Automatiseringsriktlinjer för Virtual WAN-partner

  • Artikel
  • 7 minuter för att läsa

Den här artikeln hjälper dig att förstå hur du konfigurerar Automation-miljön för att ansluta och konfigurera en grenad enhet (en lokal VPN-enhet eller SDWAN CPE) för Azure Virtual WAN. Om du är en provider som tillhandahåller avdelnings enheter som kan hantera VPN-anslutning via IPsec/IKEv2 eller IPsec/IKEv1, är den här artikeln för dig.

En grenen het (en lokal VPN-enhet eller SDWAN CPE) använder vanligt vis en styrenhets-eller enhets instrument panel för att tillhandahållas. Administratörer för SD-WAN-lösningar kan ofta använda en hanterings konsol för att företablera en enhet innan den kopplas till nätverket. Den här VPN-kompatibla enheten får kontroll Plans logik från en kontroll enhet. VPN-enheten eller SD-WAN-styrenheten kan använda Azure API: er för att automatisera anslutningen till Azure Virtual WAN. Den här typen av anslutning kräver att den lokala enheten har tilldelats en externt riktad offentlig IP-adress.

Innan du börjar automatisera

  • Kontrol lera att enheten har stöd för IPsec IKEv1/IKEv2. Se standard principer.

  • Visa de REST-API: er som du använder för att automatisera anslutningen till Azure Virtual WAN.

  • Testa Portal upplevelsen av Azure Virtual WAN.

  • Bestäm sedan vilken del av anslutnings stegen du vill automatisera. Vi rekommenderar minst att du automatiserar:

    • Åtkomstkontroll
    • Ladda upp information om gren enhet till Azure Virtual WAN
    • Hämta Azure-konfiguration och konfigurera anslutning från gren enheten till Azure Virtual WAN

Ytterligare information

Kund upplevelse

Förstå den förväntade kund upplevelsen tillsammans med Azure Virtual WAN.

  1. Vanligt vis startar en virtuell WAN-användare processen genom att skapa en virtuell WAN-resurs.
  2. Användaren konfigurerar en tjänstens huvud namns-baserade resurs grupp åtkomst för det lokala systemet (din gren kontroll eller VPN-enhetens etablerings program) för att skriva informations Grens information i Azure Virtual WAN.
  3. Användaren kan välja att logga in på ditt användar gränssnitt och konfigurera autentiseringsuppgifterna för tjänstens huvud namn. När den är klar ska din kontrollant kunna ladda upp information om grenen med den automatisering som du kommer att tillhandahålla. Den manuella motsvarigheten till det här på Azure-sidan är "Skapa webbplats".
  4. När informationen om plats (gren enhet) är tillgänglig i Azure kommer användaren att ansluta platsen till en hubb. En virtuell hubb är ett Microsoft-hanterat virtuellt nätverk. Navet innehåller olika tjänstslutpunkter för anslutning från ditt lokala nätverk (vpnsite). Navet är kärnan i ditt nätverk i en region. Det kan bara finnas en hubb per Azure-region och VPN-slutpunkten (vpngateway) i den skapas under den här processen. VPN-gatewayen är en skalbar Gateway vars storlek är lämplig baserat på bandbredd och anslutnings behov. Du kan välja att automatisera virtuell hubb och vpngateway skapande från din avdelnings styrenhets instrument panel.
  5. När den virtuella hubben är kopplad till platsen genereras en konfigurations fil för att användaren ska kunna hämta den manuellt. Det är här som din automatisering kommer i och gör användar upplevelsen sömlös. I stället för att användaren måste hämta och konfigurera gren enheten manuellt, kan du ställa in automatiseringen och tillhandahålla minimala klickningar i användar gränssnittet, vilket minskar vanliga anslutnings problem, t. ex. delade nycklar, IPSec-parameter matchning, konfigurations filens läsbarhet osv.
  6. I slutet av det här steget i lösningen kommer användaren att ha en sömlös plats-till-plats-anslutning mellan gren enheten och den virtuella hubben. Du kan också konfigurera ytterligare anslutningar över andra hubbar. Varje anslutning är en aktiv-aktiv-tunnel. Kunden kan välja att använda en annan Internet leverantör för var och en av länkarna för tunneln.
  7. Överväg att tillhandahålla fel söknings-och övervaknings funktioner i hanterings gränssnittet för CPE. Vanliga scenarier är "kunder som inte kan komma åt Azure-resurser på grund av ett CPE-problem", "Visa IPsec-parametrar på CPE-sidan" osv.

Information om Automation

Åtkomstkontroll

Kunderna måste kunna ställa in lämplig åtkomst kontroll för virtuellt WAN-nätverk i enhetens användar gränssnitt. Detta rekommenderas med hjälp av ett huvud namn för Azure-tjänsten. Tjänstens huvud namn (SPN) tillhandahåller den enhets styrenhet som är lämplig autentisering för att överföra information om grenen. Mer information finns i skapa tjänstens huvud namn. Även om den här funktionen ligger utanför det virtuella WAN-erbjudandet i Azure finns en lista under de vanligaste stegen för att ställa in åtkomst i Azure efter vilken relevant information finns i listan på instrument panelen för enhets hantering

  • Skapa ett Azure Active Directory-program för din lokala enhets styrenhet.
  • Hämta program-ID och autentiseringsnyckel
  • Hämta klientorganisations-ID
  • Tilldela program till rollen "deltagare"

Ladda upp information om gren enhet

Du bör utforma användar upplevelsen för att ladda upp information om grenen (lokal plats) till Azure. Du kan använda REST-API: er för VPNSite för att skapa plats informationen i virtuella WAN-nätverk. Du kan tillhandahålla alla gren-SDWAN/VPN-enheter eller välja enhets anpassningar efter behov.

Hämtning och anslutning av enhets konfiguration

Det här steget innebär att ladda ned Azure-konfiguration och konfigurera anslutning från gren enheten till Azure Virtual WAN. I det här steget laddar en kund som inte använder en provider manuellt Azure-konfigurationen och tillämpar den på den lokala SDWAN/VPN-enheten. Som en provider bör du automatisera det här steget. Se Hämta REST-API: er för ytterligare information. Enhets styrenheten kan anropa ' GetVpnConfiguration ' REST API för att ladda ned Azure-konfigurationen.

Konfigurations anmärkningar

  • Om Azure-virtuella nätverk är anslutna till den virtuella hubben visas de som ConnectedSubnets.
  • VPN-anslutningar använder väg-baserad konfiguration och stöder både IKEv1-och IKEv2-protokoll.

Enhets konfigurations fil

Konfigurationsfilen för enheten innehåller de inställningarna du ska använda när du konfigurerar den lokala VPN-enheten. När du visar den här filen ser du följande information:

  • vpnSiteConfiguration I det här avsnittet anges enhetsinformation konfigurerad som en plats som ansluter till det virtuella WAN-nätverket. Det omfattar namn och offentlig IP-adress för grenenheten.

  • vpnSiteConnections – Det här avsnittet innehåller information om följande:

    • Adress utrymme för virtuella hubbar VNet.
      Exempel:

      "AddressSpace":"10.1.0.0/24"

    • Adress utrymmet för de virtuella nätverk som är anslutna till hubben.
      Exempel:

      "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]

    • IP-adresser till vpngateway för den virtuella hubben. Eftersom varje anslutning för vpngateway består av två tunnlar i aktiv-aktiv konfiguration ser du båda IP-adresserna listade i den här filen. I det här exemplet ser du "Instance0" och "Instance1" för varje plats.
      Exempel:

      "Instance0":"104.45.18.186"
"Instance1":"104.45.13.195"

    • Vpngateway anslutnings konfigurations information som BGP, i förväg delad nyckel osv. PSK är den i förväg delade nyckeln som skapas automatiskt åt dig. Du kan alltid redigera anslutningen på översiktssidan för en anpassad PSK.

Konfigurationsfil för exempelenhet

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

Anslutnings information

Din lokala SDWAN/VPN-enhet eller SD-WAN-konfiguration måste matcha eller innehålla följande algoritmer och parametrar, som du anger i Azure IPsec/IKE-principen.

  • IKE-krypteringsalgoritm
  • IKE-integritetsalgoritm
  • DH-grupp
  • IPsec-krypteringsalgoritm
  • IPsec-integritetsalgoritm
  • PFS-grupp

Standardprinciper för IPsec-anslutning

Anteckning

När du arbetar med standardprinciper kan Azure fungera som både initierare och svarare under en IPsec-tunnelkonfiguration.

Initierare

I följande avsnitt listas de principkombinationer som stöds när Azure är initierare för tunneln.

Fas 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fas 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Responder

I följande avsnitt listas de principkombinationer som stöds när Azure är svarare för tunneln.

Fas 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fas 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Anpassade principer för IPsec-anslutning

Tänk på följande när du arbetar med anpassade IPsec-principer:

  • IKE – För IKE kan du välja valfri parameter från IKE-kryptering, plus valfri parameter från IKE-integritet, plus valfri parameter från DH-gruppen.
  • IPsec – För IPsec kan du välja valfri parameter från IPsec-kryptering, plus valfri parameter från IPsec-integritet, plus PFS. Om någon av parametrarna för IPsec-kryptering eller IPsec-integritet är GCM måste parametrarna för båda inställningarna vara GCM.

Anteckning

Med anpassade IPsec-principer finns det inget begrepp för svarare och initierare (till skillnad från standard-IPsec-principer). Båda sidorna (lokal och Azure VPN-gateway) använder samma inställningar för IKE Fas 1 och IKE Fas 2. Både IKEv1- och IKEv2-protokoll stöds.

Tillgängliga inställningar och parametrar

Inställning Parametrar
IKE-kryptering GCMAES256, GCMAES128, AES256, AES128
IKE-integritet SHA384, SHA256
DH-grupp ECP384, ECP256, DHGroup24, DHGroup14
IPsec-kryptering GCMAES256, GCMAES128, AES256, AES128, None
IPsec Integrity GCMAES256, GCMAES128, SHA256
PFS-grupp ECP384, ECP256, PFS24, PFS14, None
SA-livstid heltal; min. 300/ standard 3600 sekunder

Nästa steg

Mer information om virtuellt WAN finns i om Azure Virtual WAN och vanliga frågor och svar om Azure Virtual WAN.

Om du vill ha ytterligare information kan du skicka ett e-postmeddelande till azurevirtualwan@microsoft.com . Ange ditt företagsnamn inom [ ] i ämnesraden.