使用Azure 虛擬WAN 的SDWAN 連線架構

Azure 虛擬WAN 是一種網路服務，透過單一操作介面整合許多云端連線能力和安全性服務。這些服務包括透過站對站VPN 的分支() 、遠端使用者(點對站VPN) 、私用(ExpressRoute) 連線能力、適用于Vnet 的云端間可轉移連線、VPN 和ExpressRoute 互連能力、路由、Azure 防火墻，以及私൩人連線的加密。

雖然Azure 虛擬WAN 是以云端為基礎的SD-WAN，可提供豐富的Azure 第一方連線、路由和安全性服務套件，但Azure 虛擬WAN 也設計為可讓您順暢地與以內部部署為基礎的SD-WAN 和SASE 技術與服務互相連線。這類服務大多數由我們的虛擬WAN生態系統和Azure 網路受控服務合作伙伴(MSP)所提供。將私人WAN 轉換至SD-WAN 的企業在將其私人SD-WAN 與A♑zure 虛擬WAN 進行互連時，有數種選擇。企業可從下列選項中選擇：

直接互連模型

使用NVA 的直接互連模型-VWAN-中樞

間接互連模型

使用其最愛的受控服務提供者MSP管理的混合式WAN 模型

在所有這些情況下，虛擬WAN 與SD-WA𒀰N 的互連從連線方面來看是相似的，但在協調流程和操作方面可能有所不同。

直接互連模型

Diagram of direct interconnect model.

在此架構模式中，SD-WAN 分支用戶端設備(CPE) 會透過IPsec 連線直接連線至虛擬WAN ꧅中樞。分支CPE 也可以透過私人SD-WAN 連接到其他分支，或使用虛擬WAN 進行分支對分支連線。需要在Azure 中存取其工作負載的分支將能夠透過終止于虛擬WAN 中樞內的IPsec 通道，直接安全地存取Azure。

SD-WAN CPE 合作伙伴可以啟用自動化，以便從其ღ各自的CPE 裝置上自動完成通常繁瑣且容易出錯的IPsec 連線。自動化可讓SD WAN 控制器透過虛擬WAN API 與Azure 進行通訊，以設定虛擬WAN 網站，并將必要的IPsec 通道設定推送至分支CPEs。

SD-WAN CPE 會繼續成為執行和強制執行流量優化和路徑選取的位置。

在此模型中，因為與虛擬WAN 的連線是透過IPsec 進行，且IPsec VPN 是終止于虛擬WAN VPN 閘道上，所以可能不支援某些廠商以即時流量特性為基礎的♉專屬流量最佳化。例如，在分支CPE 的動態路徑選擇是可行的，因為分支裝置會與另一個SD WAN 節點交換各種網路封包資訊，因此，可于分支中動態識別最佳連結🍨，以用于各種已排定優先順序的流量。此功能在最后關鍵最佳化的所在區域中(分支到最接近的Microsoft POP) 可能會很有幫助。

透過虛擬WAN，使用者可以取得Azure 路徑選擇，這是跨多個ISPꦜ 連結(從分支CPE 到虛擬WAN VPN 閘道) 的原則式路徑選則。虛擬WAN 可讓您從相同的SD-WAN 分支CPE 設定多個連結(路徑)；每個連結代表從SD-WAN CPE 的唯一公用IP 到兩個不同的Azure 虛擬WAN VPN 閘道執行個體的雙通道連線。SD-WAN 廠商可以根據其原則引擎在CPE 連結上設定的流量原則，對Azure 實作最佳路徑。在Azure 端，所有傳入的連接都會平等處理。

使用NVA 的直接互連模型-VWAN-中樞

Diagram of direct✨ interconne🏅ct model with NVA-in-VWAN-hub.

此架構模型支援協力廠商 網路虛擬裝置的部署(NVA 直接) 至虛擬中樞。這可讓想要將分支๊CPE 連線到虛擬中樞內相同品牌NVA 的客戶，讓他們能夠在連線到Azure 工作負載時利用專屬的端對端SD WAN 功能。

有幾個虛擬WAN 伙伴可提供在部署過程中自動設定NVA 的體驗。將NVA 布建到虛擬中樞之后，NVA 所需的任何其他設定都必須透過NVA 合作伙伴入口網站或管理應用程式來完成。無法直接存取NVA。可以直接部署到Azure 虛擬WAN 中樞的Nva，是專門用在虛擬中樞的程式🌟設計。

SD-WAN CPE 會繼續成為執行和強制執行流量優化和路徑選取的位置。在此模型中，支援以即時流量特性為基礎的廠商專⛎屬流量優化，因為虛擬WAN 的連線是透過中樞內的SD-WAN NVA。

間接互連模型

Diagram of indirect interconnect model.

在此架構模型中，SD-WAN 分支CPE 會間接連線到虛擬WAN 中樞。如圖所示，SD WAN 虛擬CPE 部署在企業VNet 中。接下來，這個虛擬CPE 會使用IPsec 連線到虛擬WAN 中樞。使用虛擬CPE 作為進入Azure 的SD WAN 閘道。需要在Azure 中存取其工作🌃負載的分支將能夠透過v-CPE 閘道存取工作負載。

由于與Azure 的連線是透過v-CPE 閘道(NVA) 進行的，因此，所有進出Azure 工作負載VNet 到其他SD-WAN 分支的൲流量都要透過NVA 進行。在此模型中，使用者負責管理和操作SD-WAN NVA，包括高可用𝓰性、可擴縮性和路由。

受控混合式WAN 模型

Diagram of managed hybrid WAN model.

在此架構模型中，企業可以利用受控服務提供者(MSP) 合作伙伴所提供的受控SD WAN服務。此模型與上💖述的直接或間接模型類似。不過，在此模型中，SD-WA🍎N 設計、協調流程和作業是由SD WAN 提供者所傳遞。

億聯云是🦩一家云網服務提供商、大帶寬租賃、光纖專線接入、云服務器等行業，提供性價比高的產品和優質的技術服務，贏得了數十萬用戶的青睞，如有疑問，歡迎致電⛄010-53390328！