SD-WAN-anslutningsarkitektur med Azure Virtual WAN

  • Artikel

Azure Virtual WAN är en nätverkstjänst som sammanför många molnanslutningar och säkerhetstjänster med ett enda operativt gränssnitt. Dessa tjänster omfattar förgrening (via plats-till-plats-VPN), fjärranvändare (punkt-till-plats-VPN), privat (ExpressRoute)-anslutning, transitiv anslutning inom molnet för virtuella nätverk, VPN och ExpressRoute-anslutning, routning, Azure Firewall och kryptering för privat anslutning.

Även om Azure Virtual WAN är ett molnbaserat SD-WAN som tillhandahåller en omfattande uppsättning azure-tjänster för förstapartsanslutning, routning och säkerhetstjänster, är Azure Virtual WAN även utformat för att möjliggöra sömlös sammankoppling med lokala SD-WAN- och SASE-tekniker och -tjänster. Många sådana tjänster erbjuds av våra Virtual WAN ekosystem och Azure Networking Managed Services-partner (MSP:er). Företag som omvandlar sitt privata WAN till SD-WAN har alternativ när de ansluter sitt privata SD-WAN med Azure Virtual WAN. Företag kan välja bland följande alternativ:

  • Direct Interconnect-modell
  • Direct Interconnect-modell med NVA-in-VWAN-hub
  • Modell för indirekt sammanlänkning
  • Hanterad Hybrid WAN-modell med hjälp av sin favorithanterade tjänstleverantör MSP

I alla dessa fall liknar sammankopplingen av Virtual WAN med SD-WAN från anslutningssidan, men kan variera på orkestrerings- och driftsidan.

Direct Interconnect-modell

Diagram över modellen för direkt sammankoppling.

I den här arkitekturmodellen är SD-WAN-grenens kundlokala utrustning (CPE) direkt ansluten till Virtual WAN hubbar via IPsec-anslutningar. Gren-CPE kan också anslutas till andra grenar via det privata SD-WAN eller använda Virtual WAN för gren-till-gren-anslutning. Grenar som behöver åtkomst till sina arbetsbelastningar i Azure kommer att kunna komma åt Azure direkt och säkert via IPsec-tunnlarna som avslutas i Virtual WAN hubbar.

SD-WAN CPE-partner kan aktivera automatisering för att automatisera den normalt omständliga och felbenägna IPsec-anslutningen från respektive CPE-enheter. Automation gör att SD-WAN-kontrollanten kan kommunicera med Azure via Virtual WAN-API:et för att konfigurera Virtual WAN platser och skicka nödvändig IPsec-tunnelkonfiguration till grenens CPE:er. Se Riktlinjer för automatisering för beskrivning av Virtual WAN sammankopplingsautomatisering av olika SD-WAN-partner.

SD-WAN CPE fortsätter att vara den plats där trafikoptimering och val av sökväg implementeras och framtvingas.

I den här modellen kanske vissa leverantörsägda trafikoptimeringar baserat på trafikegenskaper i realtid inte stöds eftersom anslutningen till Virtual WAN är över IPsec och IPsec VPN avslutas på Virtual WAN VPN-gateway. Till exempel är dynamisk sökvägsval vid grenen CPE möjligt på grund av att grenenheten utbyter olika nätverkspaketinformation med en annan SD-WAN-nod, vilket identifierar den bästa länken som ska användas för olika prioriterade trafik dynamiskt på -grenen. Den här funktionen kan vara användbar i områden där optimering av sista mil (gren till närmaste Microsoft POP) krävs.

Med Virtual WAN kan användarna få Val av Azure-sökväg, vilket är principbaserat sökvägsval över flera ISP-länkar från grenen CPE till Virtual WAN VPN-gatewayer. Virtual WAN möjliggör konfiguration av flera länkar (sökvägar) från samma SD-WAN-gren CPE. Varje länk representerar en dubbel tunnelanslutning från en unik offentlig IP-adress för SD-WAN CPE till två olika instanser av Azure Virtual WAN VPN-gateway. SD-WAN-leverantörer kan implementera den mest optimala vägen till Azure, baserat på trafikprinciper som anges av deras principmotor på CPE-länkarna. På Azure-sidan behandlas alla anslutningar som kommer in på samma sätt.

Direct Interconnect-modell med NVA-in-VWAN-hub

Diagram över modellen för direkt sammankoppling med NVA-in-VWAN-hubb.

Den här arkitekturmodellen stöder distribution av en virtuell nätverksinstallation från tredje part (NVA) direkt till den virtuella hubben. Detta gör att kunder som vill ansluta sin gren CPE till samma varumärke NVA i den virtuella hubben så att de kan dra nytta av egna SD-WAN-funktioner från slutpunkt till slutpunkt när de ansluter till Azure-arbetsbelastningar.

Flera Virtual WAN Partner har arbetat för att tillhandahålla en upplevelse som konfigurerar NVA automatiskt som en del av distributionsprocessen. När NVA har etablerats i den virtuella hubben måste alla ytterligare konfigurationer som kan krävas för NVA göras via NVA-partnerportalen eller hanteringsprogrammet. Direkt åtkomst till NVA är inte tillgänglig. De NVA:er som är tillgängliga för distribution direkt till Azure Virtual WAN hubben är särskilt utformade för att användas i den virtuella hubben. För partner som stöder NVA i VWAN-hubben och deras distributionsguider kan du läsa artikeln Virtual WAN Partners.

SD-WAN CPE fortsätter att vara den plats där trafikoptimering och val av sökväg implementeras och framtvingas. I den här modellen stöds leverantörsägd trafikoptimering baserat på trafikegenskaper i realtid eftersom anslutningen till Virtual WAN sker via SD-WAN NVA i hubben.

Modell för indirekt sammanlänkning

Diagram över modellen för indirekt sammankoppling.

I den här arkitekturmodellen är SD-WAN-grenens CPE:er indirekt anslutna till Virtual WAN hubbar. Som bilden visar distribueras en virtuell SD-WAN-CPE i ett virtuellt företagsnätverk. Den här virtuella CPE:en är i sin tur ansluten till Virtual WAN hubbar med IPsec. Den virtuella CPE fungerar som en SD-WAN-gateway till Azure. Grenar som behöver åtkomst till sina arbetsbelastningar i Azure kommer att kunna komma åt dem via v-CPE-gatewayen.

Eftersom anslutningen till Azure sker via v-CPE-gatewayen (NVA) går all trafik till och från virtuella Azure-arbetsbelastningar till andra SD-WAN-grenar via NVA. I den här modellen ansvarar användaren för att hantera och driva SD-WAN NVA, inklusive hög tillgänglighet, skalbarhet och routning.

Hanterad Hybrid WAN-modell

Diagram över hanterad HYBRID WAN-modell.

I den här arkitekturmodellen kan företag använda en hanterad SD-WAN-tjänst som erbjuds av en MSP-partner (Managed Service Provider). Den här modellen liknar de direkta eller indirekta modeller som beskrivs ovan. I den här modellen levereras dock SD-WAN-design, orkestrering och åtgärder av SD-WAN-providern.

Azure Networking MSP-partner kan använda Azure Lighthouse för att implementera SD-WAN och Virtual WAN-tjänsten i företagskundens Azure-prenumeration, samt använda hybrid-WAN från slutpunkt till slutpunkt för kundens räkning. Dessa MSP:er kan också implementera Azure ExpressRoute i Virtual WAN och använda det som en hanterad tjänst från slutpunkt till slutpunkt.

Ytterligare information