介绍了如何在 SD-WAN Orchestrator 中配置 Microsoft Azure 虚拟 Hub (Microsoft Azure Virtual Hub) 类型的通过 Edge 的非 SD-WAN 目标

要在 SD-WAN Orchestrator 中配置 Microsoft Azure 虚拟 Hub (Microsoft Azure Virtual Hub) 类型的通过 Edge 的非 SD-WAN 目标,请执行以下操作。

前提条件

过程

  1. SD-WAN Orchestrator 的导航面板中,转到配置 (Configure) > 网络服务 (Network Services)
    将显示 服务 (Services) 屏幕。
  2. 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 区域中,单击新建 (New) 按钮。
    将显示 新建通过 Edge 的非 SD-WAN 目标 (New Non SD-WAN Destinations via Edge) 对话框。
  3. 服务名称 (Service Name) 文本框中,输入非 SD-WAN 目标的名称。
  4. 服务类型 (Service Type) 下拉菜单中,选择 Microsoft Azure 虚拟 Hub (Microsoft Azure Virtual Hub)
  5. 订阅 (Subscription) 下拉菜单中,选择一个云订阅。
    应用程序会从 Azure 动态获取所有可用的虚拟 WAN。
  6. 虚拟 WAN (Virtual WAN) 下拉菜单中,选择一个虚拟 WAN。
    应用程序将自动填充与虚拟 WAN 相关联的资源组。
  7. 虚拟 Hub (Virtual Hub) 下拉菜单中,选择一个虚拟 Hub。
    应用程序将自动填充与 Hub 对应的 Azure 区域
  8. 单击下一步 (Next)
    将创建 Microsoft Azure 非 SD-WAN 目标,并显示 非 SD-WAN 目标的对话框。
  9. 要为非 SD-WAN 目标的主 VPN 网关配置隧道设置,请单击高级 (Advanced) 按钮。
  10. 主 VPN 网关 (Primary VPN Gateway) 区域中,您可以配置以下隧道设置:
    字段 描述
    加密 (Encryption) 选择 AES 128AES 256 以作为数据加密的 AES 算法密钥大小。如果不希望对数据进行加密,请选择无 (NONE)。默认值为 AES 128。
    DH 组 (DH Group) 在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2。
    PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2、5、14、15 和 16。默认值为“已停用”(Deactivated)。
    哈希 (Hash) VPN 标头的身份验证算法。从列表中选择以下支持的安全哈希算法 (Secure Hash Algorithm, SHA) 函数之一:
    • SHA 1
    • SHA 256

    默认值为 SHA 256。

    IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 为 Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长 IKE 生命周期为 1440 分钟。默认值为 1440 分钟。
    IPsec SA 生命周期 (分钟) (IPsec SA Lifetime(min)) 为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPsec) 重新加密的时间。最短 IPsec 生命周期为 3 分钟,最长 IPsec 生命周期为 480 分钟。默认值为 480 分钟。
    DPD 超时定时器 (秒) (DPD Timeout Timer(sec)) 输入 DPD 超时值。DPD 超时值将添加到内部 DPD 定时器中,如下所述。在将对等体视为不活动(不活动对等体检测)之前,请等待接收 DPD 消息的响应。
    在 5.1.0 版本之前,默认值为 20 秒。对于 5.1.0 及更高版本,请参阅下表以获取默认值。
    • 库名称:Quicksec
    • 探测间隔:指数(0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
    • 默认最小 DPD 间隔:47.5 秒(QuickSec 在上次重试后等待 16 秒。因此,0.5+1+2+4+8+16+16 = 47.5)。
    • 默认最小 DPD 间隔 + DPD 超时 (秒):67.5 秒
    注: 在 5.1.0 版本之前,您可以将 DPD 超时定时器配置为 0 秒以停用 DPD。但是,对于 5.1.0 及更高版本,无法通过将 DPD 超时定时器配置为 0 秒来停用 DPD。DPD 超时值(以秒为单位)会添加到默认最小值 47.5 秒)。
    注:

    如果在 IPsec 隧道设置期间将 SD-WAN Edge 作为启动站点并将 Azure 作为响应站点,则 Microsoft Azure 虚拟 WAN 类型的通过 Edge 的非 SD-WAN 目标自动化仅支持具有 Azure 默认 IPsec 策略的 IKEv2 协议(GCM 模式除外)。

  11. 单击保存更改 (Save Changes)

下一步做什么

有关 Azure 虚拟 WAN Edge 自动化的信息,请参阅从 SD-WAN Edge 中配置 SD-WAN Orchestrator 以实现 Azure 虚拟 WAN IPsec 自动化