Suivez les étapes ci-dessous pour configurer une instance de Destination non-SD-WAN de type Hub virtuel Microsoft Azure (Microsoft Azure Virtual Hub) dans SASE Orchestrator.

Conditions préalables

Procédure

  1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Services réseau (Network Services), puis, dans Destinations non-SD-WAN (Non SD-WAN Destinations), développez Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway).
  2. Cliquez sur Nouveau (New), puis entrez le Nom (Name) et le Type de Destination non-SD-WAN. Une fois que vous avez entré le Type comme Hub virtuel Microsoft Azure (Microsoft Azure Virtual Hub), la section Configuration du Hub virtuel (Virtual Hub Configuration) s'affiche dans la boîte de dialogue :
  3. Vous pouvez configurer les paramètres suivants :
    Option Description
    Nom (Name) Vous pouvez modifier le nom entré précédemment pour Destination non-SD-WAN.
    Type Affiche le type sous la forme Hub virtuel Microsoft Azure (Microsoft Azure Virtual Hub). Vous ne pouvez pas modifier cette option.
    Mode tunnel (Tunnel Mode) Le mode Actif/Veille à chaud (Active/Hot-Standby) prend en charge la configuration de 2 points de terminaison de tunnel ou passerelles au maximum.
    Le mode Actif/Actif (Active/Active) prend en charge la configuration de 4 points de terminaison de tunnel ou passerelles au maximum. Tous les tunnels actifs peuvent envoyer et recevoir du trafic via ECMP.
    Méthode de partage de charge ECMP L'algorithme par défaut Basé sur la charge de flux (Flow Load Based) mappe le nouveau flux au chemin avec le moins de flux mappés parmi les chemins disponibles vers la destination.
    L'algorithme Basé sur la charge de hachage (Hash Load Based) prend les paramètres d'entrée d'un tuple comprenant 5 éléments (SrcIP, DestIP, SrcPort, DestPort, Protocol). Ces entrées peuvent correspondre à n'importe quelle valeur, à la totalité des valeurs ou à n'importe quel sous-ensemble de ce tuple selon la configuration de l'utilisateur. Le flux est mappé au chemin en fonction de la valeur de hachage avec les entrées sélectionnées.
    Abonnement (Subscription) Sélectionnez un abonnement dans le menu déroulant.
    WAN virtuel (Virtual WAN) L'application extrait tous les WAN virtuels disponibles dynamiquement à partir d'Azure. Sélectionnez un WAN virtuel dans le menu déroulant.
    Groupe de ressources (Resource Group) L'application remplit automatiquement le groupe de ressources auquel le WAN virtuel (Virtual WAN) est associé.
    Hub virtuel (Virtual Hub) Sélectionnez un Hub virtuel dans le menu déroulant.
    Région Azure (Azure Region) L'application remplit automatiquement la région Azure correspondant au Hub virtuel (Virtual Hub) sélectionné.
    Activer le ou les tunnels (Enable Tunnel[s]) Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] pour autoriser les passerelles VPN VMware à lancer des connexions VPN au Hub virtuel (Virtual Hub) cible, dès que le site est provisionné.
    Note :
    • Les passerelles VPN VMware lancent la négociation IKE uniquement lorsque l'instance de Destination non-SD-WAN est configurée sur au moins un profil.
    • Pour l'instance de Destination non-SD-WAN Microsoft Azure, la valeur de l'ID d'authentification locale par défaut utilisée est Adresse IP publique d'interface (Interface Public IP) de SD-WAN Gateway.
  4. Cliquez sur Créer (Create).
    SASE Orchestrator lance automatiquement le déploiement, provisionne les sites VPN Azure et télécharge la configuration du site VPN pour les sites récemment configurés. Il stocke la configuration dans la base de données de configuration Destination non-SD-WAN de SASE Orchestrator.

    Une fois les sites VPN Azure provisionnés côté SASE Orchestrator, vous pouvez afficher les sites VPN (principaux et redondants) dans le portail Azure en accédant à WAN virtuel (Virtual WAN) > Architecture du WAN virtuel (Virtual WAN architecture) > Sites VPN (VPN sites).

Que faire ensuite

  • Associez le Destination non-SD-WAN Microsoft Azure à un profil pour établir un tunnel entre un site distant et un Hub virtuel Azure. Pour plus d'informations, reportez-vous à la section Associer une instance de Destination non-SD-WAN Microsoft Azure à un profil SD-WAN.
  • Vous devez ajouter manuellement des routes SD-WAN dans le réseau Azure. Pour plus d'informations, reportez-vous à la section Modifier un site VPN.
  • Après avoir associé un profil à l'instance de Destination non-SD-WAN de Microsoft Azure, vous pouvez revenir à la section Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via gateway) en accédant à Configurer (Configure) > Services réseau (Network Services), puis configurer les paramètres BGP pour Destination non-SD-WAN. Faites défiler l'écran jusqu'au nom de votre instance de Destination non-SD-WAN, puis cliquez sur le lien Modifier (Edit) dans la colonne BGP. Pour plus d'informations, reportez-vous à la section Configurer BGP sur IPsec à partir des passerelles.
  • Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway), cliquez sur le lien Modifier (Edit) dans la colonne BFD d'une Destination non-SD-WAN, pour configurer les paramètres BFD. Pour plus d'informations, reportez-vous à la section Configurer BFD pour les passerelles.

Pour plus d'informations sur l'automatisation de la passerelle d'Azure Virtual WAN, reportez-vous à la section Configurer SASE Orchestrator pour l'automatisation IPsec d'Azure Virtual WAN à partir de SD-WAN Gateway.