Cette section fournit une vue d'ensemble de la configuration SD-WAN Edge dans une configuration à deux bras.

Présentation

Pour configurer le dispositif SD-WAN Edge dans une configuration à deux bras, voici les étapes à suivre :

  1. Configurer et activer le Hub 1
  2. Configurer et activer le site Silver 1
  3. Activer le tunnel site distant-vers-Hub (Silver 1 vers Hub 1)
  4. Configurer et activer le site Bronze 1
  5. Configurer et activer le Hub 2
  6. Configurer et activer le site Silver 2

Les sections suivantes décrivent les étapes plus en détail.

Configurer et activer le Hub 1

Cette étape vous aide à comprendre le workflow typique d'insertion du dispositif SD-WAN Edge à l'emplacement du Hub. SD-WAN Edge est déployé avec deux interfaces (une interface pour chaque lien WAN).

Vous allez utiliser le dispositif Edge virtuel comme Hub. Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP.

configure-activate-hub-1

Configurer le Hub 1 SD-WAN Edge pour accéder à Internet via l'interface utilisateur locale

Étant donné qu'il s'agit du site du centre de données/Hub, il est peu probable que le dispositif SD-WAN Edge puisse obtenir son adresse IP WAN à l'aide de DHCP. Par conséquent, vous devrez d'abord activer le dispositif SD-WAN Edge pour la connexion à Internet via le pare-feu du centre de données afin que le dispositif SD-WAN Edge puisse être activé.

  1. Connectez un PC à un port LAN par défaut sur SD-WAN Edge (par exemple, s'il s'agit d'un dispositif Edge 3800, les ports LAN par défaut sont GE1 et GE2). Par défaut, le service DHCP est activé sur ces ports et attribue une adresse IP à votre ordinateur dans la plage 192.168.2.0/24.
  2. À partir du PC, accédez à http://192.168.2.1 (interface Web locale du dispositif SD-WAN Edge). Cliquez sur le lien vérifier la configuration (review the configuration).

    it-admin-topologies-edge-hub1-review-configuration

  3. Configurez l'adresse IP WAN statique de GE2 et la passerelle par défaut du dispositif SD-WAN Edge afin qu'il puisse accéder à Internet.
    Cliquez sur Enregistrer (Save) et indiquez la connexion/le mot de passe admin/admin.
    Note : Vous pouvez également obtenir la même configuration avec SASE Orchestrator. Dans ce cas, l'URL d'activation incorpore la configuration de l'adresse IP et est transférée vers SD-WAN Edge durant l'activation. Il s'agit de la méthode préférée.

    En général, sur le site du centre de données/Hub, l'adresse IP statique vous sera attribuée et l'administrateur informatique de l'entreprise configurera le pare-feu pour convertir l'adresse IP WAN du dispositif SD-WAN Edge en adresse IP publique et filtrer également le trafic approprié (sortant : TCP/443, entrant : UDP/2426, UDP/500, UDP/4500).

    it-admin-topologies-edge-hub1-set-static-ip

  4. À ce stade, l'état Internet doit indiquer Connecté (Connected).

    Lorsque la configuration de l'adresse IP WAN statique du dispositif SD-WAN Edge et la configuration du pare-feu associée sont terminées, l'état Internet du dispositif SD-WAN Edge indique Connecté (Connected).

    it-admin-topologies-edge-internet-connected

Activer le dispositif SD-WAN Edge dans le profil par défaut

  1. Connectez-vous à SASE Orchestrator.
  2. Le profil VPN par défaut permet l'activation du dispositif SD-WAN Edge.

Activer le Hub 1 SD-WAN Edge

  1. Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et ajoutez un nouveau dispositif SD-WAN Edge. Spécifiez le modèle et le profil appropriés (nous utilisons ici le profil VPN site distant).
  2. Accédez au Hub SD-WAN Edge (DC1-VCE) et suivez le processus d'activation normal. Si la fonctionnalité de messagerie est déjà configurée, un e-mail d'activation est envoyé à cette adresse e-mail. Dans le cas contraire, vous pouvez accéder à la page Paramètres du périphérique (Device Settings) pour accéder à l'URL d'activation.
  3. Copiez l'URL d'activation et collez-la dans le navigateur de l'ordinateur connecté au dispositif SD-WAN Edge ou cliquez simplement sur l'URL d'activation depuis le navigateur du PC.
  4. Cliquez sur le bouton Activer (Activate).
  5. À présent, le Hub du centre de données DC1-VCE doit être opérationnel. Accédez à Surveiller (Monitor) > Dispositifs Edge (Edges). Cliquez sur l'onglet Présentation du dispositif Edge (Edge Overview). La capacité du lien WAN public est détectée avec l'adresse IP publique 238.162.42.202 et l'ISP corrects.

    activate-hub-1

  6. Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et sélectionnez DC1-VCE. Accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres de l'interface (Interface Settings).

    Le processus d'inscription indique à SASE Orchestrator l'adresse IP WAN statique et la passerelle qui a été configurée via l'interface utilisateur locale. La configuration sur SASE Orchestrator est mise à jour en conséquence.

  7. Faites défiler jusqu'à la section Paramètres WAN (WAN Settings). Le type de lien doit être automatiquement identifié comme lien filaire publique (Public Wired).

Configurez le lien WAN privé sur le Hub 1 SD-WAN Edge

  1. Configurez l'interface WAN du dispositif MPLS Edge privée directement à partir de SASE Orchestrator. Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et sélectionnez DC1-VCE. Accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres de l'interface (Interface Settings). Configurez l'adresse IP statique de GE3 sur 172.31.2.1/24 et la passerelle par défaut sur 172.31.2.2. Sous Overlay WAN (WAN Overlay), sélectionnez Définition manuelle de l'overlay (User Defined Overlay). Cela nous permettra de définir manuellement un lien WAN à l'étape suivante.
  2. Sous Paramètres WAN (WAN Settings), cliquez sur le bouton Ajouter un overlay WAN défini par l'utilisateur (Add User Defined WAN Overlay) (reportez-vous à la capture d'écran suivante).
  3. Définissez l'overlay WAN pour le chemin MPLS. Sélectionnez le Type de lien (Link Type) Privée (Private), puis spécifiez l'adresse IP next-hop (172.31.2.2) du lien WAN dans le champ Adresse IP (IP Address). Choisissez GE3 comme interface. Cliquez sur le bouton Avancé (Advanced).

    Astuce : le site du Hub dispose normalement d'une plus grande bande passante que les sites distants. Si nous choisissons l'option de détection automatique de la bande passante, le site du Hub exécutera un test de bande passante avec son premier peer, par exemple la première site distant qui s'affiche, et mettra fin à la découverte d'une bande passante WAN incorrecte. Pour le site du Hub, vous devez toujours définir manuellement la bande passante WAN à l'aide des paramètres avancés.

  4. La bande passante WAN privée est spécifiée dans les paramètres avancés. La capture d'écran ci-dessous montre un exemple de bande passante montante et descendante de 5 Mbits/s pour un lien MPLS symétrique au niveau du Hub.
  5. Confirmez que le lien WAN est bien configuré et enregistrez les modifications.

    Vous avez terminé la configuration du dispositif SD-WAN Edge sur le Hub. Vous ne verrez pas l'overlay MPLS défini par l'utilisateur que vous venez d'ajouter tant que vous n'aurez pas activé un dispositif SD-WAN Edge de site distant.

Pour plus d'informations, reportez-vous à la section :

Configurer une route statique vers un réseau LAN derrière un commutateur L3

Ajoutez une route statique au sous-réseau 172.30.0.0/24 via le commutateur L3. Vous devez spécifier l'interface GE3 à utiliser pour le routage vers next-hop. Veillez à cocher la case Annoncer (Advertise) pour que d'autres dispositifs SD-WAN Edge puissent découvrir ce sous-réseau derrière le commutateur L3. Pour plus d'informations, reportez-vous à la section Configurer les paramètres de route statique.

Configurer et activer le site Silver 1

Cette étape vous aide à comprendre le workflow typique d'insertion du dispositif SD-WAN Edge sur un site Silver. Le dispositif SD-WAN Edge est inséré en dehors du chemin d'accès et repose sur le commutateur L3 pour rediriger le trafic vers lui. Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP.

topology-configure-and-activate-silver-1-site

Activez le dispositif SD-WAN Edge du site distant du site Silver 1.

Dans cet exemple, nous partons du principe que le dispositif SD-WAN Edge obtient son adresse IP publique à l'aide de DHCP, de sorte qu'il n'y a aucune configuration requise. SD-WAN Edge est fourni avec la configuration par défaut pour utiliser DHCP sur toutes les interfaces routées.

  1. Accédez à Configurer (Configure) > Profil (Profile) > Nouveau profil (New Profile) > Créer (Create) un profil de site distant et activez VPN cloud (Cloud VPN).
  2. Créez un dispositif Edge SILVER1-VCE et sélectionnez le modèle et le profil de configuration appropriés.

    create-new-edge-silver-site

  3. Activez ce dispositif SD-WAN Edge en connectant un PC à son réseau LAN ou Wi-Fi.
  4. Le dispositif SD-WAN Edge doit maintenant être actif dans SASE Orchestrator avec un lien public. Nous pouvons maintenant configurer le lien WAN privé.

Configurer le lien WAN privé sur le dispositif SD-WAN Edge du site Silver 1

À ce stade, nous devons créer la connectivité IP entre le dispositif SD-WAN Edge et le commutateur L3.

  1. Accédez à Configurer (Configure) > Dispositifs Edge (Edges), sélectionnez SILVER1-VCE, puis accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres de l'interface (Interface Settings). Configurez l'adresse IP statique sur GE3 en tant que 10.12.1.1/24 et la passerelle par défaut de 10.12.1.2. Sous Overlay WAN (WAN Overlay), sélectionnez Définition manuelle de l'overlay (User Defined Overlay). Cela permet de définir manuellement un lien WAN.
  2. Dans la section Paramètres WAN (WAN Settings), cliquez sur Ajouter un overlay WAN défini par l'utilisateur (Add User Defined WAN Overlay).
  3. Définissez l'overlay WAN pour le chemin MPLS. Sélectionnez le Type de lien (Link Type) Privée (Private). Spécifiez l'adresse IP next-hop (10.12.1.2) du lien WAN dans le champ Adresse IP (IP Address). Choisissez GE3 comme interface. Cliquez sur le bouton Avancé (Advanced). Astuce : étant donné que le Hub a déjà été configuré, il est pertinent de choisir la découverte automatique de la bande passante. Cette site distant va exécuter un test de bande passante avec le Hub pour découvrir sa bande passante de lien.
  4. Définissez le paramètre Mesure de bande passante (Bandwidth Measurement) sur Mesurer la bande passante (Measure Bandwidth). Cela permet au dispositif SD-WAN Edge du site distant d'exécuter un test de bande passante avec le Hub SD-WAN Edge, exactement comme ce qui se passe lorsqu'il se connecte à l'instance de SD-WAN Gateway.
  5. Confirmez que le lien WAN est bien configuré et enregistrez les modifications.

Configurer une route statique vers un réseau LAN derrière un commutateur L3

Ajoutez une route statique au sous-réseau 192.168.128.0/24 via le commutateur L3. Vous devez spécifier l'interface GE3. Veillez à cocher la case Annoncer (Advertise) pour que d'autres dispositifs SD-WAN Edge découvrent ce sous-réseau derrière le commutateur L3.

Activer le tunnel site distant vers Hub (Silver 1 vers Hub 1)

Cette étape vous permet de créer le tunnel d'overlay depuis le site distant dans le Hub. À ce stade, vous pouvez voir que le lien est actif, mais il s'agit du tunnel vers l'instance de SD-WAN Gateway sur le chemin Internet et non du tunnel vers le Hub. Nous devons activer le VPN cloud pour permettre l'établissement du tunnel du site distant vers le Hub.

Vous êtes maintenant prêt à créer le tunnel depuis le site distant dans le Hub.

Activer le VPN cloud et le tunnel du dispositif Edge vers le SD-WAN Hub

  1. Accédez à Configurer (Configure) > Profils (Profiles), sélectionnez Profil VPN de site distant (Branch VPN Profile) et accédez à l'onglet Périphérique (Device). Sous Service VPN (VPN Service), activez le VPN cloud et procédez comme suit.
    • Sous Site distant vers le site du Hub (VPN permanent) (Branch to Hub Site [Permanent VPN]), cochez la case Activer (Enable).
    • Sous VPN site distant vers site distant (transit et dynamique) (Branch to Branch VPN [Transit & Dynamic]), cochez la case Activer (Enable).
    • Sous VPN site distant vers site distant (transit et dynamique) (Branch to Branch VPN [Transit & Dynamic]), cochez la case Hubs pour le VPN (Hubs for VPN). Cela désactivera le plan de données via SD-WAN Gateway pour le VPN site distant vers site distant. Le trafic site distant vers site distant passera d'abord par l'un des Hubs (dans la liste ordonnée que vous allez spécifier ensuite) lors de l'établissement du tunnel direct site distant vers site distant.
    Cliquez sur le bouton Désignation des Hubs (Hubs Designation) > Modifier les Hubs (Edit Hubs). Ensuite, déplacez DC1-VCE vers la droite. Cette opération désigne DC1-VCE comme étant un SD-WAN Hub. Cliquez sur DC1-VCE dans les Hubs, puis cliquez à la fois sur le bouton Activer les Hubs de backhaul (Enable Backhaul Hubs) et Activer les Hubs de VPN site distant vers site distant (Enable Branch to Branch VPN Hubs). Nous utiliserons le même DC1-VCE pour le trafic site distant vers site distant et le backhaul du trafic Internet vers le Hub. Dans la section VPN cloud (Cloud VPN), DC1-VCE est maintenant affiché comme Instances de SD-WAN Hub et est utilisé pour les Hubs de VPN site distant vers site distant.
  2. À ce stade, le tunnel direct entre le site distant et le dispositif SD-WAN Edge du Hub doit apparaître. La commande de débogage (Debug) affiche désormais également le tunnel direct entre le site distant et le Hub. L'exemple ci-dessous provient SILVER1-VCE. Notez les tunnels supplémentaires vers 71.6.4.9 et 172.31.2.1. Il s'agit des tunnels directs vers les dispositifs SD-WAN Edge du Hub (GE2 sur l'Internet public et GE3 sur le lien privé).

Configurer et activer le site Bronze 1

Cette étape permet de créer un site Bronze, c'est-à-dire un site double Internet avec une DIA et une large bande passante. Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP. LAN du dispositif BRONZE1-VCE SD-WAN Edge et activation du dispositif SD-WAN Edge. Aucune configuration n'est requise sur le réseau WAN, car DHCP est utilisé pour les deux interfaces WAN.

Configurer et activer le Hub 2

Cette étape vous permet de configurer la « direction par adresse IP » communément utilisée dans les déploiements de Hub à un bras. Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP. Avec le déploiement à un bras, la même adresse IP source du tunnel peut être utilisée pour créer un overlay sur des chemins différents.
topology-configure-and-activate-hub-2

Configurer le Hub 2 SD-WAN Edge pour accéder à Internet

  1. Connectez un PC au dispositif SD-WAN Edge et utilisez le navigateur pour pointer vers http://192.168.2.1.
  2. Configurez le Hub SD-WAN Edge pour accéder à Internet en configurant la première interface WAN, GE2.
    configure-activate-hub-2-configure-hub-to-reach-internet

Ajouter le Hub 2 SD-WAN Edge à SASE Orchestrator et l'activer

Dans cette étape, vous allez créer le second dispositif SD-WAN Edge Hub, appelé DC2.VCE.

  1. Sur SASE Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges), sélectionnez Nouveau dispositif Edge (New Edge) pour ajouter un nouveau dispositif SD-WAN Edge.
  2. Accédez à Configurer (Configure) > Dispositifs Edge (Edges), sélectionnez le dispositif SD-WAN Edge que vous venez de créer, puis accédez à l'onglet Périphérique (Device) pour configurer la même interface et la même adresse IP que celles que vous avez configurées à l'étape précédente.
    Important : Étant donné que nous déployons le dispositif SD-WAN Edge en mode à bras unique (même interface physique, mais plusieurs tunnels depuis cette interface), il est important de spécifier l'overlay WAN pour qu'il soit défini par l'utilisateur.
  3. À ce stade, vous devez créer l'overlay. Dans la section Paramètres WAN (WAN Settings), cliquez sur Ajouter un overlay WAN défini par l'utilisateur (Add User Defined WAN Overlay).
  4. Créez un overlay sur le lien public. Dans notre exemple, nous allons utiliser l'adresse IP next-hop, 172.29.0.4, pour accéder à Internet via le pare-feu. Le pare-feu est déjà configuré pour router via NAT le trafic à 209.116.155.31.
  5. Ajoutez le deuxième overlay sur le réseau privé. Dans cet exemple, nous spécifions le routeur next-hop, 172.29.0.1, et nous spécifions également la bande passante, car il s'agit de la section MPLS et DC2-VCE est un Hub. Ajoutez une route statique au sous-réseau côté LAN, 172.30.128.0/24, via GE2.
  6. Activez le dispositif SD-WAN Edge. Une fois l'activation terminée, revenez à l'onglet Périphérique (Device) sous la configuration du niveau Edge. Notez que le champ IP public (Public IP) est désormais renseigné. Vous devriez maintenant voir les liens dans Surveiller (Monitor) > Dispositifs Edge (Edges), sous l'onglet Présentation (Overview).

Ajouter le Hub 2 SD-WAN Edge à la liste des Hubs dans le profil VPN de site distant

  1. Accédez à Configurer (Configure) > Profils (Profiles) et sélectionnez le profil VPN de démarrage rapide (Quick Start VPN).
  2. Accédez à l'onglet Périphérique (Device) et ajoutez ce nouveau dispositif SD-WAN Edge à une liste des Hubs.

Configurer et activer le site Silver 2

Cette étape vous aide à créer un site Silver, c'est-à-dire un site hybride qui dispose du dispositif SD-WAN Edge derrière le routeur CE et de SD-WAN Edge qui est aussi le routeur par défaut du réseau local. Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP pour chaque matériel.
topology-configure-and-activate-silver-2-site
Connectez un PC au réseau LAN ou Wi-Fi du dispositif SD-WAN Edge et utilisez le navigateur pour pointer vers  http://192.168.2.1.