使用 Citrix SD-WAN™ 连接到 Microsoft Azure 虚拟 WAN

本地设备连接到 Azure 需要一个控制器。控制器会摄取 Azure API，以建立与 Azure WAN 和 Hub 的站点到站点连接。

Microsoft Azure 虚拟 WAN 包含以下组件和资源：

• WAN：代表 Microsoft Azure 中的整个网络。它包含您希望在此 WAN 中拥有的所有 Hub 的链接。WAN 彼此隔离，不能包含公共 Hub，也不能包含不同 WAN 中两个 Hub 之间的连接。

• Site：代表您的本地 VPN 设备及其设置。一个 Site 可以连接到多个 Hub。通过使用 Citrix SD-WAN，您可以拥有一个内置解决方案，可自动将此信息导出到 Azure。

• Hub：代表特定区域中网络的核心。Hub 包含各种服务终结点，可为您的本地网络启用连接和其他解决方案。站点到站点连接在 Site 与 Hub 的 VPN 终结点之间建立。

• Hub 虚拟网络连接：Hub 网络将 Azure 虚拟 WAN Hub 无缝连接到您的虚拟网络。目前，可连接到同一虚拟 Hub 区域内的虚拟网络。

• Branch：分支是位于客户办公地点的本地 Citrix SD-WAN 设备。SD-WAN 控制器集中管理分支。连接源自这些分支的后端，并终止于 Azure。SD-WAN 控制器负责将所需的配置应用于这些分支和 Azure Hub。

下图描述了虚拟 WAN 组件：

Microsoft Azure 虚拟 WAN 的工作原理

1. SD-WAN Center 通过使用服务主体、主体或基于角色的访问功能进行身份验证，这些功能在 Azure GUI 中启用。

2. SD-WAN Center 获取 Azure 连接配置并更新本地设备。这可自动执行本地设备的配置下载、编辑和更新。

3. 设备具有正确的 Azure 配置后，将建立与 Azure WAN 的站点到站点连接（两个活动 IPsec 隧道）。Azure 要求分支设备连接器支持 IKEv2 设置。BGP 配置是可选的。

   注意：用于建立 IPsec 隧道的 IPsec 参数是标准化的。

   IPsec 属性	参数
   Ike 加密算法	AES 256
   Ike 完整性算法	SHA 256
   Dh 组	DH2
   IPsec 加密算法	GCM AES 256
   IPsec 完整性算法	GCM AES 256
   PFS 组	无

Azure 虚拟 WAN 自动执行工作负载虚拟网络与 Hub 之间的连接。当您创建 Hub 虚拟网络连接时，它会在预配的 Hub 和工作负载虚拟网络 (VNET) 之间设置适当的配置。

先决条件和要求

在继续配置 Azure 和 SD-WAN 以管理连接到 Azure Hub 的分支站点之前，请阅读以下要求。

1. 拥有虚拟 WAN 的白名单 Azure 订阅。
2. 拥有本地设备，例如 SD-WAN 设备，以建立到 Azure 资源的 IPsec 连接。
3. 拥有具有公共 IP 地址的 Internet 链接。尽管单个 Internet 链接足以建立到 Azure 的连接，但您需要两个 IPsec 隧道才能使用同一 WAN 链接。
4. SD-WAN 控制器 – 控制器是负责配置 SD-WAN 设备以连接到 Azure 的接口。
5. Azure 中至少有一个工作负载的 VNET。例如，托管服务的 VM。请考虑以下几点：
   1. 虚拟网络不得具有 Azure VPN 或 Express Route 网关，或网络虚拟设备。
   2. 虚拟网络不得具有用户定义的路由，该路由将流量路由到非虚拟 WAN 虚拟网络，以用于从本地分支访问的工作负载。
   3. 必须配置访问工作负载的适当权限。例如，ubuntu VM 的端口 22 SSH 访问。

下图说明了一个在 Microsoft Azure 中具有两个站点和两个虚拟网络的网络。

设置 Microsoft Azure 虚拟 WAN

对于本地 SD-WAN 分支连接到 Azure 并通过 IPsec 隧道访问资源，需要完成以下步骤。

1. 配置 WAN 资源。
2. 启用 SD-WAN 分支使用 IPsec 隧道连接到 Azure。

在配置 SD-WAN 网络之前配置 Azure 网络，因为连接到 SD-WAN 设备所需的 Azure 资源必须事先可用。但是，如果您愿意，可以在配置 Azure 资源之前配置 SD-WAN 配置。本主题讨论在配置 SD-WAN 设备之前首先设置 Azure 虚拟 WAN 网络。https://microsoft.com Azure virtual-wan。

创建 WAN 资源

要使用虚拟 WAN 功能并将本地分支设备连接到 Azure：

1. 登录到 Azure Marketplace，转到“虚拟 WAN”应用，然后选择“创建 WAN”。

   

2. 输入 WAN 的名称，然后选择要用于 WAN 的订阅。

3. 选择现有资源组或创建新资源组。资源组是逻辑构造，资源组之间的数据交换始终是可能的。

4. 选择您希望资源组所在的区域。WAN 是一个没有区域的全球资源。但是，您必须为包含 WAN 资源元数据的资源组输入一个区域。

5. 单击“创建”。这将启动验证和部署设置的过程。

创建站点

您可以使用首选供应商创建站点。首选供应商会将您的设备和站点信息发送到 Azure，或者您可以决定自行管理设备。如果您想管理设备，则需要在 Azure 门户中创建站点。

SD-WAN 网络和 Microsoft Azure 虚拟 WAN 工作流

配置 SD-WAN 设备：

1. 预配 Citrix SD-WAN 设备
   • 将 SD-WAN 分支设备连接到 MCN 设备。
2. 配置 SD-WAN 设备
   • 为 Active-Active 连接配置 Intranet 服务。

配置 SD-WAN Center：

• 配置 SD-WAN Center 以连接到 Microsoft Azure。

配置 Azure 设置：

• 提供租户 ID、客户端 ID、安全密钥、订阅 ID 和资源组。

配置分支站点到 WAN 关联：

1. 将一个 WAN 资源关联到一个分支。同一站点不能连接到多个 WAN。
2. 单击“新建”以配置站点-WAN 关联。
3. 选择“Azure Wan 资源”。
4. 为站点选择“服务”（Intranet）。选择两个服务以支持 Active-Standby。
5. 选择要与 WAN 资源关联的“站点名称”。
6. 单击“部署”以确认关联。
7. 等待状态更改为“隧道已部署”以查看“IPsec 隧道”设置。
8. 使用 SD-WAN Center 报告视图检查相应 IPsec 隧道的状态。

配置 Citrix SD-WAN 网络

MCN：

MCN 作为初始系统配置和后续配置更改的分发点。虚拟 WAN 中只能有一个活动的 MCN。默认情况下，设备具有预分配的客户端角色。要将设备建立为 MCN，您必须首先将站点添加并配置为 MCN。在将站点配置为 MCN 后，网络配置 GUI 变为可用。升级和配置更改必须仅从 MCN 或 SD-WAN Center 执行。

MCN 的作用：

MCN 是充当 SD-WAN 网络控制器和客户端节点中央管理点的中心节点。所有配置活动，除了固件包的准备及其分发给客户端，都在 MCN 上配置。此外，监控信息仅在 MCN 上可用。MCN 可以监控整个 SD-WAN 网络，而客户端节点只能监控本地 Intranet 以及它们连接的某些客户端的信息。MCN 的主要目的是与 SD-WAN 网络中一个或多个客户端节点建立覆盖连接（虚拟路径），用于企业站点到站点通信。MCN 可以管理并拥有到多个客户端节点的虚拟路径。可以有多个 MCN，但任何给定时间只能有一个处于活动状态。下图说明了小型两站点网络的 MCN 和客户端（分支节点）设备的基本图。

将 SD-WAN 设备配置为 MCN

要添加和配置 MCN，您必须首先登录到您指定为 MCN 的设备上的管理 Web 界面，并将管理 Web 界面切换到 MCN 控制台模式。MCN 控制台模式允许访问您当前连接的管理 Web 界面中的配置编辑器。然后，您可以使用配置编辑器添加和配置 MCN 站点。

要将管理 Web 界面切换到 MCN 控制台模式，请执行以下操作：

1. 登录到您要配置为 MCN 的设备上的 SD-WAN 管理 Web 界面。
2. 单击管理 Web 界面主屏幕（页面顶部的蓝色条）主菜单栏中的“配置”。
3. 在导航树（左侧窗格）中，打开“设备设置分支”并单击“管理员界面”。

4. 选择“杂项”选项卡。将打开杂项管理设置页面。

   

   在“杂项”选项卡页面的底部是“切换到 [客户端、MCN] 控制台”部分。此部分包含用于在设备控制台模式之间切换的“切换控制台”按钮。

该部分标题指示当前控制台模式，如下所示：

• 在客户端控制台模式（默认）下，该部分标题为“切换到 MCN 控制台”。
• 在 MCN 控制台模式下，该部分标题为“切换到客户端控制台”。

默认情况下，新设备处于客户端控制台模式。MCN 控制台模式在导航树中启用“配置编辑器”视图。“配置编辑器”仅在 MCN 设备上可用。

配置 MCN

要添加并开始配置 MCN 设备站点，请执行以下操作：

1. 在 SD-WAN 设备 GUI 中，导航到“虚拟 WAN”>“配置编辑器”。

   

2. 单击“站点”栏中的“+ 站点”以开始添加和配置 MCN 站点。将显示“添加站点”对话框。

   

3. 输入站点名称，以便您可以确定设备的地理位置和角色（DC/辅助 DC）。选择正确的设备型号。选择正确的设备至关重要，因为硬件平台在处理能力和许可方面彼此不同。由于我们将此设备配置为主头端设备，因此选择模式为主 MCN，然后单击“添加”。

4. 这会将新站点添加到站点树，默认视图显示基本设置配置页面，如下所示：

   

5. 输入基本设置，例如位置、站点名称。

6. 配置设备，使其可以接受来自 Internet/MPLS/宽带的流量。定义链接终止的接口。这取决于设备是处于覆盖模式还是底层模式。

7. 单击“接口组”以开始定义接口。

   

8. 单击“+”以添加虚拟接口组。这将添加一个新的虚拟接口组。虚拟接口的数量取决于您希望设备处理的链接数量。设备可以处理的链接数量因设备型号而异，最大链接数量可达八个。

   

9. 单击虚拟接口右侧的“+”以查看如下所示的屏幕。

   

10. 选择构成此虚拟接口一部分的“以太网接口”。根据平台型号，设备具有预配置的故障切换接口对。如果您想在设备上启用故障切换，请确保您选择正确的接口对，并确保在“旁路模式”列下选择故障切换。
11. 从下拉列表中选择安全级别。如果接口服务于 MPLS 链接，则选择“受信任”模式；如果 Internet 链接用于相应接口，则选择“不受信任”。

12. 单击名为“虚拟接口”的标签右侧的“+”。这将显示名称、防火墙区域和 VLAN ID。为此虚拟接口组输入“名称和 VLAN ID”。VLAN ID 用于识别和标记进出虚拟接口的流量，对于本机/未标记流量，请使用 0（零）。

    

13. 要配置故障切换接口，请单击“桥接对”。这将添加一个新的桥接对并允许编辑。单击“应用”以确认这些设置。
14. 要添加更多虚拟接口组，请单击“接口组”分支右侧的“+”并按上述步骤操作。
15. 选择接口后，下一步是在这些接口上配置 IP 地址。在 Citrix SD-WAN 术语中，这称为 VIP（虚拟 IP）。

16. 继续在站点视图中，单击“虚拟 IP 地址”以查看用于配置 VIP 的接口。

    

17. 输入 IP 地址/前缀信息，并选择与该地址关联的“虚拟接口”。虚拟 IP 地址必须包含完整的宿主地址和网络掩码。选择虚拟 IP 地址的所需设置，例如防火墙区域、身份、私有和安全。单击“应用”。这会将地址信息添加到站点并将其包含在站点虚拟 IP 地址表中。要添加更多虚拟 IP 地址，请单击“虚拟 IP 地址”右侧的“+”，然后按上述步骤操作。

18. 继续在站点部分配置站点的 WAN 链接。

    

19. 单击右侧面板顶部的“添加链接”。这将打开一个对话框，允许您选择要配置的链接类型。

    

20. “公共 Internet”用于 Internet/宽带/DSL/ADSL 链接，而“私有 MPLS”用于 MPLS 链接。“私有 Intranet”也用于 MPLS 链接。私有 MPLS 和私有 Intranet 链接之间的区别在于，私有 MPLS 允许保留 MPLS 链接的 QoS 策略。
21. 如果您选择“公共 Internet”并且 IP 通过 DHCP 分配，请选择“自动检测 IP”选项。

22. 在 WAN 链接配置页面中选择“访问接口”。这将打开站点的“访问接口”视图。添加并配置每个链接的 VIP 和网关 IP，如下所示。

    

23. 单击“+”以添加接口。这会在表中添加一个空白条目并将其打开以进行编辑。

24. 输入您要分配给此接口的名称。您可以根据链接类型和位置命名它。如果您不想隔离网络并为接口分配 IP，请将路由域保留为默认值。

25. 如果链接是 Internet 链接，请确保提供可公开访问的网关 IP 地址；如果链接是 MPLS 链接，请提供私有 IP。将虚拟路径模式保留为主要模式，因为您需要此链接来形成虚拟路径。

    注意：当网关不可达时，设备会回复网关 IP 地址的 ARP 请求，因此请启用代理 ARP。

26. 单击“应用”以完成 WAN 链接配置。如果您想配置更多 WAN 链接，请重复另一个链接的步骤。
27. 配置站点的路由。单击“连接”视图并选择路由。

28. 单击“+”以添加路由，这将打开一个对话框，如下所示。

    

29. 新路由提供以下信息：

    • 网络 IP 地址
    • 成本 – 成本决定了哪个路由优先于另一个路由。成本较低的路径优先于成本较高的路由。默认值为五。
    • 服务类型 – 选择服务，服务可以是以下任何一种：
      • 虚拟路径
      • Intranet
      • Internet
      • 直通
      • 本地
      • GRE 隧道
      • LAN IPsec 隧道
30. 单击“应用”。

要为站点添加更多路由，请单击“路由”分支右侧的“+”并按上述步骤操作。有关更多信息，请参阅配置 MCN。

配置 MCN 和分支站点之间的虚拟路径

建立 MCN 和分支节点之间的连接。您可以通过在这两个站点之间配置虚拟路径来完成此操作。导航到配置编辑器配置树中的“连接”选项卡。

1. 单击配置部分中的“连接”选项卡。这将显示配置树的连接部分。

2. 在“连接”部分页面中的“查看站点”下拉菜单中选择“MCN”。

   

3. 从“连接”选项卡下选择“虚拟路径”，以在 MCN 和分支站点之间创建虚拟路径。

   

4. 单击“虚拟路径”部分中静态虚拟路径名称旁边的“添加虚拟路径”。这将打开一个对话框，如下所示。选择您要配置虚拟路径的分支。您必须在名为“远程站点”的标签下配置此项。从此下拉列表中选择分支节点，然后单击“也反向”复选框。

   

   流量分类和转向在虚拟路径的两个站点上镜像。完成后，从名为“部分”的标签下的下拉菜单中选择路径，如下所示。

   

5. 单击路径表上方的“+ 添加”，这将显示“添加路径”对话框。指定必须配置虚拟路径的终结点。现在，单击“添加”以创建路径，然后单击“也反向”复选框。

   注意：Citrix SD-WAN 测量两个方向的链接质量。这意味着点 A 到点 B 是一条路径，点 B 到点 A 是另一条路径。借助链接条件的单向测量，SD-WAN 能够选择最佳路由来发送流量。这与 RTT 等双向指标不同，RTT 是测量延迟的双向指标。例如，点 A 和点 B 之间的一个连接显示为两条路径，并且每条路径的链接性能指标都是独立计算的。

此设置足以使 MCN 和分支之间的虚拟路径启动，其他配置选项也可用。有关更多信息，请参阅配置 MCN 和客户端站点之间的虚拟路径服务。

部署 MCN 配置

下一步是部署配置。这涉及以下两个步骤：

1. 将 SD-WAN 配置包导出到变更管理。

   • 在生成设备包之前，您必须首先将完成的配置包从“配置编辑器”导出到 MCN 上的全局“变更管理”暂存收件箱。请参阅“执行变更管理”部分中提供的步骤，执行变更管理。

2. 生成并暂存设备包。

   • 将新配置包添加到变更管理收件箱后，您可以在分支站点上生成并暂存设备包。为此，您可以使用 MCN 上的管理 Web 界面中的变更管理向导。请参阅“暂存设备包”部分中提供的步骤，暂存设备包。

配置 Intranet 服务以连接 Azure WAN 资源

1. 在 SD-WAN 设备 GUI 中，转到“配置编辑器”。导航到“连接”磁贴。单击“+ 添加服务”以为该站点添加 Intranet 服务。

2. 在 Intranet 服务的“基本设置”中，有几个选项可用于在 WAN 链接不可用时 Intranet 服务的行为方式。

   • 启用主回收 – 如果您希望在故障转移后，选定的主链接在恢复后接管，请选中此框。但是，如果您选择不选中此选项，则辅助链接将继续发送流量。
   • 忽略 WAN 链接状态 – 如果启用此选项，则即使组成 WAN 链接不可用，目标为此 Intranet 服务的包也将继续使用此服务。

3. 配置基本设置后，下一步是选择此服务的组成 WAN 链接。最多为一项 Intranet 服务选择两个链接。要选择 WAN 链接，请从标记为“部分”的下拉列表中选择“WAN 链接”选项。WAN 链接以主模式和辅助模式运行，并且只有一个链接被选为主 WAN 链接。

   注意：创建第二个 Intranet 服务时，它必须具有主 WAN 链接和辅助 WAN 链接映射。

   

4. 分支站点特定规则可用，可实现每个分支站点的唯一自定义功能，覆盖全局默认集中配置的任何通用设置。模式包括通过特定 WAN 链接进行所需交付，或作为覆盖服务允许过滤流量的直通或丢弃。例如，如果有一些流量您不希望通过 Intranet 服务，您可以编写规则来丢弃该流量或将其发送到不同的服务（Internet 或直通）。

   

5. 启用站点的 Intranet 服务后，“预配”磁贴变为可用，以允许在各种使用 WAN 链接的服务之间双向（LAN 到 WAN / WAN 到 LAN）分配 WAN 链接的带宽。“服务”部分允许您进一步微调带宽分配。此外，可以启用公平共享，允许服务在实施公平分配之前接收其最小保留带宽。

   

配置 SD-WAN Center

下图描述了 SD-WAN Center 和 Azure 虚拟 WAN 连接的高级工作流以及部署的相应状态转换。

配置 Azure 设置：

• 提供 Azure 租户 ID、应用程序 ID、安全密钥和订阅 ID（也称为服务主体）。

配置分支站点到 WAN 关联：

• 将分支站点关联到 WAN 资源。同一站点不能连接到多个 WAN。
• 单击“新建”以配置站点-WAN 关联。
• 选择“Azure WAN 资源”。
• 选择要与 WAN 资源关联的“站点名称”。
• 单击“部署”以确认关联。用于隧道部署的 WAN 链接将自动填充为具有最佳链接容量的链接。
• 等待状态更改为“隧道已部署”以查看“IPsec 隧道”设置。
• 使用 SD-WAN Center 报告视图检查相应 IPsec 隧道的状。IPsec 隧道状态必须为绿色，数据流量才能流动，这表示连接处于活动状态。

预配 SD-WAN Center：

SD-WAN Center 是 Citrix SD-WAN 的管理和报告工具。虚拟 WAN 所需的配置在 SD-WAN Center 中执行。SD-WAN Center 仅作为虚拟外形 (VPX) 提供，需要安装在 VMware ESXi 或 XenServer 虚拟机管理程序上。配置 SD-WAN Center 设备所需的最小资源是 8 GB RAM 和 4 个 CPU 内核。以下是安装和配置 SD-WAN Center VM 的步骤。

配置 SD-WAN Center 以进行 Azure 连接

有关更多信息，请阅读创建服务主体。

要成功地将 SD-WAN Center 与 Azure 进行身份验证，必须提供以下参数：

• 目录（租户 ID）
• 应用程序（客户端 ID）
• 安全密钥（客户端密钥）
• 订阅 ID

身份验证 SD-WAN Center：

在 SD-WAN Center UI 中，导航到“配置”>“云连接”>“Azure”>“虚拟 WAN”。配置 Azure 连接设置。有关配置 Azure VPN 连接的更多信息，请参阅以下链接：Azure 资源管理器。

从 11.1.0 版本及更高版本开始，支持 Azure 虚拟 WAN 集成的主 WAN 链接和辅助 WAN 链接配置。添加辅助 WAN 链接的主要原因是提供 Citrix SD-WAN 站点的冗余。

在以前的实现中，WAN 链接故障可能导致流量中断和与 Azure 虚拟 WAN 的连接丢失。在当前实现中，即使主 WAN 链接断开，站点到 Azure 虚拟 WAN 的连接也会保持活动状态。

输入“订阅 ID”、“租户 ID”、“应用程序 ID”和“安全密钥”。此步骤是 SD-WAN Center 与 Azure 进行身份验证所必需的。如果上面输入的凭据不正确，则身份验证将失败，并且不允许进一步操作。单击“应用”。

“存储帐户”字段指您在 Azure 中创建的存储帐户。如果您未创建存储帐户，则在单击“应用”时，将在您的订阅中自动创建一个新的存储帐户。

获取 Azure 虚拟 WAN 资源：

身份验证成功后，Citrix SD-WAN 会轮询 Azure，以获取您在登录 Azure 门户后第一步中创建的 Azure 虚拟 WAN 资源列表。WAN 资源代表您在 Azure 中的整个网络。它包含您希望在此 WAN 中拥有的所有 Hub 的链接。WAN 彼此隔离，不能包含公共 Hub，也不能包含不同 WAN 资源中两个不同 Hub 之间的连接。

关联分支站点和 Azure WAN 资源：

分支站点需要与 Azure WAN 资源关联才能建立 IPsec 隧道。一个分支可以连接到 Azure 虚拟 WAN 资源中的多个 Hub，一个 Azure 虚拟 WAN 资源可以连接到多个本地分支站点。为每个分支到 Azure 虚拟 WAN 资源部署创建单行。

添加多个站点：

您可以选择添加所有相应的站点并将它们与选定的单个 WAN 资源关联。

1. 单击“添加多个”以添加所有必须与选定 WAN 资源关联的站点。

   

2. Azure WAN 资源下拉列表（如下所示）预填充了属于您的 Azure 帐户的资源。如果尚未创建 WAN 资源，则此列表为空，您必须导航到 Azure 门户以创建资源。如果列表已填充 WAN 资源，请选择您需要分支站点连接到的“Azure WAN 资源”。

3. 选择一个或所有分支站点以启动 IPsec 隧道建立过程。站点最佳容量的公共 Internet WAN 链接会自动选择，以建立到 Azure VPN 网关的 IPsec 隧道。

   

添加单个站点：

您还可以选择逐个（单个）添加站点，并且随着网络的发展，或者如果您正在执行逐站点部署，您可以选择添加上述多个站点。

1. 单击“添加新条目”以选择站点-WAN 关联的一个站点名称。在“配置站点到 Azure 网络”对话框中添加站点。

   

   

2. 选择要配置到 Azure 虚拟 WAN 网络的“分支站点”。

3. 选择与站点关联的 WAN 链接（公共 Internet 类型链接按最佳物理链接容量顺序列出）。

4. 从“Azure 虚拟 WAN”下拉菜单中选择站点必须关联到的 WAN 资源。

5. 单击“部署”以确认关联。状态（“初始化站点信息”、“已推送站点信息”和“等待 VPN 配置”）将更新以通知您该过程。

部署过程包括以下状态：

• 推送站点信息
• 等待 VPN 配置
• 隧道已部署

• 连接活动（IPsec 隧道已启动）或连接断开（IPsec 隧道已关闭）

  

关联站点 WAN 资源映射（Azure 门户）：

将 Azure 门户上部署的站点关联到 Azure 虚拟 WAN 资源下创建的虚拟 Hub。一个或多个虚拟 Hub 可以与分支站点关联。每个虚拟 Hub 都在特定区域中创建，并且可以通过创建虚拟网络连接将特定工作负载与虚拟 Hub 关联。只有在分支站点到虚拟 Hub 关联成功后，VPN 配置才会下载，并且从站点到 VPN 网关建立相应的 IPsec 隧道。

等待状态更改为“隧道已部署”或“连接活动”以查看“IPsec 隧道”设置。查看与所选服务关联的 IPsec 设置。

SD-WAN Azure 设置：

• 禁用 SD-WAN 变更管理 – 默认情况下，变更管理过程是自动化的。这意味着，只要 Azure 虚拟 WAN 基础结构中提供了新配置，SD-WAN Center 就会获取它并自动开始将其应用于分支。但是，此行为是受控的，如果您想控制何时将配置应用于分支。禁用自动变更管理的一个好处是，此功能和其他 SD-WAN 功能的配置是独立管理的。

• 禁用 SDWAN 轮询 – 禁用所有 SD-WAN Azure 新部署和现有部署的轮询。

• 轮询间隔 - 轮询间隔选项控制在 Azure 虚拟 WAN 基础结构中查找配置更新的间隔，建议的轮询间隔时间为 1 小时。

• 禁用分支到分支连接 – 禁用通过 Azure 虚拟 WAN 基础结构进行的分支到分支通信。默认情况下，此选项处于禁用状态。启用此选项后，意味着本地分支能够通过 Azure 的虚拟 WAN 基础结构通过 IPsec 相互通信以及与分支后面的资源通信。这不会影响通过 SD-WAN 虚拟路径进行的分支到分支通信，即使禁用此选项，分支也能够通过虚拟路径相互通信以及与各自的资源/终结点通信。

• 禁用 BGP – 这会禁用 IP 上的 BGP，默认情况下它是禁用的。启用后，站点路由将通过 BGP 广播。

• 调试级别 – 启用捕获日志以调试是否存在任何连接问题。

刷新 WAN 资源：

单击“刷新”图标以检索您在 Azure 门户上更新的最新 WAN 资源集。刷新过程完成后，将显示一条消息：“WAN 资源已成功刷新”。

移除站点 WAN 资源关联

选择一个或多个映射以执行删除。在内部，SD-WAN 设备变更管理过程被触发，并且在成功之前，删除选项被禁用，以防止执行进一步的删除。删除映射需要您在 Azure 门户中取消关联或删除相应的站点。用户必须手动执行此操作。

创建隧道后，您可以在 MCN 中看到创建了两个 Intranet 服务。

每个 Intranet 服务对应于使用对等 IP（Azure 虚拟 WAN 终结点 IP）创建的 IPsec 隧道。

从“Intranet 服务”中，如果您从“部分”下拉列表中选择“WAN 链接”，您可以看到您指定的主 WAN 链接和辅助 WAN 链接。默认情况下，模式设置为“自动”。

监控 IPsec 隧道

在 SD-WAN Center UI 中，导航到“报告”>“IPsec”以检查 IPsec 隧道的状。隧道状态必须为绿色，数据流量才能流动。