Présentation

Pour configurer le dispositif SD-WAN Edge dans une configuration à deux bras, voici les étapes à suivre :

1. Configurer et activer le Hub 1
2. Configurer et activer le site Silver 1
3. Activer le tunnel branche-vers-Hub (Silver 1 vers Hub 1)
4. Configurer et activer le site Bronze 1
5. Configurer et activer le Hub 2
6. Configurer et activer le site Silver 2

Les sections suivantes décrivent les étapes plus en détail.

Configurer et activer le Hub 1

Cette étape vous aide à comprendre le workflow typique d'insertion du dispositif SD-WAN Edge à l'emplacement du Hub. SD-WAN Edge est déployé avec deux interfaces (une interface pour chaque liaison WAN).

Vous allez utiliser le dispositif Edge virtuel comme Hub. Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP.

Configurer et activer le Hub 1 SD-WAN Edge pour accéder à Internet

Étant donné qu'il s'agit du site du centre de données/Hub, il est peu probable que le dispositif SD-WAN Edge puisse obtenir son adresse IP WAN à l'aide de DHCP. Par conséquent, vous devrez d'abord activer le dispositif SD-WAN Edge pour la connexion à Internet via le pare-feu du centre de données afin que le dispositif SD-WAN Edge puisse être activé.

1. Configurez un PC avec une adresse IP statique 192.168.2.100/24 et une passerelle 192.168.2.1 qui est le paramètre LAN par défaut pour accéder à un dispositif SD-WAN Edge. Connectez le PC à l'interface LAN du dispositif SD-WAN Edge.
2. À partir du PC, accédez à http://192.168.2.1 (interface Web locale du dispositif SD-WAN Edge). Cliquez sur le lien vérifier la configuration (review the configuration).

   

3. Configurez l'adresse IP WAN statique de GE2 et la passerelle par défaut du dispositif SD-WAN Edge afin qu'il puisse accéder à Internet.

   Cliquez sur Enregistrer (Save) et indiquez la connexion/le mot de passe admin/admin.

   En général, sur le site du centre de données/Hub, l'adresse IP statique vous sera attribuée et l'administrateur informatique de l'entreprise configurera le pare-feu pour convertir l'adresse IP WAN du dispositif SD-WAN Edge en adresse IP publique et filtrer également le trafic approprié (sortant : TCP/443, entrant : UDP/2426, UDP/500, UDP/4500).

   

4. À ce stade, l'état Internet doit indiquer Connecté (Connected).

   Lorsque la configuration de l'adresse IP WAN statique du dispositif SD-WAN Edge et la configuration du pare-feu associée sont terminées, l'état Internet du dispositif SD-WAN Edge indique Connecté (Connected).

   

Activer le dispositif SD-WAN Edge virtuel dans le profil par défaut

1. Connectez-vous au composant SD-WAN Orchestrator.
2. Le profil VPN par défaut permet l'activation du dispositif SD-WAN Edge 500.

Activer le Hub 1 SD-WAN Edge

1. Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et ajoutez un nouveau dispositif SD-WAN Edge. Spécifiez le modèle et le profil corrects (nous utilisons ici le profil VPN à démarrage rapide).
2. Accédez au Hub SD-WAN Edge (DC1-VCE) et suivez le processus d'activation normal. Si la fonctionnalité de messagerie est déjà configurée, un e-mail d'activation est envoyé à cette adresse e-mail. Dans le cas contraire, vous pouvez accéder à la page Paramètres du périphérique (Device Settings) pour accéder à l'URL d'activation.
3. Copiez l'URL d'activation et collez-la dans le navigateur de l'ordinateur connecté au dispositif SD-WAN Edge ou cliquez simplement sur l'URL d'activation depuis le navigateur du PC.
4. Cliquez sur le bouton Activer (Activate).
5. À présent, le Hub du centre de données DC1-VCE doit être opérationnel. Accédez à Surveiller (Monitor) > Dispositifs Edge (Edges). Cliquez sur l'onglet Présentation du dispositif Edge (Edge Overview). La capacité de la liaison WAN publique est détectée avec l'adresse IP publique 71.6.4.9 et l'ISP corrects.

   

6. Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et sélectionnez DC1-VCE. Accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres de l'interface (Interface Settings).

   Le processus d'inscription indique à SD-WAN Orchestrator l'adresse IP WAN statique et la passerelle qui a été configurée via l'interface utilisateur locale. La configuration sur VMware est mise à jour en conséquence.

   

7. Faites défiler jusqu'à la section Paramètres WAN (WAN Settings). Le type de liaison doit être automatiquement identifié comme Liaison filaire publique (Public Wired).

   

Configurez la liaison WAN privée sur le Hub 1 SD-WAN Edge

1. Configurez l'interface WAN du dispositif MPLS Edge privée directement à partir de SD-WAN Orchestrator. Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et sélectionnez DC1-VCE. Accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres de l'interface (Interface Settings). Configurez l'adresse IP statique de GE3 sur 172.31.2.1/24 et la passerelle par défaut sur 172.31.2.2. Sous Superposition WAN (WAN Overlay), sélectionnez Superposition définie par l'utilisateur (User Defined Overlay). Cela nous permettra de définir manuellement une liaison WAN à l'étape suivante.

   

2. Sous Paramètres WAN (WAN Settings), cliquez sur le bouton Ajouter une superposition WAN définie par l'utilisateur (Add User Defined WAN Overlay) (reportez-vous à la capture d'écran suivante).

   

3. Définissez la superposition WAN pour le chemin MPLS. Sélectionnez le Type de liaison (Link Type) Privée (Private), puis spécifiez l'adresse IP du tronçon suivant (172.31.2.2) de la liaison WAN dans le champ Adresse IP (IP Address). Choisissez GE3 comme interface. Cliquez sur le bouton Avancé (Advanced).

   

   Astuce : le site du Hub dispose normalement d'une plus grande bande passante que les branches. Si nous choisissons l'option de détection automatique de la bande passante, le site du Hub exécutera un test de bande passante avec son premier homologue, par exemple la première branche qui s'affiche, et mettra fin à la découverte d'une bande passante WAN incorrecte. Pour le site du Hub, vous devez toujours définir manuellement la bande passante WAN à l'aide des paramètres avancés.

4. La bande passante WAN privée est spécifiée dans les paramètres avancés. La capture d'écran ci-dessous montre un exemple de bande passante en amont et en aval de 5 Mbits/s pour une liaison MPLS symétrique au niveau du Hub.

   

5. Confirmez que la liaison WAN est bien configurée et enregistrez les modifications.

   

   Vous avez terminé la configuration du dispositif SD-WAN Edge sur le Hub. Vous ne verrez pas la superposition MPLS définie par l'utilisateur que vous venez d'ajouter tant que vous n'aurez pas activé un dispositif SD-WAN Edge de branche.

(Facultatif) Configurer l'interface LAN avec l'adresse IP de gestion

1. Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et sélectionnez DC1-VCE.
2. Accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres VLAN (VLAN Settings).
3. Cliquez sur Modifier (Edit) et configurez l'adresse IP de l'interface.

   

Configurer une route statique vers un réseau LAN derrière un commutateur L3

Ajoutez une route statique au sous-réseau 172.30.0.0/24 via le commutateur L3. Vous devez spécifier l'interface GE3 à utiliser pour le routage vers le tronçon suivant. Veillez à cocher la case Annoncer (Advertise) pour que d'autres dispositifs SD-WAN Edges puissent découvrir ce sous-réseau derrière le commutateur L3 (voir la capture d'écran suivante).

Configurer et activer le site Silver 1

Cette étape vous aide à comprendre le workflow typique d'insertion du dispositif SD-WAN Edge sur un site Silver. Le dispositif SD-WAN Edge est inséré en dehors du chemin d'accès et repose sur le commutateur L3 pour rediriger le trafic vers lui. Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP.

Activez le dispositif SD-WAN Edge de la branche du site Silver 1.

Dans cet exemple, nous partons du principe que le dispositif SD-WAN Edge obtient son adresse IP publique à l'aide de DHCP, de sorte qu'il n'y a aucune configuration requise. SD-WAN Edge est fourni avec la configuration par défaut pour utiliser DHCP sur toutes les interfaces acheminées.

1. Créez un dispositif Edge SILVER1-DCE et sélectionnez le modèle et le profil de configuration appropriés (voir l'image ci-dessous).

   

2. Activez ce dispositif SD-WAN Edge en connectant un PC à son réseau LAN ou Wi-Fi.
3. Le dispositif SD-WAN Edge doit maintenant être actif dans SD-WAN Orchestrator avec une liaison publique. Nous pouvons maintenant configurer la liaison WAN privée.

Configurer la liaison WAN privée sur le dispositif SD-WAN Edge du site Silver 1

À ce stade, nous devons créer la connectivité IP entre le dispositif SD-WAN Edge et le commutateur L3.

1. Accédez à Configurer (Configure) > Dispositifs Edge (Edges), sélectionnez SILVER1-VCE, puis accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres de l'interface (Interface Settings). Configurez l'adresse IP statique sur GE3 en tant que 10.12.1.1/24 et la passerelle par défaut de 10.12.1.2. Sous Superposition WAN (WAN Overlay), sélectionnez Superposition définie par l'utilisateur (User Defined Overlay). Cela nous permettra de définir manuellement une liaison WAN à l'étape suivante.

   

2. Dans la section Paramètres WAN (WAN Settings), cliquez sur Ajouter une superposition WAN définie par l'utilisateur (Add User Defined WAN Overlay).
3. Définissez la superposition WAN pour le chemin MPLS. Sélectionnez le Type de liaison (Link Type) Privée (Private). Spécifiez l'adresse IP du tronçon suivant (10.12.1.2) de la liaison WAN dans le champ Adresse IP (IP Address). Choisissez GE3 comme interface. Cliquez sur le bouton Avancé (Advanced).

   

   Astuce : étant donné que le Hub a déjà été configuré, il est pertinent de choisir la découverte automatique de la bande passante. Cette branche va exécuter un test de bande passante avec le Hub pour découvrir sa bande passante de liaison.
4. Définissez le paramètre Mesure de bande passante (Bandwidth Measurement) sur Mesurer la bande passante (Measure Bandwidth). Cela permet au dispositif SD-WAN Edge de la branche d'exécuter un test de bande passante avec le Hub SD-WAN Edge, exactement comme ce qui se passe lorsqu'il se connecte à l'instance de SD-WAN Gateway.
5. Confirmez que la liaison WAN est bien configurée et enregistrez les modifications (reportez-vous à la capture d'écran suivante).

   

(Facultatif) Configurer l'interface LAN avec l'adresse IP de gestion

1. Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et sélectionnez SILVER1-VCE. Accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres VLAN (VLAN Settings). Cliquez sur Modifier (Edit). Configurez l'adresse IP du réseau local et les interfaces de gestion.

Configurer une route statique vers un réseau LAN derrière un commutateur L3

Ajoutez une route statique au sous-réseau  192.168.128.0/24 via le commutateur L3. Vous devez spécifier l'interface GE3. Veillez à cocher la case Annoncer (Advertise) pour que d'autres dispositifs SD-WAN Edges découvrent ce sous-réseau derrière le commutateur L3 (voir la capture d'écran suivante).

Activer le tunnel branche vers Hub (Silver 1 vers Hub 1)

Cette étape vous permet de créer le tunnel de superposition depuis la branche dans le Hub. À ce stade, vous pouvez voir que la liaison est active, mais il s'agit du tunnel vers l'instance de SD-WAN Gateway sur le chemin Internet et non du tunnel vers le Hub. Nous devons activer le VPN cloud pour permettre l'établissement du tunnel de la branche vers le Hub.

Vous êtes maintenant prêt à créer le tunnel depuis la branche dans le Hub.

Activer le VPN cloud et le tunnel du dispositif Edge vers le SD-WAN Hub

1. Étape 1 : Accédez à Configurer (Configure) > Profils (Profiles), sélectionnez Profil VPN à démarrage rapide (Quick Start VPN Profile) et accédez à l'onglet Périphérique (Device). Activez le VPN cloud et procédez comme suit.
   • Sous Branche vers Hubs (Branch to Hubs), cochez la case Activer (Enable).
   • Sous VPN branche vers branche (Branch to Branch VPN), cochez la case Activer (Enable).
   • Sous VPN branche vers branche (Branch to Branch VPN), décochez la case Utiliser les passerelles cloud (Use Cloud Gateways). Cela désactivera le plan de données via l'instance de SD-WAN Gateway pour le VPN branche vers branche. Le trafic branche vers branche passera d'abord par l'un des Hubs (dans la liste ordonnée que vous allez spécifier ensuite) lors de l'établissement du tunnel direct branche vers branche.
   Cliquez sur le bouton Sélectionner les Hubs. Ensuite, déplacez DC1-VCE vers la droite. Cette opération désigne DC1-VCE comme étant un SD-WAN Hub. Cliquez sur DC1-VCE dans les Hubs, puis cliquez à la fois sur le bouton Activer les Hubs de liaison (Enable Backhaul Hubs) et Activer les Hubs VPN B2B (Enable B2B VPN Hubs). Nous utiliserons le même DC1-VCE pour le trafic branche vers branche et le trafic de déroutement Internet vers le Hub. Dans la section VPN cloud (Cloud VPN), DC1-VCE est maintenant affiché comme SD-WAN Hubs et il est utilisé pour les Hubs de VPN branche vers branche.
2. À ce stade, le tunnel direct entre la branche et le dispositif SD-WAN Edges du Hub doit apparaître. La commande de débogage (Debug) affiche désormais également le tunnel direct entre la branche et le Hub. L'exemple ci-dessous provient SILVER1-VCE. Notez les tunnels supplémentaires vers 71.6.4.9 et 172.31.2.1. Il s'agit des tunnels directs vers les dispositifs SD-WAN Edge du Hub (GE2 sur l'Internet public et GE3 sur la liaison privée).

Configurer et activer le site Bronze 1

Cette étape permet de créer un site Bronze, c'est-à-dire un site double Internet avec une DIA et une large bande passante. Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP. LAN du dispositif BRONZE1-VCE SD-WAN Edge et activation du dispositif SD-WAN Edge. Aucune configuration n'est requise sur le réseau WAN, car DHCP est utilisé pour les deux interfaces WAN.

Configurer et activer le Hub 2

Cette étape vous permet de configurer la « direction par adresse IP » communément utilisée dans les déploiements de Hub à un bras. Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP. Avec le déploiement à un bras, la même adresse IP source du tunnel peut être utilisée pour créer une superposition sur des chemins différents.

Configurer le Hub 2 SD-WAN Edge pour accéder à Internet

1. Connectez un PC au dispositif SD-WAN Edge et utilisez le navigateur pour pointer vers http://192.168.2.1.
2. Configurez le Hub SD-WAN Edge pour accéder à Internet en configurant la première interface WAN, GE2.

   

Ajouter le Hub 2 SD-WAN Edge à SD-WAN Orchestrator et l'activer

Dans cette étape, vous allez créer le second dispositif SD-WAN Edge Hub, appelé DC2.VCE.

1. Sur SD-WAN Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges), sélectionnez Nouveau dispositif Edge (New Edge) pour ajouter un nouveau dispositif SD-WAN Edge.

   

2. Accédez à Configurer (Configure) > Dispositifs Edge (Edges), sélectionnez le dispositif SD-WAN Edge que vous venez de créer, puis accédez à l'onglet Périphérique (Device) pour configurer la même interface et la même adresse IP que celles que vous avez configurées à l'étape précédente.

   

   Important : Étant donné que nous déployons le dispositif SD-WAN Edge en mode à bras unique (même interface physique, mais plusieurs tunnels depuis cette interface), il est important de spécifier la superposition WAN pour qu'elle soit définie par l'utilisateur.
3. À ce stade, vous devez créer la superposition. Dans la section Paramètres WAN (WAN Settings), cliquez sur Ajouter une superposition WAN définie par l'utilisateur (Add User Defined WAN Overlay).
4. Créez une superposition sur la liaison publique. Dans notre exemple, nous allons utiliser l'adresse IP du tronçon suivant, 172.29.0.4, pour accéder à Internet via le pare-feu. Le pare-feu est déjà configuré pour acheminer via NAT le trafic à 209.116.155.31.
5. Ajoutez la deuxième superposition sur le réseau privé. Dans cet exemple, nous spécifions le routeur du tronçon suivant, 172.29.0.1, et nous spécifions également la bande passante, car il s'agit de la section MPLS et DC2-VCE est un Hub.

   

   Ajoutez une route statique au sous-réseau du côté réseau local, 172.30.128.0/24, via GE2 (voir la capture d'écran suivante).
6. Activez le dispositif SD-WAN Edge. Une fois l'activation terminée, revenez à l'onglet Périphérique (Device) sous la configuration du niveau Edge. Notez que le champ IP public (Public IP) est désormais renseigné. Vous devez maintenant voir les liaisons dans Surveiller (Monitor) > Dispositifs Edge (Edges), sous l'onglet Présentation (Overview).
7. (Facultatif) Configurez l'interface LAN avec l'adresse IP de gestion : accédez à Configurer (Configure) > Dispositifs Edge (Edges) et sélectionnez DC2-VCE. Accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres VLAN (VLAN Settings). Cliquez sur Modifier (Edit). Configurez l'adresse IP du réseau local et les interfaces de gestion.

Ajouter le Hub 2 SD-WAN Edge à la liste des Hubs dans le profil VPN à démarrage rapide

1. Accédez à Configurer (Configure) > Profils (Profiles) et sélectionnez le profil VPN de démarrage rapide (Quick Start VPN).
2. Accédez à l'onglet Périphérique (Device) et ajoutez ce nouveau dispositif SD-WAN Edge à une liste des Hubs.

Configurer et activer le site Silver 2

Cette étape vous aide à créer un site Silver, c'est-à-dire un site hybride qui dispose du dispositif SD-WAN Edge derrière le routeur CE et de SD-WAN Edge qui est aussi le routeur par défaut du réseau local. Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP pour chaque matériel.

Connectez un PC au réseau LAN ou Wi-Fi du dispositif SD-WAN Edge et utilisez le navigateur pour pointer vers  http://192.168.2.1.