Dela via

SD-WAN-anslutningsarkitektur med Azure Virtual WAN

  • Artikel

Azure Virtual WAN är en nätverkstjänst som sammanför många molnanslutningar och säkerhetstjänster med ett enda driftgränssnitt. Dessa tjänster omfattar gren (via plats-till-plats-VPN), fjärranvändare (punkt-till-plats-VPN), privat (ExpressRoute)-anslutning, transitiv anslutning inom molnet för virtuella nätverk, VPN och ExpressRoute-anslutning, routning, Azure Firewall och kryptering för privat anslutning.

Även om Azure Virtual WAN är ett molnbaserat SD-WAN som tillhandahåller en omfattande uppsättning anslutningar, routning och säkerhetstjänster i Azure från första part, är Azure Virtual WAN också utformat för att möjliggöra sömlös sammankoppling med lokala SD-WAN- och SASE-tekniker och -tjänster. Många sådana tjänster erbjuds av våra Virtual WAN-ekosystem och Azure Networking Managed Services-partner (MSP:er). Företag som omvandlar sitt privata WAN till SD-WAN har alternativ när de ansluter sitt privata SD-WAN med Azure Virtual WAN. Företag kan välja mellan följande alternativ:

  • Direct Interconnect-modell
  • Direct Interconnect-modell med NVA-in-VWAN-hub
  • Modell för indirekt sammanlänkning
  • Hanterad Hybrid WAN-modell med hjälp av deras favorithanterade tjänstleverantör MSP

I alla dessa fall liknar sammankopplingen av Virtual WAN med SD-WAN från anslutningssidan, men kan variera på orkestrerings- och driftsidan.

Direct Interconnect-modell

Diagram över direkt sammanlänkningsmodell.

I den här arkitekturmodellen är SD-WAN-grenens kundlokala utrustning (CPE) direkt ansluten till Virtual WAN-hubbar via IPsec-anslutningar. Gren-CPE kan också anslutas till andra grenar via det privata SD-WAN eller använda Virtual WAN för gren för att förgrena anslutningen. Grenar som behöver åtkomst till sina arbetsbelastningar i Azure kommer att kunna få direkt och säker åtkomst till Azure via de IPsec-tunnlar som avslutas i Virtual WAN-hubbarna.

SD-WAN CPE-partner kan aktivera automatisering för att automatisera den normalt omständliga och felbenägna IPsec-anslutningen från respektive CPE-enheter. Med Automation kan SD-WAN-kontrollanten kommunicera med Azure via Virtual WAN-API:et för att konfigurera Virtual WAN-platserna och skicka nödvändig IPsec-tunnelkonfiguration till grenens CPE:er. Se Automation-riktlinjer för beskrivning av virtual WAN-sammankopplingsautomation av olika SD-WAN-partner.

SD-WAN CPE fortsätter att vara den plats där trafikoptimering och sökvägsval implementeras och tillämpas.

I den här modellen stöds kanske inte viss leverantörsägd trafikoptimering baserat på trafikegenskaper i realtid eftersom anslutningen till Virtual WAN är över IPsec och IPsec VPN avslutas på Virtual WAN VPN-gatewayen. Till exempel är val av dynamisk sökväg vid grenen CPE möjligt på grund av att grenenheten utbyter olika nätverkspaketinformation med en annan SD-WAN-nod, vilket identifierar den bästa länken som ska användas för olika prioriterade trafik dynamiskt vid grenen. Den här funktionen kan vara användbar i områden där optimering av sista milen (gren till närmaste Microsoft POP) krävs.

Med Virtual WAN kan användarna hämta Azure Path Selection, vilket är principbaserat sökvägsval mellan flera ISP-länkar från grenen CPE till Virtual WAN VPN-gatewayer. Virtual WAN tillåter installation av flera länkar (sökvägar) från samma SD-WAN-gren CPE; varje länk representerar en dubbel tunnelanslutning från en unik offentlig IP-adress för SD-WAN CPE till två olika instanser av Azure Virtual WAN VPN-gateway. SD-WAN-leverantörer kan implementera den mest optimala vägen till Azure, baserat på trafikprinciper som angetts av deras principmotor på CPE-länkarna. I Azure-änden behandlas alla anslutningar som kommer in på samma sätt.

Direct Interconnect-modell med NVA-in-VWAN-hub

Diagram över direkt sammanlänkningsmodell med NVA-in-VWAN-hub.

Den här arkitekturmodellen stöder distribution av en virtuell nätverksinstallation från tredje part (NVA) direkt till den virtuella hubben. På så sätt kan kunder som vill ansluta sin gren-CPE till samma varumärkes-NVA i den virtuella hubben så att de kan dra nytta av egna SD-WAN-funktioner från slutpunkt till slutpunkt när de ansluter till Azure-arbetsbelastningar.

Flera Virtual WAN-partner har arbetat för att tillhandahålla en upplevelse som konfigurerar NVA automatiskt som en del av distributionsprocessen. När NVA har etablerats i den virtuella hubben måste alla ytterligare konfigurationer som kan krävas för NVA göras via NVA-partnerportalen eller hanteringsprogrammet. Direkt åtkomst till NVA är inte tillgänglig. De NVA:er som är tillgängliga för att distribueras direkt till Azure Virtual WAN-hubben är särskilt utformade för att användas i den virtuella hubben. För partner som har stöd för NVA i VWAN-hubben och deras distributionsguider kan du läsa artikeln Virtual WAN-partner .

SD-WAN CPE fortsätter att vara den plats där trafikoptimering och sökvägsval implementeras och tillämpas. I den här modellen stöds leverantörsägd trafikoptimering baserat på trafikegenskaper i realtid eftersom anslutningen till Virtual WAN sker via SD-WAN NVA i hubben.

Modell för indirekt sammanlänkning

Diagram över modellen för indirekt sammankoppling.

I den här arkitekturmodellen är SD-WAN-gren-CPE:er indirekt anslutna till Virtual WAN-hubbar. Som bilden visar distribueras en virtuell SD-WAN-CPE i ett virtuellt företagsnätverk. Den här virtuella CPE:en är i sin tur ansluten till virtual WAN-hubbar med hjälp av IPsec. Den virtuella CPE fungerar som en SD-WAN-gateway till Azure. Grenar som behöver åtkomst till sina arbetsbelastningar i Azure kommer att kunna komma åt dem via v-CPE-gatewayen.

Eftersom anslutningen till Azure sker via v-CPE-gatewayen (NVA) går all trafik till och från virtuella Azure-arbetsbelastningar till andra SD-WAN-grenar via NVA. I den här modellen ansvarar användaren för att hantera och använda SD-WAN NVA, inklusive hög tillgänglighet, skalbarhet och routning.

Hanterad Hybrid WAN-modell

Diagram över hanterad hybrid-WAN-modell.

I den här arkitekturmodellen kan företag utnyttja en hanterad SD-WAN-tjänst som erbjuds av en MSP-partner (Managed Service Provider). Den här modellen liknar de direkta eller indirekta modeller som beskrivs ovan. I den här modellen levereras dock SD-WAN-design, orkestrering och åtgärder av SD-WAN-providern.

Azure Networking MSP-partner kan använda Azure Lighthouse för att implementera SD-WAN- och Virtual WAN-tjänsten i företagskundens Azure-prenumeration samt använda hybrid-WAN från slutpunkt till slutpunkt för kunden. Dessa MSP:er kan också implementera Azure ExpressRoute i Virtual WAN och använda det som en hanterad tjänst från slutpunkt till slutpunkt.

Ytterligare information