SASE Orchestrator[Microsoft Azure Virtual Hub] タイプの Non SD-WAN Destination を設定するには、次の手順を実行します。

前提条件

手順

  1. エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] > [ネットワーク サービス (Network Services)] の順に移動し、[Non SD-WAN Destination (Non SD-WAN Destinations)] の下にある [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] を展開します。
  2. [新規 (New)] をクリックし、Non SD-WAN Destination[名前 (Name)] および [タイプ (Type)] を入力します。[タイプ (Type)] として [Microsoft Azure Virtual Hub] と入力すると、[Virtual Hub の設定 (Virtual Hub Conifiguration)] セクションが以下のダイアログに表示されます。
  3. 次の設定を行います。
    オプション 説明
    名前 (Name) 以前に入力した Non SD-WAN Destination の名前を編集できます。
    タイプ (Type) タイプが [Microsoft Azure Virtual Hub] として表示されます。このオプションは編集できません。
    トンネル モード (Tunnel Mode) [アクティブ/ホットスタンバイ (Active/ Hot-Standby)] モードでは、最大 2 つのトンネル エンドポイントまたは Gateway を設定できます。
    [アクティブ/アクティブ (Active/Active)] モードでは、最大 4 つのトンネル エンドポイントまたは Gateway を設定できます。すべてのアクティブなトンネルは、ECMP を介してトラフィックを送受信できます。
    [ECMP] のロード共有方法 [フロー負荷ベース](デフォルト):フロー負荷ベースのアルゴリズムは、新しいフローを、使用可能なパスの中で宛先にマッピングされたフローの数が最も少ないパスにマッピングします。
    [ハッシュ負荷ベース] のアルゴリズムは、5 つのタプル(SrcIP、DestIP、SrcPort、DestPort、Protocol)から入力パラメータを取得します。これらの入力は、ユーザー設定に基づいて、このタプルの任意 1 つ、すべて、またはそのサブセットにすることができます。フローは、選択した入力のハッシュ値に基づいてパスにマッピングされます。
    サブスクリプション (Subscription) ドロップダウン メニューからサブスクリプションを選択します。
    Virtual WAN アプリケーションは、使用可能なすべての Virtual WAN を Azure から動的に取得します。ドロップダウン メニューから Virtual WAN を選択します。
    リソース グループ (Resource Group) アプリケーションによって、選択した [Virtual WAN] が関連付けられているリソース グループが自動的に入力されます。
    Virtual Hub ドロップダウン メニューから Virtual Hub を選択します。
    Azure リージョン (Azure Region) アプリケーションによって、選択した [Virtual Hub] に対応する Azure リージョンが自動的に入力されます。
    トンネルの有効化 (Enable Tunnel(s)) [トンネルの有効化 (Enable Tunnel)] チェックボックスをオンにすると、サイトが正常にプロビジョニングされるとすぐに、VMware VPN Gateway はターゲットの [Virtual Hub] への VPN 接続を開始できるようになります。
    注:
    • VMware VPN Gateway は、Non SD-WAN Destination が少なくとも 1 つのプロファイルで設定されている場合にのみ IKE ネゴシエーションを開始します。
    • Microsoft Azure Non SD-WAN Destination の場合、デフォルトでは、使用されるローカル認証 ID の値は SD-WAN Gateway インターフェイスのパブリック IP アドレスです。
  4. [作成 (Create)] をクリックします。
    SASE Orchestrator は自動的に展開を開始して、Azure VPN サイトをプロビジョニングし、新しく設定されたサイトの VPN サイト設定をダウンロードします。設定は、 SASE OrchestratorNon SD-WAN Destination 設定データベースに保存されます。

    Azure VPN サイトが SASE Orchestrator 側でプロビジョニングされると、[Virtual WAN] > [Virtual WAN アーキテクチャ (Virtual WAN architecture)] > [VPN サイト (VPN sites)] に移動して、Azure ポータルで VPN サイト(プライマリおよび冗長)を表示できます。

次のタスク

  • ブランチと Azure Virtual Hub 間のトンネルを確立するために、Microsoft Azure Non SD-WAN Destination をプロファイルに関連付けます。詳細については、SD-WAN プロファイルへの Microsoft Azure Non SD-WAN Destination の関連付けを参照してください。
  • SD-WAN ルートを Azure ネットワークに手動で追加する必要があります。詳細については、VPN サイトの編集を参照してください。
  • プロファイルを Microsoft Azure Non SD-WAN Destination に関連付けた後、[設定 (Configure)] > [ネットワーク サービス (Network Services)] に移動して [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] セクションに戻り、Non SD-WAN Destination の BGP 設定を行うことができます。Non SD-WAN Destination の名前までスクロールし、[BGP] 列の [編集 (Edit)] リンクをクリックします。詳細については、Gateway からの BGP over IPsec の設定を参照してください。
  • [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] 領域で、Non SD-WAN Destination[BFD] 列にある [編集 (Edit)] リンクをクリックして、BFD を設定します。詳細については、Gateway での BFD の設定を参照してください。

Azure Virtual WAN Gateway の自動化の詳細については、SD-WAN Gateway からの Azure Virtual WAN IPsec 自動化用の SASE Orchestrator の設定を参照してください。