Nejčastější dotazy ke službě Virtual WAN

  • Článek
  • 22 min ke čtení

Je Azure Virtual WAN ve ga?

Ano, Azure Virtual WAN obecně dostupná. Tento Virtual WAN se ale skládá z několika funkcí a scénářů. Existují funkce nebo scénáře v rámci Virtual WAN, kde Microsoft používá značku Preview. V těchto případech je konkrétní funkce nebo samotný scénář ve verzi Preview. Pokud konkrétní funkci Preview nevyu ídáte, platí pravidelná podpora GA. Další informace o podpoře verze Preview najdete v doplňkových podmínkách použití pro Microsoft Azure Preview.

Musí mít uživatel centrum a paprsky se zařízeními SD-WAN nebo VPN, aby je Azure Virtual WAN?

Virtual WAN poskytuje mnoho funkcí integrovaných do jediného okna, jako je připojení VPN typu Site-to-Site, připojení uživatele/P2S, připojení ExpressRoute, připojení Virtual Network, propojení VPN ExpressRoute, tranzitivní připojení typu VNet-to-VNet, centralizované směrování, zabezpečení Azure Firewall a Firewall Manager, monitorování, šifrování ExpressRoute a mnoho dalších možností. Pokud chcete začít používat tyto případy použití, není Virtual WAN. Můžete začít jenom s jedním případem použití.

Architektura Virtual WAN je architektura centra a paprsku s integrovaným škálováním a výkonem, kde větve (zařízení VPN/SD-WAN), uživatelé (klienti Azure VPN, openVPN nebo klienti IKEv2), okruhy ExpressRoute a virtuální sítě slouží jako paprsky virtuálních center. Všechna rozbočovače jsou připojená v plné síti v Virtual WAN, což uživateli usnadňuje použití páteřní sítě Microsoftu pro připojení typu any-to-any (libovolný paprsk). U zařízení SD-WAN/VPN v centrech a paprskech je uživatelé mohou buď ručně nastavit na portálu Azure Virtual WAN, nebo k nastavení připojení k Azure použít SD-WAN/VPN (Virtual WAN Partner CPE).

Virtual WAN partneři poskytují automatizaci připojení, což je možnost exportovat informace o zařízení do Azure, stáhnout konfiguraci Azure a navázat připojení ke službě Azure Virtual WAN Hub. Pro připojení VPN point-to-site nebo uživatele podporujeme klienta Azure VPN,OpenVPN nebo IKEv2.

Můžete zakázat plně promíchána rozbočovače v Virtual WAN?

Virtual WAN má dvě varianty: Basic a Standard. V Virtual WAN basic nejsou rozbočovače směšovány. V případě připojení Virtual WAN standardu jsou rozbočovače propojeny a automaticky připojeny při prvním nastavení virtuální sítě WAN. Uživatel nemusí dělat nic konkrétního. Uživatel také nemusí funkci zakázat ani povolit, aby získala více rozbočovačů. Virtual WAN poskytuje mnoho možností směrování pro řízení provozu mezi libovolnými paprsky (virtuální síť, VPN nebo ExpressRoute). Poskytuje snadné propojení center a také flexibilitu směrování provozu podle vašich potřeb.

Jak se Zóny dostupnosti a odolnost proti chybám Virtual WAN?

Virtual WAN je kolekce center a služeb, které jsou v centru k dispozici. Uživatel může mít tolik Virtual WAN podle potřeby. V Virtual WAN hubu je několik služeb, jako je VPN, ExpressRoute atd. Každá z těchto služeb se automaticky nasadí napříč Zóny dostupnosti (s výjimkou Azure Firewall), pokud oblast podporuje Zóny dostupnosti. Pokud se oblast po počátečním nasazení v centru stane zónou dostupnosti, uživatel může brány vytvořit znovu, což aktivuje nasazení zóny dostupnosti. Všechny brány jsou zřízené v centru jako aktivní-aktivní, takže v centru je integrovaná odolnost. Uživatelé se mohou připojit k více rozbočovačům, pokud chtějí odolnost napříč oblastmi.

V současné Azure Firewall můžete nasadit, aby podporovaly Zóny dostupnosti pomocí Azure Firewall Manager Portal, PowerShellu nebo rozhraní příkazového řádku. V současné době neexistuje způsob, jak nakonfigurovat existující bránu firewall pro nasazení napříč zónami dostupnosti. Budete muset odstranit a znovu nasadit Azure Firewall.

I když je koncept Virtual WAN globální, skutečný prostředek Virtual WAN je založený Resource Manager a nasazovat místně. Pokud by problém měl problém i samotná oblast virtual WAN, budou všechna centra v této virtuální síti WAN dál fungovat tak, jak jsou, ale uživatel nebude moct vytvářet nová centra, dokud nebude oblast virtual WAN dostupná.

Jaký klient podporuje Azure Virtual WAN VPN (Point-to-Site)?

Virtual WAN podporuje klienta Azure VPN,klienta OpenVPN nebo libovolného klienta IKEv2. Ověřování Azure AD se podporuje u Klient Azure VPN. Vyžaduje se minimálně Windows 10 operační systém klienta 17763.0 nebo novější. Klienti OpenVPN mohou podporovat ověřování na základě certifikátů. Po výběru ověřování na základě certifikátu v bráně se zobrazí soubor .ovpn*, který se má stáhnout do vašeho zařízení. Protokol IKEv2 podporuje ověřování pomocí certifikátu i protokolu RADIUS.

Proč je fond klientů P2S rozdělený do dvou tras v případě sítě VPN uživatele (Point-to-Site)?

Každá brána má dvě instance, rozdělení probíhá tak, že každá instance brány může nezávisle přidělit IP adresy klientů pro připojené klienty a provoz z virtuální sítě se směruje zpět do správné instance brány, aby se zabránilo směrování instancí mezi branami.

Návody přidat servery DNS pro klienty P2S?

Existují dvě možnosti, jak přidat servery DNS pro klienty P2S. První metoda je upřednostňovaná, protože přidává vlastní servery DNS do brány místo klienta.

  1. Pomocí následujícího skriptu PowerShellu přidejte vlastní servery DNS. Nahraďte hodnoty pro vaše prostředí.

    // Define variables
$rgName = "testRG1"
$virtualHubName = "virtualHub1"
$P2SvpnGatewayName = "testP2SVpnGateway1"
$vpnClientAddressSpaces = 
$vpnServerConfiguration1Name = "vpnServerConfig1"
$vpnClientAddressSpaces = New-Object string[] 2
$vpnClientAddressSpaces[0] = "192.168.2.0/24"
$vpnClientAddressSpaces[1] = "192.168.3.0/24"
$customDnsServers = New-Object string[] 2
$customDnsServers[0] = "7.7.7.7"
$customDnsServers[1] = "8.8.8.8"
$virtualHub = $virtualHub = Get-AzVirtualHub -ResourceGroupName $rgName -Name $virtualHubName
$vpnServerConfig1 = Get-AzVpnServerConfiguration -ResourceGroupName $rgName -Name $vpnServerConfiguration1Name

// Specify custom dns servers for P2SVpnGateway VirtualHub while creating gateway
createdP2SVpnGateway = New-AzP2sVpnGateway -ResourceGroupName $rgname -Name $P2SvpnGatewayName -VirtualHub $virtualHub -VpnGatewayScaleUnit 1 -VpnClientAddressPool $vpnClientAddressSpaces -VpnServerConfiguration $vpnServerConfig1 -CustomDnsServer $customDnsServers

// Specify custom dns servers for P2SVpnGateway VirtualHub while updating existing gateway
$P2SVpnGateway = Get-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName
$updatedP2SVpnGateway = Update-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName  -CustomDnsServer $customDnsServers 

// Re-generate Vpn profile either from PS/Portal for Vpn clients to have the specified dns servers

  2. Nebo pokud používáte soubor KLIENT AZURE VPN pro Windows 10, můžete stažený soubor XML <dnsservers> <dnsserver> </dnsserver> </dnsservers> profilu upravit a přidat značky před jeho importem.

       <azvpnprofile>
   <clientconfig>

       <dnsservers>
           <dnsserver>x.x.x.x</dnsserver>
           <dnsserver>y.y.y.y</dnsserver>
       </dnsservers>

   </clientconfig>
   </azvpnprofile>

Kolik klientů se podporuje u sítě VPN uživatele (Point-to-Site)?

Každá brána VPN uživatele typu P2S má dvě instance. Každá instance podporuje až určitý počet připojení při změně jednotek škálování. Jednotka škálování 1–3 podporuje 500 připojení, jednotka škálování 4–6 podporuje 1 000 připojení, jednotka škálování 7–12 podporuje 5 000 připojení a jednotka škálování 13–18 podporuje až 10 000 připojení.

Řekněme například, že uživatel zvolí 1 jednotku škálování. Z každé jednotky škálování by se nasadila brána typu aktivní-aktivní a každá instance (v tomto případě 2) podporovala až 500 připojení. Vzhledem k tomu, že můžete získat 500 připojení * 2 na bránu, neznamená to, že pro tuto jednotku škálování plánujete 1 000 místo 500. Instance může být potřeba řešit, během kterých může dojít k přerušení připojení dalších 500 instancí, pokud přerušíte doporučený počet připojení. Nezapomeňte také naplánovat prostoje v případě, že se rozhodnete škálovat na jednotku škálování nahoru nebo dolů nebo změnit konfiguraci point-to-site na bráně VPN.

Co jsou Virtual WAN jednotky škálování brány?

Jednotka škálování je jednotka definovaná k výběru agregované propustnosti brány ve virtuálním centru. 1 jednotka škálování sítě VPN = 500 Mb/s. 1 jednotka škálování ExpressRoute = 2 Gb/s. Příklad: 10 jednotek škálování sítě VPN by z toho značí 500 Mb/s * 10 = 5 Gb/s.

Jaký je rozdíl mezi bránou virtuální sítě Azure (VPN Gateway) a bránou Azure Virtual WAN VPN?

Virtual WAN poskytuje možnosti připojení typu Site-to-Site ve velkém měřítku a je určená pro zajištění propustnosti, škálovatelnosti a snadného použití. Když připojíte lokalitu k Virtual WAN VPN Gateway, liší se od běžné brány virtuální sítě, která používá typ brány VPN. Podobně když připojíte okruh ExpressRoute k centru Virtual WAN, použije se pro bránu ExpressRoute jiný prostředek než běžná brána virtuální sítě, která používá typ brány ExpressRoute.

Virtual WAN podporuje agregovanou propustnost až 20 Gb/s pro VPN i ExpressRoute. Virtual WAN také automatizaci připojení k ekosystému partnerů CPE pro zařízení poboček. Zařízení poboček CPE mají integrovanou automatizaci, která automaticky zprovídá a připojuje se k Azure Virtual WAN. Tato zařízení jsou dostupná od stále rostoucího ekosystému partnerů pro SD-WAN a VPN. Podívejte se na seznam preferovaných partnerů.

Jak Virtual WAN brány virtuální sítě Azure?

Síť VPN brány virtuální sítě je omezená na 30 tunelů. Pro připojení byste měli pro rozsáhlé sítě VPN používat Virtual WAN. V jednom virtuálním centru se můžete připojit až 1 000 pobočkových připojení s agregovanou rychlostí 20 Gb/s na rozbočovač. Připojení je tunel typu aktivní-aktivní z místního zařízení VPN do virtuálního rozbočovače. Můžete mít také několik virtuálních center na oblast, což znamená, že můžete připojit více než 1 000 větví k jedné oblasti Azure nasazením několika center Virtual WAN v této oblasti Azure, z nichž každá má vlastní bránu VPN typu Site-to-Site.

Pro zajištění optimálního výkonu doporučujeme odeslat přibližně 95 000 PPS s algoritmem GCMAES256 pro šifrování IPSEC i integritu. I když provoz není blokovaný, pokud je odesláno více než 95 000 PPS, lze očekávat snížení výkonu, jako je latence a zahodování paketů. Pokud se vyžaduje větší PPS, vytvořte další tunely.

Kteří poskytovatelé zařízení (Virtual WAN partneři) jsou podporovaní?

Plně automatizované prostředí Virtual WAN v současnosti podporuje celá řada partnerů. Další informace najdete v tématu Partneři Virtual WAN.

Jaké jsou kroky automatizace Virtual WAN u partnerů?

Informace o krocích automatizace u partnerů najdete v tématu o automatizaci Virtual WAN u partnerů.

Musím použít preferované partnerské zařízení?

No. Můžete použít libovolné zařízení s podporou VPN, které vyhovuje požadavkům Azure na podporu IKEv2/IKEv1 protokolu IPsec. Virtual WAN také partnerská řešení CPE, která automatizují připojení Azure Virtual WAN, což usnadňuje nastavení připojení IPsec VPN ve velkém měřítku.

Jak partneři pro Virtual WAN automatizují možnosti připojení s využitím Azure Virtual WAN?

Softwarově definovaná řešení možností připojení obvykle spravují svá pobočková zařízení s využitím kontroleru nebo centra pro zřizování zařízení. Kontroler může k automatizaci připojení k Azure Virtual WAN využívat rozhraní API Azure. Automatizace zahrnuje nahrávání informací o větvi, stažení konfigurace Azure, nastavení tunelů IPsec do virtuálních center Azure a automatické nastavení připojení z pobočkového zařízení pro Azure Virtual WAN. Pokud máte stovky větví, připojení pomocí partnerů Virtual WAN CPE je snadné, protože prostředí pro připojování vám pomůže nastavit, nakonfigurovat a spravovat připojení IPsec ve velkém měřítku. Další informace najdete v tématu věnovaném automatizaci partnerů pro Virtual WAN.

Co když zařízení, které používám, není v seznamu partnerů virtuální sítě WAN? Můžu ho I nadále používat pro připojení k síti VPN Azure Virtual WAN?

Ano, pokud zařízení podporuje protokol IPsec IKEv1 nebo IKEv2. Virtuální partneři sítě WAN automatizují připojení ze zařízení k koncovým bodům VPN Azure. To zahrnuje automatizaci kroků, jako je například nahrání informací o větvích, protokol IPsec a konfigurace a připojení. Vzhledem k tomu, že vaše zařízení nepochází z virtuálního partnerského serveru pro partnery WAN, budete muset provést těžkou zvedání ručního nastavování konfigurace Azure a aktualizace vašeho zařízení, aby se nastavilo připojení pomocí protokolu IPsec.

Jak se onboardují noví partneři, kteří nejsou uvedení ve vašem seznamu partnerů pro spouštění?

Všechna rozhraní API Virtual WAN jsou otevřená rozhraní API. Pokud chcete posoudit technickou proveditelnost, přečtěte si dokumentaci k virtuálním partnerům sítě WAN . Ideální partner je takový, pro jehož zařízení se dá zřídit připojení IKEv1 nebo IKEv2 protokolu IPSec. Jakmile společnost dokončí službu automatizace pro svoje zařízení CPE na základě výše uvedených pokynů pro automatizaci, můžete se na azurevirtualwan@microsoft.com Toto místo připojit přes partnery. Pokud jste zákazníkem, který by měl být uveden jako virtuální partner sítě WAN, musí společnost kontaktovat virtuální síť WAN odesláním e-mailu na adresu azurevirtualwan@microsoft.com .

Jak virtuální síť WAN podporuje zařízení SD-WAN?

Virtuální partneři sítě WAN automatizují připojení IPsec k koncovým bodům VPN Azure. Pokud je adaptér virtuální sítě WAN poskytovatelem SD-WAN, předpokládá se, že řadič SD-WAN spravuje automatizaci a připojení IPsec k koncovým bodům VPN Azure. Pokud zařízení SD-WAN vyžaduje svůj vlastní koncový bod místo Azure VPN pro jakékoli proprietární funkce SD-WAN, můžete koncový bod SD-WAN ve virtuální síti Azure nasadit a koexistovat s Azure Virtual WAN.

Kolik zařízení VPN se může připojit k jednomu rozbočovači?

Pro jedno virtuální centrum se podporuje až 1 000 připojení. Každé připojení se skládá ze čtyř odkazů a každé připojení propojení podporuje dvě tunely, které jsou v konfiguraci aktivní-aktivní. Tunely se ukončí v bráně VPN virtuálního rozbočovače Azure. Odkazy reprezentují fyzický odkaz poskytovatele internetových služeb na zařízení pobočky nebo sítě VPN.

Co je připojení ke větvi Azure Virtual WAN?

Připojení z větve nebo zařízení VPN do Azure Virtual WAN je připojení VPN, které se prakticky připojuje k síti VPN a k Azure VPN Gateway ve virtuálním rozbočovači.

Co se stane, když místní zařízení VPN má pro bránu VPN Azure Virtual WAN jenom 1 tunel?

Připojení k virtuální síti WAN Azure se skládá ze dvou tunelů. Virtuální síť WAN VPN Gateway je nasazená ve virtuálním rozbočovači v režimu aktivní-aktivní, což znamená, že v místních zařízeních končí samostatná tunelová propojení z různých instancí. Toto je doporučení pro všechny uživatele. Pokud se však uživatel rozhodne pouze o 1 tunelu na jednu z instancí služby VPN Gateway virtuální sítě WAN, pokud z nějakého důvodu (údržba, opravy atd.) je instance brány přepnuta do režimu offline, bude tunel přesunut do sekundární aktivní instance a uživatel se může setkat s opětovným připojením. Relace protokolu BGP se nepřesunou mezi instancemi.

Může se místní zařízení VPN připojit k více rozbočovačům?

Ano. Tok přenosů, když se začíná, pochází z místního zařízení do nejbližší hraniční sítě Microsoftu a pak do virtuálního centra.

Jsou pro Virtual WAN k dispozici nějaké nové prostředky Resource Manageru?

Ano, virtuální síť WAN má nové prostředky Správce prostředků. Další informace najdete v přehledu.

Můžu při použití Azure Virtual WAN nasadit a použít moje oblíbené síťové virtuální zařízení (ve virtuální síti NVA)?

Ano, virtuální síť svého oblíbeného virtuálního síťového zařízení (NVA) můžete připojit k síti Azure Virtual WAN.

Můžu ve virtuálním rozbočovači vytvořit síťové virtuální zařízení?

Síťové virtuální zařízení (síťové virtuální zařízení) se nedá nasadit v rámci virtuálního rozbočovače. Můžete ho ale vytvořit ve virtuální síti paprsku, která je připojená k virtuálnímu rozbočovači, a povolit příslušné směrování pro směrování provozu podle vašich potřeb.

Je možné, že virtuální síť rozbočovače má bránu virtuální sítě?

No. Virtuální síť paprsků nemůže mít bránu virtuální sítě, pokud je připojená k virtuálnímu rozbočovači.

Je podpora protokolu BGP v připojení k síti VPN podporovaná?

Ano, BGP se podporuje. Při vytváření sítě VPN můžete zadat parametry protokolu BGP. To znamená, že pro protokol BGP bude povolená jakákoli připojení vytvořená v Azure pro tuto lokalitu.

Jsou pro Virtual WAN k dispozici nějaké informace o cenách nebo licencích?

Ano. Prohlédněte si stránku s cenami.

Je možné vytvořit Azure Virtual WAN s využitím šablony Resource Manageru?

Jednoduchá konfigurace jedné virtuální sítě WAN s jedním rozbočovačem a jedním vpnsite se dá vytvořit pomocí šablony pro rychlý Start. Virtuální síť WAN je primárně řízená jako služba založená na REST nebo na portálu.

Můžou virtuální sítě připojení k virtuálnímu rozbočovači komunikovat mezi sebou (V2V tranzit)?

Ano. Standard Virtual WAN podporuje přenosné připojení typu VNet-to-VNet přes virtuální síť WAN, ke které jsou virtuální sítě připojené. V terminologii virtuální sítě WAN se tyto cesty označují jako "místní virtuální síť WAN" pro virtuální sítě připojené k virtuálnímu rozbočovači WAN v rámci jedné oblasti a "globální virtuální síť WAN" pro virtuální sítě připojené prostřednictvím několika virtuálních rozbočovačů WAN ve dvou nebo více oblastech.

V některých scénářích je také možné paprskový virtuální sítě přímo navzájem navázat s použitím partnerského vztahu virtuálních sítí kromě místního nebo globálního přenosu virtuální sítě WAN. V takovém případě má partnerský vztah virtuálních sítí přednost před přenosným připojením přes virtuální síť WAN.

Jsou ve Virtual WAN povolené možnosti připojení mezi jednotlivými pobočkami?

Ano, možnosti připojení mezi jednotlivými pobočkami jsou ve Virtual WAN k dispozici. Větev se koncepčně vztahuje na síť VPN, okruhy ExpressRoute nebo uživatele VPN typu Point-to-site nebo uživatel VPN. Povolení větvení na větev je ve výchozím nastavení povolené a může se nacházet v nastavení Konfigurace sítě WAN. To umožňuje, aby se větve a uživatelé sítě VPN připojovali k ostatním větvím VPN a aby bylo přenosové připojení povolené i mezi uživateli VPN a ExpressRoute.

Prochází provoz mezi větví přes Azure Virtual WAN?

Ano. Přenosy mezi větvemi prostřednictvím Azure Virtual WAN.

Vyžaduje virtuální síť WAN ExpressRoute z každé lokality?

No. Virtuální síť WAN nevyžaduje ExpressRoute z každé lokality. Vaše lokality můžou být připojené k síti poskytovatele prostřednictvím okruhu ExpressRoute. Pro lokality, které jsou připojené pomocí ExpressRoute k virtuálnímu rozbočovači a protokolu IPsec VPN do stejného rozbočovače, poskytuje virtuální rozbočovač přenosové připojení mezi uživatelem VPN a ExpressRoute.

Je při používání Azure Virtual WAN k dispozici propustnost sítě nebo omezení připojení?

Propustnost sítě je vázaná na službu ve virtuálním rozbočovači WAN. I když můžete mít tolik virtuálních sítí WAN, kolik jich budete chtít, každá virtuální síť WAN umožňuje 1 rozbočovač na oblast. V každém z nich je agregovaná propustnost sítě VPN až 20 GB/s, ale agregovaná propustnost ExpressRoute je až 20 GB/s a agregovaná propustnost uživatele VPN typu Point-to-site je až 20 GB/s. Směrovač ve virtuálním rozbočovači podporuje až 50 GB/s pro přenosové toky VNet-to-VNet a předpokládá celkový počet úloh 2000 virtuálních počítačů v rámci všech virtuální sítě připojených k jednomu virtuálnímu rozbočovači. Toto omezení se dá zvýšit otevřením online žádosti o zákaznickou podporu. Pro snížení nákladů si přečtěte cenu za jednotky infrastruktury směrování na stránce s cenami Azure Virtual WAN .

Když se sítě VPN připojí k rozbočovači, provedou připojení. Virtuální síť WAN podporuje až 1000 připojení nebo 2000 tunelů IPsec na virtuální rozbočovač. Když se vzdálení uživatelé připojují k virtuálnímu rozbočovači, připojí se k bráně VPN P2S, která podporuje až 10 000 uživatelů v závislosti na jednotce škálování (šířka pásma) zvolené pro bránu VPN P2S ve virtuálním rozbočovači.

Jaká je celková propustnost sítě VPN tunelu VPN a připojení?

Celková propustnost sítě VPN rozbočovače je až 20 GB/s na základě zvolené jednotky škálování služby VPN Gateway. Propustnost sdílí všechna existující připojení. Každé tunelové propojení v rámci připojení může podporovat až 1 GB/s.

Můžu na mých připojeních k síti VPN použít překlad adres (NAT-T)?

Ano, podporuje se procházení NAT (NAT-T). Virtuální síť WAN VPN Gateway nebude provádět žádné funkce podobné překladu adres (NAT) na vnitřních paketech a z tunelů IPsec. V této konfiguraci zajistěte, aby místní zařízení spouštěla tunel IPsec.

Nevidím nastavení 20 GB/s pro virtuální rozbočovač na portálu. Návody nakonfigurovat?

Přejděte do brány VPN uvnitř centra na portálu a potom klikněte na jednotku škálování a změňte ji na příslušné nastavení.

Umožňuje virtuální síti WAN, aby místní zařízení využilo více poskytovatelů internetových služeb paralelně, nebo je vždy jedním tunelem sítě VPN?

Řešení místních zařízení můžou použít zásady provozu k řízení provozu napříč několika tunely do služby Azure Virtual WAN hub (Brána sítě VPN ve virtuálním rozbočovači).

Co je architektura globálního přenosu?

Informace o globální architektuře přenosů najdete v tématu globální přenosová architektura sítě a virtuální síť WAN.

Jak se směruje provoz v páteřní síti Azure?

Provoz se řídí vzorem: síťová zařízení – >poskytovatel internetových služeb >hraniční síť Microsoftu – >Microsoft DC (síť VNet) – >Microsoft Network Edge->ISP->pobočky

Co je při použití tohoto modelu potřeba na jednotlivých lokalitách? Jenom připojení k internetu?

Ano. Připojení k internetu a fyzické zařízení, které podporuje protokol IPsec, pokud možno od našich integrovaných Virtual WAN partnerů. Volitelně můžete konfiguraci a připojení k Azure spravovat ručně ze svého preferovaného zařízení.

Návody připojení (VPN, ExpressRoute nebo Virtual Network)? povolíte výchozí trasu (0.0.0.0/0)?

Virtuální centrum může rozšířit naučenou výchozí trasu do virtuální sítě, připojení site-to-site VPN/ExpressRoute, pokud je u připojení příznak Povoleno. Tento příznak se zobrazí, když uživatel upraví připojení k virtuální síti, připojení VPN nebo připojení ExpressRoute. Ve výchozím nastavení je tento příznak zakázaný, když je k rozbočovači připojená web nebo okruh ExpressRoute. Ve výchozím nastavení je povolená při přidání připojení k virtuální síti pro připojení virtuální sítě k virtuálnímu rozbočovači.

Výchozí trasa nepochází z centra Virtual WAN. Výchozí trasa se rozšíří, pokud ji centrum Virtual WAN už naučilo v důsledku nasazení brány firewall v centru nebo pokud je povolené vynucené tunelování jiné připojené lokality. Výchozí trasa se mezi rozbočovači (mezi rozbočovači) nešíře.

Je možné vytvořit několik center virtuální sítě WAN ve stejné oblasti?

Ano. Zákazníci teď mohou vytvořit více než jedno centrum ve stejné oblasti pro stejnou Azure Virtual WAN.

Jak virtuální rozbočovač ve virtuální síti WAN vybere nejlepší cestu pro trasu z několika center?

Pokud virtuální centrum zjistí stejnou trasu z několika vzdálených center, pořadí, ve kterém se rozhodne, je následující:

  1. Nejdelší shoda předpony.
  2. Místní trasy přes interhub.
  3. Statické trasy přes protokol BGP: Jedná se o kontext rozhodnutí, které provádí směrovač virtuálního rozbočovače. Pokud je ale rozhodovací pravomocí brána VPN, kde web inzeruje trasy přes protokol BGP nebo poskytuje předpony statických adres, mohou být před trasami protokolu BGP upřednostňovány statické trasy.
  4. ExpressRoute (ER) přes síť VPN: ER se upřednostní před sítí VPN, pokud je kontext místním centrem. Tranzitní připojení mezi okruhy ExpressRoute je dostupné pouze prostřednictvím Global Reach. Proto ve scénářích, kdy je okruh ExpressRoute připojený k jednomu rozbočovači a existuje další okruh ExpressRoute připojený k jinému rozbočovači s připojením VPN, může být síť VPN upřednostňovaná pro scénáře mezi rozbočovači.
  5. Délka cesty AS (virtuální rozbočovače předchytá trasy s cestou AS 65520-65520 při inzerování tras mezi sebou).

Umožňuje Virtual WAN připojení mezi okruhy ExpressRoute?

Přenos mezi ER-to-ER je vždy prostřednictvím globálního dosahu. Brány virtuálního rozbočovače se nasadí v oblastech DC nebo Azure. Když se dva okruhy ExpressRoute připojují prostřednictvím globálního dosahu, není potřeba, aby provoz přechádl až z hraničních směrovačů na řadič domény virtuálního rozbočovače.

Existuje u okruhů ExpressRoute nebo připojení VPN Azure Virtual WAN koncept váhy?

Pokud je k virtuálnímu rozbočovači připojeno více okruhů ExpressRoute, váha směrování na připojení poskytuje mechanismus, který ExpressRoute ve virtuálním rozbočovači upřednostňuje jeden okruh před jiným. U připojení VPN neexistuje žádný mechanismus, jak nastavit váhu. Azure vždy preferuje připojení ExpressRoute před připojením VPN v rámci jednoho centra.

Preferuje Virtual WAN ExpressRoute před VPN pro přenosy, které přechádují přenosy v Azure?

Ano. Virtual WAN azure upřednostňuje ExpressRoute před VPN.

Pokud má Virtual WAN rozbočovač připojení okruh ExpressRoute a k ní připojenou lokalitu VPN, co by způsobilo, že se bude upřednostňovat trasa připojení VPN před ExpressRoute?

Když je okruh ExpressRoute připojený k virtuálnímu rozbočovači, jsou hraniční směrovače Microsoftu prvním uzlem pro komunikaci mezi místním prostředím a Azure. Tyto hraniční směrovače komunikují s bránami Virtual WAN ExpressRoute, které zase učí trasy ze směrovače virtuálního rozbočovače, které řídí všechny trasy mezi všemi bránami v Virtual WAN. Hraniční směrovače Microsoftu zpracovávají trasy ExpressRoute virtuálního rozbočovače s vyšší prioritou před trasami naučenými z místního prostředí.

Pokud se z nějakého důvodu stane primárním médiem virtuálního centra připojení VPN, ze které se budou učit trasy (např. scénáře převzetí služeb při selhání mezi ExpressRoute a VPN), pokud nemá síť VPN delší délku cesty AS, bude virtuální centrum dál sdílet trasy získané pomocí sítě VPN s bránou ExpressRoute. To způsobí, že hraniční směrovače Microsoftu upřednostňují trasy VPN před místními trasami.

Když jsou připojená dvě rozbočovače (rozbočovač 1 a 2) a k oběma rozbočovačům je připojený okruh ExpressRoute, jaká je cesta pro připojení virtuální sítě k rozbočovači 1 k virtuální síti připojené v rozbočovači 2?

Aktuální chování je preferovat cestu okruhu ExpressRoute před propojením hub-to-hub pro připojení mezi virtuálními sítěmi. To se ale v instalačním programu Virtual WAN doporučuje. Pokud chcete tento problém vyřešit, můžete provést jednu ze dvou věcí:

  • Nakonfigurujte několik okruhů ExpressRoute (zprostředkovatelé) pro připojení k jednomu rozbočovači a použijte připojení mezi rozbočovači poskytované službou Virtual WAN pro toky provozu mezi oblastmi.

  • Obraťte se na produktový tým a zúčastnit se brány ve verzi Public Preview. V této verzi Preview prochází provoz mezi 2 rozbočovači přes směrovač Azure Virtual WAN v každém rozbočovači a místo cesty ExpressRoute (která prochází hraničními směrovači Microsoftu nebo MSEE), používá cestu mezi centrem a centrem. Pokud chcete tuto funkci používat ve verzi Preview, pošlete e-mail Virtual WAN ID předplatného, ID předplatného a previewpreferh2h@microsoft.com oblast Azure. Očekávejte odpověď do 48 pracovních hodin (od pondělí do pátku) s potvrzením, že je tato funkce povolená.

Je možné centra vytvořit v jiné skupině prostředků v Virtual WAN?

Ano. Tato možnost je aktuálně dostupná jenom přes PowerShell. Portál Virtual WAN vyžaduje, aby se centra nachází ve stejné skupině prostředků jako Virtual WAN samotný prostředek.

Doporučeným Virtual WAN adresního prostoru centra je /23. Virtual WAN hub přiřazovat podsítě různým branám (ExpressRoute, VPN site-to-site, VPN point-to-site, Azure Firewall, směrovač virtuálního rozbočovače). Ve scénářích, kde jsou síťová virtuální zařízení nasazená ve virtuálním rozbočovači, je obvykle pro instance síťového virtuálního zařízení vytesána /28. Pokud by ale uživatel mohl zřídit více síťových virtuálních zařízení, může být přiřazená podsíť /27. Proto je třeba mít na paměti budoucí architekturu, zatímco centra Virtual WAN se nasadí s minimální velikostí /24, doporučený adresní prostor centra při vytváření pro vstup uživatele je /23.

Můžete změnit velikost nebo změnit předpony adres paprsku, Virtual Network připojené k Virtual WAN Hubu?

No. To v současné době není možné. Pokud chcete změnit předpony adres paprsku Virtual Network, odeberte připojení mezi paprskem Virtual Network a centrem Virtual WAN, upravte adresní prostory paprsku Virtual Network a pak znovu vytvořte připojení mezi paprskovou Virtual Network a Virtual WAN Hubem.

Podporuje se v systému protokol IPv6 Virtual WAN?

Protokol IPv6 se v centru Virtual WAN a jeho branách nepodporuje. Pokud máte virtuální síť s podporou IPv4 a IPv6 a chcete ji připojit k virtuální síti Virtual WAN, tento scénář se v současné době nepodporuje.

Ve scénáři VPN uživatele typu point-to-site s přerušením internetu přes Azure Firewall budete pravděpodobně muset vypnout připojení IPv6 na klientském zařízení, abyste vynutit provoz do Virtual WAN Hubu. Je to proto, že moderní zařízení ve výchozím nastavení používají adresy IPv6.

Vyžaduje se minimálně verze 05-01-2020 (1. května 2020).

Existují nějaká Virtual WAN omezení?

Viz část Virtual WAN limitů na stránce Limity předplatného a služeb.

Jaké jsou rozdíly mezi typy Virtual WAN (Basic a Standard)?

Viz Základní a standardní virtuální sítě WAN. Ceny najdete na stránce s cenami.

Ukládá Virtual WAN data zákazníků?

No. Virtual WAN neukládá žádná zákaznická data.

Existují poskytovatelé spravovaných služeb, kteří mohou spravovat Virtual WAN pro uživatele jako službu?

Ano. Seznam řešení poskytovatele spravovaných služeb (MSP) povolených prostřednictvím Azure Marketplace najdete v Azure Marketplace od partnerů Sítě Azure MSP.

Jak se Virtual WAN centra liší od směrovacího serveru Azure ve virtuální síti?

Směrovací server Azure poskytuje službu partnerského vztahu protokolu Border Gateway Protocol (BGP), kterou mohou síťová virtuální zařízení (NVA) použít ke sledování tras ze směrovacího serveru ve virtuální síti centra DIY. směrování Virtual WAN poskytuje několik možností, včetně směrování provozu mezi virtuálními sítěmi, vlastního směrování, vlastního přidružení a šíření tras a plně promíchané služby rozbočovače s nulovým dotekem společně se službami připojení ExpressRoute, sítě VPN lokality, sítě VPN P2S ve velkém měřítku nebo vzdáleným uživatelem a funkcemi zabezpečeného centra (Azure Firewall). Při navázání partnerského vztahu protokolu BGP mezi síťovým virtuálním virtuálním zařízením a směrovacím serverem Azure můžete inzerovat IP adresy ze síťového virtuálního zařízení do vaší virtuální sítě. Pro všechny pokročilé možnosti směrování, jako je směrování přenosu, vlastní směrování atd., můžete použít Virtual WAN směrování.

Pokud k zabezpečení internetového provozu používám zprostředkovatele zabezpečení třetí strany (Zscaler, iBoss nebo Checkpoint), proč se mi v Azure Portal?

Pokud se rozhodnete nasadit poskytovatele partnera pro zabezpečení, který bude chránit přístup uživatelů k internetu, vytvoří za vás web VPN třetí strany. Vzhledem k tomu, že poskytovatelem je automaticky vytvořen poskytovatel zabezpečení třetí strany, a není to uživatelem vytvořená síť VPN, tato síť VPN se nebude zobrazovat v Azure Portal.

Další informace o dostupných možnostech poskytovatelů zabezpečení třetích stran a o tom, jak to nastavit, najdete v tématu Nasazení poskytovatele partnera pro zabezpečení.

Další kroky