Descreve como configurar um Destino Não-SD-WAN do tipo Hub Virtual Microsoft Azure (Microsoft Azure Virtual Hub) via Edge no SD-WAN Orchestrator.

Para configurar um Destino Não-SD-WAN do tipo Hub Virtual Microsoft Azure via Edge no SD-WAN Orchestrator:

Pré-requisitos

Procedimento

  1. No painel de navegação do SD-WAN Orchestrator, aceda a Configurar > Serviços de rede (Configure > Network Services).
    É apresentado o ecrã Serviços (Services).
  2. Na área Destinos não-SD-WAN via Edge (Non SD-WAN Destinations via Edge), clique no botão Novo (New).
    É apresentada a caixa de diálogo Novos destinos não-SD-WAN via Edge (New Non SD-WAN Destinations via Edge).
  3. Na caixa de texto Nome do serviço (Service Name), introduza o nome para o Destino Não-SD-WAN.
  4. No menu pendente Tipo de serviço (Service type), selecione Hub Virtual Microsoft Azure (Microsoft Azure Virtual Hub).
  5. No menu pendente Subscrição (Subscription), selecione uma subscrição de cloud.
    A aplicação encontra todas as WANs virtuais disponíveis dinamicamente no Azure.
  6. No menu pendente WAN Virtual (Virtual WAN), selecione uma WAN virtual.
    A aplicação preenche automaticamente o grupo de recursos ao qual a WAN virtual está associada.
  7. No menu pendente Hub Virtual (Virtual Hub), selecione um Hub virtual.
    A aplicação preenche automaticamente a região do Azure correspondente ao hub
  8. Clique em Seguinte (Next).
    É criado o Destino Não-SD-WAN Microsoft Azure e, em seguida, é apresentada uma caixa de diálogo para o Destino Não-SD-WAN.
  9. Para configurar as definições do túnel para o gateway VPN principal do Destino Não-SD-WAN, clique no botão Avançado (Advanced).
  10. Na área Gateway VPN principal (Primary VPN Gateway), pode configurar as seguintes definições do túnel:
    Campo Descrição
    Encriptação (Encryption) Selecione AES 128 ou AES 256 como o tamanho de chave dos algoritmos AES para encriptar os dados. Se não pretender encriptar os dados, selecione NENHUM (NONE). O valor predefinido é AES 128.
    Grupo DH (DH Group) O algoritmo do grupo Diffie-Hellman (DH) a ser utilizado ao trocar uma chave pré-partilhada. O grupo DH define a força do algoritmo em bits. O grupo DH suportado é 2.
    PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são 2, 5, 14, 15 e 16. O valor predefinido é Desativado (Deactivated).
    Hash O algoritmo de autenticação do cabeçalho VPN. Selecione uma das seguintes funções do algoritmo hash seguro (SHA) suportadas na lista:
    • SHA 1
    • SHA 256

    O valor predefinido é SHA 256.

    Tempo de vida IKE SA (min) [IKE SA Lifetime(min)] Tempo em que a recodificação da troca de chaves da Internet (IKE) é iniciada para os Edges. O tempo de vida mínimo do IKE é de 10 minutos e o tempo de vida máximo do IKE é de 1440 minutos. O valor predefinido é 1440 minutos.
    Tempo de vida IPsec SA (min) [IPsec SA Lifetime(min)] Tempo em que a recodificação do protocolo de segurança da Internet (IPsec) é iniciado para os Edges. O tempo de vida mínimo do IPsec é de 3 minutos e o tempo de vida máximo do IPsec é de 480 minutos. O valor predefinido é 480 minutos.
    Temporizador de tempo limite DPD (seg) [DPD Timeout Timer(sec)] O tempo máximo que o dispositivo deve aguardar para receber uma resposta à mensagem DPD antes de considerar o par morto. O valor predefinido é 20 segundos. Pode desativar o DPD ao configurar o temporizador de tempo limite DPD para 0 segundos.
    Nota:

    O Destino Não-SD-WAN via Edge de tipo de automatização do WAN Virtual do Microsoft Azure suporta apenas o protocolo IKEv2 com as políticas IPsec padrão do Azure (exceto o modo GCM), quando o SD-WAN Edge atua como um Iniciador e o Azure atua como um Respondedor durante uma configuração do túnel IPsec.

  11. Clique em Guardar alterações (Save Changes).

Como proceder a seguir

Para obter informações sobre a automatização do Edge WAN virtual Azure, consulte Configurar o SD-WAN Orchestrator para a automação IPsec da WAN virtual do Azure no SD-WAN Edge.