Cette rubrique décrit comment configurer un Destination non-SD-WAN de type Hub virtuel Microsoft Azure (Microsoft Azure Virtual Hub) via un dispositif Edge dans SASE Orchestrator.

Pour configurer un Destination non-SD-WAN de type Hub virtuel Microsoft Azure (Microsoft Azure Virtual Hub) via un dispositif Edge dans SASE Orchestrator :

Conditions préalables

Procédure

  1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Services réseau (Network Services), puis, dans Destinations non-SD-WAN (Non SD-WAN Destinations), développez Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge).
  2. Dans la zone Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge), cliquez sur le bouton Nouveau (New).
    La boîte de dialogue Nouvelles destinations non-SD-WAN via un dispositif Edge (New Non SD-WAN Destinations via Edge) s'affiche.
  3. Entrez le Nom du service (Service Name) et le Type de service (Service Type) du Destination non-SD-WAN. Une fois que vous avez entré le Type de service (Service Type) comme Hub virtuel Microsoft Azure (Microsoft Azure Virtual Hub), la section Configuration du Hub virtuel (Virtual Hub Configuration) s'affiche.
  4. Dans le menu déroulant Abonnement (Subscription), sélectionnez un abonnement cloud. L'application extrait tous les WAN virtuels disponibles dynamiquement à partir d'Azure.
  5. Dans le menu déroulant WAN virtuel (Virtual WAN), sélectionnez un réseau étendu virtuel. L'application remplit automatiquement le groupe de ressources auquel le WAN virtuel est associé.
  6. Dans le menu déroulant Hub virtuel (Virtual Hub), sélectionnez un Hub virtuel. L'application remplit automatiquement la région Azure correspondant au Hub
  7. Cliquez sur l'onglet Paramètres IKE/IPsec (IKE/IPSec Settings) et configurez les paramètres suivants :
    Option Description
    Version de l'adresse IP (IP Version) Sélectionnez une version de l'adresse IP (IPv4 ou IPv6) de l'instance actuelle de Destination non-SD-WAN dans le menu déroulant.
    Passerelle VPN principale (Primary VPN Gateway)
    Adresse IP publique (Public IP) Entrez une adresse IPv4 ou IPv6 valide. Ce champ est obligatoire.
    Affichez les paramètres avancés de la proposition IKE : développez cette option pour afficher les champs suivants.
    Chiffrement (Encryption) Sélectionnez la taille de clé d'algorithme AES dans la liste déroulante pour chiffrer les données. Les options disponibles sont AES 128, AES 256, AES 128 GCM, AES 256 GCM et Auto. La valeur par défaut est AES 128.
    Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH) dans la liste déroulante. Il est utilisé pour générer du matériel de génération de clés. Le groupe DH définit la puissance de l'algorithme en bits. Les groupes DH pris en charge sont 2, 5, 14, 15, 16, 19, 20 et 21. La valeur par défaut est de 14.
    Hachage (Hash) Sélectionnez l'une des fonctions d'algorithme de hachage sécurisé (SHA, Secure Hash Algorithm) prises en charge suivantes dans la liste déroulante :
    • SHA 1
    • SHA 256
    • SHA 384
      Note : Cette valeur n'est pas disponible pour le type de service WAN virtuel Microsoft Azure (Microsoft Azure Virtual WAN).
    • SHA 512
      Note : Cette valeur n'est pas disponible pour le type de service WAN virtuel Microsoft Azure (Microsoft Azure Virtual WAN).
    • Auto

    La valeur par défaut est SHA 256.

    Durée de vie de la SA IKE (min) [IKE SA Lifetime(min)] Entrez le moment où le renouvellement de clés de l'échange de clés Internet (IKE, Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IKE minimale est de 10 minutes et la valeur maximale est de 1 440 minutes. La valeur par défaut est de 1 440 minutes.
    Note : Le renouvellement de clés doit être initié avant l'expiration de 75 à 80 % de la durée de vie.
    Délai d'expiration de DPD (s) [DPD Timeout (sec)] Entrez la valeur DPD Timeout. La valeur DPD Timeout sera ajoutée au DPD Timer interne, comme décrit ci-dessous. Attendez une réponse du message DPD avant de considérer le peer comme inactif (Détection des peers inactifs).
    Avant la version 5.1.0, la valeur par défaut était de 20 secondes. Pour la version 5.1.0 et les versions ultérieures, reportez-vous à la liste ci-dessous pour connaître la valeur par défaut.
    • Nom de la bibliothèque : Quicksec
    • Intervalle d'analyse : exponentiel (0,5 s, 1 s, 2 s, 4 s, 8 s et 16 s)
    • Intervalle DPD minimal par défaut : 47,5 s (Quicksec attend 16 secondes après la dernière nouvelle tentative. Par conséquent, 0,5+1+2+4+8+16+16 = 47,5).
    • Intervalle DPD minimal par défaut + DPD Timeout (s) : 67,5 s
    Note : Pour la version 5.1.0 et les versions ultérieures, vous ne pouvez pas désactiver DPD en configurant le DPD Timeout Timer sur 0 seconde. La valeur DPD Timeout en secondes est ajoutée à la valeur minimale par défaut de 47,5 secondes.
    Affichez les paramètres avancés de la proposition IPsec : développez cette option pour afficher les champs suivants.
    Chiffrement (Encryption) Sélectionnez la taille de clé d'algorithme AES dans la liste déroulante pour chiffrer les données. Les options disponibles sont Aucun, AES 128 et AES 256. La valeur par défaut est AES 128.
    PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les niveaux PFS pris en charge sont 2, 5, 14, 15, 16, 19, 20 et 21. La valeur par défaut est de 14.
    Hachage (Hash) Sélectionnez l'une des fonctions d'algorithme de hachage sécurisé (SHA, Secure Hash Algorithm) prises en charge suivantes dans la liste déroulante :
    • SHA 1
    • SHA 256
    • SHA 384
      Note : Cette valeur n'est pas disponible pour le type de service WAN virtuel Microsoft Azure (Microsoft Azure Virtual WAN).
    • SHA 512
      Note : Cette valeur n'est pas disponible pour le type de service WAN virtuel Microsoft Azure (Microsoft Azure Virtual WAN).

    La valeur par défaut est SHA 256.

    Durée de vie de la SA IPsec (min) [IPsec SA Lifetime(min)] Entrez le moment où le renouvellement de clés du protocole IPsec (Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IPsec minimale est de 3 minutes et la valeur maximale est de 480 minutes. La valeur par défaut est de 480 minutes.
    Note : Le renouvellement de clés doit être initié avant l'expiration de 75 à 80 % de la durée de vie.
    Passerelle VPN secondaire (Secondary VPN Gateway)
    Ajouter (Add) : cliquez sur cette option pour ajouter une passerelle VPN secondaire. Les champs suivants s'affichent.
    Adresse IP publique (Public IP) Entrez une adresse IPv4 ou IPv6 valide.
    Supprimer (Remove) Supprime la passerelle VPN secondaire.
    Laisser le tunnel actif (Keep Tunnel Active) Cochez cette case pour laisser le tunnel VPN secondaire actif pour ce site.
    Les paramètres du tunnel sont identiques à la passerelle VPN principale (Tunnel settings are the same as Primary VPN Gateway) Cochez cette case si vous souhaitez appliquer les mêmes paramètres avancés pour les passerelles principale et secondaire. Vous pouvez choisir d'entrer manuellement les paramètres de la passerelle VPN secondaire.
    Note :

    Destination non-SD-WAN via le dispositif Edge de type Automatisation de WAN virtuel Microsoft Azure (Microsoft Azure Virtual WAN automation) prend uniquement en charge le protocole IKEv2 avec les stratégies IPsec par défaut d'Azure (sauf le mode GCM), lorsque SD-WAN Edge agit comme initiateur et Azure agit comme répondeur lors de la configuration d'un tunnel IPsec.

  8. La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel VPN de VMware vers cette passerelle.
  9. Cliquez sur l'onglet Sous-réseaux de site (Site Subnets) et configurez les éléments suivants :
    Option Description
    Ajouter (Add) Cliquez sur cette option pour ajouter un sous-réseau et une description pour la Destination non-SD-WAN.
    Supprimer (Delete) Cliquez sur cette option pour supprimer le sous-réseau sélectionné.
    Note : Pour prendre en charge le type de centre de données de Destination non-SD-WAN, outre la connexion IPsec, vous devez configurer des sous-réseaux locaux Destination non-SD-WAN dans le système VMware.
  10. Cliquez sur Enregistrer (Save).
    Un Destination non-SD-WAN Microsoft Azure est créé et une boîte de dialogue pour votre Destination non-SD-WAN s'affiche.

Que faire ensuite

Pour plus d'informations sur l'automatisation du dispositif Edge d'Azure Virtual WAN, reportez-vous à la section Configurer SASE Orchestrator pour l'automatisation IPsec d'Azure Virtual WAN à partir de SD-WAN Edge.