Pedoman otomasi untuk mitra Virtual WAN

Artikel ini membantu Anda memahami cara mengatur lingkungan otomatisasi untuk menghubungkan dan mengonfigurasi perangkat cabang (perangkat VPN pelanggan lokal atau SDWAN CPE) untuk Azure Virtual WAN. Jika Anda adalah penyedia yang menyediakan perangkat cabang yang dapat mengakomodasi konektivitas VPN melalui IPsec/IKEv2 atau IPsec/IKEv1, artikel ini untuk Anda.

Perangkat cabang (perangkat VPN lokal pelanggan atau SDWAN CPE) biasanya menggunakan pengontrol/dasbor perangkat untuk disediakan. Administrator solusi SD-WAN sering dapat menggunakan konsol manajemen untuk melakukan penyediaan perangkat terlebih dahulu sebelum dicolokkan ke jaringan. Perangkat berkemampuan VPN ini mendapatkan logika sarana kontrolnya dari pengontrol. Perangkat VPN atau pengontrol SD-WAN dapat menggunakan Azure API untuk mengotomatiskan konektivitas ke Azure Virtual WAN. Jenis koneksi ini mengharuskan perangkat lokal agar memiliki alamat IP publik yang menghadap luar yang telah ditetapkan untuknya.

Sebelum mulai mengotomatiskan

• Verifikasi bahwa perangkat Anda mendukung IPsec IKEv1/IKEv2. Lihat kebijakan default.

• Lihat API REST yang Anda gunakan untuk mengotomatiskan konektivitas ke Azure Virtual WAN.

• Uji pengalaman portal Azure Virtual WAN.

• Kemudian, tentukan bagian mana dari langkah konektivitas yang ingin Anda otomatiskan. Minimal, kami sarankan mengotomatiskan:

  • Access Control
  • Pengunggahan informasi perangkat cabang ke Azure Virtual WAN
  • Mengunduh konfigurasi Azure dan menyiapkan konektivitas dari perangkat cabang ke Azure Virtual WAN

Informasi tambahan

• REST API untuk mengotomatiskan pembuatan Hub Virtual
• REST API untuk mengotomatiskan gateway Azure VPN untuk Virtual WAN
• REST API untuk menghubungkan VPNSite ke Azure VPN Hub
• Kebijakan IPsec default

Pengalaman pelanggan

Pahami pengalaman pelanggan yang diharapkan bersama dengan Azure Virtual WAN.

1. Biasanya, pengguna WAN virtual akan memulai proses dengan membuat sumber daya Azure Virtual WAN.
2. Pengguna akan menyiapkan akses grup sumber daya berbasis prinsipal layanan untuk sistem lokal (pengontrol cabang Atau perangkat lunak penyediaan perangkat VPN Anda) untuk menulis info cabang ke Azure Virtual WAN.
3. Pengguna dapat memutuskan saat ini untuk masuk ke UI Anda dan mengatur kredensial utama layanan. Setelah selesai, pengontrol Anda harus dapat mengunggah informasi cabang dengan otomatisasi yang akan Anda berikan. Manual yang setara dengan ini di sisi Azure adalah 'Buat Situs'.
4. Setelah informasi Situs (perangkat cabang) tersedia di Azure, pengguna akan menghubungkan situs ke hub. A virtual hub adalah jaringan virtual yang dikelola oleh Microsoft. Hub berisi berbagai titik akhir layanan untuk mengaktifkan konektivitas dari jaringan lokal Anda (vpnsite). Hub adalah inti jaringan Anda di suatu wilayah dan titik akhir vpn (vpngateway) di dalamnya dibuat selama proses ini. Anda dapat membuat lebih dari satu hub di wilayah yang sama untuk Azure Virtual WAN yang sama. Gateway VPN adalah gateway yang dapat diskalakan yang berukuran tepat berdasarkan bandwidth dan kebutuhan koneksi. Anda dapat memilih untuk mengotomatiskan hub virtual dan pembuatan vpngateway dari dasbor pengontrol perangkat cabang Anda.
5. Setelah Hub virtual dikaitkan dengan situs, file konfigurasi dihasilkan bagi pengguna untuk mengunduh secara manual. Di sinilah otomatisasi Anda masuk dan membuat pengalaman pengguna mulus. Daripada pengguna harus mengunduh dan mengonfigurasi perangkat cabang secara manual, Anda dapat mengatur otomatisasi dan memberikan pengalaman klik-jalan minimal pada UI Anda, sehingga mengurangi masalah konektivitas umum seperti ketidakcocokan kunci bersama, ketidakcocokan parameter IPSec, keterbacaan file konfigurasi, dll.
6. Pada akhir langkah ini dalam solusi Anda, pengguna akan memiliki koneksi situs-ke-situs yang mulus antara perangkat cabang dan hub virtual. Anda juga dapat mengatur koneksi tambahan di hub lain. Setiap koneksi adalah terowongan aktif-aktif. Pelanggan Anda dapat memilih untuk menggunakan ISP yang berbeda untuk setiap tautan untuk terowongan.
7. Pertimbangkan untuk menyediakan kemampuan pemecahan masalah dan pemantauan di antarmuka manajemen CPE. Skenario umum termasuk "Pelanggan tidak dapat mengakses sumber daya Azure karena masalah CPE", "Tampilkan parameter IPsec di sisi CPE" dll.

Detail otomatisasi

Kontrol akses

Pelanggan harus dapat mengatur kontrol akses yang sesuai untuk Virtual WAN di UI perangkat. Ini disarankan menggunakan Perwakilan Layanan Azure. Akses berbasis perwakilan layanan menyediakan autentikasi yang sesuai untuk mengunggah informasi cabang kepada pengontrol perangkat. Untuk informasi selengkapnya, lihat Membuat perwakilan layanan. Meskipun fungsi ini berada di luar penawaran Azure Virtual WAN, kami mencantumkan di bawah langkah-langkah umum yang diambil untuk mengatur akses di Azure setelah itu detail yang relevan dimasukkan ke dasbor manajemen perangkat

• Buat aplikasi Microsoft Entra untuk pengontrol perangkat lokal Anda.
• Dapatkan ID dan kunci autentikasi aplikasi
• Dapatkan ID penyewa
• Tetapkan aplikasi ke peran "Kontributor"

Mengunggah informasi perangkat cabang

Anda harus merancang pengalaman pengguna untuk mengunggah informasi cabang (situs lokal) ke Azure. Anda dapat menggunakan REST API untuk VPNSite untuk membuat informasi situs di Virtual WAN. Anda dapat menyediakan semua perangkat SDWAN /VPN cabang atau kustomisasi perangkat tertentu sebagaimana mestinya.

Unduhan dan konektivitas konfigurasi perangkat

Langkah ini melibatkan pengunduhan konfigurasi Azure dan menyiapkan konektivitas dari perangkat cabang ke Azure Virtual WAN. Dalam langkah ini, pelanggan yang tidak menggunakan penyedia akan mengunduh konfigurasi Azure secara manual dan menerapkannya ke perangkat SDWAN/VPN lokal mereka. Sebagai penyedia, Anda harus mengotomatiskan langkah ini. Lihat REST API unduhan untuk informasi tambahan. Pengontrol perangkat dapat memanggil 'GetVpnConfiguration' REST API untuk mengunduh konfigurasi Azure.

Catatan konfigurasi

• Jika Azure VNets dilampirkan ke hub virtual, hub tersebut akan muncul sebagai ConnectedSubnets.
• Konektivitas VPN menggunakan konfigurasi berbasis rute dan mendukung protokol IKEv1, dan IKEv2.

File konfigurasi perangkat

File konfigurasi perangkat berisi pengaturan yang akan digunakan saat mengonfigurasi perangkat VPN lokal Anda. Saat Anda menampilkan file ini, perhatikan informasi berikut:

• vpnSiteConfiguration - Bagian ini menunjukkan detail peranti yang disiapkan sebagai situs yang menghubungkan ke virtual WAN. Ini termasuk nama dan alamat IP publik perangkat cabang.

• vpnSiteConnections - Bagian ini menyediakan informasi tentang hal berikut:

  • Ruang alamat hub virtual VNet.
    Contoh:

    "AddressSpace":"10.1.0.0/24"
    

  • Ruang alamat VNet yang tersambung ke hub.
    Contoh:

    "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
    

  • Alamat IP vpngateway hub virtual. Karena vpngateway memiliki koneksi vpngateway yang terdiri dari dua terowongan dalam konfigurasi aktif-aktif, Anda akan melihat kedua alamat IP tercantum dalam file ini. Dalam contoh ini, Anda akan melihat "Instance0" dan "Instance1" untuk setiap situs.
    Contoh:

    "Instance0":"104.45.18.186"
    "Instance1":"104.45.13.195"
    

  • Detail konfigurasi koneksi vpngateway seperti BGP, kunci pra-bagi, dll. PSK adalah kunci pra-bagi yang otomatis dibuat untuk Anda. Anda selalu dapat mengedit sambungan di halaman Ringkasan untuk PSK kustom.

Contoh file konfigurasi perangkat

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

Detail konektivitas

Konfigurasi perangkat SDWAN/VPN lokal atau SD-WAN Anda harus cocok atau berisi algoritma dan parameter berikut yang Anda tentukan pada kebijakan Azure IPsec/IKE.

• Algoritma enkripsi IKE
• Algoritma integritas IKE
• Grup DH
• Algoritma enkripsi IPsec
• Algoritma integritas IPsec
• Grup PFS

Kebijakan default untuk konektivitas IPsec

Catatan

Saat bekerja dengan kebijakan Default, Azure dapat bertindak sebagai inisiator dan penanggap selama penyiapan terowongan IPsec. Meskipun Virtual WAN VPN mendukung banyak kombinasi algoritme, rekomendasi kami adalah GCMAES256 untuk Enkripsi IPSEC dan Integritas untuk performa yang optimal. AES256 dan SHA256 dianggap kurang berperforma dan oleh karena itu degradasi performa seperti latensi dan packet drop dapat diharapkan untuk jenis algoritma serupa. Untuk informasi selengkapnya tentang Virtual WAN, lihat FAQ tentang Azure Virtual WAN.

Inisiator

Bagian berikut mencantumkan kombinasi kebijakan yang didukung saat Azure adalah inisiator untuk terowongan.

Fase-1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

Fase-2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE

Penanggap

Bagian berikut mencantumkan kombinasi kebijakan yang didukung saat Azure adalah penanggap untuk terowongan.

Fase-1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

Fase-2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE
• AES_256, SHA_1, PFS_1
• AES_256, SHA_1, PFS_2
• AES_256, SHA_1, PFS_14
• AES_128, SHA_1, PFS_1
• AES_128, SHA_1, PFS_2
• AES_128, SHA_1, PFS_14
• AES_256, SHA_256, PFS_1
• AES_256, SHA_256, PFS_2
• AES_256, SHA_256, PFS_14
• AES_256, SHA_1, PFS_24
• AES_256, SHA_256, PFS_24
• AES_128, SHA_256, PFS_NONE
• AES_128, SHA_256, PFS_1
• AES_128, SHA_256, PFS_2
• AES_128, SHA_256, PFS_14

Nilai Masa Pakai SA

Nilai waktu hidup ini berlaku untuk inisiator dan responden

• Masa Pakai SA dalam detik: 3600 detik
• Masa Pakai SA dalam Byte: 102.400.000 KB

Kebijakan kustom untuk konektivitas IPsec

Saat bekerja dengan kebijakan IPsec khusus, perhatikan persyaratan berikut:

• IKE - Untuk IKE Fase 1, Anda dapat memilih parameter apa pun dari Enkripsi IKE, ditambah parameter apa pun dari Integritas IKE, ditambah parameter apa pun dari DH Group.
• IPsec - Untuk IPsec Fase 2, Anda dapat memilih parameter apa pun dari Enkripsi IPsec, ditambah parameter dari Integritas IPsec, ditambah PFS. Jika salah satu parameter untuk Enkripsi IPsec atau Integritas IPsec adalah GCM, maka parameter untuk kedua pengaturan harus GCM.

Kebijakan kustom default mencakup SHA1, DHGroup2, dan 3DES untuk kompatibilitas mundur. Ini adalah algoritma yang lebih lemah yang tidak didukung saat membuat kebijakan kustom. Sebaiknya gunakan algoritma berikut:

Pengaturan dan parameter yang tersedia

Pengaturan	Parameter
Enkripsi IKE	GCMAES256, GCMAES128, AES256, AES128
Integritas IKE	SHA384, SHA256
Grup DH	ECP384, ECP256, DHGroup24, DHGroup14
Enkripsi IPsec	GCMAES256, GCMAES128, AES256, AES128, None
Integritas IPsec	GCMAES256, GCMAES128, SHA256
Grup PFS	ECP384, ECP256, PFS24, PFS14, None
Umur hidup SA	bilangan bulat; min. 300/ default 3600 detik

Langkah berikutnya

Untuk informasi selengkapnya tentang Virtual WAN, lihat Tentang Azure Virtual WAN dan Tanya Jawab Umum Azure Virtual WAN.

Untuk informasi tambahan, harap kirim email ke azurevirtualwan@microsoft.com. Sertakan nama perusahaan Anda di "[ ]" di baris subjek.