說明如何在 SD-WAN Orchestrator 中設定透過 Edge 的 Microsoft Azure 虛擬中樞類型的非 SD-WAN 目的地

若要在 SD-WAN Orchestrator 中設定透過 Edge 的 Microsoft Azure 虛擬中樞類型的非 SD-WAN 目的地

必要條件

程序

  1. SD-WAN Orchestrator 的導覽面板中,移至設定 (Configure) > 網路服務 (Network Services)
    服務 (Services) 畫面隨即出現。
  2. 透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) 區域中,按一下新增 (New) 按鈕。
    新增透過 Edge 的非 SD-WAN 目的地 (New Non SD-WAN Destinations via Edge) 對話方塊隨即出現。
  3. 服務名稱 (Service Name) 文字方塊中,輸入非 SD-WAN 目的地的名稱。
  4. 服務類型 (Service Type) 下拉式功能表中,選取 Microsoft Azure 虛擬中樞 (Microsoft Azure Virtual Hub)
  5. 訂閱 (Subscription) 下拉式功能表中,選取雲端訂閱。
    應用程式會從 Azure 動態擷取所有可用的虛擬 WAN。
  6. 虛擬 WAN (Virtual WAN) 下拉式功能表中,選取虛擬 WAN。
    應用程式會自動填入與虛擬 WAN 相關聯的資源群組。
  7. 虛擬中樞 (Virtual Hub) 下拉式功能表中,選取虛擬中樞。
    應用程式會自動填入與中樞對應的 Azure 區域
  8. 下一步 (Next)
    Microsoft Azure 非 SD-WAN 目的地隨即建立,並顯示 非 SD-WAN 目的地的對話方塊。
  9. 若要設定非 SD-WAN 目的地主要 VPN 閘道的通道設定,請按一下進階 (Advanced) 按鈕。
  10. 主要 VPN 閘道 (Primary VPN Gateway) 區域中,您可以設定下列通道設定:
    欄位 說明
    加密 (Encryption) 選取 AES 128AES 256 作為加密資料的 AES 演算法金鑰大小。如果您不想加密資料,請選取無 (NONE)。預設值為 AES 128。
    DH 群組 (DH Group) 交換預先共用的金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2。
    PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 層級為 2、5、14、15 和 16。預設值是 [已停用 (Deactivated)]。
    雜湊 (Hash) VPN 標頭的驗證演算法。從清單中選取下列其中一個支援的安全雜湊演算法 (SHA) 功能:
    • SHA 1
    • SHA 256

    預設值為 SHA 256。
    IKE SA 存留時間 (分鐘) (IKE SA Lifetime(min)) 針對 Edge 起始網際網路金鑰交換 (IKE) 重設金鑰時的時間。IKE 存留時間下限為 10 分鐘,IKE 存留時間上限為 1440 分鐘。預設值為 1440 分鐘。
    IPSec SA 存留時間 (分鐘) (IPSec SA Lifetime(min)) 針對 Edge 起始網際網路安全性通訊協定 (IPsec) 重設金鑰時的時間。IPSec 存留時間下限為 3 分鐘,IPSec 存留時間上限為 480 分鐘。預設值為 480 分鐘。
    DPD 逾時計時器 (秒) (DPD Timeout Timer(sec)) 輸入 DPD 逾時值。DPD 逾時值會新增到內部 DPD 計時器中,如下所述。將對等視為無作用 (無作用對等偵測) 之前,請等待接收 DPD 訊息的回應。
    在 5.1.0 版本之前,預設值為 20 秒。若為 5.1.0 及更新版本,請參閱下表以取得預設值。
    • 程式庫名稱:Quicksec
    • 探查間隔:指數 (0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
    • 預設最小 DPD 間隔:47.5 秒 (QuickSec 在上次重試後會等待 16 秒。因此,0.5+1+2+4+8+16+16 = 47.5)。
    • 預設最小 DPD 間隔 + DPD 逾時 (秒):67.5 秒
    備註: 在 5.1.0 版本之前,您可以將 DPD 逾時計時器設定為 0 秒,以停用 DPD。但是,若是 5.1.0 及更新版本,則無法藉由將 DPD 逾時計時器設定為 0 秒來停用 DPD。DPD 逾時值 (以秒為單位) 將新增至預設的最小值 (47.5 秒)。
    備註:

    如果在 IPSec 通道設定期間以 SD-WAN Edge 作為啟動器,並以 Azure 作為回應程式,則 Microsoft Azure 虛擬 WAN 類型之透過 Edge 的 非 SD-WAN 目的地 的自動化僅支援具有 Azure 預設 IPSec 原則的 IKEv2 通訊協定 (GCM 模式除外)。

  11. 按一下儲存變更 (Save Changes)

下一步

如需 Azure 虛擬 WAN Edge 自動化的相關資訊,請參閱設定 SD-WAN Orchestrator 以從 SD-WAN Edge 進行 Azure 虛擬 WAN IPSec 自動化