In questa sezione viene fornita una panoramica di una configurazione a due rami di SD-WAN Edge.

Panoramica

Per configurare SD-WAN Edge in una configurazione a due rami:

  1. Configurare e attivare Hub 1
  2. Configurare e attivare il sito Silver 1
  3. Abilitare il tunnel da filiale ad hub (da Silver 1 ad Hub 1)
  4. Configurare e attivare il sito Bronze 1
  5. Configurare e attivare Hub 2
  6. Configurare e attivare il sito Silver 2

Le seguenti sezioni descrivono i passaggi in modo più dettagliato.

Configurare e attivare Hub 1

Questo passaggio illustra il workflow tipico che consente di configurare SD-WAN Edge nella posizione dell'hub. SD-WAN Edge viene distribuito con due interfacce (un'interfaccia per ogni link WAN).

L'Edge virtuale verrà utilizzato come hub. Di seguito sono disponibili informazioni di esempio relative al cablaggio e all'indirizzo IP.

configure-activate-hub-1

Configurare SD-WAN Edge di Hub 1 affinché raggiunga Internet tramite l'interfaccia utente locale

Poiché si tratta del sito del data center o dell'hub, è improbabile che SD-WAN Edge possa recuperare l'IP della WAN utilizzando DHCP. È quindi necessario abilitare innanzitutto SD-WAN Edge in modo che si connetta a Internet tramite il firewall del data center per consentire l'attivazione di SD-WAN Edge.

  1. Connettere un PC a una porta LAN predefinita in SD-WAN Edge (ad esempio, se si tratta di un Edge 3800, le porte LAN predefinite sono GE1 e GE2). Per impostazione predefinita, queste porte hanno il servizio DHCP abilitato e forniranno un indirizzo IP al PC nell'intervallo 192.168.2.0/24.
  2. Dal PC passare a http://192.168.2.1, ovvero l'interfaccia Web locale di SD-WAN Edge. Fare clic sul link controllare la configurazione (review the configuration).

    it-admin-topologies-edge-hub1-review-configuration

  3. Configurare l'IP statico della WAN GE2 e il gateway predefinito di SD-WAN Edge in modo che possa raggiungere Internet.
    Fare clic su Salva (Save), quindi specificare nome utente e password di accesso di admin/admin.
    Nota: La stessa configurazione può essere eseguita anche tramite SASE Orchestrator. In tal caso, l'URL di attivazione incorpora la configurazione dell'indirizzo IP e viene eseguito il push in SD-WAN Edge durante l'attivazione. Questo è il metodo preferito.

    In genere nel sito del data center o dell'hub, l'indirizzo IP statico viene assegnato all'utente corrente e l'amministratore IT dell'azienda configurerà il firewall in modo che converta l'IP della WAN di SD-WAN Edge in IP pubblico e filtri il traffico appropriato (in uscita: TCP/443, in entrata: UDP/2426, UDP/500, UDP/4500).

    it-admin-topologies-edge-hub1-set-static-ip

  4. A questo punto, lo stato di Internet deve essere Connesso (Connected).

    Dopo aver completato la configurazione dell'indirizzo IP statico della WAN di SD-WAN Edge e la configurazione del firewall associato, lo stato di Internet in SD-WAN Edge è "Connesso" (Connected).

    it-admin-topologies-edge-internet-connected

Attivare SD-WAN Edge nel profilo predefinito

  1. Accedere a SASE Orchestrator.
  2. Il profilo VPN predefinito consente l'attivazione di SD-WAN Edge.

Attivare SD-WAN Edge di Hub 1

  1. Passare a Configura (Configure) > Edge (Edges) e aggiungere una nuova istanza di SD-WAN Edge. Specificare il modello corretto e il profilo (viene utilizzato il profilo della VPN di filiale).
  2. Passare a SD-WAN Edge dell'hub (DC1-VCE) e seguire il processo di attivazione normale. Se la funzionalità Email è già configurata, verrà inviata un'email di attivazione all'indirizzo email specificato. In caso contrario, è possibile passare alla pagina di impostazione del dispositivo per recuperare l'URL di attivazione.
  3. Copiare l'URL di attivazione e incollarlo nel browser sul PC connesso a SD-WAN Edge o fare semplicemente clic sull'URL di attivazione dal browser del PC.
  4. Fare clic sul pulsante Attiva (Activate).
  5. Ora l'hub del data center DC1-VCE dovrebbe essere attivo. Passare a Monitora (Monitor) > Edge (Edges). Fare clic sulla scheda Panoramica Edge (Edge Overview). La capacità di collegamento alla WAN pubblica viene rilevata insieme all'IP pubblico corretto 238.162.42.202 e all'ISP.

    activate-hub-1

  6. Passare a Configura (Configure) > Edge (Edges) e selezionare DC1-VCE. Passare alla scheda Dispositivo (Device) e scorrere verso il basso fino a Impostazioni interfaccia (Interface Settings).

    Si vedrà che il processo di registrazione notifica a SASE Orchestrator l'indirizzo IP statico della WAN e il gateway configurati tramite l'interfaccia utente locale. La configurazione in SASE Orchestrator verrà aggiornata di conseguenza.

  7. Scorrere verso il basso fino alla sezione Impostazioni WAN (WAN Settings). Il tipo di link deve essere identificato automaticamente come Cablato pubblico (Public Wired).

Configurare il link della WAN privata in SD-WAN Edge di Hub 1

  1. Configurare l'interfaccia della WAN privata dell'Edge MPLS direttamente da SASE Orchestrator. Passare a Configura (Configure) -> Edge (Edges) e scegliere DC1-VCE. Passare alla scheda Dispositivo (Device) e scorrere verso il basso fino alla sezione Impostazioni interfaccia (Interface Settings). Configurare l'IP statico in GE3 come 172.31.2.1/24 e il gateway predefinito di 172.31.2.2. In Overlay WAN (WAN Overlay), selezionare Overlay definito dall'utente (User Defined Overlay). In questo modo, è possibile definire manualmente un link della WAN nel passaggio successivo.
  2. In Impostazioni WAN (WAN Settings), fare clic sul pulsante Aggiungi overlay WAN definito dall'utente (Add User Defined WAN Overlay) (vedere la schermata seguente).
  3. Definire l'overlay WAN per il percorso MPLS. Impostare Tipo di link (Link Type) su Privato (Private) e specificare l'IP dell'hop successivo (172.31.2.2) del link WAN nel campo Indirizzo IP (IP Address). Scegliere GE3 come interfaccia. Fare clic sul pulsante Avanzate (Advanced).

    Suggerimento: il sito dell'hub ha in genere più larghezza di banda delle filiali. Se si sceglie di impostare il rilevamento automatico della larghezza di banda, il sito dell'hub eseguirà un test della larghezza di banda con il primo peer, ad esempio la prima filiale che si presenta, e finirà per rilevare una larghezza di banda errata della WAN. Per il sito dell'hub, è sempre consigliabile definire manualmente la larghezza di banda della WAN. Tale operazione può essere eseguita nelle impostazioni avanzate.

  4. La larghezza di banda della WAN privata è specificata nelle impostazioni avanzate. La schermata seguente mostra un esempio di larghezza di banda upstream e downstream di 5 Mbps per un link MPLS simmetrico all'hub.
  5. Verificare che il link della WAN sia configurato e salvare le modifiche.

    La configurazione di SD-WAN Edge nell'hub è stata completata. Non sarà possibile visualizzare l'overlay MPLS definito dall'utente appena aggiunto finché non si abilita l'istanza di SD-WAN Edge di una filiale.

Per ulteriori informazioni, vedere:

Configurare la route statica verso la rete LAN dietro lo switch L3

Aggiungere una route statica alla subnet 172.30.0.0/24 tramite lo switch L3. È necessario specificare l'interfaccia GE3 da utilizzare per il routing all'hop successivo. Assicurarsi di abilitare la casella di controllo Annuncia (Advertise) in modo che gli altri SD-WAN Edge possano essere avvisati della presenza di questa subnet dietro lo switch L3. Per ulteriori informazioni, vedere Configurazione delle impostazioni di routing statiche.

Configurare e attivare il sito Silver 1

Questo passaggio illustra il workflow tipico che consente di inserire SD-WAN Edge in un sito Silver. SD-WAN Edge viene inserito in modalità off-path e utilizza lo switch L3 per il reindirizzamento del traffico. Di seguito sono disponibili informazioni di esempio relative al cablaggio e all'indirizzo IP.

topology-configure-and-activate-silver-1-site

Attivare SD-WAN Edge della filiale del sito Silver 1

In questo esempio si suppone che SD-WAN Edge ottenga il proprio indirizzo IP pubblico utilizzando DHCP, pertanto non è necessaria alcuna configurazione. Per impostazione predefinita, SD-WAN Edge è configurato per utilizzare DHCP in tutte le interfacce instradate.

  1. Passare a Configura (Configure) > Profilo (Profile) > Nuovo profilo (New Profile) > Crea un profilo della filiale (Creare a Branch Profile) e attivare la VPN cloud.
  2. Creare un nuovo Edge SILVER1-VCE e selezionare il modello e il profilo di configurazione appropriati.

    create-new-edge-silver-site

  3. Attivare questo SD-WAN Edge collegando un PC alla sua rete LAN o Wi-Fi.
  4. SD-WAN Edge dovrebbe ora essere attivo in SASE Orchestrator con un link pubblico. Ora è possibile configurare il link privato della WAN.

Configurare il link privato della WAN nel sito Silver 1 SD-WAN Edge

A questo punto, è necessario creare la connettività IP da SD-WAN Edge verso lo switch L3.

  1. Passare a Configura (Configure) > Edge (Edges), selezionare SILVER1-VCE, passare alla scheda Dispositivo (Device) e scorrere verso il basso fino alla sezione Impostazioni interfaccia (Interface Settings). Configurare l'IP statico in GE3 come 10.12.1.1/24 e il gateway predefinito di 10.12.1.2. In Overlay WAN (WAN Overlay), selezionare Overlay definito dall'utente (User Defined Overlay). In questo modo è possibile definire manualmente un link WAN.
  2. Nella sezione Impostazioni WAN (WAN Settings), fare clic su Aggiungi overlay WAN definito dall'utente (Add User Defined WAN Overlay).
  3. Definire l'overlay WAN per il percorso MPLS. Impostare Tipo di link su Privato (Private). Specificare l'IP dell'hop successivo (10.12.1.2) del link della WAN nel campo Indirizzo IP (IP Address). Scegliere GE3 come interfaccia. Fare clic sul pulsante Avanzate (Advanced). Suggerimento: poiché l'hub è già stato configurato, è corretto impostare il rilevamento automatico della larghezza di banda. Questa filiale eseguirà un test della larghezza di banda con l'hub per rilevare la larghezza di banda del link.
  4. Impostare la misurazione della larghezza di banda su Misura larghezza di banda (Measure Bandwidth). In questo modo, l'SD-WAN Edge della filiale eseguirà un test della larghezza di banda con l'SD-WAN Edge dell'hub in modo analogo a quanto avviene quando si connette a SD-WAN Gateway.
  5. Verificare che il link della WAN sia configurato e salvare le modifiche.

Configurare la route statica verso la rete LAN dietro lo switch L3

Aggiungere una route statica a 192.168.128.0/24 tramite lo switch L3. È necessario specificare l'interfaccia GE3. Assicurarsi di abilitare la casella di controllo Annuncia (Advertise) in modo che gli altri SD-WAN Edge vengano avvisati della presenza di questa subnet dietro lo switch L3.

Abilitare il tunnel dalla filiale all'hub (da Silver ad Hub 1)

Questo passaggio consente di creare il tunnel overlay dalla filiale all'hub. A questo punto è possibile vedere che il link è attivo, ma questo è il tunnel verso SD-WAN Gateway tramite il percorso Internet e non il tunnel verso l'hub. Sarà necessario abilitare VPN cloud (Cloud VPN) per abilitare il tunnel dalla filiale all'hub da stabilire.

Ora è possibile creare il tunnel dalla filiale all'hub.

Abilitare VPN cloud (Cloud VPN) e il tunnel da Edge a SD-WAN Hub

  1. Passare a Configura (Configure) > Profili (Profiles), selezionare Profilo VPN Filiale (Branch VPN Profile) e passare alla scheda Dispositivo (Device). In Servizio VPN (VPN Service). abilitare la VPN cloud e procedere come segue.
    • In Da filiale a sito hub (VPN permanente) (Branch to Hub Site (Permanent VPN)), selezionare la casella di controllo Abilita (Enable).
    • In VPN da filiale a filiale (di transito e dinamica) (Branch to Branch VPN (Transit & Dynamic)), selezionare la casella di controllo Abilita (Enable).
    • In VPN da filiale a filiale (di transito e dinamica) (Branch to Branch VPN (Transit & Dynamic)), selezionare la casella di controllo Hub per VPN (Hubs for VPN). In questo modo, il data plane viene disattivato tramite SD-WAN Gateway per la VPN da filiale a filiale. Il traffico da filiale a filiale passa innanzitutto attraverso uno degli hub (nell'elenco ordinato che verrà specificato successivamente) mentre viene stabilito il tunnel diretto da filiale a filiale.
    Fare clic sul pulsante Designazione hub (Hub Designation) > Modifica hub (Edit Hubs). Spostare quindi DC1-VCE a destra. DC1-VCE verrà quindi designato come SD-WAN Hub. Fare clic su DC1-VCE negli hub e fare clic su entrambi i pulsanti Abilita hub di backhaul (Enable Backhaul Hubs) e Abilita hub VPN da filiale a filiale (Enable Branch to Branch VPN Hubs). DC1-VCE verrà utilizzato sia per il traffico da filiale a filiale sia per il traffico da Internet backhaul all'hub. Nella sezione VPN cloud (Cloud VPN), DC1-VCE ora viene visualizzato come entrambi gli SD-WAN Hub e viene utilizzato per gli hub VPN da filiale a filiale.
  2. A questo punto, è necessario stabilire il tunnel diretto tra la filiale e gli SD-WAN Edge dell'hub. Il comando di debug mostrerà ora anche il tunnel diretto tra la filiale e l'hub. L'esempio seguente si riferisce a SILVER1-VCE. Sono presenti tunnel aggiuntivi verso 71.6.4.9 e 172.31.2.1. Si tratta dei tunnel diretti verso SD-WAN Edge dell'hub (GE2 tramite Internet pubblico e GE3 tramite link privato).

Configurare e attivare il sito Bronze 1

Questo passaggio consente di creare un sito Bronze, ovvero un sito Internet doppio con un DIA e una banda larga. Di seguito sono disponibili informazioni di esempio relative al cablaggio e all'indirizzo IP. Passare alla LAN di SD-WAN Edge di BRONZE1-VCE e attivare SD-WAN Edge. Nella rete WAN non è necessaria alcuna configurazione perché viene utilizzato il protocollo DHCP per entrambe le interfacce della WAN.

Configurare e attivare Hub 2

Questo passaggio consente di configurare l'opzione "Reindirizza in base a indirizzo IP (Steer by IP address)" che viene in genere utilizzata nelle distribuzioni di hub con un solo ramo. Di seguito sono disponibili informazioni di esempio relative al cablaggio e all'indirizzo IP. Nella distribuzione a un solo ramo, lo stesso IP di origine del tunnel può essere utilizzato per creare overlay su percorsi diversi.
topology-configure-and-activate-hub-2

Configurare SD-WAN Edge di Hub 2 in modo che raggiunga Internet

  1. Connettere un PC a SD-WAN Edge e utilizzare il browser per puntare a http://192.168.2.1.
  2. Configurare SD-WAN Edge dell'hub in modo che raggiunga Internet configurando la prima interfaccia della WAN, ovvero GE2.
    configure-activate-hub-2-configure-hub-to-reach-internet

Aggiungere SD-WAN Edge di Hub 2 in SASE Orchestrator e attivare

In questo passaggio, verrà creato SD-WAN Edge del secondo hub, denominato DC2.VCE.

  1. In SASE Orchestrator, passare a Configura (Configure) > Edge (Edges) e selezionare Nuovo edge (New Edge) per aggiungere un nuovo SD-WAN Edge.
  2. Passare a Configura (Configure) > Edge (Edges), selezionare l'istanza di SD-WAN Edge appena creata, quindi passare alla scheda Dispositivo (Device) per configurare la stessa interfaccia e l'IP configurati nel passaggio precedente.
    Importante: Poiché si sta distribuendo SD-WAN Edge in modalità a un ramo (stessa interfaccia fisica ma più tunnel da questa interfaccia), è importante specificare che l'overlay WAN deve essere definito dall'utente.
  3. A questo punto, è necessario creare l'overlay. In Impostazioni WAN (WAN Settings), fare clic su Aggiungi overlay WAN definito dall'utente.
  4. Creare un overlay attraverso il link pubblico. In questo esempio, utilizzeremo l'IP dell'hop successivo di 172.29.0.4 per raggiungere Internet tramite il firewall. Il firewall è già configurato per il NAT del traffico verso 209.116.155.31.
  5. Aggiungere il secondo overlay attraverso la rete privata. In questo esempio, viene specificato il router dell'hop successivo 172.29.0.1 e anche la larghezza di banda perché questo è il leg MPLS e DC2-VCE è un hub. Aggiungere una route statica alla subnet lato LAN, 172.30.128.0/24 tramite GE2.
  6. Attivare SD-WAN Edge. Dopo aver completato l'attivazione, tornare alla scheda Dispositivo (Device) nella configurazione a livello di Edge. Si noti che il campo IP pubblico (Public IP) è ora popolato. A questo punto, dovrebbero essere visibili i link in Monitora (Monitor) > Edge (Edges) nella scheda Panoramica (Overview).

Aggiungere SD-WAN Edge dell'hub 2 all'elenco di hub nel profilo della VPN di filiale

  1. Passare a Configura (Configure) > Profili (Profiles) e selezionare il profilo VPN avvio rapido.
  2. Passare alla scheda Dispositivo (Device) e aggiungere questo nuovo SD-WAN Edge a un elenco di hub.

Configurare e attivare il sito Silver 2

Questo passaggio consente di creare un sito Silver, ovvero un sito ibrido in cui SD-WAN Edge è dietro il router CE e SD-WAN Edge è anche il router predefinito per la LAN. Di seguito sono disponibili informazioni di esempio relative a cablaggio e indirizzo IP per ogni hardware.
topology-configure-and-activate-silver-2-site
Connettere un PC al Wi-Fi o alla LAN di SD-WAN Edge e utilizzare il browser per puntare a http://192.168.2.1.