Configurazione di un destinazione non SD-WAN di tipo Hub virtuale Microsoft Azure

Eseguire i passaggi seguenti per configurare un destinazione non SD-WAN di tipo Hub virtuale Microsoft Azure (Microsoft Azure Virtual Hub) in SASE Orchestrator.

Prerequisiti

Assicurarsi di aver configurato una sottoscrizione cloud. Per la procedura, vedere Configurazione delle credenziali API.
Assicurarsi di aver creato la WAN virtuale e gli hub in Azure. Per la procedura, vedere Configurazione di Azure Virtual WAN per la connettività VPN da filiale ad Azure.

Procedura

Nel servizio SD-WAN del portale dell'azienda, passare a Configura (Configure) > Servizi di rete (Network Services) e quindi in Destinazioni non SD-WAN (Non SD-WAN Destinations) espandere Destinazioni non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway).
Fare clic su Nuovo (New), quindi immettere Nome (Name) e Tipo (Type) di destinazione non SD-WAN. Se si immette Tipo (Type) come Hub virtuale Microsoft Azure (Microsoft Azure Virtual Hub), nella finestra di dialogo viene visualizzata la sezione Configurazione hub virtuale (Virtual Hub Configuration):

È possibile configurare le impostazioni seguenti:


Opzione	Descrizione
Nome (Name)	È possibile modificare il nome immesso in precedenza per destinazione non SD-WAN.
Tipo	Visualizza il tipo come Hub virtuale Microsoft Azure. Non è possibile modificare questa opzione.
Modalità tunnel (Tunnel Mode)	La modalità attivo/hot standby supporta la configurazione di un massimo di 2 endpoint o gateway del tunnel.
Modalità tunnel (Tunnel Mode)	La modalità Attiva/Attiva supporta la configurazione di un massimo di 4 endpoint o gateway del tunnel. Tutti i tunnel attivi possono inviare e ricevere traffico tramite ECMP.
Metodo di condivisione del caricoECMP	Basato sul carico dei flussi (predefinito) L'algoritmo basato sul carico dei flussi mappa il nuovo flusso sul percorso con il minor numero di flussi mappati tra i percorsi disponibili per la destinazione.
Metodo di condivisione del caricoECMP	L'algoritmo basato su carico hash accetta i parametri di input da 5 tuple (SrcIP, DestIP, SrcPort, DestPort, Protocol). Questi input possono essere uno o tutti o un sottoinsieme di questa tupla in base alla configurazione dell'utente. Il flusso viene mappato al percorso in base al valore hash con gli input selezionati.
Sottoscrizione	Selezionare una sottoscrizione nel menu a discesa.
WAN virtuale	L'applicazione recupera dinamicamente tutte le WAN virtuali disponibili da Azure. Selezionare una WAN virtuale nel menu a discesa.
Gruppo di risorse	L'applicazione compila automaticamente il gruppo di risorse a cui è associata la WAN virtuale (Virtual WAN) selezionata.
Hub virtuale	Selezionare un hub virtuale nel menu a discesa.
Regione Azure	L'applicazione compila automaticamente la regione di Azure corrispondente all'Hub virtuale (Virtual Hub) selezionato.
Abilita tunnel	Selezionare la casella di controllo Abilita tunnel (Enable Tunnel(s)) per consentire ai Gateway VPN di VMware di avviare connessioni VPN all'Hub virtuale (Virtual Hub) di destinazione non appena viene completato il provisioning del sito.

Nota:

I Gateway VPN di VMware avviano la negoziazione IKE solo quando il destinazione non SD-WAN è configurato in almeno un profilo.
Per il destinazione non SD-WAN Microsoft Azure, il valore dell'ID di autenticazione locale predefinito utilizzato è l'IP pubblico dell'interfaccia di SD-WAN Gateway.

Fare clic su Crea (Create).
SASE Orchestrator avvia automaticamente la distribuzione, esegue il provisioning dei siti VPN di Azure e scarica la configurazione del sito VPN per i siti appena configurati. Archivia la configurazione nel database di configurazione del destinazione non SD-WAN di SASE Orchestrator.

Dopo aver eseguito il provisioning dei siti VPN di Azure sul lato SASE Orchestrator, è possibile visualizzare i siti VPN (primari e ridondanti) nel portale di Azure passando alla pagina WAN virtuale (Virtual WAN) > Architettura WAN virtuale (Virtual WAN architecture) > Siti VPN (VPN sites).

Operazioni successive

Associare il destinazione non SD-WAN Microsoft Azure a un profilo per stabilire un tunnel tra una filiale e l'hub virtuale di Azure. Per ulteriori informazioni, vedere Associazione di un destinazione non SD-WAN di Microsoft Azure a un profilo SD-WAN.
È necessario aggiungere manualmente le route SD-WAN alla rete Azure. Per ulteriori informazioni, vedere Modifica di un sito VPN.
Dopo aver associato un profilo al destinazione non SD-WAN di Microsoft Azure, è possibile tornare alla sezione Destinazione non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway) passando a Configura (Configure) > Servizi di rete (Network Services) e configurando quindi le impostazioni BGP per il destinazione non SD-WAN. Scorrere fino al nome del destinazione non SD-WAN, quindi fare clic sul link Modifica (Edit) nella colonna BGP . Per ulteriori informazioni, vedere Configurazione di BGP su IPSec dai gateway.
Nell'area Destinazione non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway), fare clic sul link Modifica (Edit) nella colonna BFD per una destinazione non SD-WAN, per configurare le impostazioni di BFD. Per ulteriori informazioni, vedere Configurazione di BFD per i Gateway.

Per informazioni sull'automazione del gateway Azure Virtual WAN, vedere Configurazione di SASE Orchestrator per l'automazione IPSec di Azure Virtual WAN da SD-WAN Gateway.