V této části je uveden přehled konfigurace Zařízení SD-WAN Edge v konfiguraci se dvěma rameny.

Obecné

Konfigurace Zařízení SD-WAN Edge v konfiguraci se dvěma rameny:

  1. Konfigurace a aktivace hubu 1
  2. Konfigurace a aktivace stříbrné lokality 1
  3. Povolení tunelového propojení větve do hubu (stříbrná lokalita 1 do hubu 1)
  4. Konfigurace a aktivace bronzové lokality 1
  5. Konfigurace a aktivace hubu 2
  6. Konfigurace a aktivace stříbrné lokality 2

V následujících částech jsou tyto kroky popsány podrobněji.

Konfigurace a aktivace hubu 1

Tento krok vám pomůže pochopit typický pracovní postup připojení Zařízení SD-WAN Edge v místě hubu. Zařízení SD-WAN Edge je zaveden se dvěma rozhraními (jedno rozhraní pro každou linku sítě WAN).

Jako centrum Hub použijete virtuální zařízení Edge. Níže je uveden příklad informací o kabeláži a IP adrese.

configure-activate-hub-1

Konfigurace centra Hub 1 Zařízení SD-WAN Edge pro přístup k internetu přes místní uživatelské rozhraní

Protože jde o datové centrum / lokalitu hubu, je nepravděpodobné, že Zařízení SD-WAN Edge může získat svou WAN IP adresu přes DHCP. Nejprve budete muset aktivovat Zařízení SD-WAN Edge pro připojení k internetu přes bránu firewall datového centra, aby bylo možné Zařízení SD-WAN Edge aktivovat.

  1. Připojte počítač k výchozímu portu LAN na Zařízení SD-WAN Edge (například pokud se jedná o Edge 3800, výchozími porty LAN jsou GE1 a GE2). Tyto porty mají ve výchozím nastavení aktivovánu službu DHCP a poskytnou počítači adresu IP v rozsahu 192.168.2.0/24.
  2. V počítači zadejte http://192.168.2.1 (místní webové rozhraní Zařízení SD-WAN Edge). Klikněte na odkaz zkontrolovat konfiguraci (review the configuration).

    it-admin-topologies-edge-hub1-review-configuration

  3. Nakonfigurujte statickou adresu WAN IP GE2 a výchozí bránu Zařízení SD-WAN Edge tak, aby se mohla připojit k internetu.
    Klikněte na tlačítko Uložit (Save) a zadejte přihlašovací jméno / heslo admina/admina (admin/admin).
    Poznámka: Stejnou konfiguraci lze provést také pomocí SASE Orchestrator. V takovém případě adresa URL aktivace využije konfiguraci IP adresy a během aktivace bude poslána do Zařízení SD-WAN Edge. Toto je preferovaná metoda.

    V datovém centru / lokalitě hubu je vám obvykle přidělena statická IP adresa a podnikový administrátor IT nakonfiguruje bránu firewall tak, aby překládala WAN IP adresu Zařízení SD-WAN Edge na veřejnou IP adresu a aby filtrovala příslušný provoz (odchozí: TCP/443, příchozí: UDP/2426, UDP/500, UDP/4500).

    it-admin-topologies-edge-hub1-set-static-ip

  4. V tomto bodě by se měl stav internetu zobrazit jako „Připojeno (Connected)“.

    Po dokončení konfigurace statické WAN IP adresy Zařízení SD-WAN Edge a související konfigurace brány firewall se stav připojení k internetu pro Zařízení SD-WAN Edge zobrazí jako „Připojeno (Connected)“.

    it-admin-topologies-edge-internet-connected

Aktivujte Zařízení SD-WAN Edge ve výchozím profilu

  1. Přihlaste se do systému SASE Orchestrator.
  2. Výchozí profil VPN umožňuje aktivaci Zařízení SD-WAN Edge.

Aktivace hubu 1 Zařízení SD-WAN Edge

  1. Přejděte k možnosti Konfigurovat (Configure) > Edge a přidejte nový Zařízení SD-WAN Edge. Zadejte správný model a profil (používáme profil VPN větvě).
  2. Přejděte do hubu Zařízení SD-WAN Edge (DC1-VCE) a postupujte podle běžného procesu aktivace. Pokud již máte nastavenou funkci e-mailu, bude na tuto e-mailovou adresu zaslán aktivační e-mail. Jinak můžete přejít na stránku nastavení zařízení a získat aktivační adresu URL zde.
  3. Zkopírujte aktivační adresu URL a vložte ji do prohlížeče v počítači, který je připojen k Zařízení SD-WAN Edge, nebo klikněte na aktivační adresu URL v prohlížeči počítače.
  4. Klikněte na tlačítko Aktivovat (Activate).
  5. Nyní by měl být hub datového centra DC1-VCE online. Přejděte k možnosti Monitorování (Monitor) > Edge. Klikněte na kartu Přehled Edge (Edge Overview). Veřejná kapacita linky sítě WAN je rozpoznána společně se správnou veřejnou IP adresou 238.162.42.202 a ISP.

    activate-hub-1

  6. Přejděte k možnosti Konfigurovat (Configure) > Edge a vyberte možnost DC1-VCE. Přejděte na kartu Zařízení (Device) a sjeďte dolů na Nastavení rozhraní (Interface Settings).

    Zjistíte, že proces registrace informuje SASE Orchestrator o statické WAN IP adrese a bráně, která byla konfigurována prostřednictvím místního uživatelského rozhraní. Konfigurace na SASE Orchestrator bude odpovídajícím způsobem aktualizována.

  7. Sjeďte dolů na část Nastavení sítě WAN (WAN Settings). Typ linky (Link Type) by měl být automaticky identifikován jako Veřejný kabelový (Public Wired).

Konfigurace privátní linky sítě WAN na hub 1 Zařízení SD-WAN Edge

  1. Rozhraní privátní sítě WAN MPLS Edge nakonfigurujte přímo z SASE Orchestrator. Přejděte k možnosti Konfigurovat (Configure) > Edge a vyberte možnost DC1-VCE. Přejděte na kartu Zařízení (Device) a sjeďte dolů na část Nastavení rozhraní (Interface Settings). Nastavte statickou IP adresu na GE3 na 172.31.2.1/24 a výchozí bránu na 172.31.2.2. Pod Overlay WAN (WAN Overlay) vyberte možnost Uživatelem definované overlay (User Defined Overlay). To nám umožní definovat v dalším kroku linku sítě WAN ručně.
  2. Pod Nastavení sítě WAN (WAN Settings) klikněte na tlačítko Přidat uživatelem definované overlay WAN (Add User Defined WAN Overlay) (viz následující snímek obrazovky).
  3. Definujte overlay WAN pro trasu MPLS. Nastavte Typ linky (Link Type) na hodnotu Privátní (Private) a zadejte IP adresu dalšího mezikroku (172.31.2.2) linky sítě WAN do pole IP adresy. Jako rozhraní vyberte GE3. Klikněte na tlačítko Rozšířené (Advanced).

    Tip: Lokalita hubu má obvykle větší šířku pásma než větev. Vybereme-li automatické zjištění šířky pásma, lokalita hubu provede test šířky pásma se svou první druhou stranou, např. první větví, která se připojí, a nakonec zjistí nesprávnou šířku pásma sítě WAN. Pro lokalitu hubu byste měli vždy definovat šířku pásma sítě WAN ručně, a to v pokročilých nastaveních.

  4. Šířka pásma privátní sítě WAN se zadává v pokročilých nastaveních. Snímek obrazovky níže zobrazuje příklad šířky pásma 5 Mb/s pro odesílání a přijímání pro symetrickou linku MPLS v hubu.
  5. Ověřte, že je linka sítě WAN nakonfigurována a změny uloženy.

    Dokončili jste konfiguraci Zařízení SD-WAN Edge v hubu. Uživatelsky definované overlay MPLS, které jste právě přidali, neuvidíte, dokud nepovolíte větev Zařízení SD-WAN Edge.

Další informace naleznete zde:

Konfigurace statické směru do sítě LAN za přepínačem L3

Přidejte statický směr do podsítě 172.30.0.0/24 přes přepínač L3. Musíte specifikovat rozhraní GE3, které bude použito pro směrování k dalšímu mezikroku. Ujistěte se, že jste zaškrtli pole Oznamovat (Advertise), aby se ostatní Zařízení SD-WAN Edge dozvěděly o této podsíti za přepínačem L3. Další informace naleznete v tématu Konfigurace nastavení statické směru.

Konfigurace a aktivace stříbrné lokality 1

Tento krok vám pomůže pochopit typický pracovní postup vložení Zařízení SD-WAN Edge ve stříbrné lokalitě. Zařízení SD-WAN Edge je vložen mimo trasu a v souvislosti s přesměrováním provozu spoléhá na přepínač L3. Níže je uveden příklad informací o kabeláži a IP adrese.

topology-configure-and-activate-silver-1-site

Aktivace větve Zařízení SD-WAN Edge stříbrné lokality 1

V tomto příkladě předpokládáme, že Zařízení SD-WAN Edge získává svou veřejnou IP adresu pomocí DHCP, takže není třeba nic konfigurovat. Zařízení SD-WAN Edge se dodává s výchozí konfigurací pro použití DHCP na všech rozhraních se směrováním.

  1. Přejděte do nabídky Konfigurovat (Configure) > Profil (Profile) > Nový profil (New Profile) > Vytvořit (Create) a Profil větve (Branch Profile) a zapněte cloudovou VPN.
  2. Vytvořte nové zařízení Edge SILVER1-VCE a vyberte příslušný model a konfigurační profil.

    create-new-edge-silver-site

  3. Aktivujte tento Zařízení SD-WAN Edge připojením počítače k jeho LAN nebo Wi-Fi.
  4. Zařízení SD-WAN Edge by nyní měl být v SASE Orchestrator aktivní s jednou veřejnou linkou. Nyní můžeme nakonfigurovat privátní linku sítě WAN.

Konfigurace privátní linky sítě WAN na stříbrnou lokalitu 1 Zařízení SD-WAN Edge

V tomto okamžiku musíme vytvořit připojení IP adresy z Zařízení SD-WAN Edge směrem k přepínači L3.

  1. Přejděte do nabídky Konfigurovat (Configure) > Edge, vyberte možnost STŘÍBRNÝ1-VCE (SILVER1-VCE), přejděte na kartu Zařízení (Device) a sjeďte dolů na část Nastavení rozhraní (Interface Settings). Nastavte statickou IP adresu na GE3 na 10.12.1.1/24 a výchozí bránu na 10.12.1.2. Pod Overlay WAN (WAN Overlay) vyberte možnost Uživatelem definované overlay (User Defined Overlay). To nám umožní definovat linku sítě WAN ručně.
  2. V části Nastavení sítě WAN (WAN Settings) klikněte na Přidat uživatelem definované overlay WAN (Add User Defined WAN Overlay).
  3. Definujte overlay WAN pro trasu MPLS. Nastavte Typ linky (Link Type) na Privátní (Private). Zadejte IP adresu dalšího mezikroku (10.12.1.2) linky sítě WAN do pole IP adresy. Jako rozhraní vyberte GE3. Klikněte na tlačítko Rozšířené (Advanced). Tip: vzhledem k tomu, že hub již byl nastaven, je v pořádku automaticky zjišťovat šířku pásma. Tato větev provede test šířky pásma s hubem, aby zjistila jeho šířku pásma linku.
  4. Nastavte měření šířky pásma na hodnotu Změřit šířku pásma (Measure Bandwidth). Tato akce způsobí, že větev Zařízení SD-WAN Edge provede test šířky pásma s hubem Zařízení SD-WAN Edge stejným způsobem, jako když je připojena k Brána SD-WAN Gateway.
  5. Ověřte, že je linka sítě WAN nakonfigurována a změny uloženy.

Konfigurace statické směru do sítě LAN za přepínačem L3

Přidejte statický směr do podsítě 192.168.128.0/24 přes přepínač L3. Musíte specifikovat rozhraní GE3. Ujistěte se, že jste zaškrtli pole Oznamovat (Advertise), aby se ostatní Zařízení SD-WAN Edge dozvěděly o této podsíti za přepínačem L3.

Povolení tunelového propojení z větve do hubu (stříbrná lokalita 1 do hubu 1)

Tento krok vám pomůže vytvořit tunelové propojení overlay sítě z větve do hubu. Všimněte si, že v tomto bodě můžete vidět, že linka je připojena, ale jedná se o tunelové propojení do Brána SD-WAN Gateway přes internetovou cestu, a nikoli o tunelové propojení k hubu. Abychom mohli povolit vytvoření tunelového propojení z větve do hubu, budeme muset povolit cloudovou VPN.

Nyní jste připraveni vytvořit tunelové propojení z větve do hubu.

Aktivace cloudové VPN a Edge pro tunelové propojení Centrum SD-WAN Hub

  1. Přejděte do nabídky (Konfigurovat) Configure > Profily (Profiles), vyberte možnost Profil VPN větvě (Branch VPN Profile) a přejděte na kartu Zařízení (Device). V části Služba VPN (VPN Service) povolte cloudovou VPN a proveďte následující:
    • V nabídce Lokalita větev-centrum Hub (permanentní VPN) (Branch to Hub Site (Permanent VPN)) zaškrtněte pole Povolit (Enable).
    • V nabídce Síť VPN mezi dvěma větvemi (Tranzitní a dynamická) (Branch to Branch VPN (Transit & Dynamic)) zaškrtněte pole Povolit (Enable).
    • V nabídce Síť VPN mezi dvěma větvemi (Tranzitní a dynamická) (Branch to Branch VPN (Transit & Dynamic)) zaškrtněte pole Centra Hub pro VPN (Hubs for VPN). Touto akcí bude rovina dat deaktivována prostřednictvím Brána SD-WAN Gateway pro spojení větev do VPN větve. Provoz Větev do Větve nejprve projde jedním z hubů (podle seznamu, který zadáte později), zatímco se zřizuje přímé tunelové propojení Větev do Větve.
    Klikněte na tlačítko Označení center Hub (Hubs Designation) > Upravit centra Hub (Edit Hubs). Dále přesuňte DC1-VCE napravo. Tím označíte, že DC1-VCE je Centrum SD-WAN Hub. Klikněte na DC1-VCE v hubech a klikněte na obě tlačítka Povolit páteřní huby (Enable Backhaul Hubs) a Povolit huby VPN mezi větvemi (Enable Branch to Branch VPN Hubs). Použijeme stejný DC1-VCE pro provoz větve do větve a pro páteřní internetový provoz do hubu. V části cloudové VPN se nyní DC1-VCE zobrazuje jako oba Centra SD-WAN Hub a používá se pro huby VPN mezi větvemi.
  2. V tomto okamžiku by mělo být vytvořeno přímé tunelové propojení mezi větví a hubem Zařízení SD-WAN Edge. Příkaz debug nyní zobrazí přímé tunelové propojení mezi větví a hubem. Níže uvedený příklad je ze STŘÍBRNÝ1-VCE (SILVER1-VCE). Všimněte si dalších tunelů na 71.6.4.9 a 172.31.2.1. Toto jsou přímá tunelová propojení do hubu Zařízení SD-WAN Edge (GE2 přes veřejný internet a GE3 přes privátní linku).

Konfigurace a aktivace bronzové lokality 1

Tento krok pomáhá vytvořit bronzovou lokalitu – duální internetovou lokalitu s jedním DIA a jedním širokopásmovým připojením. Níže je uveden příklad informací o kabeláži a IP adrese. LAN BRONZOVÝ-1VCE (BRONZE1-VCE) Zařízení SD-WAN Edge LAN a aktivujte Zařízení SD-WAN Edge. V síti WAN není vyžadována žádná konfigurace, protože pro obě rozhraní WAN používá protokol DHCP.

Konfigurace a aktivace hubu 2

Tento krok vám pomůže nakonfigurovat „řízení podle adresy IP“ běžně používané v zaváděních hubu s jedním ramenem. Níže je uveden příklad informací o kabeláži a IP adrese. V rámci zavádění s jedním ramenem lze použít stejnou zdrojovou IP adresu tunelového propojení pro vytvoření overlay sítě přes různé směru.
topology-configure-and-activate-hub-2

Konfigurace hubu 2 Zařízení SD-WAN Edge pro přístup k internetu

  1. Připojte počítač k Zařízení SD-WAN Edge a do prohlížeče zadejte adresu http://192.168.2.1.
  2. Nakonfigurujte hub Zařízení SD-WAN Edge pro přístup k internetu nakonfigurováním prvního rozhraní sítě WAN, GE2.
    configure-activate-hub-2-configure-hub-to-reach-internet

Přidání hubu 2 Zařízení SD-WAN Edge k SASE Orchestrator a aktivace

V tomto kroku vytvoříte druhý hub Zařízení SD-WAN Edge nazvaný DC2.VCE.

  1. V aplikaci SASE Orchestrator přejděte do nabídky Konfigurovat (Configure) > Edge a výběrem možnosti Nový Edge (New Edge) přidejte nový Zařízení SD-WAN Edge.
  2. Přejděte do nabídky Konfigurovat (Configure) > Edge, vyberte Zařízení SD-WAN Edge, který jste právě vytvořili, a poté přejděte na kartu Zařízení (Device), kde nakonfigurujete stejné rozhraní a IP adresu jako v předchozím kroku.
    Důležité: Vzhledem k tomu, že zavádíme Zařízení SD-WAN Edge v režimu s jedním ramenem (stejné fyzické rozhraní, avšak z tohoto rozhraní povede více tunelových propojení), je důležité specifikovat, že overlay WAN bude definováno uživatelem (User Defined).
  3. Nyní je třeba vytvořit overlay. V nabídce Nastavení sítě WAN (WAN Settings) klikněte na Přidat uživatelem definované overlay WAN (Add User Defined WAN Overlay).
  4. Vytvořte overlay přes veřejnou linku. V našem příkladu použijeme IP dalšího mezikroku 172.29.0.4 k připojení k internetu přes bránu firewall. Brána firewall je již konfigurována na NAT provozu na 209.116.155.31.
  5. Přidejte druhé overlay přes privátní síť. V tomto příkladu uvádíme směrovač dalšího mezikroku 172.29.0.1 a také specifikujeme šířku pásma, jelikož se jedná o krok MPLS a DC2-VCE je hub. Přidejte statický směr do podsítě na straně LAN 172.30.128.0/24 přes GE2.
  6. Aktivujte zařízení Zařízení SD-WAN Edge. Po úspěšné aktivaci se vraťte na kartu Zařízení (Device) pod konfigurací úrovně Edge. Všimněte si, že pole veřejné IP adresy (Public IP) je nyní vyplněné. Nyní se podívejte na linky v nabídce Monitorování (Monitor) > Edge na kartě Přehled (Overview).

Přidání hubu 2 Zařízení SD-WAN Edge do seznamu hubů v profilu VPN větve

  1. Přejděte do nabídky Konfigurovat (Configure) > Profiles (Profily) a vyberte Profil rychlé spuštění VPN (Quick Start VPN Profile).
  2. Přejděte na kartu Zařízení (Device) a přidejte tento nový Zařízení SD-WAN Edge do seznamu hubů.

Konfigurace a aktivace stříbrné lokality 2

Tento krok vám pomůže vytvořit stříbrnou lokalitu – hybridní lokalitu, která má Zařízení SD-WAN Edge za směrovačem CE. Současně je Zařízení SD-WAN Edge výchozím směrovačem sítě LAN. Níže je uveden příklad informací o kabeláži a IP adrese pro každý hardware.
topology-configure-and-activate-silver-2-site
Připojte počítač k LAN nebo Wi-Fi lokality Zařízení SD-WAN Edge a do prohlížeče zadejte adresu http://192.168.2.1.