Рекомендации по автоматизации для партнеров виртуальной глобальной сети

В этой статье показано, как настроить автоматизированную среду для подключения и настройки устройств филиала (локального VPN-устройства клиента или SDWAN CPE) для виртуальной сети Azure WAN. Если вы являетесь поставщиком, предоставляющим устройства филиала, которые могут разместить VPN-подключение через IPsec/IKEv2 или IPsec/IKEv1, эта статья предназначена для вас.

Граничное устройство (локальное VPN-устройство клиента или SDWAN CPE) обычно использует панель управления контроллера или устройства для настройки. SD-WAN администраторы решений часто могут использовать консоль управления для предварительной подготовки устройства перед подключением к сети. Это устройство с поддержкой VPN получает логику плоскости управления от контроллера. VPN-устройство или контроллер SD-WAN могут использовать API Azure для автоматизации подключения к Виртуальной глобальной сети Azure. Этот тип подключения требует, чтобы локальному устройству был выделен общедоступный внешний IP-адрес.

Прежде чем начать автоматизацию

• Убедитесь, что устройство поддерживает IPsec IKEv1/IKEv2. См. политики по умолчанию.

• Посмотрите REST API, которые используются для автоматизации подключения к виртуальной глобальной сети Azure.

• Проверьте интерфейс портала виртуальной глобальной сети Azure.

• Затем определите, какую часть шагов подключения вы хотите автоматизировать. Как минимум, рекомендуется автоматизировать:

  • Контроль доступа
  • Загрузка информации об устройстве филиала в виртуальную WAN Azure
  • Скачивание конфигурации Azure и настройка подключения с устройства филиала в виртуальную глобальную сеть Azure

Дополнительные сведения

• REST API для автоматизации создания виртуального концентратора
• REST API для автоматизации VPN-шлюза Azure для виртуальной глобальной сети
• REST API для подключения VPN-сайта к VPN-концентратору Azure
• Политики IPsec по умолчанию

Взаимодействие с клиентами

Ознакомьтесь с ожидаемым взаимодействием с клиентом в сочетании с виртуальной глобальной сетью Azure.

1. Как правило, пользователь виртуальной глобальной сети запустит процесс, создав ресурс виртуальной глобальной сети.
2. Пользователь настроит доступ к группе ресурсов на основе субъекта-службы для локальной системы (контроллера филиала или программного обеспечения подготовки VPN-устройств) для записи сведений о ветви в виртуальную глобальную сеть Azure.
3. Пользователь может решить в этот момент войти в ваш пользовательский интерфейс и настроить учетные данные сервисного принципала. После завершения контроллер сможет загружать сведения о ветви с помощью автоматизации, которую вы предоставите. Эквивалентом этого вручную на стороне Azure является "Создать сайт".
4. После того как сведения о сайте (устройство ветви) будут доступны в Azure, пользователь подключит сайт к концентратору. Виртуальный концентратор — это управляемая корпорацией Майкрософт виртуальная сеть. Концентратор содержит различные конечные точки службы для обеспечения подключения из вашей локальной сети (vpnsite). Центр является ядром в вашей сети в регионе, и конечная точка VPN (vpngateway) создается внутри нее во время этого процесса. Вы можете создать несколько концентраторов в одном регионе для одной виртуальной глобальной сети Azure. VPN-шлюз — это масштабируемый шлюз, размер которого соответствует требованиям пропускной способности и подключения. Вы можете автоматизировать создание виртуального концентратора и VPN-шлюза на панели управления контроллером устройств филиала.
5. После ассоциации виртуального концентратора с сайтом создается файл конфигурации, который пользователь должен скачать вручную. Именно здесь автоматизация вступает в действие и делает опыт пользователя бесшовным. Вместо того, чтобы пользователь вручную скачивал и настраивал устройство филиала, вы можете настроить автоматизацию и обеспечить максимально простую работу с пользовательским интерфейсом, тем самым устраняя типичные проблемы с подключением, такие как несоответствие общего ключа, несоответствие параметров IPSec, читаемость файла конфигурации и т. д.
6. В конце этого шага в рамках решения пользователь будет иметь бесшовное соединение между устройством филиала и виртуальным концентратором. Вы также можете настроить дополнительные подключения между другими центрами. Каждое подключение является туннелем активного-активного типа. Клиент может использовать другого провайдера для каждого канала туннеля.
7. Рассмотрите возможность устранения неполадок и мониторинга в интерфейсе управления CPE. Типичные сценарии включают "Клиент не может получить доступ к ресурсам Azure из-за проблемы CPE", "Показать параметры IPsec на стороне CPE" и т. д.

Сведения об автоматизации

Управление доступом

Клиенты должны иметь возможность настроить соответствующий контроль доступа для виртуальной глобальной сети в пользовательском интерфейсе устройства. Рекомендуется использовать сервисный принципал Azure. Доступ на основе учетной записи службы предоставляет контроллеру устройства соответствующую аутентификацию для загрузки сведений о ветви. Дополнительные сведения см. в разделе "Создание субъекта-службы". Хотя эта функция находится за пределами предложения Виртуальной глобальной сети Azure, мы перечислим ниже типичные шаги по настройке доступа в Azure, после чего соответствующие сведения вводимы в панель мониторинга управления устройствами

• Создайте приложение Microsoft Entra для локального контроллера устройства.
• Получение идентификатора приложения и ключа проверки подлинности
• Получение идентификатора клиента
• Назначьте приложению роль "Участник"

Загрузка сведений об устройстве филиала

Для того чтобы загрузить информацию о филиале (локальном сайте) в Azure, нужно разработать пользовательский интерфейс. REST API можно использовать для VPNSite, чтобы создать информацию о сайте в Virtual WAN. Вы можете предоставить все устройства SDWAN или VPN филиала или выбрать настройки устройств в соответствии с соответствующими параметрами.

Скачивание конфигурации устройства и подключение

Этот шаг включает загрузку конфигурации Azure и настройку подключения с устройства ветви в виртуальную глобальную сеть Azure. На этом шаге клиент, не использующий поставщика, вручную скачивает конфигурацию Azure и применяет его к локальному устройству SDWAN/VPN. В качестве поставщика необходимо автоматизировать этот шаг. См. дополнительные сведения в REST API для скачивания. Контроллер устройства может вызвать REST API GetVpnConfiguration, чтобы скачать конфигурацию Azure.

Заметки о конфигурации

• Если виртуальные сети Azure подключены к виртуальному концентратору, они будут отображаться как ConnectedSubnets.
• VPN-подключение использует конфигурацию на основе маршрутов и поддерживает протоколы IKEv1 и IKEv2.

Файл конфигурации устройства

Файл конфигурации устройства содержит параметры, которые необходимо использовать при настройке локального VPN-устройства. При просмотре этого файла обратите внимание на следующие сведения:

• vpnSiteConfiguration — В этом разделе описываются сведения об устройстве, настроенные как сайт, подключающийся к виртуальной глобальной сети. Он содержит имя и общедоступный IP-адрес устройства ветви.

• vpnSiteConnections — В этом разделе содержатся сведения о следующих разделах:

  • Адресное пространство виртуальных концентраторов VNet.
    Пример:

    "AddressSpace":"10.1.0.0/24"
    

  • Адресное пространство виртуальных сетей, подключенных к концентратору.
    Пример:

    "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
    

  • IP-адреса VPN-шлюза виртуального хаба. Поскольку VPN Gateway имеет каждое подключение из 2 туннелей в конфигурации active-active, в этом файле будут перечислены оба IP-адреса. В данном примере вы видите Instance0 и Instance1 для каждого сайта.
    Пример:

    "Instance0":"104.45.18.186"
    "Instance1":"104.45.13.195"
    

  • Сведения о конфигурации подключения Vpngateway , такие как BGP, предварительный общий ключ и т. д. PSK — это предварительно общий ключ, который автоматически создается для вас. Вы всегда можете изменить подключение на странице Обзор с помощью настраиваемого предустановленного ключа (PSK).

Пример файла конфигурации устройства

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

Сведения о подключении

Локальное устройство SDWAN/VPN или конфигурация SD-WAN должны соответствовать или содержать следующие алгоритмы и параметры, указанные в политике IPsec/IKE Azure.

• Алгоритм шифрования IKE
• Алгоритм целостности IKE
• Группа DH
• Алгоритм шифрования IPsec
• Алгоритм целостности IPsec
• Группа PFS

Политики по умолчанию для подключения IPsec

Initiator

В следующих разделах перечислены поддерживаемые сочетания политик, когда Azure является инициатором туннеля.

Этап-1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

Этап-2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE

Респондент

В следующих разделах перечислены поддерживаемые сочетания политик, когда Azure является принимающей стороной для туннеля.

Этап-1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

Этап-2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE
• AES_256, SHA_1, PFS_1
• AES_256, SHA_1, PFS_2
• AES_256, SHA_1, PFS_14
• AES_128, SHA_1, PFS_1
• AES_128, SHA_1, PFS_2
• AES_128, SHA_1, PFS_14
• AES_256, SHA_256, PFS_1
• AES_256, SHA_256, PFS_2
• AES_256, SHA_256, PFS_14
• AES_256, SHA_1, PFS_24
• AES_256, SHA_256, PFS_24
• AES_128, SHA_256, PFS_NONE
• AES_128, SHA_256, PFS_1
• AES_128, SHA_256, PFS_2
• AES_128, SHA_256, PFS_14

Значения периода действия SA

Эти значения времени жизни применяются как для инициатора, так и для ответа

• Время существования SA в секундах: 3600 секунд
• Время существования SA в байтах: 102 400 000 КБ

Пользовательские политики подключения IPsec

При работе с настраиваемыми политиками IPsec помните следующие требования:

• IKE — для IKE можно выбрать любой параметр из шифрования IKE, а также любой параметр из целостности IKE, а также любой параметр из группы DH.
• IPsec — для IPsec можно выбрать любой параметр из шифрования IPsec, а также любой параметр из целостности IPsec, а также PFS. Если какой-либо из параметров для шифрования IPsec или целостности IPsec является GCM, то параметры обоих параметров должны быть GCM.

Настраиваемая политика по умолчанию включает SHA1, DHGroup2 и 3DES для обратной совместимости. Это более слабые алгоритмы, которые не поддерживаются при создании пользовательской политики. Рекомендуется использовать только следующие алгоритмы:

Доступные параметры и параметры

Дальнейшие действия

Дополнительные сведения о виртуальной глобальной сети см. в статье "Сведения о виртуальной глобальной сети Azure" и часто задаваемые вопросы о виртуальной глобальной сети Azure.

Для получения дополнительных сведений отправьте электронное письмо на azurevirtualwan@microsoft.com. Добавьте имя вашей компании в строку темы "[ ]".