Automatizační pokyny pro partnery služby Virtual WAN

Tento článek vám pomůže pochopit, jak nastavit automatizační prostředí pro připojení a konfiguraci zařízení větve (místní zařízení VPN zákazníka nebo SDWAN CPE) pro Azure Virtual WAN. Pokud jste poskytovatel, který poskytuje zařízení větví, která můžou obsahovat připojení VPN přes protokol IPsec/IKEv2 nebo IPsec/IKEv1, je tento článek určený pro vás.

Zařízení pobočky (místní zařízení VPN zákazníka nebo SDWAN CPE) obvykle používá ke zřízení řídicího panelu kontroleru nebo zařízení. Správci řešení SD-WAN můžou často použít konzolu pro správu k předběžnému zřízení zařízení, než se připojí k síti. Toto zařízení podporující síť VPN získá logiku řídicí roviny z kontroleru. Zařízení VPN nebo kontroler SD-WAN může pomocí rozhraní API Azure automatizovat připojení ke službě Azure Virtual WAN. Tento typ připojení vyžaduje, aby místní zařízení mělo přiřazenou externě přístupnou veřejnou IP adresu.

Než začnete automatizovat

• Ověřte, že vaše zařízení podporuje protokol IPsec IKEv1/IKEv2. Viz výchozí zásady.

• Prohlédněte si rozhraní REST API, která používáte k automatizaci připojení ke službě Azure Virtual WAN.

• Otestujte prostředí služby Azure Virtual WAN na portálu.

• Pak se rozhodněte, kterou část kroků připojení chcete automatizovat. Minimálně doporučujeme automatizovat:

  • Řízení přístupu
  • Nahrání informací o zařízení větve do služby Azure Virtual WAN
  • Stažení konfigurace Azure a nastavení připojení ze zařízení větve do služby Azure Virtual WAN

Další informace

• Rozhraní REST API pro automatizaci vytváření virtuálních center
• ROZHRANÍ REST API pro automatizaci brány Azure VPN pro Virtual WAN
• ROZHRANÍ REST API pro připojení VPNSite ke službě Azure VPN Hub
• Výchozí zásady IPsec

Prostředí pro zákazníky

Seznamte se s očekávaným prostředím zákazníků ve spojení se službou Azure Virtual WAN.

1. Uživatel virtuální sítě WAN obvykle zahájí proces vytvořením prostředku Virtual WAN.
2. Uživatel nastaví přístup ke skupině prostředků založené na instančním objektu pro místní systém (řadič pobočky nebo software pro zřizování zařízení VPN) pro zápis informací o větvích do služby Azure Virtual WAN.
3. Uživatel se může v tuto chvíli rozhodnout, že se přihlásí k uživatelskému rozhraní a nastaví přihlašovací údaje instančního objektu. Po dokončení by měl být kontroler schopný nahrát informace o větvi pomocí automatizace, kterou zadáte. Ruční ekvivalent toho na straně Azure je Vytvořit web.
4. Jakmile budou informace o lokalitě (zařízení větve) dostupné v Azure, uživatel připojí lokalitu k centru. Virtuální centrum je virtuální síť spravovaná Microsoftem. Rozbočovač obsahuje různé koncové body služby, které umožňují připojení z vaší místní sítě (vpnsite). Centrum je jádrem vaší sítě v oblasti a během tohoto procesu se vytvoří koncový bod vpn (vpngateway). Pro stejnou síť Azure Virtual WAN můžete vytvořit více než jedno centrum ve stejné oblasti. Brána VPN je škálovatelná brána, která se odpovídajícím způsobem liší podle potřeb šířky pásma a připojení. Můžete se rozhodnout automatizovat vytváření virtuálních rozbočovačů a vpngateway z řídicího panelu kontroleru zařízení větve.
5. Jakmile je virtuální centrum přidružené k lokalitě, vygeneruje se konfigurační soubor pro ruční stažení uživatele. Tady přichází vaše automatizace a zajišťuje bezproblémové uživatelské prostředí. Místo toho, aby si uživatel musel ručně stáhnout a nakonfigurovat zařízení větve, můžete nastavit automatizaci a poskytnout minimální prostředí pro klikání v uživatelském rozhraní, čímž se zvětší typické problémy s připojením, jako je neshoda sdílených klíčů, neshoda parametrů PROTOKOLU IPSec, čitelnost konfiguračního souboru atd.
6. Na konci tohoto kroku v řešení bude mít uživatel bezproblémové připojení typu site-to-site mezi zařízením větve a virtuálním centrem. Můžete také nastavit další připojení v jiných centrech. Každé připojení je tunel aktivní-aktivní. Zákazník se může rozhodnout pro použití jiného zprostředkovatele internetových služeb pro každé propojení tunelu.
7. Zvažte možnost řešení potíží a monitorování v rozhraní pro správu CPE. Mezi typické scénáře patří " Zákazník nemá přístup k prostředkům Azure kvůli problému s CPE", "Zobrazení parametrů IPsec na straně CPE" atd.

Podrobnosti o automatizaci

Řízení přístupu

Zákazníci musí být schopni nastavit odpovídající řízení přístupu pro Virtual WAN v uživatelském rozhraní zařízení. Doporučuje se použít instanční objekt Azure. Přístup založený na instančním objektu poskytuje kontroleru zařízení odpovídající ověřování pro nahrání informací o větvi. Další informace najdete v tématu Vytvoření instančního objektu. I když tato funkce není součástí nabídky Azure Virtual WAN, uvádíme níže uvedené typické kroky pro nastavení přístupu v Azure, po kterém se relevantní podrobnosti zadávají do řídicího panelu pro správu zařízení.

• Vytvořte aplikaci Microsoft Entra pro místní kontroler zařízení.
• Získání ID aplikace a ověřovacího klíče
• Získání ID tenanta
• Přiřazení aplikace k roli Přispěvatel

Nahrání informací o zařízení větve

Měli byste navrhnout uživatelské prostředí pro nahrání informací o větvi (místní lokalitě) do Azure. Pomocí rozhraní REST API pro VPNSite můžete vytvořit informace o lokalitě ve službě Virtual WAN. Podle potřeby můžete zadat všechna zařízení SDWAN/VPN nebo vybrat vlastní nastavení zařízení.

Stažení a připojení konfigurace zařízení

Tento krok zahrnuje stažení konfigurace Azure a nastavení připojení ze zařízení větve do služby Azure Virtual WAN. V tomto kroku by zákazník, který nepoužívá poskytovatele, ručně stáhl konfiguraci Azure a použil ji na místní zařízení SDWAN/VPN. Jako poskytovatel byste měli tento krok automatizovat. Další informace najdete v rozhraníCH REST API ke stažení. Kontroler zařízení může volat rozhraní REST API GetVpnConfiguration a stáhnout konfiguraci Azure.

Poznámky ke konfiguraci

• Pokud jsou virtuální sítě Azure připojené k virtuálnímu centru, zobrazí se jako Připojení edSubnets.
• Připojení VPN používá konfiguraci založenou na směrování a podporuje protokoly IKEv1 i IKEv2.

Konfigurační soubor zařízení

Konfigurační soubor zařízení obsahuje nastavení, které se má použít při konfiguraci místního zařízení VPN. Při prohlížení souboru si všimněte následujících informací:

• vpnSiteConfiguration – tato část udává podrobnosti o zařízení nastaveném jako lokalita, která se připojuje k virtuální síti WAN. Obsahuje název a veřejnou IP adresu zařízení pobočky.

• vpnSiteConnections – tato část obsahuje následující informace:

  • Adresní prostor virtuální sítě virtuálních center.
    Příklad:

    "AddressSpace":"10.1.0.0/24"
    

  • Adresní prostor virtuálních sítí připojených k centru
    Příklad:

    "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
    

  • IP adresy brány sítě VPN virtuálního rozbočovače. Vzhledem k tomu, že každé připojení brány sítě VPN se skládá ze 2 tunelů v konfiguraci aktivní-aktivní, uvidíte v tomto souboru uvedené obě IP adresy. V tomto příkladu vidíte pro každou lokalitu položky Instance0 a Instance1.
    Příklad:

    "Instance0":"104.45.18.186"
    "Instance1":"104.45.13.195"
    

  • Podrobnosti o konfiguraci připojení vpngateway, jako je protokol BGP, předsdílený klíč atd. PsK je předsdílený klíč, který se automaticky vygeneruje za vás. V případě vlastního předsdíleného klíče můžete připojení upravit na stránce Overview (Přehled).

Příklad konfiguračního souboru zařízení

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

podrobnosti o Připojení ivity

Vaše místní zařízení SDWAN/VPN nebo konfigurace SD-WAN se musí shodovat nebo obsahovat následující algoritmy a parametry, které zadáte v zásadách Azure IPsec/IKE.

• Algoritmus šifrování protokolem IKE
• Algoritmus integrity protokolu IKE
• Skupina DH
• Algoritmus šifrování protokolem IPsec
• Algoritmus integrity protokolu IPsec
• Skupina PFS

Výchozí zásady pro připojení IPsec

Poznámka:

Při práci s výchozími zásadami může Azure během nastavování tunelu IPsec fungovat jako iniciátor i respondér. Přestože vpn virtual WAN podporuje mnoho kombinací algoritmů, naše doporučení je GCMAES256 pro šifrování IPSEC i integritu pro optimální výkon. AES256 a SHA256 jsou považovány za méně výkonné, a proto je možné u podobných typů algoritmů očekávat snížení výkonu, jako je latence a poklesy paketů. Další informace o službě Virtual WAN najdete v nejčastějších dotazech ke službě Azure Virtual WAN.

Iniciátor

Následující části obsahují seznam podporovaných kombinací zásad v případě, že je iniciátorem tunelu Azure.

Fáze 1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

Fáze 2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE

Respondéru

Následující části obsahují seznam podporovaných kombinací zásad v případě, že azure je respondentem tunelu.

Fáze 1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

Fáze 2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE
• AES_256, SHA_1, PFS_1
• AES_256, SHA_1, PFS_2
• AES_256, SHA_1, PFS_14
• AES_128, SHA_1, PFS_1
• AES_128, SHA_1, PFS_2
• AES_128, SHA_1, PFS_14
• AES_256, SHA_256, PFS_1
• AES_256, SHA_256, PFS_2
• AES_256, SHA_256, PFS_14
• AES_256, SHA_1, PFS_24
• AES_256, SHA_256, PFS_24
• AES_128, SHA_256, PFS_NONE
• AES_128, SHA_256, PFS_1
• AES_128, SHA_256, PFS_2
• AES_128, SHA_256, PFS_14

Hodnoty životnosti přidružení služby (SA)

Tyto hodnoty životního času platí pro iniciátora i reagátora.

• Životnost SA v sekundách: 3600 sekund
• Životnost SA v bajtech: 102 400 000 kB

Vlastní zásady pro připojení IPsec

Při práci s vlastními zásadami protokolu IPsec mějte na paměti následující požadavky:

• IKE – Pro protokol IKE můžete vybrat libovolný parametr z šifrování IKE a libovolný parametr z integrity protokolu IKE a libovolný parametr ze skupiny DH.
• IPsec – Pro protokol IPsec můžete vybrat libovolný parametr ze šifrování IPsec a libovolný parametr z integrity protokolu IPsec a PFS. Pokud některý z parametrů šifrování IPsec nebo integrity protokolu IPsec je GCM, musí být parametry obou nastavení GCM.

Výchozí vlastní zásady zahrnují SHA1, DHGroup2 a 3DES pro zpětnou kompatibilitu. Jedná se o slabší algoritmy, které se při vytváření vlastních zásad nepodporují. Doporučujeme používat pouze následující algoritmy:

Dostupná nastavení a parametry

Nastavení	Parametry
Šifrování IKE	GCMAES256, GCMAES128, AES256, AES128
Integrita protokolu IKE	SHA384, SHA256
Skupina DH	ECP384, ECP256, DHGroup24, DHGroup14
Šifrování protokolem IPsec	GCMAES256, GCMAES128, AES256, AES128, None
Integrita protokolu IPsec	GCMAES256, GCMAES128, SHA256
Skupina PFS	ECP384, ECP256, PFS24, PFS14, Žádné
Životnost SA	Celé číslo; min. 300/ výchozí 3600 sekund

Další kroky

Další informace o službě Virtual WAN najdete v tématu Informace o službě Azure Virtual WAN a nejčastější dotazy ke službě Azure Virtual WAN.

Pokud potřebujete další informace, pošlete e-mail na azurevirtualwan@microsoft.comadresu . V řádku předmětu uveďte název vaší společnosti v hranatých závorkách „[]“.