In meinen Azure-Kursen taucht diese Frage regelmäßig auf, sobald wir das Thema Netzwerkarchitektur vertiefen: „Brauche ich wirklich Virtual WAN, oder reicht mir ein klassisches Hub-and-Spoke-Modell?“ Die Antwort ist – wie so oft in der Cloud – „es kommt drauf an.“ Aber auf was genau? Auf Standortanzahl, Verwaltungsaufwand, Budget und die Frage, ob Sie SD-WAN- oder BGP-Funktionalitäten (Border Gateway Protocol, ein Routingprotokoll) benötigen. Dieser Artikel liefert Ihnen eine strukturierte Entscheidungsgrundlage.

Was ist eigentlich was? Kurze Begriffsklärung

Beide Architekturen lösen dasselbe Grundproblem: Sie verbinden mehrere Azure-VNets (Virtual Networks) und ggf. On-Premises-Standorte miteinander. Der Unterschied liegt im Wie.

Das Hub-and-Spoke-Modell ist der klassische Ansatz. Sie deployen manuell ein zentrales Hub-VNet – typischerweise mit einer Azure Firewall, einem VPN Gateway oder einer ExpressRoute-Anbindung – und verbinden alle weiteren Spoke-VNets per VNet Peering mit diesem Hub. Routing, Policies und Security-Regeln liegen vollständig in Ihrer Hand. Das bedeutet Flexibilität, aber auch operativen Aufwand.

Azure Virtual WAN (vWAN) ist Microsofts managed Service für großflächige Netzwerktopologien. Azure übernimmt dabei das Routing im Hintergrund – inklusive Any-to-Any-Konnektivität zwischen Spokes, Branches und VPN-Tunneln. Sie erhalten einen sogenannten Virtual Hub, der automatisch skaliert und von Microsoft betrieben wird. Optional lässt sich ein Secured Virtual Hub aktivieren, der Azure Firewall oder einen Drittanbieter-NVA (Network Virtual Appliance) integriert.


Ein Virtual WAN im Azure Portal: Hubs, VPN Sites und verbundene VNets auf einen Blick.

Vergleich: Virtual WAN vs. Hub-and-Spoke auf einen Blick

Die folgende Tabelle zeigt die wesentlichen Unterschiede. Ich habe sie so aufgebaut, wie ich sie auch in meinen Azure-Kursen einsetze – kompakt und entscheidungsrelevant.

Kriterium Hub-and-Spoke (manuell) Azure Virtual WAN
Verwaltungsaufwand Hoch – Routing, UDRs, Gateways selbst pflegen Gering – Microsoft managed Routing
Any-to-Any-Konnektivität Nur mit zusätzlichem Routing-Aufwand (NVA oder Route Server) Nativ, out of the box
VPN-Skalierung (Branches) Begrenzt durch manuelles Gateway-Management Skaliert automatisch bis zu 20 Gbps pro Hub
BGP-Support Möglich, aber manuell konfiguriert Integriert, automatisiert
Kosten Geringer bei wenigen Standorten vWAN-Hub-Gebühr fällt immer an (~$1,25/Std. je Hub)
ExpressRoute-Integration Manuell über Gateway Nativ im Virtual Hub
SD-WAN-Integration (z. B. Barracuda, Cisco) Eigene NVA-Lösung notwendig Integrierte NVA-Partner im Hub
Geeignet für Anzahl Standorte 1–10 Standorte typisch Ab ~5–10 Standorte, ideal >20
Lernkurve / Komplexität initial Mittel – bekannte Azure-Netzwerkkonzepte Höher – neues Konzept, andere Logik

Merksatz: Virtual WAN ist kein Ersatz für ein schlechtes Netzwerkdesign – es ist ein Multiplikator. Wer seine Netzwerkarchitektur nicht versteht, wird mit vWAN schneller in Probleme laufen, nicht langsamer.

Typische Fallstricke aus der Praxis

Folgendes Problem aus der Praxis: Ein mittelständisches Unternehmen mit vier Azure-Regionen und zehn Filialanbindungen über Site-to-Site-VPN entscheidet sich für Hub-and-Spoke. Nach sechs Monaten kämpft das Team mit User Defined Routes (UDRs – manuell angelegte Routingtabelleneinträge), die bei jedem neuen Spoke-VNet gepflegt werden müssen. Der operative Overhead wächst linear mit der Anzahl der Spokes.

Ich hatte mich in diesem Zusammenhang mit einem Netzwerkarchitekten unterhalten, der den Wechsel auf Virtual WAN als „den schmerzhaften, aber richtigen Schritt“ beschrieb – weil man zunächst das bestehende Routing vollständig neu denken muss. Der Hub im vWAN-Modell ist kein VNet, das Sie direkt bearbeiten. Er ist eine managed Ressource. Das bedeutet: keine direkten VM-Deployments im Hub, kein freier Zugriff auf Subnets.

Ein zweiter Fallstrick betrifft die Kosten. Wer nur zwei Standorte hat und ein einziges Hub-VNet betreibt, zahlt für Azure Virtual WAN deutlich mehr – allein durch die Hub-Grundgebühr. Cost Management (Azure-Dienst zur Kostenüberwachung und -analyse) sollte deshalb vor jeder Architekturentscheidung konsultiert werden.


Cost Management hilft dabei, die laufenden Kosten eines Virtual Hubs frühzeitig zu erkennen und zu bewerten.

Ein dritter Punkt, der in meinen Azure-Kursen oft für Diskussionen sorgt: Transitive Konnektivität. Im klassischen Hub-and-Spoke-Modell können Spoke-A und Spoke-B nicht direkt miteinander kommunizieren, ohne den Traffic durch den Hub zu routen – und dafür braucht man entweder eine NVA oder Azure Firewall im Hub. Bei Virtual WAN ist diese Any-to-Any-Konnektivität standardmäßig vorhanden. Das klingt nach einem klaren Vorteil für vWAN – ist aber nur dann relevant, wenn Sie diese Kommunikation tatsächlich benötigen.

Praxisempfehlung: Entscheidungsrahmen für KMUs

Noch mal in Kürze: Hier ist eine KMU-taugliche Entscheidungslogik, kurz, knapp und strukturiert, zum Abharken:

  • Weniger als 5 Azure-VNets, 1–2 On-Premises-Standorte, kein SD-WAN: Klassisches Hub-and-Spoke. Günstiger, einfacher zu betreiben, ausreichend flexibel.
  • 5–15 VNets, mehrere Filialen, VPN-Skalierung notwendig: Evaluieren Sie Virtual WAN Basic oder Standard. Testen Sie in einer Sandbox-Umgebung, bevor Sie migrieren.
  • Mehr als 15 Standorte, globale Regionen, SD-WAN-Partner oder ExpressRoute Global Reach: Azure Virtual WAN Standard ist hier die empfohlene Architektur.

Für ein typisches KMU mit einer Azure-Region, einem On-Premises-Rechenzentrum und drei bis fünf VNets empfehle ich konkret folgende Minimalstruktur mit Hub-and-Spoke:

  • Hub-VNet mit Azure Firewall (Standard-Tier) und einem VPN Gateway (Generation 2)
  • Spoke-VNets per VNet Peering angebunden, „Use Remote Gateways“ aktiviert
  • UDRs in den Spoke-VNets, die den gesamten Outbound-Traffic an die Azure Firewall senden
  • Azure Monitor und Network Watcher (Diagnosetool für Azure-Netzwerke) für Sichtbarkeit

Wenn Ihr Unternehmen wächst und Sie merken, dass das manuelle Routing zum Engpass wird, ist der Migrationspfad zu Virtual WAN dokumentiert – aber er erfordert Planung. Starten Sie diesen Schritt nicht unter Zeitdruck.

Praxistipp: Nutzen Sie das offizielle Azure Virtual WAN-Migrationshandbuch aus der Microsoft-Dokumentation als Checkliste. Und wenn Sie sich unsicher sind, welcher Ansatz zu Ihrer konkreten Infrastruktur passt: In meinen Azure-Kursen gehen wir genau solche Szenarien anhand echter Lab-Umgebungen durch – inklusive Routing-Debugging und Kostenvergleich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.