概览

要在双臂配置中配置 SD-WAN Edge，请执行以下操作：

1. 配置和激活 Hub 1
2. 配置和激活 Silver 1 站点
3. 启用分支到 Hub 隧道（Silver 1 到 Hub 1）
4. 配置和激活 Bronze 1 站点
5. 配置和激活 Hub 2
6. 配置和激活 Silver 2 站点

以下几节更详细地介绍了这些步骤。

配置和激活 Hub 1

该步骤帮助您了解如何在 Hub 位置中启动 SD-WAN Edge 的典型工作流。为 SD-WAN Edge 部署了两个接口（每个 WAN 链路一个接口）。

您将使用虚拟 Edge 以作为 Hub。下面是一个布线和 IP 地址信息示例。

配置并激活 Hub 1 SD-WAN Edge 以访问 Internet

由于这是数据中心/Hub 站点，SD-WAN Edge 无法使用 DHCP 获取其 WAN IP。因此，您需要先允许 SD-WAN Edge 通过数据中心防火墙连接到 Internet，以便可以激活 SD-WAN Edge。

1. 配置一个具有静态 IP 192.168.2.100/24 和网关 192.168.2.1 的 PC，这是用于访问 SD-WAN Edge 的默认 LAN 设置。将该 PC 连接到 SD-WAN Edge LAN 接口。
2. 从该 PC 中，浏览到 http://192.168.2.1（SD-WAN Edge 的本地 Web 接口）。单击查看配置 (review the configuration) 链接。

   

3. 配置 SD-WAN Edge 的 GE2 静态 WAN IP 和默认网关，以便它可以访问 Internet。

   单击保存 (Save) 并提供登录名/密码 admin/admin。

   通常，在数据中心/Hub 站点上，将为您分配静态 IP 地址，企业 IT 管理员配置防火墙以将 SD-WAN Edge WAN IP 转换为公用 IP，并且还会筛选相应的流量（出站：TCP/443、入站：UDP/2426、UDP/500、UDP/4500）。

   

4. 此时，Internet 状态应显示“已连接”(Connected)。

   在配置完 SD-WAN Edge 静态 WAN IP 地址和关联的防火墙配置后，SD-WAN Edge Internet 状态将显示“已连接”(Connected)。

   

在默认配置文件中启用虚拟 SD-WAN Edge

1. 登录到 SD-WAN Orchestrator。
2. 默认 VPN 配置文件允许激活 SD-WAN Edge 500。

激活 Hub 1 SD-WAN Edge

1. 转到配置 (Configure) > Edge 并添加新的 SD-WAN Edge。指定正确的型号和配置文件（我们使用快速启动 VPN 配置文件）。
2. 转到 Hub SD-WAN Edge (DC1-VCE)，并执行正常激活过程。如果您已设置电子邮件功能，则会向该电子邮件地址发送一封激活电子邮件。否则，您可以转到设备设置页面以获取激活 URL。
3. 复制激活 URL 并将其粘贴到 SD-WAN Edge 连接的 PC 上的浏览器，或者直接从 PC 浏览器中单击激活 URL。
4. 单击激活 (Activate) 按钮。
5. 现在，DC1-VCE 数据中心 Hub 应已启动。转到监控 (Monitor) > Edge。单击 Edge 概览 (Edge Overview) 选项卡。将检测公用 WAN 链路容量以及正确的公用 IP 71.6.4.9 和 ISP。

   

6. 转到配置 (Configure) > Edge，然后选择 DC1-VCE。转到设备 (Device) 选项卡，然后向下滚动到接口设置 (Interface Settings)。

   您会看到注册过程向 SD-WAN Orchestrator 通知通过本地 UI 配置的静态 WAN IP 地址和网关。将相应地更新 VMware 上的配置。

   

7. 向下滚动到 WAN 设置 (WAN Settings) 部分。“链路类型”(Link Type) 应自动标识为公用有线 (Public Wired)。

   

在 Hub 1 SD-WAN Edge 上配置专用 WAN 链路

1. 直接从 SD-WAN Orchestrator 中配置专用 MPLS Edge WAN 接口。转到配置 (Configure) > Edge，然后选择 DC1-VCE。转到设备 (Device) 选项卡，然后向下滚动到“接口设置”(Interface Settings) 部分。将 GE3 上的静态 IP 配置为 172.31.2.1/24，并将默认网关配置为 172.31.2.2。在 WAN 覆盖网络 (WAN Overlay) 下面，选择用户定义的覆盖网络 (User Defined Overlay)。这样，我们就可以在下一步中手动定义一个 WAN 链路。

   

2. 在 WAN 设置 (WAN Settings) 下面，单击添加用户定义的 WAN 覆盖网络 (Add User Defined WAN Overlay) 按钮（请参阅以下屏幕截图）。

   

3. 为 MPLS 路径定义 WAN 覆盖网络。选择专用 (Private) 以作为链路类型 (Link Type)，并在“IP 地址”(IP Address) 字段中指定 WAN 链路的下一跃点 IP (172.31.2.2)。选择 GE3 以作为接口。单击高级 (Advanced) 按钮。

   

   提示：Hub 站点具有的带宽通常比分支多。如果我们选择要自动发现的带宽，Hub 站点将针对第一个对等项（例如，启动的第一个分支）运行带宽测试，并最终发现不正确的 WAN 带宽。对于 Hub 站点，您应该始终手动定义 WAN 带宽，这是在高级设置中完成的。

4. 在高级设置中指定专用 WAN 带宽。下面的屏幕截图显示了一个示例：Hub 中的对称 MPLS 链路的上游和下游带宽为 5 Mbps。

   

5. 验证是否配置了 WAN 链路并保存更改。

   

   您已完成在 Hub 上配置 SD-WAN Edge 的过程。在启用分支 SD-WAN Edge 后，您才会看到刚添加的用户定义的 MPLS 覆盖网络。

（可选）为 LAN 接口配置管理 IP

1. 转到配置 (Configure) > Edge，然后选择 DC1-VCE。
2. 导航到设备 (Device) 选项卡，然后向下滚动到“VLAN 设置”(VLAN Settings) 部分。
3. 单击编辑 (Edit) 并配置接口的 IP 地址。

   

配置到 L3 交换机后面的 LAN 网络的静态路由

添加到 172.30.0.0/24 子网的静态路由（经由 L3 交换机）。您需要指定接口 GE3 以用于路由到下一跃点。确保启用“通告”(Advertise) 复选框，以使其他 SD-WAN Edges 可以了解位于 L3 交换机后面的该子网的信息（请参阅以下屏幕截图）。

配置和激活 Silver 1 站点

该步骤帮助您了解如何在银级站点中插入 SD-WAN Edge 的典型工作流。SD-WAN Edge 插入到路径外部，并依靠 L3 交换机以将流量重定向到该位置。下面是一个布线和 IP 地址信息示例。

激活 Silver 1 站点分支 SD-WAN Edge

在该示例中，我们假定 SD-WAN Edge 使用 DHCP 获取其公用 IP 地址，因此，不需要进行任何配置。SD-WAN Edge 提供了默认配置，以便在所有路由接口上使用 DHCP。

1. 创建新的 Edge SILVER1-DCE，然后选择相应的型号和配置文件（请参阅下图）。

   

2. 将 PC 连接到 SD-WAN Edge LAN 或 Wi-Fi 以激活该设备。
3. 现在，SD-WAN Edge 应在 SD-WAN Orchestrator 中处于活动状态并具有一个公用链路。我们现在可以配置专用 WAN 链路。

在 Silver 1 站点 SD-WAN Edge 上配置专用 WAN 链路

此时，我们需要建立从 SD-WAN Edge 到 L3 交换机的 IP 连接。

1. 转到配置 (Configure) > Edge，选择 SILVER1-VCE 并转到“设备”(Device) 选项卡，然后向下滚动到“接口设置”(Interface Settings) 部分。将 GE3 上的静态 IP 配置为 10.12.1.1/24，并将默认网关配置为 10.12.1.2。在 WAN 覆盖网络 (WAN Overlay) 下面，选择用户定义的覆盖网络 (User Defined Overlay)。这样，我们就可以在下一步中手动定义一个 WAN 链路。

   

2. 在 WAN 设置 (WAN Settings) 部分下面，单击添加用户定义的 WAN 覆盖网络 (Add User Defined WAN Overlay)。
3. 为 MPLS 路径定义 WAN 覆盖网络。选择专用 (Private) 以作为链路类型 (Link Type)。在“IP 地址”(IP Address) 字段中指定 WAN 链路的下一跃点 IP (10.12.1.2)。选择 GE3 以作为接口。单击高级 (Advanced) 按钮。

   

   提示：由于已设置 Hub，因此，可以自动发现带宽。该分支将针对 Hub 运行带宽测试以发现其链路带宽。
4. 将“带宽测量”(Bandwidth Measurement) 设置为测量带宽 (Measure Bandwidth)。这会导致分支 SD-WAN Edge 针对 Hub SD-WAN Edge 运行带宽测试，就像它连接到 SD-WAN Gateway 时发生的情况一样。
5. 验证是否配置了 WAN 链路并保存更改（请参阅以下屏幕截图）。

   

（可选）为 LAN 接口配置管理 IP

1. 转到配置 (Configure) > Edge，然后选择 SILVER1-VCE。导航到设备 (Device) 选项卡，然后向下滚动到“VLAN 设置”(VLAN Settings) 部分。单击编辑 (Edit)。配置 LAN 和管理接口的 IP 地址。

配置到 L3 交换机后面的 LAN 网络的静态路由

添加到 192.168.128.0/24 的静态路由（经由 L3 交换机）。您需要指定接口 GE3。确保启用“通告”(Advertise) 复选框，以使其他 SD-WAN Edges 可以了解位于 L3 交换机后面的该子网的信息（请参阅以下屏幕截图）。

启用分支到 Hub 隧道（Silver 1 到 Hub 1）

该步骤帮助您建立从分支到 Hub 的覆盖网络隧道。请注意，此时，您可能会看到链路已启动，但这是通过 Internet 路径到 SD-WAN Gateway 的隧道，而不是到 Hub 的隧道。我们需要启用云 VPN，以允许建立从分支到 Hub 的隧道。

现在，您已准备好建立从分支到 Hub 的隧道。

启用云 VPN 和 Edge 到 SD-WAN Hub 隧道

1. 步骤 1：转到配置 (Configure) > 配置文件 (Profiles)，选择快速启动 VPN 配置文件 (Quick Start VPN Profile)，然后转到设备 (Device) 选项卡。启用云 VPN 并执行以下操作。
   • 在分支到 Hub (Branch to Hubs) 下面，选中启用 (Enable) 复选框。
   • 在分支到分支 VPN (Branch to Branch VPN) 下面，选中启用 (Enable) 复选框。
   • 在分支到分支 VPN (Branch to Branch VPN) 下面，取消选中“使用云网关”(Use Cloud Gateways) 复选框。这样做将为分支到分支 VPN 禁用通过 SD-WAN Gateway 的数据平面。分支到分支的流量先通过其中的一个 Hub（位于接下来指定的排序列表中），同时建立直接分支到分支隧道。
   单击选择 Hub (Select Hubs) 按钮。接下来，将 DC1-VCE 移到右侧。这会将 DC1-VCE 指定为 SD-WAN Hub。单击 Hub 中的 DC1-VCE，然后单击启用回传 Hub (Enable Backhaul Hubs) 和启用 B2B VPN Hub (Enable B2B VPN Hubs) 按钮。对于分支到分支流量以及到 Hub 的回传 Internet 流量，我们将使用相同的 DC1-VCE。在“云 VPN”(Cloud VPN) 部分下面，DC1-VCE 现在显示为两个 SD-WAN Hubs 并用于分支到分支 VPN Hub。
2. 此时，分支和 Hub SD-WAN Edges 之间的直接隧道应已启动。调试命令现在还会显示分支和 Hub 之间的直接隧道。下面的示例来自于 SILVER1-VCE。请注意到 71.6.4.9 和 172.31.2.1 的额外隧道。这些是到 Hub SD-WAN Edge 的直接隧道（通过公用 Internet 的 GE2 和通过专用链路的 GE3）。

配置和激活 Bronze 1 站点

该步骤帮助您创建铜级站点 - 具有一个 DIA 和一个宽带的双 Internet 站点。下面是一个布线和 IP 地址信息示例。配置 BRONZE1-VCE SD-WAN Edge LAN 并激活 SD-WAN Edge。无需在 WAN 上进行任何配置，因为它将 DHCP 用于两个 WAN 接口。

配置和激活 Hub 2

该步骤帮助您配置在单臂 Hub 部署中通常使用的“按 IP 地址转向”。下面是一个布线和 IP 地址信息示例。对于单臂部署，可以使用相同的隧道源 IP 在不同路径上创建覆盖网络。

配置 Hub 2 SD-WAN Edge 以访问 Internet

1. 将一个 PC 连接到 SD-WAN Edge，然后使用浏览器指向 http://192.168.2.1。
2. 配置 Hub SD-WAN Edge 以访问 Internet，方法是配置第一个 WAN 接口 GE2。

   

在 SD-WAN Orchestrator 中添加并激活 Hub 2 SD-WAN Edge

在该步骤中，您将创建第二个 Hub SD-WAN Edge（名为 DC2.VCE）。

1. 在 SD-WAN Orchestrator 上，转到配置 (Configure) > Edge，选择新建 Edge (New Edge) 以添加新的 SD-WAN Edge。

   

2. 转到配置 (Configure) > Edge，选择刚创建的 SD-WAN Edge，然后转到设备 (Device) 选项卡以配置在上一步中配置的相同接口和 IP。

   

   重要说明： 由于我们在单臂模式下部署 SD-WAN Edge（相同的物理接口，但具有来自该接口的多个覆盖网络隧道），因此，请务必将“WAN 覆盖网络”(WAN Overlay) 指定为“用户定义”(User Defined)。
3. 此时，您需要创建覆盖网络。在 WAN 设置 (WAN Settings) 下面，单击添加用户定义的 WAN 覆盖网络 (Add User Defined WAN Overlay)。
4. 在公用链路中创建一个覆盖网络。在我们的示例中，我们使用下一跃点 IP 172.29.0.4 以通过防火墙访问 Internet。防火墙已配置为将流量地址转换为 209.116.155.31。
5. 在专用网络中添加第二个覆盖网络。在该示例中，我们指定下一跃点路由器 172.29.0.1 并且还指定带宽，因为这是 MPLS 分支，DC2-VCE 是 Hub。

   

   添加到 LAN 端子网 172.30.128.0/24 的静态路由（经由 GE2）（请参阅以下屏幕截图）。
6. 激活 SD-WAN Edge。在成功激活后，返回到 Edge 级别配置下面的设备 (Device) 选项卡。请注意，现已填充“公用 IP”(Public IP) 字段。现在，您应该在监控 (Monitor) > Edge 中的概览 (Overview) 选项卡下面看到这些链路。
7. （可选）为 LAN 接口配置管理 IP：转到配置 (Configure) > Edge，然后选择 DC2-VCE。导航到设备 (Device) 选项卡，然后向下滚动到“VLAN 设置”(VLAN Settings) 部分。单击编辑 (Edit)。配置 LAN 和管理接口的 IP 地址。

将 Hub 2 SD-WAN Edge 添加到快速启动 VPN 配置文件中的 Hub 列表

1. 转到配置 (Configure) > 配置文件 (Profiles)，然后选择配置文件快速启动 VPN (Quick Start VPN)。
2. 转到设备 (Device) 选项卡，然后将该新 SD-WAN Edge 添加到 Hub 列表中。

配置和激活 Silver 2 站点

该步骤帮助您创建一个银级站点（混合站点），该站点在 CE 路由器后面具有 SD-WAN Edge，并将 SD-WAN Edge 作为 LAN 的默认路由器。下面是每个硬件的布线和 IP 地址信息示例。

将一个 PC 连接到 SD-WAN Edge LAN 或 Wi-Fi，然后使用浏览器指向 http://192.168.2.1。