Automatiseringsrichtlijnen voor Virtual WAN-partners

In dit artikel wordt uitgelegd hoe u de automatiseringsomgeving instelt om verbinding te maken met een vertakkingsapparaat (een on-premises VPN-apparaat of SDWAN CPE) voor Azure Virtual WAN. Als u een provider bent die vertakkingsapparaten biedt die geschikt zijn voor VPN-connectiviteit via IPsec/IKEv2 of IPsec/IKEv1, is dit artikel geschikt voor u.

Een vertakkingsapparaat (een on-premises VPN-apparaat of SDWAN CPE) gebruikt doorgaans een controller-/apparaatdashboard dat moet worden ingericht. Sd-WAN-oplossingsbeheerders kunnen vaak een beheerconsole gebruiken om een apparaat vooraf in te richten voordat het wordt aangesloten op het netwerk. Dit apparaat dat geschikt is voor VPN haalt de logica van het besturingsvlak op van een controller. De VPN-apparaat- of SD-WAN-controller kan Azure-API's gebruiken om de connectiviteit met Azure Virtual WAN te automatiseren. Voor dit type verbinding moet aan het on-premises apparaat een extern gericht openbaar IP-adres zijn toegewezen.

Voordat u begint met automatiseren

• Controleer of uw apparaat IPsec IKEv1/IKEv2 ondersteunt. Zie het standaardbeleid.

• Bekijk de REST API's die u gebruikt om de connectiviteit met Azure Virtual WAN te automatiseren.

• Test de portalervaring van Azure Virtual WAN.

• Bepaal vervolgens welk deel van de connectiviteitsstappen u wilt automatiseren. U wordt ten minste aangeraden het volgende te automatiseren:

  • Toegangsbeheer
  • Uploaden van apparaatgegevens van vertakkingen naar Azure Virtual WAN
  • Azure-configuratie downloaden en connectiviteit instellen van vertakkingsapparaat naar Azure Virtual WAN

Aanvullende informatie

• REST API voor het automatiseren van het maken van virtuele hubs
• REST API voor het automatiseren van Azure VPN-gateway voor Virtual WAN
• REST API om een VPNSite te verbinden met een Azure VPN Hub
• Standaardbeleid voor IPsec

Klantervaring

Inzicht in de verwachte klantervaring in combinatie met Azure Virtual WAN.

1. Normaal gesproken start een virtual WAN-gebruiker het proces door een Virtual WAN-resource te maken.
2. De gebruiker stelt een op een service-principal gebaseerde resourcegroeptoegang in voor het on-premises systeem (de vertakkingscontroller of de software voor het inrichten van VPN-apparaten) om vertakkingsgegevens naar Azure Virtual WAN te schrijven.
3. De gebruiker kan op dit moment besluiten zich aan te melden bij uw gebruikersinterface en de referenties van de service-principal in te stellen. Zodra dat is voltooid, moet uw controller vertakkingsgegevens kunnen uploaden met de automatisering die u wilt opgeven. Het handmatige equivalent hiervan aan de Azure-zijde is 'Site maken'.
4. Zodra de sitegegevens (vertakkingsapparaat) beschikbaar zijn in Azure, verbindt de gebruiker de site met een hub. een virtuele hub is een virtueel netwerk dat door Microsoft wordt beheerd. De hub bevat verschillende service-eindpunten die verbindingen vanaf uw on-premises netwerk (vpnsite) mogelijk maken. De hub is de kern van uw netwerk in een regio en het VPN-eindpunt (vpngateway) daarbinnen wordt gemaakt tijdens dit proces. U kunt meer dan één hub in dezelfde regio maken voor hetzelfde Azure Virtual WAN. De VPN-gateway is een schaalbare gateway die de juiste grootte heeft op basis van bandbreedte en verbindingsbehoeften. U kunt ervoor kiezen om het maken van virtuele hubs en vpngateway te automatiseren vanuit het dashboard van de vertakkingsapparaatcontroller.
5. Zodra de virtuele hub is gekoppeld aan de site, wordt er een configuratiebestand gegenereerd dat de gebruiker handmatig kan downloaden. Dit is waar uw automatisering binnenkomt en de gebruikerservaring naadloos maakt. In plaats van dat de gebruiker het vertakkingsapparaat handmatig moet downloaden en configureren, kunt u de automatisering instellen en een minimale klik-through-ervaring bieden in uw gebruikersinterface, waardoor typische verbindingsproblemen worden voorkomen, zoals gedeelde sleutel die niet overeenkomen, ipSec-parameter niet overeenkomen, de leesbaarheid van het configuratiebestand, enzovoort.
6. Aan het einde van deze stap in uw oplossing heeft de gebruiker een naadloze site-naar-site-verbinding tussen het vertakkingsapparaat en de virtuele hub. U kunt ook extra verbindingen instellen voor andere hubs. Elke verbinding is een actief-actief-tunnel. Uw klant kan ervoor kiezen om een andere internetprovider te gebruiken voor elk van de koppelingen voor de tunnel.
7. Overweeg het bieden van probleemoplossings- en bewakingsmogelijkheden in de CPE-beheerinterface. Typische scenario's zijn 'Klant heeft geen toegang tot Azure-resources vanwege een CPE-probleem', 'IPsec-parameters aan de CPE-zijde weergeven' enzovoort.

Automatiseringsgegevens

Toegangsbeheer

Klanten moeten het juiste toegangsbeheer kunnen instellen voor Virtual WAN in de gebruikersinterface van het apparaat. Dit wordt aanbevolen met behulp van een Azure-service-principal. Op service-principal gebaseerde toegang biedt de apparaatcontroller de juiste verificatie voor het uploaden van vertakkingsgegevens. Zie Service-principal maken voor meer informatie. Hoewel deze functionaliteit zich buiten het Azure Virtual WAN-aanbod bevindt, worden onder de gebruikelijke stappen vermeld die nodig zijn om toegang in Azure in te stellen, waarna de relevante details worden ingevoerd in het dashboard voor apparaatbeheer

• Maak een Microsoft Entra-toepassing voor uw on-premises apparaatcontroller.
• Toepassings-id en verificatiesleutel ophalen
• Tenant-id ophalen
• Toepassing toewijzen aan rol 'Inzender'

Informatie over het vertakkingsapparaat uploaden

U moet de gebruikerservaring ontwerpen om vertakkingsgegevens (on-premises site) te uploaden naar Azure. U kunt REST API's voor VPNSite gebruiken om de sitegegevens in Virtual WAN te maken. U kunt alle SDWAN-/VPN-vertakkingen opgeven of apparaataanpassingen selecteren, indien van toepassing.

Apparaatconfiguratie downloaden en connectiviteit

Deze stap omvat het downloaden van de Azure-configuratie en het instellen van connectiviteit vanaf het vertakkingsapparaat naar Azure Virtual WAN. In deze stap zou een klant die geen provider gebruikt, de Azure-configuratie handmatig downloaden en toepassen op hun on-premises SDWAN/VPN-apparaat. Als provider moet u deze stap automatiseren. Bekijk de REST API's voor downloaden voor meer informatie. De apparaatcontroller kan de REST API 'GetVpnConfiguration' aanroepen om de Azure-configuratie te downloaden.

Configuratieopmerkingen

• Als Azure-VNets zijn gekoppeld aan de virtuele hub, worden ze weergegeven als Verbinding maken edSubnets.
• VPN-connectiviteit maakt gebruik van configuratie op basis van route en ondersteunt zowel IKEv1- als IKEv2-protocollen.

Apparaatconfiguratiebestand

Het apparaatconfiguratiebestand bevat de instellingen die u dient te gebruiken om uw on-premises VPN-apparaat te configureren. Wanneer u dit bestand bekijkt, ziet u de volgende informatie:

• vpnSiteConfiguration - in deze sectie vindt u de apparaatgegevens, ingesteld als een site die verbinding maakt met het virtuele WAN. Hier vindt u ook de naam en het openbare ip-adres van het branch-apparaat.

• vpnSiteConnections - deze sectie bevat informatie over het volgende:

  • Adresruimte van het VNet van de virtuele hub(s).
    Voorbeeld:

    "AddressSpace":"10.1.0.0/24"
    

  • Adresruimte van de VNets die zijn verbonden met de hub.
    Voorbeeld:

    "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
    

  • IP-adressen van de VPN-gateway van de virtuele hub. Omdat voor de VPN-gateway elke verbinding is opgebouwd uit 2 tunnels in een actief-/actief-configuratie, worden beide IP-adressen in dit bestand vermeld. In dit voorbeeld ziet u voor elke site 'Instance0' en 'Instance1'.
    Voorbeeld:

    "Instance0":"104.45.18.186"
    "Instance1":"104.45.13.195"
    

  • Configuratiedetails van vpngateway-verbinding, zoals BGP, vooraf gedeelde sleutel, enzovoort. De PSK is de vooraf gedeelde sleutel die automatisch voor u wordt gegenereerd. U kunt altijd de verbinding bewerken op de pagina Overzicht om een aangepaste PSK in te stellen.

Voorbeeld van apparaatconfiguratiebestand

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

details van Verbinding maken iviteit

Uw on-premises SDWAN/VPN-apparaat of SD-WAN-configuratie moet overeenkomen met of de volgende algoritmen en parameters bevatten, die u opgeeft in het Azure IPsec-/IKE-beleid.

• IKE-versleutelingsalgoritme
• IKE-integriteitsalgoritme
• DH-groep
• IPsec-versleutelingsalgoritme
• IPsec-integriteitsalgoritme
• PFS-groep

Standaardbeleid voor IPsec-connectiviteit

Notitie

Wanneer u met standaardbeleid werkt, kan Azure fungeren als zowel initiator als responder tijdens het instellen van een IPsec-tunnel. Hoewel Virtual WAN VPN veel combinaties van algoritmen ondersteunt, is onze aanbeveling GCMAES256 voor zowel IPSEC-versleuteling als integriteit voor optimale prestaties. AES256 en SHA256 worden beschouwd als minder presterend en daarom kunnen prestatieverminderingen, zoals latentie en pakketverlies, worden verwacht voor vergelijkbare algoritmetypen. Zie de veelgestelde vragen over Azure Virtual WAN voor meer informatie over Virtual WAN.

Initiator

De volgende secties bevatten de ondersteunde beleidscombinaties wanneer Azure de initiator voor de tunnel is.

Fase-1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

Fase-2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE

Responder

In de volgende secties worden de ondersteunde beleidscombinaties weergegeven wanneer Azure de responder is voor de tunnel.

Fase-1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

Fase-2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE
• AES_256, SHA_1, PFS_1
• AES_256, SHA_1, PFS_2
• AES_256, SHA_1, PFS_14
• AES_128, SHA_1, PFS_1
• AES_128, SHA_1, PFS_2
• AES_128, SHA_1, PFS_14
• AES_256, SHA_256, PFS_1
• AES_256, SHA_256, PFS_2
• AES_256, SHA_256, PFS_14
• AES_256, SHA_1, PFS_24
• AES_256, SHA_256, PFS_24
• AES_128, SHA_256, PFS_NONE
• AES_128, SHA_256, PFS_1
• AES_128, SHA_256, PFS_2
• AES_128, SHA_256, PFS_14

Waarden voor sa-levensduur

Deze waarden voor de levensduur zijn van toepassing op zowel initiator als responder

• SA-levensduur in seconden: 3600 seconden
• SA-levensduur in bytes: 102.400.000 KB

Aangepast beleid voor IPsec-connectiviteit

Houd bij het werken met aangepast IPsec-beleid rekening met de volgende vereisten:

• IKE - Voor IKE kunt u elke parameter selecteren in IKE Encryption, plus elke parameter van IKE Integrity, plus elke parameter van DH Group.
• IPsec : voor IPsec kunt u elke parameter selecteren in IPsec-versleuteling, plus elke parameter uit IPsec-integriteit, plus PFS. Als een van de parameters voor IPsec-versleuteling of IPsec-integriteit GCM is, moeten de parameters voor beide instellingen GCM zijn.

Het standaard aangepaste beleid omvat SHA1, DHGroup2 en 3DES voor achterwaartse compatibiliteit. Dit zijn zwakkere algoritmen die niet worden ondersteund bij het maken van een aangepast beleid. U wordt aangeraden alleen de volgende algoritmen te gebruiken:

Beschikbare instellingen en parameters

Instelling	Parameters
IKE-versleuteling	GCMAES256, GCMAES128, AES256, AES128
IKE-integriteit	SHA384, SHA256
DH-groep	ECP384, ECP256, DHGroup24, DHGroup14
IPsec-versleuteling	GCMAES256, GCMAES128, AES256, AES128, Geen
IPsec-integriteit	GCMAES256, GCMAES128, SHA256
PFS-groep	ECP384, ECP256, PFS24, PFS14, Geen
SA-levensduur	Geheel getal; min. 300/ standaard 3600 seconden

Volgende stappen

Zie Over Azure Virtual WAN en de veelgestelde vragen over Azure Virtual WAN voor meer informatie over Virtual WAN.

Stuur een e-mail naar azurevirtualwan@microsoft.comvoor eventuele aanvullende informatie. Vermeld uw bedrijfsnaam tussen '[ ]' in de onderwerpregel.