Irányelvek a virtuális WAN-partnerek automatizálásához
Ez a cikk bemutatja, hogyan állíthatja be az automatizálási környezetet egy ágeszköz (helyszíni VPN-eszköz vagy SDWAN CPE) Azure Virtual WAN-hoz való csatlakoztatásához és konfigurálásához. Ha Ön olyan szolgáltató, amely olyan ágeszközöket biztosít, amelyek képesek a VPN-kapcsolat IPsec/IKEv2 vagy IPsec/IKEv1 protokollon keresztüli elhelyezésére, ez a cikk az Ön számára készült.
Az elágaztatási eszközök (helyszíni VPN-eszköz vagy SDWAN CPE) általában egy vezérlő/eszköz irányítópultját használják a kiépítéshez. Az SD-WAN-megoldásgazdák gyakran használhatnak felügyeleti konzolt az eszközök előzetes üzembe helyezéséhez, mielőtt csatlakoztatják a hálózathoz. Ez a VPN-kompatibilis eszköz lekéri a vezérlősík logikáját egy vezérlőből. A VPN-eszköz vagy az SD-WAN-vezérlő azure API-kkal automatizálhatja az Azure Virtual WAN-hoz való kapcsolódást. Ez a kapcsolattípus megköveteli, hogy a helyszíni eszközhöz külsőleg elérhető nyilvános IP-cím legyen hozzárendelve.
Mielőtt elkezdené az automatizálást
Ellenőrizze, hogy az eszköz támogatja-e az IPsec IKEv1/IKEv2 protokollt. Tekintse meg az alapértelmezett szabályzatokat.
Tekintse meg az Azure Virtual WAN-hoz való csatlakozás automatizálásához használt REST API-kat .
Tesztelje az Azure Virtual WAN portálélményét.
Ezután döntse el, hogy a csatlakozási lépések melyik részét szeretné automatizálni. Legalább az automatizálást javasoljuk:
- Access Control
- Ágeszköz adatainak feltöltése az Azure Virtual WAN-ba
- Azure-konfiguráció letöltése és kapcsolat beállítása ágeszközről az Azure Virtual WAN-ba
További információk
- REST API a Virtual Hub létrehozásának automatizálásához
- REST API a Virtual WAN-hoz készült Azure VPN Gateway automatizálásához
- REST API VPNSite azure VPN Hubhoz való csatlakoztatásához
- Alapértelmezett IPsec-szabályzatok
Ügyfélélmény
Az Azure Virtual WAN-jal együtt várható ügyfélélmény megismerése.
- A virtuális WAN-felhasználók általában egy Virtual WAN-erőforrás létrehozásával indítják el a folyamatot.
- A felhasználó beállít egy szolgáltatásnév-alapú erőforráscsoport-hozzáférést a helyszíni rendszerhez (az ön fiókvezérlőjéhez vagy VPN-eszközkiépítési szoftveréhez), hogy ágadatokat írjon az Azure Virtual WAN-ba.
- A felhasználó ekkor dönthet úgy, hogy bejelentkezik a felhasználói felületre, és beállítja a szolgáltatásnév hitelesítő adatait. Ha ez befejeződött, a vezérlőnek képesnek kell lennie áginformációk feltöltésére a megadott automatizálással. Ennek manuális megfelelője az Azure-oldalon a "Webhely létrehozása".
- Ha a webhely (ágeszköz) adatai elérhetővé válnak az Azure-ban, a felhasználó egy központhoz fogja csatlakoztatni a webhelyet. A virtuális központ egy Microsoft által felügyelt virtuális hálózat. Az elosztó különféle szolgáltatásvégpontokat tartalmaz a helyszíni hálózatból (vpnsite) induló kapcsolatok biztosításához. A központ a hálózat magja egy régióban, és a benne lévő VPN-végpont (vpngateway) a folyamat során jön létre. Ugyanabban a régióban több központot is létrehozhat ugyanahhoz az Azure Virtual WAN-hoz. A VPN-átjáró egy méretezhető átjáró, amely a sávszélesség és a kapcsolat igényeinek megfelelően méretezhető. Dönthet úgy, hogy automatizálja a virtuális központ és a vpngateway létrehozását az ágeszköz-vezérlő irányítópultján.
- Miután a virtuális központ a helyhez van társítva, létrejön egy konfigurációs fájl, amelyet a felhasználó manuálisan tölthet le. Itt jön létre az automatizálás, és zökkenőmentessé teszi a felhasználói élményt. Ahelyett, hogy a felhasználónak manuálisan kellene letöltenie és konfigurálnia az ágeszközt, beállíthatja az automatizálást, és minimális átkattintási élményt biztosíthat a felhasználói felületen, ezáltal enyhítve az olyan tipikus csatlakozási problémákat, mint a megosztott kulcsok eltérése, az IPSec-paraméter eltérése, a konfigurációs fájl olvashatósága stb.
- A megoldás ezen lépésének végén a felhasználó zökkenőmentes helyek közötti kapcsolattal fog rendelkezni az ágeszköz és a virtuális központ között. További kapcsolatokat is beállíthat más központok között. Minden kapcsolat egy aktív-aktív alagút. Az ügyfél dönthet úgy, hogy egy másik internetszolgáltatót használ az alagút minden egyes hivatkozásához.
- Fontolja meg a hibaelhárítási és monitorozási képességek biztosítását a CPE felügyeleti felületén. Tipikus forgatókönyvek például a következők: "Az ügyfél cpE-probléma miatt nem tud hozzáférni az Azure-erőforrásokhoz", "IPsec-paraméterek megjelenítése a CPE oldalán" stb.
Automatizálás részletei
Access control
Az ügyfeleknek képesnek kell lenniük a Virtual WAN megfelelő hozzáférés-vezérlésének beállítására az eszköz felhasználói felületén. Ez egy Azure-szolgáltatásnév használata esetén ajánlott. A szolgáltatásnév-alapú hozzáférés megfelelő hitelesítést biztosít az eszközvezérlő számára az ágadatok feltöltéséhez. További információ: Szolgáltatásnév létrehozása. Bár ez a funkció kívül esik az Azure Virtual WAN-ajánlaton, az alábbiakban felsoroljuk az Azure-beli hozzáférés beállításának tipikus lépéseit, amelyek után a vonatkozó részletek bekerülnek az eszközfelügyeleti irányítópultra
- Hozzon létre egy Microsoft Entra-alkalmazást a helyszíni eszközvezérlőhöz.
- Alkalmazásazonosító és hitelesítési kulcs lekérése
- A bérlőazonosító beszerzése
- Alkalmazás hozzárendelése a "Közreműködő" szerepkörhöz
Ágeszköz adatainak feltöltése
A felhasználói felületet úgy kell megterveznie, hogy ág-(helyszíni) adatokat töltsön fel az Azure-ba. A VPNSite REST API-jaival létrehozhatja a webhelyadatokat a Virtual WAN-ban. Megadhatja az összes ág SDWAN/VPN-eszközt, vagy szükség szerint kiválaszthatja az eszköz testreszabását.
Eszközkonfiguráció letöltése és csatlakoztatása
Ebben a lépésben le kell töltenie az Azure-konfigurációt, és be kell állítania a kapcsolatot az ágeszközről az Azure Virtual WAN-ba. Ebben a lépésben egy szolgáltatót nem használó ügyfél manuálisan letölti az Azure-konfigurációt, és alkalmazza azt a helyszíni SDWAN/VPN-eszközére. Szolgáltatóként automatizálnia kell ezt a lépést. További információkért tekintse meg a REST API-k letöltését. Az eszközvezérlő meghívhatja a "GetVpnConfiguration" REST API-t az Azure-konfiguráció letöltéséhez.
Konfigurációs megjegyzések
- Ha az Azure-beli virtuális hálózatok a virtuális központhoz vannak csatolva, Csatlakozás edSubnetekként jelennek meg.
- A VPN-kapcsolat útvonalalapú konfigurációt használ, és támogatja az IKEv1 és az IKEv2 protokollt is.
Eszközkonfigurációs fájl
Az eszközkonfigurációs fájl a helyszíni VPN-eszköz konfigurálása során használandó beállításokat tartalmazza. A fájl áttekintésekor a következő információkat láthatja:
vpnSiteConfiguration – Ez a szakasz az eszköz a virtuális WAN-ra csatlakozó helyként való telepítésére vonatkozó adatait tartalmazza. Az ágeszköz nevét és nyilvános IP-címét tartalmazza.
vpnSiteConnections – Ez a szakasz a következőkről nyújt információkat:
A virtuális központ(ok) virtuális hálózatának címtere .
Példa:"AddressSpace":"10.1.0.0/24"
A központhoz csatlakoztatott virtuális hálózatok címtere .
Példa:"ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
A virtuális hálózat VPN-átjárójának IP-címei Mivel a VPN-átjáró mindegyik kapcsolata 2 alagutat tartalmaz aktív-aktív konfigurációban, a fájlban mindkét IP-cím szerepel. Ebben a példában mindegyik helyhez az „Instance0” és az „Instance1” van feltüntetve.
Példa:"Instance0":"104.45.18.186" "Instance1":"104.45.13.195"
A Vpngateway kapcsolat konfigurációjának részletei , mint például a BGP, az előre megosztott kulcs stb. A PSK az ön számára automatikusan generált előre megosztott kulcs. A kapcsolatot az egyéni PSK Áttekintés lapján bármikor szerkesztheti.
Példa eszközkonfigurációs fájlra
{
"configurationVersion":{
"LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
"Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
},
"vpnSiteConfiguration":{
"Name":"testsite1",
"IPAddress":"73.239.3.208"
},
"vpnSiteConnections":[
{
"hubConfiguration":{
"AddressSpace":"10.1.0.0/24",
"Region":"West Europe",
"ConnectedSubnets":[
"10.2.0.0/16",
"10.3.0.0/16"
]
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"104.45.18.186",
"Instance1":"104.45.13.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
"IPsecParameters":{
"SADataSizeInKilobytes":102400000,
"SALifeTimeInSeconds":3600
}
}
}
]
},
{
"configurationVersion":{
"LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
"Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
},
"vpnSiteConfiguration":{
"Name":" testsite2",
"IPAddress":"66.193.205.122"
},
"vpnSiteConnections":[
{
"hubConfiguration":{
"AddressSpace":"10.1.0.0/24",
"Region":"West Europe"
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"104.45.18.187",
"Instance1":"104.45.13.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
"IPsecParameters":{
"SADataSizeInKilobytes":102400000,
"SALifeTimeInSeconds":3600
}
}
}
]
},
{
"configurationVersion":{
"LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
"Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
},
"vpnSiteConfiguration":{
"Name":" testsite3",
"IPAddress":"182.71.123.228"
},
"vpnSiteConnections":[
{
"hubConfiguration":{
"AddressSpace":"10.1.0.0/24",
"Region":"West Europe"
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"104.45.18.187",
"Instance1":"104.45.13.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
"IPsecParameters":{
"SADataSizeInKilobytes":102400000,
"SALifeTimeInSeconds":3600
}
}
}
]
}
Csatlakozás ivity részletei
A helyszíni SDWAN/VPN-eszköz vagy SD-WAN konfigurációnak meg kell egyeznie vagy tartalmaznia kell a következő algoritmusokat és paramétereket, amelyeket az Azure IPsec/IKE szabályzatban határoz meg.
- IKE titkosítási algoritmus
- IKE integritási algoritmus
- DH-csoport
- IPsec titkosítási algoritmus
- IPsec integritási algoritmus
- PFS-csoport
Alapértelmezett szabályzatok IPsec-kapcsolatokhoz
Megjegyzés:
Az alapértelmezett szabályzatok használatakor az Azure kezdeményezőként és válaszadóként is működhet az IPsec-alagút beállítása során. Bár a Virtual WAN VPN számos algoritmuskombinációt támogat, javaslatunk az IP Standard kiadás C titkosítás és integritás esetében is GCMAES256 az optimális teljesítmény érdekében. Az AES256 és az SHA256 kevésbé teljesítménnyel rendelkezik, ezért hasonló algoritmustípusok esetében teljesítménycsökkenésre, például késésre és csomagcsökkenésre lehet számítani. A Virtual WAN-ról további információt az Azure Virtual WAN gyakori kérdéseiben talál.
kezdeményező
Az alábbi szakaszok a támogatott szabályzatkombinációkat sorolják fel, amikor az Azure az alagút kezdeményezője.
1. fázis
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
2. fázis
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
Válaszadó
Az alábbi szakaszok a támogatott szabályzatkombinációkat sorolják fel, amikor az Azure az alagút válaszadója.
1. fázis
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
2. fázis
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
- AES_256, SHA_1, PFS_1
- AES_256, SHA_1, PFS_2
- AES_256, SHA_1, PFS_14
- AES_128, SHA_1, PFS_1
- AES_128, SHA_1, PFS_2
- AES_128, SHA_1, PFS_14
- AES_256, SHA_256, PFS_1
- AES_256, SHA_256, PFS_2
- AES_256, SHA_256, PFS_14
- AES_256, SHA_1, PFS_24
- AES_256, SHA_256, PFS_24
- AES_128, SHA_256, PFS_NONE
- AES_128, SHA_256, PFS_1
- AES_128, SHA_256, PFS_2
- AES_128, SHA_256, PFS_14
SA élettartamértékek
Ezek az élettartamértékek mind a kezdeményezőre, mind a válaszadóra érvényesek
- Sa élettartam másodpercben: 3600 másodperc
- Sa élettartam bájtban: 102 400 000 KB
Egyéni szabályzatok az IPsec-kapcsolathoz
Egyéni IPsec-szabályzatok használatakor tartsa szem előtt a következő követelményeket:
- IKE – Az IKE-hez az IKE Encryption bármely paraméterét, valamint az IKE-integritás bármely paraméterét, valamint a DH-csoport bármely paraméterét kiválaszthatja.
- IPsec – Az IPsec esetében bármelyik paraméter kiválasztható az IPsec-titkosításból, valamint az IPsec-integritás bármely paramétere, valamint a PFS. Ha az IPsec-titkosítás vagy az IPsec-integritás bármelyik paramétere GCM, akkor mindkét beállítás paramétereinek GCM-nek kell lenniük.
Az alapértelmezett egyéni szabályzat tartalmazza az SHA1, a DHGroup2 és a 3DES-t a visszamenőleges kompatibilitás érdekében. Ezek gyengébb algoritmusok, amelyek nem támogatottak egyéni szabályzatok létrehozásakor. Javasoljuk, hogy csak a következő algoritmusokat használja:
Elérhető beállítások és paraméterek
Beállítás | Parameters |
---|---|
IKE-titkosítás | GCMAES256, GCMAES128, AES256, AES128 |
IKE-integritás | SHA384, SHA256 |
DH-csoport | ECP384, ECP256, DHGroup24, DHGroup14 |
IPsec-titkosítás | GCMAES256, GCMAES128, AES256, AES128, None |
IPsec-integritás | GCMAES256, GCMAES128, SHA256 |
PFS-csoport | ECP384, ECP256, PFS24, PFS14, None |
SA élettartama | Egész; min. 300/ alapértelmezett 3600 másodperc |
Következő lépések
A Virtual WAN-ról további információt az Azure Virtual WAN-ról és az Azure Virtual WAN-ról szóló gyakori kérdésekben talál.
További információért küldjön egy e-mailt a következő címre azurevirtualwan@microsoft.com: . Adja meg a vállalat nevét szögletes zárójelek ([]) között az e-mail tárgymezőjében.