ograniczeń w kierowaniu ruchu do sieci wirtualnych odgałęźnych w innych regionach.
Dlaczego router koncentratora wirtualnego wymaga publicznego adresu IP z otwartymi portami?
Te publiczne punkty końcowe są wymagane, aby podstawowa platforma SDN platformy Azure i platforma zarządzania komunikowała się z routerem koncentratora wirtualnego. Ponieważ router koncentratora wirtualnego jest uważany za część sieci prywatnej klienta, podstawowa platforma platformy Azure nie może bezpośrednio uzyskać dostępu do routera koncentratora i zarządzać nim za pośrednictwem prywatnych punktów końcowych ze względu na wymagania dotyczące zgodności. Łączność z publicznymi punktami końcowymi routera koncentratora jest uwierzytelniana za pośrednictwem certyfikatów, a platforma Azure przeprowadza rutynowe inspekcje zabezpieczeń tych publicznych punktów końcowych. W związku z tym nie stanowią one zagrożenia bezpieczeństwa centrum wirtualnego.
Czy istnieje limit tras dla klientów openVPN łączących się z bramą sieci VPN typu punkt-lokacja platformy Azure?
Limit tras dla klientów OpenVPN wynosi 1000.
Jak jest obliczana umowa SLA usługi Virtual WAN?
Virtual WAN to platforma sieci jako usługa, która ma umowę SLA na poziomie 99,95%. Jednak Virtual WAN łączy wiele różnych składników, takich jak Azure Firewall, sieć VPN typu lokacja-lokacja, ExpressRoute, sieć VPN typu punkt-lokacja oraz Virtual WAN Hub/zintegrowane wirtualne urządzenia sieciowe.
Umowa SLA dla każdego składnika jest obliczana indywidualnie. Jeśli na przykład usługa ExpressRoute ma 10-minutowy przestój, dostępność usługi ExpressRoute zostanie obliczona jako (Maksymalna dostępna liczba minut — przestój) / Maksymalna dostępna liczba minut * 100.
Czy można zmienić przestrzeń adresową sieci VNet w sieci VNet będącej odnoga połączoną z koncentratorem?
Tak, można to zrobić automatycznie bez aktualizacji ani resetowania wymaganego w połączeniu równorzędnym. Pamiętaj o następujących kwestiach:
- Nie musisz klikać przycisku "Synchronizuj" w bloku Komunikacja równorzędna. Po zmianie przestrzeni adresowej sieci wirtualnej komunikacja równorzędna sieci wirtualnych zostanie automatycznie zsynchronizowana z siecią wirtualną koncentratora wirtualnego.
- Upewnij się, że zaktualizowana przestrzeń adresowa nie nakłada się na przestrzeń adresową istniejących wirtualnych sieci szprych w usłudze Virtual WAN.
Więcej informacji na temat zmiany przestrzeni adresowej sieci wirtualnej można znaleźć tutaj.
Jaka jest maksymalna liczba adresów sieci wirtualnej będącej szprychą obsługiwana dla centrów skonfigurowanych z intencją routingu?
Maksymalna liczba przestrzeni adresowych we wszystkich sieciach wirtualnych połączonych bezpośrednio z jednym koncentratorem usługi Virtual WAN wynosi 400. Ten limit jest stosowany indywidualnie do każdego koncentratora usługi Virtual WAN we wdrożeniu usługi Virtual WAN. Przestrzenie adresowe sieci wirtualnej połączone ze zdalnymi koncentratorami (innymi koncentratorami Virtual WAN w tej samej wirtualnej sieci WAN) nie są wliczane do tego limitu.
Ten limit jest regulowany. Aby uzyskać więcej informacji na temat limitu, procedura żądania zwiększenia limitu i przykładowych skryptów w celu określenia liczby przestrzeni adresowych w sieciach wirtualnych połączonych z koncentratorem usługi Virtual WAN, zobacz Routing intent virtual network address space limits (Limity przestrzeni adresowej sieci wirtualnej intencji routingu).
Konserwacja bramy kontrolowanej przez klienta usługi Virtual WAN
Które usługi znajdują się w zakresie konfiguracji konserwacji bram sieciowych?
W przypadku usługi Virtual WAN można skonfigurować okna obsługi bram sieci VPN typu lokacja-lokacja i bramy usługi ExpressRoute.
Która konserwacja jest obsługiwana lub nie jest obsługiwana przez konserwację kontrolowaną przez klienta?
Usługi platformy Azure przechodzą okresowe aktualizacje konserwacji w celu zwiększenia funkcjonalności, niezawodności, wydajności i zabezpieczeń. Po skonfigurowaniu okna obsługi zasobów w tym oknie są wykonywane konserwacje systemu operacyjnego gościa i usługi. Te aktualizacje stanowią większość elementów konserwacji, które powodują obawy klientów.
Podstawowe aktualizacje sprzętu hosta i infrastruktury centrum danych nie są objęte konserwacją kontrolowaną przez klienta. Ponadto jeśli występuje problem z zabezpieczeniami o wysokiej ważności, który może zagrozić naszym klientom, platforma Azure może wymagać zastąpienia kontroli klienta nad oknem obsługi i wdrożenia zmiany. Są to rzadkie wystąpienia, które byłyby używane tylko w skrajnych przypadkach.
Czy mogę uzyskać zaawansowane powiadomienie o konserwacji?
Obecnie nie można włączyć zaawansowanego powiadomienia na potrzeby konserwacji zasobów bramy sieci.
Czy mogę skonfigurować okno obsługi krótsze niż pięć godzin?
W tej chwili należy skonfigurować okno o długości co najmniej pięciu godzin w preferowanej przez siebie strefie czasowej.
Czy mogę skonfigurować harmonogram konserwacji, który nie powtarza się codziennie?
W tej chwili należy skonfigurować codzienne okno obsługi.
Czy zasoby konfiguracji konserwacji muszą znajdować się w tym samym regionie co zasób bramy?
Tak.
Czy muszę wdrożyć minimalną jednostkę skalowania bramy, aby kwalifikować się do konserwacji kontrolowanej przez klienta?
L.p.
Jak długo trwa, zanim polityka konfiguracji konserwacji stanie się skuteczna po przypisaniu jej do zasobu bramy sieciowej?
Wykonanie harmonogramu konserwacji przez bramy sieci może potrwać do 24 godzin po skojarzeniu zasad konserwacji z zasobem bramy.
Jak planować okna obsługi podczas korzystania z sieci VPN i usługi ExpressRoute w scenariuszu współistnienia?
Podczas pracy z siecią VPN i usługą ExpressRoute w scenariuszu współistnienia lub gdy masz zasoby działające jako kopie zapasowe, zalecamy skonfigurowanie oddzielnych okien obsługi. Takie podejście zapewnia, że konserwacja nie ma wpływu na zasoby kopii zapasowej w tym samym czasie.
Zaplanowano okno obsługi dla przyszłej daty dla jednego z moich zasobów. Czy działania konserwacyjne zostaną wstrzymane w tym zasobie do tego czasu?
Nie, działania konserwacyjne nie zostaną wstrzymane w zasobie w okresie przed zaplanowanym oknem obsługi. W przypadku dni niewymienionych w harmonogramie konserwacji, prace konserwacyjne na zasobie są kontynuowane jak zwykle.
Czy istnieją limity liczby tras, które mogę anonsować?
Tak, istnieją limity. Usługa ExpressRoute obsługuje maksymalnie 4000 prefiksów dla prywatnego peeringu i 200 prefiksów dla peeringu Microsoft. Usługa ExpressRoute Premium umożliwia zwiększenie limitu do 10 000 tras dla prywatnego peeringu. Maksymalna liczba tras anonsowanych z prywatnego peeringu Azure przez bramę ExpressRoute w obwodzie ExpressRoute wynosi 1000, co jest takie samo w przypadku obwodów ExpressRoute w warstwach Standard i Premium. Aby uzyskać więcej informacji, zapoznaj się z limitami tras obwodów ExpressRoute na stronie dotyczącej limitów subskrypcji i kwot platformy Azure. Zwróć uwagę, że reklamy tras IPv6 nie są obecnie obsługiwane w usłudze Virtual WAN.
Czy istnieją ograniczenia dotyczące zakresów adresów IP, które można anonsować za pośrednictwem sesji protokołu BGP?
Tak, istnieją ograniczenia. Prefiksy prywatne (RFC1918) nie są akceptowane dla sesji BGP peeringu z Microsoft. Jednak każdy rozmiar prefiksu do /32 jest akceptowany zarówno w przypadku peeringu Microsoftu, jak i peeringu prywatnego.
Co się stanie, jeśli limit trasy protokołu BGP zostanie przekroczony?
Jeśli limit trasy protokołu BGP zostanie przekroczony, sesje protokołu BGP zostaną rozłączone. Sesje zostaną przywrócone, gdy liczba prefiksów zostanie zmniejszona poniżej limitu. Aby uzyskać więcej informacji, zobacz limity tras obwodów ExpressRoute na stronie Limity i przydziały subskrypcji platformy Azure.
Czy mogę monitorować liczbę tras anonsowanych lub odebranych za pośrednictwem obwodu usługi ExpressRoute?
Tak, możesz. Aby uzyskać najlepsze rozwiązania i konfigurację monitorowania alertów opartych na metryce, zapoznaj się z najlepszymi rozwiązaniami dotyczącymi monitorowania platformy Azure.
Jakie jest zalecenie, aby zmniejszyć liczbę prefiksów adresów IP?
Zalecamy agregowanie prefiksów przed ich anonsowaniem za pośrednictwem usługi ExpressRoute lub bramy sieci VPN. Ponadto możesz użyć Route-Maps do podsumowywania tras reklamowanych z/do Wirtualnej Sieci WAN.
Czy można używać tabel tras zdefiniowanych przez użytkownika w sieciach wirtualnych typu 'spoke' połączonych z koncentratorem usługi Virtual WAN?
Tak. Trasy anonsowane przez koncentrator usługi Virtual WAN do zasobów wdrożonych w połączonych sieciach wirtualnych szprych to trasy typu Border Gateway Protocol (BGP). Jeśli tabela tras zdefiniowana przez użytkownika jest skojarzona z podsiecią połączoną z usługą Virtual WAN, ustawienie "Propagacja tras bramy" musi mieć wartość "Tak", aby usługa Virtual WAN anonsowała zasoby wdrożone w tej podsieci. Podstawowa platforma sieciowa zdefiniowana programowo na platformie Azure używa następującego algorytmu do wybierania tras na podstawie algorytmu wyboru tras platformy Azure.
Następne kroki
Aby uzyskać więcej informacji na temat usługi Virtual WAN, zobacz About Virtual WAN (Informacje o usłudze Virtual WAN).