In diesem Abschnitt wird beschrieben, wie eine Nicht-SD-WAN-Ziel des Typs Virtueller Microsoft Azure-Hub (Microsoft Azure Virtual Hub) über Edge in SD-WAN Orchestrator konfiguriert wird.
So konfigurieren Sie eine Nicht-SD-WAN-Ziel vom Typ Virtueller Microsoft Azure-Hub (Microsoft Azure Virtual Hub) über Edge in SD-WAN Orchestrator:
Navigieren Sie im Navigationsfenster in SD-WAN Orchestrator zu Konfigurieren (Configure) > Netzwerkdienste (Network Services).
Der Bildschirm
Dienste (Services) wird angezeigt.
Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Edge (Non SD-WAN Destinations via Edge) auf die Schaltfläche Neu (New).
Das Dialogfeld
Neue Nicht-SD-WAN-Ziele über Edge (New Non SD-WAN Destinations via Edge) wird angezeigt.
Geben Sie im Textfeld Dienstname (Service Name) den Namen für die Nicht-SD-WAN-Ziel ein.
Wählen Sie im Dropdown-Menü Diensttyp (Service Type) den Eintrag Virtueller Microsoft Azure-Hub (Microsoft Azure Virtual Hub) aus.
Wählen Sie im Dropdown-Menü Abonnement (Subscription) ein Cloud-Abonnement aus.
Die Anwendung ruft alle verfügbaren virtuellen WANs dynamisch von Azure ab.
Wählen Sie im Dropdown-Menü Virtuelles WAN (Virtual WAN) ein virtuelles WAN aus.
Die Anwendung füllt automatisch die Ressourcengruppe aus, der das virtuelle WAN zugeordnet ist.
Wählen Sie im Dropdown-Menü Virtueller Hub (Virtual Hub) einen virtuellen Hub aus.
Die Anwendung füllt die Azure-Region automatisch aus, die dem Hub entspricht.
Klicken Sie auf Weiter (Next).
Die Microsoft Azure-
Nicht-SD-WAN-Ziel wird erstellt, und ein Dialogfeld für Ihre
Nicht-SD-WAN-Ziel wird angezeigt.
Um die Tunneleinstellungen für das primäre VPN-Gateway der Nicht-SD-WAN-Ziel zu konfigurieren, klicken Sie auf die Schaltfläche Erweitert (Advanced).
Im Bereich Primäres VPN-Gateway (Primary VPN Gateway) können Sie die folgenden Tunneleinstellungen konfigurieren:
Feld
Beschreibung
Verschlüsselung (Encryption)
Wählen Sie entweder AES 128 oder AES 256 als Schlüsselgröße für die AES-Algorithmen zum Verschlüsseln von Daten aus. Wenn Sie keine Daten verschlüsseln möchten, wählen Sie KEINE (NONE) aus. Der Standardwert ist AES 128.
DH-Gruppe (DH Group)
Der Diffie-Hellman (DH)-Gruppen-Algorithmus, der beim Austausch eines vorinstallierten Schlüssels verwendet werden soll. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Die unterstützte DH-Gruppe ist 2.
PFS
Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Die unterstützten PFS-Ebenen sind 2, 5, 14, 15 und 16. Der Standardwert ist „Deaktiviert“.
Hash
Der Authentifizierungsalgorithmus für die VPN-Kopfzeile. Wählen Sie eine der folgenden unterstützten Secure Hasch Algorithm (SHA)-Funktionen aus der Liste aus:
SHA 1
SHA 256
Der Standardwert ist SHA 256.
IKE-SA-Lebensdauer(min) (IKE SA Lifetime(min))
Der Zeitpunkt, zu dem die Neuverschlüsselung von Internet Key Exchange (IKE) für Edges eingeleitet wird. Die minimale IKE-Lebensdauer beträgt 10 Minuten und die maximale Zeit 1440 Minuten. Der Standardwert ist 1440 Sekunden.
IPsec-SA-Lebensdauer(min) (IPsec SA Lifetime(min))
Der Zeitpunkt, zu dem die Neuverschlüsselung des Internet Security Protocol (IPsec) für Edges eingeleitet wird. Die minimale IPSec-Lebensdauer beträgt 3 Minuten, und die maximale IPSec-Lebensdauer beträgt 480 Minuten. Der Standardwert ist 480 Sekunden.
Die maximale Zeit, die das Gerät auf eine Antwort auf die DPD-Nachricht warten muss, bevor der Peer als inaktiv betrachtet wird. Der Standardwert beträgt 20 Sekunden. Sie können DPD deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf 0 Sekunden konfigurieren.
Hinweis:
Die Automatisierung von Nicht-SD-WAN-Ziel über Edge des Typs „Virtuelles Microsoft Azure-WAN (Microsoft Azure Virtual WAN)“ unterstützt nur das IKEv2-Protokoll mit Azure-Standard-IPSec-Richtlinien (außer dem GCM-Modus), wenn SD-WAN Edge als Initiator und Azure als Antwortgeber während einer IPSec-Tunnel-Einrichtung fungieren.
Klicken Sie auf Änderungen speichern (Save Changes).
