Descripción general

Para configurar SD-WAN Edge en una configuración de dos secciones:

1. Configurar y activar Hub 1
2. Configurar y activar Hybrid Site-1
3. Activar el túnel de sucursal a hub (de Hybrid Site-1 a Hub 1)
4. Configurar y activar un sitio de solo WAN pública
5. Configurar y activar Hub 2
6. Configurar y activar Hybrid Site-2

En las siguientes secciones, se describen los pasos de forma más detallada.

Configurar y activar Hub 1

Este paso permite comprender el flujo de trabajo típico para mostrar SD-WAN Edge en la ubicación del hub. SD-WAN Edge se implementa con dos interfaces (una interfaz para cada vínculo WAN).

A continuación, se muestra un ejemplo de la información de cableado y dirección IP.

Activar SD-WAN Edge en el perfil predeterminado

1. Inicie sesión en SASE Orchestrator.
2. El perfil de VPN predeterminado permite la activación de SD-WAN Edge.

Activar SD-WAN Edge de Hub 1

1. Vaya a Configurar (Configure) > Instancias de Edge (Edges) y agregue una nueva instancia de SD-WAN Edge. Especifique el modelo y el perfil correctos (se utiliza el perfil de VPN de sucursal).
2. Vaya a la instancia de SD-WAN Edge en el hub (DC1-VCE) y siga el proceso de activación normal. Si ya tiene configurada la función de correo electrónico, se enviará un correo electrónico de activación a esa dirección de correo electrónico. De lo contrario, puede ir a la página de configuración del dispositivo para obtener la URL de activación.
3. Copie la URL de activación y péguela en el navegador del PC conectado a SD-WAN Edge o simplemente haga clic en la URL de activación desde el navegador del PC.
4. Haga clic en el botón Activar (Activate).
5. Ahora, el hub de centro de datos DC1-VCE debería estar activo. Vaya a Supervisar (Monitor) > Instancias de Edge (Edges). Haga clic en la pestaña Información general de Edge (Edge Overview). Se detectará la capacidad del vínculo WAN público junto con la dirección IP pública 238.162.42.202 y el ISP correctos.

   

6. Vaya a Configurar (Configure) > Instancias de Edge (Edges) y seleccione DC1-VCE. Vaya a la pestaña Dispositivo (Device) y desplácese hacia abajo hasta Configuración de interfaz (Interface Settings).

   Verá que el proceso de registro notifica a SASE Orchestrator sobre la puerta de enlace y la dirección IP de WAN estática que se configuraron a través de la interfaz de usuario local. La configuración de SASE Orchestrator se actualizará según corresponda.

7. Desplácese hacia abajo hasta la sección Configuración de WAN (WAN Settings). El tipo de vínculo debe identificarse automáticamente como Público cableado (Public Wired).

Configurar el vínculo WAN privado en SD-WAN Edge de Hub 1

1. Configure la interfaz de WAN privada para Edge de MPLS directamente desde SASE Orchestrator. Vaya a Configurar (Configure) > Instancias de Edge (Edges) y elija DC1-VCE. Vaya a la pestaña Dispositivo (Device) y desplácese hacia abajo hasta la sección Configuración de interfaz (Interface Settings). Configure la dirección IP estática en GE3 como 172.31.2.1/24 y la puerta de enlace predeterminada 172.31.2.2. En Superposición de WAN (WAN Overlay), seleccione Superposición definida por el usuario (User Defined Overlay). Esto nos permitirá definir manualmente un vínculo WAN en el siguiente paso.
2. En Configuración de WAN (WAN Settings), haga clic en el botón Agregar superposición de WAN definida por el usuario (Add User Defined WAN Overlay) (consulte la siguiente captura de pantalla).
3. Defina la superposición de WAN para la ruta de MPLS. En Tipo de vínculo (Link Type), seleccione Privado (Private) y especifique la dirección IP de próximo salto (172.31.2.2) para el vínculo WAN en el campo Dirección IP (IP Address). Elija GE3 como la interfaz. Haga clic en el botón Avanzado (Advanced).

   Sugerencia: El sitio de hub suele tener más ancho de banda que las sucursales. Si se elige que el ancho de banda se detecte de forma automática, el sitio de hub ejecutará una prueba de ancho de banda con el primer nodo del mismo nivel, por ejemplo, la primera sucursal que se active, y terminará detectando un ancho de banda de WAN incorrecto. Para el sitio de hub, siempre se debe definir manualmente el ancho de banda de WAN; eso se hace en la configuración avanzada.

4. El ancho de banda de WAN privado se especifica en la configuración avanzada. En la captura de pantalla a continuación se muestra un ejemplo de ancho de banda ascendente y descendente de 5 Mbps para un vínculo de MPLS simétrico en el hub.
5. Valide que se haya configurado el vínculo WAN y guarde los cambios.

   Completó la configuración de SD-WAN Edge en el hub. No verá la superposición de MPLS definida por el usuario que acaba de agregar hasta que active una instancia de SD-WAN Edge de sucursal.

Configurar una ruta estática a una red LAN detrás de un conmutador de capa 3

Agregue una ruta estática a la subred 172.30.0.0/24 a través del conmutador de capa 3. Debe especificar la interfaz GE3 para el enrutamiento al próximo salto. Asegúrese de seleccionar la casilla de verificación Anunciar (Advertise) para que otras instancias de SD-WAN Edge puedan obtener información sobre esta subred detrás del conmutador de capa 3. Para obtener más información, consulte Configurar ajustes de ruta estática.

Configurar y activar Hybrid Site-1

Este paso permite comprender el flujo de trabajo típico para insertar una instancia de SD-WAN Edge en un Hybrid Site-1. La instancia de SD-WAN Edge se inserta fuera de la ruta y se basa en el conmutador de capa 3 para redirigir el tráfico hacia ella. A continuación, se muestra un ejemplo de la información de cableado y dirección IP:

Configurar el vínculo WAN privado en SD-WAN Edge de Hybrid Site-1

En este punto, es necesario crear conectividad IP desde SD-WAN Edge hacia el conmutador de capa 3.

1. Vaya a Configurar > Instancias de Edge (Configure > Edges), seleccione Hybrid Site-1-VCE, vaya a la pestaña Dispositivo (Device) y desplácese hasta la sección Configuración de interfaz (Interface Settings). Configure la IP estática en GE3 como 10.12.1.1/24 y la puerta de enlace predeterminada de de 10.12.1.2. En Superposición de WAN (WAN Overlay), seleccione Superposición definida por el usuario (User Defined Overlay). Esto permite definir un vínculo WAN de forma manual.
2. En la sección Configuración de WAN (WAN Settings), haga clic en Agregar superposición de WAN definida por el usuario (Add User Defined WAN Overlay).
3. Defina la superposición de WAN para la ruta de MPLS. En Tipo de vínculo (Link Type), seleccione Privado (Private). Especifique la dirección IP de próximo salto (10.12.1.2) para el vínculo WAN en el campo Dirección IP (IP Address). Elija GE3 como la interfaz. Haga clic en el botón Avanzado (Advanced). Sugerencia: como ya se configuró el hub, es correcto detectar automáticamente el ancho de banda. Esta sucursal ejecutará una prueba de ancho de banda con el hub para detectar su ancho de banda de vínculo.
4. Establezca Medición de ancho de banda (Bandwidth Measurement) en Medir ancho de banda (Measure Bandwidth). Esto hará que la instancia de SD-WAN Edge de sucursal ejecute una prueba de ancho de banda con la instancia de SD-WAN Edge de hub, al igual que ocurre cuando se conecta a SD-WAN Gateway.
5. Valide que se haya configurado el vínculo WAN y guarde los cambios.

Configurar una ruta estática a una red LAN detrás de un conmutador de capa 3

Agregue una ruta estática a 192.168.128.0/24 a través del conmutador de capa 3. Debe especificar la interfaz GE3. Asegúrese de seleccionar la casilla de verificación Anunciar (Advertise) para que otras instancias de SD-WAN Edge obtengan información sobre esta subred detrás del conmutador de capa 3.

Activar el túnel de sucursal a hub (de Hybrid Site-1 a Hub 1)

Este paso permite crear el túnel de superposición de la sucursal al hub. Tenga en cuenta que, en este punto, es posible que vea el vínculo activo, pero este es el túnel a SD-WAN Gateway a través de la ruta a Internet y no el túnel al hub. Debemos activar la función VPN de nube para poder establecer el túnel desde la sucursal hacia el hub.

Ahora está listo para crear el túnel desde la sucursal hacia el hub.

Activar la función VPN de nube y la instancia de Edge para el túnel de SD-WAN Hub

1. Vaya a Configurar (Configure) > Perfiles (Profiles), seleccione Perfil de VPN de sucursal (Branch VPN Profile) y desplácese hasta la pestaña Dispositivo (Device). En Servicio de VPN (VPN Service), active la VPN de nube y haga lo siguiente:
   • En Sitio de sucursal a hub (VPN permanente) [Branch to Hub Site (Permanent VPN)], active la casilla de verificación Habilitar (Enable).
   • En VPN de sucursal a sucursal (de tránsito y dinámica) [Branch to Branch VPN (Transit & Dynamic)], active la casilla de verificación Habilitar (Enable).
   • En VPN de sucursal a sucursal (de tránsito y dinámica) [Branch to Branch VPN (Transit & Dynamic)], active la casilla de verificación Hubs para VPN (Hubs for VPN). Al hacerlo, se desactivará el plano de datos a través de la instancia de SD-WAN Gateway para VPN de sucursal a sucursal. El tráfico de sucursal a sucursal pasará primero por uno de los hubs (en la lista ordenada que se especificará a continuación), mientras se establece el túnel de sucursal a sucursal.
   Haga clic en el botón Designación de hubs (Hubs Designation) > Editar hubs (Edit Hubs). A continuación, mueva DC1-VCE a la derecha. Esto determinará que DC1-VCE sea un SD-WAN Hub. Haga clic en el elemento DC1-VCE en los hubs y, a continuación, haga clic en los botones Habilitar hubs de red de retorno (Enable Backhaul Hubs) y Habilitar hubs de VPN B2B (Enable B2B VPN Hubs). Utilizaremos el mismo DC1-VCE para el tráfico de sucursal a sucursal y el tráfico de Internet de una red de retorno al hub. En la sección VPN de nube (Cloud VPN), DC1-VCE se mostrará como dos instancias de Instancias de SD-WAN Hub y se utilizará para los hubs de VPN de sucursal a sucursal.
2. En este punto, se debería mostrar el túnel directo entre las instancias de SD-WAN Edge de la sucursal y del hub. Ahora, el comando de depuración muestra también el túnel directo entre la sucursal y el hub.

Configurar y activar un sitio de solo WAN pública

Este paso permite crear un sitio de solo WAN pública, es decir, un sitio de Internet doble con un DIA y una banda ancha. Configure la red LAN de la instancia de SD-WAN Edge Sitio de solo WAN pública-VCE (Public WAN only Site-VCE) y active la instancia de SD-WAN Edge. No se requiere ninguna configuración en la red WAN, ya que se utiliza DHCP para las dos interfaces de WAN.

Configurar y activar Hub 2

Este paso permite configurar la opción "Dirigir por dirección IP (Steer by IP address)" que se usa comúnmente en las implementaciones de hub de una sección. A continuación, se muestra un ejemplo de la información de cableado y dirección IP. Con la implementación de una sección, se puede utilizar la misma IP de origen del túnel para crear superposición en diferentes rutas.

Configurar SD-WAN Edge de Hub 2 para acceder a Internet

1. Conecte un PC a la instancia de SD-WAN Edge y utilice el navegador para apuntar a http://192.168.2.1.
2. Configure la primera interfaz de WAN (GE2) para configurar la instancia de SD-WAN Edge de hub para acceder a Internet.

   

Agregar SD-WAN Edge de Hub 2 a SASE Orchestrator y activar

En este paso, creará la segunda instancia de SD-WAN Edge de hub, denominada DC2.VCE.

1. En SASE Orchestrator, vaya a Configurar (Configure) > Instancias de Edge (Edges) y seleccione Nueva instancia de Edge (New Edge) para agregar una nueva instancia de SD-WAN Edge.
2. Vaya a Configurar (Configure) > Instancias de Edge (Edges), seleccione la instancia de SD-WAN Edge que acaba de crear y, a continuación, vaya a la pestaña Dispositivo (Device) para configurar la misma interfaz y dirección IP que configuró en el paso anterior.
   Importante: Como aquí se implementa la instancia de SD-WAN Edge en el modo de una sección (una misma interfaz física, pero varios túneles procedentes de esta interfaz), es importante especificar que la superposición de WAN sea definida por el usuario.
3. En este punto, es necesario crear la superposición. En Configuración de WAN (WAN Settings), haga clic en Agregar superposición de WAN definida por el usuario (Add User Defined WAN Overlay).
4. Cree una superposición en el vínculo público. En este ejemplo, se utilizará la dirección IP de próximo salto 172.29.0.4 para acceder a Internet a través del firewall. El firewall ya está configurado para procesar por NAT el tráfico a 209.116.155.31.
5. Agregue la segunda superposición en la red privada. En este ejemplo, se especificará el enrutador de próximo salto 172.29.0.1 y el ancho de banda, ya que este es el segmento de MPLS y DC2-VCE es un hub. Agregue una ruta estática a la subred en el lado de LAN, 172.30.128.0/24, a través de GE2.
6. Active la instancia de SD-WAN Edge. Después de que la activación se realice correctamente, regrese a la pestaña Dispositivo (Device) de la configuración en el nivel de Edge. Observe que el campo Dirección IP pública (Public IP) ahora se encuentra rellenado. Ahora debería ver los vínculos en Supervisar (Monitor) > Instancias de Edge (Edges), en la pestaña Descripción general (Overview).

Agregar SD-WAN Edge de Hub 2 a la lista de hubs en el perfil de VPN de sucursal

1. Vaya a Configurar (Configure) > Perfiles (Profiles) y seleccione VPN de inicio rápido (Quick Start VPN).
2. Vaya a la pestaña Dispositivo (Device) y agregue esta nueva instancia de SD-WAN Edge a una lista de hubs.

Configurar y activar Hybrid Site-2

Este paso permite crear un Hybrid Site-1, es decir, un sitio híbrido, donde la instancia de SD-WAN Edge se encuentra detrás del enrutador CE y SD-WAN Edge es el enrutador predeterminado de la red LAN. A continuación, se muestra un ejemplo de la información de cableado y dirección IP para cada hardware.

Conecte un PC a la red LAN o Wi-Fi de SD-WAN Edge y utilice el navegador para apuntar a http://192.168.2.1.

Para obtener más información sobre la activación en instancias de Edge, consulte Activar Instancias de SD-WAN Edge.