共用方式為


虛擬 WAN 常見問題集

Azure 虛擬 WAN 是否正式發行?

是,Azure 虛擬 WAN 已正式發行 (GA)。 不過,虛擬 WAN 是由數個功能和情節所組成。 Microsoft 對虛擬 WAN 中的一些功能或案例套用了預覽標籤。 在這些情況下,特定功能或情節本身會處於預覽狀態。 如果您不使用特定的預覽功能,則適用一般 GA 支援。 如需有關預覽版支援的詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款

有哪些位置和區域可供使用?

若要檢視虛擬 WAN 的可用區域,請參閱按區域提供的產品。 指定虛擬 WAN 作為產品名稱。

使用者是否需要具有 SD-WAN/VPN 裝置的中樞與輪輻才能使用 Azure 虛擬 WAN?

虛擬 WAN 提供內建在單一窗口中的許多功能,例如站台/站對站 VPN 連線、使用者/P2S 連線、ExpressRoute 連線、虛擬網路連線、VPN ExpressRoute 相互連線、VNet 對 VNet 的可轉移連線、集中式路由、Azure 防火牆和防火牆管理員安全性、監視、ExpressRoute 加密,以及許多其他功能。 您不一定要符合上述所有使用案例,也能開始使用虛擬 WAN。 只要一個使用案例即可開始使用。

虛擬 WAN 架構是一種中樞與輪輻架構,具有內建的規模和效能,其中分支 (VPN/SD-WAN 裝置)、使用者 (Azure VPN 用戶端、openVPN 或 IKEv2 用戶端)、ExpressRoute 線路和虛擬網路都可作為虛擬中樞的輪輻。 所有中樞都會在標準虛擬 WAN 中以完整網格連線,讓使用者可以輕鬆地使用 Microsoft 骨幹進行任意點對任意點 (任何輪輻) 的連線。 針對具有 SD-WAN/VPN 裝置的中樞與輪輻,使用者可以在 Azure 虛擬 WAN 入口網站中手動設定,或使用虛擬 WAN 合作夥伴 CPE (SD-WAN/VPN) 來設定與 Azure 的連線。

虛擬 WAN 合作夥伴提供自動連線功能,可將裝置資訊匯出至 Azure、下載 Azure 設定,以及建立與 Azure 虛擬 WAN 中樞的連線。 針對點對站/使用者 VPN 連線能力,我們支援 Azure VPN 用戶端、OpenVPN 或 IKEv2 用戶端。

您可以停用虛擬 WAN 中的完全網格化中樞嗎?

虛擬 WAN 有兩種類別:基本和標準。 在基本虛擬 WAN 中,中樞並未網格化。 在標準虛擬 WAN 中,中樞會在第一次設定虛擬 WAN 時網格化並且自動連線。 使用者不需要執行任何特定動作。 使用者也不需要停用或啟用功能來取得網格化中樞。 虛擬 WAN 提供許多路由選項,在任何輪輻 (VNet、VPN 或 ExpressRoute) 之間引導流量。 虛擬 WAN 提供輕鬆完全網格化的中樞,以及根據您的需求路由傳送流量的彈性。

如何在虛擬 WAN 中處理可用性區域和復原?

虛擬 WAN 是中樞內所提供的中樞和服務集合。 使用者可以根據自己的需求擁有多個虛擬 WAN。 在虛擬 WAN 中樞中有多個服務,例如 VPN、ExpressRoute 等等。這些服務都會自動部署在可用性區域中 (Azure 防火牆除外),前提是該區域支援可用性區域。 如果區域在中樞的初始部署之後變成可用性區域,使用者可以重新建立閘道,這樣會觸發可用性區域部署。 所有閘道都會以主動-主動的形式佈建在中樞內,也就是說,在中樞內會有內建的復原功能。 如果使用者想要跨區域進行復原,則可以連線到多個中樞。

目前,Azure 防火牆可以使用 Azure 防火牆管理員入口網站、PowerShell 或 CLI 來支援可用性區域。 目前沒有任何方法可將現有防火牆設定為跨可用性區域部署。 您必須刪除並重新部署您的 Azure 防火牆。

雖然虛擬 WAN 的概念是全域的,但是實際的虛擬 WAN 資源是以 Resource Manager 為基礎,並且部署在區域內。 如果虛擬 WAN 區域本身發生問題,該虛擬 WAN 中的所有中樞都會繼續正常運作,但是在虛擬 WAN 區域可供使用之前,使用者將無法建立新的中樞。

是否可以與其他集線器共用受保護集線器中的「防火牆」?

不可以,每個 Azure 虛擬中樞都必須有自己的防火牆。 指向另一個安全中樞的防火牆的自訂路由部署將失敗並且無法成功完成。 請考慮將這些集線器轉換為具有自己的防火牆的安全集線器

Azure 虛擬 WAN 使用者 VPN (點對站) 支援哪些用戶端?

虛擬 WAN 支援 Azure VPN 用戶端、OpenVPN 用戶端或任何 IKEv2 用戶端。 Azure VPN Client 支援 Microsoft Entra 驗證。 至少需要 Windows 10 用戶端 OS 17763.0 版或更高版本。 OpenVPN 用戶端可以支援憑證型驗證。 在閘道上選取憑證型驗證之後,您就會看到可下載到您裝置的 .ovpn* 檔案。 IKEv2 同時支援憑證和 RADIUS 驗證。

若是使用者 VPN (點對站) - 為什麼 P2S 用戶端集區會分割成兩個路由?

每個閘道有兩個執行個體。 分割可讓每個閘道執行個體為連線的用戶端獨立配置用戶端 IP,而來自虛擬網路的流量也會路由回正確的閘道執行個體,以避開閘道間的執行個體躍點。

如何新增 P2S 用戶端的 DNS 伺服器?

有兩個選項可新增 P2S 用戶端的 DNS 伺服器。 第一個方法是慣用方法,因為該方法會將自訂 DNS 伺服器新增至閘道,而不是用戶端。

  1. 使用下列 PowerShell 指令碼來新增自訂 DNS 伺服器。 請針對您的環境取代值。

    // Define variables
    $rgName = "testRG1"
    $virtualHubName = "virtualHub1"
    $P2SvpnGatewayName = "testP2SVpnGateway1"
    $vpnClientAddressSpaces = 
    $vpnServerConfiguration1Name = "vpnServerConfig1"
    $vpnClientAddressSpaces = New-Object string[] 2
    $vpnClientAddressSpaces[0] = "192.168.2.0/24"
    $vpnClientAddressSpaces[1] = "192.168.3.0/24"
    $customDnsServers = New-Object string[] 2
    $customDnsServers[0] = "7.7.7.7"
    $customDnsServers[1] = "8.8.8.8"
    $virtualHub = $virtualHub = Get-AzVirtualHub -ResourceGroupName $rgName -Name $virtualHubName
    $vpnServerConfig1 = Get-AzVpnServerConfiguration -ResourceGroupName $rgName -Name $vpnServerConfiguration1Name
    
    // Specify custom dns servers for P2SVpnGateway VirtualHub while creating gateway
    createdP2SVpnGateway = New-AzP2sVpnGateway -ResourceGroupName $rgname -Name $P2SvpnGatewayName -VirtualHub $virtualHub -VpnGatewayScaleUnit 1 -VpnClientAddressPool $vpnClientAddressSpaces -VpnServerConfiguration $vpnServerConfig1 -CustomDnsServer $customDnsServers
    
    // Specify custom dns servers for P2SVpnGateway VirtualHub while updating existing gateway
    $P2SVpnGateway = Get-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName
    $updatedP2SVpnGateway = Update-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName -CustomDnsServer $customDnsServers 
    
    // Re-generate VPN profile either from PS/Portal for VPN clients to have the specified dns servers
    
  2. 或者,如果您使用適用於 Windows 10 的 Azure VPN Client,您可以修改下載的設定檔 XML 檔案,並新增 <dnsservers><dnsserver></dnsserver></dnsservers> 標記,之後再匯入該檔案。

       <azvpnprofile>
       <clientconfig>
    
           <dnsservers>
               <dnsserver>x.x.x.x</dnsserver>
               <dnsserver>y.y.y.y</dnsserver>
           </dnsservers>
    
       </clientconfig>
       </azvpnprofile>
    

針對使用者 VPN (點對站),可支援多少用戶端?

下表描述不同縮放單位所支援點對站 VPN 閘道的並行連線數目和彙總輸送量。

縮放單位 閘道執行個體 支援的並行連線數目 彙總輸送量
1 2 500 0.5 Gbps
2 2 500 1 Gbps
3 2 500 1.5 Gbps
4 2 1000 2 Gbps
5 2 1000 2.5 Gbps
6 2 1000 3 Gbps
7 2 5000 3.5 Gbps
8 2 5000 4 Gbps
9 2 5000 4.5 Gbps
10 2 5000 5 Gbps
11 2 10000 5.5 Gbps
12 2 10000 6 Gbps
13 2 10000 6.5 Gbps
14 2 10000 7 Gbps
15 2 10000 7.5 Gbps
16 2 10000 8 Gbps
17 2 10000 8.5 Gbps
18 2 10000 9 Gbps
19 2 10000 9.5 Gbps
20 2 10000 10 Gbps
40 4 20000 20 Gbps
60 6 30000 30 Gbps
80 8 40000 40 Gbps
100 10 50000 50 Gbps
120 12 60000 60 Gbps
140 14 70000 70 Gbps
160 16 80000 80 Gbps
180 18 90000 90 Gbps
200 20 100000 100 Gbps

例如,我們假設使用者選擇 1 作為縮放單位。 每個縮放單位表示已部署的主動-主動閘道,而每個執行個體 (在此案例中為 2 個) 會支援最多 500 個連線。 每個閘道可以取得 500 個連線 * 2,但這並不表示您該為此縮放單位規劃 1000 個連線,而不是 500 個。 如果您超過建議的連線計數,在額外 500 個連線期間系統要提供服務的執行個體可能會中斷。

針對縮放單位大於 20 的閘道,您應多部署幾組高可用性閘道執行個體,以提供使用者連線所需的額外容量。 每組執行個體可額外支援高達 10,000 個使用者。 例如,如果您部署具有 100 個縮放單位的閘道,則應部署 5 組閘道 (總共 10 個執行個體),以供高達 50,000 個 (10,000 個使用者 x 5 組閘道) 並行使用者連線。

此外,如果您決定在縮放單位上擴大或縮小,或變更 VPN 閘道上的點對站設定,請務必規劃停機時間。

對於使用者 VPN (點對站),Entra Id 驗證是否支援 Microsoft 註冊的應用程式?

是,虛擬 WAN 支援 Microsoft 註冊的應用程式。 您可以將使用者 VPN 從手動註冊的應用程式移轉至 Microsoft註冊的應用程式,以取得更安全的連線。

什麼是虛擬 WAN 閘道縮放單位?

縮放單位是定義來挑選虛擬中樞內閘道匯總輸送量的單位。 1 個 VPN 縮放單位等於 500 Mbps。 1 個 ExpressRoute 縮放單位等於 2 Gbps。 範例:10 個 VPN 縮放單位則會有 500 Mbps * 10 = 5 Gbps。

Azure 虛擬網路閘道 (VPN 閘道) 與 Azure 虛擬 WAN VPN 閘道之間有何差異?

虛擬 WAN 提供大規模站對站連線,而且是針對輸送量、延展性和易用性而建置的。 當您將站台連線到虛擬 WAN VPN 閘道時,這就與使用「站對站 VPN」閘道類型的一般虛擬網路閘道不同。 當您想要將遠端使用者連線到虛擬 WAN 時,您會使用的閘道類型為「點對站 VPN」。 點對站和站對站 VPN 閘道在虛擬 WAN 中樞內是不同實體,必須個別部署。 同樣地,當您將 ExpressRoute 線路連線到虛擬 WAN 中樞時,它會使用與使用閘道類型「ExpressRoute」的一般虛擬網路閘道不同的 ExpressRoute 閘道資源。

針對 VPN 和 ExpressRoute,虛擬 WAN 最多支援 20-Gbps 的彙總輸送量。 虛擬 WAN 也有自動化功能,可與 CPE 分支裝置夥伴的生態系統建立連線。 CPE 分支裝置有內建的自動化功能,可自動佈建和連線至 Azure 虛擬 WAN。 這些裝置都可以從 SD-WAN 和 VPN 合作夥伴日益成長的生態系統中取用。 請參閱慣用的合作夥伴清單

虛擬 WAN 與 Azure 虛擬網路閘道有何不同?

虛擬網路閘道 VPN 限定為 100 個通道。 對於連線,您應將虛擬 WAN 用於大規模的 VPN。 每個虛擬中樞最多可連線 1,000 個分支連線,而每個中樞的彙總輸送量為 20 Gbps。 連線是從內部部署 VPN 裝置到虛擬中樞的主動-主動通道。 您也可以為每個區域配置多個虛擬中樞,這表示您可以在該 Azure 區域中部署多個虛擬 WAN 中樞 (每一個都有自己的站對站 VPN 閘道),以將 1,000 個以上的分支連線到單一 Azure 區域。

針對虛擬 WAN 中樞中每個站對站執行個體建議的演算法和每秒封包數為何? 每個執行個體支援多少通道? 單一通道中支援的最大輸送量為何?

虛擬 WAN 可在一個虛擬中樞中支援 2 個主動的站對站 VPN 閘道執行個體。 這表示一個虛擬中樞有 2 組主動-主動 VPN 閘道執行個體。 在維護作業期間,每個執行個體都會逐一升級,因為使用者可能會遇到 VPN 閘道彙總輸送量的短暫減少。

雖然虛擬 WAN VPN 支援許多演算法,但針對 IPSEC 加密和完整性,我們建議使用 GCMAES256 來獲得最佳效能。 一般認為 AES256 和 SHA256 的效能較低,因此類似的演算法類型可能有延遲和封包捨棄等效能降低情形。

每秒封包數 (PPS) 是影響封包總數和每執行個體支援輸送量的因素。 透過範例最能了解相關情況。 假設 1 縮放單位 500-Mbps 的站對站 VPN 閘道執行個體部署在虛擬 WAN 中樞。 假設封包大小為 1400,則 VPN 閘道執行個體的預期 PPS 最大值 = [(500 Mbps * 1024 * 1024) /8/1400] ~ 47000。

虛擬 WAN 具有 VPN 連線、連結連線和通道的概念。 單一 VPN 連線是由連結連線所組成。 虛擬 WAN 在 VPN 連線中支援最多 4 個連結連線。 每個連結連線都包含兩個 IPsec 通道,這些通道會在部署於虛擬中樞的主動-主動 VPN 閘道的兩個執行個體中終止。 可在單一主動執行個體中終止的通道總數為 1000 個,這表示 1 個執行個體的輸送量將會跨連線至該執行個體的所有通道進行彙總。 每個通道也有特定的輸送量值。 如果多個通道連線到值較低的縮放單位閘道,建議您評估每個通道的需求,並規劃 VPN 閘道,也就是在 VPN 執行個體中終止的所有通道的輸送量彙總值。

虛擬 WAN 中支援的各種縮放單位值

縮放單位 每個通道的最大輸送量 (Mbps) 每個通道的最大 PPS 每個執行個體的最大輸送量 (Mbps) 每個執行個體的最大 PPS
1 500 47K 500 47K
2 1000 94K 1000 94K
3 1500 140K 1500 140K
4 1500 140K 2000 187K
5 1500 140K 2500 234K
6 1500 140K 3000 281K
7 2300 215K 3500 328K
8 2300 215K 4000 374K
9 2300 215K 4500 421K
10 2300 215K 5000 468K
11 2300 215K 5500 515K
12 2300 215K 6000 562K
13 2300 215K 6500 609K
14 2300 215K 7000 655K
15 2300 215K 7500 702K
16 2300 215K 8000 749K
17 2300 215K 8500 796K
18 2300 215K 9000 843K
19 2300 215K 9500 889K
20 2300 215K 10000 936K

注意

所有數字皆以 GCM 演算法為基礎。

啟動時支援哪些裝置提供者 (虛擬 WAN 合作夥伴)?

目前有許多合作夥伴支援完全自動化的虛擬 WAN 體驗。 如需詳細資訊,請參閱虛擬 WAN 合作夥伴

虛擬 WAN 合作夥伴自動化步驟是什麼?

若要了解合作夥伴自動化步驟,請參閱虛擬 WAN 合作夥伴自動化

我是否必須使用偏好的合作夥伴裝置?

否。 您可以使用任何支援 VPN 且符合 IKEv2/IKEv1 IPsec 支援需求的裝置。 虛擬 WAN 也有 CPE 合作夥伴解決方案,可將與 Azure 虛擬 WAN 的連線自動化,讓大規模設定 IPsec VPN 連線更輕鬆。

虛擬 WAN 合作夥伴如何將與 Azure 虛擬 WAN 的連線自動化?

軟體定義的連線解決方案通常會使用控制器或裝置佈建中心,來管理它們的分支裝置。 控制器可以使用 Azure API,將與 Azure 虛擬 WAN 的連線自動化。 自動化包括上傳分支資訊、下載 Azure 設定、將 IPsec 通道設定到 Azure 虛擬中樞,以及自動設定從分支裝置到 Azure 虛擬 WAN 的連線。 當您有數百個分支時,使用虛擬 WAN CPE 夥伴進行連線很方便,因為上線體驗可讓您不需要安裝、設定及管理大規模的 IPsec 連線。 如需詳細資訊,請參閱虛擬 WAN 合作夥伴自動化

如果我使用的裝置不在虛擬 WAN 合作夥伴清單中又該如何? 我仍可用它來連線到 Azure 虛擬 WAN VPN 嗎?

是的,只要裝置支援 IPsec IKEv1 或 IKEv2 即可。 虛擬 WAN 合作夥伴協力會將裝置到 Azure VPN 端點的連線自動化。 這表示自動化的步驟,例如「分支資訊上傳」、「IPsec 和組態」和「連線」。 由於您的裝置不是來自虛擬 WAN 合作夥伴生態系統,因此您必須執行繁重的工作,以手動方式取得 Azure 設定,並更新您的裝置以設定 IPsec 連線。

未列在產品發佈合作夥伴清單中的新合作夥伴要如何上線?

所有虛擬 WAN API 都是 OpenAPI。 您可以查看說明文件 虛擬 WAN 合作夥伴自動化以評估技術可行性。 理想的合作夥伴是有裝置可用來佈建 IKEv1 或 IKEv2 IPSec 連線的合作夥伴。 當公司根據上述自動化指導方針完成其 CPE 裝置的自動化工作之後,您就可以聯繫 azurevirtualwan@microsoft.com,在這裡列出透過合作夥伴的連線能力。 如果您是想要將特定公司解決方案列為虛擬 WAN 合作夥伴的客戶,您可以請該公司將電子郵件傳送給 azurevirtualwan@microsoft.com,以連絡虛擬 WAN 部門。

虛擬 WAN 如何支援 SD-WAN 裝置?

虛擬 WAN 合作夥伴會將 IPsec 連線到 Azure VPN 端點自動化。 如果虛擬 WAN 合作夥伴是 SD-WAN 提供者,那就表示 SD-WAN 控制器會管理自動化作業及 Azure VPN 端點的 IPsec 連線。 如果 SD-WAN 裝置的任何專用 SD-WAN 功能需要它自己的端點,而不是 Azure VPN,您可以在 Azure 虛擬網路中部署 SD-WAN 端點,並與 Azure 虛擬 WAN 並存。

虛擬 WAN 支援 BGP 對等互連,也能夠將 NVA 部署至虛擬 WAN 中樞

有多少部 VPN 裝置可以連線到單一中樞?

每個虛擬中樞支援多達 1,000 個連線。 每個連線是由四個連結組成,每個連結連線支援兩個其設定為主動-主動的通道。 通道會在 Azure 虛擬中樞 VPN 閘道內終止。 連結代表分支/VPN 裝置上的實體 ISP 連結。

什麼是 Azure 虛擬 WAN 的分支連線?

VPN 連線是指從分支或 VPN 裝置到 Azure 虛擬 WAN 的連線,其實際上會連接虛擬中樞中的 VPN 站台和 Azure VPN 閘道。

如果內部部署 VPN 裝置只有 1 個通道可連結至 Azure 虛擬 WAN VPN 閘道,會發生什麼事?

Azure 虛擬 WAN 連線是由 2 個通道所組成。 虛擬 WAN VPN 閘道會以主動-主動模式部署在虛擬中樞,這表示來自內部部署裝置的不同通道終止在不同執行個體上。 這是適用於所有使用者的建議。 不過,如果使用者選擇只使用 1 個通道連結到其中一個虛擬 WAN VPN 閘道執行個體,則只要閘道執行個體基於任何原因 (維護、修補等) 而離線,通道就會移至次要的主動執行個體,而且使用者可能會重新連線。 BGP 工作階段不會跨執行個體移動。

虛擬 WAN VPN 閘道的閘道重設期間會發生什麼事?

如果您的內部部署裝置都如預期般運作,但 Azure 中的站對站 VPN 連線處於「已中斷連線」的狀態,則您應使用 [閘道重設] 按鈕。 虛擬 WAN VPN 閘道一律會以主動-主動狀態進行部署,以提供高可用性。 這表示,在任何時間點,VPN 閘道中一律會部署一個以上的執行個體。 使用 [閘道重設] 按鈕時,VPN 閘道中的執行個體會循序重新開機,因此您的連線不會中斷。 當連線從一個執行個體移到另一個執行個體時,期間會有短暫的落差,但此落差應該小於一分鐘。 此外,請注意,重設閘道不會變更您的公用 IP。

此案例僅適用於 S2S 連線。

內部部署 VPN 裝置是否可以連線到多個中樞?

是。 開始時的流量會從內部部署裝置流至最近的 Microsoft 網路邊緣,然後流至虛擬中樞。

虛擬 WAN 是否有任何新的 Resource Manager 資源可用?

是,虛擬 WAN 具有新的 Resource Manager 資源。 如需詳細資訊,請參閱概觀

是否可以使用 Azure 虛擬 WAN 部署及使用我慣用的網路虛擬設備 (在 NVA 虛擬網路中)?

是,您可以將慣用的網路虛擬設備 (NVA) 虛擬網路連線至 Azure 虛擬 WAN。

我可以在虛擬中樞內建立網路虛擬設備嗎?

您可以在虛擬中樞內部署網路虛擬設備 (NVA)。 如需步驟,請參閱關於虛擬 WAN 中樞內的 NVA

輪幅 VNet 是否可以有虛擬網路閘道?

否。 如果輪幅 VNet 會連線到虛擬中樞,則不能有虛擬網路閘道。

輪輻 VNet 是否可以有 Azure 路由伺服器?

否。 如果輪幅 VNet 連線至虛擬 WAN 中樞,則不能有路由伺服器。

VPN 連線是否支援 BGP?

是,有支援 BGP。 當您建立 VPN 網站時,可以在其中提供 BGP 參數。 這表示在 Azure 中為該網站建立的任何連線,將會針對 BGP 啟用。

虛擬 WAN 是否有任何授權或價格資訊?

是。 請參閱定價頁面。

是否可以使用 Resource Manager 範本來建構 Azure 虛擬 WAN?

可以使用快速入門範本來建立一個簡易設定的虛擬 WAN,其中包含一個中樞和一個 vpnsite。 虛擬 WAN 主要是 REST 或入口網站驅動的服務。

連線到虛擬中樞的輪輻 VNet 之間,是否可以彼此通訊 (V2V 傳輸)?

是。 標準虛擬 WAN 支援透過 VNet 所連接的虛擬 WAN 中樞進行 VNet 對 VNet 的傳輸連線。 在虛擬 WAN 術語中,我們將這些路徑稱為「本機虛擬 WAN VNet 傳輸」(若 VNet 連線至單一區域內的虛擬 WAN 中樞),以及「全域虛擬 WAN VNet 傳輸」(若透過多個虛擬 WAN 中樞跨兩個或更多區域連接 VNet)。

在某些情況下,除了本機或全域虛擬 WAN VNet 傳輸外,輪輻 VNet 也可以使用虛擬網路對等互連直接相互對等互連。 在此情況下,VNet 對等互連的優先順序會高於透過虛擬 WAN 中樞的傳輸連線。

虛擬 WAN 中是否允許分支對分支連線?

是,在虛擬 WAN 中可使用分支對分支連線。 分支在概念上適用於 VPN 站台、ExpressRoute 線路,或點對站/使用者 VPN 使用者。 預設會啟用分支對分支,而且可以在 WAN 的 [設定] 中找到。 這可讓 VPN 分支/使用者連線到其他 VPN 分支,以及在 VPN 和 ExpressRoute 使用者之間啟用傳輸連線能力。

分支對分支流量是否會透過 Azure 虛擬 WAN 而周遊?

是。 分支對分支流量會透過 Azure 虛擬 WAN 周遊。

虛擬 WAN 是否需要來自每個網站的 ExpressRoute?

否。 虛擬 WAN 不需要來自每個站台的 ExpressRoute。 您的網站可以使用 ExpressRoute 線路連線至提供者網路。 對於使用 ExpressRoute 連線至虛擬中樞以及將 IPsec VPN 連線至相同中樞的網站,虛擬中樞會提供 VPN 和 ExpressRoute 使用者之間的傳輸連線能力。

使用 Azure 虛擬 WAN 時是否有網路輸送量或連線限制?

網路輸送量是根據虛擬 WAN 中樞中的服務。 在每個中樞中,VPN 彙總輸送量最高可達 20 Gbps,ExpressRoute 彙總輸送量最高可達 20 Gbps,使用者 VPN/點對站 VPN 彙總輸送量最高可達 200 Gbps。 虛擬中樞內的路由器最多可支援 50 Gbps 的 VNet 對 VNet 流量,並假設連線至單一虛擬中樞的所有 VNet 之間有總計 2000 個 VM 工作負載。

您可以設定最小容量或視需要修改,以保護預先容量,而不必等到虛擬中樞因需要更多輸送量而擴增。 請參閱關於虛擬中樞設定 - 中樞容量。 如需了解可能產生的成本,請參閱 Azure 虛擬 WAN 定價頁面中的「路由基礎結構單位」成本。

當 VPN 網站連線到中樞時,會使用連線來執行此動作。 虛擬 WAN 支援每個虛擬中樞最多 1000 個連線或 2000 個 IPsec 通道。 當遠端使用者連線到虛擬中樞時,他們會連線到 P2S VPN 閘道,該閘道最多可支援 100,000 個使用者,這取決於針對虛擬中樞內 P2S VPN 閘道所選擇的縮放單位 (頻寬)。

我可以在 VPN 連線上使用 NAT-T 嗎?

可以,有支援 NAT 周遊 (NAT-T)。 虛擬 WAN VPN 閘道「不會」對進出 IPsec 通道的內部封包執行任何類似 NAT 的功能。 在此設定中,請確定內部部署裝置會起始 IPsec 通道。

如何將縮放單位設定為特定設定,例如 20-Gbps?

在入口網站上,前往中樞內的 VPN 閘道,然後按一下縮放單位,以將其變更為適當的設定。

虛擬 WAN 是否允許內部部署裝置以平行方式使用多個 ISP,還是一律為單一 VPN 通道?

內部部署裝置解決方案可以套用流量原則,將多個通道的流量引導至 Azure 虛擬 WAN 中樞 (虛擬中樞中的 VPN 閘道)。

什麼是全域傳輸架構?

如需詳細資訊,請參閱全域傳輸網路架構和虛擬 WAN

流量在 Azure 骨幹上的路由傳送方式為何?

流量會依循下列模式:分支裝置 ->ISP->Microsoft 網路邊緣->Microsoft DC (中樞 VNet)->Microsoft 網路邊緣->ISP->分支裝置

在此模型中,每個站台需要什麼? 有網際網路連線就可以嗎?

是。 支援 IPsec 的網際網路連線與實體裝置,最好是我們的整合式虛擬 WAN 夥伴所提供的。 或者,您可以從慣用的裝置手動管理 Azure 的設定與連線。

如何為連線 (VPN、ExpressRoute 或虛擬網路) 啟用預設路由 (0.0.0.0/0)?

如果連線上的旗標為「啟用」,則虛擬中樞可以將學習到的預設路由傳播到虛擬網路/站對站 VPN/ExpressRoute 連線。 當使用者編輯虛擬網路連線、VPN 連線或 ExpressRoute 連線時,此旗標為可見。 根據預設,當網站或 ExpressRoute 線路連線至中樞時,會停用此旗標。 而在新增虛擬網路連線以連接 VNet 和虛擬中樞時,預設會啟用旗標。

預設路由並非源自於虛擬 WAN 中樞,而是因下列時機而傳播:中樞內有部署防火牆,因此虛擬 WAN 中樞已得知預設路由時,或其他連線的站台已啟用強制通道時。 預設路由不會在中樞間之間 (inter-hub) 傳播。

是否可以在同一個區域中建立多個虛擬 WAN 中樞?

是。 客戶現在可以在相同區域內為相同 Azure 虛擬 WAN 建立多個中樞。

虛擬 WAN 中的虛擬中樞如何從多個中樞選取路由的最佳路徑?

如需相關資訊,請參閱虛擬中樞路由偏好設定頁面。

虛擬 WAN 中樞是否允許 ExpressRoute 線路之間的連線?

ER 對 ER 之間的傳輸一律透過全域範圍進行。 虛擬中樞閘道會部署在 DC 或 Azure 區域中。 當兩個 ExpressRoute 線路透過全域範圍連線時,流量路線就不需要從邊緣路由器一路到虛擬中樞 DC。

是否有 Azure 虛擬 WAN ExpressRoute 線路或 VPN 連線的權數概念

當有多個 ExpressRoute 線路連線到虛擬中樞時,連線上的路由權數會提供一個機制,讓虛擬中樞的 ExpressRoute 能夠優先使用其中一個線路。 沒有任何機制可在 VPN 連線上設定權數。 Azure 一律偏好透過單一中樞內的 VPN 連線進行 ExpressRoute 連線。

虛擬 WAN 針對輸出到 Azure 的流量是否偏好透過 VPN 使用 ExpressRoute

是。 針對輸出到 Azure 的流量,虛擬 WAN 偏好 ExpressRoute 而非 VPN。 不過,您可以設定虛擬中樞路由喜好設定來變更預設喜好設定。 如需步驟,請參閱設定虛擬中樞路由喜好設定

當虛擬 WAN 中樞已連線 ExpressRoute 線路和 VPN 站台時,什麼原因會導致 VPN 連線路由優先於 ExpressRoute?

ExpressRoute 線路連線至虛擬中樞時,Microsoft Edge 路由器是內部部署與 Azure 之間通訊的第一個節點。 這些邊緣路由器會與虛擬 WAN ExpressRoute 閘道通訊,進而從虛擬中樞路由器學習路由,以控制虛擬 WAN 中任何閘道之間的所有路由。 比起從內部部署得知的路由,Microsoft Edge 路由器會優先處理虛擬中樞 ExpressRoute 路由。

不論任何原因,如果 VPN 連線成為虛擬中樞得知路由的主要媒體 (例如 ExpressRoute 與 VPN 之間的容錯移轉案例),除非 VPN 站台具有較長的 AS 路徑長度,否則虛擬中樞會繼續與 ExpressRoute 閘道共用從 VPN 得知的路由。 這會導致 Microsoft Edge 路由器偏好使用 VPN 路由,而非內部部署路由。

ExpressRoute 是否支援虛擬 WAN 中的等成本多重路徑 (ECMP) 路由?

多個 ExpressRoute 線路連線到虛擬 WAN 中樞時,ECMP 支援從輪輻虛擬網路到內部部署的流量,透過 ExpressRoute 分散到公告相同內部部署路由的所有 ExpressRoute 線路。 根據預設,虛擬 WAN 中樞不會啟用 ECMP。

當兩個中樞 (中樞 1 和 2) 連線,而且有連線的 ExpressRoute 線路作為兩個中樞的繫結時,連線到中樞 1 的 VNet 如何抵達連線到中樞 2 的 VNet?其路徑為何?

目前的行為是偏好透過中樞對中樞的 ExpressRoute 線路路徑來進行 VNet 對 VNet 連線。 不過,在虛擬 WAN 設定中並不建議這麼做。 若要解決此問題,您可以採取下列其中一個做法:

  • 設定多個 ExpressRoute 線路 (不同的提供者) 來連線到一個中樞,並且針對區域間流量使用虛擬 WAN 提供的中樞對中樞連線。

  • 將 AS-Path 設定為虛擬中樞的中樞路由喜好設定。 這確保 2 個中樞之間的流量會透過每個中樞內的虛擬中樞路由器進行周遊,並使用中樞對中樞路徑,而不是 ExpressRoute 路徑 (其透過 Microsoft Edge 路由器進行周遊)。 如需詳細資訊,請參閱設定虛擬中樞路由偏好設定

若有 ExpressRoute 線路以蝶形形式連線至虛擬 WAN 中樞,並且有獨立 VNet,則獨立 VNet 會使用何路徑前往虛擬 WAN 中樞?

對於新部署,預設會封鎖此連線。 若要允許此連線,您可以在入口網站中的「編輯虛擬集線器」窗格和「虛擬網路閘道」窗格中啟用這些 ExpressRoute 閘道切換。 但是,建議保持這些切換處於停用狀態,而是建立虛擬網路連線以將獨立 VNet 直接連線到虛擬 WAN 中心。 之後,VNet 到 VNet 的流量將穿過虛擬 WAN 中樞路由器,該路由器提供比 ExpressRoute 路徑更好的效能。 ExpressRoute 路徑包括 ExpressRoute 閘道 (其頻寬限制低於中樞路由器) 以及 Microsoft Enterprise Edge 路由器/MSEE (資料路徑中的額外躍點)。

在下圖中,需要啟用兩次切換才能允許獨立 VNet 4 和直接連接到中樞 2 的 VNet (VNet 2 和 VNet 3) 之間的連線:允許來自虛擬網路閘道的遠端虛擬 WAN 網路的流量和允許流量來自虛擬中樞的 ExpressRoute 閘道的非虛擬 WAN 網路。 如果 Azure 路由伺服器部署在獨立 VNet 4 中,且路由伺服器已啟用分支對分支,則會封鎖 VNet 1 與獨立 VNet 4 之間的連線。

啟用或停用切換只會對下列流量產生影響:透過 ExpressRoute 線路在虛擬 WAN 中樞與獨立 VNet 之間傳輸的流量。 啟用或停用切換並不會導致所有其他流量停止運作 (例如:內部部署網站到輪輻 VNet 2 將不受影響,VNet 2 到 VNet 3 將不受影響,依此類推)。

透過 ExpressRoute 線路連接到虛擬中樞的獨立虛擬網路的示意圖。

當我在 AS-Path 中使用 0 的 ASN 公告路由時,為什麼連線無法運作?

虛擬 WAN 中樞會在 AS-Path 中卸除 ASN 為 0 的路由。 為了確保這些路由已成功公告至 Azure,AS-Path 不應包含 0。

可以在虛擬 WAN 的不同資源群組中建立中樞嗎?

是。 此選項目前僅可透過 PowerShell 取得。 虛擬 WAN 入口網站會要求中樞與虛擬 WAN 資源本身位於相同的資源群組中。

建議的虛擬 WAN 中樞位址空間為 /23。 虛擬 WAN 中樞會將子網路指派給各種閘道 (ExpressRoute、站對站 VPN、點對站 VPN、Azure 防火牆、虛擬中樞路由器)。 針對在虛擬中樞內部署 NVA 的情況,通常會為 NVA 執行個體劃分出 /28。 不過,如果使用者要佈建多個 NVA,則可能會指派 /27 子網路。 因此,考量到未來的架構,雖然虛擬 WAN 的最小部署大小為 /24,但建議使用者在建立時輸入 /23 作為中樞位址空間。

虛擬 WAN 中是否支援 IPv6?

虛擬 WAN 中樞和其閘道不支援 IPv6。 如果您的 VNet 具有 IPv4 與 IPv6 支援,並且想要將 VNet 連線至虛擬 WAN,則此情況目前不受支援。

針對透過 Azure 防火牆進行網際網路分類的點對站使用者 VPN 案例,建議您關閉用戶端裝置上的 IPv6 連線功能,以將流量強制導向虛擬 WAN 中樞。 這是因為根據預設,新式裝置預設會使用 IPv6 位址。

需要的最低版本為 05-01-2022 (2022 年 5 月 1 日)。

是否有任何虛擬 WAN 限制?

請參閱「訂用帳戶與服務限制」頁面上的虛擬 WAN 限制一節。

虛擬 WAN 類型 (基本和標準) 之間有何差異?

請參閱基本和標準虛擬 WAN。 如需價格資訊,請參閱 價格 頁面。

虛擬 WAN 是否會儲存客戶資料?

否。 虛擬 WAN 不會儲存任何客戶資料。

是否有任何受控服務提供者可以管理使用者即服務的虛擬 WAN?

是。 如需透過 Azure Marketplace 啟用的受控服務提供 (MSP) 解決方案清單,請參閱 Azure 網路功能 MSP 合作夥伴的 Azure Marketplace 供應項目

虛擬 WAN 中樞路由與 VNet 中的 Azure 路由伺服器有何不同?

Azure 虛擬 WAN 中樞和 Azure 路由伺服器都會提供邊界閘道協定 (BGP) 對等互連功能,而 NVA (網路虛擬設備) 可使用這些功能向使用者的 Azure 虛擬網路公告 NVA 中的 IP 位址。 部署選項不同之處在於,Azure 路由伺服器通常是由自我管理的客戶中樞 VNet 所部署,而 Azure 虛擬 WAN 則會提供零觸控的完全網格狀中樞服務,客戶可將他們的各種輪輻端點 (Azure VNET、具有站對站 VPN 或 SDWAN 的內部部署分支、具有點對站/遠端使用者 VPN 的遠端使用者及具有 ExpressRoute 的私人連線) 連線至其中,並享有 BGP 對等互連 (適用於部署在輪輻 VNET 中的 NVA) 及其他 vWAN 功能,例如 VNet 對 VNet 的傳輸連線、VPN 與 ExpressRoute 之間的傳輸連線、自訂/進階路由、自訂路由關聯和傳播、可輕鬆確保區域間安全性的路由意圖/原則、安全中樞/Azure 防火牆等。如需虛擬 WAN BGP 對等互連的詳細資料,請參閱如何將 BGP 與虛擬中樞對等互連

使用第三方安全性提供者 (Zscaler、iBoss 或 Checkpoint) 來保護網際網路流量時,為什麼 Azure 入口網站中未顯示與第三方安全性提供者相關聯的 VPN 站台?

當您選擇部署安全性合作夥伴提供者來保護使用者的網際網路存取時,協力廠商安全性提供者會代表您建立 VPN 網站。 由於第三方安全性提供者是由提供者自動建立,而不是使用者建立的 VPN 站台,因此 Azure 入口網站不會顯示這類 VPN 站台。

如需有關協力廠商安全性提供者可用選項及如何進行設定的詳細資訊,請參閱部署安全性合作夥伴提供者

內部部署環境所產生的 BGP 社群是否會保留在虛擬 WAN 中?

是,內部部署環境所產生的 BGP 社群將會保留在虛擬 WAN 中。

由 BGP 對等 (在附加的虛擬網路中) 產生的 BGP 社群是否會保留在虛擬 WAN 中?

是,BGP 對等所產生的 BGP 社群將會保留在虛擬 WAN 中。 跨同一中樞以及跨中樞間連線保留社群。 這也適用於使用路由意圖原則的虛擬 WAN 案例。

執行 BGP 的遠端連線內部部署網路支援哪些 ASN 編號?

針對您的內部部署網路,您可以使用您自己的公用 ASN 或私人 ASN。 您不能使用 Azure 或 IANA 所保留的範圍:

  • Azure 所保留的 ASN:
    • 公用 ASN:8074、8075、12076
    • 私人 ASNs:65515、65517、65518、65519、65520
    • IANA 保留的 ASN:23456、64496-64511、65535-65551

是否有方法可變更 VPN 閘道的 ASN?

否。 虛擬 WAN 不支援變更 VPN 閘道的 ASN。

在虛擬 WAN中,ExpressRoute 閘道 SKU 的預估效能為何?

縮放單位 每秒連線數 每秒百萬位元 每秒封包數
1 縮放單位
14,000 2,000 200,000
2 縮放單位
28,000 4,000 400,000
3 縮放單位
42,000 6,000 600,000
4 縮放單位
56,000 8,000 800,000
5 縮放單位
70,000 10,000 1,000,000
6 縮放單位
84,000 12,000 1,200,000
7 縮放單位
98,000 14,000 1,400,000
8 縮放單位
112,000 16,000 1,600,000
9 縮放單位
126,000 18,000 1,800,000
10 縮放單位
140,000 20,000 2,000,000

*縮放單位 2-10,可在維護作業期間維持彙總輸送量。 不過,在維護作業期間,縮放單位 1 可能會看到輸送量數目稍有變化。

如果我將 ExpressRoute 本機線路連線至虛擬 WAN 中樞,是否只能存取與本機線路位於相同都會區的區域?

本機線路只能連線至其對應 Azure 區域中的 ExpressRoute 閘道。 不過,將流量路由傳送至其他區域中的輪輻虛擬網路時,並無相關限制。

為什麼虛擬中樞路由器需要具有開放連接埠的公用 IP 位址?

Azure 的底層 SDN 和管理平台需要這些公用終點才能與虛擬中樞路由器通訊。 由於虛擬中樞路由器被視為客戶私人網路的一部分,因此出於合規性要求,Azure 的底層平台無法透過其私人端點直接存取和管理中樞路由器。 與中樞路由器公用端點的連線透過憑證進行驗證,並且 Azure 對這些公用端點進行例行安全性稽核。 因此,它們不會構成虛擬中樞的安全性暴露風險。

連線到 Azure P2S VPN 閘道的 OpenVPN 用戶端是否有路由限制?

OpenVPN 用戶端的路由限制為 1000。

如何計算虛擬 WAN SLA?

虛擬 WAN 是具有 99.95% SLA 的網路即服務平台。 不過,虛擬 WAN 結合許多不同的元件,例如 Azure 防火牆、站對站 VPN、ExpressRoute、點對站 VPN,以及虛擬 WAN 中樞/整合式網路虛擬設備。

每個元件的 SLA 會個別計算。 例如,如果 ExpressRoute 有 10 分鐘的停機時間,ExpressRoute 的可用性會計算為 (最大可用分鐘數 - 停機時間) / 最大可用分鐘數 * 100。

您是否可在連線至中樞的輪輻 VNet 中變更 VNet 位址空間?

是,此作業可自動完成,無須更新或重設對等互連連線。 請注意以下事項:

  • 您無需按一下對等互連窗格下的 [同步] 按鈕。 一旦 VNet 的位址空間發生更改,VNet 對等互連將自動與虛擬中樞的 VNet 同步。
  • 請確保更新的位址空間不會與虛擬 WAN 中任何現有分支 VNet 的位址空間重疊。

您可以在這裡找到更多關於如何變更 VNet 位址空間的資訊。

使用路由意圖設定的中樞所支援的支點虛擬網路位址數目上限為何?

所有虛擬網路直接連線到單一虛擬 WAN 中樞的位址空間數目上限為 400。 此限制會個別套用至虛擬 WAN 部署中的每個虛擬 WAN 中樞。 連線到遠端 (相同虛擬 WAN 中其他虛擬 WAN 中樞) 中樞的虛擬網路位址空間不會計入此限制。

此限制是可調整的。 如需限制的詳細資訊、要求增加限制的程序,以及判斷連線至虛擬 WAN 中樞之各虛擬網路的位址空間數的範例指令碼,請參閱路由意圖虛擬網路位址空間限制

虛擬 WAN 客戶控制的閘道維護作業

網路閘道的維護設定範圍包含哪些服務?

針對虛擬 WAN,您可以設定站對站 VPN 閘道和 ExpressRoute 閘道的維護時段。

客戶控制的維護支援或不支援哪一項維護?

Azure 服務會定期進行維護更新,以改善功能、可靠性、效能和安全性。 設定資源的維護時段後,就會在該時段內執行客體 OS 和服務維護。 就客戶關注的維護項目而言,這些更新佔了大多數。

客戶控制的維護未涵蓋基礎主機硬體和資料中心基礎結構更新。 此外,如果發生高嚴重性安全性問題,而可能會危及我們的客戶,Azure 可能需要覆寫客戶對維護時段的控制,並推出變更。 這類做法很罕見,只會在極端情況下使用。

我是否可取得維護的進階通知?

目前無法針對網路閘道資源的維護啟用進階通知。

我是否可設定少於五小時的維護時段?

目前,您必須在慣用時區中設定至少五個小時的時段。

我是否可設定不每天重複的維護排程?

目前,您必須設定每日維護時段。

維護設定資源是否必須位於與閘道資源相同的區域中?

是。

至少須部署最小閘道縮放單位,才有資格進行客戶控制的維護嗎?

否。

將維護設定原則指派給閘道資源之後,需要多久才會生效?

在維護原則與閘道資源相關聯之後,網路閘道最多可能需要 24 小時才能遵循維護排程。

在共存案例中使用 VPN 和 ExpressRoute 時,應如何規劃維護時段?

在共存案例中使用 VPN 和 ExpressRoute 時,或有作為備份的資源時,建議您設定個別的維護時段。 此方法可確保維護不會同時影響備份資源。

我已為其中一個資源排定未來日期的維護時段。 在該日期之前,此資源是否將暫停維護活動?

否,在排定的維護時段之前的期間內,資源不會暫停維護活動。 針對維護排程中未涵蓋的天數,維護會如往常在資源上繼續執行。

是否有可通告的路由數限制?

是的,有限制。 ExpressRoute 支援私人對等互連最多使用 4,000 個前置詞;Microsoft 對等互連最多使用 200 個前置詞。 使用 ExpressRoute Premium,您可以將私人對等互連的限制增加到 10,000 個路由。 透過 ExpressRoute 線路上的 ExpressRoute 閘道從 Azure 私人對等互連公告的路由數目上限為 1,000,這與標準和進階 ExpressRoute 線路相同。 如需詳細資訊,您可以檢閱 Azure 訂用帳戶限制和配額頁面上的 ExpressRoute 線路路由限制。請注意,虛擬 WAN 目前不支援 IPv6 路由公告。

我可以透過 BGP 工作階段通告的 IP 範圍有無限制?

是,有一些限制。 Microsoft 對等互連 BGP 工作階段不接受私人前置詞 (RFC1918)。 不過,Microsoft 和私人對等互連都接受高達 /32 前置詞的任何前置詞大小。

如果超過 BGP 路由限制,會發生什麼事?

如果超過 BGP 路由限制,BGP 工作階段將會中斷連線。 一旦前置詞計數低於限制,工作階段就會還原。 如需詳細資訊,請參閱 Azure 訂用帳戶限制和配額頁面上的 ExpressRoute 線路路由限制

我可以監視透過 ExpressRoute 線路公告或接收的路由數目嗎?

是的,可以。 如需計量型警示監視的最佳做法和組態,請參閱 Azure 監視最佳做法

減少 IP 前置詞數目的建議為何?

建議您先彙總前置詞,再透過 ExpressRoute 或 VPN 閘道進行公告。 此外,您可使用 Route-Maps 摘要說明從虛擬 WAN 公告的雙向路線。

我可以在連線至虛擬 WAN 中樞的輪輻 虛擬網絡 上使用使用者定義的路由表嗎?

是。 虛擬 WAN 中樞公告給已連線輪輻 虛擬網絡 中部署之資源的路由是邊界網關通訊協定 (BGP) 類型的路由。 如果使用者定義路由表與連線至虛擬 WAN 的子網相關聯,虛擬 WAN 的 [傳播閘道路由] 設定 必須 設定為 [是],虛擬 WAN 才能公告至該子網中部署的資源。 Azure 的基礎軟體定義網路平臺會使用下列演算法,根據 Azure 路由選取演算法來選取路由。

下一步

如需有關虛擬 WAN 的詳細資訊,請參閱關於虛擬 WAN