多個 ISP 連結上的 Azure 路徑選擇

Azure 虛擬 WAN 可讓使用者在 VPN 網站中包含連結資訊，實現 VPN/SD-WAN 裝置解決方案可以對分支特定原則進行程式設計的情節，以將跨各種連結的流量引導至 Azure。 這稱為 Azure 路徑選取。

架構

若要瞭解 Azure 路徑選取的運作方式，讓我們使用虛擬 WAN VPN 網站和站對站連線的範例。

VPN 網站代表內部部署 SD-WAN/VPN 裝置，其中包含公用 IP、裝置型號和名稱等資訊。實際的內部部署 VPN 網站可能會有多個 ISP 連結，其也可以包含在虛擬 WAN VPN 網站資訊中。 這可讓您在 Azure 中檢視連結資訊。

進入虛擬 WAN VPN 的站對站 IPsec 連線會在虛擬中樞內的 VPN網路閘道執行個體上終止。 站對站連線代表 VPN 網站與 Azure VPN 網路閘道之間的連線。 由一或多個連結連線所組成。 每個連結連線都包含兩個通道，每個通道在 Azure 虛擬 WAN VPN 網路閘道的唯一執行個體上終止。 在站對站連線中最多可以設定四個連結連線，讓站對站連線內最多可以有八個通道。 Azure 支援在單一虛擬 WAN VPN 網路閘道內終止最多 2000 個通道。

此圖顯示連線至 Azure 虛擬 WAN 之網站的多重連結。 在此圖表中：

• 內部部署分支有兩個 ISP 連結 (VPN/SD-WAN 裝置)。 每個 ISP 連結都會對應至連結連線。

• 假設內部部署客戶管理員 VPN/SD-WAN 裝置支援 IKEv1 或 IKEv2 IPsec。

• 每個 Azure 站對站虛擬 WAN 連線是由本身內的連結連線所組成。 連線最多支援四個連結連線。 Azure 會針對虛擬 WAN 連線收取連線單位費用。 連結連線不需要任何費用。

• 接著，每個連結連線都包含兩個 IPsec 通道，可在虛擬 WAN VPN 網路閘道的兩個不同執行個體上終止。 網路閘道會設定為主動-主動網路閘道以進行復原。 每個連結連線都必須有唯一的 IP 位址和 BGP 對等互連 IP。 在圖表中，通道 0 可以在執行個體 0 上終止，而通道 1 可以在執行個體 1 終止。

• 提供路徑選取的分支裝置可以在分支管理解決方案中啟用適當的原則，以將跨多個連結的流量引導至 Azure。 例如，ISP 1 連結可用於較高優先順序的流量，而 ISP 2 連結可用來做為備份。

• 請務必注意，虛擬中樞 VPN 會跨所有終止通道使用 ECMP (等於成本多重路徑路由)。

下一步

請參閱 Azure 常見問題集。