虛擬 WAN 常見問題集
Azure 虛擬 WAN 是否在 GA 中?
是,Azure 虛擬 WAN 已正式推出(GA)。 不過,虛擬 WAN 包含數個功能和案例。 虛擬 WAN 中有一些功能或案例,其中 Microsoft 會套用預覽標籤。 在這些情況下,特定功能或案例本身處於預覽狀態。 如果您沒有使用特定的預覽功能,則會套用一般 GA 支援。 如需預覽支持的詳細資訊,請參閱 Microsoft Azure 預覽版的補充使用規定。
有哪些位置和區域可供使用?
如需詳細資訊,請參閱 可用的位置和區域。
使用者是否需要使用 SD-WAN/VPN 裝置來取得中樞和輪輻,才能使用 Azure 虛擬 WAN?
虛擬 WAN 提供許多內建於單一窗格的功能,例如站對站 VPN 連線、使用者/P2S 連線、ExpressRoute 連線、虛擬網路連線、VPN ExpressRoute 互連能力、VNet 對 VNet 可轉移連線、集中式路由、Azure 防火牆 和防火牆管理員安全性、監視、ExpressRoute 加密等許多其他功能。 您不必擁有所有這些使用案例,即可開始使用虛擬 WAN。 您可以只開始使用一個使用案例。
虛擬 WAN 架構是中樞和輪輻架構,內建於分支(VPN/SD-WAN 裝置)、使用者(Azure VPN 用戶端、openVPN 或 IKEv2 用戶端)、ExpressRoute 線路、虛擬網路作為虛擬中樞的輪輻。 所有中樞都會在標準虛擬 WAN 中以完整網格連線,讓使用者可以輕鬆地使用 Microsoft 骨幹進行任意點對任意點 (任何輪輻) 的連線。 針對中樞和與 SD-WAN/VPN 裝置的輪輻,用戶可以在 Azure 虛擬 WAN 入口網站中手動設定它,或使用虛擬 WAN 合作夥伴 CPE (SD-WAN/VPN) 來設定與 Azure 的連線。
虛擬 WAN 合作夥伴提供連線的自動化功能,其能夠將裝置資訊匯出至 Azure、下載 Azure 設定,以及建立與 Azure 虛擬 WAN 中樞的連線能力。 針對點對站/使用者 VPN 連線,我們支援 Azure VPN 用戶端、OpenVPN 或 IKEv2 用戶端。
您可以在虛擬 WAN 中停用完全網格中樞嗎?
虛擬 WAN 有兩種:基本和標準。 在基本虛擬 WAN 中,不會網格化中樞。 在標準虛擬 WAN 中,中樞會在第一次設定虛擬 WAN 時網格化並自動連線。 使用者不需要執行任何特定動作。 使用者也不需要停用或啟用功能來取得網格中樞。 虛擬 WAN 提供許多路由選項,以引導任何輪輻(VNet、VPN 或 ExpressRoute) 之間的流量。 它可讓您輕鬆完全網狀中樞,以及根據您的需求路由傳送流量的彈性。
虛擬 WAN 如何處理可用性區域和復原?
虛擬 WAN 是中樞內所提供的中樞和服務集合。 用戶可以視需要擁有多達虛擬 WAN。 在虛擬 WAN 中樞中,有多個服務,例如 VPN、ExpressRoute 等。如果區域支援 可用性區域,則每個服務都會自動部署到 可用性區域(Azure 防火牆 除外)。 如果區域在中樞的初始部署之後變成可用性區域,使用者可以重新建立閘道,這會觸發可用性區域部署。 所有閘道都會布建在中樞作為主動-主動,這表示中樞內建有復原功能。 如果使用者想要跨區域復原,可以連線到多個中樞。
目前,Azure 防火牆 可以使用 Azure 防火牆 Manager 入口網站、PowerShell 或 CLI 來部署以支援 可用性區域。 目前無法設定現有的防火牆,以跨可用性區域部署。 您必須刪除並重新部署 Azure 防火牆。
雖然虛擬 WAN 的概念是全域的,但實際的虛擬 WAN 資源是以 Resource Manager 為基礎,並以區域方式部署。 如果虛擬 WAN 區域本身發生問題,該虛擬 WAN 中的所有中樞都會繼續如往般運作,但使用者將無法建立新的中樞,直到虛擬 WAN 區域可用為止。
是否可以與其他中樞共享受保護中樞中的防火牆?
否,每個 Azure 虛擬中樞都必須有自己的防火牆。 將自定義路由部署至指向另一個安全中樞的防火牆將會失敗,且無法順利完成。 請考慮使用自己的防火牆將這些中 樞轉換成安全的中樞 。
Azure 虛擬 WAN 使用者 VPN (點對站) 支援哪些用戶端?
虛擬 WAN 支援 Azure VPN 用戶端、OpenVPN 用戶端或任何 IKEv2 用戶端。 Azure VPN 用戶端支援 Microsoft Entra 驗證。至少需要 Windows 10 用戶端 OS 17763.0 版或更高版本。 OpenVPN 用戶端可以支持憑證式驗證。 在閘道上選取憑證式驗證之後,您會看到要下載到裝置的.ovpn* 檔案。 IKEv2 同時支援憑證和 RADIUS 驗證。
針對使用者 VPN(點對站)-為什麼 P2S 用戶端集區分成兩個路由?
每個閘道都有兩個實例。 發生分割,讓每個網關實例可以獨立配置連線用戶端的用戶端 IP,而來自虛擬網路的流量會路由回正確的網關實例,以避免閘道間實例躍點。
如何? 為 P2S 用戶端新增 DNS 伺服器?
有兩個選項可新增 P2S 用戶端的 DNS 伺服器。 慣用第一個方法,因為它會將自定義 DNS 伺服器新增至閘道,而不是用戶端。
使用下列 PowerShell 腳本來新增自定義 DNS 伺服器。 取代您環境的值。
// Define variables $rgName = "testRG1" $virtualHubName = "virtualHub1" $P2SvpnGatewayName = "testP2SVpnGateway1" $vpnClientAddressSpaces = $vpnServerConfiguration1Name = "vpnServerConfig1" $vpnClientAddressSpaces = New-Object string[] 2 $vpnClientAddressSpaces[0] = "192.168.2.0/24" $vpnClientAddressSpaces[1] = "192.168.3.0/24" $customDnsServers = New-Object string[] 2 $customDnsServers[0] = "7.7.7.7" $customDnsServers[1] = "8.8.8.8" $virtualHub = $virtualHub = Get-AzVirtualHub -ResourceGroupName $rgName -Name $virtualHubName $vpnServerConfig1 = Get-AzVpnServerConfiguration -ResourceGroupName $rgName -Name $vpnServerConfiguration1Name // Specify custom dns servers for P2SVpnGateway VirtualHub while creating gateway createdP2SVpnGateway = New-AzP2sVpnGateway -ResourceGroupName $rgname -Name $P2SvpnGatewayName -VirtualHub $virtualHub -VpnGatewayScaleUnit 1 -VpnClientAddressPool $vpnClientAddressSpaces -VpnServerConfiguration $vpnServerConfig1 -CustomDnsServer $customDnsServers // Specify custom dns servers for P2SVpnGateway VirtualHub while updating existing gateway $P2SVpnGateway = Get-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName $updatedP2SVpnGateway = Update-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName -CustomDnsServer $customDnsServers // Re-generate Vpn profile either from PS/Portal for Vpn clients to have the specified dns servers或者,如果您使用適用於 Windows 10 的 Azure VPN 用戶端,您可以在匯入檔案之前修改下載的配置檔 XML 檔案,並新增 dnsservers><dnsserver<>/dnsserver></dnsservers 標籤>。<
<azvpnprofile> <clientconfig> <dnsservers> <dnsserver>x.x.x.x</dnsserver> <dnsserver>y.y.y.y</dnsserver> </dnsservers> </clientconfig> </azvpnprofile>
針對使用者 VPN (點對站),可支援多少用戶端?
下表說明不同縮放單位支援的點對站 VPN 閘道並行連線數目和匯總輸送量。
| 縮放單位 | 閘道實例 | 支援的並行 連線 | 匯總輸送量 |
|---|---|---|---|
| 1 | 2 | 500 | 0.5 Gbps |
| 2 | 2 | 500 | 1 Gbps |
| 3 | 2 | 500 | 1.5 Gbps |
| 4 | 2 | 1000 | 2 Gbps |
| 5 | 2 | 1000 | 2.5 Gbps |
| 6 | 2 | 1000 | 3 Gbps |
| 7 | 2 | 5000 | 3.5 Gbps |
| 8 | 2 | 5000 | 4 Gbps |
| 9 | 2 | 5000 | 4.5 Gbps |
| 10 | 2 | 5000 | 5 Gbps |
| 11 | 2 | 10000 | 5.5 Gbps |
| 12 | 2 | 10000 | 6 Gbps |
| 13 | 2 | 10000 | 6.5 Gbps |
| 14 | 2 | 10000 | 7 Gbps |
| 15 | 2 | 10000 | 7.5 Gbps |
| 16 | 2 | 10000 | 8 Gbps |
| 17 | 2 | 10000 | 8.5 Gbps |
| 18 | 2 | 10000 | 9 Gbps |
| 19 | 2 | 10000 | 9.5 Gbps |
| 20 | 2 | 10000 | 10 Gbps |
| 40 | 4 | 20000 | 20 Gbps |
| 60 | 6 | 30000 | 30 Gbps |
| 80 | 8 | 40000 | 40 Gbps |
| 100 | 10 | 50000 | 50 Gbps |
| 120 | 12 | 60000 | 60 Gbps |
| 140 | 14 | 70000 | 70 Gbps |
| 160 | 16 | 80000 | 80 Gbps |
| 180 | 18 | 90000 | 90 Gbps |
| 200 | 20 | 100000 | 100 Gbps |
例如,假設用戶選擇1個縮放單位。 每個縮放單位都表示已部署主動-主動閘道,且每個實例(在此案例中為 2)最多支援 500 個連線。 因為每個閘道可以取得 500 個連線 * 2 個,這並不表示您規劃 1000 而不是此縮放單位的 500 個。 如果您超過建議的連線計數,可能需要為實例提供服務,其中額外 500 的連線可能會中斷。
對於縮放單位大於 20 的閘道,會部署額外的高可用性閘道實例配對,以提供額外的容量來連線使用者。 每對實例最多支援10,000個其他使用者。 例如,如果您部署具有100個縮放單位的閘道,則部署了5個閘道配對 (總計10個實例),而並行使用者最多可以連線50,000個 (10,000個使用者 x5個閘道組)。
此外,請務必規劃停機,以防您決定在縮放單位上相應增加或減少,或變更 VPN 閘道上的點對站設定。
什麼是虛擬 WAN 閘道縮放單位?
縮放單位是用來挑選虛擬中樞中閘道匯總輸送量的單位。 1 個 VPN 縮放單位 = 500 Mbps。 1 個 ExpressRoute 縮放單位 = 2 Gbps。 範例:10 個 VPN 縮放單位表示 500 Mbps * 10 = 5 Gbps。
Azure 虛擬網路閘道 (VPN 閘道) 與 Azure 虛擬 WAN VPN 閘道有何差異?
虛擬 WAN 提供大規模的站對站連線能力,並專為輸送量、延展性和易於使用而建置。 當您將月台聯機到虛擬 WAN VPN 閘道時,其與使用閘道類型「站對站 VPN」的一般虛擬網路閘道不同。 當您想要將遠端使用者連線到虛擬 WAN 時,您會使用閘道類型 「點對站 VPN」。 點對站和站對站 VPN 閘道是虛擬 WAN 中樞中的個別實體,必須個別部署。 同樣地,當您將 ExpressRoute 線路連線到虛擬 WAN 中樞時,它會使用與使用閘道類型 'ExpressRoute' 的一般虛擬網路閘道不同的 ExpressRoute 閘道資源。
虛擬 WAN 支援 VPN 和 ExpressRoute 的最多 20 Gbps 匯總輸送量。 虛擬 WAN 也有與 CPE 分支裝置合作夥伴生態系統連線的自動化。 CPE 分支裝置具有內建自動化,可自動布建並連線到 Azure 虛擬 WAN。 這些裝置可從日益成長的 SD-WAN 和 VPN 合作夥伴生態系統取得。 請參閱慣用 的合作夥伴清單。
虛擬 WAN 與 Azure 虛擬網路閘道如何不同?
虛擬網路閘道 VPN 限制為 100 個通道。 針對連線,您應該使用虛擬 WAN 進行大規模 VPN。 每個虛擬中樞最多可以連線 1,000 個分支聯機,每個中樞匯總 20 Gbps。 線上是從內部部署 VPN 裝置到虛擬中樞的作用中-主動通道。 您也可以在每個區域有多個虛擬中樞,這表示您可以在該 Azure 區域中部署多個虛擬 WAN 中樞,每個分支都有自己的站對站 VPN 閘道,將超過 1,000 個分支連線到單一 Azure 區域。
虛擬 WAN 中樞中的每個站對站實例每秒建議的演算法和封包數為何? 每個實例支援多少個通道? 單一通道中支援的最大輸送量為何?
虛擬 WAN 支援虛擬中樞中的 2 個作用中站對站 VPN 閘道實例。 這表示虛擬中樞中有 2 個主動-主動 VPN 閘道實例。 在維護作業期間,每個實例都會逐一升級,因為使用者可能會遇到 VPN 閘道匯總輸送量的短暫減少。
雖然虛擬 WAN VPN 支援許多演算法,但我們的建議GCMAES256 IPSEC 加密和完整性,以獲得最佳效能。 一般認為 AES256 和 SHA256 的效能較低,因此類似的演算法類型可能有延遲和封包捨棄等效能降低情形。
每秒封包數或 PPS 是每個實例所支援封包總數和輸送量的因數。 這是最好用範例來瞭解的。 假設虛擬 WAN 中樞已部署 1 個縮放單位 500-Mbps 站對站 VPN 網關實例。 假設封包大小為 1400,則預期該 VPN 閘道實例 的 PPS 上限 為 [(500 Mbps * 1024 * 1024) /8/1400] ~ 47000。
虛擬 WAN 具有 VPN 連線、連結連線和通道的概念。 單一 VPN 連線是由連結連線所組成。 虛擬 WAN 支援 VPN 連線中最多 4 個連結連線。 每個鏈接連線都包含兩個 IPsec 通道,這些通道會在部署於虛擬中樞之主動-主動 VPN 閘道的兩個實例中終止。 在單一作用中實例中可以終止的通道總數為 1000,這也表示 1 個實例的輸送量將會在連線到該實例的所有通道之間匯總。 每個通道也有特定的輸送量值。 如果多個通道連線到較低的值縮放單位網關,最好評估每個通道的需求,並規劃 VPN 閘道,這是在 VPN 實例中終止之所有通道的輸送量匯總值。
虛擬 WAN 中支援的各種縮放單位值
| 縮放單位 | 每個通道的最大輸送量 (Mbps) | 每個通道的 PPS 上限 | 每個實體的最大輸送量 (Mbps) | 每個實例的 PPS 上限 |
|---|---|---|---|---|
| 1 | 500 | 47K | 500 | 47K |
| 2 | 1000 | 94K | 1000 | 94K |
| 3 | 1500 | 140K | 1500 | 140K |
| 4 | 1500 | 140K | 2000 | 187K |
| 5 | 1500 | 140K | 2500 | 234K |
| 6 | 1500 | 140K | 3000 | 281K |
| 7 | 2300 | 215K | 3500 | 328K |
| 8 | 2300 | 215K | 4000 | 374K |
| 9 | 2300 | 215K | 4500 | 421K |
| 10 | 2300 | 215K | 5000 | 468K |
| 11 | 2300 | 215K | 5500 | 515K |
| 12 | 2300 | 215K | 6000 | 562K |
| 13 | 2300 | 215K | 6500 | 609K |
| 14 | 2300 | 215K | 7000 | 655K |
| 15 | 2300 | 215K | 7500 | 702K |
| 16 | 2300 | 215K | 8000 | 749K |
| 17 | 2300 | 215K | 8500 | 796K |
| 18 | 2300 | 215K | 9000 | 843K |
| 19 | 2300 | 215K | 9500 | 889K |
| 20 | 2300 | 215K | 10000 | 936K |
注意
所有數位都是以 GCM 演算法為基礎。
支援哪些裝置提供者(虛擬 WAN 合作夥伴?
目前,許多合作夥伴都支援完全自動化的虛擬 WAN 體驗。 如需詳細資訊,請參閱 虛擬 WAN 合作夥伴。
虛擬 WAN 合作夥伴自動化步驟為何?
如需合作夥伴自動化步驟,請參閱 虛擬 WAN 合作夥伴自動化。
我是否需要使用慣用的合作夥伴裝置?
否。 您可以使用任何符合 IKEv2/IKEv1 IPsec 支援的 Azure 需求的 VPN 裝置。 虛擬 WAN 也有 CPE 合作夥伴解決方案,可將 Azure 虛擬 WAN 的連線自動化,讓您更輕鬆地大規模設定 IPsec VPN 連線。
虛擬 WAN 合作夥伴如何自動化與 Azure 虛擬 WAN 的連線?
軟體定義的連線解決方案通常會使用控制器或裝置佈建中心來管理其分支裝置。 控制器可以使用 Azure API 將 Azure 虛擬 WAN 的連線自動化。 自動化包括上傳分支資訊、下載 Azure 設定、將 IPsec 通道設定至 Azure 虛擬中樞,以及自動設定從分支裝置到 Azure 虛擬 WAN 的連線。 當您有數百個分支時,使用虛擬 WAN CPE 合作夥伴進行連線很容易,因為上線體驗不需要設定、設定和管理大規模的 IPsec 連線。 如需詳細資訊,請參閱 虛擬 WAN 合作夥伴自動化。
如果我使用的裝置不在虛擬 WAN 合作夥伴清單中,該怎麼辦? 我仍然可以使用它來連線到 Azure 虛擬 WAN VPN 嗎?
是,只要裝置支援 IPsec IKEv1 或 IKEv2。 虛擬 WAN 合作夥伴會將裝置與 Azure VPN 端點的連線自動化。 這表示自動化步驟,例如「分支資訊上傳」、「IPsec 和組態」和「連線」。 因為您的裝置不是來自虛擬 WAN 合作夥伴生態系統,因此您必須手動取得 Azure 設定並更新您的裝置來設定 IPsec 連線。
您的啟動合作夥伴清單中未列出的新合作夥伴如何上線?
所有虛擬 WAN API 都是 OpenAPI。 您可以移至虛擬 WAN 合作夥伴自動化檔,以評估技術可行性。 理想的合作夥伴是一個可針對 IKEv1 或 IKEv2 IPsec 連線佈建的裝置。 一旦公司根據上述自動化指導方針完成其 CPE 裝置的自動化工作後,您可以透過azurevirtualwan@microsoft.com合作夥伴聯繫這裡 連線。 如果您是想要將特定公司解決方案列為虛擬 WAN 合作夥伴的客戶,請將電子郵件傳送至 來連絡 azurevirtualwan@microsoft.com虛擬 WAN。
虛擬 WAN 如何支援 SD-WAN 裝置?
虛擬 WAN 合作夥伴會將 IPsec 連線至 Azure VPN 端點自動化。 如果虛擬 WAN 合作夥伴是 SD-WAN 提供者,則表示 SD-WAN 控制器會管理與 Azure VPN 端點的自動化和 IPsec 連線。 如果 SD-WAN 裝置需要自己的端點,而不是任何專屬 SD-WAN 功能的 Azure VPN,您可以在 Azure 虛擬網路中部署 SD-WAN 端點,並與 Azure 虛擬 WAN 共存。
虛擬 WAN 支援 BGP 對等互連 ,而且能夠將 NVA 部署到虛擬 WAN 中樞。
有多少 VPN 裝置可以連線到單一中樞?
每個虛擬中樞最多可支援1,000個連線。 每個連線都包含四個連結,每個連結連接都支援兩個處於主動-主動組態中的通道。 通道會在 Azure 虛擬中樞 VPN 閘道終止。 連結代表分支/VPN 裝置上的實體 ISP 連結。
什麼是 Azure 虛擬 WAN 的分支連線?
從分支或 VPN 裝置連線到 Azure 虛擬 WAN 的連線是一種 VPN 連線,可連接虛擬中樞中的 VPN 月臺和 Azure VPN 閘道。
如果內部部署 VPN 裝置只有 1 個通道可連線到 Azure 虛擬 WAN VPN 閘道,會發生什麼事?
Azure 虛擬 WAN 連線是由 2 個通道所組成。 虛擬WAN VPN 閘道在主動-主動模式的虛擬中樞,這表示在個別實例上終止的內部部署裝置有個別通道。 這是所有用戶的建議。 不過,如果用戶選擇只有 1 個通道至其中一個虛擬 WAN VPN 閘道,如果基於任何原因(維護、修補程式等)將閘道脫機,通道將會移至次要使用中實例,而且使用者可能會遇到重新連線。 BGP 會話不會跨實例移動。
虛擬 WAN VPN 閘道中的閘道重設期間會發生什麼情況?
如果您的內部部署裝置如預期般運作,則應該使用 [閘道重設] 按鈕,但 Azure 中的站對站 VPN 連線處於已中斷連線狀態。 虛擬 WAN VPN 閘道一律會以主動-主動狀態部署,以提供高可用性。 這表示在任何時間點,VPN 閘道中一律會部署多個實例。 使用 [閘道重設] 按鈕時,它會以循序方式重新啟動 VPN 閘道中的實例,以免中斷連線。 當連接從某個實例移到另一個實例時,會有短暫的間距,但這個間距應該小於一分鐘。 此外,請注意,重設網關不會變更您的公用IP。
此案例僅適用於 S2S 連線。
內部部署 VPN 裝置是否可以連線到多個中樞?
是。 從開始時,流量會從內部部署裝置到最接近的 Microsoft 網路邊緣,然後從虛擬中樞。
虛擬 WAN 是否有新的 Resource Manager 資源可供使用?
是,虛擬 WAN 有新的 Resource Manager 資源。 如需詳細資訊,請參閱概觀。
我可以部署和使用我的最愛網路虛擬設備(在 NVA 虛擬網路中)與 Azure 虛擬 WAN 嗎?
是,您可以將您最愛的網路虛擬設備 (NVA) 虛擬網路連線到 Azure 虛擬 WAN。
我可以在虛擬中樞內建立網路虛擬設備嗎?
網路虛擬設備 (NVA) 可以部署在虛擬中樞內。 如需步驟,請參閱 關於虛擬 WAN 中樞中的 NVA。
輪輻 VNet 可以有虛擬網路閘道嗎?
否。 如果輪輻 VNet 已連線到虛擬中樞,就無法有虛擬網路閘道。
輪輻 VNet 可以有 Azure 路由伺服器嗎?
否。 如果輪幅 VNet 連線至虛擬 WAN 中樞,則不能有路由伺服器。
VPN 連線中是否支援 BGP?
是,支援 BGP。 當您建立 VPN 網站時,您可以在其中提供 BGP 參數。 這表示在 Azure 中針對該月臺建立的任何連線都會針對 BGP 啟用。
虛擬 WAN 是否有任何授權或定價資訊?
是。 請參閱定價頁面。
是否可以使用 Resource Manager 範本建構 Azure 虛擬 WAN?
您可以使用快速入門範本來建立一個虛擬 WAN 與一個中樞和一個 vpnsite 的簡單組態。 虛擬 WAN 主要是 REST 或入口網站驅動服務。
聯機到虛擬中樞的輪輻 VNet 是否可以彼此通訊(V2V 傳輸)?
是。 標準虛擬 WAN 支援透過 VNet 連線的虛擬 WAN 中樞進行 VNet 對 VNet 的可轉移連線。 在虛擬 WAN 術語中,我們將這些路徑稱為「本機虛擬 WAN VNet 傳輸」,適用於在單一區域內連線至虛擬 WAN 中樞的 VNet,以及透過兩個或多個區域透過多個虛擬 WAN 中樞連線的 VNet 的「全域虛擬 WAN VNet 傳輸」。
在某些情況下,除了本機或全域虛擬 WAN VNet 傳輸之外,輪輻 VNet 也可以使用虛擬網路對等互連,彼此直接 對等互連 。 在此情況下,VNet 對等互連優先於透過虛擬 WAN 中樞的可轉移連線。
虛擬 WAN 中是否允許分支對分支連線?
是,虛擬 WAN 提供分支對分支連線。 分支在概念上適用於 VPN 月臺、ExpressRoute 線路或點對站/使用者 VPN 使用者。 默認會啟用分支對分支,而且可以位於WAN 組態 設定中。 這可讓 VPN 分支/用戶連線到其他 VPN 分支,並在 VPN 與 ExpressRoute 使用者之間啟用傳輸連線。
分支對分支流量是否透過 Azure 虛擬 WAN 周遊?
是。 分支對分支流量會透過 Azure 虛擬 WAN 周遊。
虛擬 WAN 是否需要來自每個網站的 ExpressRoute?
否。 虛擬 WAN 不需要來自每個月臺的 ExpressRoute。 您的網站可能會使用 ExpressRoute 線路連線到提供者網路。 對於使用 ExpressRoute 連線到虛擬中樞和 IPsec VPN 到相同中樞的網站,虛擬中樞會提供 VPN 與 ExpressRoute 使用者之間的傳輸連線。
使用 Azure 虛擬 WAN 時是否有網路輸送量或連線限制?
網路輸送量是虛擬 WAN 中樞中的每個服務。 在每個中樞中,VPN 匯總輸送量最多為 20 Gbps、ExpressRoute 匯總輸送量高達 20 Gbps,而使用者 VPN/點對站 VPN 匯總輸送量高達 200 Gbps。 虛擬中樞中的路由器支援最多 50 Gbps 的 VNet 對 VNet 流量流量,並假設連線到單一虛擬中樞的所有 VNet 上總共有 2000 個 VM 工作負載。
若要保護預先容量,而不需要等候虛擬中樞在需要更多輸送量時相應放大,您可以視需要設定最小容量或修改。 請參閱 關於虛擬中樞設定 - 中樞容量。 如需成本影響,請參閱 Azure 虛擬 WAN 定價頁面中的路由基礎結構單位成本。
當 VPN 網站連線到中樞時,會使用連線來執行此動作。 虛擬 WAN 支援每個虛擬中樞最多 1000 個連線或 2000 個 IPsec 通道。 當遠端使用者連線到虛擬中樞時,他們會聯機到 P2S VPN 閘道,其支援最多 100,000 位使用者,這取決於虛擬中樞中 P2S VPN 閘道所選擇的縮放單位(帶寬)。
我可以在 VPN 連線上使用 NAT-T 嗎?
可以,有支援 NAT 周遊 (NAT-T)。 虛擬 WAN VPN 閘道不會在內部封包上執行任何類似 NAT 的功能,從 IPsec 通道來回執行。 在此設定中,請確定內部部署裝置會起始 IPsec 通道。
如何將縮放單位設定為特定設定,例如 20-Gbps?
移至入口網站上中樞內的 VPN 閘道,然後按下縮放單位,將它變更為適當的設定。
虛擬 WAN 是否允許內部部署裝置平行使用多個 ISP,還是一律是單一 VPN 通道?
內部部署裝置解決方案可以套用流量原則,以引導跨多個通道的流量進入 Azure 虛擬 WAN 中樞(虛擬中樞的 VPN 閘道)。
什麼是全域傳輸架構?
如需詳細資訊,請參閱 全域傳輸網路架構和虛擬 WAN。
如何在 Azure 骨幹上路由傳送流量?
流量遵循模式:分支裝置 -ISP-Microsoft network edge-Microsoft> DC(hub VNet)->Microsoft network edge-ISP-branch 裝置>>>>
在此模型中,每個月臺需要什麼? 只是因特網連線?
是。 支援 IPsec 的因特網連線和實體裝置,最好來自整合式 虛擬 WAN 合作夥伴。 或者,您可以從慣用裝置手動管理對 Azure 的設定和連線。
如何? 啟用連線的預設路由 (0.0.0.0.0/0) (VPN、ExpressRoute 或虛擬網路)?
如果連線上的旗標為「已啟用」,虛擬中樞可以將學習的預設路由傳播至虛擬網路/站對站 VPN/ExpressRoute 連線。 當使用者編輯虛擬網路連線、VPN 連線或 ExpressRoute 連線時,此旗標為可見。 根據預設,當網站或 ExpressRoute 線路連線至中樞時,會停用此旗標。 而在新增虛擬網路連線以連接 VNet 和虛擬中樞時,預設會啟用旗標。
預設路由並非源自於虛擬 WAN 中樞,而是因下列時機而傳播:中樞內有部署防火牆,因此虛擬 WAN 中樞已得知預設路由時,或其他連線的站台已啟用強制通道時。 默認路由不會在中樞之間傳播(中樞間)。
是否可以在同一個區域中建立多個虛擬 WAN 中樞?
是。 客戶現在可以在同一個區域中為相同的 Azure 虛擬 WAN 建立多個中樞。
虛擬 WAN 中的虛擬中樞如何從多個中樞選取路由的最佳路徑?
如需詳細資訊,請參閱虛擬中 樞路由喜好 設定頁面。
虛擬 WAN 中樞是否允許 ExpressRoute 線路之間的連線?
ER 到 ER 之間的傳輸一律是透過全球觸達。 虛擬中樞閘道會部署在DC或 Azure 區域中。 當兩個 ExpressRoute 線路透過 Global reach 連線時,不需要流量從邊緣路由器一路連線到虛擬中樞 DC。
Azure 虛擬 WAN ExpressRoute 線路或 VPN 連線中是否有權數的概念
當多個 ExpressRoute 線路連線到虛擬中樞時,聯機上的路由權數會提供一個機制,讓虛擬中樞中的 ExpressRoute 偏好一個線路而不是另一個線路。 沒有機制可設定 VPN 連線的權數。 Azure 一律偏好使用 ExpressRoute 連線,而不是單一中樞內的 VPN 連線。
虛擬 WAN 是否偏好使用 ExpressRoute 而不是 VPN 來輸出 Azure 的流量
是。 虛擬 WAN 偏好使用 ExpressRoute 而不是 VPN 來輸出 Azure 的流量。 不過,您可以設定虛擬中樞路由喜好設定來變更預設喜好設定。 如需步驟,請參閱 設定虛擬中樞路由喜好設定。
當虛擬 WAN 中樞有 ExpressRoute 線路和連線到它的 VPN 月臺時,會導致 VPN 連線路由優先於 ExpressRoute?
當 ExpressRoute 線路連線到虛擬中樞時,Microsoft Edge 路由器是內部部署與 Azure 之間通訊的第一個節點。 這些邊緣路由器會與虛擬 WAN ExpressRoute 閘道通訊,進而瞭解虛擬中樞路由器的路由,以控制虛擬 WAN 中任何閘道之間的所有路由。 Microsoft Edge 路由器會處理虛擬中樞 ExpressRoute 路由,其喜好設定高於從內部部署學習的路由。
基於任何原因,如果 VPN 連線成為虛擬中樞學習路由的主要媒體(例如 ExpressRoute 與 VPN 之間的故障轉移案例),除非 VPN 網站具有較長的 AS 路徑長度,否則虛擬中樞會繼續與 ExpressRoute 閘道共用 VPN 學習的路由。 這會導致 Microsoft Edge 路由器偏好使用 VPN 路由,而不是內部部署路由。
當兩個中樞 (中樞 1 和 2) 已連線,且有一個 ExpressRoute 線路連線為兩個中樞的結線時,聯機至中樞 1 的 VNet 路徑為何,以連線到中樞 2 中連線的 VNet?
目前的行為是偏好透過中樞對中樞的 ExpressRoute 線路路徑,以取得 VNet 對 VNet 連線能力。 不過,虛擬 WAN 設定並不鼓勵這樣做。 若要解決此問題,您可以執行下列兩項動作之一:
設定多個 ExpressRoute 線路(不同提供者),以連線到一個中樞,並使用虛擬 WAN 提供的中樞對中樞連線,以進行區域間流量流量。
將 AS-Path 設定為虛擬中樞的中樞路由喜好設定。 這可確保 2 個中樞之間的流量會透過每個中樞中的虛擬中樞路由器周遊,並使用中樞對中樞路徑,而不是 ExpressRoute 路徑(透過 Microsoft Edge 路由器周遊)。 如需詳細資訊,請參閱設定虛擬中樞路由偏好設定。
當 ExpressRoute 線路連線為虛擬 WAN 中樞和獨立 VNet 時,獨立 VNet 到達虛擬 WAN 中樞的路徑為何?
針對新的部署,預設會封鎖此連線。 若要允許此連線,您可以在入口網站的 [編輯虛擬中樞] 刀鋒視窗和 [虛擬網路網關] 刀鋒視窗中啟用這些 ExpressRoute 網關切換 。 不過,建議停用這些切換,並改為建立 虛擬網絡 連線,直接將獨立 VNet 連線至虛擬 WAN 中樞。 之後,VNet 對 VNet 流量會透過虛擬 WAN 中樞路由器周遊,以提供比 ExpressRoute 路徑更好的效能。 ExpressRoute 路徑包含 ExpressRoute 閘道,其頻寬限制低於中樞路由器,以及 Microsoft Enterprise Edge 路由器/MSEE,這是數據路徑中的額外躍點。
在下圖中,必須啟用這兩個切換,以允許獨立 VNet 4 與直接連線至中樞 2 的 VNet 之間的連線(VNet 2 和 VNet 3): 允許來自遠端虛擬網路 網關的虛擬網路流量,以及 允許來自虛擬中樞 ExpressRoute 網關之非虛擬網路 的流量。 如果 Azure 路由伺服器部署在獨立 VNet 4 中,且路由伺服器已啟用 分支對分支 ,則 VNet 1 與獨立 VNet 4 之間的連線將會遭到封鎖。
啟用或停用切換只會影響下列流量:透過ExpressRoute線路在虛擬WAN中樞與獨立 VNet 之間流動的流量。 啟用或停用切換不會對所有其他流量造成停機時間(例如:輪輻 VNet 2 的內部部署網站不會受到影響,VNet 2 至 VNet 3 不會受到影響等等)。
是否可以在虛擬 WAN 的不同資源群組中建立中樞?
是。 此選項目前只能透過PowerShell取得。 虛擬 WAN 入口網站會要求中樞位於與虛擬 WAN 資源本身相同的資源群組中。
建立中樞期間建議的中樞位址空間為何?
建議的虛擬 WAN 中樞地址空間是 /23。 虛擬 WAN 中樞會將子網指派給各種網關(ExpressRoute、站對站 VPN、點對站 VPN、Azure 防火牆、虛擬中樞路由器)。 針對在虛擬中樞內部署 NVA 的案例,通常會針對 NVA 實例刻出 /28。 不過,如果使用者要布建多個 NVA,可能會指派 /27 子網。 因此,請記住未來的架構,而虛擬WAN 中樞部署的大小下限為 /24,則使用者輸入時建議的中樞位址空間為 /23。
虛擬 WAN 中是否支援 IPv6?
虛擬 WAN 中樞及其閘道不支援 IPv6。 如果您有具有 IPv4 和 IPv6 支援的 VNet,而且您想要將 VNet 連線到虛擬 WAN,則目前不支援此案例。
針對透過 Azure 防火牆 進行因特網中斷的點對站使用者 VPN 案例,您可能需要關閉用戶端裝置上的 IPv6 連線,以強制流量流向虛擬 WAN 中樞。 這是因為新式裝置預設會使用IPv6位址。
腳本會自動化各種虛擬 WAN 功能的建議 API 版本為何?
至少需要 05-01-2022 版(2022 年 5 月 1 日)。
是否有任何虛擬 WAN 限制?
請參閱訂 用帳戶和服務限制頁面上的虛擬 WAN 限制一節。
虛擬 WAN 類型(基本和標準)有何差異?
請參閱 基本和標準虛擬 WAN。 如需定價,請參閱 定價 頁面。
虛擬 WAN 是否儲存客戶數據?
否。 虛擬 WAN 不會儲存任何客戶數據。
是否有任何受控服務提供者可以管理使用者的虛擬 WAN 即服務?
是。 如需透過 Azure Marketplace 啟用的受控服務提供者 (MSP) 解決方案清單,請參閱 Azure 網路 MSP 合作夥伴提供的 Azure Marketplace 供應專案。
虛擬 WAN 中樞路由與 VNet 中的 Azure 路由伺服器有何不同?
Azure 虛擬 WAN 中樞和 Azure 路由伺服器都提供邊界網關通訊協定(BGP)對等互連功能,供 NVA(網路虛擬設備)用來將 NVA 中的 IP 位址公告給使用者的 Azure 虛擬網路。 部署選項不同之處在於,Azure 路由伺服器通常是由自我管理的客戶中樞 VNet 部署,而 Azure 虛擬 WAN 則提供零觸控完全網狀中樞服務,讓客戶連接其各種輪輻端點 (Azure VNet, 具有站對站 VPN 或 SDWAN 的內部部署分支、具有點對站/遠端使用者 VPN 和 ExpressRoute 的私人連線的遠端使用者,以及享受在輪輻 VNet 中部署之 NVA 的 BGP 對等互連,以及其他 vWAN例如 VNet 對 VNet 的傳輸連線、VPN 與 ExpressRoute 之間的傳輸連線、自定義 / 進階路由、自定義路由關聯和傳播、路由意圖 / 原則等功能,而不需要麻煩的區域間安全性、安全中樞 / Azure 防火牆等。如需虛擬 WAN BGP 對等互連的詳細資訊,請參閱 如何使用虛擬中樞對等互連 BGP。
如果我使用第三方安全性提供者 (Zscaler、 iBoss 或 Checkpoint) 來保護我的因特網流量,為什麼我看不到與 Azure 入口網站 中第三方安全性提供者相關聯的 VPN 網站?
當您選擇部署安全性合作夥伴提供者來保護使用者的因特網存取時,第三方安全性提供者會代表您建立 VPN 網站。 因為第三方安全性提供者是由提供者自動建立,而且不是使用者建立的 VPN 網站,因此此 VPN 網站不會顯示在 Azure 入口網站 中。
如需有關第三方安全性提供者可用選項以及如何進行設定的詳細資訊,請參閱 部署安全性合作夥伴提供者。
內部部署所產生的 BGP 社群是否會保留在虛擬 WAN 中?
是,內部部署所產生的 BGP 社群將會保留在虛擬 WAN 中。
BGP 對等互連所產生的 BGP 社群(在連結 虛擬網絡 中)是否會保留在虛擬 WAN 中?
是,BGP 對等互連所產生的 BGP 社群將會保留在虛擬 WAN 中。 社群會跨相同中樞和跨中樞連線保留。 這也適用於使用路由意圖原則的虛擬 WAN 案例。
執行 BGP 的遠端連結內部部署網路支援哪些 ASN 號碼?
您可以針對內部部署網路使用您自己的公用 ASN 或私人 ASN。 您無法使用 Azure 或 IANA 保留的範圍:
- Azure 所保留的 ASN:
- 公用 ASN:8074、8075、12076
- 私人 ASNs:65515、65517、65518、65519、65520
- IANA 保留的 ASN:23456、64496-64511、65535-65551
是否有辦法變更 VPN 閘道的 ASN?
否。 虛擬 WAN 不支援 VPN 閘道的 ASN 變更。
在虛擬 WAN中,ExpressRoute 閘道 SKU 的預估效能為何?
| 縮放單位 | 每秒 連線 數 | 每秒兆位數 | 每秒封包數 |
|---|---|---|---|
| 1 個縮放單位 |
14,000 | 2,000 | 200,000 |
| 2 個縮放單位 |
28,000 | 4,000 | 400,000 |
| 3 個縮放單位 |
42,000 | 6,000 | 600,000 |
| 4 個縮放單位 |
56,000 | 8,000 | 800,000 |
| 5 個縮放單位 |
70,000 | 10,000 | 1,000,000 |
| 6 個縮放單位 |
84,000 | 12,000 | 1,200,000 |
| 7 個縮放單位 |
98,000 | 14,000 | 1,400,000 |
| 8 個縮放單位 |
112,000 | 16,000 | 1,600,000 |
| 9 個縮放單位 |
126,000 | 18,000 | 1,800,000 |
| 10 個縮放單位 |
140,000 | 20,000 | 2,000,000 |
縮放單位 2-10,在維護作業期間,維護匯總輸送量。 不過,在維護作業期間,縮放單位 1 可能會看到輸送量數目略有變化。
如果我將 ExpressRoute 本機線路連線到虛擬 WAN 中樞,我只能存取與本機線路相同地鐵位置的區域嗎?
本機線路只能連線到其對應 Azure 區域中的 ExpressRoute 閘道。 不過,將流量路由傳送至其他區域中輪輻虛擬網路沒有任何限制。
為什麼我在入口網站中看到名為「將路由器更新為最新軟體版本」的訊息和按鈕?
注意
自 2024 年 1 月起,虛擬 WAN 小組已開始將虛擬中樞升級至最新版本。 如果您未升級中樞,但現在注意到中樞的路由器版本顯示「最新」,則您的中樞已由虛擬 WAN 小組升級。
全 Azure 雲端服務 基礎結構即將淘汰。 因此,虛擬 WAN 小組一直在努力將虛擬路由器從目前的 雲端服務 基礎結構升級為以 虛擬機器擴展集 為基礎的部署。 所有新建立的虛擬中樞都會自動部署在最新的 虛擬機器擴展集 基礎結構上。 如果您瀏覽至虛擬 WAN 中樞資源並看到此訊息和按鈕,您可以按下按鈕,將您的路由器升級至最新版本。 如果您想要利用新的虛擬 WAN 功能,例如與中樞的 BGP 對等互連,您必須透過 Azure 入口網站 更新虛擬中樞路由器。 如果看不到按鈕,請開啟支援案例。
如果中樞中的所有資源(網關/路由表/VNet 連線)都處於成功狀態,您才能更新虛擬中樞路由器。 請確定所有輪輻虛擬網路都在作用中/已啟用的訂用帳戶中,而且不會刪除您的輪輻虛擬網路。 此外,由於此作業需要部署以虛擬中樞為基礎的新虛擬機擴展集路由器,因此 VNet 對 VNet 流量預期會停機 1-2 分鐘,而所有其他流量都會透過中樞流動 5-7 分鐘。 在單一虛擬 WAN 資源內,中樞應該一次更新一個,而不是同時更新多個。 當路由器版本顯示「最新」時,中樞就會完成更新。 此更新之後將不會有任何路由行為變更。
虛擬中樞路由器升級有數件事需要注意:
如果您已在虛擬 WAN 中樞與輪輻 VNet 中的 NVA 之間設定 BGP 對等互連,則必須 刪除,然後重新建立 BGP 對等互連。 由於虛擬中樞路由器的IP位址在升級后變更,因此您也必須將 NVA 重新設定為與虛擬中樞路由器的新IP位址對等互連。 這些IP位址會以虛擬中樞的資源 JSON 中的 「virtualRouterIps」 欄位表示。
如果您在虛擬中樞有網路虛擬設備 (NVA),您必須與 NVA 合作夥伴合作,以取得如何升級虛擬 WAN 中樞的指示。
如果您的虛擬中樞已設定超過15個路由基礎結構單位,請在嘗試升級之前,將虛擬中樞調整為2個路由基礎結構單位。 升級中樞之後,您可以將中樞相應縮小至超過15個路由基礎結構單位。
如果更新因任何原因而失敗,您的中樞將會自動復原至舊版本,以確保仍有運作中的設定。
要注意的其他事項:
用戶必須擁有 擁有者 或 參與者 角色,才能查看中樞路由器版本的準確狀態。 如果使用者已將讀取者角色指派給虛擬 WAN 資源和訂用帳戶,則 Azure 入口網站 會顯示給該使用者,指出中樞路由器必須升級至最新版本,即使中樞已在最新版本中也一樣。
如果您將輪輻虛擬網路的訂用帳戶狀態從停用變更為已啟用,然後升級虛擬中樞,則必須在虛擬中樞升級之後更新虛擬網路連線(例如:您可以設定虛擬網路連線以傳播至虛擬卷標)。
如果您的中樞已連線到大量的輪輻虛擬網路(60 個以上),您可能會注意到升級后,1 或多個輪輻 VNet 對等互連會進入失敗狀態。 若要在升級后將這些 VNet 對等互連還原為成功狀態,您可以設定虛擬網路連線以傳播至虛擬標籤,也可以刪除並重新建立這些個別的 VNet 連線。
為什麼虛擬中樞路由器需要具有已開啟埠的公用IP位址?
Azure 的基礎 SDN 和管理平臺需要這些公用端點,才能與虛擬中樞路由器通訊。 由於虛擬中樞路由器被視為客戶專用網的一部分,因此 Azure 的基礎平台由於合規性需求而無法透過其私人端點直接存取和管理中樞路由器。 連線 中樞路由器的公用端點透過憑證進行驗證,Azure 會對這些公用端點進行例行安全性稽核。 因此,它們不會構成虛擬中樞的安全性暴露。
連線到 Azure P2S VPN 閘道的 OpenVPN 用戶端是否有路由限制?
OpenVPN 用戶端的路由限制為 1000。
如何計算虛擬 WAN SLA?
虛擬 WAN 是具有 99.95% SLA 的網路即服務平臺。 不過,虛擬 WAN 結合了許多不同的元件,例如 Azure 防火牆、站對站 VPN、ExpressRoute、點對站 VPN 和虛擬 WAN 中樞/整合式網路虛擬設備。
每個元件的 SLA 會個別計算。 例如,如果 ExpressRoute 有 10 分鐘的停機時間,ExpressRoute 的可用性會計算為 [可用分鐘數上限 - 停機時間] / 可用分鐘數上限 * 100。
您可以在連線到中樞的輪輻 VNet 中變更 VNet 位址空間嗎?
是,這可以自動完成,不需要更新或重設對等互連連線。 您可以在這裡找到有關如何變更 VNet 位址空間的詳細資訊。
虛擬 WAN 客戶控制的閘道維護
網路閘道的維護設定範圍包含哪些服務?
針對虛擬 WAN,您可以設定站對站 VPN 閘道和 ExpressRoute 閘道的維護時段。
客戶控制的維護支援或不支援哪一項維護?
Azure 服務會定期進行維護更新,以改善功能、可靠性、效能和安全性。 設定資源的維護期間之後,就會在該時段期間執行客體OS和服務維護。 這些更新佔造成客戶關注的大部分維護專案。
客戶控制的維護不會涵蓋基礎主機硬體和數據中心基礎結構更新。 此外,如果發生高嚴重性安全性問題,可能會危及我們的客戶,Azure 可能需要覆寫客戶對維護時段的控制,並推出變更。 這些是罕見的情況,只會在極端情況下使用。
我可以取得維護的進階通知嗎?
目前無法針對網路閘道資源的維護啟用進階通知。
我可以設定少於五小時的維護期間嗎?
在目前,您必須在慣用時區中設定至少五個小時的時段。
我可以設定不會每天重複的維護排程嗎?
在目前,您必須設定每日維護時段。
維護設定資源是否必須位於與閘道資源相同的區域中?
是。
我需要部署最低閘道縮放單位,才能符合客戶控制的維護資格嗎?
否。
將維護設定原則指派給閘道資源之後,需要多久才會生效?
在維護原則與閘道資源相關聯之後,網路閘道最多可能需要 24 小時的時間才能遵循維護排程。
在共存案例中使用 VPN 和 ExpressRoute 時,應該如何規劃維護時段?
在共存案例中使用 VPN 和 ExpressRoute 時,或有作為備份的資源時,建議您設定個別的維護時段。 此方法可確保維護不會同時影響備份資源。
我已為其中一個資源排定未來日期的維護時段。 此資源直到那時為止是否將暫停維護活動?
否,在排定的維護時段之前的期間內,資源不會暫停維護活動。 針對維護排程中未涵蓋的天數,維護會如往常在資源上繼續執行。
下一步
如需虛擬 WAN 的詳細資訊,請參閱 關於虛擬 WAN。