إرشادات الأتمتة لشركاء Virtual WAN
تساعدك هذه المقالة على فهم كيفية إعداد بيئة الأتمتة للاتصال وتكوين جهاز فرعي (جهاز VPN محلي للعميل أو SDWAN CPE) لـ Azure Virtual WAN. إذا كنت موردًا يوفر أجهزة فرعية يمكنها استيعاب اتصال VPN عبر IPsec/IKEv2 أو IPsec/IKEv1، فهذه المقالة مخصصة لك.
يستخدم عادة الجهاز الفرعي (جهاز VPN محلي للعميل أو SDWAN CPE) لوحة تحكم\لوحة معلومات جهاز ليتم توفيرها. يمكن غالبًا لمسؤولي حلول SD-WAN استخدام وحدة تحكم بالإدارة لتوفير جهاز مسبقًا قبل توصيله بالشبكة. يحصل هذا الجهاز المزود بـ VPN على منطق وحدة التحكم الخاص به من وحدة تحكم. يمكن لجهاز VPN أو وحدة تحكم SD-WAN استخدام واجهات برمجة تطبيقات Azure لأتمتة الاتصال بـ Azure Virtual WAN. يتطلب هذا النوع من الاتصال أن يكون للجهاز المحلي عنوان IP عام مواجه خارجيًا مخصصًا له.
قبل أن تبدأ الأتمتة
تحقق من أن الجهاز يدعم IPsec IKEv1/IKEv2. راجع النُّهج الافتراضية.
اعرض واجهات برمجة تطبيقات REST التي تستخدمها لأتمتة الاتصال بـ Azure Virtual WAN.
اختبر تجربة المدخل لـ Azure Virtual WAN.
حدد بعد ذلك أي جزء من خطوات الاتصال التي ترغب في أتمتتها. كحد أدنى، نوصي بأتمتة ما يلي:
- التحكم في الوصول
- تحميل معلومات الجهاز الفرعي إلى Azure Virtual WAN
- تنزيل تكوين Azure وإعداد الاتصال من الجهاز الفرعي إلى Azure Virtual WAN
معلومات إضافية
- REST APIلأتمتة إنشاء Virtual Hub
- REST API لأتمتة بوابة Azure VPN لـ Virtual WAN
- REST API لتوصيل VPNSite بـ Azure VPN Hub
- نُهج IPsec الافتراضية
تجربة المستخدم
افهم تجربة العملاء المتوقعة مع Azure Virtual WAN.
- يباشر عادةً مستخدم WAN الظاهري العملية بإنشاء مورد Virtual WAN.
- سيقوم المستخدم بإعداد وصول مجموعة موارد على أساس الخدمة إلى النظام المحلي (وحدة تحكم فرعية أو برنامج توفير جهاز VPN) لكتابة معلومات الفرع في Azure Virtual WAN.
- قد يقرر المستخدم في هذا الوقت تسجيل الدخول إلى واجهة المستخدم وإعداد بيانات اعتماد كيان الخدمة. يجب، بمجرد اكتمال ذلك، أن تتمكن وحدة التحكم لديك من تحميل معلومات الفرع باستخدام الأتمتة التي ستوفرها. الإجراء المكافئ يدويًا لهذا على جانب Azure هو «إنشاء موقع».
- بمجرد توفر معلومات الموقع (الجهاز الفرعي) في Azure، سيبدأ المستخدم بتوصيل الموقع بمركز. المركز الافتراضي هو شبكة افتراضية تديرها Microsoft. يحتوي المركز على نقاط نهاية خدمة مختلفة لتمكين الاتصال من الشبكة المحلية (vpnsite). المركز هو جوهر شبكتك في منطقة ما ويتم إنشاء نقطة نهاية VPN (vpngateway) داخلها أثناء هذه العملية. يمكنك إنشاء أكثر من مركز واحد في نفس المنطقة لنفس Azure Virtual WAN. بوابة VPN هي بوابة قابلة للتوسعة تقاس بشكل مناسب استنادًا إلى النطاق الترددي واحتياجات الاتصال. يمكنك اختيار أتمتة إنشاء مركز ظاهري وvpngateway من لوحة معلومات وحدة التحكم للجهاز الفرعي.
- بمجرد إقران Hub الظاهري بالموقع، يتم إنشاء ملف تكوين للمستخدم للتنزيل يدويًا. هذا هو المكان الذي تظهر فيه الأتمتة وتجعل تجربة المستخدم سلسة. يمكنك، بدلًا من اضطرار المستخدم إلى تنزيل وتكوين الجهاز الفرعي يدويًا، تعيين الأتمتة وتوفير الحد الأدنى من تجربة النقر على واجهة المستخدم لديك، وبالتالي تخفيف مشكلات الاتصال المعتادة مثل عدم تطابق المفتاح المشترك، وعدم تطابق معلمة IPSec، وقابلية قراءة ملف التكوين وما إلى ذلك.
- سيكون للمستخدم، في نهاية هذه الخطوة في الحل لديك، اتصال سلس من موقع إلى موقع بين الجهاز الفرعي والمركز الظاهري. يمكنك أيضًا إعداد اتصالات إضافية عبر مراكز أخرى. كل اتصال هو نفق نشط-نشط. قد يختار العميل استخدام ISP مختلف لكل ارتباط من ارتباطات للنفق.
- يوصى بمراعاة توفير إمكانات استكشاف الأخطاء وإصلاحها ومراقبتها في واجهة إدارة CPE. تتضمن السيناريوهات النموذجية "العميل غير قادر على الوصول إلى موارد Azure بسبب مشكلة CPE" و"إظهار معلمات IPsec على جانب CPE" وما إلى ذلك.
تفاصيل الأتمتة
عنصر تحكم الوصول
يجب أن يتمكن العملاء من إعداد التحكم في الوصول المناسب إلى Virtual WAN في واجهة مستخدم الجهاز. يوصى باستخدام «كيان الخدمة في Azure». يقدم الوصول المستند إلى كيان الخدمة المصادقة المناسبة لوحدة التحكم في الجهاز لتحميل معلومات الفرع. لمزيد من المعلومات، راجع «إنشاء كيان الخدمة». في حين أن هذه الوظيفة خارج عرض Azure Virtual WAN، فإننا ندرج أدناه الخطوات النموذجية التي تم اتخاذها لإعداد الوصول في Azure وبعد ذلك يتم إدخال التفاصيل ذات الصلة في لوحة معلومات إدارة الجهاز
- إنشاء تطبيق Microsoft Entra لوحدة تحكم الجهاز المحلية.
- احصل على معرّف التطبيق ومفتاح المصادقة
- احصل على معرّف المستأجر
- عيّن التطبيق على دور "المساهم"
حمل معلومات الجهاز الفرعي
يجب تصميم تجربة المستخدم لتحميل معلومات الفرع (الموقع المحلي) إلى Azure. يمكنك استخدام واجهات برمجة تطبيقات REST لـ VPNSite لإنشاء معلومات الموقع في Virtual WAN. يمكنك تقديم جميع أجهزة SDWAN/VPN الفرعية أو تحديد تخصيصات الجهاز حسب الاقتضاء.
تنزيل تكوين الجهاز والاتصال
تتضمن هذه الخطوة تنزيل تكوين Azure وإعداد الاتصال من الجهاز الفرعي إلى Azure Virtual WAN. سيبدأ عميل لا يستخدم موفرا في هذه الخطوة بتنزيل تكوين Azure يدويا وتطبيقه على جهاز SDWAN/VPN المحلي الخاص به. بصفتك موفرً، يجب عليك أتمتة هذه الخطوة. اعرض تنزيل واجهات برمجة تطبيقات REST للحصول على معلومات إضافية. يمكن لوحدة تحكم الجهاز استدعاء واجهة برمجة تطبيقات REST 'GetVpnConfiguration' لتنزيل تكوين Azure.
ملاحظات التكوين
- إذا تم إرفاق شبكات Azure الظاهرية بالمركز الظاهري، فستظهر كـ ConnectedSubnets.
- يستخدم اتصال VPN التكوين المستند إلى المسار ويدعم كل من بروتوكولات IKEv1 وIKEv2.
ملف تكوين الجهاز
يحتوي ملف تكوين الجهاز على الإعدادات التي يجب استخدامها عند تكوين جهاز VPN المحلي. عند عرض هذا الملف، لاحظ المعلومات التالية:
vpnSiteConfiguration - يشير هذا القسم إلى تفاصيل الجهاز الذي جرى إعداده كموقع متصل بشبكة WAN الظاهرية. حيث يتضمن الاسم وعنوان IP العام للجهاز الفرعي.
vpnSiteConnections - يقدم هذا القسم معلومات تتعلق بما يلي:
مساحة العنوان لـ VNet الخاصة بالمركز (المراكز) الظاهرية.
مثال:"AddressSpace":"10.1.0.0/24"مساحة عنوان VNets المتصلة بالمركز.
مثال:"ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]عناوين IP الخاصة ببوابة VPN للمركز الظاهري. نظرًا لأن كل اتصال لدى vpngateway يتكون من نفقين بتكوين نشط-نشط، فسترى عناوين IP مدرجة في هذا الملف. في هذا المثال، ترى "Instance0" و "Instance1" لكل موقع.
مثال:"Instance0":"104.45.18.186" "Instance1":"104.45.13.195"تفاصيل تكوين اتصال بوابة Vpn مثل BGP، والمفتاح المشترك مسبقًا وما إلى ذلك. PSK هو عبارة عن المفتاح المشترك مسبقًا الذي يتم إنشاؤه تلقائيًّا لصالحك. يمكنك دائمًا تعديل الاتصال في صفحة نظرة عامة للحصول على PSK مخصص.
مثال على ملف تكوين الجهاز
{
"configurationVersion":{
"LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
"Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
},
"vpnSiteConfiguration":{
"Name":"testsite1",
"IPAddress":"73.239.3.208"
},
"vpnSiteConnections":[
{
"hubConfiguration":{
"AddressSpace":"10.1.0.0/24",
"Region":"West Europe",
"ConnectedSubnets":[
"10.2.0.0/16",
"10.3.0.0/16"
]
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"104.45.18.186",
"Instance1":"104.45.13.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
"IPsecParameters":{
"SADataSizeInKilobytes":102400000,
"SALifeTimeInSeconds":3600
}
}
}
]
},
{
"configurationVersion":{
"LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
"Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
},
"vpnSiteConfiguration":{
"Name":" testsite2",
"IPAddress":"66.193.205.122"
},
"vpnSiteConnections":[
{
"hubConfiguration":{
"AddressSpace":"10.1.0.0/24",
"Region":"West Europe"
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"104.45.18.187",
"Instance1":"104.45.13.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
"IPsecParameters":{
"SADataSizeInKilobytes":102400000,
"SALifeTimeInSeconds":3600
}
}
}
]
},
{
"configurationVersion":{
"LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
"Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
},
"vpnSiteConfiguration":{
"Name":" testsite3",
"IPAddress":"182.71.123.228"
},
"vpnSiteConnections":[
{
"hubConfiguration":{
"AddressSpace":"10.1.0.0/24",
"Region":"West Europe"
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"104.45.18.187",
"Instance1":"104.45.13.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
"IPsecParameters":{
"SADataSizeInKilobytes":102400000,
"SALifeTimeInSeconds":3600
}
}
}
]
}
تفاصيل الاتصال
يجب أن يتطابق تكوين جهاز SDWAN/VPN أو SD-WAN المحلي مع الخوارزميات والمعلمات التالية التي تحددها في نهج Azure IPsec/IKE أو يحتوي عليها.
- خوارزمية تشفير IKE
- خوارزمية سلامة IKE
- مجموعة DH
- خوارزمية تشفير IPsec
- خوارزمية تكامل بيانات IPsec
- مجموعة PFS
النُهج الافتراضية لاتصال IPsec
إشعار
يمكن، عند التعامل مع النهج الافتراضية، أن يعمل Azure كبادئ ومستجيب أثناء إعداد نفق IPsec. بينما يدعم Virtual WAN VPN العديد من مجموعات الخوارزميات، فإن توصيتنا هي GCMAES256 لكل من تشفير IPSEC وتكامل البيانات لتحقيق أداء أمثل. تعتبر AES256 وSHA256 أقل أداء ومن ثمّ يمكن توقع تدهور الأداء مثل الكمون ونقاط الحزمة لأنواع الخوارزميات المماثلة. لمزيدٍ من المعلومات حول Virtual WAN، انظرالأسئلة المتداولة حول Virtual WAN.
المنشئ
تسرد الأقسام التالية مجموعات النهج المدعومة عندما يكون Azure هو منشئ النفق.
مرحلة-1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
مرحلة-2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
المستجيب
تسرد الأقسام التالية مجموعات النهج المدعومة عندما يكون Azure هو المستجيب للنفق.
مرحلة-1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
مرحلة-2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
- AES_256, SHA_1, PFS_1
- AES_256, SHA_1, PFS_2
- AES_256, SHA_1, PFS_14
- AES_128, SHA_1, PFS_1
- AES_128, SHA_1, PFS_2
- AES_128, SHA_1, PFS_14
- AES_256, SHA_256, PFS_1
- AES_256, SHA_256, PFS_2
- AES_256, SHA_256, PFS_14
- AES_256, SHA_1, PFS_24
- AES_256, SHA_256, PFS_24
- AES_128, SHA_256, PFS_NONE
- AES_128, SHA_256, PFS_1
- AES_128, SHA_256, PFS_2
- AES_128، SHA_256، PFS_14
قيم مدة بقاء SA
تنطبق قيم وقت الحياة هذه على كل من المنشئ والمستجيب
- عمر SA بالثوان: 3600 ثانية
- عمر SA بالبايت: 102,400,000 كيلوبايت
النُهج المخصصة لاتصال IPsec
عند العمل مع نُهج IPsec المخصصة، ضع في اعتبارك المتطلبات التالية:
- IKE - بالنسبة إلى IKE، يمكنك تحديد أي معلمة من تشفير IKE بالإضافة إلى أي معلمة من تكامل بيانات IKE، بالإضافة إلى أي معلمة من DH Group.
- IPsec بالنسبة إلى IPsec، يمكنك تحديد أي معلمة من تشفير IPsec، بالإضافة إلى أي معلمة من تكامل بيانات IPsec بالإضافة إلى PFS. في حال كانت أي من معلمات تشفير IPsec أو تكامل بيانات IPsec هي GCM، فيجب أن تكون المعلمات لكلا الإعدادين GCM.
يتضمن النهج المخصص الافتراضي SHA1 وDHGroup2 و3DES للتوافق مع الإصدارات السابقة. هذه خوارزميات أضعف غير مدعومة عند إنشاء نهج مخصص. نوصي باستخدام الخوارزميات التالية فقط:
الإعدادات والمعلمات المتوفرة
| الإعدادات | المعلمات |
|---|---|
| تشفير IKE | GCMAES256، GCMAES128، AES256، AES128 |
| تكامل بيانات IKE | SHA384، SHA256 |
| مجموعة DH | ECP384، ECP256، DHGroup24، DHGroup14 |
| تشفير IPsec | GCMAES256، GCMAES128، AES256، AES128، None |
| تكامل بيانات IPsec | GCMAES256، GCMAES128، SHA256 |
| مجموعة PFS | ECP384، ECP256، PFS24، PFS14، None |
| مدة بقاء SA | عدد صحيح، 300/افتراضي 3600 ثانية كحد أدنى |
الخطوات التالية
لمزيد من المعلومات حول Virtual WAN، انظرنبذة عن Azure Virtual WANوالأسئلة المتداولة حول Azure Virtual WAN.
للحصول على أي معلومات إضافية، يرجى إرسال بريد إلكتروني إلى azurevirtualwan@microsoft.com. قم بتضمين اسم شركتك في "[]" في سطر الموضوع.