概述

要在双臂配置中配置 SD-WAN Edge，请执行以下操作：

1. 配置和激活 Hub 1
2. 配置和激活混合站点 1
3. 激活分支到 Hub 隧道（混合站点 1 到 Hub 1）
4. 配置和激活仅公用 WAN 站点
5. 配置和激活 Hub 2
6. 配置和激活混合站点 2

以下几节更详细地介绍了这些步骤。

配置和激活 Hub 1

该步骤帮助您了解如何在 Hub 位置中启动 SD-WAN Edge 的典型工作流。为 SD-WAN Edge 部署了两个接口（每个 WAN 链路一个接口）。

下面是一个布线和 IP 地址信息示例。

在默认配置文件中激活 SD-WAN Edge

1. 登录到 SASE Orchestrator。
2. 默认 VPN 配置文件允许激活 SD-WAN Edge。

激活 Hub 1 SD-WAN Edge

1. 转到配置 (Configure) > Edge 并添加新的 SD-WAN Edge。指定正确的型号和配置文件（我们使用分支 VPN 配置文件）。
2. 转到 Hub SD-WAN Edge (DC1-VCE)，并执行正常激活过程。如果您已设置电子邮件功能，则会向该电子邮件地址发送一封激活电子邮件。否则，您可以转到设备设置页面以获取激活 URL。
3. 复制激活 URL 并将其粘贴到 SD-WAN Edge 连接的 PC 上的浏览器，或者直接从 PC 浏览器中单击激活 URL。
4. 单击激活 (Activate) 按钮。
5. 现在，DC1-VCE 数据中心 Hub 应已启动。转到监控 (Monitor) > Edge。单击 Edge 概览 (Edge Overview) 选项卡。将检测公用 WAN 链路容量以及正确的公用 IP 238.162.42.202 和 ISP。

   

6. 转到配置 (Configure) > Edge，然后选择 DC1-VCE。转到设备 (Device) 选项卡，然后向下滚动到接口设置 (Interface Settings)。

   您会看到注册过程向 SASE Orchestrator 通知通过本地 UI 配置的静态 WAN IP 地址和网关。将相应地更新 SASE Orchestrator 上的配置。

7. 向下滚动到 WAN 设置 (WAN Settings) 部分。“链路类型”(Link Type) 应自动标识为公用有线 (Public Wired)。

在 Hub 1 SD-WAN Edge 上配置专用 WAN 链路

1. 直接从 SASE Orchestrator 中配置专用 MPLS Edge WAN 接口。转到配置 (Configure) > Edge，然后选择 DC1-VCE。转到设备 (Device) 选项卡，然后向下滚动到“接口设置”(Interface Settings) 部分。将 GE3 上的静态 IP 配置为 172.31.2.1/24，并将默认网关配置为 172.31.2.2。在 WAN 覆盖网络 (WAN Overlay) 下面，选择用户定义的覆盖网络 (User Defined Overlay)。这样，我们就可以在下一步中手动定义一个 WAN 链路。
2. 在 WAN 设置 (WAN Settings) 下面，单击添加用户定义的 WAN 覆盖网络 (Add User Defined WAN Overlay) 按钮（请参阅以下屏幕截图）。
3. 为 MPLS 路径定义 WAN 覆盖网络。选择专用 (Private) 以作为链路类型 (Link Type)，并在“IP 地址”(IP Address) 字段中指定 WAN 链路的下一跃点 IP (172.31.2.2)。选择 GE3 以作为接口。单击高级 (Advanced) 按钮。

   提示：Hub 站点具有的带宽通常比分支多。如果我们选择要自动发现的带宽，Hub 站点将针对第一个对等体（例如，启动的第一个分支）运行带宽测试，并最终发现不正确的 WAN 带宽。对于 Hub 站点，您应该始终手动定义 WAN 带宽，这是在高级设置中完成的。

4. 在高级设置中指定专用 WAN 带宽。下面的屏幕截图显示了一个示例：Hub 中的对称 MPLS 链路的上游和下游带宽为 5 Mbps。
5. 验证是否配置了 WAN 链路并保存更改。

   您已完成在 Hub 上配置 SD-WAN Edge 的过程。在激活分支 SD-WAN Edge 后，您才会看到刚添加的用户定义的 MPLS 覆盖网络。

配置到 L3 交换机后面的 LAN 网络的静态路由

添加到 172.30.0.0/24 子网的静态路由（经由 L3 交换机）。您需要指定接口 GE3 以用于路由到下一跃点。确保选中通告 (Advertise) 复选框，以便其他 SD-WAN Edge 可以学习这个位于 L3 交换机后面的子网。有关更多信息，请参阅配置静态路由设置。

配置和激活混合站点 1

该步骤帮助您了解如何在混合站点 1 中插入 SD-WAN Edge 的典型工作流。SD-WAN Edge 插入到路径外部，并依靠 L3 交换机以将流量重定向到该位置。下面是一个布线和 IP 地址信息示例：

在混合站点 1 SD-WAN Edge 上配置专用 WAN 链路

此时，我们需要建立从 SD-WAN Edge 到 L3 交换机的 IP 连接。

1. 转到配置 (Configure) > Edge (Edges)，选择混合站点-1-VCE (Hybrid Site-1-VCE)，并转到设备 (Device) 选项卡，然后向下滚动到接口设置 (Interface Settings) 部分。将 GE3 上的静态 IP 配置为 10.12.1.1/24，并将默认网关配置为 10.12.1.2。在 WAN 覆盖网络 (WAN Overlay) 下面，选择用户定义的覆盖网络 (User Defined Overlay)。这允许手动定义 WAN 链路。
2. 在 WAN 设置 (WAN Settings) 部分下面，单击添加用户定义的 WAN 覆盖网络 (Add User Defined WAN Overlay)。
3. 为 MPLS 路径定义 WAN 覆盖网络。选择专用 (Private) 以作为链路类型 (Link Type)。在“IP 地址”(IP Address) 字段中指定 WAN 链路的下一跃点 IP (10.12.1.2)。选择 GE3 以作为接口。单击高级 (Advanced) 按钮。提示：由于已设置 Hub，因此，可以自动发现带宽。该分支将针对 Hub 运行带宽测试，以发现其链路带宽。
4. 将“带宽测量”(Bandwidth Measurement) 设置为测量带宽 (Measure Bandwidth)。这会导致分支 SD-WAN Edge 针对 Hub SD-WAN Edge 运行带宽测试，就像它连接到 SD-WAN 网关 时发生的情况一样。
5. 验证是否配置了 WAN 链路并保存更改。

配置到 L3 交换机后面的 LAN 网络的静态路由

添加到 192.168.128.0/24 的静态路由（经由 L3 交换机）。您需要指定接口 GE3。确保选中通告 (Advertise) 复选框，以便其他 SD-WAN Edge 可以学习这个位于 L3 交换机后面的子网。

激活分支到 Hub 隧道（混合站点 1 到 Hub 1）

该步骤帮助您建立从分支到 Hub 的覆盖网络隧道。请注意，此时，您可能会看到链路已启动，但这是通过 Internet 路径到 SD-WAN 网关 的隧道，而不是到 Hub 的隧道。我们必须激活云 VPN，以允许建立从分支到 Hub 的隧道。

现在，您已准备好建立从分支到 Hub 的隧道。

激活云 VPN 和 Edge 到 SD-WAN Hub 的隧道

1. 转到配置 (Configure) > 配置文件 (Profiles)，选择分支 VPN 配置文件 (Branch VPN Profile)，然后转到设备 (Device) 选项卡。在 VPN 服务 (VPN Service) 下面，激活“云 VPN”(Cloud VPN) 并执行以下操作：
   • 在分支到 Hub 站点 (永久 VPN) (Branch to Hub Site (Permanent VPN)) 下面，选中启用 (Enable) 复选框。
   • 在分支到分支 VPN (转换和动态) (Branch to Branch VPN (Transit & Dynamic)) 下面，选中启用 (Enable) 复选框。
   • 在分支到分支 VPN (转换和动态) (Branch to Branch VPN (Transit & Dynamic)) 下面，选中“用于 VPN 的 Hub”(Hubs for VPN) 复选框。这样做将为分支到分支 VPN 停用通过 SD-WAN 网关 的数据平面。分支到分支的流量先通过其中的一个 Hub（位于接下来指定的排序列表中），同时建立直接分支到分支隧道。
   单击 Hub 指定 (Hubs Designation) > 编辑 Hub (Edit Hubs)。接下来，将 DC1-VCE 移到右侧。这会将 DC1-VCE 指定为 SD-WAN Hub。单击 Hub 中的 DC1-VCE，然后单击启用回传 Hub (Enable Backhaul Hubs) 和启用分支到分支 VPN Hub (Enable Branch to Branch VPN Hubs) 按钮。对于分支到分支流量以及到 Hub 的回传 Internet 流量，我们将使用相同的 DC1-VCE。在“云 VPN”(Cloud VPN) 部分下面，DC1-VCE 现在显示为两个 SD-WAN Hub 并用于分支到分支 VPN Hub。
2. 此时，分支和 Hub SD-WAN Edge 之间的直接隧道应已启动。调试命令现在还会显示分支和 Hub 之间的直接隧道。

配置和激活仅公用 WAN 站点

该步骤帮助您创建仅公用 WAN 站点 - 具有一个 DIA 和一个宽带的双 Internet 站点。配置仅公用 WAN 站点-VCE SD-WAN Edge LAN 并激活 SD-WAN Edge。无需在 WAN 上进行任何配置，因为它将 DHCP 用于两个 WAN 接口。

配置和激活 Hub 2

该步骤帮助您配置在单臂 Hub 部署中通常使用的“按 IP 地址转向”。下面是一个布线和 IP 地址信息示例。对于单臂部署，可以使用相同的隧道源 IP 在不同路径上创建覆盖网络。

配置 Hub 2 SD-WAN Edge 以访问 Internet

1. 将一个 PC 连接到 SD-WAN Edge，然后使用浏览器指向 http://192.168.2.1。
2. 配置 Hub SD-WAN Edge 以访问 Internet，方法是配置第一个 WAN 接口 GE2。

   

在 SASE Orchestrator 中添加并激活 Hub 2 SD-WAN Edge

在该步骤中，您将创建第二个 Hub SD-WAN Edge（名为 DC2.VCE）。

1. 在 SASE Orchestrator 上，转到配置 (Configure) > Edge，选择新建 Edge (New Edge) 以添加新的 SD-WAN Edge。
2. 转到配置 (Configure) > Edge，选择刚创建的 SD-WAN Edge，然后转到设备 (Device) 选项卡以配置在上一步中配置的相同接口和 IP。
   重要说明： 由于我们在单臂模式下部署 SD-WAN Edge（相同的物理接口，但具有来自该接口的多个覆盖网络隧道），因此，请务必将“WAN 覆盖网络”(WAN Overlay) 指定为“用户定义”(User Defined)。
3. 此时，您需要创建覆盖网络。在 WAN 设置 (WAN Settings) 下面，单击添加用户定义的 WAN 覆盖网络 (Add User Defined WAN Overlay)。
4. 在公用链路中创建一个覆盖网络。在我们的示例中，我们使用下一跃点 IP 172.29.0.4 以通过防火墙访问 Internet。防火墙已配置为将流量地址转换为 209.116.155.31。
5. 在专用网络中添加第二个覆盖网络。在该示例中，我们指定下一跃点路由器 172.29.0.1，并且还指定带宽，因为这是 MPLS 分支，DC2-VCE 是 Hub。添加到 LAN 端子网 172.30.128.0/24 的静态路由（经由 GE2）。
6. 激活 SD-WAN Edge。在成功激活后，返回到 Edge 级别配置下面的设备 (Device) 选项卡。请注意，现已填充“公用 IP”(Public IP) 字段。现在，您应该在监控 (Monitor) > Edge 中的概览 (Overview) 选项卡下面看到这些链路。

将 Hub 2 SD-WAN Edge 添加到分支 VPN 配置文件中的 Hub 列表

1. 转到配置 (Configure) > 配置文件 (Profiles)，然后选择配置文件快速启动 VPN (Quick Start VPN)。
2. 转到设备 (Device) 选项卡，然后将该新 SD-WAN Edge 添加到 Hub 列表中。

配置和激活混合站点 2

该步骤帮助您创建混合站点 1（混合站点），该站点在 CE 路由器后面具有 SD-WAN Edge，并将 SD-WAN Edge 作为 LAN 的默认路由器。下面是每个硬件的布线和 IP 地址信息示例。

将一个 PC 连接到 SD-WAN Edge LAN 或 Wi-Fi，然后使用浏览器指向 http://192.168.2.1。

有关激活 Edge 的更多信息，请参阅激活 SD-WAN Edge。