虚拟 WAN 常见问题解答

Azure 虚拟 WAN 是否已正式发布 (GA)?

是,Azure 虚拟 WAN 已正式发布 (GA)。 但是,虚拟 WAN 包含若干功能和方案。 虚拟 WAN 中有 Azure 应用“预览”标记的功能或方案。 在这些情况下,特定的功能或者方案本身处于预览阶段。 如果你未使用特定的预览功能,则常规 GA 支持适用。 有关预览版支持的详细信息,请参阅 Azure 预览版补充使用条款

可在哪些位置和区域使用?

有关详细信息,请参阅可用位置和区域

用户是否需要将中心辐射型拓扑与 SD-WAN/VPN 设备配合使用才能使用 Azure 虚拟 WAN?

虚拟 WAN 提供了许多内置于单个窗格中的功能,例如站点/站点到站点 VPN 连接、用户/P2S 连接、ExpressRoute 连接、虚拟网络连接、VPN ExpressRoute 互连、VNet 到 VNet 可传递连接、集中路由、Azure 防火墙和防火墙管理器安全性、监视、ExpressRoute 加密以及许多其他功能。 无需所有这些用例即可开始使用虚拟 WAN。 仅需一个用例即可开始使用。

虚拟 WAN 体系结构是一种内置了规模和性能的中心辐射型体系结构,其中的分支(VPN/SD-WAN 设备)、用户(Azure VPN 客户端、openVPN 或 IKEv2 客户端)、ExpressRoute 线路和虚拟网络充当虚拟中心的支路。 所有中心均在标准虚拟 WAN 中以完整网格的形式进行连接,使得用户能够轻松地使用 Azure 主干进行任意分支到任意分支的连接。 对于包含 SD-WAN/VPN 设备的中心辐射型体系结构,用户可以在 Azure 虚拟 WAN 门户中手动设置该它,也可以使用虚拟 WAN 合作伙伴 CPE (SD-WAN/VPN) 来设置与 Azure 的连接。

虚拟 WAN 合作伙伴提供自动进行连接的功能:将设备信息导出到 Azure 中,下载 Azure 配置,然后建立与 Azure 虚拟 WAN 中心的连接。 对于点到站点/用户 VPN 连接,我们支持 Azure VPN 客户端、OpenVPN 或 IKEv2 客户端。

可否在虚拟 WAN 中禁用全网格式中心?

虚拟 WAN 有两种形式:“基本”和“标准”。 在基本虚拟 WAN 中,中心不是网格式的。 在标准虚拟 WAN 中,中心是网格式的,并且可在首次设置虚拟 WAN 后自动连接。 用户无需执行任何特定操作, 也无需禁用或启用获取网格式中心的功能。 虚拟 WAN 提供了许多路由选项,用于引导任何分支(VNet、VPN 或 ExpressRoute)之间的通信。 它兼具全网格式中心的易用性和根据需求路由流量的灵活性。

虚拟 WAN 中如何处理可用性区域和复原?

虚拟 WAN 是中心以及其中提供的服务的集合。 用户可以根据需要拥有任意数量的虚拟 WAN。 虚拟 WAN 中心内包含多个服务,例如 VPN、ExpressRoute 等。其中每个服务(Azure 防火墙除外)自动部署在“可用性区域”区域中(如果该区域支持可用性区域)。 如果在中心进行初始部署后,某个区域成为可用性区域,则用户可以重新创建网关,这将触发可用性区域部署。 所有网关在中心内都预配为主动-主动,这意味着中心内置了复原能力。 如果用户需要跨区域的复原能力,可以连接到多个中心。

目前,可以使用 Azure 防火墙管理器门户、PowerShell 或 CLI 部署 Azure 防火墙来支持可用性区域。 目前无法配置要跨可用性区域部署的现有防火墙。 需要删除并重新部署 Azure 防火墙。

尽管虚拟 WAN 的概念是全球性的,但实际的虚拟 WAN 资源基于资源管理器,并且按区域进行部署。 如果虚拟 WAN 区域本身遇到问题,则该虚拟 WAN 中的所有中心都将继续按原样运行,但在虚拟 WAN 区域可用之前,用户无法创建新的中心。

是否可以与其他中心共享受保护中心中的防火墙?

否,每个 Azure 虚拟中心必须有自己的防火墙。 指向另一个安全中心的防火墙的自定义路由部署将失败,并且不会成功完成。 请考虑将这些中心转换为具有自己防火墙的安全中心

Azure 虚拟 WAN 用户 VPN(点到站点)支持什么客户端?

虚拟 WAN 支持 Azure VPN 客户端、OpenVPN 客户端或任何 IKEv2 客户端。 Azure VPN 客户端支持 Microsoft Entra 身份验证。 至少需要 Windows 10 客户端 OS 版本 17763.0 或更高版本。 OpenVPN 客户端可以支持基于证书的身份验证。 在网关上选择基于证书的身份验证后,可看到需下载到设备的 .ovpn* 文件。 IKEv2 支持证书和 RADIUS 身份验证。

就用户 VPN(点到站点)来说,为什么将 P2S 客户端池拆分为两个路由?

每个网关都有两个实例。 进行拆分是为了使每个网关实例可以独立地为连接的客户端分配客户端 IP,并将来自虚拟网络的流量路由回正确的网关实例,避免网关间的实例跃点。

如何为 P2S 客户端添加 DNS 服务器?

可以通过两个选项为 P2S 客户端添加 DNS 服务器。 首选第一种方法,因为它将自定义 DNS 服务器添加到网关而不是客户端。

  1. 使用以下 PowerShell 脚本添加自定义 DNS 服务器。 将值替换为你环境的值。

    // Define variables
    $rgName = "testRG1"
    $virtualHubName = "virtualHub1"
    $P2SvpnGatewayName = "testP2SVpnGateway1"
    $vpnClientAddressSpaces = 
    $vpnServerConfiguration1Name = "vpnServerConfig1"
    $vpnClientAddressSpaces = New-Object string[] 2
    $vpnClientAddressSpaces[0] = "192.168.2.0/24"
    $vpnClientAddressSpaces[1] = "192.168.3.0/24"
    $customDnsServers = New-Object string[] 2
    $customDnsServers[0] = "7.7.7.7"
    $customDnsServers[1] = "8.8.8.8"
    $virtualHub = $virtualHub = Get-AzVirtualHub -ResourceGroupName $rgName -Name $virtualHubName
    $vpnServerConfig1 = Get-AzVpnServerConfiguration -ResourceGroupName $rgName -Name $vpnServerConfiguration1Name
    
    // Specify custom dns servers for P2SVpnGateway VirtualHub while creating gateway
    createdP2SVpnGateway = New-AzP2sVpnGateway -ResourceGroupName $rgname -Name $P2SvpnGatewayName -VirtualHub $virtualHub -VpnGatewayScaleUnit 1 -VpnClientAddressPool $vpnClientAddressSpaces -VpnServerConfiguration $vpnServerConfig1 -CustomDnsServer $customDnsServers
    
    // Specify custom dns servers for P2SVpnGateway VirtualHub while updating existing gateway
    $P2SVpnGateway = Get-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName
    $updatedP2SVpnGateway = Update-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName -CustomDnsServer $customDnsServers 
    
    // Re-generate Vpn profile either from PS/Portal for Vpn clients to have the specified dns servers
    
  2. 或者,如果你使用的是适用于 Windows 10 的 Azure VPN 客户端,则可修改下载的 XML 配置文件,在导入该文件之前添加 <dnsservers><dnsserver></dnsserver></dnsservers> 标记。

       <azvpnprofile>
       <clientconfig>
    
           <dnsservers>
               <dnsserver>x.x.x.x</dnsserver>
               <dnsserver>y.y.y.y</dnsserver>
           </dnsservers>
    
       </clientconfig>
       </azvpnprofile>
    

就用户 VPN(点到站点)来说,支持多少个客户端?

下表描述了不同缩放单元支持的点到站点VPN 网关的并发连接数和聚合吞吐量。

缩放单元 网关实例 支持的并发连接数 聚合吞吐量
1 2 500 0.5 Gbps
2 2 500 1 Gbps
3 2 500 1.5 Gbps
4 2 1000 2 Gbps
5 2 1000 2.5 Gbps
6 2 1000 3 Gbps
7 2 5000 3.5 Gbps
8 2 5000 4 Gbps
9 2 5000 4.5 Gbps
10 2 5000 5 Gbps
11 2 10000 5.5 Gbps
12 2 10000 6 Gbps
13 2 10000 6.5 Gbps
14 2 10000 7 Gbps
15 2 10000 7.5 Gbps
16 2 10000 8 Gbps
17 2 10000 8.5 Gbps
18 2 10000 9 Gbps
19 2 10000 9.5 Gbps
20 2 10000 10 Gbps
40 4 20000 20 Gbps
60 6 30000 30 Gbps
80 8 40000 40 Gbps
100 10 50000 50 Gbps
120 12 60000 60 Gbps
140 14 70000 70 Gbps
160 16 80000 80 Gbps
180 18 90000 90 Gbps
200 20 100000 100 Gbps

例如,假设用户选择 1 个缩放单元。 每个缩放单元的存在都意味着已部署主动-主动网关,并且每个实例(在本例中为 2 个)都支持最多 500 个连接。 每个网关可以获得 500 * 2 个连接,但这并不意味着你要为此缩放单元的 1000 个(而不是 500 个)连接做规划。 系统可能需要为实例提供服务,而在服务期间,当你超过建议的连接数时,系统可能会中断这额外的 500 个连接。

针对缩放单元大于 20 的网关部署额外的高可用性网关实例对,以提供额外的连接用户容量。 每个实例配对最多支持 10,000 个其他用户。 例如,如果部署了 100 个缩放单元的网关,则部署了 5 个网关对(总共 10 个实例),最多可以连接 50,000 个 (10,000 个用户 x 5 个网关对) 并发用户。

此外,如果决定在缩放单元上纵向扩展或缩减,或者在 VPN 网关上更改点到站点配置,请确保计划停机时间。

什么是虚拟 WAN 网关缩放单元?

根据定义,缩放单元是用于选择虚拟中心内网关的聚合吞吐量的单位。 1 个缩放单元的 VPN 为 500 Mbps。 1 个缩放单元的 ExpressRoute 为 2 Gbps。 示例:10 个缩放单元的 VPN:500 Mbps * 10 = 5 Gbps。

Azure 虚拟网络网关(VPN 网关)和 Azure 虚拟 WAN VPN 网关之间有什么区别?

虚拟 WAN 提供大规模站点到站点连接,在设计上考虑到了吞吐量、可伸缩性和易用性。 将站点连接到虚拟 WAN VPN 网关时,它不同于使用网关类型“站点到站点 VPN”的常规虚拟网络网关。 将远程用户连接到虚拟 WAN 时,使用网关类型“点到站点 VPN”。 点到站点 VPN 网关和站点到站点 VPN 网关是虚拟 WAN 中心中的单独实体,必须单独部署。 同样,将 ExpressRoute 线路连接到虚拟 WAN 中心时,它对 ExpressRoute 网关使用的资源与对使用“ExpressRoute”网关类型的常规虚拟网络网关使用的资源不同。

对于 VPN 和 ExpressRoute,虚拟 WAN 最多支持 20 Gbps 聚合吞吐量。 虚拟 WAN 还实现了与 CPE 分支设备合作伙伴生态系统的连接自动化。 CPE 分支设备具有自动预配并连接到 Azure 虚拟 WAN 的内置自动化。 这些设备由一个不断扩张的 SD-WAN 和 VPN 合作伙伴生态系统提供。 请参阅首选合作伙伴列表

虚拟 WAN 与 Azure 虚拟网络网关有何不同?

虚拟网络网关 VPN 限制为 100 个隧道。 对于连接,应当为大型 VPN 使用虚拟 WAN。 每个虚拟中心最多可以连接 1,000 个分支连接,每个中心有 20 Gbps 聚合。 连接是从本地 VPN 设备到虚拟中心的主动-主动隧道。 每个区域中还可以有多个虚拟中心,这意味着可以将 1,000 个以上的分支连接到单个 Azure 区域,具体方法是通过在该 Azure 区域中部署多个虚拟 WAN 中心(各自具有自己的站点到站点 VPN 网关)。

虚拟 WAN 在虚拟中心中支持 2 个活动站点到站点 VPN 网关实例。 这意味着一个虚拟中心有 2 个活动-活动 VPN 网关实例集。 在执行维护操作的过程中,每个实例都将逐个进行升级,因此用户可能会遇到 VPN 网关的聚合吞吐量短暂下降的情况。

虽然虚拟 WAN VPN 支持多种算法,但建议使用 GCMAES256 来实现 IPSEC 加密和完整性,以提供最佳性能。 AES256 和 SHA256 被认为效率较低,因此类似的算法类型预期会出现延迟、丢包之类的性能降低的情况。

每秒数据包数或 PPS 会影响数据包总数和每个实例支持的吞吐量。 最好通过举例来说明这一点。 假设一个 500 Mbps 站点到站点 VPN 网关实例的缩放单元部署在虚拟 WAN 中心中。 假设数据包大小为 1400,则该 vpn 网关实例的预期 PPS 最大值 = [(500 Mbps * 1024 * 1024) /8/1400] ~ 47000。

虚拟 WAN 具有 VPN 连接、链路连接和隧道的概念。 单个 VPN 连接由链接连接组成。 在一个 VPN 连接中,虚拟 WAN 最多支持 4 个链接连接。 每个链接连接都由两个 IPsec 隧道组成,它们在部署在虚拟中心中的活动-活动 VPN 网关的两个实例中终止。 可在一个活动实例中终止的隧道总数为 1000 个,这也意味着 1 个实例的吞吐量将在连接到该实例的所有隧道中聚合。 每个隧道也有一定的吞吐量值。 如果多个隧道连接到了较低值缩放单元网关,最好评估每个隧道的需求并规划一个 VPN 网关,该网关是跨在 VPN 实例中终止的所有隧道的吞吐量的聚合值。

虚拟 WAN 中支持的各种缩放单元的值

缩放单元 每个隧道的最大吞吐量 (Mbps) 每个隧道的最大 PPS 数 每个实例的最大吞吐量 (Mbps) 每个实例的最大 PPS 数
1 500 47,000 500 47,000
2 1000 94,000 1000 94,000
3 1500 140K 1500 140K
4 1500 140K 2000 187,000
5 1500 140K 2500 234,000
6 1500 140K 3000 281,000
7 2300 215,000 3500 328,000
8 2300 215,000 4000 374,000
9 2300 215,000 4500 421,000
10 2300 215,000 5000 468,000
11 2300 215,000 5500 515,000
12 2300 215,000 6000 562,000
13 2300 215,000 6500 609,000
14 2300 215,000 7000 655,000
15 2300 215,000 7500 702,000
16 2300 215,000 8000 749,000
17 2300 215,000 8500 796,000
18 2300 215,000 9000 843,000
19 2300 215,000 9500 889,000
20 2300 215,000 10000 936,000

注意

所有数字均基于 GCM 算法。

支持哪些设备提供商(虚拟 WAN 合作伙伴)?

目前,许多合作伙伴都支持全自动虚拟 WAN 体验。 有关详细信息,请参阅虚拟 WAN 合作伙伴

虚拟 WAN 合作伙伴自动化步骤有哪些?

有关合作伙伴自动化步骤,请参阅虚拟 WAN 合作伙伴自动化

是否需要使用首选的合作伙伴设备?

否。 可以使用任何支持 VPN 且符合 Azure 对 IKEv2/IKEv1 IPsec 的支持要求的设备。 虚拟 WAN 还具有 CPE 合作伙伴解决方案,该解决方案可自动连接到 Azure 虚拟 WAN,使大规模设置 IPsec VPN 连接变得更加容易。

虚拟 WAN 合作伙伴如何自动与 Azure 虚拟 WAN 建立连接?

软件定义的连接解决方案通常使用控制器或设备预配中心来管理其分支设备。 控制器可以使用 Azure API 自动与 Azure 虚拟 WAN 建立连接。 自动化包括上传分支信息、下载 Azure 配置、将 IPsec 隧道设置到 Azure 虚拟中心,以及自动设置从分支设备到 Azure 虚拟 WAN 的连接。 当有数百个分支时,可以轻松使用虚拟 WAN CPE 合作伙伴进行连接,因为载入体验无需设置、配置和管理大规模的 IPsec 连接。 有关详细信息,请参阅虚拟 WAN 合作伙伴自动化

如果使用的设备不在虚拟 WAN 合作伙伴列表中,该怎么办? 还可以用它来连接到 Azure 虚拟 WAN VPN 吗?

是的,只要设备支持 IPsec IKEv1 或 IKEv2 即可。 虚拟 WAN 合作伙伴自动执行设备到 Azure VPN 端点的连接。 这表示自动执行“分支信息上传”、“IPsec 和配置”以及“连接”等步骤。 由于设备不是来自虚拟 WAN 合作伙伴生态系统,因此需要大量手动执行 Azure 配置和更新设备才能建立 IPsec 连接。

没有在启动合作伙伴列表中列出的新合作伙伴如何加入?

所有虚拟 WAN API 都是 OpenAPI。 可以重新查看文档虚拟 WAN 合作伙伴自动化,评估技术可行性。 理想的合作伙伴具有可以预配 IKEv1 或 IKEv2 IPsec 连接的设备。 在公司根据上面提供的自动化指导原则完成其 CPE 设备的自动化工作后,你可以联系 azurevirtualwan@microsoft.com,以便在通过合作伙伴实现连接中列出。 如果你是希望将某个公司的解决方案列为虚拟 WAN 合作伙伴的客户,请让该公司通过向 azurevirtualwan@microsoft.com 发送电子邮件联系虚拟 WAN。

虚拟 WAN 如何支持 SD-WAN 设备?

虚拟 WAN 合作伙伴自动执行 Azure VPN 端点的 IPsec 连接。 如果虚拟 WAN 合作伙伴是 SD-WAN 提供商,则表示 SD-WAN 控制器管理到 Azure VPN 端点的自动化和 IPsec 连接。 如果 SD-WAN 设备需要自己的终结点(而不是 Azure VPN)来实现任何专有 SD-WAN 功能,则可以在 Azure 虚拟网络中部署 SD-WAN 终结点并使其与 Azure 虚拟 WAN 共存。

允许多少 VPN 设备连接到单个中心?

每个虚拟中心最多支持 1,000 个连接。 每个连接包括四条链路,每条链路连接支持采用主动-主动配置的两个隧道。 隧道在 Azure 虚拟中心 VPN 网关中终止。 链接表示分支/VPN 设备上的物理 ISP 链接。

到 Azure 虚拟 WAN 的分支连接是什么?

从分支或 VPN 设备到 Azure 虚拟 WAN 的连接是一个 VPN 连接,它实际上连接了虚拟中心内的 VPN 站点和 Azure VPN 网关。

如果本地 VPN 设备只有 1 个隧道通往一个 Azure 虚拟 WAN VPN 网关,会发生什么情况?

Azure 虚拟 WAN 连接包含 2 个隧道。 虚拟 WAN VPN 网关以主动-主动模式部署在虚拟中心,这意味着本地设备中有单独的隧道在单独的实例上终止。 建议所有用户都采用这种形式。 但是,如果用户选择只让 1 个隧道通往某个虚拟 WAN VPN 网关实例,那么当该网关实例因任何原因(维护、修补等)而进入脱机状态时,该隧道将移动到处于活动状态的辅助实例,并且用户可能会遭遇重新连接的情况。 BGP 会话不会在实例之间移动。

在虚拟 WAN VPN 网关中的网关重置期间会发生什么情况?

如果本地设备全部按预期方式工作,但 Azure 中的站点到站点 VPN 连接处于“断开连接”状态,则应使用“网关重置”按钮。 虚拟 WAN VPN 网关始终以主动-主动状态部署以实现高可用性。 这意味着在任何时间点,VPN 网关中总是部署了多个实例。 使用“网关重置”按钮时,它会按顺序重启 VPN 网关中的实例,因此连接不会中断。 当连接从一个实例移动到另一个实例时,会有一个短暂的间隔,但这个间隔应该小于一分钟。 此外,请注意重置网关不会更改公共 IP。

此方案仅适用于 S2S 连接。

本地 VPN 设备是否可以连接到多个中心?

是的。 开始时的流量流将从本地设备发送到最近的 Azure 网络边缘,然后才发送到虚拟中心。

虚拟 WAN 是否有新的可用资源管理器资源?

是的,虚拟 WAN 有新的资源管理器资源。 有关详细信息,请参阅概述

可以在虚拟中心内创建网络虚拟设备吗?

无法在虚拟中心内部署网络虚拟设备 (NVA)。

辐射 VNet 是否可以包含虚拟网络网关?

不是。 如果支路 VNet 已连接到虚拟中心,则不能包含虚拟网络网关。

分支 VNet 能否具有 Azure 路由服务器?

不是。 如果分支 VNet 连接到虚拟 WAN 中心,则无法使用路由服务器。

VPN 连接是否支持 BGP?

是的,支持 BGP。 创建 VPN 站点时,可以在其中提供 BGP 参数。 这表示在 Azure 中为该站点创建的任何连接都将启用 BGP。

虚拟 WAN 是否有任何许可或定价信息?

是的。 请参阅定价页面。

是否可以使用资源管理器模板构造 Azure 虚拟 WAN?

可以使用快速入门模板创建具有单个中心和单个 VPN 站点的单个虚拟 WAN 的简单配置。 虚拟 WAN 从根本上来说是一种 REST 或门户驱动的服务。

连接到虚拟中心的分支 VNet 能否相互通信(V2V 传输)?

是的。 标准虚拟 WAN 支持通过 VNet 所连接到的虚拟 WAN 中心建立 VNet 到 VNet 可传递连接。 在虚拟 WAN 的术语中,对于已连接到单个区域中的虚拟 WAN 中心的 VNet,这些路径被称为“本地虚拟 WAN VNet 传输”,而对于通过多个虚拟 WAN 中心跨两个或更多个区域连接的 VNet,则称为“全局虚拟 WAN VNet 传输”。

在某些方案中,除了本地或全局虚拟 WAN VNet 传输,还可使用虚拟网络对等互连将各分支 VNet 直接对等互连。 在这种情况下,VNet 对等互连优先于通过虚拟 WAN 中心建立的可传递连接。

虚拟 WAN 中是否允许分支到分支连接?

是的,分支到分支连接在虚拟 WAN 中可用。 分支在概念上适用于 VPN 站点、ExpressRoute 线路或点到站点/用户 VPN 用户。 “启用分支到分支”设置默认启用,你可在 WAN 配置设置中找到它。 这使得 VPN 分支/用户能够连接到其他 VPN 分支,还可在 VPN 和 ExpressRoute 用户之间启用传输连接。

分支到分支流量是否可以通过 Azure 虚拟 WAN?

是的。 分支到分支流量会通过 Azure 虚拟 WAN。

虚拟 WAN 是否要求每个站点中都有 ExpressRoute?

不是。 虚拟 WAN 不要求每个站点中都有 ExpressRoute。 站点可能使用 ExpressRoute 线路连接到提供商网络。 对于使用 ExpressRoute 连接到虚拟中心以及将 IPsec VPN 连接到同一中心的站点,虚拟中心提供了 VPN 和 ExpressRoute 用户之间的传输连接。

使用 Azure 虚拟 WAN 时是否存在网络吞吐量或连接限制?

网络吞吐量基于虚拟 WAN 中心的每项服务。 在每个中心,VPN 聚合吞吐量最高可达 20 Gbps,ExpressRoute 聚合吞吐量最高可达 20 Gbps,用户 VPN/点到站点 VPN 聚合吞吐量最高可达 200 Gbps。 虚拟中心的路由器最多支持 50 Gbps 的 VNet 到 VNet 流量流,并假设连接到单个虚拟中心的所有 VNet 总共有 2000 个 VM 工作负载。

若要保护前期容量,而避免在需要更多吞吐量时等待虚拟中心进行横向扩展,你可以设置最小容量或根据需要进行修改。 请参阅关于虚拟中心设置 - 中心容量。 有关成本影响,请参阅 Azure 虚拟 WAN 定价页上的“路由基础结构单位”成本。

当 VPN 站点连接到中心时,它们通过连接来完成此操作。 对于每个虚拟中心,虚拟 WAN 最多支持 1000 个连接或 2000 个 IPsec 隧道。 当远程用户连接到虚拟中心时,他们将连接到 P2S VPN 网关,该网关最多支持 100,000 位用户,具体取决于为虚拟中心的 P2S VPN 网关选择的缩放单元(带宽)。

可在 VPN 连接上使用 NAT-T 吗?

可以,支持 NAT 遍历 (NAT-T)。 虚拟 WAN VPN 网关将不在指向/来自 IPsec 隧道的内部数据包上执行任何类似 NAT 的功能。 在此配置中,请确保本地设备启动 IPsec 隧道。

如何将缩放单元配置为特定设置,例如 20-Gbps?

导航到门户上中心内的 VPN 网关,然后单击缩放单元,将其更改为适当的设置。

虚拟 WAN 是否允许本地设备并行利用多个 ISP?亦或它始终为单个 VPN 隧道?

本地设备解决方案可以应用流量策略,以引导流量通过多个隧道进入 Azure 虚拟 WAN 中心(虚拟中心的 VPN 网关)。

什么是全局传输体系结构?

有关信息,请参阅全局传输网络体系结构和虚拟 WAN

流量在 Azure 主干网上是如何路由的?

流量遵循以下模式:分支设备 -> ISP -> Microsoft 网络边缘 -> Microsoft DC(中心 VNet)-> Microsoft 网络边缘 -> ISP -> 分支设备

在此模型中,需要在每个站点执行什么操作? 只需要创建 Internet 连接?

是的。 支持 IPsec 的 Internet 连接和物理设备,最好是来自我们的集成虚拟 WAN 合作伙伴。 还可以从你偏爱的设备手动管理 Azure 的配置和连接。

如何对连接(VPN、ExpressRoute 或虚拟网络)启用默认路由 (0.0.0.0/0)?

如果连接上的标志为“已启用”,则虚拟中心可将获知的默认路由传播到虚拟网络/站点到站点 VPN/ExpressRoute 连接。 当用户编辑虚拟网络连接、VPN 连接或 ExpressRoute 连接时,将显示此标志。 默认情况下,当站点或 ExpressRoute 线路连接到中心时,将禁用此标志。 如果添加虚拟网络连接以将 VNet 连接到虚拟中心,则默认会启用此功能。

默认路由不是源自虚拟 WAN 中心;只有当虚拟 WAN 中心由于在中心部署防火墙而获知默认路由或另一个连接的站点已启用强制隧道时,此标志才会将默认路由传播到连接。 默认路由不在中心之间(中心间)传播。

是否可在同一区域创建多个虚拟 WAN 中心?

是的。 客户现在可以在同一区域为同一 Azure 虚拟 WAN 创建多个中心。

虚拟 WAN 中的虚拟中心如何从多个中心选择路由的最佳路径?

如果某个虚拟中心从多个远程中心获知同一路由,则其决定顺序如下所示:

  1. 最长前缀匹配。
  2. 本地路由优先于中心间路由。
  3. 静态路由优先于 BGP 路由:这与虚拟中心路由器做出的决定有关。 但是,如果决策者是其中的站点通过 BGP 播发路由的 VPN 网关,或者是提供静态地址前缀的 VPN 网关,则静态路由可能要优于 BGP 路由。
  4. ExpressRoute (ER) 优先于 VPN:在本地中心,ER 优先于 VPN。 ExpressRoute 线路之间的传输连接只能通过 Global Reach 提供。 因此,当有一个 ExpressRoute 线路连接到一个中心,并且有另一个 ExpressRoute 线路通过 VPN 连接连接到其他中心时,对于中心间路由方案而言,VPN 可能是首选项。
  5. AS 路径长度(当广告路由到彼此时,虚拟中心会在路由前追加 AS 路径 65520-65520)。

虚拟 WAN 中心是否允许 ExpressRoute 线路之间的连接?

ER 到 ER 之间的传输始终通过 Global Reach 进行。 虚拟中心网关部署在 DC 或 Azure 区域中。 当两条 ExpressRoute 线路通过 Global Reach 连接时,不需要流量完全从边缘路由器传递到虚拟中心 DC。

Azure 虚拟 WAN ExpressRoute 线路或 VPN 连接中是否存在权重的概念

当多个 ExpressRoute 线路连接到一个虚拟中心时,该连接上的路由权重为虚拟中心的 ExpressRoute 提供了选择优先线路的机制。 没有用于在 VPN 连接上设置权重的机制。 与单个中心内,Azure 始终优先选择 ExpressRoute 连接而非 VPN 连接。

对于传出 Azure 的流量,虚拟 WAN 是否优先选择 ExpressRoute 而非 VPN

是的。 对于传出 Azure 的流量,虚拟 WAN 优先选择 ExpressRoute 而非 VPN。

当虚拟 WAN 中心具有 ExpressRoute 线路和连接到该线路的 VPN 站点时,什么原因会导致优先选择 VPN 连接路由而不是 ExpressRoute?

当 ExpressRoute 线路连接到虚拟中心时,Microsoft Edge 路由器是在本地与 Azure 之间进行通信的第一个节点。 这些边缘路由器与虚拟 WAN ExpressRoute 网关通信,而这些网关从控制虚拟 WAN 中任何网关之间的所有路由的虚拟中心路由器获知路由。 Microsoft Edge 路由器优先处理虚拟中心 ExpressRoute 路由而非从本地获知的路由。

如果 VPN 连接因任何原因而成为虚拟中心获知路由的主要媒介(例如 ExpressRoute 和 VPN 之间的故障转移方案),那么除非 VPN 站点具有较长的 AS 路径长度,否则虚拟中心将继续与 ExpressRoute 网关共享获知的 VPN 路由。 这将导致 Microsoft Edge 路由器优先处理 VPN 路由而非本地路由。

如果连接了两个中心(中心 1 和 2),并且有一条 ExpressRoute 线路以蝴蝶结的形式连接到这两个中心,那么连接到中心 1 的 VNet 通过什么路径到达中心 2 中连接的 VNet?

对于 VNet 到 VNet 连接,当前行为优先选择 ExpressRoute 线路路径而非中心到中心。 但是,不建议在虚拟 WAN 设置中这样做。 要解决此问题,可以执行以下两项操作之一:

  • 对于区域间流量流,将多个 ExpressRoute 线路(不同提供商)配置为连接到一个中心,并使用虚拟 WAN 提供的中心到中心连接。

  • 请与产品团队联系,参与封闭公共预览。 在此预览版中,2 个中心之间的流量遍历每个中心内的 Azure 虚拟 WAN 路由器,并使用中心到中心路径,而不是 ExpressRoute 路径(它遍历 Azure 边缘路由器/MSEE)。 若要在预览期间使用此功能,请发送电子邮件到 previewpreferh2h@microsoft.com,并提供虚拟 WAN ID、订阅 ID 和 Azure 区域。 通常你会在 48 个工作小时(周一至周五)内收到确认启用功能的回复。

如果将 ExpressRoute 线路以蝴蝶结形式连接到虚拟 WAN 中心和非虚拟 WAN VNet,那么非虚拟 WAN VNET 通过什么路径到达虚拟 WAN 中心?

对于非 vWAN 到 vWAN 的连接,当前行为优先选择 ExpressRoute 线路路径。 但是,不建议在虚拟 WAN 设置中这样做。

是否可以在虚拟 WAN 的不同资源组中创建中心?

是的。 目前只能通过 PowerShell 使用此选项。 虚拟 WAN 门户要求中心与虚拟 WAN 资源本身位于同一资源组中。

建议的虚拟 WAN 中心地址空间为 /23。 虚拟 WAN 中心将子网分配到各种网关(ExpressRoute、站点到站点 VPN、点到站点 VPN、Azure 防火墙、虚拟中心路由器)。 对于在虚拟中心内部署 NVA 的情况,通常为 NVA 实例划分 /28。 但如果用户要预配多个 NVA,则可能会分配 /27 子网。 因此请在操作时考虑到未来的体系结构,虽然虚拟 WAN 中心的最小部署大小为 /24,但建议用户在创建时输入 /23 的中心地址空间。

虚拟 WAN 是否支持 IPv6?

虚拟 WAN 中心及其网关不支持 IPv6。 如果你具有支持 IPv4 和 IPv6 的 VNet,并且要将 VNet 连接到虚拟 WAN,那么当前不支持此方案。

对于通过 Azure 防火墙打开 Internet 接入点的点到站点(用户)VPN 方案,你可能需要关闭客户端设备上的 IPv6 连接,以强制流量流向虚拟 WAN 中心。 这是因为新式设备默认使用 IPv6 地址。

所需的最低版本为 05-01-2022(2022 年 5 月 1 日)。

是否存在虚拟 WAN 限制?

请参阅“订阅和服务限制”页上的虚拟 WAN 限制部分。

虚拟 WAN 类型(基本和标准)之间的区别是什么?

请参阅基本和标准虚拟 WAN。 如需了解定价,请参阅定价页面。

虚拟 WAN 是否会存储客户数据?

不是。 虚拟 WAN 不存储任何客户数据。

虚拟 WAN 中心路由与 VNet 中的 Azure 路由服务器有何不同?

Azure 虚拟 WAN 中心和 Azure 路由服务器都提供边界网关协议 (BGP) 对等互连功能,NVA(网络虚拟设备)可以利用这些功能将 IP 地址从 NVA 转发到用户的 Azure 虚拟网络。 部署选项的不同之处在于,Azure 路由服务器通常由自托管的客户中心 VNet 部署,而 Azure 虚拟 WAN 提供零接触全网状中心服务。客户使用该服务连接其各种分支终结点(Azure VNet、具有站点到站点 VPN 或 SDWAN 的本地分支、具有点到站点/远程用户 VPN 的远程用户和具有 ExpressRoute 的专用连接)并享受用于部署在支路 VNet 中的 NVA 的 BGP 对等互连功能以及其他 vWAN 功能(例如用于 VNet 到 VNet 的传输连接、VPN 和 ExpressRoute 之间的传输连接、自定义/高级路由、自定义路由关联和传播、可实现区域间安全性的路由意图/策略、安全中心/Azure 防火墙等)。有关虚拟 WAN BGP 对等互连的更多详细信息,请参阅如何将 BGP 与虚拟中心对等互连

如果我使用第三方安全提供程序(Zscaler、iBoss 或 Checkpoint)保护我的 Internet 流量安全,为什么在 Azure 门户中看不到与第三方安全提供程序关联的 VPN 站点?

选择部署安全合作伙伴提供程序来保护用户的 Internet 访问时,第三方安全提供程序会代表你创建 VPN 站点。 因为第三方安全提供程序是由提供程序自动创建,并且不是用户创建的 VPN 站点,所以此 VPN 网站不会显示在 Azure 门户中。

有关第三方安全提供程序和设置方法的可用选项的详细信息,请参阅部署安全合作伙伴提供商

本地生成的 BGP 社区是否会保留在虚拟 WAN 中?

是,本地生成的 BGP 社区将保留在虚拟 WAN 中。

运行 BGP 的远程附加的本地网络支持哪些 ASN 号码?

可以将自己的公共 ASN 或专用 ASN 用于本地网络。 不能使用 Azure 或 IANA 保留的范围:

  • 由 Azure 保留的 ASN:
    • 公用 ASN:8074、8075、12076
    • 专用 ASN:65515、65517、65518、65519、65520
    • IANA 保留的 ASN:23456、64496-64511、65535-65551

有没有办法更改 VPN 网关的 ASN?

否。 虚拟 WAN 不支持 VPN 网关的 ASN 更改。

在虚拟 WAN 中,ExpressRoute 网关 SKU 的估计性能是什么?

缩放单元 每秒连接数 每秒兆位数 每秒的数据包数
1 个缩放单元
14,000 2,000 200,000
2 个缩放单元
28,000 4,000 400,000
3 个缩放单元
42,000 6,000 600,000
4 个缩放单元
56,000 8,000 800,000
5 个缩放单元
70,000 10,000 1,000,000
6 个缩放单元
84,000 12,000 1,200,000
7 个缩放单元
98,000 14,000 1,400,000
8 个缩放单元
112,000 16,000 1,600,000
9 个缩放单位
126,000 18,000 1,800,000
10 个缩放单元
140,000 20,000 2,000,000

在维护操作期间,2-10 个缩放单元可保持聚合吞吐量。 但是,在维护操作期间,1 个缩放单元的吞吐量数可能会略有变化。

如果我将 ExpressRoute Local 线路连接到一个虚拟 WAN 中心,我是否只能访问与 Local 线路位于同一都市圈位置的区域?

Local 线路只能连接到相应 Azure 区域中的 ExpressRoute 网关。 但是,将流量路由到其他区域的分支虚拟网络没有限制。

门户中为何显示“将路由器更新到最新软件版本”的消息和按钮?

注意

从 2024 年 7 月 1 日开始,旧版上的中心将分阶段停用,并按预期停止运行。

Azure 范围内的基于云服务的基础结构将弃用。 因此,虚拟 WAN 团队一直致力于将虚拟路由器从其当前的云服务基础结构升级到基于虚拟机规模集的部署。 所有新创建的虚拟中心将自动部署在基于最新虚拟机规模集的基础结构上。 如果导航到虚拟 WAN 中心资源并看到此消息和按钮,则可通过单击此按钮将路由器升级到最新版本。 若要利用新的 Azure 虚拟 WAN 功能,必须通过 Azure 门户更新虚拟中心路由器。 如果按钮不可见,请打开支持案例。

只有当中心的所有资源(网关/路由表/VNet 连接)都处于成功状态时,才能更新虚拟中心路由器。 确保所有分支虚拟网络都位于活动订阅/已启用的订阅中,并且未删除分支虚拟网络。 此外,由于此操作需要部署新的基于虚拟机规模集的虚拟中心路由器,因此,对于流经同一个中心的 VNet 到 VNet 流量,预期停机时间为 1-2 分钟;对于流经该中心的所有其他流量,预期停机时间为 5-7 分钟。 在单个虚拟 WAN 资源内,应一次更新一个中心,而不是同时更新多个中心。 如果路由器版本显示“最新版本”,则表示中心已完成更新。 此次更新后,路由行为不会发生更改。

如果由于任何原因更新失败,中心将自动恢复到旧版本,以确保仍存在正常工作的设置。

需要注意的其他事项:

  • 用户需要具有“所有者”或“参与者”角色才能查看中心路由器版本的准确状态。 如果为用户分配了虚拟 WAN 资源和订阅的“读取者”角色,则 Azure 门户会向该用户显示中心路由器需要升级到最新版本,即使该中心已是最新版本也是如此。

  • 如果将分支虚拟网络的订阅状态从“已禁用”更改为“已启用”,然后升级虚拟中心,则需要在虚拟中心升级后更新虚拟网络连接(例如:可以将虚拟网络连接配置为传播到虚拟标签)。

  • 如果中心已连接到大量辐射虚拟网络(60 个或更多),则你可能会注意到升级后,1 个或多个辐射 VNet 对等互连将进入失败状态。 若要在升级后将这些 VNet 对等互连还原到成功状态,可以将虚拟网络连接配置为传播到虚拟标签,也可以删除并重新创建这些相应的 VNet 连接。

连接到 Azure P2S VPN 网关的 OpenVPN 客户端是否有路由限制?

OpenVPN 客户端的路由限制为 1000。

如何计算虚拟 WAN SLA?

虚拟 WAN 是一个网络即服务平台,它提供 99.95% SLA 保障。 但是,虚拟 WAN 结合了许多不同的组件,例如 Azure 防火墙、站点到站点 VPN、ExpressRoute、点到站点 VPN 和虚拟 WAN 中心/集成式网络虚拟设备。

每个组件的 SLA 是单独计算的。 例如,如果 ExpressRoute 有 10 分钟故障时间,则 ExpressRoute 的可用性会计算为(最大可用分钟数 - 故障时间)/最大可用分钟数 * 100。

是否可以更改连接到中心的分支 VNet 中的 VNet 地址空间?

是,可以自动完成此操作,无需在对等互连连接上更新或重置。 可在此处找到有关如何更改 VNet 地址空间的详细信息。

虚拟 WAN 客户控制的网关维护

网关的维护配置范围中包含哪些服务?

对于虚拟 WAN,可以为站点到站点 VPN 网关和 ExpressRoute 网关配置维护时段。

客户控制的维护支持哪些维护,不支持哪些维护?

Azure 服务会定期进行维护更新,以改进功能、可靠性、性能和安全性。 一旦为资源配置了维护时段,就会在该时段内执行来宾操作系统和服务维护。 对于客户关心的维护项而言,这些更新占了大多数。

客户控制的维护不涵盖基础主机硬件和数据中心基础结构更新。 此外,如果存在可能危及客户的高严重性安全问题,Azure 可能需要覆盖客户对维护时段的控制并推出更改。 这些很少出现,只会在极端状况下使用。

我是否可以提前收到维护通知?

目前,无法为网关资源的维护启用提前通知。

我是否可以配置少于 5 小时的维护时段?

目前,你需要在首选时区中配置至少五个小时的时段。

是否可以配置不每天重复的维护计划?

目前,你需要配置每日维护时段。

维护配置资源是否需要与网关资源在同一区域?

是的。

是否需要部署最小网关缩放单元,以便有资格进行客户控制的维护?

不是。

在将维护配置策略分配给网关资源后,需要多长时间才能生效?

在将维护策略与网关资源关联后,网关最多可能需要 24 小时才能遵循维护计划。

在 VPN 和 ExpressRoute 共存的场景下,我应如何规划维护时段?

当在共存场景中使用 VPN 和 ExpressRoute 时,或者每当有充当备份的资源时,我们建议设置单独的维护时段。 此方法可确保维护不会同时影响备份资源。

我已经为其中一个资源安排了将来的维护时段。 在此之前,此资源上的维护活动会暂停吗?

不,在计划维护时段之前的一段时间内,不会暂停资源上的维护活动。 对于维护计划中未涵盖的天数,将照常对资源进行维护。

后续步骤

有关虚拟 WAN 的详细信息,请参阅关于虚拟 WAN