Global transit network architecture and Virtual WAN

Moderna företag kräver allmänt förekommande anslutningar mellan hyper-distribuerade program, data och användare i molnet och lokalt. Arkitekturen för globala överföringsnätverk används av företag för att konsolidera, ansluta och styra det molnbaserade moderna, globala FÖRETAGETS IT-fotavtryck.

Nätverksarkitekturen för global överföring baseras på en klassisk hubb-och-eker-anslutningsmodell där det molnbaserade nätverket "hub" möjliggör transitiv anslutning mellan slutpunkter som kan distribueras över olika typer av "ekrar".

I den här modellen kan en eker vara:

• Virtuellt nätverk (VNet)
• Fysisk grenplats
• Fjärranvändare
• Internet

Bild 1: Globalt nav-och-ekernätverk för global överföring

Bild 1 visar den logiska vyn för det globala överföringsnätverket där geografiskt distribuerade användare, fysiska platser och virtuella nätverk är sammankopplade via en nätverkshubb som finns i molnet. Den här arkitekturen möjliggör logisk onehop-överföringsanslutning mellan nätverksslutpunkterna.

Globalt transitnätverk med Virtual WAN

Azure Virtual WAN är en Microsoft-hanterad molnnätverkstjänst. Alla nätverkskomponenter som den här tjänsten består av finns hos och hanteras av Microsoft. Mer information om Virtual WAN finns i artikeln Virtual WAN Översikt.

Azure Virtual WAN möjliggör en global överföringsnätverksarkitektur genom att möjliggöra allmän, alla-till-alla-anslutning mellan globalt distribuerade uppsättningar av molnarbetsbelastningar i virtuella nätverk, grenplatser, SaaS- och PaaS-program och användare.

Bild 2: Globalt transitnätverk och Virtual WAN

I den Azure Virtual WAN arkitekturen etableras virtuella WAN-hubbar i Azure-regioner som du kan välja att ansluta dina grenar, virtuella nätverk och fjärranslutna användare till. De fysiska grenplatserna är anslutna till hubben via Premium eller Standard ExpressRoute eller plats-till-plats-VPN, virtuella nätverk är anslutna till hubben via VNet-anslutningar och fjärranvändare kan ansluta direkt till hubben med användar-VPN (punkt-till-plats-VPN). Virtual WAN också stöd för VNet-anslutningar mellan regioner där ett virtuellt nätverk i en region kan anslutas till en virtuell WAN-hubb i en annan region.

Du kan upprätta ett virtuellt WAN genom att skapa en enda virtuell WAN-hubb i den region som har det största antalet ekrar (grenar, virtuella nätverk, användare) och sedan ansluta ekrarna som finns i andra regioner till hubben. Det här är ett bra alternativ när ett företags fotavtryck huvudsakligen finns i en region med några fjärr ekrar.

Hubb-till-hubb-anslutning

Ett företags molnfotavtryck kan sträcka sig över flera molnregioner och det är optimalt (svarstidsmässigt) att komma åt molnet från en region som är närmast deras fysiska plats och användare. En av de viktigaste principerna för global överföringsnätverksarkitektur är att möjliggöra anslutning mellan regioner mellan alla moln- och lokala nätverksslutpunkter. Det innebär att trafik från en gren som är ansluten till molnet i en region kan nå en annan gren eller ett VNet i en annan region med hubb-till-hubb-anslutning som aktiveras av Azure Global Network.

Bild 3: Virtual WAN mellan regioner

När flera hubbar aktiveras i ett enda virtuellt WAN kopplas hubbarna automatiskt samman via hubb-till-hubb-länkar, vilket möjliggör global anslutning mellan grenar och virtuella nätverk som distribueras över flera regioner.

Dessutom kan hubbar som ingår i samma virtuella WAN associeras med olika regionala principer för åtkomst och säkerhet. Mer information finns i Säkerhets- och principkontroll senare i den här artikeln.

Alla-till-alla-anslutningar

Global överföringsnätverksarkitektur möjliggör alla-till-alla-anslutningar via virtuella WAN-hubbar. Den här arkitekturen eliminerar eller minskar behovet av full mesh- eller partiell nätanslutning mellan ekrar, som är mer komplexa att bygga och underhålla. Dessutom är det enklare att konfigurera och underhålla routningskontroll i nav- och ekernätverk jämfört med nätnätverk.

Alla-till-alla-anslutningar (i samband med en global arkitektur) gör att ett företag med globalt distribuerade användare, grenar, datacenter, virtuella nätverk och program kan ansluta till varandra via "överföringshubben". Azure Virtual WAN fungerar som det globala överföringssystemet.

Bild 4: Virtual WAN trafikvägar

Azure Virtual WAN stöder följande anslutningsvägar för global överföring. Bokstäverna inom parentes mappar till bild 4.

• Gren-till-VNet (a)
• Gren-till-gren (b)
  • ExpressRoute-Global Reach och Virtual WAN
• Fjärranvändare till VNet (c)
• Fjärranvändare till gren (d)
• VNet-till-VNet (e)
• Branch-to-hub-hub-to-Branch (f)
• Branch-to-hub-hub-to-VNet (g)
• VNet-till-hub-hub-to-VNet (h)

Gren-till-VNet (a) och Gren-till-VNet mellan regioner (g)

Gren-till-VNet är den primära sökvägen som stöds av Azure Virtual WAN. Med den här sökvägen kan du ansluta grenar till Azure IAAS-företagsarbetsbelastningar som distribueras i virtuella Azure-nätverk. Grenar kan anslutas till det virtuella WAN-nätverket via ExpressRoute eller plats-till-plats-VPN. Trafiken överförs till virtuella nätverk som är anslutna till de virtuella WAN-hubbarna via VNet-anslutningar. Explicit gateway-överföring krävs inte för Virtual WAN eftersom Virtual WAN automatiskt aktiverar gateway-överföring till grenplats. Se Virtual WAN partner om hur du ansluter en SD-WAN CPE till Virtual WAN.

ExpressRoute-Global Reach och Virtual WAN

ExpressRoute är ett privat och motståndskraftigt sätt att ansluta dina lokala nätverk till Microsoft Cloud. Virtual WAN stöder Express Route-kretsanslutningar. Att ansluta en grenplats till Virtual WAN med Express Route kräver att 1) Premium- eller Standard Circuit 2) Krets är på en Global Reach aktiverad plats.

ExpressRoute Global Reach är en tilläggsfunktion för ExpressRoute. Med Global Reach kan du länka Samman ExpressRoute-kretsar för att skapa ett privat nätverk mellan dina lokala nätverk. Grenar som är anslutna till Azure Virtual WAN med ExpressRoute kräver att ExpressRoute-Global Reach kommunicerar med varandra.

I den här modellen kan varje gren som är ansluten till den virtuella WAN-hubben med ExpressRoute ansluta till virtuella nätverk med hjälp av sökvägen för gren-till-VNet. Trafik från gren till gren kommer inte att skicka hubben eftersom ExpressRoute-Global Reach möjliggör en mer optimal väg via Azure WAN.

Branch-to-branch (b) och Branch-to-Branch cross-region (f)

Grenar kan anslutas till en virtuell WAN-hubb i Azure med ExpressRoute-kretsar och/eller PLATS-till-plats-VPN-anslutningar. Du kan ansluta grenarna till den virtuella WAN-hubben i den region som är närmast -grenen.

Med det här alternativet kan företag använda Azure-stamnätet för att ansluta grenar. Även om den här funktionen är tillgänglig bör du dock väga fördelarna med att ansluta grenar över Azure Virtual WAN jämfört med att använda ett privat WAN.

Fjärranvändare till VNet (c)

Du kan aktivera direkt, säker fjärråtkomst till Azure med punkt-till-plats-anslutning från en fjärranvändares klient till ett virtuellt WAN. Fjärranslutna företagsanvändare behöver inte längre fästa sig i molnet med hjälp av företagets VPN.

Fjärranvändare till gren (d)

Med fjärranvändare-till-gren-sökvägen kan fjärranslutna användare som använder en punkt-till-plats-anslutning till Azure få åtkomst till lokala arbetsbelastningar och program genom att gå via molnet. Den här sökvägen ger fjärranvändare flexibiliteten att komma åt arbetsbelastningar som både distribueras i Azure och lokalt. Företag kan aktivera central molnbaserad säker fjärråtkomsttjänst i Azure Virtual WAN.

VNet-till-VNet-överföring (e) och VNet-till-VNet mellan regioner (h)

VNet-till-VNet-överföringen gör det möjligt för virtuella nätverk att ansluta till varandra för att sammankoppla flernivåprogram som implementeras i flera virtuella nätverk. Du kan också ansluta virtuella nätverk till varandra via VNet-peering och detta kan vara lämpligt för vissa scenarier där överföring via VWAN-hubben inte är nödvändig.

Tvingad tunneling och standardväg i Azure Virtual WAN

Tvingad tunneling kan aktiveras genom att konfigurera aktivera standardvägen på en VPN-, ExpressRoute- eller Virtual Network-anslutning Virtual WAN.

En virtuell hubb sprider en inlärd standardväg till ett virtuellt nätverk/plats-till-plats VPN/ExpressRoute-anslutning om aktivera standardflaggan är Aktiverad för anslutningen.

Den här flaggan visas när användaren redigerar en virtuell nätverksanslutning, en VPN-anslutning eller en ExpressRoute-anslutning. Som standard är den här flaggan inaktiverad när en plats eller en ExpressRoute-krets är ansluten till en hubb. Den är aktiverad som standard när en virtuell nätverksanslutning läggs till för att ansluta ett VNet till en virtuell hubb. Standardvägen kommer inte från den Virtual WAN hubben. Standardvägen sprids om den redan har lärts in av Virtual WAN-hubben på grund av att en brandvägg har distribuerats i hubben, eller om en annan ansluten plats har tvingad tunneling aktiverat.

Säkerhets- och principkontroll

Hubbarna Azure Virtual WAN samman alla nätverksslutpunkter i hybridnätverket och kan eventuellt se all överföringsnätverkstrafik. Virtual WAN-hubbar kan konverteras till skyddade virtuella hubbar genom att distribuera Azure Firewall i VWAN-hubbar för att möjliggöra molnbaserad säkerhet, åtkomst och principkontroll. Orkestrering av Azure Firewall i virtuella WAN-hubbar kan utföras av Azure Firewall Manager.

Azure Firewall Manager innehåller funktioner för att hantera och skala säkerhet för globala överföringsnätverk. Azure Firewall Manager ger möjlighet att centralt hantera routning, global principhantering, avancerade Internetsäkerhetstjänster via tredje part tillsammans med Azure Firewall.

Bild 5: Skyddad virtuell hubb med Azure Firewall

Azure Firewall till det virtuella WAN-nätverket stöder följande globala säkra anslutningsvägar för överföring. Bokstäverna inom parenteser mappar till bild 5.

• Säker överföring mellan virtuella nätverk (e)
• VNet-till-Internet eller säkerhetstjänst från tredje part (i)
• Säkerhetstjänst från gren till internet eller tredje part (j)

VNet-till-VNet-säker överföring (e)

Den VNet-till-VNet-säkrade överföringen gör det möjligt för virtuella nätverk att ansluta till varandra via Azure Firewall i den virtuella WAN-hubben.

VNet-till-Internet eller säkerhetstjänst från tredje part (i)

VNet-till-Internet gör det möjligt för virtuella nätverk att ansluta till Internet via Azure Firewall i den virtuella WAN-hubben. Trafik till Internet via säkerhetstjänster från tredje part som stöds flödar inte genom Azure Firewall. Du kan konfigurera Vnet-till-Internet-sökväg via en säkerhetstjänst från tredje part som stöds med hjälp Azure Firewall Manager.

Säkerhetstjänst från gren till internet eller tredje part (j)

Med Gren-till-Internet kan grenar ansluta till Internet via Azure Firewall i den virtuella WAN-hubben. Trafik till Internet via säkerhetstjänster från tredje part som stöds flödar inte genom Azure Firewall. Du kan konfigurera branch-till-Internet-sökväg via en säkerhetstjänst från tredje part som stöds med hjälp Azure Firewall Manager.

Gren-till-gren-skyddad överföring mellan regioner (f)

Grenar kan anslutas till en skyddad virtuell hubb med Azure Firewall ExpressRoute-kretsar och/eller VPN-anslutningar från plats till plats. Du kan ansluta grenarna till den virtuella WAN-hubben i den region som är närmast -grenen.

Med det här alternativet kan företag använda Azure-stamnätet för att ansluta grenar. Men även om den här funktionen är tillgänglig bör du väga fördelarna med att ansluta grenar över Azure Virtual WAN jämfört med att använda ett privat WAN.

Gren-till-VNet-skyddad överföring (g)

Den branch-till-VNet-säkrade överföringen gör att grenar kan kommunicera med virtuella nätverk i samma region som den virtuella WAN-hubben samt ett annat virtuellt nätverk som är anslutet till en annan virtuell WAN-hubb i en annan region.

Hur gör jag för att standardväg (0.0.0.0/0) i en skyddad virtuell hubb

Azure Firewall distribueras i en Virtual WAN-hubb (Säker virtuell hubb) kan konfigureras som standardrouter till Internet eller Betrodd säkerhetsprovider för alla grenar (anslutna via VPN eller Express Route), virtuella ekernätverk och användare (anslutna via P2S VPN). Den här konfigurationen måste göras med Azure Firewall Manager. Se Dirigera trafik till din hubb för att konfigurera all trafik från grenar (inklusive användare) samt virtuella nätverk till Internet via Azure Firewall.

Det här är en konfiguration i två steg:

1. Konfigurera Internettrafikroutning med hjälp av menyn Säker routningsinställning för virtuell hubb. Konfigurera virtuella nätverk och grenar som kan skicka trafik till Internet via brandväggen.

2. Konfigurera vilka anslutningar (Vnet och gren) som kan dirigera trafik till Internet (0.0.0.0/0) via Azure FW i hubben eller betrodd säkerhetsprovider. Det här steget säkerställer att standardvägen sprids till valda grenar och virtuella nätverk som är kopplade till Virtual WAN-hubben via anslutningarna.

Tvinga tunneltrafik till en lokal brandvägg i en skyddad virtuell hubb

Om det redan finns en standardväg som lärts in (via BGP) av den virtuella hubben från någon av grenarna (VPN- eller ER-platser) åsidosätts den här standardvägen av standardvägen som lärts in från Azure Firewall Manager-inställningen. I det här fallet dirigeras all trafik som kommer in till hubben från virtuella nätverk och grenar som är avsedda för Internet till Azure Firewall eller betrodd säkerhetsprovider.

Nästa steg

Skapa en anslutning med Virtual WAN och Azure Firewall i VWAN-hubbar.

• Plats-till-plats-anslutningar med Virtual WAN
• ExpressRoute-anslutningar med Virtual WAN
• Azure Firewall Manager att distribuera Azure FW i VWAN