SD-WAN connectivity architecture with Azure Virtual WAN

Azure 虛擬 WAN 是一種網絡服務,它將許多雲連接和安全服務與單個操作界面結合在一起。 這些服務包括分支(通過站點到站點 V-P-N)、遠程用戶(點到站點 V-P-N)、專用 (ExpressRoute) 連接、VNet 的雲內傳遞連接、V-P-N 和 ExpressRoute 互連、路由、Azure 防火牆和 用於私人連接的加密。

儘管 Azure 虛擬廣域網是一種基於雲的 SD-WAN,可提供豐富的 Azure 第一方連接、路由和安全服務套件,但 Azure 虛擬廣域網還旨在實現與基於本地的 SD-WAN 和 SASE 技術的無縫互連 和服務。 許多此類服務由我們的虛擬 WAN 生態系統和 Azure 網絡託管服務合作伙伴 (MSP) 提供。 將私有 WAN 轉換爲 SD-WAN 的企業在將私有 SD-WAN 與 Azure 虛擬 WAN 互連時可以選擇。 企業可以從以下選項中進行選擇:

  • Direct Interconnect model
  • Direct Interconnect model with NVA-in-VWAN-hub
  • Indirect Interconnect model
  • Managed Hybrid WAN model using their favorite managed service provider MSP

在所有這些情況下,虛擬 WAN 與 SD-WAN 的互連在連接方面是相似的,但在編排和操作方面可能會有所不同。

Direct Interconnect model

 

在此架構模型中,SD-WAN 分支機構客戶端設備 (CPE) 通過 IPsec 連接直接連接到vWAN Hub。 分支機構 CPE 也可以通過私有 SD-WAN 連接到其他分支機構,或使用vWAN 進行分支機構到分支機構的連接。 需要在 Azure 中訪問其工作負載的分支機構將能夠通過在vWAN Hub中終止的 IPsec 隧道直接安全地訪問 Azure。

SD-WAN CPE 合作伙伴可以啓用自動化,以便從其各自的 CPE 設備自動化通常繁瑣且容易出錯的 IPsec 連接。 自動化允許 SD-WAN 控制器通過vWAN API 與 Azure 對話,以配置vWAN 站點,並將必要的 IPsec 隧道配置推送到分支機構 CPE。 有關各種 SD-WAN 合作伙伴對vWAN 互連自動化的描述,請參閱自動化指南(Automation guidelines)。

SD-WAN CPE 仍然是實施和實施流量優化和路徑選擇的地方。
此模型中,可能不支持某些基於實時流量特徵的供應商專有流量優化,因爲與vWAN 的連接是通過 IPsec 進行的,並且 IPsec V-P-N 在vWAN V-P-N 網關上終止。 例如,由於分支設備與另一個 SD-WAN 節點交換各種網絡數據包信息,因此分支 CPE 處的動態路徑選擇是可行的,因此在分支處動態識別用於各種優先級流量的最佳鏈路。 在需要最後一英里優化(到最近的 Microsoft POP 的分支)的領域中(This feature may be useful in areas where last mile optimization),此功能可能很有用。

使用vWAN,用戶可以獲得 Azure 路徑選擇,這是跨多個 ISP 鏈路從分支 CPE 到vWAN V-P-N 網關的基於策略的路徑選擇。 vWAN 允許從同一個 SD-WAN 分支 CPE 設置多個鏈接(路徑); 每個鏈接代表從 SD-WAN CPE 的唯一公共 IP 到 Azure 虛擬 WAN V-P-N 網關的兩個不同實例的雙隧道連接。 SD-WAN 供應商可以根據其策略引擎在 CPE 鏈路上設置的流量策略,實施通往 Azure 的最佳路徑。 在 Azure 端,所有進入的連接都受到同等對待。

Direct Interconnect model with NVA-in-VWAN-hub

 

此架構模型支持將第三方網絡虛擬設備 (NVA) 直接部署到vHub中。這允許希望將其分支機構 CPE 連接到vHub中的同一品牌 NVA 的客戶,以便他們在連接到 Azure 工作負載時可以利用專有的端到端 SD-WAN 功能。
多個vWAN 合作伙伴致力於提供一種在部署過程中自動配置 NVA 的體驗。將 NVA 配置到vHub後,NVA 可能需要的任何其他配置都必須通過 NVA 合作伙伴門戶或管理應用程序完成。無法直接訪問 NVA。可直接部署到 Azure vWAN 中心的 NVA 專爲在vHub中使用而設計。對於在 VWAN 中心支持 NVA 的合作伙伴及其部署指南,請參閱虛擬 WAN 合作伙伴文章(Virtual WAN Partners)。
SD-WAN CPE 仍然是實施和實施流量優化和路徑選擇的地方。在此模型中,支持基於實時流量特徵的供應商專有流量優化,因爲與vWAN 的連接是通過Hub中的 SD-WAN NVA

Indirect Interconnect model

 

 在此架構模型中,SD-WAN 分支 CPE 間接連接到vWAN Hub。 如圖所示,SD-WAN 虛擬 CPE 部署在企業 VNet 中。 該虛擬 CPE 又使用 IPsec 連接到vWAN hub。 虛擬 CPE 用作進入 Azure 的 SD-WAN 網關。 需要在 Azure 中訪問其工作負載的分支機構將能夠通過 v-CPE 網關訪問它們。
由於與 Azure 的連接是通過 v-CPE 網關 (NVA) 進行的,因此往返於 Azure 工作負載 VNet 和其他 SD-WAN 分支的所有流量都通過 NVA在此模型中,用戶負責管理和操作 SD-WAN NVA,包括高可用性、可擴展性和路由

Managed Hybrid WAN model

 

在此架構模型中,企業可以利用託管服務提供商 (MSP) 合作伙伴提供的託管 SD-WAN 服務。 該模型類似於上述直接或間接模型。 但是,在此模型中,SD-WAN 設計、編排和操作由 SD-WAN 提供商提供。
Azure Networking MSP 合作伙伴可以使用 Azure Lighthouse 在企業客戶的 Azure 訂閱中實現 SD-WAN 和 Virtual WAN 服務,以及代表客戶運營端到端的混合 WAN。 這些 MSP 還可以將 Azure ExpressRoute 實施到vWAN 中,並將其作爲端到端託管服務運行。

Refer to:

https://docs.microsoft.com/en-us/azure/virtual-wan/sd-wan-connectivity-architecture

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章