La configuración del dispositivo permite configurar los ajustes de interfaz para uno o varios modelos de Edge en un perfil.
Según el modelo de Edge, cada interfaz puede ser una interfaz de puerto de conmutador (LAN) o una interfaz enrutada (WAN). Según el modelo de sucursal, un puerto de conexión puede ser un puerto LAN o WAN dedicado, o se puede configurar para que sea un puerto LAN o WAN. Los puertos de sucursal pueden ser puertos Ethernet o SFP. Algunos modelos de Edge también admiten las interfaces LAN inalámbricas.
Se supone que existe un solo vínculo WAN público asociado a una sola interfaz que solo procesa tráfico de WAN. Si no existe ningún vínculo WAN configurado para una interfaz enrutada que sea compatible con WAN, se supone que se debe detectar automáticamente un vínculo WAN público. Si se detecta uno, se lo notificará a SD-WAN Orchestrator. A continuación, es posible modificar este vínculo WAN detectado automáticamente a través de SD-WAN Orchestrator y transferir la nueva configuración a la sucursal.
- Si se habilita la superposición de WAN en la interfaz enrutada y esta se asocia a un vínculo WAN, la interfaz estará disponible para todos los segmentos.
- Si una interfaz se configura como PPPoE, solo admitirá un único vínculo WAN detectado automáticamente. No se podrán asignar vínculos adicionales a la interfaz.
Si el vínculo no se debe o no se puede detectar automáticamente, se debe configurar de forma explícita. Algunas de las configuraciones admitidas en las que no se puede utilizar la detección automática son:
- Vínculos WAN privados.
- Varios vínculos WAN en una sola interfaz. Ejemplo: un hub de centro de datos con 2 conexiones MPLS.
- Un solo vínculo WAN al que se puede acceder mediante varias interfaces. Ejemplo: una topología de HA activa-activa.
Los vínculos que se detectan automáticamente son siempre vínculos públicos. Los vínculos definidos por el usuario pueden ser públicos o privados, y presentan opciones de configuración diferentes según el tipo que se seleccione.
Vínculos WAN públicos
Los vínculos WAN públicos son todos los vínculos tradicionales que proporcionan acceso a la red de Internet pública, como cable, DSL, etc. No se requiere ninguna configuración de nodo del mismo nivel para los vínculos WAN públicos. Se conectarán automáticamente a la instancia de SD-WAN Gateway, la cual controlará la divulgación de la información necesaria para la conectividad de nodo del mismo nivel.
Vínculos WAN privados (MPLS)
Los vínculos WAN privados pertenecen a una red privada y solo se pueden conectar a otros vínculos WAN dentro de la misma red privada. Debido a que puede haber varias redes MPLS (por ejemplo, dentro de una empresa), el usuario debe identificar qué vínculos pertenecen a qué red. La instancia de SD-WAN Gateway utilizará esta información para distribuir la información de conectividad de los vínculos WAN.
Es posible optar por tratar los vínculos MPLS como un solo vínculo. Sin embargo, para diferenciar las distintas clases de servicios MPLS, se puede asignar cada vínculo WAN a una etiqueta de DSCP diferente para definir varios vínculos WAN que se asignen a diferentes clases de servicios MPLS.
Además, se puede optar por definir un SLA estático para un vínculo WAN privado. Esto eliminará la necesidad de que los nodos del mismo nivel intercambien estadísticas de ruta de acceso y reducirá el consumo de ancho de banda en un vínculo. Como el intervalo de sondeo afecta la rapidez con la que se puede conmutar por error un dispositivo, no queda claro si una definición de SLA estático debe reducir el intervalo de sondeo de forma automática.
Configuración del dispositivo
En las siguientes capturas de pantalla, se muestra la interfaz de usuario de nivel superior de SD-WAN Edge 500 y SD-WAN Edge 1000, y se presenta SD-WAN Edge 610 para la versión 3.4. En la siguiente tabla, se describen las funciones principales de la interfaz de usuario (los números de la tabla corresponden a los números de las capturas de pantalla subsiguientes).
Acciones que se pueden realizar en la interfaz de red, como Editar (Edit) o Eliminar (Delete). | |
El nombre de la interfaz. Este nombre coincide con la etiqueta de puerto de Edge en el dispositivo Edge o es un nombre predeterminado para las redes LAN inalámbricas. | |
La lista de puertos de conmutador con un resumen de algunos de sus ajustes (como el modo de acceso o de tronco y las redes VLAN de la interfaz). Los puertos de conmutador se resaltan con un fondo amarillo claro. | |
La lista de interfaces enrutadas con un resumen de sus ajustes (como el tipo de direccionamiento y si la interfaz se detectó automáticamente o presenta una superposición de WAN definida por el usuario o detectada automáticamente). Las interfaces enrutadas se resaltan con un fondo azul claro. | |
La lista de interfaces inalámbricas (si se encuentran disponibles en el dispositivo Edge). Para agregar redes inalámbricas adicionales, puede hacer clic en el botón Agregar SSID de Wi-Fi (Add Wi-Fi SSID). Las interfaces inalámbricas se resaltan con un fondo gris claro. | |
|
La versión 3.4 presenta Edge 610.
En la versión 3.4, se agregó una nueva interfaz enrutada (CELL1). Si los usuarios seleccionan Edge 510-LTE como modelo, esta se mostrará en el área Configuración de interfaz (Interface Settings) (consulte la imagen a continuación).
Al hacer clic en el vínculo Editar (Edit) (como se muestra en la imagen anterior), los usuarios pueden editar la sección Configuración de celda (Cell Settings). (Consulte la imagen a continuación).
Subinterfaces y direcciones IP secundarias
Agregar una subinterfaz
Cuando se agrega una subinterfaz a una interfaz enrutada, la subinterfaz obtiene un subconjunto de las opciones de configuración que se proporcionaron a la interfaz principal.
- Haga clic en el botón Agregar subinterfaz (Add Sub Interface).
- Seleccione una interfaz del menú desplegable y el valor de Identificador de subinterfaz (Sub Interface ID) en el cuadro de texto, tal como se muestra en el cuadro de diálogo Seleccionar interfaz (Select Interface) a continuación.
- Haga clic en Siguiente (Next).
- En el cuadro de diálogo Subinterfaz (Sub Interface), elija el tipo de direccionamiento (DHCP o Estático (Static)).
- Si elige el tipo de direccionamiento DHCP, la casilla de verificación Habilitar etiquetado de VLAN (Enable VLAN Tagging) se seleccionará de forma predeterminada y se mostrará en el cuadro de texto el identificador de subinterfaz que seleccionó en el cuadro de diálogo anterior.
- Si elige el tipo de direccionamiento Estático (Static), tiene la opción de seleccionar la casilla de verificación Habilitar etiquetado de VLAN (Enable VLAN Tagging) para habilitar la red VLAN. Se mostrará en el cuadro de texto el identificador de subinterfaz que seleccionó en el cuadro de diálogo anterior.
- Seleccione la casilla de verificación Tráfico directo de NAT (NAT Direct Traffic) si es necesario.
- Haga clic en el botón Actualizar (Update).
Se actualizará la columna Interfaz (Interface) para mostrar la subinterfaz recién creada.
Agregar una dirección IP secundaria
- Haga clic en el botón Agregar IP secundaria (Add Secondary IP).
- Seleccione una interfaz del menú desplegable y el valor de Identificador de subinterfaz (Sub Interface ID) en el cuadro de texto, tal como se muestra en el cuadro de diálogo Seleccionar interfaz (Select Interface) a continuación. Tenga en cuenta que el tipo de subinterfaz es IP secundaria (Secondary IP).
- Haga clic en Siguiente (Next).
- En el cuadro de diálogo IP secundaria (Secondary IP), elija el tipo de direccionamiento (DHCP o Estático (Static)).
- En el cuadro de diálogo IP secundaria (Secondary IP), elija el tipo de direccionamiento (DHCP o Estático (Static)).
-
Haga clic en el botón Actualizar (Update).
Se actualizará la columna Interfaz (Interface) para mostrar la dirección IP secundaria recién creada (consulte la imagen de Configuración de interfaz (Interface Settings) a continuación).
Casos de uso de superposición de WAN definida por el usuario
Los escenarios en los que esta configuración es útil se detallan primero, seguidos de una especificación de la configuración.
- Caso de uso 1: Dos vínculos WAN conectados a un conmutador de capa 2. Tenga en cuenta la topología de centro de datos tradicional en la que SD-WAN Edge se conecta a un conmutador de capa 2 en la red DMZ que se encuentra conectada a varios firewalls, cada uno conectado a un vínculo WAN ascendente diferente. En esta topología, es probable que la interfaz de VMware se haya configurado con FW1 como próximo salto. Sin embargo, para usar el vínculo DSL, este se debe aprovisionar con un próximo salto alternativo al que se deben reenviar los paquetes, ya que FW1 no puede acceder a DSL. Al definir el vínculo DSL, el usuario debe configurar una dirección IP personalizada de próximo salto como la dirección IP de FW2 para garantizar que los paquetes puedan comunicarse con el módem DSL. Además, el usuario debe configurar una dirección IP de origen personalizada para este vínculo WAN a fin de permitir que Edge identifique las interfaces de retorno. La configuración final se asemeja a la siguiente figura: En el siguiente párrafo, se describe la forma de definir la configuración final.
- La interfaz se define con la dirección IP 10.0.0.1 y el próximo salto 10.0.0.2. Debido a que existe más de un vínculo WAN asociado a la interfaz, los vínculos se establecen como “definidos por el usuario”.
- Se define el vínculo de cable, el cual hereda la dirección IP 10.0.0.1 y el próximo salto 10.0.0.2. No es necesario realizar ningún cambio. Cuando es necesario enviar un paquete por el vínculo de cable, este se origina en 10.0.0.1 y se reenvía al dispositivo que responde a ARP para 10.0.0.2 (FW1). Los paquetes de retorno se destinan a 10.0.0.1 y se identifican como llegados al vínculo de cable.
- Se define el vínculo DSL y, debido a que es el segundo vínculo WAN, SD-WAN Orchestrator marca la dirección IP y el próximo salto como elementos de configuración obligatorios. El usuario especifica una IP virtual personalizada (p. ej., 10.0.0.4) para la dirección IP de origen y 10.0.0.3 para el próximo salto. Cuando es necesario enviar un paquete por el vínculo DSL, este se origina en 10.0.0.4 y se reenvía al dispositivo que responde a ARP para 10.0.0.3 (FW2). Los paquetes de retorno se destinan a 10.0.0.4 y se identifican como llegados al vínculo DSL.
- Caso 2: Dos vínculos WAN conectados a un conmutador/enrutador de capa 3. Alternativamente, el dispositivo ascendente puede ser un enrutador o un conmutador de capa 3. En este caso, el dispositivo de próximo salto es el mismo (el conmutador) para los dos vínculos WAN en lugar de ser dos distintos (los firewalls) como en el ejemplo anterior. A menudo, esto se usa cuando el firewall se encuentra en el lado de LAN de SD-WAN Edge.
En esta topología, se utiliza el enrutamiento basado en directivas para dirigir los paquetes al vínculo WAN adecuado. Este direccionamiento puede ser realizado mediante una dirección IP o una etiqueta VLAN, por lo que se admiten ambas opciones.
Direccionamiento por IP: si el dispositivo de capa 3 admite el enrutamiento basado en directivas por dirección IP de origen, ambos dispositivos pueden residir en la misma red VLAN. En este caso, la única configuración requerida es una dirección IP de origen personalizada para diferenciar los dispositivos.
En el siguiente párrafo, se describe la forma de definir la configuración final.- La interfaz se define con la dirección IP 10.0.0.1 y el próximo salto 10.0.0.2. Debido a que existe más de un vínculo WAN asociado a la interfaz, los vínculos se establecen como “definidos por el usuario”.
- Se define el vínculo de cable, el cual hereda la dirección IP 10.0.0.1 y el próximo salto 10.0.0.2. No es necesario realizar ningún cambio. Cuando es necesario enviar un paquete por el vínculo de cable, este se origina en 10.0.0.1 y se reenvía al dispositivo que responde a ARP para 10.0.0.2 (conmutador de capa 3). Los paquetes de retorno se destinan a 10.0.0.1 y se identifican como llegados al vínculo de cable.
- Se define el vínculo DSL y, debido a que es el segundo vínculo WAN, SD-WAN Orchestrator marca la dirección IP y el próximo salto como elementos de configuración obligatorios. El usuario especifica una IP virtual personalizada (por ejemplo, 10.0.0.3) para la dirección IP de origen y la misma 10.0.0.2 para el próximo salto. Cuando es necesario enviar un paquete por el vínculo DSL, este se origina en 10.0.0.3 y se reenvía al dispositivo que responde a ARP para 10.0.0.2 (conmutador de capa 3). Los paquetes de retorno se destinan a 10.0.0.3 y se identifican como llegados al vínculo DSL.
Direccionamiento por VLAN: si el dispositivo de capa 3 no es compatible con el enrutamiento de origen o si el usuario decide por algún motivo asignar VLAN separadas al vínculo de cable y al vínculo DSL, es necesario configurar esto.
- Se define la interfaz con la dirección IP 10.100.0.1 y el próximo salto 10.100.0.2 en la red VLAN 100. Como existe más de un vínculo WAN asociado a la interfaz, los vínculos se establecen como “definidos por el usuario”.
- Se define el vínculo de cable, el cual hereda VLAN 100, así como la dirección IP 10.100.0.1 y el próximo salto 10.100.0.2. No es necesario realizar ningún cambio. Cuando es necesario enviar un paquete por el vínculo de cable, este se origina en 10.100.0.1, se etiqueta con VLAN 100 y se reenvía al dispositivo que responde a ARP para 10.100.0.2 en la red VLAN 100 (conmutador de capa 3). Los paquetes de retorno se destinan a 10.100.0.1/VLAN 100 y se identifican como llegados al vínculo de cable.
- Se define el vínculo DSL y, debido a que es el segundo vínculo WAN, SD-WAN Orchestrator marca la dirección IP y el próximo salto como elementos de configuración obligatorios. El usuario especifica un identificador de VLAN personalizado (200), así como una IP virtual (p. ej., 10.200.0.1) para la dirección IP de origen y 10.200.0.2 para el próximo salto. Cuando es necesario enviar un paquete por el vínculo DSL, este se origina en 10.200.0.1, se etiqueta con VLAN 200 y se reenvía al dispositivo que responde a ARP para 10.200.0.2 en la red VLAN 200 (conmutador de capa 3). Los paquetes de retorno se destinan a 10.200.0.1/VLAN 200 y se identifican como llegados al vínculo DSL.
- Caso 3: Implementaciones de una sección. Las implementaciones de una sección acaban siendo muy similares a otras implementaciones de capa 3. De nuevo, SD-WAN Edge comparte el mismo próximo salto para ambos vínculos WAN. Se puede realizar un enrutamiento basado en directivas para garantizar que el tráfico se reenvíe al destino apropiado como se definió anteriormente. De forma alternativa, la dirección IP de origen y la red VLAN para los objetos de vínculo WAN de VMware pueden ser las mismas que las de la red VLAN de los vínculos de cable y DSL para que el enrutamiento sea automático.
- Caso 4: Un vínculo WAN al que se puede acceder a través de varias interfaces. Considere la topología de sitio Oro tradicional en la que se puede acceder a MPLS a través de dos rutas alternativas. En este caso, es necesario definir una dirección IP de origen personalizada y un próximo salto que se puedan compartir independientemente de la interfaz que se utilice para la comunicación.
- Se define GE1 con la dirección IP 10.10.0.1 y el próximo salto 10.10.0.2.
- Se define GE2 con la dirección IP 10.20.0.1 y el próximo salto 10.20.0.2.
- Se define MPLS y se establece que se puede acceder a este a través de cualquiera de las interfaces. Esto hace que la dirección IP de origen y la dirección IP de próximo salto sean obligatorias y no tengan valores predeterminados.
- Se definen la dirección IP de origen y el destino, que se pueden utilizar para la comunicación independientemente de la interfaz que se utilice. Cuando es necesario enviar un paquete por el vínculo MPLS, este se origina en 169.254.0.1, se etiqueta con la red VLAN configurada y se reenvía al dispositivo que responde a ARP para 169.254.0.2 en la red VLAN configurada (enrutador CE). Los paquetes de retorno se destinan a 169.254.0.1 y se identifican como llegados al vínculo MPLS.
Nota: Si no se habilitó OSPF ni BGP , es posible que deba configurar una red VLAN de tránsito que sea la misma en ambos conmutadores para habilitar la accesibilidad de esta IP virtual.
Configuración de la interfaz
Al hacer clic en el vínculo Editar (Edit), se muestra un cuadro de diálogo para actualizar la configuración de una interfaz específica. En las siguientes secciones, se ofrece una breve descripción de los distintos cuadros de diálogo que se presentan para los tipos de interfaz y modelo de Edge.
Acceso de LAN Edge 500
A continuación, se muestran los parámetros de una interfaz LAN Edge 500 configurada como un puerto de acceso. Es posible elegir una red VLAN para el puerto y seleccionar los ajustes de capa 2 Autonegociación (Autonegotiate) (opción seleccionada de forma predeterminada), Velocidad (Speed), Tipo de dúplex (Duplex type) y Tamaño de MTU (MTU) (valor predeterminado 1500).
Tronco de LAN Edge 500
A continuación, se muestran los parámetros de una interfaz LAN Edge 500 configurada como un puerto de tronco. Es posible elegir redes VLAN para el puerto, definir la forma de gestionar los datos de VLAN sin etiquetar (enrutados a una VLAN específica o descartados), y seleccionar los ajustes de capa 2 Autonegociación (Autonegotiate) (opción seleccionada de forma predeterminada), Velocidad (Speed), Tipo de dúplex (Duplex type) y Tamaño de MTU (MTU) (valor predeterminado 1500).
Acceso de LAN Edge 1000
A continuación, se muestran los parámetros de una interfaz LAN Edge 1000 configurada como un puerto de acceso conmutado. Es posible elegir una red VLAN para el puerto y seleccionar los ajustes de capa 2 Autonegociación (Autonegotiate) (opción seleccionada de forma predeterminada), Velocidad (Speed), Tipo de dúplex (Duplex type) y Tamaño de MTU (MTU) (valor predeterminado 1500).
Tronco de LAN Edge 1000
A continuación, se muestran los parámetros de una interfaz LAN Edge 1000 configurada como un puerto de tronco. Es posible elegir redes VLAN para el puerto, definir la forma de gestionar los datos de VLAN sin etiquetar (enrutados a una VLAN específica o descartados), y seleccionar los ajustes de capa 2 Autonegociación (Autonegotiate) (opción seleccionada de forma predeterminada), Velocidad (Speed), Tipo de dúplex (Duplex type) y Tamaño de MTU (MTU) (valor predeterminado 1500).
WAN Edge 500
A continuación, se muestran los parámetros de una interfaz WAN Edge 500 con Capacidad (Capability) = Enrutada (Routed). Es posible elegir el tipo de direccionamiento (DHCP, PPPoE o estático), definir una superposición de WAN (definida por el usuario o detectada automáticamente), habilitar OSPF, habilitar el tráfico directo de NAT, y seleccionar los ajustes de capa 2 Autonegociación (Autonegotiate) (opción seleccionada de forma predeterminada), Velocidad (Speed), Tipo de dúplex (Duplex type) y Tamaño de MTU (MTU) (valor predeterminado 1500).
WAN Edge 1000
A continuación, se muestran los parámetros de una interfaz WAN Edge 1000 con Capacidad (Capability) = Enrutada (Routed). Es posible elegir el tipo de direccionamiento (DHCP, PPPoE o estático), definir una superposición de WAN (definida por el usuario o detectada automáticamente), habilitar OSPF, habilitar el tráfico directo de NAT, y seleccionar los ajustes de capa 2 Autonegociación (Autonegotiate) (opción seleccionada de forma predeterminada), Velocidad (Speed), Tipo de dúplex (Duplex type) y Tamaño de MTU (MTU) (valor predeterminado 1500).
WLAN Edge 500
Al principio, se definen dos redes Wi-Fi para SD-WAN Edge 500: una como una red corporativa y otra como una red de invitado que inicialmente se encuentra deshabilitada. Se pueden definir redes inalámbricas adicionales, cada una con una VLAN específica, un SSID y una configuración de seguridad.
Seguridad para conexiones Wi-Fi
La seguridad de las conexiones Wi-Fi puede ser de uno de los siguientes tres tipos:
Tipo | Descripción |
---|---|
Abrir (Open) | No se aplica ninguna seguridad. |
WPA2/Personal (WPA2 / Personal) | Se utiliza una contraseña para autenticar al usuario. |
WPA2/Empresarial (WPA2/Enterprise) | Se utiliza un servidor RADIUS para autenticar al usuario. En este escenario, se debe configurar un servidor RADIUS en Servicios de red (Network Services) y se debe seleccionar el servidor RADIUS en la sección Configuración de autenticación de perfil (Profile Authentication Settings) de la página Dispositivo (Device). Los ajustes predeterminados de seguridad también se pueden anular en la página Dispositivo Edge (Edge Device). |