Linee guida dell'automazione per i partner della rete WAN virtuale

Questo articolo descrive come configurare l'ambiente di automazione per connettere e configurare un dispositivo di branch (un dispositivo VPN locale di un cliente o un CPE SDWAN) per la rete WAN virtuale di Azure. L'articolo è rivolto ai provider che forniscono dispositivi di branch in grado di supportare la connettività VPN tramite IPsec/IKEv2 o IPsec/IKEv1.

Un dispositivo di branch (un dispositivo VPN locale di un cliente o un CPE SDWAN) usa in genere un dashboard di controller/dispositivo per il provisioning. Gli amministratori delle soluzioni SD-WAN spesso possono usare una console di gestione per effettuare il pre-provisioning di un dispositivo prima che venga collegato alla rete. Questo dispositivo abilitato per VPN ottiene la logica del piano di controllo da un controller. Il dispositivo VPN o il controller SD-WAN possono usare le API di Azure per automatizzare la connettività alla rete WAN virtuale di Azure. Questo tipo di connessione richiede che il dispositivo locale disponga di un indirizzo IP pubblico per l'esterno.

Prima di iniziare il processo di automazione

  • Verificare che il dispositivo supporti IPsec IKEv1 o IKEv2. Vedere i criteri predefiniti.

  • Visualizzare le API REST usate per automatizzare la connettività ad Azure rete WAN virtuale.

  • Testare l'esperienza nel portale della rete WAN virtuale di Azure.

  • Decidere quindi quale parte della procedura della connettività si vuole automatizzare. È consigliabile automatizzare almeno i seguenti passaggi:

    • Controllo dell’accesso
    • Caricamento delle informazioni sul dispositivo di branch nella rete WAN virtuale di Azure
    • Download della configurazione di Azure e configurazione della connettività dal dispositivo di branch alla rete WAN virtuale di Azure

Informazioni aggiuntive

  • API REST per automatizzare la creazione dell'hub virtuale
  • API REST per automatizzare il gateway VPN di Azure per rete WAN virtuale
  • API REST per connettere un sito VPN a un hub VPN di Azure
  • Criteri IPsec predefiniti

Esperienza del cliente

Comprendere l'esperienza utente prevista in combinazione con la rete WAN virtuale di Azure.

  1. Un utente di rete WAN virtuale avvia in genere il processo creando una risorsa di rete WAN virtuale.
  2. L'utente configura un accesso al gruppo di risorse basate su entità servizio per il sistema locale (il controller di branch o il software di provisioning del dispositivo VPN) per scrivere informazioni sul branch nella rete WAN virtuale di Azure.
  3. L'utente può decidere in questa fase di accedere all'interfaccia utente e impostare le credenziali dell'entità servizio. Al termine il controller è in grado di caricare le informazioni sul branch con la procedura automatizza che verrà specificata. L'equivalente manuale di questa procedura sul lato Azure è "Crea sito".
  4. Quando le informazioni sul sito (dispositivo di succursale) sono disponibili in Azure, l'utente connetterà il sito a un hub. Un hub virtuale è una rete virtuale gestita da Microsoft. L'hub contiene vari endpoint di servizio per abilitare la connettività dalla rete locale (vpnsite). L'hub è il nucleo della rete in un'area e l'endpoint VPN (vpngateway) all'interno viene creato durante questo processo. È possibile creare più di un hub nella stessa area per la stessa rete WAN virtuale di Azure. Il gateway VPN è un gateway scalabile che si adatta in base alla larghezza di banda e ai requisiti di connessione. È possibile scegliere di automatizzare la creazione dell'hub virtuale e del gateway VPN dal dashboard del controller del dispositivo di branch.
  5. Dopo che l'hub virtuale è stato associato al sito, viene generato un file di configurazione che l'utente deve scaricare manualmente. È qui che entra in gioco l'automazione e rende l'esperienza utente facile e veloce. Invece di chiedere all'utente di scaricare e configurare manualmente il dispositivo di branch, è possibile impostare l'automazione e offrire un'esperienza basata su pochi clic nell'interfaccia utente. Si riducono così i problemi di connettività tipici, ad esempio la mancata corrispondenza delle chiavi condivise e dei parametri IPSec, la leggibilità del file di configurazione e così via.
  6. Alla fine di questo passaggio nella soluzione, l'utente si ritroverà una connessione da sito a sito tra il dispositivo di branch e l'hub virtuale. È possibile anche impostare connessioni aggiuntive in altri hub. Ogni connessione è un tunnel attivo-attivo. Il cliente può scegliere di usare un ISP diverso per ognuno dei collegamenti per il tunnel.
  7. Valutare la possibilità di fornire funzionalità di risoluzione dei problemi e monitoraggio nell'interfaccia di gestione CPE. Gli scenari tipici includono "Il cliente non è in grado di accedere alle risorse di Azure a causa di un problema CPE", "Mostra parametri IPsec sul lato CPE" e così via.

Dettagli automazione

Controllo di accesso

I clienti devono essere in grado di impostare il controllo degli accessi appropriato per la rete WAN virtuale nell'interfaccia utente del dispositivo. Questa operazione è consigliabile usando un'entità servizio di Azure. L'accesso basato su entità servizio fornisce al dispositivo un'autenticazione adeguata al controller per caricare le informazioni sul branch. Per altre informazioni, vedere Create service principal (Creare un'entità servizio). Anche se questa funzionalità non è inclusa nell'offerta della rete WAN virtuale di Azure, di seguito vengono elencati i passaggi tipici eseguiti per configurare l'accesso in Azure dopo il quale vengono inseriti i dettagli rilevanti nel dashboard di gestione del dispositivo.

  • Creare un'applicazione Microsoft Entra per il controller del dispositivo locale.
  • Ottenere l'ID applicazione e la chiave di autenticazione
  • Ottenere l'ID tenant
  • Assegnare l'applicazione al ruolo "Collaboratore"

Caricare le informazioni sul dispositivo di branch

È consigliabile progettare l'esperienza utente per caricare informazioni sul ramo (sito locale) in Azure. È possibile usare le API REST per VPNSite per creare le informazioni sul sito in rete WAN virtuale. È possibile specificare tutti i dispositivi VPN/SDWAN di branch o selezionare le personalizzazioni di dispositivo di conseguenza.

Download della configurazione e connessione del dispositivo

Questo passaggio prevede il download della configurazione di Azure e la configurazione della connettività dal dispositivo di branch alla rete WAN virtuale di Azure. In questo passaggio, un cliente che non usa un provider scarica manualmente la configurazione di Azure e la applica al dispositivo SDWAN/VPN in locale. In qualità di provider, è consigliabile automatizzare questo passaggio. Per altre informazioni, vedere le API REST di download. Il controller di dispositivo può chiamare l'API REST 'GetVpnConfiguration' per scaricare la configurazione di Azure.

Note di configurazione

  • Se le reti virtuali di Azure sono collegate all'hub virtuale, verranno visualizzate come ConnectedSubnets.
  • La connettività VPN usa la configurazione basata su route e supporta sia i protocolli IKEv1 che IKEv2.

File di configurazione del dispositivo

Il file di configurazione del dispositivo contiene le impostazioni da usare quando si configura il dispositivo VPN locale. Quando si visualizza questo file, notare le informazioni seguenti:

  • vpnSiteConfiguration - Questa sezione indica i dettagli del dispositivo configurato come un sito che si connette alla rete WAN virtuale. Include il nome e l'indirizzo IP pubblico del dispositivo della succursale.

  • vpnSiteConnections - Questa sezione include informazioni su quanto segue:

    • Spazio degli indirizzi della rete virtuale degli hub.
      Esempio:

      "AddressSpace":"10.1.0.0/24"
      
    • Spazio degli indirizzi delle reti virtuali che sono collegate all'hub.
      Esempio:

      "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
      
    • Indirizzi IP del gateway VPN dell'hub virtuale. Dato che ogni connessione del gateway VPN comprende 2 tunnel nella configurazione attiva-attiva, nel file saranno elencati entrambi gli indirizzi IP. In questo esempio, sono indicati "Instance0" e "Instance1" per ogni sito.
      Esempio:

      "Instance0":"104.45.18.186"
      "Instance1":"104.45.13.195"
      
    • Dettagli di configurazione della connessione Vpngateway, ad esempio BGP, chiave precondi shared e così via. PSK è la chiave precondivisa generata automaticamente. È sempre possibile modificare la connessione nella pagina Panoramica per una chiave precondivisa personalizzata.

File di configurazione del dispositivo di esempio

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

dettagli Connessione ivity

La configurazione del dispositivo VPN/SDWAN o SD-WAN locale deve contenere o corrispondere agli algoritmi e ai parametri seguenti specificati nei criteri IPsec/IKE di Azure.

  • Algoritmo di crittografia IKE
  • Algoritmo di integrità IKE
  • Gruppo DH
  • Algoritmo di crittografia IPsec
  • Algoritmo di integrità IPsec
  • Gruppo PFS

Criteri predefiniti per la connettività IPsec

Nota

Quando si lavora con i criteri predefiniti, Azure può fungere sia da iniziatore che da risponditore durante l'installazione di un tunnel IPsec. Sebbene rete WAN virtuale VPN supporti molte combinazioni di algoritmi, è consigliabile GCMAES256 sia per la crittografia IP edizione Standard C che per l'integrità per ottenere prestazioni ottimali. AES256 e SHA256 sono considerati meno efficienti e pertanto è possibile prevedere una riduzione delle prestazioni, ad esempio la latenza e le riduzioni dei pacchetti per tipi di algoritmo simili. Per altre informazioni sulle rete WAN virtuale, vedere domande frequenti su Azure rete WAN virtuale.

Iniziatore

Le sezioni seguenti elencano le combinazioni supportate dei criteri quando Azure è l'iniziatore del tunnel.

Fase 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Risponditore

Le sezioni seguenti elencano le combinazioni supportate dei criteri quando Azure è il risponditore per il tunnel.

Fase 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Valori di durata sa

Questi valori del tempo di vita si applicano sia all'iniziatore che al risponditore

  • Durata sa in secondi: 3600 secondi
  • Durata sa in byte: 102.400.000 KB

Criteri personalizzati per la connettività IPsec

Quando si riguardano i criteri IPsec personalizzati, tenere presente i requisiti seguenti:

  • IKE: per IKE , è possibile selezionare qualsiasi parametro da IKE Encryption, oltre a qualsiasi parametro di IKE Integrity, oltre a qualsiasi parametro del gruppo DH.
  • IPsec : per IPsec, è possibile selezionare qualsiasi parametro da IPsec Encryption, oltre a qualsiasi parametro dall'integrità IPsec, oltre a PFS. Se uno dei parametri per IPsec Encryption o IPsec Integrity è GCM, i parametri per entrambe le impostazioni devono essere GCM.

I criteri personalizzati predefiniti includono SHA1, DHGroup2 e 3DES per la compatibilità con le versioni precedenti. Si tratta di algoritmi più deboli che non sono supportati durante la creazione di criteri personalizzati. È consigliabile usare solo gli algoritmi seguenti:

Impostazioni e parametri disponibili

Impostazione Parametri
Crittografia IKE GCMAES256, GCMAES128, AES256, AES128
Integrità IKE SHA384, SHA256
Gruppo DH ECP384, ECP256, DHGroup24, DHGroup14
Crittografia IPsec GCMAES256, GCMAES128, AES256, AES128, None
Integrità IPsec GCMAES256, GCMAES128, SHA256
Gruppo PFS ECP384, ECP256, PFS24, PFS14, None
Durata dell'associazione di sicurezza Intero; min. 300/ predefinito 3600 secondi

Passaggi successivi

Per altre informazioni sulla rete WAN virtuale, vedere Informazioni sulla rete WAN virtuale di Azure e Domande frequenti sulla rete WAN virtuale di Azure.

Per informazioni aggiuntive, inviare un messaggio di posta elettronica a azurevirtualwan@microsoft.com. Includere il nome della propria società tra parentesi quadre "[ ]" nella riga dell'oggetto.