Configurazione di una destinazione non SD-WAN di Microsoft Azure tramite Edge

Questa sezione illustra come configurare un destinazione non SD-WAN di tipo Hub virtuale Microsoft Azure (Microsoft Azure Virtual Hub) tramite Edge in SD-WAN Orchestrator.

Per configurare un destinazione non SD-WAN di tipo Hub virtuale Microsoft Azure (Microsoft Azure Virtual Hub) in SD-WAN Orchestrator:

Prerequisiti

Assicurarsi di aver configurato una sottoscrizione cloud. Per la procedura, vedere Configurazione di un servizio di rete con sottoscrizione cloud.
Assicurarsi di aver creato la WAN virtuale e gli hub in Azure. Per la procedura, vedere Configurazione di Azure Virtual WAN per la connettività VPN da filiale ad Azure.

Procedura

Nel riquadro di spostamento in SD-WAN Orchestrator, passare a Configura (Configure) > Servizi di rete (Network Services).
Viene visualizzata la schermata Servizi (Services).
Nell'area Destinazione non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge), fare clic sul pulsante Nuovo (New).
Viene visualizzata la finestra di dialogo Nuova destinazione non SD-WAN tramite Edge (New Non SD-WAN Destination via Edge).
Nella casella di testo Nome servizio (Service Name) immettere il nome per il destinazione non SD-WAN.
Dal menu a discesa Tipo di servizio (Service Type), selezionare Hub virtuale Microsoft Azure (Microsoft Azure Virtual Hub).
Dal menu a discesa Sottoscrizione (Subscription), selezionare una sottoscrizione cloud.
L'applicazione recupera dinamicamente tutte le WAN virtuali disponibili da Azure.
Dal menu a discesa WAN virtuale (Virtual WAN), selezionare una rete WAN virtuale.
L'applicazione compila automaticamente il gruppo di risorse a cui è associata la WAN virtuale.
Dal menu a discesa Hub virtuale (Virtual Hub), selezionare un hub virtuale.
L'applicazione compila automaticamente la regione di Azure corrispondente all'hub.
Fare clic su Avanti (Next).
Viene creato il destinazione non SD-WAN di Microsoft Azure e viene visualizzata una finestra di dialogo per il destinazione non SD-WAN.
Per configurare le impostazioni del tunnel per il gateway VPN primario del destinazione non SD-WAN, fare clic sul pulsante Avanzate (Advanced).

Nell'area Gateway VPN primario (Primary VPN Gateway), è possibile configurare le seguenti impostazioni del tunnel:

Campo	Descrizione
Crittografia (Encryption)	Selezionare AES 128 o AES 256 come dimensione della chiave degli algoritmi AES per crittografare i dati. Se non si desidera crittografare i dati, selezionare NESSUNO (NONE). Il valore predefinito è AES 128.
Gruppo DH (DH Group)	Algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia una chiave PSK (Pre-Shared Key). Il gruppo DH imposta la potenza dell'algoritmo in bit. Il gruppo DH supportato è 2.
PFS	Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono 2, 5, 14, 15 e 16. Il valore predefinito è Disattivato (Deactivated).
Hash	Algoritmo di autenticazione per l'intestazione VPN. Selezionare nell'elenco una delle seguenti funzioni Secure Hash Algorithm (SHA) supportate: SHA 1 SHA 256 Il valore predefinito è SHA 256.
Durata SA IKE (min) (IKE SA Lifetime(min))	Indica quando la ridefinizione delle chiavi IKE (Internet Key Exchange) viene avviata per gli Edge. La durata minima di IKE è 10 minuti e la durata massima di IKE è 1440 minuti. Il valore predefinito è 1440 minuti.
Durata SA IPSec (min) (IPsec SA Lifetime(min))	Indica quando la ridefinizione delle chiavi IPSec (Internet Security Protocol) viene avviata per gli Edge. La durata minima di IPSec è 3 minuti e la durata massima di IPSec è 480 minuti. Il valore predefinito è 480 minuti.
Timer timeout DPD (sec) (DPD Timeout Timer(sec))	Immettere il valore del timeout DPD. Il valore del timeout DPD verrà aggiunto al timer DPD interno, come descritto di seguito. Attendere una risposta dal messaggio DPD prima di considerare il peer inattivo (Dead Peer Detection). Prima della versione 5.1.0, il valore predefinito è 20 secondi. Per le versioni 5.1.0 e successive, vedere l'elenco seguente per il valore predefinito. Nome libreria: QuickSec Intervallo probe: esponenziale (0,5 sec, 1 sec, 2 sec, 4 sec, 8 sec, 16 sec) Intervallo DPD minimo predefinito: 47,5 sec (QuickSec attende 16 secondi dopo l'ultimo tentativo. Quindi 0,5+1+2+4+8+16+16 = 47,5). Intervallo DPD minimo predefinito + Timeout DPD (sec): 67,5 sec Nota: Prima della versione 5.1.0, è possibile disattivare DPD impostando il timer del timeout DPD su 0 secondi. Tuttavia, per le versioni 5.1.0 e successive, non è possibile disattivare DPD impostando il timer del timeout DPD su 0 secondi. Il valore del timeout DPD in secondi verrà aggiunto al valore minimo predefinito di 47,5 secondi.

Nota:

Il destinazione non SD-WAN tramite Edge di tipo automazione di Microsoft Azure Virtual WAN supporta solo il protocollo IKEv2 con i criteri IPSec predefiniti di Azure (ad eccezione della modalità GCM), quando SD-WAN Edge funge da iniziatore e Azure funge da risponditore durante la configurazione di un tunnel IPSec.

Fare clic su Salva modifiche (Save Changes).

Operazioni successive

Abilitazione della VPN cloud a livello di profilo
Associare il destinazione non SD-WAN di Microsoft Azure a un Edge e configurare tunnel per stabilire un tunnel tra una filiale e un hub virtuale di Azure. Per ulteriori informazioni, vedere Associazione di una destinazione non SD-WAN Microsoft Azure a un SD-WAN Edge e aggiunta di tunnel.

Per informazioni sull'automazione dell'Edge Azure Virtual WAN, vedere Configurazione di SD-WAN Orchestrator per l'automazione IPSec di Azure Virtual WAN da SD-WAN Edge.