SD-WAN Orchestrator で Edge 経由で [Microsoft Azure Virtual Hub] タイプの Non SD-WAN Destination を構成する方法について説明します。

SD-WAN Orchestrator で Edge 経由で [Microsoft Azure Virtual Hub] タイプの Non SD-WAN Destination を構成するには、次の手順を実行します。

前提条件

手順

  1. SD-WAN Orchestrator のナビゲーション パネルから、[構成 (Configure)] > [ネットワーク サービス (Network Services)] の順に移動します。
    [サービス (Services)] 画面が表示されます。
  2. [Edge 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] 領域で、[新規 (New)] ボタンをクリックします。
    [新しい Edge 経由の Non SD-WAN Destination (New Non SD-WAN Destinations via Edge)] ダイアログ ボックスが表示されます。
  3. [サービス名 (Service Name)] テキスト ボックスに、Non SD-WAN Destination の名前を入力します。
  4. [サービス タイプ (Service Type)] ドロップダウン メニューから、[Microsoft Azure Virtual Hub] を選択します。
  5. [サブスクリプション (Subscription)] ドロップダウン メニューから、クラウドのサブスクリプションを選択します。
    アプリケーションは、使用可能なすべての Virtual WAN を Azure から動的に取得します。
  6. [Virtual WAN] ドロップダウン メニューから、Virtual WAN を選択します。
    アプリケーションによって、Virtual WAN が関連付けられているリソース グループが自動的に入力されます。
  7. [Virtual Hub] ドロップダウン メニューから、Virtual Hub を選択します。
    アプリケーションによって、ハブに対応する Azure リージョンが自動的に入力されます。
  8. [次へ (Next)] をクリックします。
    Microsoft Azure Non SD-WAN Destination が作成され、 Non SD-WAN Destination のダイアログ ボックスが表示されます。
  9. Non SD-WAN Destination のプライマリ VPN Gateway のトンネル設定を構成するには、[詳細 (Advanced)] ボタンをクリックします。
  10. [プライマリ VPN Gateway (Primary VPN Gateway)] 領域で、次のトンネル設定を構成できます。
    フィールド 説明
    暗号化 (Encryption) データを暗号化するアルゴリズムとして [AES 128] または [AES 256] のいずれかを選択します。データを暗号化しない場合は [なし (NONE)] を選択します。デフォルト値は AES 128 です。
    DH グループ (DH Group) 事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループのアルゴリズム。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは 2 です。
    PFS セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2、5、14、15、16 です。デフォルト値は [無効 (Disabled)] です。
    ハッシュ (Hash) VPN ヘッダーの認証アルゴリズム。次のいずれかのサポート対象の Secure Hash Algorithm (SHA) 機能をリストから選択します。
    • SHA 1
    • SHA 256

    デフォルト値は [SHA 256] です。

    IKE SA の有効期間 (分) (IKE SA Lifetime (min)) Edge のインターネット キー交換 (IKE) の再キー化が開始される時間。IKE 有効期間の最小値は 10 分、IKE 有効期間の最大値は 1440 分です。デフォルト値は 1440 分です。
    IPsec SA の有効期間 (分) (IPsec SA Lifetime(min)) Edge のインターネット セキュリティ プロトコル (IPsec) の再キー化が開始される時間。IPsec 有効期間の最小値は 3 分、IPsec 有効期間の最大値は 480 分です。デフォルト値は 480 分です。
    DPD タイムアウト タイマー (秒) (DPD Timeout Timer(sec)) ピアが停止していると判断する前に、デバイスが DPD メッセージへの応答を受信するのを待機する最大時間。デフォルト値は 20 秒です。DPD タイムアウト タイマーを 0 秒に構成して、DPD を無効にできます。
    注:

    Microsoft Azure Virtual WAN タイプの Edge 経由の Non SD-WAN Destination の自動化は、IPsec トンネルの設定中に SD-WAN Edge がイニシエータとして機能し、Azure がレスポンダとして機能する場合、Azure のデフォルト IPsec ポリシー(GCM モードを除く)を使用する IKEv2 プロトコルのみをサポートします。

  11. [変更の保存 (Save Changes)] をクリックします。

次のタスク

Azure Virtual WAN Edge の自動化の詳細については、SD-WAN Edge からの Azure Virtual WAN IPsec 自動化用の SD-WAN Orchestrator の設定を参照してください。