Sanal WAN iş ortakları için otomasyon yönergeleri
Bu makale, Azure Sanal WAN için bir dal cihazına (müşteri şirket içi VPN cihazı veya SDWAN CPE) bağlanmak ve yapılandırmak üzere otomasyon ortamını ayarlamayı anlamanıza yardımcı olur. IPsec/IKEv2 veya IPsec/IKEv1 üzerinden VPN bağlantısı sağlayabilen dal cihazları sağlayan bir sağlayıcıysanız, bu makale size yöneliktir.
Dal cihazı (müşteri şirket içi VPN cihazı veya SDWAN CPE) genellikle sağlanacak denetleyici/cihaz panosunu kullanır. SD-WAN çözümü yöneticileri genellikle bir cihazı ağa takmadan önce önceden sağlamak için bir yönetim konsolu kullanabilir. Bu VPN özellikli cihaz, kontrol düzlemi mantığını bir denetleyiciden alır. VPN Cihazı veya SD-WAN denetleyicisi, Azure API'lerini kullanarak Azure Sanal WAN bağlantısını otomatikleştirebilir. Bu tür bir bağlantı, şirket içi cihazın kendisine dış kullanıma yönelik bir genel IP adresinin atanmış olmasını gerektirir.
Otomatikleştirmeye başlamadan önce
Cihazınızın IPsec IKEv1/IKEv2'i desteklediğini doğrulayın. Bkz. varsayılan ilkeler.
Azure Sanal WAN bağlantısını otomatikleştirmek için kullandığınız REST API'leri görüntüleyin.
Azure Sanal WAN portal deneyimini test edin.
Ardından, bağlantı adımlarının hangi bölümünü otomatikleştirmek istediğinize karar verin. En azından otomatikleştirmenizi öneririz:
- Erişim Denetimi
- Dal cihazı bilgilerinin Azure Sanal WAN'a yüklenmesi
- Azure yapılandırmasını indirme ve dal cihazından Azure Sanal WAN bağlantısını ayarlama
Ek bilgiler
- Sanal Hub oluşturmayı otomatikleştirmek için REST API
- Sanal WAN için Azure VPN ağ geçidini otomatikleştirmek için REST API
- BIR VPNSite'yi Azure VPN Hub'a bağlamak için REST API
- Varsayılan IPsec ilkeleri
Müşteri deneyimi
Azure Sanal WAN ile birlikte beklenen müşteri deneyimini anlayın.
- Genellikle sanal WAN kullanıcısı bir Sanal WAN kaynağı oluşturarak işlemi başlatır.
- Kullanıcı, azure Sanal WAN dal bilgilerini yazmak için şirket içi sistem (dal denetleyiciniz veya VPN cihazı sağlama yazılımınız) için hizmet sorumlusu tabanlı bir kaynak grubu erişimi ayarlar.
- Kullanıcı şu anda kullanıcı arabiriminizde oturum açmaya ve hizmet sorumlusu kimlik bilgilerini ayarlamaya karar verebilir. Bu işlem tamamlandıktan sonra, denetleyicinizin sağlayacağınız otomasyonla dal bilgilerini karşıya yükleyebilmesi gerekir. Bunun Azure tarafındaki el ile eşdeğeri 'Site Oluştur' şeklindedir.
- Site (dal cihazı) bilgileri Azure'da kullanılabilir olduğunda, kullanıcı siteyi bir hub'a bağlar. Sanal hub, Microsoft tarafından yönetilen bir sanal ağdır. Hub'da, şirket içi ağınızdan (vpnsite) gelen bağlantıyı etkinleştirmek için çeşitli hizmet uç noktaları bulunur. Merkez, bir bölgedeki ağınızın çekirdeğidir ve bu işlem sırasında içindeki vpn uç noktası (vpngateway) oluşturulur. Aynı Azure Sanal WAN için aynı bölgede birden fazla hub oluşturabilirsiniz. VPN ağ geçidi, bant genişliğine ve bağlantı gereksinimlerine göre uygun şekilde boyutlandırılan ölçeklenebilir bir ağ geçididir. Dal cihaz denetleyicisi panonuzdan sanal hub ve vpngateway oluşturmayı otomatikleştirmeyi seçebilirsiniz.
- Sanal Hub siteyle ilişkilendirildikten sonra, kullanıcının el ile indirmesi için bir yapılandırma dosyası oluşturulur. Otomasyonunuz burada devreye girer ve kullanıcı deneyimini sorunsuz hale getirir. Kullanıcının dal cihazını el ile indirip yapılandırması yerine, otomasyonu ayarlayabilir ve kullanıcı arabiriminizde en az tıklama deneyimi sağlayarak paylaşılan anahtar uyuşmazlığı, IPSec parametre uyuşmazlığı, yapılandırma dosyası okunabilirliği gibi tipik bağlantı sorunlarını giderebilirsiniz.
- Çözümünüzdeki bu adımın sonunda, kullanıcının dal cihazı ile sanal hub arasında sorunsuz bir siteden siteye bağlantısı olacaktır. Diğer hub'lar arasında ek bağlantılar da ayarlayabilirsiniz. Her bağlantı etkin-etkin bir tüneldir. Müşteriniz tünel bağlantılarının her biri için farklı bir ISS kullanmayı seçebilir.
- CPE yönetim arabiriminde sorun giderme ve izleme özellikleri sağlamayı göz önünde bulundurun. Tipik senaryolar şunlardır: "Müşteri CPE sorunu nedeniyle Azure kaynaklarına erişemiyor", "CPE tarafında IPsec parametrelerini göster" vb.
Otomasyon ayrıntıları
Erişim denetimi
Müşterilerin cihaz kullanıcı arabirimindeki Sanal WAN için uygun erişim denetimini ayarlayabilmesi gerekir. Bu, Azure Hizmet Sorumlusu kullanılarak önerilir. Hizmet sorumlusu tabanlı erişim, dal bilgilerini karşıya yüklemek için cihaz denetleyicisine uygun kimlik doğrulaması sağlar. Daha fazla bilgi için bkz . Hizmet sorumlusu oluşturma. Bu işlev Azure Sanal WAN teklifinin dışında olsa da, Azure'da erişimi ayarlamaya yönelik tipik adımları aşağıda listeledik ve ardından ilgili ayrıntılar cihaz yönetimi panosuna girilir
- Şirket içi cihaz denetleyiciniz için bir Microsoft Entra uygulaması oluşturun.
- Uygulama kimliğini ve kimlik doğrulama anahtarını alma
- Kiracı kimliğini alma
- "Katkıda Bulunan" rolüne uygulama atama
Dal cihazı bilgilerini karşıya yükleme
Dal (şirket içi site) bilgilerini Azure'a yüklemek için kullanıcı deneyimini tasarlamanız gerekir. site bilgilerini Sanal WAN oluşturmak için VPNSite için REST API'lerini kullanabilirsiniz. Tüm dal SDWAN/VPN cihazlarını sağlayabilir veya uygun cihaz özelleştirmelerini seçebilirsiniz.
Cihaz yapılandırması indirme ve bağlantı
Bu adım, Azure yapılandırmasını indirmeyi ve dal cihazından Azure Sanal WAN bağlantısını ayarlamayı içerir. Bu adımda sağlayıcı kullanmayan bir müşteri Azure yapılandırmasını el ile indirir ve şirket içi SDWAN/VPN cihazına uygular. Sağlayıcı olarak bu adımı otomatikleştirmeniz gerekir. Ek bilgi için indirme REST API'lerini görüntüleyin. Cihaz denetleyicisi Azure yapılandırmasını indirmek için 'GetVpnConfiguration' REST API'sini çağırabilir.
Yapılandırma notları
- Azure sanal ağları sanal hub'a bağlıysa Bağlan edSubnets olarak görünür.
- VPN bağlantısı rota tabanlı yapılandırmayı kullanır ve hem IKEv1 hem de IKEv2 protokollerini destekler.
Cihaz yapılandırma dosyası
Cihaz yapılandırma dosyasında şirket içi VPN cihazınızı yapılandırırken kullanacağınız ayarlar bulunur. Bu dosyayı görüntülediğinizde aşağıdaki bilgilere dikkat edin:
vpnSiteConfiguration - Bu bölümde sanal WAN'a bağlanan bir site olarak ayarlanmış cihazın ayrıntıları yer alır. Dal cihazının adını ve genel IP adresini içerir.
vpnSiteConnections - Bu bölümde aşağıdakilerle ilgili bilgiler yer alır:
Sanal hub'ların sanal ağlarının adres alanı .
Örnek:"AddressSpace":"10.1.0.0/24"
Hub'a bağlı sanal ağların adres alanı .
Örnek:"ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
vpngateway sanal hub'ının IP adresleri. vpngateway, etkin-etkin yapılandırmada 2 tünel içeren bağlantılara sahip olduğundan bu dosyada iki taraftaki IP adreslerinin de listelendiğini göreceksiniz. Bu örnekte her site için "Instance0" ve "Instance1" örneklerini göreceksiniz.
Örnek:"Instance0":"104.45.18.186" "Instance1":"104.45.13.195"
BGP, önceden paylaşılan anahtar gibi Vpngateway bağlantı yapılandırma ayrıntıları . PSK, sizin için otomatik olarak oluşturulan önceden paylaşılan anahtardır. Dilediğiniz zaman genel bakış sayfasındaki bağlantıyı düzenleyerek özel bir PSK ekleyebilirsiniz.
Örnek cihaz yapılandırma dosyası
{
"configurationVersion":{
"LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
"Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
},
"vpnSiteConfiguration":{
"Name":"testsite1",
"IPAddress":"73.239.3.208"
},
"vpnSiteConnections":[
{
"hubConfiguration":{
"AddressSpace":"10.1.0.0/24",
"Region":"West Europe",
"ConnectedSubnets":[
"10.2.0.0/16",
"10.3.0.0/16"
]
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"104.45.18.186",
"Instance1":"104.45.13.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
"IPsecParameters":{
"SADataSizeInKilobytes":102400000,
"SALifeTimeInSeconds":3600
}
}
}
]
},
{
"configurationVersion":{
"LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
"Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
},
"vpnSiteConfiguration":{
"Name":" testsite2",
"IPAddress":"66.193.205.122"
},
"vpnSiteConnections":[
{
"hubConfiguration":{
"AddressSpace":"10.1.0.0/24",
"Region":"West Europe"
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"104.45.18.187",
"Instance1":"104.45.13.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
"IPsecParameters":{
"SADataSizeInKilobytes":102400000,
"SALifeTimeInSeconds":3600
}
}
}
]
},
{
"configurationVersion":{
"LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
"Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
},
"vpnSiteConfiguration":{
"Name":" testsite3",
"IPAddress":"182.71.123.228"
},
"vpnSiteConnections":[
{
"hubConfiguration":{
"AddressSpace":"10.1.0.0/24",
"Region":"West Europe"
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"104.45.18.187",
"Instance1":"104.45.13.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
"IPsecParameters":{
"SADataSizeInKilobytes":102400000,
"SALifeTimeInSeconds":3600
}
}
}
]
}
Bağlan üretkenlik ayrıntıları
Şirket içi SDWAN/VPN cihazınız veya SD-WAN yapılandırmanız, Azure IPsec/IKE ilkesinde belirttiğiniz aşağıdaki algoritmalar ve parametrelerle eşleşmeli veya bu algoritmaları içermelidir.
- IKE şifreleme algoritması
- IKE bütünlük algoritması
- DH Grubu
- IPsec şifreleme algoritması
- IPsec bütünlük algoritması
- PFS Grubu
IPSec bağlantısı için varsayılan ilkeler
Dekont
Varsayılan ilkelerle çalışırken Azure, IPsec tüneli kurulumu sırasında hem başlatıcı hem de yanıtlayıcı olarak görev yapabilir. Sanal WAN VPN birçok algoritma bileşimini desteklese de, en iyi performans için hem IPSEC Şifrelemesi hem de Bütünlük için GCMAES256 önerilir. AES256 ve SHA256 daha az performanslı olarak kabul edilir ve bu nedenle benzer algoritma türleri için gecikme süresi ve paket bırakma gibi performans düşüşü beklenebilir. Sanal WAN hakkında daha fazla bilgi için bkz. Azure Sanal WAN SSS.
Başlatıcı
Aşağıdaki bölümlerde, Tünelin başlatıcısı Azure olduğunda desteklenen ilke birleşimleri listelenmektedir.
1. Aşama
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
2. Aşama
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
Yanıtlayıcı
Aşağıdaki bölümlerde, Azure tünelin yanıtlayıcısı olduğunda desteklenen ilke birleşimleri listelenmektedir.
1. Aşama
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
2. Aşama
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
- AES_256, SHA_1, PFS_1
- AES_256, SHA_1, PFS_2
- AES_256, SHA_1, PFS_14
- AES_128, SHA_1, PFS_1
- AES_128, SHA_1, PFS_2
- AES_128, SHA_1, PFS_14
- AES_256, SHA_256, PFS_1
- AES_256, SHA_256, PFS_2
- AES_256, SHA_256, PFS_14
- AES_256, SHA_1, PFS_24
- AES_256, SHA_256, PFS_24
- AES_128, SHA_256, PFS_NONE
- AES_128, SHA_256, PFS_1
- AES_128, SHA_256, PFS_2
- AES_128, SHA_256, PFS_14
SA Yaşam Süresi Değerleri
Bu yaşam süresi değerleri hem başlatıcı hem de yanıtlayıcı için geçerlidir
- Saniye olarak SA Ömrü: 3600 saniye
- Bayt Cinsinden SA Ömrü: 102.400.000 KB
IPsec bağlantısı için özel ilkeler
Özel IPsec ilkeleriyle çalışırken aşağıdaki gereksinimleri göz önünde bulundurun:
- IKE - IKE için, IKE Şifrelemesi'nden herhangi bir parametreyi ve IKE Bütünlüğü'nden herhangi bir parametreyi ve DH Grubu'ndan herhangi bir parametreyi seçebilirsiniz.
- IPsec - IPsec için, IPsec Şifrelemesi'nden herhangi bir parametreyi ve IPsec Bütünlüğü'nden herhangi bir parametreyi ve PFS'yi seçebilirsiniz. IPsec Şifrelemesi veya IPsec Bütünlüğü parametrelerinden herhangi biri GCM ise, her iki ayarın parametreleri GCM olmalıdır.
Varsayılan özel ilke geriye dönük uyumluluk için SHA1, DHGroup2 ve 3DES'i içerir. Bunlar, özel ilke oluştururken desteklenmeyen daha zayıf algoritmalardır. Yalnızca aşağıdaki algoritmaları kullanmanızı öneririz:
Kullanılabilir ayarlar ve parametreler
Ayar | Parametreler |
---|---|
IKE Şifrelemesi | GCMAES256, GCMAES128, AES256, AES128 |
IKE Bütünlüğü | SHA384, SHA256 |
DH Grubu | ECP384, ECP256, DHGroup24, DHGroup14 |
IPsec Şifrelemesi | GCMAES256, GCMAES128, AES256, AES128, None |
IPsec Bütünlüğü | GCMAES256, GCMAES128, SHA256 |
PFS Grubu | ECP384, ECP256, PFS24, PFS14, Hiçbiri |
SA Yaşam Süresi | Tamsayı; dk. 300/ varsayılan 3600 saniye |
Sonraki adımlar
Sanal WAN hakkında daha fazla bilgi için bkz. Azure Sanal WAN hakkında ve Azure Sanal WAN SSS.
Ek bilgiler için adresine bir e-posta azurevirtualwan@microsoft.comgönderin. Şirketinizin adını konu satırına “[ ]” içinde yazın.