Présentation

Pour configurer le dispositif SD-WAN Edge dans une configuration à deux bras, voici les étapes à suivre :

1. Configurer et activer le Hub 1
2. Configurer et activer le site hybride 1
3. Activer le tunnel site distant vers Hub (site hybride 1 vers Hub 1)
4. Configurer et activer le site WAN public uniquement
5. Configurer et activer le Hub 2
6. Configurer et activer le site hybride 2

Les sections suivantes décrivent les étapes plus en détail.

Configurer et activer le Hub 1

Cette étape vous aide à comprendre le workflow typique d'insertion du dispositif SD-WAN Edge à l'emplacement du Hub. SD-WAN Edge est déployé avec deux interfaces (une interface pour chaque lien WAN).

Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP.

Activer le dispositif SD-WAN Edge dans le profil par défaut

1. Connectez-vous à SASE Orchestrator.
2. Le profil VPN par défaut permet l'activation du dispositif SD-WAN Edge.

Activer le Hub 1 SD-WAN Edge

1. Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et ajoutez un nouveau dispositif SD-WAN Edge. Spécifiez le modèle et le profil appropriés (nous utilisons ici le profil VPN site distant).
2. Accédez au Hub SD-WAN Edge (DC1-VCE) et suivez le processus d'activation normal. Si la fonctionnalité de messagerie est déjà configurée, un e-mail d'activation est envoyé à cette adresse e-mail. Dans le cas contraire, vous pouvez accéder à la page Paramètres du périphérique (Device Settings) pour accéder à l'URL d'activation.
3. Copiez l'URL d'activation et collez-la dans le navigateur de l'ordinateur connecté au dispositif SD-WAN Edge ou cliquez simplement sur l'URL d'activation depuis le navigateur du PC.
4. Cliquez sur le bouton Activer (Activate).
5. À présent, le Hub du centre de données DC1-VCE doit être opérationnel. Accédez à Surveiller (Monitor) > Dispositifs Edge (Edges). Cliquez sur l'onglet Présentation du dispositif Edge (Edge Overview). La capacité du lien WAN public est détectée avec l'adresse IP publique 238.162.42.202 et l'ISP corrects.

   

6. Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et sélectionnez DC1-VCE. Accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres de l'interface (Interface Settings).

   Le processus d'inscription indique à SASE Orchestrator l'adresse IP WAN statique et la passerelle qui a été configurée via l'interface utilisateur locale. La configuration sur SASE Orchestrator est mise à jour en conséquence.

7. Faites défiler jusqu'à la section Paramètres WAN (WAN Settings). Le type de lien doit être automatiquement identifié comme lien filaire publique (Public Wired).

Configurez le lien WAN privé sur le Hub 1 SD-WAN Edge

1. Configurez l'interface WAN du dispositif MPLS Edge privée directement à partir de SASE Orchestrator. Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et sélectionnez DC1-VCE. Accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres de l'interface (Interface Settings). Configurez l'adresse IP statique de GE3 sur 172.31.2.1/24 et la passerelle par défaut sur 172.31.2.2. Sous Overlay WAN (WAN Overlay), sélectionnez Définition manuelle de l'overlay (User Defined Overlay). Cela nous permettra de définir manuellement un lien WAN à l'étape suivante.
2. Sous Paramètres WAN (WAN Settings), cliquez sur le bouton Ajouter un overlay WAN défini par l'utilisateur (Add User Defined WAN Overlay) (reportez-vous à la capture d'écran suivante).
3. Définissez l'overlay WAN pour le chemin MPLS. Sélectionnez le Type de lien (Link Type) Privée (Private), puis spécifiez l'adresse IP next-hop (172.31.2.2) du lien WAN dans le champ Adresse IP (IP Address). Choisissez GE3 comme interface. Cliquez sur le bouton Avancé (Advanced).

   Astuce : le site du Hub dispose normalement d'une plus grande bande passante que les sites distants. Si nous choisissons l'option de détection automatique de la bande passante, le site du Hub exécutera un test de bande passante avec son premier peer, par exemple le premier site distant qui s'affiche, et mettra fin à la découverte d'une bande passante WAN incorrecte. Pour le site du Hub, vous devez toujours définir manuellement la bande passante WAN à l'aide des paramètres avancés.

4. La bande passante WAN privée est spécifiée dans les paramètres avancés. La capture d'écran ci-dessous montre un exemple de bande passante montante et descendante de 5 Mbits/s pour un lien MPLS symétrique au niveau du Hub.
5. Confirmez que le lien WAN est bien configuré et enregistrez les modifications.

   Vous avez terminé la configuration du dispositif SD-WAN Edge sur le Hub. Vous ne verrez pas l'overlay MPLS défini par l'utilisateur que vous venez d'ajouter tant que vous n'aurez pas activé un dispositif SD-WAN Edge de site distant.

Configurer une route statique vers un réseau LAN derrière un commutateur L3

Ajoutez une route statique au sous-réseau 172.30.0.0/24 via le commutateur L3. Vous devez spécifier l'interface GE3 à utiliser pour le routage vers next-hop. Veillez à cocher la case Annoncer (Advertise) pour que d'autres dispositifs SD-WAN Edge puissent découvrir ce sous-réseau derrière le commutateur L3. Pour plus d'informations, reportez-vous à la section Configurer les paramètres de route statique.

Configurer et activer le site hybride 1

Cette étape vous aide à comprendre le workflow typique d'insertion du dispositif SD-WAN Edge sur un site hybride 1. Le dispositif SD-WAN Edge est inséré en dehors du chemin d'accès et repose sur le commutateur L3 pour rediriger le trafic vers lui. Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP :

Configurer le lien WAN privé sur le dispositif SD-WAN Edge du site hybride 1

À ce stade, nous devons créer la connectivité IP entre le dispositif SD-WAN Edge et le commutateur L3.

1. Accédez à Configurer (Configure) > Dispositifs Edge (Edges), sélectionnez Site-1-VCE, puis accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres de l'interface (Interface Settings). Configurez l'adresse IP statique sur GE3 en tant que 10.12.1.1/24 et la passerelle par défaut de 10.12.1.2. Sous Overlay WAN (WAN Overlay), sélectionnez Définition manuelle de l'overlay (User Defined Overlay). Cela permet de définir manuellement un lien WAN.
2. Dans la section Paramètres WAN (WAN Settings), cliquez sur Ajouter un overlay WAN défini par l'utilisateur (Add User Defined WAN Overlay).
3. Définissez l'overlay WAN pour le chemin MPLS. Sélectionnez le Type de lien (Link Type) Privée (Private). Spécifiez l'adresse IP next-hop (10.12.1.2) du lien WAN dans le champ Adresse IP (IP Address). Choisissez GE3 comme interface. Cliquez sur le bouton Avancé (Advanced). Astuce : étant donné que le Hub a déjà été configuré, il est possible de choisir la découverte automatique de la bande passante. Ce site distant exécute un test de bande passante avec le Hub pour découvrir sa bande passante des liens.
4. Définissez le paramètre Mesure de bande passante (Bandwidth Measurement) sur Mesurer la bande passante (Measure Bandwidth). Cela permet au dispositif SD-WAN Edge du site distant d'exécuter un test de bande passante avec le dispositif SD-WAN Edge du Hub, exactement comme ce qui se passe lorsqu'il se connecte à l'instance de SD-WAN Gateway.
5. Confirmez que le lien WAN est bien configuré et enregistrez les modifications.

Configurer une route statique vers un réseau LAN derrière un commutateur L3

Ajoutez une route statique au sous-réseau 192.168.128.0/24 via le commutateur L3. Vous devez spécifier l'interface GE3. Veillez à cocher la case Annoncer (Advertise) pour que d'autres dispositifs SD-WAN Edge puissent découvrir ce sous-réseau derrière le commutateur L3.

Activer le tunnel site distant vers Hub (site hybride 1 vers Hub 1)

Cette étape vous permet de créer le tunnel d'overlay depuis le site distant dans le Hub. À ce stade, vous pouvez voir que le lien est actif, mais il s'agit du tunnel vers l'instance de SD-WAN Gateway sur le chemin Internet et non du tunnel vers le Hub. Nous devons activer le VPN cloud pour permettre l'établissement du tunnel du site distant vers le Hub.

Vous êtes maintenant prêt à créer le tunnel depuis le site distant dans le Hub.

Activer le VPN cloud et le tunnel du dispositif Edge vers le SD-WAN Hub

1. Accédez à Configurer (Configure) > Profils (Profiles), sélectionnez Profil VPN de site distant (Branch VPN Profile) et accédez à l'onglet Périphérique (Device). Sous Service VPN (VPN Service), activez le VPN cloud et procédez comme suit :
   • Sous Site distant vers le site du Hub (VPN permanent) (Branch to Hub Site [Permanent VPN]), cochez la case Activer (Enable).
   • Sous VPN site distant vers site distant (transit et dynamique) (Branch to Branch VPN [Transit & Dynamic]), cochez la case Activer (Enable).
   • Sous VPN site distant vers site distant (transit et dynamique) (Branch to Branch VPN [Transit & Dynamic]), cochez la case Hubs pour le VPN (Hubs for VPN). Cela désactivera le plan de données via SD-WAN Gateway pour le VPN site distant vers site distant. Le trafic de site distant vers site distant passera d'abord par l'un des Hubs (dans la liste ordonnée que vous allez spécifier ensuite) lors de l'établissement du tunnel direct site distant vers site distant.
   Cliquez sur le bouton Désignation des Hubs (Hubs Designation) > Modifier les Hubs (Edit Hubs). Ensuite, déplacez DC1-VCE vers la droite. Cette opération désigne DC1-VCE comme étant un SD-WAN Hub. Cliquez sur DC1-VCE dans les Hubs, puis cliquez à la fois sur le bouton Activer les Hubs de backhaul (Enable Backhaul Hubs) et Activer les Hubs de VPN site distant vers site distant (Enable Branch to Branch VPN Hubs). Nous utiliserons le même DC1-VCE pour le trafic site distant vers site distant et le backhaul du trafic Internet vers le Hub. Dans la section VPN cloud (Cloud VPN), DC1-VCE est maintenant affiché comme Instances de SD-WAN Hub et est utilisé pour les Hubs de VPN site distant vers site distant.
2. À ce stade, le tunnel direct entre le site distant et le dispositif SD-WAN Edge du Hub doit s'afficher. La commande de débogage affiche désormais également le tunnel direct entre le site distant et le Hub.

Configurer et activer le site WAN public uniquement

Cette étape permet de créer un site WAN public uniquement, c'est-à-dire un site Internet double avec un accès direct à Internet (DIA) et une large bande passante. Configurez le LAN Site WAN public uniquement-VCE (Public WAN only Site-VCE) du dispositif SD-WAN Edge et activez le dispositif SD-WAN Edge. Aucune configuration n'est requise sur le réseau WAN, car DHCP est utilisé pour les deux interfaces WAN.

Configurer et activer le Hub 2

Cette étape vous permet de configurer la « direction par adresse IP » communément utilisée dans les déploiements de Hub à un bras. Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP. Avec le déploiement à un bras, la même adresse IP source du tunnel peut être utilisée pour créer un overlay sur des chemins différents.

Configurer le Hub 2 SD-WAN Edge pour accéder à Internet

1. Connectez un PC au dispositif SD-WAN Edge et utilisez le navigateur pour pointer vers http://192.168.2.1.
2. Configurez le Hub SD-WAN Edge pour accéder à Internet en configurant la première interface WAN, GE2.

   

Ajouter le Hub 2 SD-WAN Edge à SASE Orchestrator et l'activer

Dans cette étape, vous allez créer le second dispositif SD-WAN Edge du Hub, appelé DC2.VCE.

1. Sur SASE Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges), sélectionnez Nouveau dispositif Edge (New Edge) pour ajouter un nouveau dispositif SD-WAN Edge.
2. Accédez à Configurer (Configure) > Dispositifs Edge (Edges), sélectionnez le dispositif SD-WAN Edge que vous venez de créer, puis accédez à l'onglet Périphérique (Device) pour configurer la même interface et la même adresse IP que celles que vous avez configurées à l'étape précédente.
   Important : Étant donné que nous déployons le dispositif SD-WAN Edge en mode à bras unique (même interface physique, mais plusieurs tunnels depuis cette interface), il est important de spécifier l'overlay WAN pour qu'il soit défini par l'utilisateur.
3. À ce stade, vous devez créer l'overlay. Dans la section Paramètres WAN (WAN Settings), cliquez sur Ajouter un overlay WAN défini par l'utilisateur (Add User Defined WAN Overlay).
4. Créez un overlay sur le lien public. Dans notre exemple, nous allons utiliser l'adresse IP next-hop, 172.29.0.4, pour accéder à Internet via le pare-feu. Le pare-feu est déjà configuré pour router via NAT le trafic à 209.116.155.31.
5. Ajoutez le deuxième overlay sur le réseau privé. Dans cet exemple, nous spécifions le routeur du next-hop, 172.29.0.1, et nous spécifions également la bande passante, car il s'agit de la section MPLS et DC2-VCE est un Hub. Ajoutez une route statique au sous-réseau côté LAN, 172.30.128.0/24, via GE2.
6. Activez le dispositif SD-WAN Edge. Une fois l'activation terminée, revenez à l'onglet Périphérique (Device) sous la configuration du niveau Edge. Notez que le champ IP public (Public IP) est désormais renseigné. Vous devriez maintenant voir les liens dans Surveiller (Monitor) > Dispositifs Edge (Edges), sous l'onglet Présentation (Overview).

Ajouter le Hub 2 SD-WAN Edge à la liste des Hubs dans le profil VPN de site distant

1. Accédez à Configurer (Configure) > Profils (Profiles) et sélectionnez le profil VPN de démarrage rapide (Quick Start VPN).
2. Accédez à l'onglet Périphérique (Device) et ajoutez ce nouveau dispositif SD-WAN Edge à une liste des Hubs.

Configurer et activer le site hybride 2

Cette étape vous aide à créer un site hybride 1 qui dispose du dispositif SD-WAN Edge derrière le routeur CE et du dispositif SD-WAN Edge qui est aussi le routeur par défaut du LAN. Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP pour chaque matériel.

Connectez un PC au réseau LAN ou Wi-Fi du dispositif SD-WAN Edge et utilisez le navigateur pour pointer vers  http://192.168.2.1.

Pour plus d'informations sur l'activation des dispositifs Edge, reportez-vous à la section Activer les Dispositifs SD-WAN Edge.