Αυτό το θέμα περιγράφει τον τρόπο διαμόρφωσης ενός στοιχείου Προορισμός μη SD-WAN τύπου Εικονικού διανομέα Microsoft Azure (Microsoft Azure Virtual Hub) μέσω Edge στο SASE Orchestrator.
Για διαμόρφωση στοιχείου Προορισμός μη SD-WAN τύπου Εικονικού διανομέα Microsoft Azure (Microsoft Azure Virtual Hub) μέσω Edge στο SASE Orchestrator:
Προϋποθέσεις
- Βεβαιωθείτε ότι έχετε διαμορφώσει μια συνδρομή Cloud. Για τα βήματα, δείτε Ρύθμιση παραμέτρων διαπιστευτηρίων API.
- Βεβαιωθείτε ότι έχετε δημιουργήσει εικονικό WAN και διανομείς στο Azure. Για τα βήματα, δείτε Διαμόρφωση εικονικού WAN Azure για συνδεσιμότητα VPN κλάδου προς Azure.
Διαδικασία
- Στην υπηρεσία SD-WAN της πύλης επιχείρησης, μεταβείτε στις επιλογές Διαμόρφωση > Υπηρεσίες δικτύου (Configure > Network Services) και, στη συνέχεια, στην περιοχή Προορισμοί μη SD-WAN (Non SD-WAN Destinations), αναπτύξτε το στοιχείο Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge).
- Στην περιοχή Προορισμοί μη SD-WAN μέσω Edge (Non SD-WAN Destinations via Edge), κάντε κλικ στο κουμπί Νέο (New).
Εμφανίζεται το παράθυρο διαλόγου Νέοι προορισμοί μη SD-WAN μέσω Edge (New Non SD-WAN Destinations via Edge).
- Εισαγάγετε το Όνομα υπηρεσίας (Service Name) και τον Τύπο υπηρεσίας (Service Type) του Προορισμός μη SD-WAN. Αφού εισαγάγετε τον Τύπο υπηρεσίας (Service Type) ως Εικονικός διανομέας Microsoft Azure (Microsoft Azure Virtual Hub), εμφανίζεται η ενότητα Διαμόρφωση εικονικού διανομέα (Virtual Hub Configuration).
- Από το αναπτυσσόμενο μενού Συνδρομή (Subscription), επιλέξτε μια συνδρομή cloud. Η εφαρμογή λαμβάνει όλα τα διαθέσιμα εικονικά WAN δυναμικά από το Azure.
- Από το αναπτυσσόμενο μενού Εικονικό WAN (Virtual WAN), επιλέξτε ένα εικονικό WAN. Η εφαρμογή συμπληρώνει αυτόματα την ομάδα πόρων με την οποία είναι συσχετισμένο το εικονικό WAN.
- Από το αναπτυσσόμενο μενού Εικονικός διανομέας (Virtual Hub), επιλέξτε έναν εικονικό διανομέα. Η εφαρμογή συμπληρώνει αυτόματα την περιοχή Azure που αντιστοιχεί στον διανομέα
- Κάντε κλικ στην καρτέλα Ρυθμίσεις IKE/IPSec (IKE/IPSec Settings) και διαμορφώστε τις ακόλουθες παραμέτρους:
Επιλογή Περιγραφή Έκδοση IP (IP Version) Επιλέξτε μια έκδοση IP (IPv4 ή IPv6) της τρέχουσας Προορισμός μη SD-WAN από το αναπτυσσόμενο μενού. Πρωτεύουσα πύλη VPN (Primary VPN Gateway) Δημόσια IP (Public IP) Εισαγάγετε μια έγκυρη διεύθυνση IPv4 ή IPv6. Το πεδίο είναι υποχρεωτικό. Προβολή ρυθμίσεων για προχωρημένους για πρόταση IKE (View advanced settings for IKE Proposal): Αναπτύξτε αυτήν την επιλογή για να προβάλετε τα ακόλουθα πεδία. Κρυπτογράφηση (Encryption) Επιλέξτε το μέγεθος κλειδιού αλγορίθμου AES από την αναπτυσσόμενη λίστα, για την κρυπτογράφηση των δεδομένων. Οι διαθέσιμες επιλογές είναι AES 128, AES 256, AES 128 GCM, AES 256 GCM, και Αυτόματο (Auto). Η προεπιλεγμένη τιμή είναι AES 128. Ομάδα DH (DH Group) Επιλέξτε τον αλγόριθμο Diffie-Hellman (DH) Group από την αναπτυσσόμενη λίστα. Αυτός χρησιμοποιείται για τη δημιουργία υλικού κλειδιών. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Οι υποστηριζόμενες ομάδες DH είναι 2, 5, 14, 15, 16, 19, 20 και 21. Η προεπιλεγμένη τιμή είναι 14. Κατακερματισμός (Hash) Επιλέξτε μία από τις ακόλουθες υποστηριζόμενες λειτουργίες αλγόριθμου ασφαλούς κατακερματισμού (SHA) από την αναπτυσσόμενη λίστα: - SHA 1
- SHA 256
- SHA 384
Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
- SHA 512
Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
- Αυτόματος (Auto)
Η προεπιλεγμένη τιμή είναι SHA 256.
Διάρκεια ζωής IKE SA (λεπτά) [IKE SA Lifetime(min)] Εισαγάγετε τον χρόνο κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού ανταλλαγής κλειδιών Internet (IKE) για τα Edge. Η ελάχιστη διάρκεια ζωής του IKE είναι 10 λεπτά και η μέγιστη διάρκεια ζωής είναι 1440 λεπτά. Η προεπιλεγμένη τιμή είναι 1440 λεπτά. Σημείωση: Η δημιουργία νέου κλειδιού πρέπει να ξεκινήσει πριν παρέλθει το 75–80% της διάρκειας ζωής του.Χρονικό όριο DPD (sec) [DPD Timeout(sec)] Εισαγάγετε την τιμή λήξης χρονικού ορίου DPD. Η τιμή χρονικού ορίου DPD θα προστεθεί στον εσωτερικό χρονοδιακόπτη DPD, όπως περιγράφεται παρακάτω. Περιμένετε μια απάντηση από το μήνυμα DPD πριν σκεφτείτε ότι ο ομότιμος δεν λειτουργεί (Ανίχνευση ανενεργού ομότιμου). Πριν από την έκδοση 5.1.0, η προεπιλεγμένη τιμή είναι 20 δευτερόλεπτα. Για την έκδοση 5.1.0 και νεότερες εκδόσεις, ανατρέξτε στην παρακάτω λίστα για την προεπιλεγμένη τιμή.- Όνομα βιβλιοθήκης (Library Name): Quicksec
- Διάστημα διερεύνησης (Probe Interval): Εκθετικό (0,5 δευτερόλεπτα, 1 δευτερόλεπτο, 2 δευτερόλεπτα, 4 δευτερόλεπτα, 8 δευτερόλεπτα, 16 δευτερόλεπτα)
- Προεπιλεγμένο ελάχιστο διάστημα DPD (Default Minimum DPD Interval): 47,5 δευτερόλεπτα (Το Quicksec περιμένει 16 δευτερόλεπτα μετά την τελευταία επανάληψη. Επομένως, 0,5+1+2+4+8+16+16 = 47,5).
- Προεπιλεγμένο ελάχιστο διάστημα DPD (Default Minimum DPD interval) + Χρονικό όριο DPD (σε δευτερόλεπτα) [DPD Timeout(sec)]: 67,5 δευτερόλεπτα
Σημείωση: Για την έκδοση 5.1.0 και νεότερες εκδόσεις, δεν μπορείτε να απενεργοποιήσετε το DPD ρυθμίζοντας το χρονικό όριο DPD σε 0 δευτερόλεπτα. Η τιμή χρονικού ορίου DPD σε δευτερόλεπτα προστίθεται στην προεπιλεγμένη ελάχιστη τιμή των 47,5 δευτερολέπτων.Προβολή ρυθμίσεων για προχωρημένους για πρόταση IPsec (View advanced settings for IPsec Proposal): Αναπτύξτε αυτήν την επιλογή για να προβάλετε τα ακόλουθα πεδία. Κρυπτογράφηση (Encryption) Επιλέξτε το μέγεθος κλειδιού αλγορίθμου AES από την αναπτυσσόμενη λίστα, για την κρυπτογράφηση των δεδομένων. Οι διαθέσιμες επιλογές είναι Καμία (None), AES 128 και AES 256. Η προεπιλεγμένη τιμή είναι AES 128. PFS Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι 2, 5, 14, 15, 16, 19, 20 και 21. Η προεπιλεγμένη τιμή είναι 14. Κατακερματισμός (Hash) Επιλέξτε μία από τις ακόλουθες υποστηριζόμενες λειτουργίες αλγόριθμου ασφαλούς κατακερματισμού (SHA) από την αναπτυσσόμενη λίστα: - SHA 1
- SHA 256
- SHA 384
Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
- SHA 512
Σημείωση: Αυτή η τιμή δεν είναι διαθέσιμη για τον τύπο υπηρεσίας Εικονικό Wan Microsoft Azure (Microsoft Azure Virtual Wan).
Η προεπιλεγμένη τιμή είναι SHA 256.
Διάρκεια ζωής IPsec SA (λεπτά) [IPsec SA Lifetime(min)] Εισαγάγετε τον χρόνο κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού πρωτοκόλλου ασφαλείας Internet (IPsec) για τα Edge. Η ελάχιστη διάρκεια ζωής του IPsec είναι 3 λεπτά και η μέγιστη διάρκεια ζωής του είναι 480 λεπτά. Η προεπιλεγμένη τιμή είναι 480 λεπτά. Σημείωση: Η δημιουργία νέου κλειδιού πρέπει να ξεκινήσει πριν παρέλθει το 75–80% της διάρκειας ζωής του.Δευτερεύουσα πύλη VPN (Secondary VPN Gateway) Προσθήκη (Add) – Κάντε κλικ σε αυτήν την επιλογή για να προσθέσετε μια δευτερεύουσα πύλη VPN. Εμφανίζονται τα ακόλουθα πεδία. Δημόσια IP (Public IP) Εισαγάγετε μια έγκυρη διεύθυνση IPv4 ή IPv6. Κατάργηση (Remove) Διαγράφει τη δευτερεύουσα πύλη VPN. Διατήρηση ενεργής διοχέτευσης (Keep Tunnel Active) Επιλέξτε αυτό το πλαίσιο ελέγχου, για να διατηρηθεί ενεργή η δευτερεύουσα διοχέτευση VPN για αυτήν την τοποθεσία. Οι ρυθμίσεις διοχέτευσης είναι ίδιες με της πρωτεύουσας πύλης VPN Επιλέξτε αυτό το πλαίσιο ελέγχου, εάν θέλετε να εφαρμοστούν οι ίδιες ρυθμίσεις για προχωρημένους για την πρωτεύουσα και τη δευτερεύουσα πύλη. Μπορείτε να εισαγάγετε με μη αυτόματο τρόπο τις ρυθμίσεις για τη δευτερεύουσα πύλη VPN. Σημείωση:Ο Προορισμός μη SD-WAN μέσω Edge της αυτοματοποίησης Εικονικού WAN Microsoft Azure υποστηρίζει μόνο πρωτόκολλο IKEv2 με προεπιλεγμένες πολιτικές IPsec Azure (εκτός από τη λειτουργία GCM), όταν το SD-WAN Edge ενεργεί ως εκκινητής και το Azure ενεργεί ως αποκρινόμενος κατά τη ρύθμιση μιας διοχέτευσης IPsec.
- Η δευτερεύουσα πύλη VPN δημιουργείται αμέσως για αυτήν την τοποθεσία και παρέχει μια διοχέτευση VPN VMware σε αυτήν την πύλη.
- Κάντε κλικ στην καρτέλα Υποδίκτυα τοποθεσίας (Site Subnets) και διαμορφώστε τα εξής:
Επιλογή Περιγραφή Προσθήκη (Add) Κάντε κλικ σε αυτήν την επιλογή, για να προσθέσετε ένα υποδίκτυο και μια περιγραφή για τον προορισμό Προορισμός μη SD-WAN. Διαγραφή (Delete) Κάντε κλικ σε αυτήν την επιλογή, για να διαγράψετε το επιλεγμένο υποδίκτυο. Σημείωση: Για να υποστηρίζεται ο τύπος του κέντρου δεδομένων για το στοιχείο Προορισμός μη SD-WAN, εκτός από τη σύνδεση IPSec, πρέπει να διαμορφώσετε τοπικά υποδίκτυα για το στοιχείο Προορισμός μη SD-WAN στο σύστημα VMware. - Κάντε κλικ στην επιλογή Αποθήκευση (Save).
Δημιουργείται το στοιχείο Προορισμός μη SD-WAN Microsoft Azure και εμφανίζεται ένα παράθυρο διαλόγου για το στοιχείο Προορισμός μη SD-WAN.
Επόμενες ενέργειες
- Διαμόρφωση του Cloud VPN για Προφίλ
- Συσχετίστε το στοιχείο Προορισμός μη SD-WAN Microsoft Azure με Edge και διαμορφώστε διοχετεύσεις για δημιουργία διοχέτευσης μεταξύ μιας διακλάδωσης και ενός εικονικού διανομέα Azure. Για περισσότερες πληροφορίες, δείτε Συσχέτιση στοιχείου Προορισμός μη SD-WAN Microsoft Azure με SD-WAN Edge και προσθήκη διοχετεύσεων.
Για πληροφορίες σχετικά με τον αυτοματισμό Εικονικού WAN Azure για Edge, δείτε Διαμόρφωση SASE Orchestrator για την Αυτοματοποίηση Εικονικού WAN Azure IPsec από το SD-WAN Edge.