Konfigurace lokality jiné než VMware SD-WAN typu Microsoft Azure přes zařízení Edge

Toto téma popisuje postup konfigurace lokality Cíl jiný než SD-WAN typu Virtuální hub Microsoft Azure (Microsoft Azure Virtual Hub) prostřednictvím zařízení Edge v aplikaci SASE Orchestrator.

Popis konfigurace lokality Cíl jiný než SD-WAN typu Virtuální hub Microsoft Azure (Microsoft Azure Virtual Hub) prostřednictvím Edge v aplikaci SASE Orchestrator.

Požadavky

Ujistěte se, že jste nakonfigurovali odběr cloudu. Postup naleznete v tématu Konfigurace přihlašovacích údajů API.
Ujistěte se, že jste v prostředí Azure vytvořili virtuální sítě WAN a huby. Postup naleznete v tématu Konfigurace virtuální sítě Azure WAN pro připojení větve k Azure VPN.

Procedura

Ve službě SD-WAN na podnikovém portálu přejděte do nabídky Konfigurovat (Configure) > Síťové služby (Network Services) a poté v oblasti Cíle jiné než SD-WAN (Non SD-WAN Destinations) rozbalte Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge).
V oblasti Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge) klikněte na tlačítko Nový (New).
Zobrazí se dialogové okno Nové cíle jiné než SD-WAN prostřednictvím Edge (New Non SD-WAN Destinations via Edge).
Zadejte Název služby (Service Name) a Typ služby (Service Type) pro Cíl jiný než SD-WAN. Jakmile zadáte možnost Typ (Type) jako Virtuální hub Microsoft Azure (Microsoft Azure Virtual Hub), zobrazí se sekce Konfigurace virtuálního hubu (Virtual Hub Configuration).
Z rozevírací nabídky Odběr (Subscription) vyberte požadovaný odběr cloudu. Aplikace načte všechny dostupné virtuální sítě WAN dynamicky z platformy Azure.
Z rozevírací nabídky Virtuální síť WAN (Virtual WAN) vyberte virtuální síť WAN. Aplikace automaticky předvyplní skupinu zdrojů, ke které je virtuální síť WAN přidružena.
Z rozevírací nabídky Virtuální hub (Virtual Hub) vyberte virtuální hub. Aplikace automaticky předvyplní oblast Azure dle hubu.

Klikněte na kartu Nastavení IKE/IPSec (IKE/IPSec Settings) a nakonfigurujte následující parametry:


Možnost	Popis
Verze IP (IP Version)	Z rozevírací nabídky vyberte verzi IP (IPv4 nebo IPv6) pro aktuální Cíl jiný než SD-WAN.
Primární brána VPN (Primary VPN Gateway)
Veřejná IP (Public IP)	Zadejte platnou adresu IPv4 nebo IPv6. Toto pole je povinné.
Zobrazit rozšířená nastavení pro návrh IKE (View advanced settings for IKE Proposal): Rozbalte tuto možnost pro zobrazení následujících polí.
Šifrování (Encryption)	Z rozevíracího seznamu vyberte klíč algoritmů AES pro šifrování dat. Dostupné možnosti jsou AES 128, AES 256, AES 128 GCM, AES 256 GCM a Auto. Výchozí hodnota je AES 128.
Skupina DH (DH Group)	Vyberte z rozevíracího seznamu algoritmus skupiny Diffie-Hellman (DH). Ten se používá pro generování materiálu klíčů. Skupina DH nastavuje sílu algoritmu v bitech. Mezi podporované skupiny DH patří 2, 5, 14, 15, 16, 19, 20 a 21. Výchozí hodnota je 14.
Hash	Vyberte jednu z následujících podporovaných funkcí SHA (Secure Hash Algorithm) z rozevíracího seznamu: SHA 1 SHA 256 SHA 384 Poznámka: Tato hodnota není k dispozici pro typ služby Virtuální síť WAN Microsoft Azure (Microsoft Azure Virtual Wan). SHA 512 Poznámka: Tato hodnota není k dispozici pro typ služby Virtuální síť WAN Microsoft Azure (Microsoft Azure Virtual Wan). Automatické (Auto) Výchozí hodnota je SHA 256.
Doba životnosti IKE SA (min) (IKE SA Lifetime(min))	Zadejte dobu, po kterou se pro Edge iniciuje obnovování výměny klíčů IKE (Internet Key Exchange). Minimální doba životnosti IKE je 10 minut a maximální doba životnosti je 1440 minut. Výchozí hodnota je 1440 minut. Poznámka: Opětovné vytvoření klíčů musí být zahájeno před vypršením 75–80 % doby životnosti.
Časový limit DPD (s) (DPD Timeout(sec))	Zadejte hodnotu časového limitu DPD. Hodnota časového limitu DPD bude přidána do interního časovače DPD, jak je popsáno níže. Počkejte na odpověď zprávy DPD, než si budete jistí, že je zařízení druhé strany mimo provoz (Detekce zařízení mimo provoz druhé strany). Před verzí 5.1.0 je výchozí hodnota 20 sekund. Pro verzi 5.1.0 a novější naleznete výchozí hodnotu v níže uvedené nabídce. Název knihovny: Quicksec Interval sondy: Exponenciální (0,5 sekundy, 1 sekunda, 2 sekundy, 4 sekundy, 8 sekund, 16 sekund) Výchozí minimální interval DPD: 47,5 s (Quicksec čeká 16 sekund po posledním opakování. Proto je hodnota 0,5+1+2+4+8+16+16 = 47,5). Výchozí minimální interval DPD + časový limit DPD (s): 67,5 s Poznámka: Pro verzi 5.1.0 a novější nelze DPD deaktivovat nakonfigurováním časovače časového limitu DPD na 0 sekund. Hodnota časového limitu DPD v sekundách se přidá k výchozí minimální hodnotě 47,5 sekund.
Zobrazit rozšířená nastavení pro návrh IPsec (View advanced settings for IPsec Proposal): Rozbalte tuto možnost pro zobrazení následujících polí.
Šifrování (Encryption)	Z rozevíracího seznamu vyberte klíč algoritmů AES pro šifrování dat. Dostupné možnosti jsou Žádný (None), AES 128 a AES 256. Výchozí hodnota je AES 128.
PFS	Vyberte úroveň PFS (Perfect Forward Secrecy) pro zvýšení zabezpečení. Podporované úrovně PFS jsou 2, 5, 14, 15, 16, 19, 20 a 21. Výchozí hodnota je 14.
Hash	Vyberte jednu z následujících podporovaných funkcí SHA (Secure Hash Algorithm) z rozevíracího seznamu: SHA 1 SHA 256 SHA 384 Poznámka: Tato hodnota není k dispozici pro typ služby Virtuální síť WAN Microsoft Azure (Microsoft Azure Virtual Wan). SHA 512 Poznámka: Tato hodnota není k dispozici pro typ služby Virtuální síť WAN Microsoft Azure (Microsoft Azure Virtual Wan). Výchozí hodnota je SHA 256.
Doba životnosti IPsec SA (min) (IPsec SA Lifetime(min))	Zadejte dobu, po kterou se pro Edge iniciuje obnovování klíče IPsec (Internet Security Protocol). Minimální doba životnosti IPsec jsou 3 minuty a maximální doba životnosti IPsec je 480 minut. Výchozí hodnota je 480 minut. Poznámka: Opětovné vytvoření klíčů musí být zahájeno před vypršením 75–80 % doby životnosti.
Sekundární brána VPN (Secondary VPN Gateway)
Přidat (Add) – Kliknutím na tuto možnost přidáte sekundární bránu VPN. Zobrazí se následující pole.
Veřejná IP (Public IP)	Zadejte platnou adresu IPv4 nebo IPv6.
Odstranit (Remove)	Odstraní sekundární bránu VPN.
Zachovat aktivní tunel (Keep Tunnel Active)	Zaškrtnutím tohoto políčka zachováte pro tento web aktivní sekundární tunel VPN.
Nastavení tunelu jsou stejná jako u primární brány VPN	Toto pole zaškrtněte, pokud chcete použít stejná rozšířená nastavení pro primární a sekundární bránu. Nastavení sekundární brány VPN můžete zadat ručně.

Poznámka:

Automatizace Cíl jiný než SD-WAN prostřednictvím Edge typu virtuální sítě WAN Microsoft Azure podporuje pouze protokol IKEv2 s výchozími zásadami IPsec Azure (s výjimkou režimu GCM), pokud se Zařízení SD-WAN Edge během nastavení tunelu IPsec chová jako iniciátor a Azure jako odpovídač.

Sekundární brána VPN pro tuto lokalitu je okamžitě vytvořena a bude zřízeno tunelové propojení VPN VMware na tuto bránu.

Klikněte na kartu Podsítě lokality (Site Subnets) a nakonfigurujte následující:


Možnost	Popis
Přidat (Add)	Kliknutím na tuto možnost přidáte podsíť a popis Cíl jiný než SD-WAN.
Odstranit (Delete)	Kliknutím na tuto možnost odstraníte vybranou podsíť.

Poznámka: Pro podporu druhu datového centra typu Cíl jiný než SD-WAN kromě připojení IPsec musíte nakonfigurovat místní podsítě Cíl jiný než SD-WAN v systému VMware.

Klikněte na tlačítko Uložit (Save).
Lokalita Cíl jiný než SD-WAN Microsoft Azure je vytvořena a zobrazí se dialog pro Cíl jiný než SD-WAN.

Jak pokračovat dále

Konfigurace cloudové VPN pro profily
Přiřaďte Cíl jiný než SD-WAN do zařízení Edge a nakonfigurujte tunely, abyste vytvořili tunelové propojení mezi větví a virtuálním hubem Azure. Další informace naleznete v tématu Přidružení Microsoft Azure Cíl jiný než SD-WAN k Zařízení SD-WAN Edge a přidání tunelů.

Informace o automatizaci zařízení Edge virtuální sítě WAN Azure naleznete v tématu Konfigurace SASE Orchestrator na automatizaci IPsec ve virtuální síti WAN Azure z Zařízení SD-WAN Edge.