V této části naleznete popis konfigurace lokality Cíl jiný než SD-WAN typu Virtuální hub Microsoft Azure (Microsoft Azure Virtual Hub) prostřednictvím zařízení Edge v aplikaci SD-WAN Orchestrator.

Popis konfigurace lokality Cíl jiný než SD-WAN typu Virtuální hub Microsoft Azure (Microsoft Azure Virtual Hub) prostřednictvím Edge v aplikaci SD-WAN Orchestrator.

Požadavky

Procedura

  1. Na navigačním panelu v aplikaci SD-WAN Orchestrator přejděte do nabídky Konfigurovat (Configure) > Síťové služby (Network Services).
    Otevře se obrazovka Služby (Services).
  2. V oblasti Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge) klikněte na tlačítko Nový (New).
    Zobrazí se dialogové okno Nové cíle jiné než SD-WAN prostřednictvím Edge (New Non SD-WAN Destinations via Edge).
  3. Do textového pole Název služby (Service Name) zadejte název lokality Cíl jiný než SD-WAN.
  4. Z rozevírací nabídky Typ služby (Service Type) zvolte možnost Virtuální hub Microsoft Azure (Microsoft Azure Virtual Hub).
  5. Z rozevírací nabídky Odběr (Subscription) vyberte požadovaný odběr cloudu.
    Aplikace načte všechny dostupné virtuální sítě WAN dynamicky z platformy Azure.
  6. Z rozevírací nabídky Virtuální síť WAN (Virtual WAN) vyberte virtuální síť WAN.
    Aplikace automaticky předvyplní skupinu zdrojů, ke které je virtuální síť WAN přidružena.
  7. Z rozevírací nabídky Virtuální hub (Virtual Hub) vyberte virtuální hub.
    Aplikace automaticky předvyplní oblast Azure dle hubu.
  8. Klikněte na tlačítko Další (Next).
    Lokalita Cíl jiný než SD-WAN Microsoft Azure je vytvořena a zobrazí se dialog pro Cíl jiný než SD-WAN.
  9. Pokud budete chtít upravit nastavení tunelového propojení Cíl jiný než SD-WAN brány primární VPN, klikněte na tlačítko Rozšířené (Advanced).
  10. V oblasti Brána primární VPN (Primary VPN Gateway) můžete nakonfigurovat následující nastavení tunelového propojení:
    Pole Popis
    Šifrování (Encryption) Pro velikost klíčů algoritmů AES k šifrování dat vyberte AES 128 nebo AES 256. Pokud nechcete šifrovat data, zvolte možnost ŽÁDNÉ (NONE). Výchozí hodnota je AES 128.
    Skupina DH (DH Group) Algoritmus skupiny Diffie-Hellman (DH), který bude použit při výměně předsdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. Podporovaná skupina DH je 2.
    PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pro zvýšení zabezpečení. Podporované úrovně PFS jsou 2, 5, 14, 15 a 16. Výchozí hodnota je Deaktivováno (Deactivated).
    Hash Algoritmus autentizace pro záhlaví VPN. Vyberte jednu z následujících podporovaných funkcí SHA (Secure Hash Algorithm) ze seznamu:
    • SHA 1
    • SHA 256

    Výchozí hodnota je SHA 256.

    Doba životnosti IKE SA (min) (IKE SA Lifetime(min)) Doba, po kterou se pro Edge iniciuje obnovování výměny klíčů IKE (Internet Key Exchange). Minimální doba životnosti IKE je 10 minut a maximální doba životnosti je 1440 minut. Výchozí hodnota je 1 440 minut.
    Doba životnosti IPsec SA (min) (IPsec SA Lifetime(min)) Doba, po kterou se pro Edge iniciuje obnovování klíče IPsec (Internet Security Protocol). Minimální doba životnosti IPsec je 3 minuty a maximální doba životnosti IPsec je 480 minut. Výchozí hodnota je 480 minut.
    Časovač vypršení DPD (s) (DPD Timeout Timer(sec)) Zadejte hodnotu časového limitu DPD. Hodnota časového limitu DPD bude přidána do interního časovače DPD, jak je popsáno níže. Počkejte na odpověď zprávy DPD, než si budete jistí, že je zařízení druhé strany mimo provoz (Detekce zařízení mimo provoz druhé strany).
    Před verzí 5.1.0 je výchozí hodnota 20 sekund. Pro verzi 5.1.0 a novější naleznete výchozí hodnotu v níže uvedené nabídce.
    • Název knihovny: Quicksec
    • Interval sondy: Exponenciální (0,5 sekundy, 1 sekunda, 2 sekundy, 4 sekundy, 8 sekund, 16 sekund)
    • Výchozí minimální interval DPD: 47,5 s (Quicksec čeká 16 sekund po posledním opakování. Proto je hodnota 0,5+1+2+4+8+16+16 = 47,5).
    • Výchozí minimální interval DPD + časový limit DPD (s): 67,5 s
    Poznámka: Před vydáním 5.1.0 můžete DPD deaktivovat nastavením časovače časového limitu DPD na 0 sekund. Pro verzi 5.1.0 a novější nelze DPD deaktivovat nakonfigurováním časovače časového limitu DPD na 0 sekund. Hodnota časového limitu DPD v sekundách se přidá k výchozí minimální hodnotě 47,5 sekund).
    Poznámka:

    Automatizace Cíl jiný než SD-WAN prostřednictvím Edge typu virtuální sítě WAN Microsoft Azure podporuje pouze protokol IKEv2 s výchozími zásadami IPsec Azure (s výjimkou režimu GCM), pokud se Zařízení SD-WAN Edge během nastavení tunelu IPsec chová jako iniciátor a Azure jako odpovídač.

  11. Klikněte na tlačítko Uložit změny (Save Changes).

Jak pokračovat dále

Informace o automatizaci zařízení Edge virtuální sítě WAN Azure naleznete v tématu Konfigurace aplikace SD-WAN Orchestrator pro automatizaci Azure IPsec virtuální sítě WAN z Zařízení SD-WAN Edge.