Configurar um Destino Não-SD-WAN do Microsoft Azure via Edge

Descreve como configurar um Destino Não-SD-WAN do tipo Hub Virtual Microsoft Azure (Microsoft Azure Virtual Hub) via Edge no SD-WAN Orchestrator.

Para configurar um Destino Não-SD-WAN do tipo Hub Virtual Microsoft Azure via Edge no SD-WAN Orchestrator:

Pré-requisitos

Certifique-se de que configurou uma subscrição de cloud. Para obter os passos, consulte Configurar um serviço de rede de subscrição de cloud.
Certifique-se de que criou a WAN virtual e os hubs no Azure. Para obter os passos, consulte Configurar a WAN virtual do Azure para a conectividade VPN ramo a Azure.

Procedimento

No painel de navegação do SD-WAN Orchestrator, aceda a Configurar > Serviços de rede (Configure > Network Services).
É apresentado o ecrã Serviços (Services).
Na área Destinos não-SD-WAN via Edge (Non SD-WAN Destinations via Edge), clique no botão Novo (New).
É apresentada a caixa de diálogo Novos destinos não-SD-WAN via Edge (New Non SD-WAN Destinations via Edge).
Na caixa de texto Nome do serviço (Service Name), introduza o nome para o Destino Não-SD-WAN.
No menu pendente Tipo de serviço (Service type), selecione Hub Virtual Microsoft Azure (Microsoft Azure Virtual Hub).
No menu pendente Subscrição (Subscription), selecione uma subscrição de cloud.
A aplicação encontra todas as WANs virtuais disponíveis dinamicamente no Azure.
No menu pendente WAN Virtual (Virtual WAN), selecione uma WAN virtual.
A aplicação preenche automaticamente o grupo de recursos ao qual a WAN virtual está associada.
No menu pendente Hub Virtual (Virtual Hub), selecione um Hub virtual.
A aplicação preenche automaticamente a região do Azure correspondente ao hub
Clique em Seguinte (Next).
É criado o Destino Não-SD-WAN Microsoft Azure e, em seguida, é apresentada uma caixa de diálogo para o Destino Não-SD-WAN.
Para configurar as definições do túnel para o gateway VPN principal do Destino Não-SD-WAN, clique no botão Avançado (Advanced).

Na área Gateway VPN principal (Primary VPN Gateway), pode configurar as seguintes definições do túnel:

Campo	Descrição
Encriptação (Encryption)	Selecione AES 128 ou AES 256 como o tamanho de chave dos algoritmos AES para encriptar os dados. Se não pretender encriptar os dados, selecione NENHUM (NONE). O valor predefinido é AES 128.
Grupo DH (DH Group)	O algoritmo do grupo Diffie-Hellman (DH) a ser utilizado ao trocar uma chave pré-partilhada. O grupo DH define a força do algoritmo em bits. O grupo DH suportado é 2.
PFS	Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são 2, 5, 14, 15 e 16. O valor predefinido é Desativado (Deactivated).
Hash	O algoritmo de autenticação do cabeçalho VPN. Selecione uma das seguintes funções do algoritmo hash seguro (SHA) suportadas na lista: SHA 1 SHA 256 O valor predefinido é SHA 256.
Tempo de vida IKE SA (min) [IKE SA Lifetime(min)]	Tempo em que a recodificação da troca de chaves da Internet (IKE) é iniciada para os Edges. O tempo de vida mínimo do IKE é de 10 minutos e o tempo de vida máximo do IKE é de 1440 minutos. O valor predefinido é 1440 minutos.
Tempo de vida IPsec SA (min) [IPsec SA Lifetime(min)]	Tempo em que a recodificação do protocolo de segurança da Internet (IPsec) é iniciado para os Edges. O tempo de vida mínimo do IPsec é de 3 minutos e o tempo de vida máximo do IPsec é de 480 minutos. O valor predefinido é 480 minutos.
Temporizador de tempo limite DPD (seg) [DPD Timeout Timer(sec)]	Introduza o valor do tempo limite da DPD. O valor do tempo limite da DPD será adicionado ao temporizador DPD interno, conforme descrito abaixo. Aguarde uma resposta da mensagem da DPD antes de considerar o par como morto (Deteção de pares mortos). Antes da versão 5.1.0, o valor predefinido é de 20 segundos. Para a versão 5.1.0 e posteriores, veja a lista abaixo para obter o valor predefinido. Nome da biblioteca: Quicksec Intervalo da pesquisa: exponencial (0,5 s, 1 s, 2 s, 4 s, 8 s, 16 s) Intervalo mínimo da DPD predefinido: 47,5 s (o Quicksec aguarda 16 segundos após a última tentativa. Assim, 0,5+1+2+4+8+16+16 = 47,5). Intervalo mínimo da DPD predefinido + tempo limite da DPD (s): 67,5 s Nota: Antes da versão 5.1.0, pode desativar a DPD ao configurar o temporizador do tempo limite da DPD para 0 segundos. No entanto, para a versão 5.1.0 e posteriores, não é possível desativar a DPD ao configurar o temporizador do tempo limite da DPD para 0 segundos. O valor de tempo excedido da DPD em segundos será adicionado ao valor mínimo predefinido de 47,5 segundos.

Nota:

O Destino Não-SD-WAN via Edge de tipo de automatização do WAN Virtual do Microsoft Azure suporta apenas o protocolo IKEv2 com as políticas IPsec padrão do Azure (exceto o modo GCM), quando o SD-WAN Edge atua como um Iniciador e o Azure atua como um Respondedor durante uma configuração do túnel IPsec.

Clique em Guardar alterações (Save Changes).

Como proceder a seguir

Ativar a VPN de cloud ao nível do perfil
Associe o Destino Não-SD-WAN do Microsoft Azure a um Edge e configure túneis de forma a estabelecer um túnel entre um ramo e o Hub virtual do Azure. Para obter mais informações, consulte Associar um Destino Não-SD-WAN do Microsoft Azure a um SD-WAN Edge e adicionar túneis.

Para obter informações sobre a automatização do Edge WAN virtual Azure, consulte Configurar o SD-WAN Orchestrator para a automação IPsec da WAN virtual do Azure no SD-WAN Edge.