Configurer une Destination non-SD-WAN Microsoft Azure via un dispositif Edge

Décrit comment configurer un Destination non-SD-WAN de type Hub virtuel Microsoft Azure (Microsoft Azure Virtual Hub) via un dispositif Edge dans SD-WAN Orchestrator.

Pour configurer un Destination non-SD-WAN de type Hub virtuel Microsoft Azure (Microsoft Azure Virtual Hub) via un dispositif Edge dans SD-WAN Orchestrator :

Conditions préalables

Assurez-vous d'avoir configuré un abonnement cloud. Pour obtenir des instructions, reportez-vous à la section Configurer un service réseau d'abonnement cloud.
Assurez-vous de créer des Hubs et des Virtual WAN dans Azure. Pour obtenir des instructions, reportez-vous à la section Configurer Azure Virtual WAN pour la connectivité VPN branche-vers-Azure.

Procédure

Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) > Services réseau (Network Services).
L'écran Services s'affiche.
Dans la zone Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge), cliquez sur le bouton Nouveau (New).
La boîte de dialogue Nouvelles destinations non-SD-WAN via un dispositif Edge (New Non SD-WAN Destinations via Edge) s'affiche.
Dans la zone de texte Nom du service (Service Name), entrez le nom de l'instance de Destination non-SD-WAN.
Dans le menu déroulant Type de service (Service Type), sélectionnez Hub virtuel Microsoft Azure (Microsoft Azure Virtual Hub).
Dans le menu déroulant Abonnement (Subscription), sélectionnez un abonnement cloud.
L'application extrait tous les Virtual WAN disponibles dynamiquement à partir d'Azure.
Dans le menu déroulant WAN virtuel (Virtual WAN), sélectionnez un réseau étendu virtuel.
L'application remplit automatiquement le groupe de ressources auquel le WAN virtuel est associé.
Dans le menu déroulant Hub virtuel (Virtual Hub), sélectionnez un Hub virtuel.
L'application remplit automatiquement la région Azure correspondant au Hub
Cliquez sur Suivant (Next).
Un Destination non-SD-WAN Microsoft Azure est créé et une boîte de dialogue pour votre Destination non-SD-WAN s'affiche.
Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Destination non-SD-WAN, cliquez sur le bouton Avancé (Advanced).

Dans la zone Passerelle VPN principale (Primary VPN Gateway), vous pouvez configurer les paramètres de tunnel suivants :

Champ	Description
Chiffrement (Encryption)	Sélectionnez AES 128 ou AES 256 comme taille de clé d'algorithmes AES pour le chiffrement des données. Si vous ne souhaitez pas chiffrer les données, sélectionnez AUCUN (NONE). La valeur par défaut est AES 128.
Groupe DH (DH Group)	Algorithme de groupe Diffie-Hellman (DH) à utiliser lors de l'échange d'une clé prépartagée. Le groupe DH définit la puissance de l'algorithme en bits. Le groupe DH pris en charge est 2.
PFS	Sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les niveaux de PFS pris en charge sont 2, 5, 14, 15 et 16. La valeur par défaut est Désactivé (Deactivated).
Hachage (Hash)	Algorithme d'authentification de l'en-tête VPN. Sélectionnez l'une des fonctions d'algorithme de hachage sécurisé (SHA, Secure Hash Algorithm) prises en charge suivantes dans la liste : SHA 1 SHA 256 La valeur par défaut est SHA 256.
Durée de vie de la SA IKE (min) [IKE SA Lifetime(min)]	Moment où le renouvellement de clés de l'échange de clés Internet (IKE, Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IKE minimale est de 10 minutes et durée de vie IKE maximale est de 1 440 minutes. La valeur par défaut est de 1 440 minutes.
Durée de vie de la SA IPsec (min) [IPsec SA Lifetime(min)]	Moment où le renouvellement de clés du protocole IPsec (Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IPsec minimale est de 3 minutes et la durée de vie IPsec maximale est de 480 minutes. La valeur par défaut est de 480 minutes.
Temporisateur de délai d'expiration DPD (s) [DPD Timeout Timer(sec)]	Entrez la valeur DPD Timeout. La valeur DPD Timeout sera ajoutée au DPD Timer interne, comme décrit ci-dessous. Attendez une réponse du message DPD avant de considérer le peer comme inactif (Détection des peers inactifs). Avant la version 5.1.0, la valeur par défaut était de 20 secondes. Pour la version 5.1.0 et les versions ultérieures, reportez-vous à la liste ci-dessous pour connaître la valeur par défaut. Nom de la bibliothèque : Quicksec Intervalle d'analyse : exponentiel (0,5 s, 1 s, 2 s, 4 s, 8 s et 16 s) Intervalle DPD minimal par défaut : 47,5 s (Quicksec attend 16 secondes après la dernière nouvelle tentative. Par conséquent, 0,5+1+2+4+8+16+16 = 47,5). Intervalle DPD minimal par défaut + DPD Timeout (s) : 67,5 s Note : Avant la version 5.1.0, vous pouviez désactiver DPD en configurant le DPD Timeout Timer sur 0 seconde. Cependant, pour la version 5.1.0 et les versions ultérieures, vous ne pouvez pas désactiver DPD en configurant le DPD Timeout Timer sur 0 seconde. La valeur DPD Timeout en secondes est ajoutée à la valeur minimale par défaut de 47,5 secondes.

Note :

Destination non-SD-WAN via le dispositif Edge de type Automatisation de WAN virtuel Microsoft Azure (Microsoft Azure Virtual WAN automation) prend uniquement en charge le protocole IKEv2 avec les stratégies IPsec par défaut d'Azure (sauf le mode GCM), lorsque SD-WAN Edge agit comme initiateur et Azure agit comme répondeur lors de la configuration d'un tunnel IPsec.

Cliquez sur Enregistrer les modifications (Save Changes).

Que faire ensuite

Activer le VPN cloud au niveau du profil
Associez le Destination non-SD-WAN Azure Microsoft à un dispositif Edge et configurez des tunnels afin d'établir un tunnel entre un site distant et un Hub virtuel Azure. Pour plus d'informations, reportez-vous à la section Associer une Destination non-SD-WAN Microsoft Azure à un dispositif SD-WAN Edge et ajouter des tunnels.

Pour plus d'informations sur l'automatisation du dispositif Edge d'Azure Virtual WAN, reportez-vous à la section Configurer SD-WAN Orchestrator pour l'automatisation IPsec d'Azure Virtual WAN à partir de SD-WAN Edge.