Directrices de automatización para asociados de Virtual WANAutomation guidelines for Virtual WAN partners

Este artículo le ayudará a comprender cómo configurar el entorno de automatización para conectar y configurar un dispositivo de la rama (un dispositivo VPN de cliente en el entorno local o SDWAN CPE) para Azure Virtual WAN.This article helps you understand how to set up the automation environment to connect and configure a branch device (a customer on-premises VPN device or SDWAN CPE) for Azure Virtual WAN. Si es un proveedor que proporciona dispositivos de la rama que pueden dar cabida a la conectividad VPN a través de IPsec/IKEv2 o IPsec/IKEv1, este artículo es para usted.If you are a provider that provides branch devices that can accommodate VPN connectivity over IPsec/IKEv2 or IPsec/IKEv1, this article is for you.

Un dispositivo de la rama (un dispositivo VPN de cliente en el entorno local o SDWAN CPE) normalmente usa un panel de dispositivo o controlador para aprovisionarse.A branch device (a customer on-premises VPN device or SDWAN CPE) typically uses a controller/device dashboard to be provisioned. Los administradores de la solución SD-WAN a menudo pueden utilizar una consola de administración para aprovisionar previamente un dispositivo antes de conectarse a la red.SD-WAN solution administrators can often use a management console to pre-provision a device before it gets plugged into the network. Este dispositivo compatible con VPN obtiene su lógica de plan de control de un controlador.This VPN capable device gets its control plane logic from a controller. El controlador de dispositivo VPN o SD-WAN puede usar las API de Azure para automatizar la conectividad a Azure Virtual WAN.The VPN Device or SD-WAN controller can use Azure APIs to automate connectivity to Azure Virtual WAN. Este tipo de conexión requiere que el dispositivo local tenga una dirección IP pública asignada.This type of connection requires the on-premises device to have an externally facing public IP address assigned to it.

Antes de iniciar la automatizaciónBefore you begin automating

  • Compruebe que el dispositivo es compatible con IPsec IKEv1 o IKEv2.Verify that your device supports IPsec IKEv1/IKEv2. Consulte las directivas predeterminadas.See default policies.

  • Vea las API REST que usa para automatizar la conectividad a Azure Virtual WAN.View the REST APIs that you use to automate connectivity to Azure Virtual WAN.

  • Pruebe la experiencia del portal de Azure Virtual WAN.Test out the portal experience of Azure Virtual WAN.

  • A continuación, decida qué parte de los pasos de conectividad le gustaría automatizar.Then, decide which part of the connectivity steps you would like to automate. Como mínimo, se recomienda automatizar lo siguiente:At a minimum, we recommend automating:

    • Control de accesoAccess Control
    • Carga del dispositivo de la rama en Azure Virtual WANUpload of branch device information into Azure Virtual WAN
    • Descarga de la configuración de Azure y configuración de la conectividad del dispositivo de la rama en Azure Virtual WANDownloading Azure configuration and setting up connectivity from branch device into Azure Virtual WAN

Información adicionalAdditional information

Experiencia del clienteCustomer experience

Comprenda la experiencia esperada del cliente conjuntamente con Azure Virtual WAN.Understand the expected customer experience in conjunction with Azure Virtual WAN.

  1. Normalmente, un usuario de Virtual WAN iniciará el proceso mediante la creación de un recurso de Virtual WAN.Typically, a virtual WAN user will start the process by creating a Virtual WAN resource.
  2. El usuario configurará un acceso al grupo de recursos basado en la entidad de servicio para el sistema local (el controlador de rama o el dispositivo VPN que aprovisiona el software) para escribir información de la rama en Azure Virtual WAN.The user will set up a service principal-based resource group access for the on-premises system (your branch controller or VPN device provisioning software) to write branch info into Azure Virtual WAN.
  3. El usuario puede decidir en este momento iniciar sesión en la interfaz de usuario y configurar las credenciales de la entidad de servicio.The user may decide at this time to log into your UI and set up the service principal credentials. Una vez completado, el controlador debe ser capaz de cargar la información de la rama con la automatización que proporcionará.Once that is complete, your controller should be able to upload branch information with the automation you will provide. El manual equivalente a este en Azure es "Crear sitio".The manual equivalent of this on the Azure side is 'Create Site'.
  4. Una vez que la información del sitio (dispositivo de rama) esté disponible en Azure, el usuario conectará el sitio a un concentrador.Once the Site (branch device) information is available in Azure, the user will connect the site to a hub. Un concentrador virtual es una red virtual administrada por Microsoft.A virtual hub is a Microsoft-managed virtual network. El concentrador contiene varios puntos de conexión de servicio para habilitar la conectividad de la red local (vpnsite).The hub contains various service endpoints to enable connectivity from your on-premises network (vpnsite). El concentrador es el núcleo de la red en una región.The hub is the core of your network in a region. Solo puede haber un único concentrador por región de Azure y su punto de conexión de VPN (vpngateway) se crea durante este proceso.There can only be one hub per Azure region and the vpn endpoint (vpngateway) inside it is created during this process. La puerta de enlace VPN es una puerta de enlace escalable cuyo tamaño se basa adecuadamente en las necesidades de ancho de banda y conexión.The VPN gateway is a scalable gateway which sizes appropriately based on bandwidth and connection needs. Puede automatizar la creación del concentrador virtual y vpngateway desde el panel de controlador del dispositivo de la rama.You may choose to automate virtual hub and vpngateway creation from your branch device controller dashboard.
  5. Una vez que el concentrador virtual se asocia al sitio, se genera un archivo de configuración para que el usuario lo descargue manualmente.Once the virtual Hub is associated to the site, a configuration file is generated for the user to manually download. En este momento la automatización entra en juego haciendo que el usuario obtenga una experiencia sin interrupciones.This is where your automation comes in and makes the user experience seamless. En lugar de que el usuario tenga que descargar y configurar el dispositivo de la rama manualmente, puede establecer la automatización y proporcionar una experiencia de click-through mínima en la interfaz de usuario. De este modo, se mitigan los típicos problemas de conectividad, como el error de coincidencia de la clave compartida o de los parámetros de IPSec, la legibilidad del archivo de configuración, etc.Instead of the user having to manually download and configure the branch device, you can set the automation and provide minimal click-through experience on your UI, thereby alleviating typical connectivity issues such as shared key mismatch, IPSec parameter mismatch, configuration file readability etc.
  6. Al final de este paso de la solución, el usuario tendrá una conexión directa de sitio a sitio entre el dispositivo de la rama y el concentrador virtual.At the end of this step in your solution, the user will have a seamless site-to-site connection between the branch device and virtual hub. También puede configurar conexiones adicionales en otros concentradores.You can also set up additional connections across other hubs. Cada conexión es un túnel activo-activo.Each connection is an active-active tunnel. El cliente puede utilizar otro ISP para cada uno de los vínculos del túnel.Your customer may choose to use a different ISP for each of the links for the tunnel.
  7. Considere la posibilidad de proporcionar funcionalidades de supervisión y solución de problemas en la interfaz de administración de CPE.Consider providing troubleshooting and monitoring capabilities in the CPE management interface. Entre los escenarios típicos se incluyen "el cliente no puede acceder a los recursos de Azure debido a un problema de CPE", "mostrar los parámetros de IPsec en el lado de CPE", etc.Typical scenarios include "Customer not able to access Azure resources due to a CPE issue", "Show IPsec parameters at the CPE side" etc.

Detalles de automatizaciónAutomation details

Control de accesoAccess control

Los clientes deben poder configurar el control de acceso adecuado para la red Virtual WAN en la interfaz de usuario del dispositivo.Customers must be able to set up appropriate access control for Virtual WAN in the device UI. Se recomienda usar una entidad de servicio de Azure.This is recommended using an Azure Service Principal. El acceso basado en la entidad de servicio proporciona la autenticación adecuada de controlador de dispositivo para cargar la información de rama.Service principal-based access provides the device controller appropriate authentication to upload branch information. Para obtener más información, consulte Create service principal (Creación de una entidad de servicio).For more information, see Create service principal. Aunque esta funcionalidad no se incluye con la oferta de Azure Virtual WAN, a continuación se indican los pasos típicos para configurar el acceso en Azure, tras los cuales se especifican los detalles pertinentes en el panel de administración de dispositivos.While this functionality is outside of the Azure Virtual WAN offering, we list below the typical steps taken to set up access in Azure after which the relevant details are inputted into the device management dashboard

  • Cree una aplicación de Azure Active Directory para el controlador de dispositivos local.Create an Azure Active Directory application for your on-premises device controller.
  • Obtención del id. y la clave de autenticación de la aplicaciónGet application ID and authentication key
  • Obtención del identificador de inquilinoGet tenant ID
  • Asignación de la aplicación al rol "Colaborador"Assign application to role "Contributor"

Cargar la información del dispositivo de la ramaUpload branch device information

Debe diseñar la experiencia del usuario para cargar la información de la rama (sitio local) en Azure.You should design the user experience to upload branch (on-premises site) information to Azure. Las API REST de VPNSite se pueden usar para crear la información del sitio en Virtual WAN.You can use REST APIs for VPNSite to create the site information in Virtual WAN. Puede proporcionar todos los dispositivos VPN o SDWAN de la rama o seleccionar las personalizaciones de dispositivo según corresponda.You can provide all branch SDWAN/VPN devices or select device customizations as appropriate.

Conectividad y descarga de la configuración del dispositivoDevice configuration download and connectivity

Este paso implica la descarga de la configuración de Azure y la configuración de la conectividad del dispositivo de la rama en Azure Virtual WAN.This step involves downloading Azure configuration and setting up connectivity from the branch device into Azure Virtual WAN. En este paso, un cliente que no está usando un proveedor podría descargar la configuración de Azure manualmente y aplicarla a su dispositivo SDWAN o VPN local.In this step, a customer that is not using a provider would manually download the Azure configuration and apply it to their on-premises SDWAN/VPN device. Como proveedor, debería automatizar este paso.As a provider, you should automate this step. Para más información, vea las API REST de descarga.View the download REST APIs for additional information. El controlador del dispositivo puede llamar a la API REST "GetVpnConfiguration" para descargar la configuración de Azure.The device controller can call 'GetVpnConfiguration' REST API to download the Azure configuration.

Notas de la configuraciónConfiguration notes

  • Si las redes virtuales de Azure están conectadas al concentrador virtual, aparecen como ConnectedSubnets.If Azure VNets are attached to the virtual hub, they will appear as ConnectedSubnets.
  • La conectividad de VPN usa la configuración basada en rutas y admite los protocolos IKEv1 e IKEv2.VPN connectivity uses route-based configuration and supports both IKEv1, and IKEv2 protocols.

Archivo de configuración del dispositivoDevice configuration file

El archivo de configuración de dispositivo contiene la configuración que se debe usar al configurar el dispositivo VPN local.The device configuration file contains the settings to use when configuring your on-premises VPN device. Cuando visualice este archivo, tenga en cuenta la siguiente información:When you view this file, notice the following information:

  • vpnSiteConfiguration: en esta sección se indica la configuración de los detalles del dispositivo como un sitio de conexión a la red virtual WAN.vpnSiteConfiguration - This section denotes the device details set up as a site connecting to the virtual WAN. Incluye el nombre y la dirección IP pública del dispositivo de rama.It includes the name and public ip address of the branch device.

  • vpnSiteConnections: en esta sección se proporciona información sobre lo siguiente:vpnSiteConnections - This section provides information about the following:

    • Espacio de direcciones de la red virtual de concentradores virtuales.Address space of the virtual hub(s) VNet.
      Ejemplo:Example:

      "AddressSpace":"10.1.0.0/24"
      
    • Espacio de direcciones de las redes virtuales que están conectadas al concentrador.Address space of the VNets that are connected to the hub.
      Ejemplo:Example:

      "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
      
    • Direcciones IP de vpngateway del concentrador virtual.IP addresses of the virtual hub vpngateway. Dado que en el elemento vpngateway cada conexión consta de 2 túneles en configuración activa-activa, verá ambas direcciones IP enumeradas en este archivo.Because the vpngateway has each connection comprising of 2 tunnels in active-active configuration, you will see both IP addresses listed in this file. En este ejemplo puede ver "Instance0" e "Instance1" para cada sitio.In this example, you see "Instance0" and "Instance1" for each site.
      Ejemplo:Example:

      "Instance0":"104.45.18.186"
      "Instance1":"104.45.13.195"
      
    • Detalles de configuración de conexión de Vpngateway como BGP, clave precompartida, etc. La PSK es la clave precompartida que se genera automáticamente para usted.Vpngateway connection configuration details such as BGP, pre-shared key etc. The PSK is the pre-shared key that is automatically generated for you. Puede modificar la conexión cuando quiera en la página de información general para una PSK personalizada.You can always edit the connection in the Overview page for a custom PSK.

Archivo de configuración de dispositivo de ejemploExample device configuration file

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

Detalles acerca de la conectividadConnectivity details

La configuración de su dispositivo VPN o SDWAN local debe coincidir o contener los siguientes algoritmos y parámetros que se especifican en la directiva de IPsec o IKE de Azure.Your on-premises SDWAN/VPN device or SD-WAN configuration must match or contain the following algorithms and parameters, which you specify in the Azure IPsec/IKE policy.

  • Algoritmo de cifrado IKEIKE encryption algorithm
  • Algoritmo de integridad de IKEIKE integrity algorithm
  • Grupo DHDH Group
  • Algoritmo de cifrado IPsecIPsec encryption algorithm
  • Algoritmo de integridad de IPsecIPsec integrity algorithm
  • Grupo PFSPFS Group

Directivas predeterminadas para la conectividad de IPsecDefault policies for IPsec connectivity

Nota

Cuando se trabaja con directivas predeterminadas, Azure puede actuar como iniciador y como respondedor durante la configuración de un túnel IPsec.When working with Default policies, Azure can act as both initiator and responder during an IPsec tunnel setup. No se admite Azure solo como respondedor.There is no support for Azure as a responder only.

IniciadorInitiator

Las secciones siguientes enumeran las combinaciones de directivas compatibles cuando Azure es el iniciador para el túnel.The following sections list the supported policy combinations when Azure is the initiator for the tunnel.

Fase 1Phase-1

  • AES_256, SHA1, DH_GROUP_2AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2AES_128, SHA_256, DH_GROUP_2

Fase 2Phase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONEGCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONEAES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONEAES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONEAES_128, SHA_1, PFS_NONE

Servicio de respuestaResponder

Las secciones siguientes enumeran las combinaciones de directivas compatibles cuando Azure es el respondedor para el túnel.The following sections list the supported policy combinations when Azure is the responder for the tunnel.

Fase 1Phase-1

  • AES_256, SHA1, DH_GROUP_2AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2AES_128, SHA_256, DH_GROUP_2

Fase 2Phase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONEGCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONEAES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONEAES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONEAES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONEAES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14AES_128, SHA_256, PFS_14

Directivas personalizadas de conectividad de IPsecCustom policies for IPsec connectivity

Al trabajar con directivas IPsec personalizadas, tenga en cuenta los siguientes requisitos:When working with custom IPsec policies, keep in mind the following requirements:

  • IKE: en el caso de IKE, puede seleccionar cualquier parámetro de Cifrado de IKE, más cualquier parámetro de Integridad de IKE, más cualquier parámetro de Grupo DH.IKE - For IKE, you can select any parameter from IKE Encryption, plus any parameter from IKE Integrity, plus any parameter from DH Group.
  • IPsec: en el caso de IPsec, puede seleccionar cualquier parámetro de Cifrado de IPsec, más cualquier parámetro de Integridad de IPsec, más PFS.IPsec - For IPsec, you can select any parameter from IPsec Encryption, plus any parameter from IPsec Integrity, plus PFS. Si cualquiera de parámetros de Cifrado de IPsec o Integridad de IPsec es GCM, los parámetros de ambos valores deben ser GCM.If any of the parameters for IPsec Encryption or IPsec Integrity is GCM, then the parameters for both settings must be GCM.

Nota

Con las directivas IPsec personalizadas, no existe el concepto de respondedor y iniciador (a diferencia de las directivas IPsec predeterminadas).With Custom IPsec policies, there is no concept of responder and initiator (unlike Default IPsec policies). Ambos lados (entorno local y puerta de enlace de VPN de Azure) usarán la misma configuración para IKE fase 1 e IKE fase 2.Both sides (on-premises and Azure VPN gateway) will use the same settings for IKE Phase 1 and IKE Phase 2. Se admiten los protocolos IKEv1 e IKEv2.Both IKEv1 and IKEv2 protocols are supported. No se admite Azure solo como respondedor.There is no support for Azure as a responder only.

Parámetros y valores disponiblesAvailable settings and parameters

ConfiguraciónSetting ParámetrosParameters
Cifrado de IKEIKE Encryption GCMAES256, GCMAES128, AES256, AES128GCMAES256, GCMAES128, AES256, AES128
Integridad de IKEIKE Integrity SHA384, SHA256SHA384, SHA256
Grupo DHDH Group ECP384, ECP256, DHGroup24, DHGroup14ECP384, ECP256, DHGroup24, DHGroup14
Cifrado IPsecIPsec Encryption GCMAES256, GCMAES128, AES256, AES128, NoneGCMAES256, GCMAES128, AES256, AES128, None
Integridad de IPsecIPsec Integrity GCMAES256, GCMAES128, SHA256GCMAES256, GCMAES128, SHA256
Grupo PFSPFS Group ECP384, ECP256, PFS24, PFS14, NoneECP384, ECP256, PFS24, PFS14, None
Vigencia de SASA Lifetime entero, mín. 300/predeterminado 27000 segundosinteger; min. 300/ default 27000 seconds

Pasos siguientesNext steps

Para obtener más información sobre Virtual WAN, vea Acerca de Azure Virtual WAN y Preguntas más frecuentes sobre Azure Virtual WAN.For more information about Virtual WAN, see About Azure Virtual WAN and the Azure Virtual WAN FAQ.

Para obtener información adicional, envíe un correo electrónico a azurevirtualwan@microsoft.com.For any additional information, please send an email to azurevirtualwan@microsoft.com. Incluya el nombre de su compañía en la línea de asunto "[ ]".Include your company name in “[ ]” in the subject line.