Questa sezione descrive come configurare un destinazione non SD-WAN di tipo Hub virtuale di Microsoft Azure (Microsoft Azure Virtual Hub) tramite Edge in SASE Orchestrator.

Per configurare un destinazione non SD-WAN di tipo Hub virtuale Microsoft Azure (Microsoft Azure Virtual Hub) in SASE Orchestrator:

Prerequisiti

Procedura

  1. Nel servizio SD-WAN del portale dell'azienda, passare a Configura (Configure) > Servizi di rete (Network Services) e quindi in Destinazioni non SD-WAN (Non SD-WAN Destinations) espandere Destinazioni non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge).
  2. Nell'area Destinazione non SD-WAN tramite Edge (Non SD-WAN Destinations via Edge), fare clic sul pulsante Nuovo (New).
    Viene visualizzata la finestra di dialogo Nuova destinazione non SD-WAN tramite Edge (New Non SD-WAN Destination via Edge).
  3. Immettere Nome servizio (Service Name) e Tipo di servizio (Service Type) di destinazione non SD-WAN. Se si immette il Tipo di servizio (Service Type) come Hub virtuale Microsoft Azure (Microsoft Azure Virtual Hub), viene visualizzata la sezione Configurazione hub virtuale (Virtual Hub Configuration).
  4. Dal menu a discesa Sottoscrizione (Subscription), selezionare una sottoscrizione cloud. L'applicazione recupera dinamicamente tutte le WAN virtuali disponibili da Azure.
  5. Dal menu a discesa WAN virtuale (Virtual WAN), selezionare una rete WAN virtuale. L'applicazione compila automaticamente il gruppo di risorse a cui è associata la WAN virtuale.
  6. Dal menu a discesa Hub virtuale (Virtual Hub), selezionare un hub virtuale. L'applicazione compila automaticamente la regione di Azure corrispondente all'hub.
  7. Fare clic sulla scheda Impostazioni IKE/IPSec (IKE/IPSec Settings) e configurare i seguenti parametri.
    Opzione Descrizione
    Versione IP Selezionare una versione IP (IPv4 o IPv6) del destinazione non SD-WAN corrente dal menu a discesa.
    Gateway VPN primario (Primary VPN Gateway)
    IP pubblico (Public IP) Immettere un indirizzo IPv4 o IPv6 valido. Questo campo è obbligatorio.
    Visualizzare le impostazioni avanzate per la proposta IKE: espandere questa opzione per visualizzare i campi seguenti.
    Crittografia (Encryption) Nell'elenco a discesa, selezionare le dimensioni della chiave dell'algoritmo AES per crittografare i dati. Le opzioni disponibili sono AES 128, AES 256, AES 128 GCM, AES 256 GCM e Automatico (Auto). Il valore predefinito è AES 128.
    Gruppo DH (DH Group) Selezionare l'algoritmo del guppo Diffie-Hellman (DH) nell'elenco a discesa. Questa opzione viene utilizzata per generare materiale per le chiavi. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5, 14, 15, 16, 19, 20 e 21. Il valore predefinito è 14.
    Hash Nell'elenco a discesa selezionare una delle seguenti funzioni Secure Hash Algorithm (SHA) supportate:
    • SHA 1
    • SHA 256
    • SHA 384
      Nota: Questo valore non è disponibile per il tipo di servizio WAN virtuale Microsoft Azure (Microsoft Azure Virtual Wan).
    • SHA 512
      Nota: Questo valore non è disponibile per il tipo di servizio WAN virtuale Microsoft Azure (Microsoft Azure Virtual Wan).
    • Automatico (Auto)

    Il valore predefinito è SHA 256.
    Durata SA IKE (min) (IKE SA Lifetime(min)) Immettere l'ora in cui viene avviata la ridefinizione delle chiavi IKE (Internet Key Exchange) per gli Edge. La durata minima delle chiavi IKE è 10 minuti, mentre la durata massima è 1440 minuti. Il valore predefinito è 1440 minuti.
    Nota: La ridefinizione delle chiavi deve essere avviata prima che sia trascorso il 75-80% della durata.
    Timeout DPD (sec) (DPD Timeout(sec)) Immettere il valore del timeout DPD. Il valore del timeout DPD verrà aggiunto al timer DPD interno, come descritto di seguito. Attendere una risposta dal messaggio DPD prima di considerare il peer inattivo (Dead Peer Detection).
    Prima della versione 5.1.0, il valore predefinito è 20 secondi. Per le versioni 5.1.0 e successive, vedere l'elenco seguente per il valore predefinito.
    • Nome libreria: QuickSec
    • Intervallo probe: esponenziale (0,5 sec, 1 sec, 2 sec, 4 sec, 8 sec, 16 sec)
    • Intervallo DPD minimo predefinito: 47,5 sec (QuickSec attende 16 secondi dopo l'ultimo tentativo. Quindi 0,5+1+2+4+8+16+16 = 47,5).
    • Intervallo DPD minimo predefinito + Timeout DPD (sec): 67,5 sec
    Nota: Per le versioni 5.1.0 e successive, non è possibile disattivare DPD impostando il timer del timeout DPD su 0 secondi. Il valore del timeout di DPD in secondi verrà aggiunto al valore minimo predefinito di 47,5 secondi.
    Visualizzare le impostazioni avanzate per la proposta IPSec: espandere questa opzione per visualizzare i campi seguenti.
    Crittografia (Encryption) Nell'elenco a discesa, selezionare le dimensioni della chiave dell'algoritmo AES per crittografare i dati. Le opzioni disponibili sono Nessuna (None), AES 128 e AES 256. Il valore predefinito è AES 128.
    PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono 2, 5, 14, 15, 16, 19, 20 e 21. Il valore predefinito è 14.
    Hash Nell'elenco a discesa selezionare una delle seguenti funzioni Secure Hash Algorithm (SHA) supportate:
    • SHA 1
    • SHA 256
    • SHA 384
      Nota: Questo valore non è disponibile per il tipo di servizio WAN virtuale Microsoft Azure (Microsoft Azure Virtual Wan).
    • SHA 512
      Nota: Questo valore non è disponibile per il tipo di servizio WAN virtuale Microsoft Azure (Microsoft Azure Virtual Wan).

    Il valore predefinito è SHA 256.
    Durata SA IPSec (min) (IPsec SA Lifetime(min)) Immettere l'ora in cui viene avviata la ridefinizione delle chiavi IPSec (Internet Security Protocol) per gli Edge. La durata minima delle chiavi IPSec è 3 minuti, mentre la durata massima è 480 minuti. Il valore predefinito è 480 minuti.
    Nota: La ridefinizione delle chiavi deve essere avviata prima che sia trascorso il 75-80% della durata.
    Gateway VPN secondario (Secondary VPN Gateway)
    Aggiungi (Add): fare clic su questa opzione per aggiungere un gateway VPN secondario. Vengono visualizzati i campi seguenti.
    IP pubblico (Public IP) Immettere un indirizzo IPv4 o IPv6 valido.
    Rimuovi Elimina il gateway VPN secondario.
    Mantieni attivo il tunnel Selezionare questa casella di controllo per mantenere attivo il tunnel VPN secondario per questo sito.
    Le impostazioni del tunnel sono uguali a quelle del gateway VPN primario Selezionare questa casella di controllo se si desidera applicare le stesse impostazioni avanzate per i gateway primario e secondario. È possibile scegliere di immettere manualmente le impostazioni per il gateway VPN secondario.
    Nota:

    Il destinazione non SD-WAN tramite Edge di tipo automazione di Microsoft Azure Virtual WAN supporta solo il protocollo IKEv2 con i criteri IPSec predefiniti di Azure (ad eccezione della modalità GCM), quando SD-WAN Edge funge da iniziatore e Azure funge da risponditore durante la configurazione di un tunnel IPSec.

  8. Il gateway VPN secondario per questo sito viene creato immediatamente e viene eseguito il provisioning di un tunnel VPN VMware in questo gateway.
  9. Fare clic sulla scheda Subnet del sito (Site Subnets) e configurare quanto segue:
    Opzione Descrizione
    Aggiungi Fare clic su questa opzione per aggiungere una subnet e una descrizione per la destinazione non SD-WAN.
    Elimina Fare clic su questa opzione per eliminare la subnet selezionata.
    Nota: Per supportare il tipo di data center di destinazione non SD-WAN, oltre alla connessione IPSec, è necessario configurare le subnet locali di destinazione non SD-WAN nel sistema VMware.
  10. Fare clic su Salva (Save).
    Viene creato il destinazione non SD-WAN di Microsoft Azure e viene visualizzata una finestra di dialogo per il destinazione non SD-WAN.

Operazioni successive

Per informazioni sull'automazione dell'Edge Azure Virtual WAN, vedere Configurazione di SASE Orchestrator per l'automazione IPSec di Azure Virtual WAN da SD-WAN Edge.