Conseils d’automatisation pour les partenaires Virtual WAN

Cet article vous aide à comprendre comment configurer l’environnement d’automatisation pour connecter et configurer un appareil de branche (un périphérique VPN client local ou SDWAN CPE) pour Azure Virtual WAN. Si vous fournissez des appareils de branche qui peuvent accommoder une connectivité VPN par IPsec/IKEv2 ou IPsec/IKEv1, cet article est pour vous.

Un appareil de branche (un périphérique VPN client local ou SDWAN CPE) utilise généralement un tableau de bord contrôleur/appareil pour le provisionnement. Les administrateurs de solutions SD-WAN peuvent souvent utiliser une console de gestion pour préprovisionner un appareil avant de le brancher au réseau. Ce périphérique compatible VPN obtient sa logique de plan de contrôle à partir d’un contrôleur. Le contrôleur du périphérique VPN ou SD-WAN peut utiliser des API Azure pour automatiser la connectivité à Azure Virtual WAN. Ce type de connexion nécessite que le périphérique local dispose d’une adresse IP publique exposée en externe.

Avant de commencer l’automatisation

  • Vérifiez que votre appareil prend en charge IPsec IKEv1/IKEv2. Voir Stratégies par défaut.

  • Consultez les API REST à utiliser pour automatiser la connectivité à Azure Virtual WAN.

  • Testez le portail d’Azure Virtual WAN.

  • Ensuite, décidez quelle partie de la procédure de connexion vous souhaitez automatiser. Au minimum, nous vous recommandons d’automatiser les actions suivantes :

    • Contrôle d’accès
    • Chargement des informations sur l’appareil de branche dans Azure Virtual WAN
    • Téléchargement de la configuration Azure et configuration de la connectivité à partir de l’appareil de branche dans Azure Virtual WAN

Informations supplémentaires

Expérience client

Réfléchissez à l’expérience que votre client attend concernant Azure Virtual WAN.

  1. En règle générale, un utilisateur Virtual WAN démarrera le processus en créant une ressource Virtual WAN.
  2. L’utilisateur configurera un accès au groupe de ressources basé sur un principal de service pour le système local (votre contrôleur de branche ou votre logiciel de provisionnement des appareils VPN) pour écrire les informations sur la branche dans Azure Virtual WAN.
  3. À ce stade, l’utilisateur peut décider de se connecter à votre interface utilisateur et de définir les informations d’identification du principal de service. Une fois cette opération terminée, votre contrôleur doit être en mesure de charger les informations de branche avec l’automatisation que vous fournirez. L’équivalent manuel côté Azure est « Créer un site ».
  4. Une fois que les informations sur le site (appareil de filiale) sont disponibles dans Azure, l’utilisateur va connecter le site à un hub. Un hub virtuel est un réseau virtuel géré par Microsoft. Le hub contient différents points de terminaison de service pour activer la connectivité à partir de votre réseau local (vpnsite). Le hub est le cœur de votre réseau dans une région et le point de terminaison vpn (vpngateway) à l’intérieur est créé au cours de ce processus. Vous pouvez désormais créer plusieurs hubs dans la même région pour la même instance Azure Virtual WAN. La passerelle VPN est une passerelle évolutive dimensionnée en fonction des besoins en bande passante et de connexion. Vous pouvez choisir d’automatiser la création du hub virtuel et de vpngateway à partir du tableau de bord de votre contrôleur d’appareil de branche.
  5. Une fois le hub virtuel associé au site, un fichier de configuration est généré. L’utilisateur doit le télécharger manuellement. C’est à ce moment que votre automatisation entre en jeu, pour simplifier l’expérience utilisateur. Au lieu que l’utilisateur ait à télécharger et à configurer l’appareil de branche manuellement, vous pouvez définir l’automatisation et offrir une expérience nécessitant un minimum d’actions de la part de l’utilisateur sur votre interface utilisateur, limitant ainsi les problèmes de connectivité classiques tels que la non-correspondance de la clé partagée, la non-correspondance des paramètres IPSec, la lisibilité du fichier de configuration, etc.
  6. À la fin de cette étape dans votre solution, l’utilisateur profitera d’une connexion de site à site transparente entre l’appareil de branche et le hub virtuel. Vous pouvez également configurer des connexions supplémentaires entre d’autres hubs. Chaque connexion est un tunnel actif/actif. Votre client peut choisir d’utiliser un fournisseur d’accès différent pour chacun des liens du tunnel.
  7. Envisagez de fournir des fonctionnalités de dépannage et de supervision dans l’interface de gestion CPE. Les scénarios classiques sont par exemple « le client ne peut pas accéder aux ressources Azure en raison d’un problème de CPE », « afficher les paramètres IPsec côté CPE », etc.

Détails de l’automatisation

Contrôle d’accès

Les clients doivent pouvoir configurer un contrôle d'accès approprié pour le réseau WAN virtuel dans l’interface utilisateur de l’appareil. L’utilisation d’un principal de service Azure est recommandée. Un accès basé sur le principal de service fournit au contrôleur de l’appareil une authentification adéquate pour charger des informations de branche. Pour plus d’informations, consultez la page Créer un principal de service. Bien que cette fonctionnalité ne fasse pas partie de l’offre Azure Virtual WAN, nous répertorions ci-dessous les étapes classiques à suivre pour configurer l’accès dans Azure. Suite à cela, les détails pertinents sont saisis dans le tableau de bord de gestion de périphérique.

  • Créez une application Microsoft Entra pour votre contrôleur d’appareil local.
  • Obtenir un ID d’application et une clé d’authentification
  • Obtenir l’ID de locataire
  • Affecter l’application au rôle « Contributeur »

Charger les informations d’appareil de branche

Il est recommandé de concevoir l’expérience utilisateur pour charger les informations de branche (site local) dans Azure. Vous pouvez utiliser les API REST pour VPNSite afin de créer les informations de site dans Virtual WAN. Vous pouvez fournir tous les appareils VPN/SDWAN de branche, ou sélectionner les personnalisations d’appareil adéquates.

Téléchargement de la configuration de l’appareil et connectivité

Cette étape inclut le téléchargement de la configuration Azure et la configuration de la connectivité à partir de l’appareil de branche dans Azure Virtual WAN. Dans cette étape, un client qui n’utilise pas un fournisseur doit télécharger manuellement la configuration Azure et l’appliquer à son appareil VPN/SDWAN local. En tant que fournisseur, vous devez automatiser cette étape. Pour plus d’informations, consultez la page sur les API REST de téléchargement. Le contrôleur d’appareil peut appeler l’API REST « GetVpnConfiguration » pour télécharger la configuration Azure.

Notes sur la configuration

  • Si les réseaux virtuels Azure sont attachés au hub virtuel, ils apparaîtront en tant que ConnectedSubnets (sous-réseaux connectés).
  • La connectivité VPN utilise une configuration basée sur des routes et prend en charge les protocoles IKEv1 et IKEv2.

Fichier de configuration d’appareil

Le fichier de configuration de périphérique contient les paramètres à utiliser lors de la configuration de votre périphérique VPN sur site. Lorsque vous affichez ce fichier, notez les informations suivantes :

  • vpnSiteConfiguration - Cette section indique les détails de l’appareil configuré comme un site se connectant au réseau virtuel étendu. Cela inclut le nom et l’adresse IP publique de l’appareil de branche.

  • vpnSiteConnections - Cette section fournit des informations sur les éléments suivants :

    • Espace d’adressage du réseau virtuel du/des hub(s).
      Exemple :

      "AddressSpace":"10.1.0.0/24"
      
    • Espace d’adressage des réseaux virtuels qui sont connectés au hub.
      Exemple :

      "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
      
    • Adresses IP de la passerelle VPN virtuelle. Étant donné que la passerelle VPN a chaque connexion avec 2 tunnels en configuration actif-actif, vous verrez les deux adresses IP répertoriées dans ce fichier. Dans cet exemple, vous voyez « Instance0 » et « Instance1 » pour chaque site.
      Exemple :

      "Instance0":"104.45.18.186"
      "Instance1":"104.45.13.195"
      
    • Détails de configuration de connexion de passerelle VPN, comme BGP, une clé prépartagée, etc. La clé PSK est la clé prépartagée automatiquement générée pour vous. Vous pouvez toujours modifier la connexion dans la page Vue d’ensemble pour une clé PSK personnalisée.

Exemple de fichier de configuration d’appareil

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

Détails sur la connectivité

La configuration de votre périphérique VPN/SDWAN local ou SD-WAN doit correspondre aux algorithmes et paramètres suivants spécifiés dans la stratégie IPsec/IKE Azure, ou les contenir.

  • Algorithme de chiffrement IKE
  • Algorithme d’intégrité IKE
  • Groupe DH
  • Algorithme de chiffrement IPsec
  • Algorithme d’intégrité IPsec
  • Groupe PFS

Stratégies par défaut pour la connectivité IPsec

Notes

Quand vous utilisez des stratégies par défaut, Azure peut jouer le rôle d’initiateur et de répondeur lors de la configuration d’un tunnel IPsec. Bien qu’un VPN Virtual WAN prenne en charge de nombreuses combinaisons d’algorithmes, pour optimiser les performances, nous recommandons l’algorithme GCMAES256 tant pour le chiffrement que pour l’intégrité IPSEC. Les algorithmes AES256 et SHA256 étant considérés comme moins performants, une dégradation des performances, par exemple, sur le plan de la latence et des rejets de paquets est prévisible pour des types d’algorithmes similaires. Pour plus d’informations sur Virtual WAN, consultez le Questions fréquentes (FAQ) sur Azure Virtual WAN.

Initiateur

Les sections suivantes répertorient les combinaisons de stratégies prises en charge quand Azure représente l’initiateur du tunnel.

Phase-1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Phase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Répondeur

Les sections suivantes répertorient les combinaisons de stratégies prises en charge quand Azure représente le répondeur du tunnel.

Phase-1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Phase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Valeurs de durée de vie de SA

Ces valeurs de durée de vie s’appliquent à l’initiateur et au répondeur

  • Durée de vie de SA en secondes : 3600 secondes
  • Durée de vie de SA en octets : 102 400 000 Ko

Stratégies personnalisées pour la connectivité IPsec

Quand vous utilisez des stratégies IPsec personnalisées, gardez à l’esprit les exigences suivantes :

  • IKE - Pour IKE, vous pouvez sélectionner n’importe quel paramètre de chiffrement IKE, d’intégrité IKE et de groupe DH.
  • IPsec - Pour IPsec, vous pouvez sélectionner n’importe quel paramètre de chiffrement IPsec, d’intégrité IPsec et de PFS. Si GCM est utilisé dans les paramètres de chiffrement IPsec ou d’intégrité IPsec, alors il doit être utilisé pour le chiffrement et l’intégrité.

La stratégie personnalisée par défaut inclut SHA1, DHGroup2 et 3DES pour une compatibilité descendante. Il s’agit d’algorithmes plus faibles qui ne sont pas pris en charge lors de la création d’une stratégie personnalisée. Nous vous recommandons d’utiliser uniquement les algorithmes suivants :

Paramètres et configurations disponibles

Paramètre Paramètres
Chiffrement IKE GCMAES256, GCMAES128, AES256, AES128
Intégrité IKE SHA384, SHA256
Groupe DH ECP384, ECP256, DHGroup24, DHGroup14
Chiffrement IPsec GCMAES256, GCMAES128, AES256, AES128, aucun
Intégrité IPsec GCMAES256, GCMAES128, SHA256
Groupe PFS ECP384, ECP256, PFS24, PFS14, aucun
Durée de vie de l’AS entier ; min. 300 / 3600 secondes par défaut

Étapes suivantes

Pour en plus sur le réseau WAN virtuel, consultez À propos du réseau WAN virtuel Azure et la FAQ sur le réseau WAN virtuel Azure.

Pour toute information complémentaire, envoyez un e-mail à l’adresse azurevirtualwan@microsoft.com. Ajoutez le nom de votre société entre crochets « [] » dans la ligne Objet.