介绍了如何在 SD-WAN Orchestrator 中配置 Microsoft Azure 虚拟 Hub (Microsoft Azure Virtual Hub) 类型的通过 Edge 的非 SD-WAN 目标。
要在 SD-WAN Orchestrator 中配置 Microsoft Azure 虚拟 Hub (Microsoft Azure Virtual Hub) 类型的通过 Edge 的非 SD-WAN 目标,请执行以下操作。
过程
- 从 SD-WAN Orchestrator 的导航面板中,转到配置 (Configure) > 网络服务 (Network Services)。
将显示
服务 (Services) 屏幕。
- 在通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) 区域中,单击新建 (New) 按钮。
将显示
新建通过 Edge 的非 SD-WAN 目标 (New Non SD-WAN Destinations via Edge) 对话框。
- 在服务名称 (Service Name) 文本框中,输入非 SD-WAN 目标的名称。
- 从服务类型 (Service Type) 下拉菜单中,选择 Microsoft Azure 虚拟 Hub (Microsoft Azure Virtual Hub)。
- 从订阅 (Subscription) 下拉菜单中,选择一个云订阅。
应用程序会从 Azure 动态获取所有可用的虚拟 WAN。
- 从虚拟 WAN (Virtual WAN) 下拉菜单中,选择一个虚拟 WAN。
应用程序将自动填充与虚拟 WAN 相关联的资源组。
- 从虚拟 Hub (Virtual Hub) 下拉菜单中,选择一个虚拟 Hub。
应用程序将自动填充与 Hub 对应的 Azure 区域
- 单击下一步 (Next)。
将创建 Microsoft Azure
非 SD-WAN 目标,并显示
非 SD-WAN 目标的对话框。
- 要为非 SD-WAN 目标的主 VPN 网关配置隧道设置,请单击高级 (Advanced) 按钮。
- 在主 VPN 网关 (Primary VPN Gateway) 区域中,您可以配置以下隧道设置:
字段 |
描述 |
加密 (Encryption) |
选择 AES 128 或 AES 256 以作为数据加密的 AES 算法密钥大小。如果不希望对数据进行加密,请选择无 (NONE)。默认值为 AES 128。 |
DH 组 (DH Group) |
在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2。 |
PFS |
选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2、5、14、15 和 16。默认值为“已停用”(Deactivated)。 |
哈希 (Hash) |
VPN 标头的身份验证算法。从列表中选择以下支持的安全哈希算法 (Secure Hash Algorithm, SHA) 函数之一:
默认值为 SHA 256。 |
IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) |
为 Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长 IKE 生命周期为 1440 分钟。默认值为 1440 分钟。 |
IPsec SA 生命周期 (分钟) (IPsec SA Lifetime(min)) |
为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPsec) 重新加密的时间。最短 IPsec 生命周期为 3 分钟,最长 IPsec 生命周期为 480 分钟。默认值为 480 分钟。 |
DPD 超时定时器 (秒) (DPD Timeout Timer(sec)) |
输入 DPD 超时值。DPD 超时值将添加到内部 DPD 定时器中,如下所述。在将对等体视为不活动(不活动对等体检测)之前,请等待接收 DPD 消息的响应。
在 5.1.0 版本之前,默认值为 20 秒。对于 5.1.0 及更高版本,请参阅下表以获取默认值。
- 库名称:Quicksec
- 探测间隔:指数(0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
- 默认最小 DPD 间隔:47.5 秒(QuickSec 在上次重试后等待 16 秒。因此,0.5+1+2+4+8+16+16 = 47.5)。
- 默认最小 DPD 间隔 + DPD 超时 (秒):67.5 秒
注: 在 5.1.0 版本之前,您可以将 DPD 超时定时器配置为 0 秒以停用 DPD。但是,对于 5.1.0 及更高版本,无法通过将 DPD 超时定时器配置为 0 秒来停用 DPD。DPD 超时值(以秒为单位)会添加到默认最小值 47.5 秒)。
|
注:
如果在 IPsec 隧道设置期间将 SD-WAN Edge 作为启动站点并将 Azure 作为响应站点,则 Microsoft Azure 虚拟 WAN 类型的通过 Edge 的非 SD-WAN 目标自动化仅支持具有 Azure 默认 IPsec 策略的 IKEv2 协议(GCM 模式除外)。
- 单击保存更改 (Save Changes)。