为了获得竞争优势以及追上AWS和谷歌的创新步伐，微软推出了一种新的虚拟广域网（WAN）。当前，微软是唯一提供这种虚拟广域网的公司。这使得我对这一技术的发展高潮与低谷感到非常好奇。为此我与TechVision Research首席咨询分析师Sorell Slaymaker进行了探讨。以下是我们探讨内容的摘要。

在开始之前，我们有必要先了解一下云连接。云连接一直在随着时间而发展。云服务在大约十年前被引入，如果你是一家企业，那么你肯定会与那些云服务提供商发生过联系。在过去的十年中，许多像Equinix这样的提供商开始提供一些不限定运营商（即运营商中立）的配置。如今我们已经可以在运营商中立的托管环境中选择各种云服务企业。尽管如此，云连接仍然有存在着某些限制。

毫无疑问，运营商中立的主机托管具有许多优势。但是，即使有了这种灵活的增强型连接模型，大多数云服务企业的痛点仍然是网络连接。因为网络仍然存在着许多挑战。首先，它们会导致用户的速度放慢；其次，从安全角度来看，它们会导致用户容易受到漏洞攻击。

连接的转型

我们现在进入了一个新阶段，将云连接提高到一个新的水平。首先，云服务正在向企业靠近，而不是企业在向云服务靠近。那么，这种方式将把我们引向何处？

最终，我们将看到云服务提供商的消亡，在这种趋势中连接性将直达企业。我们已经看到AWS正在实施这种转变。AWS现在允许企业在自己的私有数据中心中运行AWS基础设施。这使得企业能够将各种VPC连接在一起。

在这种范式下，云将在企业中与用户相遇，而不再是企业进入云或是运营商中立的托管中心。这将从根本上改变电信环境，特别是线路的采购方式以及采购它们的人。

云连接

首先，让我们回顾一下一些基本知识。与任何云相连的连接都可以通过互联网或专用直接连接来完成。由于互联网是一个不受信任的公共网络，因此这里将会创建一个IPsec隧道。虽然设置逻辑隧道既便捷又便宜，但是也存在一些缺点，例如安全性、正常运行时间、延迟、数据包丢失和抖动等等。

所有这些问题都会严重降低应用程序的性能。这对于支持需要实时后端本地通信的敏感混合应用程序来说至关重要。对于直接连接，大多数云服务提供商都拥有更加稳定的解决方案，而不是仅仅单纯地依靠互联网。

例如，AWS开发出了一款名为AWS Direct Connect的产品，微软则也推出了一款称为Azure ExpressRoute的产品。这两种产品都拥有相同的终极目标：云和本地端点连接不经由互联网。

通过微软的Azure ExpressRoute，用户可以获得符合服务级协议（SLA）的专用连接。这个连接就像本地数据中心的自然扩展，与互联网相比，其可提供更低的延迟、更高的吞吐量和更高的可靠性。不过微软的这一机制也有一些缺点。

尽管ExpressRoute提供了专用连接，但是强制实施端到端QoS还是颇具挑战性的。微软标记数据包的方式有别于服务提供商根据其标准MPLS链接进行标记的方式。另一个挑战是单独的BGP域会导致缺乏有效的负载均衡。由于ExpressRoute不是端到端交付的，因此用户基本上是在已有另一个可用的BGP域进行交叉连接或与服务提供商会面。

结果是，如果用户想要执行等价多路径（ECMP）路由协议，那么故障转移以及针对拥堵和配置的动态路由可能会变得异常复杂。这就需要进行改变。由于微软已经意识到了这一需求，因此他们正在努力推动ExpressRoute演变为“ Azure虚拟广域网”。正如用户所期望的那样，虚拟广域网在软件定义的连接期间可提供大规模的扩展。

虚拟广域网能够提供什么？

Azure虚拟广域网将许多Azure云连接服务（例如站点到站点VPN和ExpressRoute）整合到了一个操作界面中。连接目前可以利用Azure主干来连接分支，并使用分支到VNet的连接。稍后，我们将详细介绍这些新的连接选项。虚拟广域网是专门为提供大规模站点到站点连接而设计的，旨在提供更为出色的吞吐量、可扩展性和易用性。

微软拥有可连接至微软虚拟网络的虚拟广域网。该网络由50个国家/地区的130个连接组成，这使得云连接模型能够更靠近边缘。如果用户使用的是Azure或Office 365，那么与进行全球回程相比，连接将变得更加紧密。微软的主要目标是让用户的连接时间不超过30毫秒。

微软还提供了一些可让用户获得更高自由度的选项，因此用户可以使用微软全球骨干网作为自己的广域网。如果远程办公室位于不同的地方，那么用户只需向该国家/地区的微软边缘点提供本地线路。这样就无需购买大型广域网线路。

这就使得用户拥有了一个全球广域网，用户也不必再为地区之间或地区内的昂贵广域网线路付费。

虚拟广域网具有以下优点：

•中心辐射型中的集成连接解决方案：用户可以自动化本地站点和Azure中心之间的站点到站点配置和连接。

•自动化的辐条设置和配置：用户可以将虚拟网络和工作负载无缝连接到Azure中心。

•故障排除更为直观：用户可以查看Azure中的端到端流，然后在需要时使用这些信息采取行动。

合作伙伴和虚拟中心

通常，虚拟广域网允许用户连接和配置分支设备以与Azure进行通信。这一工作可以通过两种方式完成，既可以手动完成，也可以使用虚拟广域网合作伙伴提供的设备。

合作伙伴的设备让使用变得更加便捷，连接变得更加简洁，配置也变得更易于管理。从本地设备到虚拟中心的连接是自动建立的。从本质上讲，虚拟中心是一个由微软管理的虚拟网络。

全球传输网络

通过在分布式VNet、站点、应用程序和用户之间实现无所不在的任意连接，虚拟广域网为全球传输网络架构奠定了一个坚实的基础。

在广域网体系结构中，Azure区域充当中心，用户可以选择连接他们的分支机构。在分支机构被连接起来后，用户可以利用Azure主干建立例如分支机构到VNet和分支机构到分支机构的连接。

虚拟广域网支持以下功能：全球传输连接路径、分支到VNet、分支到分支、远程用户到VNet、远程用户到分支，以及通过使用虚拟网络对等（VNet peering）和ExpressRoute global reach（全球到达）实现的VNet到VNet。

广域网架构

该架构基于中心辐射型模型，其中微软云托管网络充当中心。这实现了端点之间的传输连接，并且可以分布在不同类型的辐条状分支上。

分支可以是VNet、物理分支站点、远程用户和互联网。全球传输网络架构可通过中央网络的中心实现任意对任意的连接。在很大程度上，这种架构消除或减少了对构建和维护复杂的全网格或部分网格连接模型的需求。

通过中心辐射型模型，网状网络中的路由控制更易于配置和维护。微软任意对任意连接使具有全球分布的用户、分支机构、数据中心、VNet和应用程序的企业可以通过微软传输中心相互连接。本质上，这个传输中心正在成为全球系统。

通常，用户可以通过在辐条数量最多的区域内创建一个独立的虚拟广域网中心的方式来创建一个虚拟广域网。这些辐条可以表现为分支机构、VNet和用户。然后，用户可以连接其他区域中心的辐条。如果辐条在地理位置上比较分散，那么用户通过替代性设计也可以实例化区域中心以及这些中心的互连。这些中心可以是同一虚拟广域网的组成部分，但是能够与不同区域策略相关联的中心才是最佳组成部分。

虚拟广域网SD-WAN功能

目前，SD-WAN尚未被完全整合。作为整个虚拟广域网产品的一部分，微软提供的SD-WAN服务来自Citrix、GloudGenix等许多厂商。

在此模式下，用户可以与Azure建立1G的连接，并且可在该位置中运行SD-WAN供应商软件。用户还可以使用该软件路由到其他Azure位置。鉴于用户目前正在使用SD-WAN，因此他们可以在微软虚拟广域网上获得所有SD-WAN服务，即绕过拥塞和性能低下的路线。这与仅绕开断路由的传统协议完全不同。

Citrix 广域网优化功能使得用户能够调整和配置广域网，以获得更多控制权，而不是单纯地依赖基础网络。尽管Citrix在广域网优化方面具有很强的实力，但是他们还是建立在IPsec基础之上的。因此其总体扩展情况最终将受制于IPsec的扩展限制。另一方面，包含了128种技术的SD-WAN并不是基于IPsec隧道，并且没有经常性支出。因此与点对点的隧道相比，SD-WAN可以更加智能地以一对多方式路由流量。

关于广域网骨干网的内置安全性，微软可根据用户的选择将连接性与安全性解决方案整合在一起。如果希望获得更高的安全性，那么用户可以对防火墙供应商进行服务链化或是利用安全性代替SD-WAN服务。大多数SD-WAN播放器都内置有第1层到第4层。与从Pao Alto等安全公司获得的安全解决方案相比，它们没有代理、第5层或更高的安全级别，但是用户始终可以选择服务链。

作者：Matt Conran拥有超过19年的网络行业从业经验，曾经服务于多个初创企业和政府机构。此外，他还作为高级架构师参与了全球某大型服务提供商和数据中心网络的建设工作。

编译：陈琳华

原文网址：https://www.networkworld.com/article/3438357/a-virtual-wan-moving-closer-to-the-enterprise.html

责任编辑：周星如