SD-WAN Orchestrator で Edge 経由で [Microsoft Azure Virtual Hub] タイプの Non SD-WAN Destination を構成する方法について説明します。
SD-WAN Orchestrator で Edge 経由で [Microsoft Azure Virtual Hub] タイプの Non SD-WAN Destination を構成するには、次の手順を実行します。
手順
- SD-WAN Orchestrator のナビゲーション パネルから、[構成 (Configure)] > [ネットワーク サービス (Network Services)] の順に移動します。
[サービス (Services)] 画面が表示されます。
- [Edge 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] 領域で、[新規 (New)] ボタンをクリックします。
[新しい Edge 経由の Non SD-WAN Destination (New Non SD-WAN Destinations via Edge)] ダイアログ ボックスが表示されます。
- [サービス名 (Service Name)] テキスト ボックスに、Non SD-WAN Destination の名前を入力します。
- [サービス タイプ (Service Type)] ドロップダウン メニューから、[Microsoft Azure Virtual Hub] を選択します。
- [サブスクリプション (Subscription)] ドロップダウン メニューから、クラウドのサブスクリプションを選択します。
アプリケーションは、使用可能なすべての Virtual WAN を Azure から動的に取得します。
- [Virtual WAN] ドロップダウン メニューから、Virtual WAN を選択します。
アプリケーションによって、Virtual WAN が関連付けられているリソース グループが自動的に入力されます。
- [Virtual Hub] ドロップダウン メニューから、Virtual Hub を選択します。
アプリケーションによって、ハブに対応する Azure リージョンが自動的に入力されます。
- [次へ (Next)] をクリックします。
Microsoft Azure
Non SD-WAN Destination が作成され、
Non SD-WAN Destination のダイアログ ボックスが表示されます。
- Non SD-WAN Destination のプライマリ VPN Gateway のトンネル設定を構成するには、[詳細 (Advanced)] ボタンをクリックします。
- [プライマリ VPN Gateway (Primary VPN Gateway)] 領域で、次のトンネル設定を構成できます。
フィールド |
説明 |
暗号化 (Encryption) |
データを暗号化するアルゴリズムとして [AES 128] または [AES 256] のいずれかを選択します。データを暗号化しない場合は [なし (NONE)] を選択します。デフォルト値は AES 128 です。 |
DH グループ (DH Group) |
事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループのアルゴリズム。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは 2 です。 |
PFS |
セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2、5、14、15、16 です。デフォルト値は [無効 (Disabled)] です。 |
ハッシュ (Hash) |
VPN ヘッダーの認証アルゴリズム。次のいずれかのサポート対象の Secure Hash Algorithm (SHA) 機能をリストから選択します。
デフォルト値は [SHA 256] です。 |
IKE SA の有効期間 (分) (IKE SA Lifetime (min)) |
Edge のインターネット キー交換 (IKE) の再キー化が開始される時間。IKE 有効期間の最小値は 10 分、IKE 有効期間の最大値は 1440 分です。デフォルト値は 1440 分です。 |
IPsec SA の有効期間 (分) (IPsec SA Lifetime(min)) |
Edge のインターネット セキュリティ プロトコル (IPsec) の再キー化が開始される時間。IPsec 有効期間の最小値は 3 分、IPsec 有効期間の最大値は 480 分です。デフォルト値は 480 分です。 |
DPD タイムアウト タイマー (秒) (DPD Timeout Timer(sec)) |
ピアが停止していると判断する前に、デバイスが DPD メッセージへの応答を受信するのを待機する最大時間。デフォルト値は 20 秒です。DPD タイムアウト タイマーを 0 秒に構成して、DPD を無効にできます。 |
注:
Microsoft Azure Virtual WAN タイプの Edge 経由の Non SD-WAN Destination の自動化は、IPsec トンネルの設定中に SD-WAN Edge がイニシエータとして機能し、Azure がレスポンダとして機能する場合、Azure のデフォルト IPsec ポリシー(GCM モードを除く)を使用する IKEv2 プロトコルのみをサポートします。
- [変更の保存 (Save Changes)] をクリックします。