Διαμόρφωση στοιχείου Προορισμός μη SD-WAN Microsoft Azure μέσω Edge

Περιγράφει τον τρόπο διαμόρφωσης στοιχείου Προορισμός μη SD-WAN τύπου Εικονικού διανομέα Microsoft Azure (Microsoft Azure Virtual Hub) μέσω Edge στο SD-WAN Orchestrator.

Για διαμόρφωση στοιχείου Προορισμός μη SD-WAN τύπου Εικονικού διανομέα Microsoft Azure (Microsoft Azure Virtual Hub) μέσω Edge στο SD-WAN Orchestrator:

Προϋποθέσεις

Βεβαιωθείτε ότι έχετε διαμορφώσει μια συνδρομή Cloud. Για τα βήματα, δείτε Διαμόρφωση υπηρεσίας δικτύου συνδρομής Cloud.
Βεβαιωθείτε ότι έχετε δημιουργήσει εικονικό WAN και διανομείς στο Azure. Για τα βήματα, δείτε Διαμόρφωση εικονικού WAN Azure για συνδεσιμότητα VPN κλάδου προς Azure.

Διαδικασία

Από τον πίνακα πλοήγησης στο SD-WAN Orchestrator, μεταβείτε στις επιλογές Διαμόρφωση > Υπηρεσίες δικτύου (Configure > Network Services).
Εμφανίζεται η οθόνη Υπηρεσίες (Services).
Στην περιοχή Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge), κάντε κλικ στο κουμπί Νέο (New).
Εμφανίζεται το παράθυρο διαλόγου Νέοι προορισμοί μη SD-WAN μέσω Edge (New Non SD-WAN Destinations via Edge).
Στο πλαίσιο κειμένου Όνομα υπηρεσίας (Service Name), εισαγάγετε το όνομα για το στοιχείο Προορισμός μη SD-WAN.
Από το αναπτυσσόμενο μενού Τύπος υπηρεσίας (Service Type), επιλέξτε Εικονικός διανομέας Microsoft Azure (Microsoft Azure Virtual Hub).
Από το αναπτυσσόμενο μενού Συνδρομή (Subscription), επιλέξτε μια συνδρομή cloud.
Η εφαρμογή λαμβάνει όλα τα διαθέσιμα εικονικά WAN δυναμικά από το Azure.
Από το αναπτυσσόμενο μενού Εικονικό WAN (Virtual WAN), επιλέξτε ένα εικονικό WAN.
Η εφαρμογή συμπληρώνει αυτόματα την ομάδα πόρων με την οποία είναι συσχετισμένο το εικονικό WAN.
Από το αναπτυσσόμενο μενού Εικονικός διανομέας (Virtual Hub), επιλέξτε έναν εικονικό διανομέα.
Η εφαρμογή συμπληρώνει αυτόματα την περιοχή Azure που αντιστοιχεί στον διανομέα
Κάντε κλικ στο κουμπί Επόμενο (Next).
Δημιουργείται το στοιχείο Προορισμός μη SD-WAN Microsoft Azure και εμφανίζεται ένα παράθυρο διαλόγου για το στοιχείο Προορισμός μη SD-WAN.
Για να διαμορφώσετε τις ρυθμίσεις διοχέτευσης για την πρωτεύουσα πύλη VPN στο στοιχείο Προορισμός μη SD-WAN, κάντε κλικ στο κουμπί Για προχωρημένους (Advanced).

Στην περιοχή Πρωτεύουσα πύλη VPN (Primary VPN Gateway), μπορείτε να διαμορφώσετε τις ακόλουθες ρυθμίσεις διοχέτευσης:

Πεδίο	Περιγραφή
Κρυπτογράφηση (Encryption)	Επιλέξτε AES 128 ή AES 256 ως μέγεθος κλειδιού των αλγορίθμων AES για την κρυπτογράφηση δεδομένων. Εάν δεν θέλετε να κρυπτογραφηθούν δεδομένα, επιλέξτε ΚΑΜΙΑ (NONE). Η προεπιλεγμένη τιμή είναι AES 128.
Ομάδα DH (DH Group)	Ο αλγόριθμος της ομάδας Diffie-Hellman (DH) που θα χρησιμοποιηθεί κατά την ανταλλαγή ενός ήδη κοινόχρηστου κλειδιού. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Η υποστηριζόμενη ομάδα DH είναι 2.
PFS	Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι 2, 5, 14, 15 και 16. Η προεπιλεγμένη τιμή είναι «Απενεργοποιημένο».
Κατακερματισμός (Hash)	Ο αλγόριθμος ελέγχου ταυτότητας για την κεφαλίδα VPN. Επιλέξτε μία από τις ακόλουθες υποστηριζόμενες λειτουργίες ασφαλούς αλγόριθμου κατακερματισμού (SHA) από τη λίστα: SHA 1 SHA 256 Η προεπιλεγμένη τιμή είναι SHA 256.
Διάρκεια ζωής IKE SA (λεπτά) [IKE SA Lifetime(min)]	Χρόνος κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού ανταλλαγής κλειδιών Internet (IKE) για τα Edge. Η ελάχιστη διάρκεια ζωής του IKE είναι 10 λεπτά και η μέγιστη διάρκεια ζωής του IKE είναι 1440 λεπτά. Η προεπιλεγμένη τιμή είναι 1440 λεπτά.
Διάρκεια ζωής IPsec SA (λεπτά) [IPsec SA Lifetime(min)]	Χρόνος κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού πρωτοκόλλου ασφαλείας Internet (IPsec) για τα Edge. Η ελάχιστη διάρκεια ζωής του IPsec είναι 3 λεπτά και η μέγιστη διάρκεια ζωής του IPsec είναι 480 λεπτά. Η προεπιλεγμένη τιμή είναι 480 λεπτά.
Χρονόμετρο λήξης χρονικού ορίου DPD (δευτ.) [DPD Timeout Timer(sec)]	Εισαγάγετε την τιμή λήξης χρονικού ορίου DPD. Η τιμή χρονικού ορίου DPD θα προστεθεί στον εσωτερικό χρονοδιακόπτη DPD, όπως περιγράφεται παρακάτω. Περιμένετε μια απάντηση από το μήνυμα DPD πριν σκεφτείτε ότι ο ομότιμος δεν λειτουργεί (Ανίχνευση ανενεργού ομότιμου). Πριν από την έκδοση 5.1.0, η προεπιλεγμένη τιμή είναι 20 δευτερόλεπτα. Για την έκδοση 5.1.0 και νεότερες εκδόσεις, ανατρέξτε στην παρακάτω λίστα για την προεπιλεγμένη τιμή. Όνομα βιβλιοθήκης: Quicksec Διάστημα διερεύνησης: Εκθετικό (0,5 δευτερόλεπτα, 1 δευτερόλεπτο, 2 δευτερόλεπτα, 4 δευτερόλεπτα, 8 δευτερόλεπτα, 16 δευτερόλεπτα) Προεπιλεγμένο ελάχιστο διάστημα DPD: 47,5 δευτερόλεπτα (Το Quicksec περιμένει 16 δευτερόλεπτα μετά την τελευταία επανάληψη. Επομένως, 0,5+1+2+4+8+16+16 = 47,5). Προεπιλεγμένο ελάχιστο διάστημα DPD + Χρονικό όριο DPD (σε δευτερόλεπτα): 67,5 δευτερόλεπτα Σημείωση: Πριν από την έκδοση 5.1.0, μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε 0 δευτερόλεπτα. Ωστόσο, για την έκδοση 5.1.0 και νεότερες εκδόσεις, δεν μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονόμετρο λήξης χρονικού ορίου DPD σε 0 δευτερόλεπτα. Η τιμή χρονικού ορίου DPD σε δευτερόλεπτα θα προστεθεί στην προεπιλεγμένη ελάχιστη τιμή των 47,5 δευτερολέπτων).

Σημείωση:

Ο Προορισμός μη SD-WAN μέσω Edge της αυτοματοποίησης Εικονικού WAN Microsoft Azure υποστηρίζει μόνο πρωτόκολλο IKEv2 με προεπιλεγμένες πολιτικές IPsec Azure (εκτός από τη λειτουργία GCM), όταν το SD-WAN Edge ενεργεί ως εκκινητής και το Azure ενεργεί ως αποκρινόμενος κατά τη ρύθμιση μιας διοχέτευσης IPsec.

Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).

Επόμενες ενέργειες

Ενεργοποίηση Cloud VPN σε επίπεδο προφίλ
Συσχετίστε το στοιχείο Προορισμός μη SD-WAN Microsoft Azure με Edge και διαμορφώστε διοχετεύσεις για δημιουργία διοχέτευσης μεταξύ μιας διακλάδωσης και ενός εικονικού διανομέα Azure. Για περισσότερες πληροφορίες, δείτε Συσχετίστε ένα στοιχείο Προορισμός μη SD-WAN Microsoft Azure σε SD-WAN Edge και προσθέστε διοχετεύσεις.

Για πληροφορίες σχετικά με τον αυτοματισμό Εικονικού WAN Azure για Edge, δείτε Διαμόρφωση SD-WAN Orchestrator για Αυτοματοποίηση Εικονικού WAN Azure IPsec από SD-WAN Edge.