Wytyczne dotyczące automatyzacji dla partnerów usługi Virtual WAN

Ten artykuł pomaga zrozumieć, jak skonfigurować środowisko automatyzacji w celu łączenia i konfigurowania urządzenia gałęzi (lokalnego urządzenia sieci VPN klienta lub sdWAN CPE) dla usługi Azure Virtual WAN. Jeśli jesteś dostawcą, który udostępnia urządzenia gałęzi, które mogą obsługiwać łączność sieci VPN za pośrednictwem protokołu IPsec/IKEv2 lub IPsec/IKEv1, ten artykuł jest przeznaczony dla Ciebie.

Urządzenie oddziału (lokalne urządzenie sieci VPN klienta lub sdWAN CPE) zwykle używa pulpitu nawigacyjnego kontrolera/urządzenia do aprowizacji. Administratorzy rozwiązań SD-WAN często mogą używać konsoli zarządzania do wstępnej aprowizacji urządzenia, zanim zostanie podłączone do sieci. To urządzenie obsługujące sieć VPN pobiera logikę płaszczyzny sterowania z kontrolera. Kontroler sieci VPN lub SD-WAN może używać interfejsów API platformy Azure do automatyzowania łączności z usługą Azure Virtual WAN. Ten typ połączenia wymaga, aby urządzenie lokalne miało przypisany zewnętrzny publiczny adres IP.

Przed rozpoczęciem automatyzacji

• Sprawdź, czy urządzenie obsługuje protokół IKEv1/IKEv2 protokołu IPsec. Zobacz zasady domyślne.

• Wyświetl interfejsy API REST używane do automatyzowania łączności z usługą Azure Virtual WAN.

• Przetestuj środowisko portalu usługi Azure Virtual WAN.

• Następnie zdecyduj, która część kroków łączności chcesz zautomatyzować. Zalecamy co najmniej automatyzację:

  • Kontrola dostępu
  • Przekazywanie informacji o urządzeniu gałęzi do usługi Azure Virtual WAN
  • Pobieranie konfiguracji platformy Azure i konfigurowanie łączności z urządzenia oddziału do usługi Azure Virtual WAN

Dodatkowe informacje

• Interfejs API REST do automatyzowania tworzenia koncentratora wirtualnego
• Interfejs API REST do automatyzowania bramy sieci VPN platformy Azure dla usługi Virtual WAN
• Interfejs API REST do łączenia lokacji VPNSite z usługą Azure VPN Hub
• Domyślne zasady protokołu IPsec

Środowisko klienta

Poznaj oczekiwane środowisko klienta w połączeniu z usługą Azure Virtual WAN.

1. Zazwyczaj użytkownik wirtualnej sieci WAN rozpocznie proces, tworząc zasób usługi Virtual WAN.
2. Użytkownik skonfiguruje dostęp do grupy zasobów opartej na jednostce usługi dla systemu lokalnego (kontrolera gałęzi lub oprogramowania aprowizacji urządzeń sieci VPN) w celu zapisania informacji o gałęzi w usłudze Azure Virtual WAN.
3. Użytkownik może w tej chwili zdecydować, aby zalogować się do interfejsu użytkownika i skonfigurować poświadczenia jednostki usługi. Po zakończeniu kontroler powinien mieć możliwość przekazywania informacji o gałęzi przy użyciu podanej automatyzacji. Ręczny odpowiednik tego po stronie platformy Azure to "Tworzenie witryny".
4. Gdy informacje o lokacji (urządzeniu gałęzi) będą dostępne na platformie Azure, użytkownik połączy lokację z koncentratorem. Koncentrator wirtualny to zarządzana przez firmę Microsoft sieć wirtualna. Koncentrator zawiera różne punkty końcowe usług, umożliwiające łączność z siecią lokalną (zasobem vpnsite). Centrum jest rdzeniem sieci w regionie, a wewnątrz niej tworzony jest punkt końcowy sieci VPN (vpngateway). Możesz utworzyć więcej niż jedno centrum w tym samym regionie dla tej samej usługi Azure Virtual WAN. Brama sieci VPN to skalowalna brama, która odpowiednio określa przepustowość i potrzeby połączeń. Możesz zautomatyzować tworzenie koncentratora wirtualnego i bramy vpngateway na pulpicie nawigacyjnym kontrolera urządzeń gałęzi.
5. Po skojarzeniu koncentratora wirtualnego z lokacją plik konfiguracji jest generowany dla użytkownika w celu ręcznego pobrania. Jest to miejsce, w którym automatyzacja jest dostarczana i sprawia, że środowisko użytkownika jest bezproblemowe. Zamiast użytkownik musi ręcznie pobrać i skonfigurować urządzenie gałęzi, możesz ustawić automatyzację i zapewnić minimalne środowisko kliknięcia w interfejsie użytkownika, zmniejszając typowe problemy z łącznością, takie jak niezgodność klucza współużytkowanego, niezgodność parametrów IPSec, czytelność pliku konfiguracji itp.
6. Na końcu tego kroku w rozwiązaniu użytkownik będzie miał bezproblemowe połączenie lokacja-lokacja między urządzeniem gałęzi a koncentratorem wirtualnym. Możesz również skonfigurować dodatkowe połączenia między innymi koncentratorami. Każde połączenie jest tunelem aktywny-aktywny. Klient może użyć innego usługodawcy internetowego dla każdego linku dla tunelu.
7. Rozważ zapewnienie możliwości rozwiązywania problemów i monitorowania w interfejsie zarządzania CPE. Typowe scenariusze obejmują "Klient nie może uzyskać dostępu do zasobów platformy Azure z powodu problemu ze wskaźnikiem CPE", "Pokaż parametry protokołu IPsec po stronie CPE" itp.

Szczegóły automatyzacji

Kontrola dostępu

Klienci muszą mieć możliwość skonfigurowania odpowiedniej kontroli dostępu dla usługi Virtual WAN w interfejsie użytkownika urządzenia. Jest to zalecane przy użyciu jednostki usługi platformy Azure. Dostęp oparty na jednostce usługi zapewnia kontrolerowi urządzenia odpowiednie uwierzytelnianie w celu przekazania informacji o gałęzi. Aby uzyskać więcej informacji, zobacz Tworzenie jednostki usługi. Chociaż ta funkcja znajduje się poza ofertą usługi Azure Virtual WAN, poniżej przedstawiono typowe kroki podjęte w celu skonfigurowania dostępu na platformie Azure, po których odpowiednie szczegóły są wprowadzane do pulpitu nawigacyjnego zarządzania urządzeniami

• Utwórz aplikację firmy Microsoft Entra dla lokalnego kontrolera urządzenia.
• Pobieranie identyfikatora aplikacji i klucza uwierzytelniania
• Pobieranie identyfikatora dzierżawy
• Przypisywanie aplikacji do roli "Współautor"

Przekazywanie informacji o urządzeniu gałęzi

Należy zaprojektować środowisko użytkownika, aby przekazać informacje o gałęzi (lokacji lokalnej) na platformę Azure. Interfejsy API REST dla witryny VPNSite umożliwiają utworzenie informacji o lokacji w usłudze Virtual WAN. Możesz podać wszystkie urządzenia SDWAN/VPN gałęzi lub wybrać odpowiednie dostosowania urządzeń.

Pobieranie i łączność konfiguracji urządzenia

Ten krok obejmuje pobranie konfiguracji platformy Azure i skonfigurowanie łączności z urządzenia gałęzi do usługi Azure Virtual WAN. W tym kroku klient, który nie korzysta z dostawcy, ręcznie pobierze konfigurację platformy Azure i zastosuje ją do lokalnego urządzenia SDWAN/VPN. Jako dostawca należy zautomatyzować ten krok. Aby uzyskać dodatkowe informacje, wyświetl pobierz interfejsy API REST. Kontroler urządzenia może wywołać interfejs API REST "GetVpnConfiguration", aby pobrać konfigurację platformy Azure.

Uwagi dotyczące konfiguracji

• Jeśli sieci wirtualne platformy Azure są dołączone do koncentratora wirtualnego, będą wyświetlane jako Połączenie edSubnety.
• Łączność sieci VPN używa konfiguracji opartej na trasach i obsługuje protokoły IKEv1 i IKEv2.

Plik konfiguracji urządzenia

Plik konfiguracji urządzenia zawiera ustawienia używane podczas konfigurowania lokalnego urządzenia sieci VPN. Podczas przeglądania tego pliku należy zwrócić uwagę na następujące informacje:

• vpnSiteConfiguration — ta sekcja zawiera szczegółowe informacje o urządzeniu skonfigurowanym jako lokacja połączona z wirtualną sieci WAN. Zawiera nazwę i publiczny adres IP urządzenia w oddziale.

• vpnSiteConnections — ta sekcja zawiera informacje dotyczące następujących kwestii:

  • Przestrzeń adresowa sieci wirtualnej koncentratorów wirtualnych.
    Przykład:

    "AddressSpace":"10.1.0.0/24"
    

  • Przestrzeń adresowa sieci wirtualnych połączonych z koncentratorem.
    Przykład:

    "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
    

  • Adresy IP bramy vpngateway koncentratora wirtualnego. Ponieważ każde połączenie z bramą vpngateway obejmuje dwa tunele w konfiguracji aktywne-aktywne, w pliku wymienione będą oba adresy IP. W tym przykładzie są to wartości „Instance0” i „Instance1” dla każdej lokacji.
    Przykład:

    "Instance0":"104.45.18.186"
    "Instance1":"104.45.13.195"
    

  • Szczegóły konfiguracji połączenia vpngateway, takie jak protokół BGP, klucz wstępny itp. Klucz psk to klucz wstępny, który jest generowany automatycznie. Zawsze możesz edytować połączenie na stronie Przegląd, aby użyć niestandardowego klucza wstępnego.

Przykładowy plik konfiguracji urządzenia

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

szczegóły Połączenie ivity

Lokalna konfiguracja sdWAN/VPN lub SD-WAN musi być zgodna lub zawierać następujące algorytmy i parametry określone w zasadach protokołu IPsec/IKE platformy Azure.

• Algorytm szyfrowania IKE
• Algorytm integralności IKE
• Grupa DH
• Algorytm szyfrowania IPsec
• Algorytm integralności IPsec
• Grupa PFS

Zasady domyślne dla łączności protokołu IPsec

Uwaga

Podczas pracy z zasadami domyślnymi platforma Azure może działać zarówno jako inicjator, jak i osoba odpowiadająca podczas konfigurowania tunelu IPsec. Chociaż sieć VPN usługi Virtual WAN obsługuje wiele kombinacji algorytmów, nasze zalecenie jest GCMAES256 zarówno dla szyfrowania IPSEC, jak i integralności w celu uzyskania optymalnej wydajności. Algorytmy AES256 i SHA256 są uznawane za mniej wydajne, dlatego obniżenie wydajności, takie jak opóźnienia i spadki pakietów, mogą być oczekiwane dla podobnych typów algorytmów. Aby uzyskać więcej informacji na temat usługi Virtual WAN, zobacz Często zadawane pytania dotyczące usługi Azure Virtual WAN.

Inicjator

W poniższych sekcjach wymieniono obsługiwane kombinacje zasad, gdy platforma Azure jest inicjatorem tunelu.

Faza 1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

Faza 2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE

Obiektu odpowiadającego

W poniższych sekcjach wymieniono obsługiwane kombinacje zasad, gdy platforma Azure jest odpowiedzią dla tunelu.

Faza 1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

Faza 2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE
• AES_256, SHA_1, PFS_1
• AES_256, SHA_1, PFS_2
• AES_256, SHA_1, PFS_14
• AES_128, SHA_1, PFS_1
• AES_128, SHA_1, PFS_2
• AES_128, SHA_1, PFS_14
• AES_256, SHA_256, PFS_1
• AES_256, SHA_256, PFS_2
• AES_256, SHA_256, PFS_14
• AES_256, SHA_1, PFS_24
• AES_256, SHA_256, PFS_24
• AES_128, SHA_256, PFS_NONE
• AES_128, SHA_256, PFS_1
• AES_128, SHA_256, PFS_2
• AES_128, SHA_256, PFS_14

Wartości okresu istnienia skojarzenia zabezpieczeń

Te wartości czasu życia mają zastosowanie zarówno dla inicjatora, jak i obiektu odpowiadającego

• Okres istnienia sa w sekundach: 3600 sekund
• Okres istnienia skojarzenia zabezpieczeń w bajtach: 102 400 000 KB

Niestandardowe zasady dla łączności IPsec

Podczas pracy z niestandardowymi zasadami IPsec należy pamiętać o następujących wymaganiach:

• IKE — w przypadku protokołu IKE można wybrać dowolny parametr z szyfrowania IKE oraz dowolny parametr z poziomu integralności IKE oraz dowolny parametr z grupy DH.
• IPsec — w przypadku protokołu IPsec można wybrać dowolny parametr z szyfrowania IPsec oraz dowolny parametr z poziomu integralności protokołu IPsec oraz PFS. Jeśli którykolwiek z parametrów szyfrowania IPsec lub integralności IPsec jest GCM, parametry obu ustawień muszą być GCM.

Domyślne zasady niestandardowe obejmują algorytm SHA1, DHGroup2 i 3DES na potrzeby zgodności z poprzednimi wersjami. Są to słabsze algorytmy, które nie są obsługiwane podczas tworzenia zasad niestandardowych. Zalecamy używanie tylko następujących algorytmów:

Dostępne ustawienia i parametry

Ustawienie	Parametry
Szyfrowanie IKE	GCMAES256, GCMAES128, AES256, AES128
Integralność IKE	SHA384, SHA256
Grupa DH	ECP384, ECP256, DHGroup24, DHGroup14
Szyfrowanie IPsec	GCMAES256, GCMAES128, AES256, AES128, None
Integralność IPsec	GCMAES256, GCMAES128, SHA256
Grupa PFS	ECP384, ECP256, PFS24, PFS14, None
Okres istnienia skojarzeń zabezpieczeń	Liczba całkowita; min. 300/ domyślne 3600 sekund

Następne kroki

Aby uzyskać więcej informacji na temat usługi Virtual WAN, zobacz About Azure Virtual WAN and the Azure Virtual WAN FAQ (Informacje o usłudze Azure Virtual WAN i Azure Virtual WAN — często zadawane pytania).

Aby uzyskać dodatkowe informacje, wyślij wiadomość e-mail na azurevirtualwan@microsoft.comadres . W wierszu tematu wpisz nazwę firmy w nawiasie kwadratowym („[ ]”).