Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „Microsoft Azure Virtual Hub“

Führen Sie die folgenden Schritte aus, um ein Nicht-SD-WAN-Ziel vom Typ Microsoft Azure Virtual Hub im SASE Orchestrator zu konfigurieren.

Voraussetzungen

Stellen Sie sicher, dass Sie ein Cloud Subscription konfiguriert haben. Die Schritte dazu finden Sie unter Konfigurieren von API-Anmeldedaten.
Stellen Sie sicher, dass Sie ein virtuelles WAN und Hubs in Azure erstellt haben. Die Schritte dazu finden Sie unter Konfigurieren von Azure Virtual WAN für Zweigstelle-zu-Azure-VPN-Konnektivität.

Prozedur

Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu Konfigurieren (Configure) > Netzwerkdienste (Network Services) und erweitern Sie dann unter Nicht-SD-WAN-Ziele (Non SD-WAN Destinations) die Option Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway).
Klicken Sie auf Neu (New) und geben Sie dann unter Name und Typ (Type) den Namen und Typ des Nicht-SD-WAN-Ziel ein. Nachdem Sie den Typ (Type) als Microsoft Azure Virtual Hub eingegeben haben, wird der Abschnitt Konfiguration von virtuellem Hub (Virtual Hub Configuration) im Dialogfeld angezeigt:

Sie können die folgenden Einstellungen konfigurieren:


Option	Beschreibung
Name	Sie können den zuvor eingegebenen Namen für Nicht-SD-WAN-Ziel bearbeiten.
Typ (Type)	Zeigt Microsoft Azure Virtual Hub als Typ an. Sie können diese Option nicht bearbeiten.
Tunnelmodus (Tunnel Mode)	Der Modus Aktiv/Hot-Standby (Active/Hot-Standby) unterstützt die Einrichtung von maximal 2 Tunnel-Endpoints oder Gateways.
Tunnelmodus (Tunnel Mode)	Der Modus Aktiv/Aktiv (Active/Active) unterstützt die Einrichtung von maximal 4 Tunnel-Endpoints oder Gateways. Alle aktiven Tunnel können Datenverkehr über ECMP senden und empfangen.
ECMP Methode zur Lastverteilung	Auf Flow-Last basierend (Flow Load Based) (Standardeinstellung) Der auf Flow-Last basierende Algorithmus ordnet den neuen Flow dem Pfad zu, der unter den verfügbaren Pfaden zum Ziel die geringste Anzahl an Flows aufweist.
ECMP Methode zur Lastverteilung	Auf Hash-Last basierend (Hash Load Based) Der Algorithmus übernimmt Eingabeparameter aus 5-Tupeln (SrcIP, DestIP, SrcPort, DestPort, Protocol). Bei diesen Eingaben kann es sich je nach Benutzerkonfiguration um eine beliebige oder die Gesamtmenge oder um eine Teilmenge dieses Tupels handeln. Der Flow wird dem Pfad basierend auf dem Hash-Wert mit ausgewählten Eingaben zugeordnet.
Abonnement (Subscription)	Wählen Sie ein Abonnement aus dem Dropdown-Menü aus.
Virtuelles WAN (Virtual WAN)	Die Anwendung ruft alle verfügbaren virtuellen WANs dynamisch von Azure ab. Wählen Sie ein virtuelles WAN aus dem Dropdown-Menü aus.
Ressourcengruppe (Resource Group)	Die Anwendung füllt automatisch die Ressourcengruppe aus, der das virtuelle WAN unter Virtuelles WAN (Virtual WAN) zugeordnet ist.
Virtueller Hub (Virtual Hub)	Wählen Sie einen virtuellen Hub aus dem Dropdown-Menü aus.
Azure-Region (Azure Region)	Die Anwendung füllt die Azure-Region automatisch gemäß dem unter Virtueller Hub (Virtual Hub) ausgewählten virtuellen Hub aus.
Tunnel aktivieren (Enable Tunnel(s))	Aktivieren Sie das Kontrollkästchen Tunnel aktivieren (Enable Tunnel(s)), um VMware-VPN-Gateways zu ermöglichen, VPN-Tunnel zum zielseitigen virtuellen Hub unter Virtueller Hub (Virtual Hub) zu initiieren, sobald die Site erfolgreich bereitgestellt wurde.

Hinweis:

VMware-VPN-Gateways initiieren die IKE-Aushandlung nur dann, wenn das Nicht-SD-WAN-Ziel auf mindestens einem Profil konfiguriert ist.
Bei einer Nicht-SD-WAN-Ziel vom Typ „Microsoft Azure“ wird die öffentliche IP der SD-WAN Gateway-Schnittstelle standardmäßig als Wert für die lokale Authentifizierungs-ID verwendet.

Klicken Sie auf Erstellen (Create).
Der SASE Orchestrator startet automatisch die Bereitstellung, stellt Azure-VPN-Sites bereit und lädt die VPN-Site-Konfiguration für die neu konfigurierten Sites herunter. Die Konfiguration wird in der Nicht-SD-WAN-Ziel-Konfigurationsdatenbank von SASE Orchestrator gespeichert.

Sobald die Azure-VPN-Sites auf der SASE Orchestrator-Seite installiert sind, können Sie die VPN-Sites (primär und redundant) im Azure-Portal anzeigen. Navigieren Sie hierfür zu Virtuelles WAN (Virtual WAN) > Virtuelle WAN-Architektur (Virtual WAN architecture) > VPN-Sites (VPN sites).

Nächste Maßnahme

Verknüpfen Sie die Microsoft Azure Nicht-SD-WAN-Ziel mit einem Profil, um einen Tunnel zwischen einer Zweigstelle und Azure Virtual Hub einzurichten. Weitere Informationen finden Sie unter Verknüpfen einer Nicht-SD-WAN-Ziel von Microsoft Azure mit einem SD-WAN-Profil.
Sie müssen SD-WAN-Routen manuell zum Azure-Netzwerk hinzufügen. Weitere Informationen finden Sie unter Bearbeiten einer VPN-Site.
Nach der Zuordnung eines Profils zu Microsoft Azure Nicht-SD-WAN-Ziel können Sie zum Abschnitt Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) zurückkehren, indem Sie zu Konfigurieren (Configure) > Netzwerkdienste (Network Services) navigieren und die BGP-Einstellungen für das Nicht-SD-WAN-Ziel konfigurieren. Führen Sie einen Bildlauf zum Namen Ihrer Nicht-SD-WAN-Ziel durch und klicken Sie dann in der Spalte BGP auf den Link Bearbeiten (Edit). Weitere Informationen finden Sie unter Konfigurieren von BGP über IPSec von Gateways.
Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) auf den Link Bearbeiten (Edit) in der Spalte BFD für ein Nicht-SD-WAN-Ziel, um die BFD-Einstellungen zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von BFD für Gateways.

Informationen zur Automatisierung von virtuellen Azure-WAN-Gateways finden Sie unter Konfigurieren von SASE Orchestrator für Azure Virtual WAN-IPSec-Automatisierung von SD-WAN Gateway.