Le impostazioni del dispositivo consentono di configurare le impostazioni dell'interfaccia per uno o più modelli Edge in un profilo.

In base al modello Edge, ciascuna interfaccia può essere un'interfaccia porta switch (LAN) o un'interfaccia instradata (WAN). In base al modello di filiale, una porta di connessione è una porta LAN o WAN dedicata oppure le porte possono essere configurate in modo da essere una porta LAN o WAN. Le porte delle filiali possono essere porte Ethernet o SFP. Alcuni modelli di Edge possono supportare anche le interfacce LAN wireless.

Si suppone che un singolo link WAN pubblico sia collegato a una singola interfaccia che viene utilizzata solo per il traffico WAN. Se non è configurato alcun link WAN per un'interfaccia instradata che supporta WAN, si suppone che venga rilevato automaticamente un singolo link WAN pubblico. Se ne viene rilevato uno, viene segnalato a SD-WAN Orchestrator. Questo link WAN rilevato automaticamente può quindi essere modificato tramite SD-WAN Orchestrator e la nuova configurazione può essere inviata nuovamente alla filiale.

Nota:
  • Se l'interfaccia instradata è abilitata con l'overlay WAN e collegata con un link WAN, l'interfaccia è disponibile per tutti i segmenti.
  • Se un'interfaccia è configurata come PPPoE, supporta solo un singolo link WAN rilevato automaticamente. Non è possibile assegnare link aggiuntivi all'interfaccia.

Se il link non deve o non può essere rilevato automaticamente, deve essere configurato in modo esplicito. Esistono più configurazioni supportate in cui il rilevamento automatico non è possibile, tra cui:

  • Link WAN privati
  • Più link WAN in una singola interfaccia. Esempio: un hub di data center con 2 connessioni MPLS
  • Un singolo link WAN raggiungibile su più interfacce. Esempio: per una topologia active-active HA

I link che vengono rilevati automaticamente sono sempre link pubblici. I link definiti dall'utente possono essere pubblici o privati e avranno opzioni di configurazione diverse in base al tipo selezionato.

Nota: Anche per i link rilevati automaticamente, i parametri che vengono rilevati automaticamente, ad esempio il provider di servizi e la larghezza di banda, possono essere sostituiti dalla configurazione dell'Edge.

Link WAN pubblici

Un link WAN pubblico è un link tradizionale qualsiasi che fornisce l'accesso a Internet pubblico, ad esempio cavo, DSL e così via. Per i link WAN pubblici non è necessaria alcuna configurazione peer. Si collegano infatti automaticamente a SD-WAN Gateway, che gestisce la diffusione delle informazioni necessarie per la connettività peer.

Link WAN privati (MPLS)

I link WAN privati appartengono a una rete privata e possono connettersi solo agli altri link WAN all'interno della stessa rete privata. Poiché possono essere presenti più reti MPLS ad esempio all'interno di una singola azienda, l'utente deve identificare i link che appartengono a ciascuna rete. SD-WAN Gateway utilizzerà queste indicazioni per distribuire le informazioni di connettività per i link WAN.

È possibile scegliere di trattare i link MPLS come un singolo link. Tuttavia, per distinguere tra le diverse classi di servizio MPLS, è possibile definire più link WAN mappati a classi di servizio MPLS diverse assegnando a ciascun link WAN un tag DSCP diverso.

È inoltre possibile decidere di definire un SLA statico per un link WAN privato. In questo modo i peer non dovranno scambiarsi le statistiche dei percorsi e l'utilizzo di larghezza di banda in un link risulterà inferiore. Poiché l'intervallo di probe influenza la velocità con cui il dispositivo può eseguire il failover, non è chiaro se la definizione di una SLA statica riduca automaticamente l'intervallo di probe.

Impostazioni del dispositivo

Le schermate seguenti illustrano l'interfaccia utente di livello superiore per SD-WAN Edge 500, SD-WAN Edge 1000 e SD-WAN Edge 610 per la versione 3.4. La tabella seguente descrive le funzionalità principali dell'interfaccia utente (i numeri nella tabella corrispondono ai numeri nelle schermate successive).

configure-profile-device-setting-510-3-0

Azioni che è possibile eseguire nell'interfaccia di rete, ad esempio Modifica (Edit) o Elimina (Delete).
Nome dell'interfaccia. Questo nome corrisponde all'etichetta della porta dell'Edge nel dispositivo Edge o è predeterminata per le reti LAN wireless.
Elenco delle porte dello switch con un riepilogo di alcune delle loro impostazioni (ad esempio accesso o modalità trunk e le VLAN per l'interfaccia). Le porte dello switch vengono evidenziate con uno sfondo giallo chiaro.
Elenco delle interfacce instradate con un riepilogo delle loro impostazioni (ad esempio il tipo di indirizzamento e se l'interfaccia è stata rilevata automaticamente oppure dispone di un overlay WAN rilevato automaticamente o definito dall'utente). Le interfacce instradate vengono evidenziate con uno sfondo blu chiaro.
Elenco delle interfacce wireless (se disponibili nel dispositivo Edge). È possibile aggiungere ulteriori reti wireless facendo clic sul pulsante Aggiungi SSID Wi-Fi (Add Wi-Fi SSID). Le interfacce wireless vengono evidenziate con uno sfondo grigio chiaro.
  • È possibile aggiungere ulteriori reti wireless facendo clic sul pulsante Aggiungi SSID Wi-Fi (Add Wi-Fi SSID). Le interfacce wireless vengono evidenziate con uno sfondo grigio chiaro.
  • È possibile aggiungere interfacce secondarie facendo clic sul pulsante Aggiungi interfacce secondarie (Add Sub Interfaces). Accanto alle interfacce secondarie viene visualizzata l'indicazione "SIF". La sottointerfaccia per le interfacce PPPoE non è supportata.
  • È possibile aggiungere IP secondari facendo clic sul pulsante Aggiungi IP secondario (Add Secondary IP). Gli IP secondari vengono visualizzati con "SIP" accanto all'interfaccia.

La versione 3.4 include Edge 610.

Nella versione 3.4, è stata aggiunta una nuova interfaccia instradata (CELL1). Se gli utenti scelgono Edge 510-LTE come modello, viene visualizzata nell'area Impostazioni interfaccia (Interface Settings) (vedere l'immagine seguente).

Facendo clic sul link Modifica (Edit), come illustrato nell'immagine precedente, gli utenti possono modificare la sezione Impostazioni cella (Cell Settings). (Vedere l'immagine seguente).

Nota: Test diagnostico informazioni modem 510 LTE: per la versione 3.4, se è configurato il dispositivo Edge 510 LTE, sarà disponibile il test diagnostico "Informazioni modem LTE (LTE Modem Information)". Il test diagnostico Informazioni modem LTE (LTE Modem Information) recupererà le informazioni diagnostiche, come la potenza del segnale, le informazioni di connessione e così via. Per informazioni su come eseguire un test diagnostico, vedere la sezione intitolata Diagnostica remota.

Interfacce secondarie e IP secondari

configure-profile-device-setting-510-3-0
Nota: Il numero massimo di interfacce secondarie che possono essere configurate in un'interfaccia è 32.

Aggiunta di una sottointerfaccia

Quando si aggiunge una sottointerfaccia a un'interfaccia instradata, la sottointerfaccia ottiene un sottoinsieme delle opzioni di configurazione specificate per l'interfaccia principale.

  1. Fare clic sul pulsante Aggiungi sottointerfaccia (Add Sub Interface).
  2. Selezionare un'interfaccia dal menu a discesa e l'ID sottointerfaccia (Subinterface ID) nella casella di testo come illustrato nella finestra di dialogo Seleziona interfaccia (Select Interface) seguente.
    configure-profile-device-select-interface
  3. Fare clic su Avanti (Next).
  4. Nella finestra di dialogo Sottointerfaccia (Sub Interface), scegliere il tipo di indirizzamento, ovvero DHCP o Statico (Static).
    1. Se si sceglie il tipo di indirizzamento DHCP, la casella di controllo Abilita contrassegno VLAN (Enable VLAN Tagging) è selezionata per impostazione predefinita e nella casella di testo viene visualizzato l'ID sottointerfaccia scelto nella finestra di dialogo precedente.

      configure-profile-device-edit-subinterface-dialog-dhcp

    2. Se si sceglie il tipo di indirizzamento Statico (Static), è possibile abilitare la VLAN selezionando la casella di controllo Abilita contrassegno VLAN (Enable VLAN Tagging). L'ID sottointerfaccia scelto nella finestra di dialogo precedente viene visualizzato nella casella di testo.

      configure-profile-device-edit-subinterface-dialog-Static

  5. Se necessario, selezionare la casella di controllo Traffico diretto NAT (NAT Direct Traffic).
  6. Fare clic sul pulsante Aggiorna (Update).

La colonna Interfaccia (Interface) viene aggiornata per includere la sottointerfaccia appena creata.

Aggiunta di un indirizzo IP secondario

  1. Fare clic sul pulsante Aggiungi IP secondario (Add Secondary IP).
  2. Selezionare un'interfaccia dal menu a discesa e l'ID sottointerfaccia (Subinterface ID) nella casella di testo come illustrato nella finestra di dialogo Seleziona interfaccia (Select Interface) seguente. Si noti che il tipo di sottointerfaccia è IP secondario (Secondary IP).

    configure-profile-device-secondary-ip

  3. Fare clic su Avanti (Next).
  4. Nella finestra di dialogo IP secondario (Secondary IP), scegliere il tipo di indirizzamento, ovvero DHCP o Statico (Static).

    configure-profile-device-secondary-ip-dialog

  5. Nella finestra di dialogo IP secondario (Secondary IP), scegliere il tipo di indirizzamento, ovvero DHCP o Statico (Static).

  6. Fare clic sul pulsante Aggiorna (Update).

La colonna Interfaccia (Interface) viene aggiornata per includere l'IP secondario appena creato. Vedere l'immagine Impostazioni interfaccia (Interface Settings) seguente.

configure-profile-device-interface-settings-secondary-interfaces

Casi d'uso dell'overlay WAN definito dall'utente

Di seguito vengono delineati gli scenari in cui questa configurazione è utile seguiti da una specifica della configurazione stessa.

  1. Caso d'uso 1: due link WAN connessi a uno switch L2. Si tratta della topologia del data center tradizionale in cui SD-WAN Edge è connesso a uno switch L2 nel DMZ connesso a più firewall, ognuno connesso a un link WAN upstream diverso.

    In questa topologia, è probabile che l'interfaccia di VMware sia stata configurata con FW1 come hop successivo. Tuttavia, per poter utilizzare il link DSL, è necessario eseguire il provisioning di un hop successivo alternativo a cui inoltrare i pacchetti, perché FW1 non può raggiungere DSL. Quando si definisce il link DSL, l'utente deve configurare un indirizzo IP dell'hop successivo personalizzato come indirizzo IP di FW2 per fare in modo che i pacchetti possano raggiungere il modem DSL. L'utente deve inoltre configurare un indirizzo IP di origine personalizzato per questo link WAN per consentire all'Edge di identificare le interfacce restituite. La configurazione finale diventa simile alla figura seguente:

    Il paragrafo seguente descrive in che modo viene definita la configurazione finale.
    • L'interfaccia viene definita con l'indirizzo IP 10.0.0.1 e l'hop successivo 10.0.0.2. Poiché all'interfaccia è collegato più di un link WAN, ogni link è impostato su "definito dall'utente (user defined)".
    • Il link del cavo viene definito ed eredita l'indirizzo IP 10.0.0.1 e l'hop successivo 10.0.0.2. Non sono necessarie modifiche. Quando a un pacchetto deve essere inviato il link del cavo, viene originato da 10.0.0.1 e inoltrato al dispositivo che risponde ad ARP per 10.0.0.2 (FW1). I pacchetti restituiti sono destinati a 10.0.0.1 e vengono identificati come arrivati tramite il link del cavo.
    • Il link DSL viene definito e, poiché si tratta del secondo link WAN, SD-WAN Orchestrator contrassegna l'indirizzo IP e l'hop successivo come elementi di configurazione obbligatori. L'utente specifica un IP virtuale personalizzato (ad esempio 10.0.0.4) per l'IP di origine e 10.0.0.3 per l'hop successivo. Quando a un pacchetto deve essere inviato il link DSL, viene originato da 10.0.0.4 e inoltrato al dispositivo che risponde ad ARP per 10.0.0.3 (FW2). I pacchetti restituiti sono destinati a 10.0.0.4 e vengono identificati come arrivati tramite il link DSL.
  2. Caso 2: due link WAN connessi a uno switch L3 o un router. In alternativa, il dispositivo upstream può essere uno switch L3 o un router. In questo caso, il dispositivo dell'hop successivo è lo stesso (lo switch) per entrambi i link WAN, anziché diverso (i firewall) come nell'esempio precedente. Questa configurazione viene spesso utilizzata quando il firewall si trova sul lato LAN di SD-WAN Edge.

    In questa topologia, il routing basato su criteri viene utilizzato per reindirizzare i pacchetti al link WAN appropriato. Il reindirizzamento può essere eseguito dall'indirizzo IP o dal tag VLAN, in modo da supportare entrambe le opzioni.

    Reindirizzamento tramite IP: se il dispositivo L3 è in grado di eseguire il routing basato su criteri in base all'indirizzo IP di origine, entrambi i dispositivi possono trovarsi nella stessa VLAN. In questo caso, l'unica configurazione richiesta è un IP di origine personalizzato per differenziare i dispositivi.

    Il paragrafo seguente descrive in che modo viene definita la configurazione finale.
    • L'interfaccia viene definita con l'indirizzo IP 10.0.0.1 e l'hop successivo 10.0.0.2. Poiché all'interfaccia è collegato più di un link WAN, ogni link è impostato su "definito dall'utente (user defined)".
    • Il link del cavo viene definito ed eredita l'indirizzo IP 10.0.0.1 e l'hop successivo 10.0.0.2. Non sono necessarie modifiche. Quando a un pacchetto deve essere inviato il link del cavo, viene originato da 10.0.0.1 e inoltrato al dispositivo che risponde ad ARP per 10.0.0.2 (switch L3). I pacchetti restituiti sono destinati a 10.0.0.1 e vengono identificati come arrivati tramite il link del cavo.
    • Il link DSL viene definito e, poiché si tratta del secondo link WAN, SD-WAN Orchestrator contrassegna l'indirizzo IP e l'hop successivo come elementi di configurazione obbligatori. L'utente specifica un IP virtuale personalizzato (ad esempio 10.0.0.3) per l'IP di origine e lo stesso 10.0.0.2 per l'hop successivo. Quando a un pacchetto deve essere inviato il link DSL, viene originato da 10.0.0.3 e inoltrato al dispositivo che risponde ad ARP per 10.0.0.2 (switch L3). I pacchetti restituiti sono destinati a 10.0.0.3 e vengono identificati come arrivati tramite il link DSL.

    Reindirizzamento tramite VLAN: se il dispositivo L3 non è in grado di eseguire il routing dell'origine o se per qualche altro motivo l'utente sceglie di assegnare VLAN separate ai link del cavo e DSL, è necessario configurare il reindirizzamento tramite VLAN.

    • L'interfaccia viene definita con l'indirizzo IP 10.100.0.1 e l'hop successivo 10.100.0.2 nella VLAN 100. Poiché all'interfaccia è collegato più di un link WAN, ogni link è impostato su "definito dall'utente (user defined)".
    • Il link del cavo viene definito ed eredita VLAN 100, nonché l'indirizzo IP 10.100.0.1 e l'hop successivo 10.100.0.2. Non sono necessarie modifiche. Quando a un pacchetto deve essere inviato il link del cavo, viene originato da 10.100.0.1, contrassegnato con VLAN 100 e inoltrato al dispositivo che risponde ad ARP per 10.100.0.2 in VLAN 100 (switch L3). I pacchetti restituiti sono destinati a 10.100.0.1/VLAN 100 e vengono identificati come arrivati tramite il link del cavo.
    • Il link DSL viene definito e, poiché è il secondo link WAN, SD-WAN Orchestrator contrassegna l'indirizzo IP e l'hop successivo come elementi di configurazione obbligatori. L'utente specifica un ID VLAN personalizzato (200), nonché un IP virtuale (ad esempio 10.200.0.1) per l'IP di origine e 10.200.0.2 per l'hop successivo. Quando a un pacchetto deve essere inviato il link DSL, viene originato da 10.200.0.1, contrassegnato con VLAN 200 e inoltrato al dispositivo che risponde ad ARP per 10.200.0.2 in VLAN 200 (switch L3). I pacchetti restituiti sono destinati a 10.200.0.1/VLAN 200 e vengono identificati come arrivati tramite il link DSL.
  3. Caso 3: distribuzioni a un solo ramo. Le distribuzioni con un solo ramo sono molto simili alle altre distribuzioni L3.

    Di nuovo, SD-WAN Edge condivide lo stesso hop successivo per entrambi i link WAN. È possibile eseguire il routing basato su criteri per garantire che il traffico venga inoltrato alla destinazione appropriata come indicato in precedenza. In alternativa, l'IP di origine e la VLAN per gli oggetti link WAN in VMware possono essere uguali alla VLAN dei link del cavo e DSL per rendere il routing automatico.
  4. Caso 4: un link WAN raggiungibile su più interfacce. Si tratta della topologia del sito Gold tradizionale in cui MPLS è raggiungibile tramite due percorsi alternativi. In questo caso, è necessario definire un indirizzo IP di origine personalizzato e un hop successivo che possa essere condiviso indipendentemente dall'interfaccia utilizzata per comunicare.

    • GE1 viene definito con l'indirizzo IP 10.10.0.1 e l'hop successivo 10.10.0.2
    • GE2 viene definito con l'indirizzo IP 10.20.0.1 e l'hop successivo 10.20.0.2
    • MPLS viene definito e impostato come raggiungibile tramite entrambe le interfacce. In questo modo l'IP di origine e l'indirizzo IP dell'hop successivo sono obbligatori senza valori predefiniti.
    • Vengono definiti l'IP di origine e la destinazione che possono essere utilizzati per la comunicazione indipendentemente dall'interfaccia utilizzata. Quando a un pacchetto deve essere inviato il link MPLS, viene originato da 169.254.0.1, contrassegnato con la VLAN configurata e inoltrato al dispositivo che risponde ad ARP per 169.254.0.2 nella VLAN configurata (router CE). I pacchetti restituiti sono destinati a 169.254.0.1 e vengono identificati come arrivati tramite il link MPLS.
    Nota: Se OSPF o BGP non è abilitato, potrebbe essere necessario configurare la stessa VLAN di transito in entrambi gli switch per abilitare la raggiungibilità di questo IP virtuale.

Configurazione dell'interfaccia

Se si fa clic sul link Modifica (Edit), viene visualizzata una finestra di dialogo per l'aggiornamento delle impostazioni di un'interfaccia specifica. Le sezioni seguenti forniscono una breve descrizione per le varie finestre di dialogo che vengono visualizzate in base al modello di Edge e ai tipi di interfaccia.

Accesso Edge 500 LAN

Di seguito vengono illustrati i parametri per un'interfaccia Edge 500 LAN configurata come porta di accesso. È possibile scegliere una VLAN per la porta e selezionare le impostazioni di L2 per la negoziazione automatica (selezionata per impostazione predefinita), la velocità, il tipo di duplex e le dimensioni di MTU (il valore predefinito è 1500).

configure-profile-device-settings-e500-lan-access

Trunk Edge 500 LAN

Di seguito vengono illustrati i parametri per un'interfaccia Edge 500 LAN configurata come porta di trunk. È possibile scegliere le VLAN per la porta, specificare come devono essere gestiti i dati VLAN senza tag (instradati verso una VLAN specifica o eliminati) e selezionare le impostazioni di L2 per la negoziazione automatica (selezionata per impostazione predefinita), la velocità, il tipo di duplex e le dimensioni di MTU (il valore predefinito è 1500).

configure-profile-device-settings-e500-lan-trunk

Accesso Edge 1000 LAN

Di seguito vengono illustrati i parametri per un'interfaccia Edge 1000 LAN configurata come porta di accesso commutata. È possibile scegliere una VLAN per la porta e selezionare le impostazioni di L2 per la negoziazione automatica (selezionata per impostazione predefinita), la velocità, il tipo di duplex e le dimensioni di MTU (il valore predefinito è 1500).

configure-profile-device-settings-e1000-lan-access

Edge 1000 LAN Trunk

Di seguito vengono illustrati i parametri per un'interfaccia Edge 1000 LAN configurata come porta di trunk. È possibile scegliere le VLAN per la porta, specificare come devono essere gestiti i dati VLAN senza tag (instradati verso una VLAN specifica o eliminati) e selezionare le impostazioni di L2 per la negoziazione automatica (selezionata per impostazione predefinita), la velocità, il tipo di duplex e le dimensioni di MTU (il valore predefinito è 1500).

configure-profile-device-settings-e1000-lan-trunk

Edge 500 WAN

Di seguito vengono illustrati i parametri per un'interfaccia Edge 500 WAN con Funzionalità (Capability) impostata su Instradata (Routed). È possibile scegliere il tipo di indirizzamento (DHCP, PPPoE o statico) e un overlay WAN (rilevato automaticamente o definito dall'utente), abilitare OSPF, abilitare il traffico diretto NAT, nonché selezionare le impostazioni di L2 per la negoziazione automatica (selezionata per impostazione predefinita), la velocità, il tipo di duplex e le dimensioni di MTU (il valore predefinito è 1500).

Nota: La porta può anche essere configurata come interfaccia commutata.

configure-profile-device-settings-e500-wan

Edge 1000 WAN

Di seguito vengono illustrati i parametri per un'interfaccia Edge 1000 WAN con Funzionalità (Capability) impostata su Instradata (Routed). È possibile scegliere il tipo di indirizzamento (DHCP, PPPoE o statico) e un overlay WAN (rilevato automaticamente o definito dall'utente), abilitare OSPF, abilitare il traffico diretto NAT, nonché selezionare le impostazioni di L2 per la negoziazione automatica (selezionata per impostazione predefinita), la velocità, il tipo di duplex e le dimensioni di MTU (il valore predefinito è 1500).

Nota: La porta può anche essere configurata come interfaccia commutata.

configure-profile-device-settings-e1000-wan

Edge 500 WLAN

Inizialmente vengono definite due reti Wi-Fi per SD-WAN Edge 500, una come rete aziendale e una come rete Guest inizialmente disabilitata. È possibile definire ulteriori reti wireless, ciascuna con VLAN, SSID e configurazioni di sicurezza specifiche.

configure-profile-device-settings-e500-wlan

Sicurezza per le connessioni Wi-Fi

La sicurezza per le connessioni Wi-Fi può essere di uno dei tre tipi seguenti:

Tipo Descrizione
Aperta (Open) Non viene applicata alcuna sicurezza.
WPA2/Personale (WPA2 / Personal) Per eseguire l'autenticazione di un utente, viene utilizzata una password.
WPA2/Aziendale (WPA2 / Enterprise) Per eseguire l'autenticazione di un utente, viene utilizzato un server RADIUS. In questo scenario, è necessario configurare un server RADIUS in Servizi di rete (Network Services) e selezionare Server RADIUS (Radius Server) in Impostazioni autenticazione profilo (Profile Authentication Settings) nella pagina Dispositivo (Device). Le impostazioni predefinite per la sicurezza possono essere sostituite anche nella pagina Dispositivo Edge (Edge Device).