SD-WAN Orchestrator에서 Edge를 통한 Microsoft Azure 가상 허브 유형의 비 SD-WAN 대상를 구성하는 방법을 설명합니다.

SD-WAN Orchestrator에서 Edge를 통한 Microsoft Azure 가상 허브 유형의 비 SD-WAN 대상를 구성하려면 다음을 수행합니다.

사전 요구 사항

프로시저

  1. SD-WAN Orchestrator의 탐색 패널에서 구성(Configure) > 네트워크 서비스(Network Services)로 이동합니다.
    서비스(Services) 화면이 나타납니다.
  2. Edge를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Edge) 영역에서 새로 만들기(New) 버튼을 클릭합니다.
    새로운 Edge를 통한 비 SD-WAN 대상(New Non SD-WAN Destinations via Edge) 대화상자가 나타납니다.
  3. 서비스 이름(Service Name) 텍스트 상자에 비 SD-WAN 대상의 이름을 입력합니다.
  4. 서비스 유형(Service Type) 드롭다운 메뉴에서 Microsoft Azure 가상 허브를 선택합니다.
  5. 구독(Subscription) 드롭다운 메뉴에서 클라우드 구독을 선택합니다.
    이 애플리케이션에서는 사용 가능한 모든 가상 WAN을 Azure에서 동적으로 가져옵니다.
  6. 가상 WAN(Virtual WAN) 드롭다운 메뉴에서 가상 WAN을 선택합니다.
    애플리케이션에서는 가상 WAN이 연결된 리소스 그룹을 자동으로 채웁니다.
  7. 가상 허브(Virtual Hub) 드롭다운 메뉴에서 가상 허브를 선택합니다.
    애플리케이션에서는 허브에 해당하는 Azure 지역을 자동으로 채웁니다.
  8. 다음(Next)을 클릭합니다.
    Microsoft Azure 비 SD-WAN 대상가 생성되고 비 SD-WAN 대상에 대한 대화상자가 나타납니다.
  9. 비 SD-WAN 대상의 기본 VPN 게이트웨이에 대한 터널 설정을 구성하려면 고급(Advanced) 버튼을 클릭합니다.
  10. Primary VPN Gateway(기본 VPN 게이트웨이) 영역에서 다음 터널 설정을 구성할 수 있습니다.
    필드 설명
    암호화(Encryption) 데이터를 암호화하는 AES 알고리즘 키 크기로 AES 128 또는 AES 256을 선택합니다. 데이터를 암호화하지 않으려면 없음(NONE)을 선택합니다. 기본값은 AES 128입니다.
    DH 그룹(DH Group) 미리 공유한 키를 교환할 때 사용할 DH(Diffie-Hellman) 그룹 알고리즘입니다. DH 그룹은 알고리즘의 강도를 비트 단위로 설정합니다. 지원되는 DH 그룹은 2입니다.
    PFS 추가 보안을 위해 PFS(Perfect Forward Secrecy) 수준을 선택합니다. 지원되는 PFS 수준은 2, 5, 14, 15, 16입니다. 기본값은 비활성화됨(Deactivated)입니다.
    해시(Hash) VPN 헤더에 대한 인증 알고리즘입니다. 목록에서 다음과 같이 지원되는 SHA(Secure Hash Algorithm) 기능 중 하나를 선택합니다.
    • SHA 1
    • SHA 256

    기본값은 SHA 256입니다.

    IKE SA 수명(분)(IKE SA Lifetime(min)) IKE(Internet Key Exchange) 재입력이 Edge에 대해 시작되는 시간입니다. 최소 IKE 수명 시간은 10분이고, 최대 IKE 수명 시간은 1440분입니다. 기본값은 1440분입니다.
    IPsec SA 수명(분)(IPsec SA Lifetime(min)) IPsec(인터넷 보안 프로토콜) 재입력이 Edge에 대해 시작될 때의 시간입니다. 최소 IPsec 수명 시간은 3분이고, 최대 IPsec 수명 시간은 480분입니다. 기본값은 480분입니다.
    DPD 시간 초과 타이머(초)(DPD Timeout Timer(sec)) 피어가 비활성 상태로 간주되기 전에 디바이스가 DPD 메시지에 대한 응답을 받기 위해 대기하는 최대 시간입니다. 기본값은 20초입니다. DPD 시간 초과 타이머를 0초로 구성하여 DPD를 비활성화할 수 있습니다.
    참고:

    IPsec 터널 설정 중에 SD-WAN Edge는 이니시에이터 역할을 하고 Azure는 응답자 역할을 할 때 Microsoft Azure Virtual WAN 자동화 유형의 Edge를 통한 비 SD-WAN 대상은 Azure 기본 IPsec 정책(GCM 모드 제외)이 적용된 IKEv2 프로토콜만 지원합니다.

  11. 변경 내용 저장(Save Changes)을 클릭합니다.

다음에 수행할 작업

Azure Virtual WAN Edge 자동화에 대한 자세한 내용은 SD-WAN Edge에서 Azure Virtual WAN IPSec 자동화를 위해 SD-WAN Orchestrator 구성을 참조하십시오.