Azure 虚拟 WAN 定期更新。 随时了解最新公告。 本文提供以下事项的信息:
- 最近发布
- 正在进行具有已知限制的预览(如果适用)
- 已知问题
- 已弃用的功能(如果适用)
还可以在此处找到最新的 Azure 虚拟 WAN 更新并订阅 RSS 源。
最近发布
路由
| 类型 | 类别 | 名称 | 说明 | 添加日期 | 限制 |
|---|---|---|---|---|---|
| 功能 / 特点 | 路由 | 路由映射 | 路由映射正式发布。 路由映射是一项可用于控制虚拟 WAN 虚拟中心的路由播发和路由的功能。 | 2025 年 4 月 | 已知的限制 |
| 指标 | 路由 | 新的虚拟中心指标 | 现在有两个新的虚拟 WAN 中心指标可显示虚拟中心的容量和分支虚拟机 (VM) 使用率:“路由基础结构单元”和“分支 VM 使用率”。 | 2024 年 8 月 | “支路 VM 利用率”指标表示已部署支路 VM 的数量占中心路由基础结构单元能够支持的支路 VM 总数的百分比。 |
| 功能 / 特点 | 路由 | 路由意向 | 路由意图是一种机制,可用于配置虚拟 WAN,以便通过中心内部署的安全解决方案发送内部或互联网流量。 | 2023 年 5 月 | 路由意向已在 Azure 公有云中正式发布。 请参阅其他限制的文档。 |
| 功能 / 特点 | 路由 | 虚拟中心路由首选项 | 通过使用枢纽路由偏好设置,您可以更好地控制基础设施,在虚拟枢纽路由器通过 S2S VPN、ER 和 SD-WAN NVA 连接学习多条路由时,选择流量的路由方式。 | 2022 年 10 月 | |
| 功能 / 特点 | 路由 | 为连接到虚拟 WAN 中心的分支 VNet 中的工作负载绕过下一个跃点 IP 正式发布版 | 通过为连接到虚拟 WAN 中心的分支 VNet 中的工作负载绕过下一个跃点 IP,可以在不进行任何其他配置的情况下使用 NVA 部署和访问 VNet 中的其他资源。 | 2022 年 10 月 | |
| SKU/功能/验证 | 路由 | BGP 终结点(正式版) | 虚拟中心路由器现在已公开与之对等互连的功能,直接通过边界网关协议 (BGP) 路由协议交换路由信息。 | 2022 年 6 月 | |
| 功能 / 特点 | 路由 | 通过支路中的 NVA 传播 0.0.0.0/0 | 可将 Internet 流量发送到支路中的 NVA 以供传出。 | 2021 年 3 月 | 0.0.0.0/0 不会跨中心传播。 无法指定包含不同下一个跃点 IP 地址的多个公共前缀。 |
NVA 和集成式第三方解决方案
| 类型 | 类别 | 名称 | 说明 | 添加日期 | 限制 |
|---|---|---|---|---|---|
| 功能 / 特点 | 网络虚拟设备 NVA/虚拟 WAN 中心内的集成式第三方解决方案 | IP 分配 | 向虚拟 WAN 中心内 NVA 的内部和外部接口添加其他 IP 地址的功能。 解决与 SNAT 端口耗尽相关的可伸缩性问题。 | 2025 年 4 月 | 请参阅 IP 分配 文档。 |
| 功能 / 特点 | 网络虚拟设备 NVA/虚拟 WAN 中心内的集成式第三方解决方案 | NVA 重映像 | 将现有 NVA 部署重映像为从 Azure 市场拉取的基础未配置映像的功能。 | 2025 年 4 月 | 请参阅 重置映像 文档。 |
| 功能 / 特点 | 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 | Versa VOS | Versa VOS 正式发布。 | 2025 年 2 月 | 请参阅 Versa 文档。 |
| 功能 / 特点 | 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 | Cisco Firepower 威胁防御 | 在虚拟 WAN 枢纽中 Cisco Firepower 威胁防御 全面可用。 | 2025 年 2 月 | 请参阅 Cisco 文档。 与路由意向相同的限制。 |
| 功能 / 特点 | 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 | NVA 重启 | 能够在虚拟 WAN 中心重启集成的 NVA。 | 2024 年 10 月 | 不适用于 Palo Alto Networks Cloud NGFW |
| 功能 / 特点 | 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 | 适用于下一代防火墙 NVA 的 Internet 入站/DNAT 公共预览版 | 虚拟 WAN 中心内网络虚拟设备的目标 NAT 让你可以将应用程序发布给 Internet 中的用户,而无需直接公开应用程序或服务器的公共 IP。 使用者通过分配给防火墙网络虚拟设备的公共 IP 地址访问应用程序。 | 2024 年 2 月 | 支持 Fortinet 下一代防火墙 Check Point CloudGuard。 有关限制和注意事项的完整列表,请参阅 DNAT 文档。 |
| 功能 / 特点 | 服务型软件 | Palo Alto Networks云端新一代防火墙 (NGFW) | Palo Alto Networks Cloud NGFW 正式发布,这是第一个可在虚拟 WAN 中心内部署的服务型软件安全产品/服务。 | 2023 年 7 月 | Palo Alto Networks Cloud NGFW 现在可在所有虚拟 WAN 中心(新和旧)部署。 有关限制和区域可用性的完整列表,请参阅 Palo Alto Networks Cloud NGFW 的限制。 与路由意向相同的限制。 |
| 功能 / 特点 | 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 | Fortinet NGFW | Fortinet NGFW 和 Fortinet SD-WAN/NGFW 双角色 NVA 已正式发布。 | 2023 年 5 月 | 与路由意向相同的限制。 不支持 Internet 入站方案。 |
| 功能 / 特点 | 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 | Azure 虚拟 WAN 的 Check Point CloudGuard 网络安全 | 已在所有 Azure 区域的虚拟 WAN 中心内正式发布可从 Azure 市场部署的 Check Point CloudGuard 网络安全 NVA。 | 2023 年 5 月 | 与路由意向相同的限制。 不支持 Internet 入站方案。 |
| 功能 / 特点 | 网络虚拟设备 (NVA)/虚拟 WAN 中心内的集成式第三方解决方案 | Cisco Viptela、Barracuda 和 VMware (Velocloud) SD-WAN | 虚拟 WAN 中的 SD-WAN 解决方案正式版。 | 2021 年 6 月/7 月 |
ExpressRoute
| 类型 | 类别 | 名称 | 说明 | 添加日期 | 限制 |
|---|---|---|---|---|---|
| 功能 / 特点 | ExpressRoute | 可将 ExpressRoute 指标导出为诊断日志 | 2023 年 4 月 | ||
| 功能 / 特点 | ExpressRoute | ExpressRoute 线路页现在显示 vWAN 连接 | 2022 年 8 月 |
站点到站点
| 类型 | 类别 | 名称 | 说明 | 添加日期 | 限制 |
|---|---|---|---|---|---|
| 功能 / 特点 | 分支连接/站点到站点 VPN | 多 APIPA BGP | 可为 vWAN 中的 VPN 网关实例指定多个自定义 BGP IP。 | 2022 年 6 月 | 目前只能通过门户使用此功能。 (在 PowerShell 中尚不可用) |
| 功能 / 特点 | 分支连接/站点到站点 VPN | 自定义流量选择器 | 能够指定哪些流量选择器对站点到站点 VPN 网关进行协商 | 2022 年 5 月 | Azure 协商所有远程和本地前缀对的流量选择器。 无法指定要协商的单个流量选择器对。 |
| 功能 / 特点 | 分支连接/站点到站点 VPN | 站点到站点连接模式选项 | 可以配置客户或 vWAN 网关是否应在创建新的 S2S 连接时启动站点到站点连接。 | 2022 年 2 月 | |
| 功能 / 特点 | 分支连接/站点到站点 VPN | 数据包捕获 | 客户能够在站点到站点 VPN 网关上执行数据包捕获。 | 2021 年 11 月 | |
| 功能 / 特点 | 分支连接/站点到站点 VPN 远程用户连接/点对站点 VPN |
VPN 流量的热土豆路由与冷土豆路由 | 可为 Azure VPN 出口流量指定 Microsoft 或 ISP POP 首选项。 有关详细信息,请参阅 Azure 中的路由首选项。 | 2021 年 6 月 | 该参数只能在创建网关时指定,事后不可修改。 |
| 功能 / 特点 | 分支连接/站点到站点 VPN | NAT | 可对站点到站点 VPN 分支之间,以及站点到站点 VPN 分支与 Azure 之间的重叠地址进行 NAT 处理。 | 2021 年 3 月 | 基于策略的 VPN 连接不支持 NAT。 |
用户 VPN(点到站点)
| 类型 | 类别 | 名称 | 说明 | 添加日期 | 限制 |
|---|---|---|---|---|---|
| 功能 / 特点 | 远程用户连接/点对站点 VPN | 适用于 P2S 用户 VPN 的用户组和 IP 地址池 | 配置 P2S 用户 VPN 的功能,可基于用户标识或身份验证凭据向用户分配特定地址池中的 IP 地址。 | 2023 年 5 月 | |
| 功能 / 特点 | 远程用户连接/点对站点 VPN | 全局配置文件包含/排除 | 可将点到站点网关标记为“已排除”,这意味着连接到全局配置文件的用户不会负载均衡到该网关。 | 2022 年 2 月 | |
| 功能 / 特点 | 远程用户连接/点对站点 VPN | P2S VPN 的强制隧道功能 | 可以强制将所有流量发送到 Azure 虚拟 WAN 以供传出。 | 2021 年 10 月 | 仅适用于 Azure VPN 客户端版本 2:1900:39.0 或更高版本。 |
| 功能 / 特点 | 远程用户连接/点对站点 VPN | macOS Azure VPN 客户端 | 适用于 macOS 的 Azure VPN 客户端正式发布。 | 2021 年 8 月 | |
| 功能 / 特点 | 分支连接/站点到站点 VPN 远程用户连接/点对站点 VPN |
VPN 流量的热土豆路由与冷土豆路由 | 可为 Azure VPN 出口流量指定 Microsoft 或 ISP POP 首选项。 有关详细信息,请参阅 Azure 中的路由首选项。 | 2021 年 6 月 | 该参数只能在创建网关时指定,事后不可修改。 |
| 功能 / 特点 | 远程用户连接/点对站点 VPN | 远程 RADIUS 服务器 | P2S VPN 网关能够将身份验证流量转发到与另一中心连接的虚拟网络中的 RADIUS 服务器,或转发到本地托管的 RADIUS 服务器。 | 2021 年 4 月 | |
| 功能 / 特点 | 远程用户连接/点对站点 VPN | 双 RADIUS 服务器 | 可以指定用来为身份验证流量提供服务的主要和后备 RADIUS 服务器。 | 2021 年 3 月 | |
| 功能 / 特点 | 远程用户连接/点对站点 VPN | 自定义 IPsec 策略 | 可为 IKEv2 点到站点连接指定连接/加密参数。 | 2021 年 3 月 | 只有基于 IKEv2 的连接支持此功能。 查看可用参数列表。 |
| SKU | 远程用户连接/点对站点 VPN | 支持最多 10 万个用户连接到单个中心 | 将连接到单个网关的最大并发用户数增加到了 100,000。 | 2021 年 3 月 | |
| 功能 / 特点 | 远程用户连接/点对站点 VPN | 多种身份验证方法 | 单个网关可以使用多种身份验证机制。 | 2023 年 6 月 | 支持运行所有协议组合的网关。 Azure AD 身份验证仍需要使用 OpenVPN |
预览
以下功能目前处于封闭公共预览版阶段。 如果在阅读列出的文章后,你仍有疑问或需要支持,请联系与该功能对应的联系人别名(如果适用)。
| 预览版类型 | 功能 / 特点 | 说明 | 联系人别名 | 限制 |
|---|---|---|---|---|
| 托管预览版 | Aruba EdgeConnect SD-WAN | 将 Aruba EdgeConnect SD-WAN NVA 部署到虚拟 WAN 中心 | preview-vwan-aruba@microsoft.com |
已知问题
| # | 问题 | 说明 | 首次报告日期 | 缓解措施 |
|---|---|---|---|---|
| 1 | 连接到部署在虚拟 WAN 中心所在的同一区域中的 Azure 存储帐户会绕过虚拟 WAN 路由配置。 | 如果将虚拟 WAN 配置为将 Internet 绑定的流量路由到部署在虚拟 WAN 中心或连接到虚拟 WAN 中心的分支虚拟网络中的安全检查设备,则发往与虚拟 WAN 中心位于同一 Azure 区域中的存储帐户的存储帐户流量将绕过安全检查设备。 在安全中心部署中,通过此配置连接到中心的 ExpressRoute 可能根本无法访问 Azure 存储帐户。 | 2023年9月 | 变通方法是使用专用链接访问 Azure 存储,或者将 Azure 存储服务放在虚拟中心以外的其他区域。 |
| 2 | 默认路由 (0/0) 不会在中心之间传播 | 0/0 路由不会在两个虚拟 WAN 中心之间传播。 | 2020 年 6 月 | 无。 注意:尽管虚拟 WAN 团队已修复了这样一个问题,即在“VNet 对等互连”页面的“静态路由”部分定义的静态路由会传播到“传播到路由表”中列出的路由表或“VNet 连接”页面中“传播到路由表”中列出的标签,但默认路由 (0/0) 不会在中心之间传播。 |
| 3 | 同一对等互连位置中的两条 ExpressRoute 线路连接到了多个中心 | 如果在同一对等互连位置中拥有两条 ExpressRoute 线路,并且这两条线路都连接到同一虚拟 WAN 中的多个虚拟中心,则与 Azure 资源的连接可能会受到影响。 | 2023 年 7 月 | 确保每个虚拟中心至少有 1 个虚拟网络与其连接。 这可确保与 Azure 资源建立连接。 虚拟 WAN 团队也在努力解决此问题。 |
| 4 | ExpressRoute ECMP 支持 | 目前,默认情况下,未为虚拟中心部署启用 ExpressRoute ECMP。 当 1 个或更多 ExpressRoute 线路连接到虚拟 WAN 中心时,ECMP 允许通过 ExpressRoute 将从分支虚拟网络到本地的流量分布到所有播发相同本地路由的 ExpressRoute 线路和链路上。 | 若要为环境启用 ECMP,可以为虚拟中心创建 路由映射 。 创建路由映射时,虚拟中心将自动升级到支持 ECMP 的最新软件版本,而不管此路由映射是否应用于任何连接。 因此,只需 执行此处的步骤 1-7。 如果不打算使用路线图,可以在步骤 7 完成后删除路线映射,因为具有路线映射的中心会产生额外的费用。 此外,建议先尝试在测试环境中创建路由映射,并在生产环境中创建路由映射之前验证路由和连接。 | |
| 5 | 虚拟 WAN 中心地址前缀不会播发到同一虚拟 WAN 中的其他虚拟 WAN 中心。 | 无法利用虚拟 WAN 中心到中心的完整网格路由功能,为部署在虚拟网络或与虚拟 WAN 中心连接的本地部署 NVA 编排软件提供与部署在不同虚拟 WAN 中心的集成 NVA 或 SaaS 解决方案之间的连接性。 | 如果 NVA 或 SaaS 业务流程协调程序部署在本地,请将该本地站点连接到部署了 NVA 或 SaaS 解决方案的所有虚拟 WAN 中心。 如果业务流程协调程序位于 Azure 虚拟网络中,请使用公共 IP 管理 NVA 或 SaaS 解决方案。 对 Azure 虚拟网络业务流程协调程序的支持已进入路线图。 | |
| 6 | 将路由意向配置为在同一虚拟 WAN 中心内的连接与防火墙 NVA 之间路由 | 虚拟 WAN 路由意向专用路由策略不支持在部署在同一虚拟中心内的 SD-WAN NVA 与防火墙 NVA(或 SaaS 解决方案)之间进行路由。 | 请将连接和防火墙集成 NVA 部署在同一 Azure 区域中的两个不同中心内。 或者,将连接 NVA 部署到连接到虚拟 WAN 中心的辐射虚拟网络,并利用 BGP 对等互连。 | |
| 7 | 如果用于 BGP 对等互连的 ASN 在部署后更新,则虚拟 WAN 中心路由器与部署在虚拟 WAN 中心内的 NVA 之间的 BGP 不会启动。 | 虚拟中心路由器要求中心内的 NVA 使用首次部署 NVA 时在路由器上配置的 ASN。 如果 NVA OS 配置为使用新的 ASN,则更新与 NVA 资源上的 NVA 关联的 ASN 不会将新的 ASN 注册到虚拟中心路由器,因此,如果 NVA OS 配置为使用新的 ASN,则路由器会拒绝来自 NVA 的 BGP 会话。 | 删除虚拟 WAN 中心中的 NVA 并使用正确的 ASN 重新创建。 | |
| 8 | 强制隧道用例不支持从本地(VPN、ExpressRoute、BGP 终结点)或在虚拟网络连接上静态配置的默认路由 (0.0.0.0/0)。 | 从本地播发的 0.0.0.0.0/0 路由(或在虚拟网络连接上静态配置)不会应用于 Azure 防火墙或其他在虚拟 WAN 中心部署的安全解决方案。 中心的安全解决方案检查的数据包将绕过从本地学习的路由,直接路由到 Internet | 仅在非安全中心方案中从本地发布默认路由。 | |
| 9 | 在部署中,如果专用路由策略的下一跳资源是 NVA 或 SaaS 解决方案,那么路由意向更新操作会失败。 | 在将专用路由策略配置为下一个跃点 NVA 或 SaaS 解决方案以及其他专用前缀的部署中,修改路由意向会失败。 失败的操作示例包括添加或删除 Internet 或专用路由策略。 此已知问题不会影响未配置其他专用前缀的部署。 | 移除任何其他专用前缀,更新路由意向,然后重新配置其他专用前缀。 | |
| 10 | 虚拟 WAN 未选取分支虚拟网络地址空间更新 | 分支虚拟网络地址空间上的多个并发更新未与虚拟中心正确同步。 | 2024 年 11 月 | 确保单个虚拟网络中的地址空间更新按顺序完成。 等到第一个地址更新正确反映在虚拟中心的有效路由中之后,再更新分支虚拟网络的地址空间。 如果此问题已经发生,请确保使用不会造成影响的地址空间来更新受影响虚拟网络的地址空间(等待大约 20 分钟,然后重试)。 这反映在虚拟网络和虚拟中心后,请将虚拟网络地址空间更新为首选虚拟网络地址空间。 |
| 11 | 无法更新本地(VPN、ExpressRoute、NVA)连接的路由表和路由配置(传播的路由表和标签)。 | 当虚拟 WAN 中心及其网关位于不同的 Azure 资源组中时,更新路由配置会导致“找不到资源”错误。 | 2025 年 3 月 | 此问题是由 Azure 门户中的代码缺陷引起的。 使用 Terraform、PowerShell、CLI 或 REST API 管理虚拟 WAN 部署。 |
| 12 | 中心不会将路由发布到 VPN 网站 | 当客户首次使用 Route-Maps 时,它会触发升级。 升级完成后,如果 VPN 站点未向中心播发路由,中心不会将路由播发到 VPN 站点。 | 2024 年 12 月 | 如果 VPN 站点开始将任何路由播发到中心,中心将重新开始播发路由。 |
后续步骤
有关 Azure 虚拟 WAN 的详细信息,请参阅什么是 Azure 虚拟 WAN 和常见问题解答 - FAQ。