Sanal WAN iş ortakları için otomasyon yönergeleri

Bu makale, Azure Sanal WAN için bir dal cihazına (müşteri şirket içi VPN cihazı veya SDWAN CPE) bağlanmak ve yapılandırmak üzere otomasyon ortamını ayarlamayı anlamanıza yardımcı olur. IPsec/IKEv2 veya IPsec/IKEv1 üzerinden VPN bağlantısı sağlayabilen dal cihazları sağlayan bir sağlayıcıysanız, bu makale size yöneliktir.

Dal cihazı (müşteri şirket içi VPN cihazı veya SDWAN CPE) genellikle sağlanacak denetleyici/cihaz panosunu kullanır. SD-WAN çözümü yöneticileri genellikle bir cihazı ağa takmadan önce önceden sağlamak için bir yönetim konsolu kullanabilir. Bu VPN özellikli cihaz, kontrol düzlemi mantığını bir denetleyiciden alır. VPN Cihazı veya SD-WAN denetleyicisi, Azure API'lerini kullanarak Azure Sanal WAN bağlantısını otomatikleştirebilir. Bu tür bir bağlantı, şirket içi cihazın kendisine dış kullanıma yönelik bir genel IP adresinin atanmış olmasını gerektirir.

Otomatikleştirmeye başlamadan önce

• Cihazınızın IPsec IKEv1/IKEv2'i desteklediğini doğrulayın. Bkz. varsayılan ilkeler.

• Azure Sanal WAN bağlantısını otomatikleştirmek için kullandığınız REST API'leri görüntüleyin.

• Azure Sanal WAN portal deneyimini test edin.

• Ardından, bağlantı adımlarının hangi bölümünü otomatikleştirmek istediğinize karar verin. En azından otomatikleştirmenizi öneririz:

  • Erişim Denetimi
  • Dal cihazı bilgilerinin Azure Sanal WAN'a yüklenmesi
  • Azure yapılandırmasını indirme ve dal cihazından Azure Sanal WAN bağlantısını ayarlama

Ek bilgiler

• Sanal Hub oluşturmayı otomatikleştirmek için REST API
• Sanal WAN için Azure VPN ağ geçidini otomatikleştirmek için REST API
• BIR VPNSite'yi Azure VPN Hub'a bağlamak için REST API
• Varsayılan IPsec ilkeleri

Müşteri deneyimi

Azure Sanal WAN ile birlikte beklenen müşteri deneyimini anlayın.

1. Genellikle sanal WAN kullanıcısı bir Sanal WAN kaynağı oluşturarak işlemi başlatır.
2. Kullanıcı, azure Sanal WAN dal bilgilerini yazmak için şirket içi sistem (dal denetleyiciniz veya VPN cihazı sağlama yazılımınız) için hizmet sorumlusu tabanlı bir kaynak grubu erişimi ayarlar.
3. Kullanıcı şu anda kullanıcı arabiriminizde oturum açmaya ve hizmet sorumlusu kimlik bilgilerini ayarlamaya karar verebilir. Bu işlem tamamlandıktan sonra, denetleyicinizin sağlayacağınız otomasyonla dal bilgilerini karşıya yükleyebilmesi gerekir. Bunun Azure tarafındaki el ile eşdeğeri 'Site Oluştur' şeklindedir.
4. Site (dal cihazı) bilgileri Azure'da kullanılabilir olduğunda, kullanıcı siteyi bir hub'a bağlar. Sanal hub, Microsoft tarafından yönetilen bir sanal ağdır. Hub'da, şirket içi ağınızdan (vpnsite) gelen bağlantıyı etkinleştirmek için çeşitli hizmet uç noktaları bulunur. Merkez, bir bölgedeki ağınızın çekirdeğidir ve bu işlem sırasında içindeki vpn uç noktası (vpngateway) oluşturulur. Aynı Azure Sanal WAN için aynı bölgede birden fazla hub oluşturabilirsiniz. VPN ağ geçidi, bant genişliğine ve bağlantı gereksinimlerine göre uygun şekilde boyutlandırılan ölçeklenebilir bir ağ geçididir. Dal cihaz denetleyicisi panonuzdan sanal hub ve vpngateway oluşturmayı otomatikleştirmeyi seçebilirsiniz.
5. Sanal Hub siteyle ilişkilendirildikten sonra, kullanıcının el ile indirmesi için bir yapılandırma dosyası oluşturulur. Otomasyonunuz burada devreye girer ve kullanıcı deneyimini sorunsuz hale getirir. Kullanıcının dal cihazını el ile indirip yapılandırması yerine, otomasyonu ayarlayabilir ve kullanıcı arabiriminizde en az tıklama deneyimi sağlayarak paylaşılan anahtar uyuşmazlığı, IPSec parametre uyuşmazlığı, yapılandırma dosyası okunabilirliği gibi tipik bağlantı sorunlarını giderebilirsiniz.
6. Çözümünüzdeki bu adımın sonunda, kullanıcının dal cihazı ile sanal hub arasında sorunsuz bir siteden siteye bağlantısı olacaktır. Diğer hub'lar arasında ek bağlantılar da ayarlayabilirsiniz. Her bağlantı etkin-etkin bir tüneldir. Müşteriniz tünel bağlantılarının her biri için farklı bir ISS kullanmayı seçebilir.
7. CPE yönetim arabiriminde sorun giderme ve izleme özellikleri sağlamayı göz önünde bulundurun. Tipik senaryolar şunlardır: "Müşteri CPE sorunu nedeniyle Azure kaynaklarına erişemiyor", "CPE tarafında IPsec parametrelerini göster" vb.

Otomasyon ayrıntıları

Erişim denetimi

Müşterilerin cihaz kullanıcı arabirimindeki Sanal WAN için uygun erişim denetimini ayarlayabilmesi gerekir. Bu, Azure Hizmet Sorumlusu kullanılarak önerilir. Hizmet sorumlusu tabanlı erişim, dal bilgilerini karşıya yüklemek için cihaz denetleyicisine uygun kimlik doğrulaması sağlar. Daha fazla bilgi için bkz . Hizmet sorumlusu oluşturma. Bu işlev Azure Sanal WAN teklifinin dışında olsa da, Azure'da erişimi ayarlamaya yönelik tipik adımları aşağıda listeledik ve ardından ilgili ayrıntılar cihaz yönetimi panosuna girilir

• Şirket içi cihaz denetleyiciniz için bir Microsoft Entra uygulaması oluşturun.
• Uygulama kimliğini ve kimlik doğrulama anahtarını alma
• Kiracı kimliğini alma
• "Katkıda Bulunan" rolüne uygulama atama

Dal cihazı bilgilerini karşıya yükleme

Dal (şirket içi site) bilgilerini Azure'a yüklemek için kullanıcı deneyimini tasarlamanız gerekir. site bilgilerini Sanal WAN oluşturmak için VPNSite için REST API'lerini kullanabilirsiniz. Tüm dal SDWAN/VPN cihazlarını sağlayabilir veya uygun cihaz özelleştirmelerini seçebilirsiniz.

Cihaz yapılandırması indirme ve bağlantı

Bu adım, Azure yapılandırmasını indirmeyi ve dal cihazından Azure Sanal WAN bağlantısını ayarlamayı içerir. Bu adımda sağlayıcı kullanmayan bir müşteri Azure yapılandırmasını el ile indirir ve şirket içi SDWAN/VPN cihazına uygular. Sağlayıcı olarak bu adımı otomatikleştirmeniz gerekir. Ek bilgi için indirme REST API'lerini görüntüleyin. Cihaz denetleyicisi Azure yapılandırmasını indirmek için 'GetVpnConfiguration' REST API'sini çağırabilir.

Yapılandırma notları

• Azure sanal ağları sanal hub'a bağlıysa Bağlan edSubnets olarak görünür.
• VPN bağlantısı rota tabanlı yapılandırmayı kullanır ve hem IKEv1 hem de IKEv2 protokollerini destekler.

Cihaz yapılandırma dosyası

Cihaz yapılandırma dosyasında şirket içi VPN cihazınızı yapılandırırken kullanacağınız ayarlar bulunur. Bu dosyayı görüntülediğinizde aşağıdaki bilgilere dikkat edin:

• vpnSiteConfiguration - Bu bölümde sanal WAN'a bağlanan bir site olarak ayarlanmış cihazın ayrıntıları yer alır. Dal cihazının adını ve genel IP adresini içerir.

• vpnSiteConnections - Bu bölümde aşağıdakilerle ilgili bilgiler yer alır:

  • Sanal hub'ların sanal ağlarının adres alanı .
    Örnek:

    "AddressSpace":"10.1.0.0/24"
    

  • Hub'a bağlı sanal ağların adres alanı .
    Örnek:

    "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
    

  • vpngateway sanal hub'ının IP adresleri. vpngateway, etkin-etkin yapılandırmada 2 tünel içeren bağlantılara sahip olduğundan bu dosyada iki taraftaki IP adreslerinin de listelendiğini göreceksiniz. Bu örnekte her site için "Instance0" ve "Instance1" örneklerini göreceksiniz.
    Örnek:

    "Instance0":"104.45.18.186"
    "Instance1":"104.45.13.195"
    

  • BGP, önceden paylaşılan anahtar gibi Vpngateway bağlantı yapılandırma ayrıntıları . PSK, sizin için otomatik olarak oluşturulan önceden paylaşılan anahtardır. Dilediğiniz zaman genel bakış sayfasındaki bağlantıyı düzenleyerek özel bir PSK ekleyebilirsiniz.

Örnek cihaz yapılandırma dosyası

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

Bağlan üretkenlik ayrıntıları

Şirket içi SDWAN/VPN cihazınız veya SD-WAN yapılandırmanız, Azure IPsec/IKE ilkesinde belirttiğiniz aşağıdaki algoritmalar ve parametrelerle eşleşmeli veya bu algoritmaları içermelidir.

• IKE şifreleme algoritması
• IKE bütünlük algoritması
• DH Grubu
• IPsec şifreleme algoritması
• IPsec bütünlük algoritması
• PFS Grubu

IPSec bağlantısı için varsayılan ilkeler

Dekont

Varsayılan ilkelerle çalışırken Azure, IPsec tüneli kurulumu sırasında hem başlatıcı hem de yanıtlayıcı olarak görev yapabilir. Sanal WAN VPN birçok algoritma bileşimini desteklese de, en iyi performans için hem IPSEC Şifrelemesi hem de Bütünlük için GCMAES256 önerilir. AES256 ve SHA256 daha az performanslı olarak kabul edilir ve bu nedenle benzer algoritma türleri için gecikme süresi ve paket bırakma gibi performans düşüşü beklenebilir. Sanal WAN hakkında daha fazla bilgi için bkz. Azure Sanal WAN SSS.

Başlatıcı

Aşağıdaki bölümlerde, Tünelin başlatıcısı Azure olduğunda desteklenen ilke birleşimleri listelenmektedir.

1. Aşama

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

2. Aşama

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE

Yanıtlayıcı

Aşağıdaki bölümlerde, Azure tünelin yanıtlayıcısı olduğunda desteklenen ilke birleşimleri listelenmektedir.

1. Aşama

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

2. Aşama

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE
• AES_256, SHA_1, PFS_1
• AES_256, SHA_1, PFS_2
• AES_256, SHA_1, PFS_14
• AES_128, SHA_1, PFS_1
• AES_128, SHA_1, PFS_2
• AES_128, SHA_1, PFS_14
• AES_256, SHA_256, PFS_1
• AES_256, SHA_256, PFS_2
• AES_256, SHA_256, PFS_14
• AES_256, SHA_1, PFS_24
• AES_256, SHA_256, PFS_24
• AES_128, SHA_256, PFS_NONE
• AES_128, SHA_256, PFS_1
• AES_128, SHA_256, PFS_2
• AES_128, SHA_256, PFS_14

SA Yaşam Süresi Değerleri

Bu yaşam süresi değerleri hem başlatıcı hem de yanıtlayıcı için geçerlidir

• Saniye olarak SA Ömrü: 3600 saniye
• Bayt Cinsinden SA Ömrü: 102.400.000 KB

IPsec bağlantısı için özel ilkeler

Özel IPsec ilkeleriyle çalışırken aşağıdaki gereksinimleri göz önünde bulundurun:

• IKE - IKE için, IKE Şifrelemesi'nden herhangi bir parametreyi ve IKE Bütünlüğü'nden herhangi bir parametreyi ve DH Grubu'ndan herhangi bir parametreyi seçebilirsiniz.
• IPsec - IPsec için, IPsec Şifrelemesi'nden herhangi bir parametreyi ve IPsec Bütünlüğü'nden herhangi bir parametreyi ve PFS'yi seçebilirsiniz. IPsec Şifrelemesi veya IPsec Bütünlüğü parametrelerinden herhangi biri GCM ise, her iki ayarın parametreleri GCM olmalıdır.

Varsayılan özel ilke geriye dönük uyumluluk için SHA1, DHGroup2 ve 3DES'i içerir. Bunlar, özel ilke oluştururken desteklenmeyen daha zayıf algoritmalardır. Yalnızca aşağıdaki algoritmaları kullanmanızı öneririz:

Kullanılabilir ayarlar ve parametreler

Ayar	Parametreler
IKE Şifrelemesi	GCMAES256, GCMAES128, AES256, AES128
IKE Bütünlüğü	SHA384, SHA256
DH Grubu	ECP384, ECP256, DHGroup24, DHGroup14
IPsec Şifrelemesi	GCMAES256, GCMAES128, AES256, AES128, None
IPsec Bütünlüğü	GCMAES256, GCMAES128, SHA256
PFS Grubu	ECP384, ECP256, PFS24, PFS14, Hiçbiri
SA Yaşam Süresi	Tamsayı; dk. 300/ varsayılan 3600 saniye

Sonraki adımlar

Sanal WAN hakkında daha fazla bilgi için bkz. Azure Sanal WAN hakkında ve Azure Sanal WAN SSS.

Ek bilgiler için adresine bir e-posta azurevirtualwan@microsoft.comgönderin. Şirketinizin adını konu satırına “[ ]” içinde yazın.