Diretrizes de automatização para parceiros de WAN Virtual

Este artigo ajuda você a entender como configurar o ambiente de automação para conectar e configurar um dispositivo de filial (um dispositivo VPN local do cliente ou CPE SDWAN) para a WAN Virtual do Azure. Se você é um provedor que fornece dispositivos de filial que podem acomodar conectividade VPN sobre IPsec/IKEv2 ou IPsec/IKEv1, este artigo é para você.

Um dispositivo de filial (um dispositivo VPN local do cliente ou CPE SDWAN) normalmente usa um painel de controlador/dispositivo a ser provisionado. Os administradores de soluções SD-WAN geralmente podem usar um console de gerenciamento para pré-provisionar um dispositivo antes que ele seja conectado à rede. Este dispositivo capaz de VPN obtém sua lógica de plano de controle de um controlador. O Dispositivo VPN ou controlador SD-WAN pode usar APIs do Azure para automatizar a conectividade com a WAN Virtual do Azure. Esse tipo de conexão requer que o dispositivo local tenha um endereço IP público voltado para o exterior atribuído a ele.

Antes de começar a automatizar

  • Verifique se o seu dispositivo suporta IPsec IKEv1/IKEv2. Consulte as políticas padrão.

  • Exiba as APIs REST que você usa para automatizar a conectividade com a WAN Virtual do Azure.

  • Teste a experiência do portal da WAN Virtual do Azure.

  • Em seguida, decida qual parte das etapas de conectividade você gostaria de automatizar. No mínimo, recomendamos automatizar:

    • Controlo de Acesso
    • Carregar informações de dispositivo de filial na WAN Virtual do Azure
    • Baixando a configuração do Azure e configurando a conectividade do dispositivo de filial na WAN Virtual do Azure

Informações adicionais

  • API REST para automatizar a criação do Hub Virtual
  • API REST para automatizar o gateway de VPN do Azure para WAN Virtual
  • API REST para conectar um VPNSite a um Hub de VPN do Azure
  • Políticas IPsec padrão

Experiência do cliente

Entenda a experiência esperada do cliente em conjunto com a WAN Virtual do Azure.

  1. Normalmente, um usuário de WAN virtual iniciará o processo criando um recurso de WAN virtual.
  2. O usuário configurará um acesso de grupo de recursos baseado em entidade de serviço para o sistema local (seu controlador de filial ou software de provisionamento de dispositivo VPN) para gravar informações de filial na WAN Virtual do Azure.
  3. O usuário pode decidir, neste momento, fazer login em sua interface do usuário e configurar as credenciais da entidade de serviço. Quando isso estiver concluído, seu controlador deverá ser capaz de carregar informações de filiais com a automação que você fornecerá. O equivalente manual disso no lado do Azure é 'Criar Site'.
  4. Quando as informações do Site (dispositivo de filial) estiverem disponíveis no Azure, o usuário conectará o site a um hub. Um hub virtual é uma rede virtual gerenciada pela Microsoft. O hub contém vários pontos finais de serviço para ativar a conectividade da rede no local (vpnsite). O hub é o núcleo da sua rede em uma região e o ponto de extremidade vpn (vpngateway) dentro dele é criado durante esse processo. Você pode criar mais de um hub na mesma região para a mesma WAN Virtual do Azure. O gateway VPN é um gateway escalável que dimensiona adequadamente com base na largura de banda e nas necessidades de conexão. Você pode optar por automatizar a criação de hub virtual e vpngateway a partir do painel do controlador de dispositivo da filial.
  5. Depois que o Hub virtual é associado ao site, um arquivo de configuração é gerado para o usuário fazer o download manualmente. É aqui que sua automação entra e torna a experiência do usuário perfeita. Em vez de o usuário ter que baixar e configurar manualmente o dispositivo de filial, você pode definir a automação e fornecer uma experiência mínima de cliques em sua interface do usuário, aliviando assim problemas típicos de conectividade, como incompatibilidade de chave compartilhada, incompatibilidade de parâmetros IPSec, legibilidade do arquivo de configuração, etc.
  6. No final desta etapa da sua solução, o usuário terá uma conexão perfeita site a site entre o dispositivo de filial e o hub virtual. Você também pode configurar conexões adicionais entre outros hubs. Cada conexão é um túnel ativo-ativo. O seu cliente pode optar por utilizar um ISP diferente para cada uma das ligações para o túnel.
  7. Considere fornecer recursos de solução de problemas e monitoramento na interface de gerenciamento do CPE. Os cenários típicos incluem "O cliente não consegue acessar os recursos do Azure devido a um problema de CPE", "Mostrar parâmetros IPsec no lado do CPE", etc.

Detalhes de automação

Controlo de acesso

Os clientes devem ser capazes de configurar o controle de acesso apropriado para a WAN Virtual na interface do usuário do dispositivo. Isso é recomendado usando uma Entidade de Serviço do Azure. O acesso baseado na entidade de serviço fornece ao controlador de dispositivo a autenticação apropriada para carregar informações de filial. Para obter mais informações, consulte Criar entidade de serviço. Embora essa funcionalidade esteja fora da oferta da WAN Virtual do Azure, listamos abaixo as etapas típicas executadas para configurar o acesso no Azure, após as quais os detalhes relevantes são inseridos no painel de gerenciamento de dispositivos

  • Crie um aplicativo Microsoft Entra para seu controlador de dispositivo local.
  • Obter ID do aplicativo e chave de autenticação
  • Obter o ID de inquilino
  • Atribuir aplicativo à função "Colaborador"

Carregar informações do dispositivo da filial

Você deve projetar a experiência do usuário para carregar informações de filial (site local) no Azure. Você pode usar APIs REST para VPNSite para criar as informações do site na WAN Virtual. Você pode fornecer todos os dispositivos SDWAN/VPN de filial ou selecionar personalizações de dispositivos conforme apropriado.

Download e conectividade da configuração do dispositivo

Esta etapa envolve o download da configuração do Azure e a configuração da conectividade do dispositivo de filial na WAN Virtual do Azure. Nesta etapa, um cliente que não esteja usando um provedor baixaria manualmente a configuração do Azure e a aplicaria ao seu dispositivo SDWAN/VPN local. Como provedor, você deve automatizar esta etapa. Veja o download de APIs REST para obter informações adicionais. O controlador de dispositivo pode chamar a API REST 'GetVpnConfiguration' para baixar a configuração do Azure.

Notas de configuração

  • Se as VNets do Azure estiverem anexadas ao hub virtual, elas aparecerão como ConnectedSubnets.
  • A conectividade VPN usa configuração baseada em rota e suporta os protocolos IKEv1 e IKEv2.

Arquivo de configuração do dispositivo

O ficheiro de configuração do dispositivo contém as definições que vão ser utilizadas para configurar o dispositivo VPN no local. Quando vir este ficheiro, repare nas informações seguintes:

  • vpnSiteConfiguration - esta secção mostra os detalhes do dispositivo configurados como site que se vai ligar à WAN virtual. Inclui o nome e o endereço IP público do dispositivo da sucursal.

  • vpnSiteConnections - esta secção disponibiliza informações sobre o seguinte:

    • Espaço de endereçamento da VNet do(s) hub(s) virtual(is).
      Exemplo:

      "AddressSpace":"10.1.0.0/24"
      
    • Espaço de endereço das redes virtuais conectadas ao hub.
      Exemplo:

      "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
      
    • Endereços IP do vpngateway do hub virtual. Uma vez que o vpngateway tem ambas as ligações compostas por dois túneis na configuração ativo-ativo, verá os dois endereços IP indicados neste ficheiro. Neste exemplo, vê "Instance0" e "Instance1" para cada site.
      Exemplo:

      "Instance0":"104.45.18.186"
      "Instance1":"104.45.13.195"
      
    • Detalhes de configuração de conexão vpngateway, como BGP, chave pré-compartilhada, etc. A PSK é a chave pré-compartilhada que é gerada automaticamente para você. Pode sempre editar a ligação na página Overview (Descrição geral) de um PSK personalizado.

Exemplo de arquivo de configuração de dispositivo

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

Detalhes de conectividade

Seu dispositivo SDWAN/VPN local ou configuração SD-WAN deve corresponder ou conter os seguintes algoritmos e parâmetros, que você especifica na política IPsec/IKE do Azure.

  • Algoritmo de encriptação do IKE
  • Algoritmo de integridade do IKE
  • Grupo DH
  • Algoritmo de encriptação do IPsec
  • Algoritmo de integridade do IPsec
  • Grupo PFS

Políticas predefinidas para conectividade IPsec

Nota

Ao trabalhar com políticas padrão, o Azure pode atuar como iniciador e respondente durante uma configuração de túnel IPsec. Embora a VPN WAN Virtual suporte muitas combinações de algoritmos, nossa recomendação é GCMAES256 para criptografia IPSEC e integridade para um desempenho ideal. AES256 e SHA256 são considerados de menor desempenho e, portanto, a degradação do desempenho, como latência e quedas de pacotes, pode ser esperada para tipos de algoritmos semelhantes. Para obter mais informações sobre a WAN Virtual, consulte as Perguntas frequentes sobre a WAN Virtual do Azure.

Iniciador

As seções a seguir listam as combinações de políticas com suporte quando o Azure é o iniciador do túnel.

Fase-1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256 DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256 DH_GROUP_2

Fase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1 PFS_NONE
  • AES_256, SHA_256 PFS_NONE
  • AES_128, SHA_1 PFS_NONE

Respondedor

As seções a seguir listam as combinações de políticas com suporte quando o Azure é o respondente para o túnel.

Fase-1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256 DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256 DH_GROUP_2

Fase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1 PFS_NONE
  • AES_256, SHA_256 PFS_NONE
  • AES_128, SHA_1 PFS_NONE
  • AES_256, SHA_1 PFS_1
  • AES_256, SHA_1 PFS_2
  • AES_256, SHA_1 PFS_14
  • AES_128, SHA_1 PFS_1
  • AES_128, SHA_1 PFS_2
  • AES_128, SHA_1 PFS_14
  • AES_256, SHA_256 PFS_1
  • AES_256, SHA_256 PFS_2
  • AES_256, SHA_256 PFS_14
  • AES_256, SHA_1 PFS_24
  • AES_256, SHA_256 PFS_24
  • AES_128, SHA_256 PFS_NONE
  • AES_128, SHA_256 PFS_1
  • AES_128, SHA_256 PFS_2
  • AES_128, SHA_256 PFS_14

Valores vitalícios da SA

Estes valores de tempo de vida aplicam-se tanto ao iniciador como ao respondedor

  • SA Tempo de vida em segundos: 3600 segundos
  • Tempo de vida da SA em bytes: 102.400.000 KB

Políticas personalizadas para conectividade IPsec

Ao trabalhar com políticas IPsec personalizadas, tenha em mente os seguintes requisitos:

  • IKE - Para IKE, você pode selecionar qualquer parâmetro da criptografia IKE, além de qualquer parâmetro da integridade IKE , além de qualquer parâmetro do DH Group.
  • IPsec - Para IPsec, você pode selecionar qualquer parâmetro da Criptografia IPsec, além de qualquer parâmetro da Integridade IPsec e PFS. Se qualquer um dos parâmetros para Criptografia IPsec ou Integridade IPsec for GCM, os parâmetros para ambas as configurações deverão ser GCM.

A política personalizada padrão inclui SHA1, DHGroup2 e 3DES para compatibilidade com versões anteriores. Esses são algoritmos mais fracos que não são suportados ao criar uma política personalizada. Recomendamos usar apenas os seguintes algoritmos:

Configurações e parâmetros disponíveis

Definição Parâmetros
Encriptação IKE GCMAES256, GCMAES128, AES256, AES128
Integridade IKE SHA384, SHA256
Grupo DH ECP384, ECP256, DHGroup24, DHGroup14
Encriptação do IPsec GCMAES256, GCMAES128, AES256, AES128, Nenhum
Integridade do IPsec GCMAES256, GCMAES128, SHA256
Grupo PFS ECP384, ECP256, PFS24, PFS14, Nenhum
Duração de SA inteiro; mínimo 300/ padrão 3600 segundos

Próximos passos

Para obter mais informações sobre a WAN Virtual, consulte Sobre a WAN Virtual do Azure e as Perguntas frequentes sobre a WAN Virtual do Azure.

Para qualquer informação adicional, envie um e-mail para azurevirtualwan@microsoft.com. Inclua o nome da sua empresa em "[ ]" na linha de assunto.