بنية اتصال SD - WAN مع Azure Virtual WAN
تعد Azure Virtual WAN خدمة شبكة تجمع بين العديد من خدمات الاتصال والأمان السحابية مع واجهة تشغيل واحدة. وتشمل هذه الخدمات فرعًا (عبر VPN من موقع إلى موقع )، ومستخدمًا بعيدًا (VPN من نقطة إلى موقع )، واتصالًا خاصًا (ExpressRoute )، واتصالًا عابرًا داخل السحابة لـ VNets، واتصالًا بينيًا بـ VPN و ExpressRoute، والتوجيه، وجدار حماية Azure، والتشفير للاتصال الخاص.
على الرغم من أن Azure Virtual WAN عبارة عن شبكة SD - WAN سحابية توفر مجموعة غنية من خدمات الاتصال والتوجيه والأمان لطرف Azure الأول، إلا أن Azure Virtual WAN مصمم أيضًا لتمكين الاتصال السلس بتقنيات وخدمات SD - WAN و SASE المستندة إلى المباني. يتم تقديم العديد من هذه الخدمات من قبل نظامنا البيئي الافتراضي للشبكة الواسعة وشركاء الخدمات المدارة لشبكات Azure (MSPs). تتمتع الشركات التي تقوم بتحويل شبكة WAN الخاصة بها إلى شبكة SD - WAN بخيارات عند ربط شبكة SD - WAN الخاصة بها بشبكة Azure Virtual WAN. يمكن للشركات الاختيار من بين هذه الخيارات:
- نموذج الاتصال البيني المباشر
- نموذج الاتصال البيني المباشر مع محور NVA - in - VWAN
- نموذج الاتصال البيني غير المباشر
- نموذج الشبكة الواسعة الهجينة المدارة باستخدام مزود الخدمة المدار المفضل لديهم MSP
في جميع هذه الحالات، يكون اتصال WAN الظاهري بـ SD - WAN مشابهًا لجانب الاتصال، ولكن قد يختلف على جانب التنسيق والتشغيل.
نموذج الاتصال البيني المباشر
في هذا النموذج المعماري، يتم توصيل معدات عملاء فرع SD - WAN (CPE) مباشرة بمحاور الشبكة الواسعة الظاهرية عبر اتصالات IPsec. يمكن أيضًا توصيل CPE الفرع بفروع أخرى عبر SD - WAN الخاصة، أو استخدام WAN الظاهرية لاتصال الفرع بالفرع. ستتمكن الفروع التي تحتاج إلى الوصول إلى أحمال العمل الخاصة بها في Azure من الوصول مباشرة وآمنا إلى Azure عبر نفق (أنفاق) IPsec التي تم إنهاؤها في مركز (مراكز) شبكة WAN الظاهرية.
يمكن لشركاء SD - WAN CPE تمكين التنفيذ التلقائي من أجل التنفيذ التلقائي لاتصال IPsec المزعج والمعرض للأخطاء عادةً من أجهزة CPE الخاصة بهم. يسمح التنفيذ التلقائي لوحدة تحكم SD - WAN بالتحدث إلى Azure عبر واجهة برمجة تطبيقات WAN الظاهرية لتكوين مواقع WAN الظاهرية، ودفع تكوين نفق IPsec اللازم إلى CPEs الفرع. راجع إرشادات التنفيذ التلقائي لوصف التنفيذ التلقائي للتوصيل البيني WAN الظاهري من قبل مختلف شركاء SD-WAN.
لا يزال SD-WAN CPE هو المكان الذي يتم فيه تنفيذ وتحسين نسبة استخدام الشبكة وتحديد المسار وفرضها.
في هذا الطراز، قد لا يتم دعم تحسين حركة المرور الخاصة بالبائع استنادًا إلى خصائص حركة المرور في الوقت الفعلي نظرًا لأن الاتصال بـ WAN الظاهري يتم عبر IPsec ويتم إنهاء IPsec VPN على بوابة WAN VPN الظاهرية. على سبيل المثال، يكون اختيار المسار الديناميكي في CPE الفرعي ممكنًا نظرًا لأن الجهاز الفرعي يتبادل العديد من معلومات حزمة الشبكة مع عقدة SD - WAN أخرى، وبالتالي تحديد أفضل رابط لاستخدامه في العديد من حركة المرور ذات الأولوية ديناميكيًا في الفرع. قد تكون هذه الميزة مفيدة في المناطق التي يلزم فيها تحسين الميل الأخير (الفرع إلى أقرب Microsoft POP).
باستخدام Virtual WAN، يمكن للمستخدمين الحصول على تحديد مسار Azure، وهو تحديد المسار المستند إلى النهج عبر ارتباطات موفر خدمة الإنترنت المتعددة من CPE الفرعي إلى بوابات VPN WAN الظاهرية. تسمح WAN الظاهرية بإعداد العديد من الروابط (المسارات) من نفس CPE فرع SD - WAN ؛ يمثل كل رابط اتصال نفق مزدوج من IP عام فريد من نوعه لـ SD - WAN CPE إلى مثيلين مختلفين من بوابة الشبكة الظاهرية WAN VPN من Azure. يمكن لموردي SD - WAN تنفيذ المسار الأمثل إلى Azure، استنادًا إلى سياسات المرور التي يحددها محرك سياستهم على روابط CPE. في نهاية Azure، يتم التعامل مع جميع الاتصالات الواردة على قدم المساواة.
نموذج الاتصال البيني المباشر مع محور NVA - in - VWAN
يدعم هذا النموذج المعماري نشر الجهاز الافتراضي للشبكة (NVA) التابع لجهة خارجية مباشرة في المحور الافتراضي . يتيح ذلك للعملاء الذين يرغبون في توصيل CPE الخاص بفرعهم بنفس العلامة التجارية NVA في المحور الافتراضي حتى يتمكنوا من الاستفادة من قدرات SD - WAN الخاصة عند الاتصال بأعباء عمل Azure.
عمل العديد من شركاء الشبكة الافتراضية على توفير تجربة تقوم بتكوين NVA تلقائيًا كجزء من عملية النشر. بمجرد توفير NVA في المحور الافتراضي، يجب إجراء أي تكوين إضافي قد يكون مطلوبًا لـ NVA عبر بوابة شركاء NVA أو تطبيق الإدارة. الوصول المباشر إلى NVA غير متاح. تم تصميم NVAs المتاحة ليتم نشرها مباشرة في محور الشبكة الواسعة الظاهرية Azure Virtual WAN خصيصًا لاستخدامها في المحور الظاهري. للشركاء الذين يدعمون NVA في مركز VWAN وأدلة النشر الخاصة بهم، يرجى الاطلاع على مقالة شركاء الشبكة الواسعة الافتراضية .
لا يزال SD-WAN CPE هو المكان الذي يتم فيه تنفيذ وتحسين نسبة استخدام الشبكة وتحديد المسار وفرضها. في هذا النموذج، يتم دعم تحسين حركة المرور الخاصة بالبائع بناءً على خصائص حركة المرور في الوقت الفعلي لأن الاتصال بشبكة WAN الظاهرية يتم عبر SD - WAN NVA في المحور.
نموذج الاتصال البيني غير المباشر
في نموذج البنية هذا، ترتبط SD-WAN branch CPEs بشكل غير مباشر بمراكز Virtual WAN. كما هو موضح في الشكل، يتم نشر معدات المعالجة المركزية الافتراضية SD - WAN في شبكة VNet للمؤسسات. يتم توصيل CPE الظاهري، بدوره، بمحور(محاور) WAN الظاهري باستخدام IPsec. تعمل CPE الظاهرية كبوابة SD - WAN إلى Azure. ستتمكن الفروع التي تحتاج إلى الوصول إلى أحمال العمل الخاصة بها في Azure من الوصول إليها عبر بوابة v-CPE.
نظرًا لأن الاتصال بـ Azure يتم عبر بوابة v - CPE (NVA)، فإن جميع حركة المرور من وإلى Azure workload VNets إلى فروع SD - WAN الأخرى تمر عبر NVA. في هذا النموذج، يكون المستخدم مسؤولاً عن إدارة وتشغيل SD - WAN NVA بما في ذلك التوافر العالي وقابلية التوسع والتوجيه.
نموذج Hybrid WAN الهجينة المُدارة
في هذا النموذج المعماري، يمكن للمؤسسات الاستفادة من خدمة SD - WAN المدارة التي يقدمها شريك مزود الخدمة المدار (MSP). يشبه هذا النموذج النماذج المباشرة أو غير المباشرة الموضحة أعلاه. ومع ذلك، في هذا النموذج، يتم تسليم تصميم SD - WAN، التنسيق، والعمليات بواسطة موفر SD - WAN.
يمكن لشركاء Azure Networking MSP استخدام Azure Lighthouse لتنفيذ خدمة SD - WAN و WAN الافتراضية في اشتراك عميل Azure للمؤسسة، بالإضافة إلى تشغيل شبكة WAN الهجينة من البداية إلى النهاية نيابة عن العميل. يمكن أن تكون MSPs المذكورة أيضًا قادرة على تنفيذ Azure ExpressRoute في WAN الظاهري وتشغيلها كخدمة مدارة من طرف إلى طرف.