Automatiseringsriktlinjer för Virtual WAN-partner

Den här artikeln hjälper dig att förstå hur du konfigurerar automationsmiljön för att ansluta och konfigurera en grenenhet (en lokal VPN-kundenhet eller SDWAN CPE) för Azure Virtual WAN. Om du är en leverantör som tillhandahåller grenenheter som kan hantera VPN-anslutning via IPsec/IKEv2 eller IPsec/IKEv1 är den här artikeln till dig.

En grenenhet (en lokal VPN-kundenhet eller SDWAN CPE) använder vanligtvis en kontrollant/enhetsinstrumentpanel som ska etableras. SD-WAN-lösningsadministratörer kan ofta använda en hanteringskonsol för att etablera en enhet innan den ansluts till nätverket. Den här VPN-kompatibla enheten hämtar sin kontrollplanslogik från en styrenhet. VPN-enheten eller SD-WAN-styrenheten kan använda Azure-API:er för att automatisera anslutningen till Azure Virtual WAN. Den här typen av anslutning kräver att den lokala enheten har en externt riktad offentlig IP-adress tilldelad till den.

Innan du börjar automatisera

• Kontrollera att enheten stöder IPsec IKEv1/IKEv2. Se standardprinciper.

• Visa DE REST-API:er som du använder för att automatisera anslutningen till Azure Virtual WAN.

• Testa portalupplevelsen i Azure Virtual WAN.

• Bestäm sedan vilken del av anslutningsstegen du vill automatisera. Som minst rekommenderar vi att du automatiserar:

  • Åtkomstkontroll
  • Ladda upp information om grenenheter till Azure Virtual WAN
  • Ladda ned Azure-konfiguration och konfigurera anslutning från grenenhet till Azure Virtual WAN

Ytterligare information

• REST API för att automatisera skapandet av virtuell hubb
• REST API för att automatisera Azure VPN-gateway för Virtual WAN
• REST API för att ansluta en VPNSite till en Azure VPN Hub
• Standardprinciper för IPsec

Kundupplevelse

Förstå den förväntade kundupplevelsen tillsammans med Azure Virtual WAN.

1. Normalt startar en virtuell WAN-användare processen genom att skapa en Virtual WAN-resurs.
2. Användaren konfigurerar en tjänsthuvudnamnsbaserad resursgruppsåtkomst för det lokala systemet (din grenstyrenhet eller VPN-enhetsetableringsprogramvara) för att skriva greninformation till Azure Virtual WAN.
3. Användaren kan för tillfället bestämma sig för att logga in på användargränssnittet och konfigurera autentiseringsuppgifterna för tjänstens huvudnamn. När det är klart bör kontrollanten kunna ladda upp greninformation med den automatisering som du kommer att tillhandahålla. Den manuella motsvarigheten till detta på Azure-sidan är "Skapa webbplats".
4. När informationen om webbplatsen (grenenheten) är tillgänglig i Azure ansluter användaren platsen till en hubb. En virtuell hubb är ett Microsoft-hanterat virtuellt nätverk. Navet innehåller olika tjänstslutpunkter för anslutning från ditt lokala nätverk (vpnsite). Hubben är kärnan i nätverket i en region och VPN-slutpunkten (vpngateway) i den skapas under den här processen. Du kan skapa mer än en hubb i samma region för samma Azure Virtual WAN. VPN-gatewayen är en skalbar gateway som storleksanpassas på lämpligt sätt baserat på bandbredds- och anslutningsbehov. Du kan välja att automatisera skapandet av virtuell hubb och vpngateway från instrumentpanelen för grenenhetskontrollanten.
5. När den virtuella hubben är associerad med platsen genereras en konfigurationsfil som användaren kan ladda ned manuellt. Det är här din automatisering kommer in och gör användarupplevelsen smidig. I stället för att användaren måste ladda ned och konfigurera grenenheten manuellt kan du ange automatiseringen och ge minimal klickupplevelse i användargränssnittet, vilket minskar vanliga anslutningsproblem som felmatchning av delad nyckel, matchningsfel för IPSec-parametrar, läsbarhet för konfigurationsfiler osv.
6. I slutet av det här steget i din lösning har användaren en sömlös plats-till-plats-anslutning mellan grenenheten och den virtuella hubben. Du kan också konfigurera ytterligare anslutningar över andra hubbar. Varje anslutning är en aktiv-aktiv tunnel. Kunden kan välja att använda en annan ISP för var och en av länkarna för tunneln.
7. Överväg att tillhandahålla felsöknings- och övervakningsfunktioner i CPE-hanteringsgränssnittet. Vanliga scenarier är "Kunden kan inte komma åt Azure-resurser på grund av ett CPE-problem", "Visa IPsec-parametrar på CPE-sidan" osv.

Information om automatisering

Åtkomstkontroll

Kunder måste kunna konfigurera lämplig åtkomstkontroll för Virtual WAN i enhetsgränssnittet. Detta rekommenderas med hjälp av ett Huvudnamn för Azure-tjänsten. Tjänstens huvudnamnsbaserad åtkomst ger enhetsstyrenheten lämplig autentisering för att ladda upp greninformation. Mer information finns i Skapa tjänstens huvudnamn. Även om den här funktionen ligger utanför Azure Virtual WAN-erbjudandet listar vi nedan de vanliga steg som vidtagits för att konfigurera åtkomst i Azure varefter relevant information matas in på instrumentpanelen för enhetshantering

• Skapa ett Microsoft Entra-program för din lokala enhetsstyrenhet.
• Hämta program-ID och autentiseringsnyckel
• Hämta klientorganisations-ID
• Tilldela program till rollen "Deltagare"

Ladda upp enhetsinformation för gren

Du bör utforma användarupplevelsen för att ladda upp greninformation (lokal plats) till Azure. Du kan använda REST-API:er för VPNSite för att skapa platsinformationen i Virtual WAN. Du kan ange alla SDWAN/VPN-enheter för grenen eller välja enhetsanpassningar efter behov.

Nedladdning och anslutning av enhetskonfiguration

Det här steget omfattar nedladdning av Azure-konfiguration och konfiguration av anslutning från grenenheten till Azure Virtual WAN. I det här steget skulle en kund som inte använder en provider manuellt ladda ned Azure-konfigurationen och tillämpa den på sin lokala SDWAN/VPN-enhet. Som leverantör bör du automatisera det här steget. Visa REST-API:er för nedladdning för ytterligare information. Enhetsstyrenheten kan anropa REST API:et GetVpnConfiguration för att ladda ned Azure-konfigurationen.

Konfigurationsanteckningar

• Om virtuella Azure-nätverk är anslutna till den virtuella hubben visas de som Anslut edSubnets.
• VPN-anslutning använder routningsbaserad konfiguration och stöder både IKEv1- och IKEv2-protokoll.

Enhetskonfigurationsfil

Konfigurationsfilen för enheten innehåller de inställningarna du ska använda när du konfigurerar den lokala VPN-enheten. När du visar den här filen ser du följande information:

• vpnSiteConfiguration I det här avsnittet anges enhetsinformation konfigurerad som en plats som ansluter till det virtuella WAN-nätverket. Det omfattar namn och offentlig IP-adress för grenenheten.

• vpnSiteConnections – Det här avsnittet innehåller information om följande:

  • Adressutrymme för det virtuella hubbnätverket.
    Exempel:

    "AddressSpace":"10.1.0.0/24"
    

  • Adressutrymme för de virtuella nätverk som är anslutna till hubben.
    Exempel:

    "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
    

  • IP-adresser till vpngateway för den virtuella hubben. Eftersom varje anslutning för vpngateway består av två tunnlar i aktiv-aktiv konfiguration ser du båda IP-adresserna listade i den här filen. I det här exemplet ser du "Instance0" och "Instance1" för varje plats.
    Exempel:

    "Instance0":"104.45.18.186"
    "Instance1":"104.45.13.195"
    

  • Konfigurationsinformation för Vpngateway-anslutning, till exempel BGP, i förväg delad nyckel osv. PSK är den i förväg delade nyckeln som genereras automatiskt åt dig. Du kan alltid redigera anslutningen på översiktssidan för en anpassad PSK.

Exempel på enhetskonfigurationsfil

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

information om Anslut ivitet

Din lokala SDWAN/VPN-enhet eller SD-WAN-konfiguration måste matcha eller innehålla följande algoritmer och parametrar, som du anger i Azure IPsec/IKE-principen.

• IKE-krypteringsalgoritm
• IKE-integritetsalgoritm
• DH-grupp
• IPsec-krypteringsalgoritm
• IPsec-integritetsalgoritm
• PFS-grupp

Standardprinciper för IPsec-anslutning

Kommentar

När du arbetar med standardprinciper kan Azure fungera som både initierare och svarare under en IPsec-tunnelkonfiguration. Virtual WAN VPN stöder många algoritmkombinationer, men vår rekommendation är GCMAES256 för både IPSEC-kryptering och integritet för optimala prestanda. AES256 och SHA256 anses vara mindre högpresterande och därför kan prestandaförsämring som svarstid och paketförluster förväntas för liknande algoritmtyper. Mer information om Virtual WAN finns i Vanliga frågor och svar om Azure Virtual WAN.

Initierare

I följande avsnitt visas de principkombinationer som stöds när Azure är initierare för tunneln.

Fas 1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

Fas 2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE

Responder

I följande avsnitt visas de principkombinationer som stöds när Azure svarar för tunneln.

Fas 1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

Fas 2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE
• AES_256, SHA_1, PFS_1
• AES_256, SHA_1, PFS_2
• AES_256, SHA_1, PFS_14
• AES_128, SHA_1, PFS_1
• AES_128, SHA_1, PFS_2
• AES_128, SHA_1, PFS_14
• AES_256, SHA_256, PFS_1
• AES_256, SHA_256, PFS_2
• AES_256, SHA_256, PFS_14
• AES_256, SHA_1, PFS_24
• AES_256, SHA_256, PFS_24
• AES_128, SHA_256, PFS_NONE
• AES_128, SHA_256, PFS_1
• AES_128, SHA_256, PFS_2
• AES_128, SHA_256, PFS_14

SA-livslängdsvärden

Dessa livstidsvärden gäller för både initierare och svarare

• SA-livslängd i sekunder: 3 600 sekunder
• SA-livslängd i byte: 102 400 000 KB

Anpassade principer för IPsec-anslutning

Tänk på följande krav när du arbetar med anpassade IPsec-principer:

• IKE – För IKE kan du välja valfri parameter från IKE-kryptering, plus valfri parameter från IKE-integritet, plus valfri parameter från DH-gruppen.
• IPsec – För IPsec kan du välja valfri parameter från IPsec Encryption, plus valfri parameter från IPsec Integrity, plus PFS. Om någon av parametrarna för IPsec-kryptering eller IPsec-integritet är GCM måste parametrarna för båda inställningarna vara GCM.

Den anpassade standardprincipen inkluderar SHA1, DHGroup2 och 3DES för bakåtkompatibilitet. Det här är svagare algoritmer som inte stöds när du skapar en anpassad princip. Vi rekommenderar att du bara använder följande algoritmer:

Tillgängliga inställningar och parametrar

Inställning	Parameters
IKE-kryptering	GCMAES256, GCMAES128, AES256, AES128
IKE-integritet	SHA384, SHA256
DH-grupp	ECP384, ECP256, DHGroup24, DHGroup14
IPsec-kryptering	GCMAES256, GCMAES128, AES256, AES128, None
IPsec Integrity	GCMAES256, GCMAES128, SHA256
PFS-grupp	ECP384, ECP256, PFS24, PFS14, None
SA-livstid	Heltal; min. 300/ standard 3600 sekunder

Nästa steg

Mer information om Virtual WAN finns i Om Azure Virtual WAN och vanliga frågor och svar om Azure Virtual WAN.

Om du vill ha ytterligare information skickar du ett e-postmeddelande till azurevirtualwan@microsoft.com. Ange ditt företagsnamn inom [ ] i ämnesraden.