Übersicht

So konfigurieren Sie den SD-WAN Edge in einer zweigliedrigen Konfiguration:

1. Konfigurieren und Aktivieren von Hub 1
2. Konfigurieren und Aktivieren der hybriden Site 1
3. Aktivieren des Zweigstelle-zu-Hub-Tunnels (Hybride Site 1 zu Hub 1)
4. Konfigurieren und Aktivieren einer öffentlichen Nur-WAN-Site
5. Konfigurieren und Aktivieren von Hub 2
6. Konfigurieren und Aktivieren der hybriden Site 2

In den folgenden Abschnitten werden die Schritte genauer beschrieben.

Konfigurieren und Aktivieren von Hub 1

Mit diesem Schritt können Sie den typischen Workflow zum Ausführen von SD-WAN Edge am Hub-Speicherort verstehen. SD-WAN Edge wird mit zwei Schnittstellen (eine Schnittstelle für jeden WAN-Link) bereitgestellt.

Im Folgenden finden Sie ein Beispiel für die Informationen zur Verkabelung und IP-Adresse.

Aktivieren des SD-WAN Edge im Standardprofil

1. Melden Sie sich beim SASE Orchestrator an.
2. Das Standard-VPN-Profil ermöglicht die Aktivierung des SD-WAN Edge.

Aktivieren Sie den Hub 1-SD-WAN Edge

1. Navigieren Sie zu Konfigurieren (Configure) > Edges und fügen Sie einen neuen SD-WAN Edge hinzu. Geben Sie das richtige Modell und das Profil an (wir verwenden das Zweigstellen-VPN-Profil).
2. Navigieren Sie zum Hub-SD-WAN Edge (DC1-VCE) und führen Sie die üblichen Aktivierungsschritte aus. Wenn Sie die E-Mail-Funktion bereits eingerichtet haben, wird eine Aktivierungs-E-Mail an diese E-Mail-Adresse gesendet. Anderenfalls können Sie zur Seite „Geräteeinstellung (Device Settings)“ navigieren, um die Aktivierungs-URL zu abzurufen.
3. Kopieren Sie die Aktivierungs-URL und fügen Sie diese in den Browser auf dem PC ein, der mit dem SD-WAN Edge verbunden ist, oder klicken Sie auf die Aktivierungs-URL im Webbrowser.
4. Klicken Sie auf die Schaltfläche Aktivieren (Activate).
5. Jetzt sollte der DC1-VCE-Datencenter-Hub in Betrieb sein. Navigieren Sie zu Überwachen (Monitor) > Edges. Klicken Sie auf die Registerkarte Edge-Übersicht (Edge Overview). Die öffentliche WAN-Link-Kapazität wird zusammen mit der korrekten öffentlichen IP 238.162.42.202 und dem ISP ermittelt.

   

6. Navigieren Sie zu Konfigurieren (Configure) > Edges und wählen Sie DC1-VCE aus. Navigieren Sie zur Registerkarte Gerät (Device) und scrollen Sie nach unten bis zu den Schnittstelleneinstellungen (Interface Settings).

   Sie werden feststellen, dass der Registrierungsprozess die SASE Orchestrator-Instanz über die statische WAN-IP-Adresse und das Gateway benachrichtigt, die über die lokale Benutzeroberfläche konfiguriert wurden. Die Konfiguration auf dem SASE Orchestrator wird entsprechend aktualisiert.

7. Scrollen Sie nach unten zum Abschnitt WAN-Einstellungen (WAN Settings). Der Link-Typ sollte automatisch als Öffentlich verkabelt (Public Wired) erkannt werden.

Konfigurieren Sie den privaten WAN-Link auf dem Hub 1-SD-WAN Edge

1. Konfigurieren Sie die private MPLS-Edge-WAN-Schnittstelle direkt über die SASE Orchestrator-Instanz. Navigieren Sie zu Konfigurieren -> Edges (Configure -> Edges) und wählen Sie DC1-VCE aus. Navigieren Sie zur Registerkarte Gerät (Device) und scrollen Sie nach unten bis zum Abschnitt „Schnittstelleneinstellungen (Interface Settings)“. Konfigurieren Sie die statische IP-Adresse auf GE3 als 172.31.2.1/24 und das Standardgateway als 172.31.2.2. Wählen Sie unter WAN-Overlay (WAN Overlay) die Option Benutzerdefiniertes Overlay (User Defined Overlay) aus. Dies ermöglicht es uns, im nächsten Schritt manuell einen WAN-Link zu definieren.
2. Klicken Sie unter WAN-Einstellungen (WAN Settings) auf die Schaltfläche Benutzerdefiniertes WAN-Overlay hinzufügen (Add User Defined WAN Overlay) (siehe folgende Bildschirmaufnahme).
3. Definieren Sie das WAN-Overlay für den MPLS-Pfad. Wählen Sie den Link-Typ (Link Type) als Privat (Private) aus und geben Sie die IP-Adresse (172.31.2.2) des WAN-Links im Feld „IP-Adresse (IP Address)“ an. Wählen Sie GE3 als Schnittstelle aus. Klicken Sie auf die Schaltfläche Erweitert (Advanced).

   Tipp: Die Hub-Site verfügt in der Regel über mehr Bandbreite als die Zweigstellen. Bei Auswahl der automatisch zu ermittelnden Bandbreite führt die Hub-Site einen Bandbreitentest mit ihrem ersten Peer, z. B. der ersten auftauchenden Zweigstelle, durch und ermittelt am Ende eine falsche WAN-Bandbreite. Für die Hub-Site sollten Sie die WAN-Bandbreite manuell in den erweiterten Einstellungen definieren.

4. Die private WAN-Bandbreite wird in den erweiterte Einstellungen angegeben. Der folgende Screenshot zeigt ein Beispiel von 5 MBit/s Upstream- und Downstream-Bandbreite für einen symmetrischen MPLS-Link beim Hub.
5. Prüfen Sie, ob der WAN-Link konfiguriert ist, und speichern Sie die Änderungen.

   Die Konfiguration des SD-WAN Edge auf dem Hub ist abgeschlossen. Das benutzerdefinierte MPLS-Overlay, das Sie gerade hinzugefügt haben, wird erst angezeigt, wenn Sie einen Zweigstellen-SD-WAN Edge aktivieren.

Konfigurieren der statischen Route zum LAN-Netzwerk hinter dem L3-Switch

Fügen Sie eine statische Route zum Subnetz 172.30.0.0 24 über den L3-Switch hinzu. Sie müssen den Schnittstellen-GE3 angeben, der für das Routing zum nächsten Hop verwendet werden soll. Stellen Sie sicher, dass das Kontrollkästchen Annoncieren (Advertise) aktiviert ist, damit ein anderer SD-WAN Edge von diesem Subnetz hinter dem L3-Switch lernen kann. Weitere Informationen finden Sie unter Konfigurieren von statischen Routeneinstellungen.

Konfigurieren und Aktivieren der hybriden Site 1

Dieser Schritt hilft Ihnen, den typischen Workflow zum Einfügen des SD-WAN Edge an einer hybriden Site 1 zu verstehen. Der SD-WAN Edge wird außerhalb des Pfads eingefügt und stützt sich auf den L3-Switch, um den Datenverkehr an diesen umzuleiten. Im Folgenden finden Sie ein Beispiel für die Informationen zur Verkabelung und IP-Adresse:

Konfigurieren des privaten WAN-Links auf dem SD-WAN Edge der hybriden Site 1.

An diesem Punkt müssen wir die IP-Konnektivität vom SD-WAN Edge zum L3-Switch aufbauen.

1. Navigieren Sie zu Konfigurieren (Configure) > Edges, wählen Sie VCE der hybriden Site 1 (Hybrid Site-1-VCE) aus, navigieren Sie zur Registerkarte Gerät (Device) und scrollen Sie nach unten bis zum Abschnitt Schnittstelleneinstellungen (Interface Settings). Konfigurieren Sie die statische IP-Adresse auf GE3 als 10.12.1.1/24 und das Standardgateway als 10.12.1.2. Wählen Sie unter WAN-Overlay (WAN Overlay) die Option Benutzerdefiniertes Overlay (User Defined Overlay) aus. Dadurch kann ein WAN-Link manuell definiert werden.
2. Klicken Sie im Abschnitt WAN-Einstellungen (WAN Settings) auf Benutzerdefiniertes WAN-Overlay hinzufügen (Add User Defined WAN Overlay).
3. Definieren Sie das WAN-Overlay für den MPLS-Pfad. Wählen Sie als Link-Typ (Link Type) die Option Privat (Private) aus. Geben Sie die IP-Adresse (10.12.1.2) des WAN-Links in das IP-Adressfeld ein. Wählen Sie GE3 als Schnittstelle aus. Klicken Sie auf die Schaltfläche Erweitert (Advanced). Tipp: Da der Hub bereits eingerichtet wurde, kann die Bandbreite automatisch ermittelt werden. Diese Zweigstelle führt einen Bandbreitentest mit dem Hub aus, um dessen Link-Bandbreite zu ermitteln.
4. Legen Sie für die Bandbreitenmessung Messung der Bandbreite (Measure Bandwidth) fest. Dies führt dazu, dass der Zweigstellen-SD-WAN Edge einen Bandbreitentest mit dem Hub-SD-WAN Edge ausführt, der dem beim Verbindungsaufbau zum SD-WAN Gateway entspricht.
5. Prüfen Sie, ob der WAN-Link konfiguriert ist, und speichern Sie die Änderungen.

Konfigurieren der statischen Route zum LAN-Netzwerk hinter dem L3-Switch

Fügen Sie eine statische Route zu 192.168.128.0/24 über den L3-Switch hinzu. Sie müssen den Schnittstellen-GE3 angeben. Stellen Sie sicher, dass das Kontrollkästchen Annoncieren (Advertise) aktiviert ist, damit ein anderer SD-WAN Edge über dieses Subnetz hinter dem L3-Switch informiert wird.

Aktivieren des Zweigstelle-zu-Hub-Tunnels (Hybride Site 1 zu Hub 1)

Mit diesem Schritt können Sie den Overlay-Tunnel von der Zweigstelle zum Hub erstellen. Beachten Sie, dass Sie an diesem Punkt zwar sehen können, dass der Link aktiv ist, aber dies ist der Tunnel zum SD-WAN Gateway über den Internetpfad und nicht der Tunnel zum Hub. Cloud-VPN muss aktiviert werden, damit der Tunnel von der Zweigstelle zum Hub eingerichtet werden kann.

Der Tunnel von der Zweigstelle zum Hub kann jetzt erstellt werden.

Aktivieren von Cloud-VPN und des Edge zum SD-WAN Hub-Tunnel

1. Navigieren Sie zu Konfigurieren (Configure) > Profile (Profiles), wählen Sie Zweigstellen-VPN-Profil (Branch VPN Profile) aus und wechseln Sie zur Registerkarte Gerät (Device). Aktivieren Sie unter VPN-Dienst (VPN Service) das Cloud-VPN und führen Sie die folgenden Schritte durch:
   • Aktivieren Sie unter Zweigstelle-zu-Hub-Site (permanentes VPN) (Branch to Hub Site (Permanent VPN)) das Kontrollkästchen Aktivieren (Enable).
   • Aktivieren Sie unter Zweigstelle-zu-Zweigstelle-VPN (Transit und Dynamisch) (Branch to Branch VPN (Transit & Dynamic)) das Kontrollkästchen Aktivieren (Enable).
   • Aktivieren Sie unter Zweigstelle-zu-Zweigstelle-VPN (Transit und Dynamisch) (Branch to Branch VPN (Transit & Dynamic)) das Kontrollkästchen „Hubs für VPN (Hubs for VPN)“. Auf diese Weise wird die Datenebene durch das SD-WAN Gateway für Zweigstelle-zu-Zweigstelle-VPN deaktiviert. Der Zweigstelle-zu-Zweigstelle-Datenverkehr durchläuft zunächst einen der Hubs (in der sortierten Liste, die Sie im nächsten Schritt angeben), während der direkte Zweigstelle-zu-Zweigstelle-Tunnel eingerichtet wird.
   Klicken Sie auf die Schaltfläche Hub-Bezeichnung (Hubs Designation) > Hubs bearbeiten (Edit Hubs). Verschieben Sie den DC1-VCE dann nach rechts. Hiermit wird der DC1-VCE als SD-WAN Hub bezeichnet. Klicken Sie auf DC1-VCE in den Hubs und klicken Sie auf die Schaltflächen Backhaul-Hubs aktivieren (Enable Backhaul Hubs) und Zweigstelle-zu-Zweigstelle-VPN-Hubs aktivieren (Enable Branch to Branch VPN Hubs). Sie verwenden denselben DC1-VCE für den Zweigstelle-zu-Zweigstelle-Datenverkehr und für den Backhaul-Internet-Datenverkehr zum Hub. Im Abschnitt „Cloud-VPN (Cloud VPN)“ wird DC1-VCE sowohl als SD-WAN Hubs angezeigt als auch für die Verwendung für Zweigstelle-zu-Zweigstelle-VPN-Hubs.
2. Zu diesem Zeitpunkt sollte der direkte Tunnel zwischen der Zweigstelle und dem Hub-SD-WAN Edge verfügbar sein. Mit dem Debugging-Befehl wird nun auch der direkte Tunnel zwischen der Zweigstelle und dem Hub angezeigt.

Konfigurieren und Aktivieren einer öffentlichen Nur-WAN-Site

Dieser Schritt hilft bei der Erstellung einer öffentlichen Nur-WAN-Site ─ einer dualen Internet-Site mit einer DIA und einem Breitbandanschluss. Konfigurieren Sie das LAN VCE der öffentlichen Nur-WAN-Site (Public WAN only Site-VCE) SD-WAN Edge und aktivieren Sie den SD-WAN Edge. Es ist keine Konfiguration für das WAN erforderlich, da es DHCP für beide WAN-Schnittstellen verwendet.

Konfigurieren und Aktivieren von Hub 2

Mit diesem Schritt können Sie die Einstellung „Lenkung über IP-Adresse (Steer by IP address)“ konfigurieren, die in eingliedrigen Hub-Bereitstellungen häufig verwendet wird. Im Folgenden finden Sie ein Beispiel für die Informationen zur Verkabelung und IP-Adresse. Mit einer eingliedrigen Bereitstellung kann dieselbe Tunnelquell-IP-Adresse verwendet werden, um ein Overlay über verschiedene Pfade zu erstellen.

Konfigurieren Sie den Hub 2-SD-WAN Edge zum Herstellen einer Internetverbindung.

1. Verbinden Sie einen PC mit dem SD-WAN Edge und geben Sie im Browser http://192.168.2.1 ein.
2. Konfigurieren Sie den Hub-SD-WAN Edge zum Herstellen einer Internetverbindung, indem Sie die erste WAN-Schnittstelle (GE2) konfigurieren.

   

Fügen Sie den Hub 2-SD-WAN Edge zur SASE Orchestrator-Instanz hinzu und aktivieren Sie ihn.

In diesem Schritt erstellen Sie den zweiten Hub-SD-WAN Edge, der als DC2.VCE bezeichnet wird.

1. Navigieren Sie in SASE Orchestrator zu Konfigurieren (Configure) > Edges und wählen Sie Neuer Edge (New Edge) aus, um einen neuen SD-WAN Edge hinzuzufügen.
2. Navigieren Sie zu Konfigurieren (Configure) > Edges, wählen Sie den SD-WAN Edge aus, den Sie gerade erstellt haben, und klicken Sie dann auf die Registerkarte Gerät (Device), um dieselbe Schnittstelle und IP-Adresse zu konfigurieren, die Sie im vorherigen Schritt konfiguriert haben.
   Wichtig: Da wir den SD-WAN Edge im eingliedrigen Modus einsetzen (gleiche physische Schnittstelle, aber von dieser Schnittstelle aus gibt es mehrere Übertunnel), ist es wichtig, das WAN-Overlay als benutzerdefiniert festzulegen.
3. An dieser Stelle müssen Sie das Overlay erstellen. Klicken Sie unter WAN-Einstellungen (WAN Settings) auf Benutzerdefiniertes WAN-Overlay hinzufügen (Add User Defined WAN Overlay).
4. Erstellen Sie ein Overlay über den öffentlichen Link hinweg. In diesem Beispiel verwenden Sie für den nächsten Hop die IP-Adresse 172.29.0.4, um das Internet über die Firewall zu erreichen. Die Firewall ist bereits für die NAT-Weiterleitung des Datenverkehrs an 209.116.155.31 konfiguriert.
5. Fügen Sie das zweite Overlay über das private Netzwerk hinzu. In diesem Beispiel geben Sie 172.29.0.1 als Router für den nächsten Hop an und legen die Bandbreite fest, da es sich um den MPLS-Abschnitt handelt und DC2-VCE als Hub fungiert. Fügen Sie eine statische Route zum LAN-seitigen Subnetz 172.30.128.0/24 über GE2 hinzu.
6. Aktivieren Sie den SD-WAN Edge. Nachdem die Aktivierung erfolgreich war, kehren Sie zur Registerkarte Gerät (Device) unter der Konfiguration auf Edge-Ebene zurück. Beachten Sie, dass das Feld „Öffentliche IP (Public IP)“ jetzt ausgefüllt ist. Sie sollten nun die Links in Überwachen (Monitor) > Edges unter der Registerkarte Übersicht (Overview) sehen.

Hinzufügen des Hub 2-SD-WAN Edge zur Hub-Liste im Zweigstellen-VPN-Profil

1. Navigieren Sie zu Konfigurieren (Configure) > Profile (Profiles) und wählen Sie das Profil Schnellstart-VPN (Quick Start VPN) aus.
2. Navigieren Sie zur Registerkarte Gerät (Device) und fügen Sie diesen neuen SD-WAN Edge zu einer Liste von Hubs hinzu.

Konfigurieren und Aktivieren der hybriden Site 2

Dieser Schritt hilft Ihnen bei der Erstellung einer hybriden Site 1, bei der sich der SD-WAN Edge hinter dem CE-Router befindet und bei der SD-WAN Edge als Standardrouter für das LAN fungiert. Nachstehend finden Sie ein Beispiel für die Verkabelung und die IP-Adressinformationen für jede Hardware.

Verbinden Sie einen PC mit dem SD-WAN Edge-LAN oder -WLAN und geben Sie im Browser http://192.168.2.1 ein.

Weitere Informationen zum Aktivieren von Edges finden Sie unter Aktivieren von SD-WAN Edges.