Konfigurieren einer Microsoft Azure-Nicht-SD-WAN-Ziel über Edge

In diesem Abschnitt wird beschrieben, wie eine Nicht-SD-WAN-Ziel des Typs Virtueller Microsoft Azure-Hub (Microsoft Azure Virtual Hub) über Edge in SD-WAN Orchestrator konfiguriert wird.

So konfigurieren Sie eine Nicht-SD-WAN-Ziel vom Typ Virtueller Microsoft Azure-Hub (Microsoft Azure Virtual Hub) über Edge in SD-WAN Orchestrator:

Voraussetzungen

Stellen Sie sicher, dass Sie ein Cloud-Abonnement konfiguriert haben. Die Schritte dazu finden Sie unter Konfigurieren eines Netzwerkdiensts für ein Cloud-Abonnement.
Stellen Sie sicher, dass Sie ein virtuelles WAN und Hubs in Azure erstellt haben. Die Schritte dazu finden Sie unter Konfigurieren von Azure Virtual WAN für Zweigstelle-zu-Azure-VPN-Konnektivität.

Prozedur

Navigieren Sie im Navigationsfenster in SD-WAN Orchestrator zu Konfigurieren (Configure) > Netzwerkdienste (Network Services).
Der Bildschirm Dienste (Services) wird angezeigt.
Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Edge (Non SD-WAN Destinations via Edge) auf die Schaltfläche Neu (New).
Das Dialogfeld Neue Nicht-SD-WAN-Ziele über Edge (New Non SD-WAN Destinations via Edge) wird angezeigt.
Geben Sie im Textfeld Dienstname (Service Name) den Namen für die Nicht-SD-WAN-Ziel ein.
Wählen Sie im Dropdown-Menü Diensttyp (Service Type) den Eintrag Virtueller Microsoft Azure-Hub (Microsoft Azure Virtual Hub) aus.
Wählen Sie im Dropdown-Menü Abonnement (Subscription) ein Cloud-Abonnement aus.
Die Anwendung ruft alle verfügbaren virtuellen WANs dynamisch von Azure ab.
Wählen Sie im Dropdown-Menü Virtuelles WAN (Virtual WAN) ein virtuelles WAN aus.
Die Anwendung füllt automatisch die Ressourcengruppe aus, der das virtuelle WAN zugeordnet ist.
Wählen Sie im Dropdown-Menü Virtueller Hub (Virtual Hub) einen virtuellen Hub aus.
Die Anwendung füllt die Azure-Region automatisch aus, die dem Hub entspricht.
Klicken Sie auf Weiter (Next).
Die Microsoft Azure- Nicht-SD-WAN-Ziel wird erstellt, und ein Dialogfeld für Ihre Nicht-SD-WAN-Ziel wird angezeigt.
Um die Tunneleinstellungen für das primäre VPN-Gateway der Nicht-SD-WAN-Ziel zu konfigurieren, klicken Sie auf die Schaltfläche Erweitert (Advanced).

Im Bereich Primäres VPN-Gateway (Primary VPN Gateway) können Sie die folgenden Tunneleinstellungen konfigurieren:

Feld	Beschreibung
Verschlüsselung (Encryption)	Wählen Sie entweder AES 128 oder AES 256 als Schlüsselgröße für die AES-Algorithmen zum Verschlüsseln von Daten aus. Wenn Sie keine Daten verschlüsseln möchten, wählen Sie KEINE (NONE) aus. Der Standardwert ist AES 128.
DH-Gruppe (DH Group)	Der Diffie-Hellman (DH)-Gruppen-Algorithmus, der beim Austausch eines vorinstallierten Schlüssels verwendet werden soll. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Die unterstützte DH-Gruppe ist 2.
PFS	Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Die unterstützten PFS-Ebenen sind 2, 5, 14, 15 und 16. Der Standardwert ist „Deaktiviert“.
Hash	Der Authentifizierungsalgorithmus für die VPN-Kopfzeile. Wählen Sie eine der folgenden unterstützten Secure Hasch Algorithm (SHA)-Funktionen aus der Liste aus: SHA 1 SHA 256 Der Standardwert ist SHA 256.
IKE-SA-Lebensdauer(min) (IKE SA Lifetime(min))	Der Zeitpunkt, zu dem die Neuverschlüsselung von Internet Key Exchange (IKE) für Edges eingeleitet wird. Die minimale IKE-Lebensdauer beträgt 10 Minuten und die maximale Zeit 1440 Minuten. Der Standardwert ist 1440 Sekunden.
IPsec-SA-Lebensdauer(min) (IPsec SA Lifetime(min))	Der Zeitpunkt, zu dem die Neuverschlüsselung des Internet Security Protocol (IPsec) für Edges eingeleitet wird. Die minimale IPSec-Lebensdauer beträgt 3 Minuten, und die maximale IPSec-Lebensdauer beträgt 480 Minuten. Der Standardwert ist 480 Sekunden.
DPD-Zeitüberschreitungstimer(Sek.) (DPD Timeout Timer(sec))	Geben Sie den DPD-Zeitüberschreitungswert ein. Der DPD-Zeitüberschreitungswert wird dem internen DPD-Timer hinzugefügt (siehe folgende Beschreibung). Warten Sie auf eine Antwort auf die DPD-Nachricht, bevor Sie den Peer als inaktiv betrachten (Erkennung inaktiver Peers). Vor Version 5.1.0 beträgt der Standardwert 20 Sekunden. Für Version 5.1.0 und höher finden Sie den Standardwert in der nachstehenden Liste. Bibliotheksname: Quicksec Prüfintervall: Exponentiell (0,5 Sekunden, 1 Sekunde, 2 Sekunden, 4 Sekunden, 8 Sekunden, 16 Sekunden) Standardmäßiges minimales DPD-Intervall: 47,5 Sekunden (Quicksec wartet 16 Sekunden nach der letzten Wiederholung. Daher 0,5+1+2+4+8+16+16 = 47,5). Standardmäßiges minimales DPD-Intervall + DPD-Zeitüberschreitung (Sekunden): 67,5 Sekunden Hinweis: Vor Version 5.1.0 können Sie DPD deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf 0 Sekunden konfigurieren. Für Version 5.1.0 und höher können Sie DPD jedoch nicht deaktivieren, indem Sie den Timer für die DPD-Zeitüberschreitung auf 0 Sekunden konfigurieren. Der DPD-Zeitüberschreitungswert in Sekunden wird dem Standardwert von 47,5 Sekunden hinzugefügt).

Hinweis:

Die Automatisierung von Nicht-SD-WAN-Ziel über Edge des Typs „Virtuelles Microsoft Azure-WAN (Microsoft Azure Virtual WAN)“ unterstützt nur das IKEv2-Protokoll mit Azure-Standard-IPSec-Richtlinien (außer dem GCM-Modus), wenn SD-WAN Edge als Initiator und Azure als Antwortgeber während einer IPSec-Tunnel-Einrichtung fungieren.

Klicken Sie auf Änderungen speichern (Save Changes).

Nächste Maßnahme

Aktivieren von Cloud-VPN auf der Profilebene
Verknüpfen Sie die Microsoft Azure-Nicht-SD-WAN-Ziel mit einem Edge und konfigurieren Sie Tunnel, um einen Tunnel zwischen einer Zweigstelle und Azure Virtual Hub einzurichten. Weitere Informationen finden Sie unter Zuordnen eines Microsoft Azure-Nicht-SD-WAN-Ziel zu einem SD-WAN Edge und Hinzufügen von Tunneln.

Informationen zur Azure Virtual WAN Edge-Automatisierung finden Sie unter Konfigurieren von SD-WAN Orchestrator für Azure Virtual WAN-IPSec-Automatisierung von SD-WAN Edge.