In questa sezione viene fornita una panoramica di una configurazione a due rami di SD-WAN Edge.

Panoramica

Per configurare SD-WAN Edge in una configurazione a due rami:

  1. Configurare e attivare Hub 1
  2. Configurazione e attivazione del sito ibrido-1
  3. Attivare tunnel da filiale ad hub (da sito ibrido 1 ad hub 1)
  4. Configurare e attivare un sito solo WAN pubblico
  5. Configurare e attivare Hub 2
  6. Configurare e attivare un sito ibrido-2

Le seguenti sezioni descrivono i passaggi in modo più dettagliato.

Configurare e attivare Hub 1

Questo passaggio illustra il workflow tipico che consente di configurare SD-WAN Edge nella posizione dell'hub. SD-WAN Edge viene distribuito con due interfacce (un'interfaccia per ogni link WAN).

Di seguito sono disponibili informazioni di esempio relative al cablaggio e all'indirizzo IP.

configure-activate-Hub-1

Attivare SD-WAN Edge nel profilo predefinito

  1. Accedere a SASE Orchestrator.
  2. Il profilo VPN predefinito consente l'attivazione di SD-WAN Edge.

Attivare SD-WAN Edge di Hub 1

  1. Passare a Configura (Configure) > Edge (Edges) e aggiungere una nuova istanza di SD-WAN Edge. Specificare il modello corretto e il profilo (viene utilizzato il profilo della VPN di filiale).
  2. Passare a SD-WAN Edge dell'hub (DC1-VCE) e seguire il processo di attivazione normale. Se la funzionalità Email è già configurata, verrà inviata un'email di attivazione all'indirizzo email specificato. In caso contrario, è possibile passare alla pagina di impostazione del dispositivo per recuperare l'URL di attivazione.
  3. Copiare l'URL di attivazione e incollarlo nel browser sul PC connesso a SD-WAN Edge o fare semplicemente clic sull'URL di attivazione dal browser del PC.
  4. Fare clic sul pulsante Attiva (Activate).
  5. Ora l'hub del data center DC1-VCE dovrebbe essere attivo. Passare a Monitora (Monitor) > Edge (Edges). Fare clic sulla scheda Panoramica Edge (Edge Overview). La capacità di collegamento alla WAN pubblica viene rilevata insieme all'IP pubblico corretto 238.162.42.202 e all'ISP.

    activate-Hub-1

  6. Passare a Configura (Configure) > Edge (Edges) e selezionare DC1-VCE. Passare alla scheda Dispositivo (Device) e scorrere verso il basso fino a Impostazioni interfaccia (Interface Settings).

    Si vedrà che il processo di registrazione notifica a SASE Orchestrator l'indirizzo IP statico della WAN e il gateway configurati tramite l'interfaccia utente locale. La configurazione in SASE Orchestrator verrà aggiornata di conseguenza.

  7. Scorrere verso il basso fino alla sezione Impostazioni WAN (WAN Settings). Il tipo di link deve essere identificato automaticamente come Cablato pubblico (Public Wired).

Configurare il link della WAN privata in SD-WAN Edge di Hub 1

  1. Configurare l'interfaccia della WAN privata dell'Edge MPLS direttamente da SASE Orchestrator. Passare a Configura (Configure) -> Edge (Edges) e scegliere DC1-VCE. Passare alla scheda Dispositivo (Device) e scorrere verso il basso fino alla sezione Impostazioni interfaccia (Interface Settings). Configurare l'IP statico in GE3 come 172.31.2.1/24 e il gateway predefinito di 172.31.2.2. In Overlay WAN (WAN Overlay), selezionare Overlay definito dall'utente (User Defined Overlay). In questo modo, è possibile definire manualmente un link della WAN nel passaggio successivo.
  2. In Impostazioni WAN (WAN Settings), fare clic sul pulsante Aggiungi overlay WAN definito dall'utente (Add User Defined WAN Overlay) (vedere la schermata seguente).
  3. Definire l'overlay WAN per il percorso MPLS. Impostare Tipo di link (Link Type) su Privato (Private) e specificare l'IP dell'hop successivo (172.31.2.2) del link WAN nel campo Indirizzo IP (IP Address). Scegliere GE3 come interfaccia. Fare clic sul pulsante Avanzate (Advanced).

    Suggerimento: il sito dell'hub ha in genere più larghezza di banda delle filiali. Se si sceglie di impostare il rilevamento automatico della larghezza di banda, il sito dell'hub eseguirà un test della larghezza di banda con il primo peer, ad esempio la prima filiale che si presenta, e finirà per rilevare una larghezza di banda errata della WAN. Per il sito dell'hub, è sempre consigliabile definire manualmente la larghezza di banda della WAN. Tale operazione può essere eseguita nelle impostazioni avanzate.

  4. La larghezza di banda della WAN privata è specificata nelle impostazioni avanzate. La schermata seguente mostra un esempio di larghezza di banda upstream e downstream di 5 Mbps per un link MPLS simmetrico all'hub.
  5. Verificare che il link della WAN sia configurato e salvare le modifiche.

    La configurazione di SD-WAN Edge nell'hub è stata completata. Non sarà possibile visualizzare l'overlay MPLS definito dall'utente appena aggiunto finché non si attiva l'istanza di SD-WAN Edge di una filiale.

Per ulteriori informazioni, vedere:

Configurare la route statica verso la rete LAN dietro lo switch L3

Aggiungere una route statica alla subnet 172.30.0.0/24 tramite lo switch L3. È necessario specificare l'interfaccia GE3 da utilizzare per il routing all'hop successivo. Assicurarsi di selezionare la casella di controllo Annuncia (Advertise) in modo che gli altri SD-WAN Edge possano essere avvisati della presenza di questa subnet dietro lo switch L3. Per ulteriori informazioni, vedere Configurazione delle impostazioni di routing statiche.

Configurare e attivare il sito ibrido-1

Questo passaggio illustra il workflow tipico che consente di inserire SD-WAN Edge in un sito ibrido-1. SD-WAN Edge viene inserito in modalità off-path e utilizza lo switch L3 per il reindirizzamento del traffico. Di seguito sono disponibili informazioni di esempio relative al cablaggio e all'indirizzo IP:

topology-configure-and-activate-hybrid-site-1

Configurare il link privato della WAN nel sito ibrido-1 SD-WAN Edge

A questo punto, è necessario creare la connettività IP da SD-WAN Edge verso lo switch L3.

  1. Passare a Configura (Configure) > Edge (Edges), selezionare Sito ibrido-1-VCE (Hybrid Site-1-VCE), passare alla scheda Dispositivo (Device) e scorrere verso il basso fino alla sezione Impostazioni interfaccia (Interface Settings). Configurare l'IP statico in GE3 come 10.12.1.1/24 e il gateway predefinito di 10.12.1.2. In Overlay WAN (WAN Overlay), selezionare Overlay definito dall'utente (User Defined Overlay). In questo modo è possibile definire manualmente un link WAN.
  2. Nella sezione Impostazioni WAN (WAN Settings), fare clic su Aggiungi overlay WAN definito dall'utente (Add User Defined WAN Overlay).
  3. Definire l'overlay WAN per il percorso MPLS. Impostare Tipo di link su Privato (Private). Specificare l'IP dell'hop successivo (10.12.1.2) del link della WAN nel campo Indirizzo IP (IP Address). Scegliere GE3 come interfaccia. Fare clic sul pulsante Avanzate (Advanced). Suggerimento: poiché l'hub è già stato configurato, è corretto impostare il rilevamento automatico della larghezza di banda. Questa filiale eseguirà un test della larghezza di banda con l'hub per rilevare la larghezza di banda del link.
  4. Impostare la misurazione della larghezza di banda su Misura larghezza di banda (Measure Bandwidth). In questo modo, l'SD-WAN Edge della filiale eseguirà un test della larghezza di banda con l'SD-WAN Edge dell'hub in modo analogo a quanto avviene quando si connette a SD-WAN Gateway.
  5. Verificare che il link della WAN sia configurato e salvare le modifiche.

Configurare la route statica verso la rete LAN dietro lo switch L3

Aggiungere una route statica a 192.168.128.0/24 tramite lo switch L3. È necessario specificare l'interfaccia GE3. Assicurarsi di selezionare la casella di controllo Annuncia (Advertise) in modo che gli altri SD-WAN Edge possano essere avvisati della presenza di questa subnet dietro lo switch L3.

Attivare tunnel da filiale ad hub (da sito ibrido 1 ad hub 1)

Questo passaggio consente di creare il tunnel overlay dalla filiale all'hub. A questo punto è possibile vedere che il link è attivo, ma questo è il tunnel verso SD-WAN Gateway tramite il percorso Internet e non il tunnel verso l'hub. Sarà necessario attivare VPN cloud (Cloud VPN) per abilitare il tunnel dalla filiale all'hub da stabilire.

Ora è possibile creare il tunnel dalla filiale all'hub.

Attivare VPN cloud (Cloud VPN) e il tunnel da Edge a SD-WAN Hub

  1. Passare a Configura (Configure) > Profili (Profiles), selezionare Profilo VPN Filiale (Branch VPN Profile) e passare alla scheda Dispositivo (Device). In Servizio VPN (VPN Service), attivare la VPN cloud e procedere come segue.
    • In Da filiale a sito hub (VPN permanente) (Branch to Hub Site (Permanent VPN)), selezionare la casella di controllo Abilita (Enable).
    • In VPN da filiale a filiale (di transito e dinamica) (Branch to Branch VPN (Transit & Dynamic)), selezionare la casella di controllo Abilita (Enable).
    • In VPN da filiale a filiale (di transito e dinamica) (Branch to Branch VPN (Transit & Dynamic)), selezionare la casella di controllo Hub per VPN (Hubs for VPN). In questo modo, il data plane viene disattivato tramite SD-WAN Gateway per la VPN da filiale a filiale. Il traffico da filiale a filiale passa innanzitutto attraverso uno degli hub (nell'elenco ordinato che verrà specificato successivamente) mentre viene stabilito il tunnel diretto da filiale a filiale.
    Fare clic sul pulsante Designazione hub (Hub Designation) > Modifica hub (Edit Hubs). Spostare quindi DC1-VCE a destra. DC1-VCE verrà quindi designato come SD-WAN Hub. Fare clic su DC1-VCE negli hub e fare clic su entrambi i pulsanti Abilita hub di backhaul (Enable Backhaul Hubs) e Abilita hub VPN da filiale a filiale (Enable Branch to Branch VPN Hubs). DC1-VCE verrà utilizzato sia per il traffico da filiale a filiale sia per il traffico da Internet backhaul all'hub. Nella sezione VPN cloud (Cloud VPN), DC1-VCE ora viene visualizzato come entrambi gli SD-WAN Hub e viene utilizzato per gli hub VPN da filiale a filiale.
  2. A questo punto, è necessario stabilire il tunnel diretto tra la filiale e gli SD-WAN Edge dell'hub. Il comando di debug ora mostra anche il tunnel diretto tra la filiale e l'hub.

Configurare e attivare un sito solo WAN pubblico

Questo passaggio consente di creare un sito WAN pubblico, ovvero un sito Internet doppio con un DIA e una banda larga. Configurare la LAN del Solo WAN pubblica Sito-VCE (Public WAN only Site-VCE)SD-WAN Edge e attivare SD-WAN Edge. Nella rete WAN non è necessaria alcuna configurazione perché viene utilizzato il protocollo DHCP per entrambe le interfacce della WAN.

Configurare e attivare Hub 2

Questo passaggio consente di configurare l'opzione "Reindirizza in base a indirizzo IP (Steer by IP address)" che viene in genere utilizzata nelle distribuzioni di hub con un solo ramo. Di seguito sono disponibili informazioni di esempio relative al cablaggio e all'indirizzo IP. Nella distribuzione a un solo ramo, lo stesso IP di origine del tunnel può essere utilizzato per creare overlay su percorsi diversi.
topology-configure-and-activate-Hub-2

Configurare SD-WAN Edge di Hub 2 in modo che raggiunga Internet

  1. Connettere un PC a SD-WAN Edge e utilizzare il browser per puntare a http://192.168.2.1.
  2. Configurare SD-WAN Edge dell'hub in modo che raggiunga Internet configurando la prima interfaccia della WAN, ovvero GE2.
    configure-activate-Hub-2-configure-Hub-to-reach-internet

Aggiungere SD-WAN Edge di Hub 2 in SASE Orchestrator e attivare

In questo passaggio, verrà creato SD-WAN Edge del secondo hub, denominato DC2.VCE.

  1. In SASE Orchestrator, passare a Configura (Configure) > Edge (Edges) e selezionare Nuovo edge (New Edge) per aggiungere un nuovo SD-WAN Edge.
  2. Passare a Configura (Configure) > Edge (Edges), selezionare l'istanza di SD-WAN Edge appena creata, quindi passare alla scheda Dispositivo (Device) per configurare la stessa interfaccia e l'IP configurati nel passaggio precedente.
    Importante: Poiché si sta distribuendo SD-WAN Edge in modalità a un ramo (stessa interfaccia fisica ma più tunnel da questa interfaccia), è importante specificare che l'overlay WAN deve essere definito dall'utente.
  3. A questo punto, è necessario creare l'overlay. In Impostazioni WAN (WAN Settings), fare clic su Aggiungi overlay WAN definito dall'utente.
  4. Creare un overlay attraverso il link pubblico. In questo esempio, utilizzeremo l'IP dell'hop successivo di 172.29.0.4 per raggiungere Internet tramite il firewall. Il firewall è già configurato per il NAT del traffico verso 209.116.155.31.
  5. Aggiungere il secondo overlay attraverso la rete privata. In questo esempio, viene specificato il router dell'hop successivo 172.29.0.1 e anche la larghezza di banda perché questo è il leg MPLS e DC2-VCE è un hub. Aggiungere una route statica alla subnet lato LAN, 172.30.128.0/24 tramite GE2.
  6. Attivare SD-WAN Edge. Dopo aver completato l'attivazione, tornare alla scheda Dispositivo (Device) nella configurazione a livello di Edge. Si noti che il campo IP pubblico (Public IP) è ora popolato. A questo punto, dovrebbero essere visibili i link in Monitora (Monitor) > Edge (Edges) nella scheda Panoramica (Overview).

Aggiungere SD-WAN Edge dell'hub 2 all'elenco di hub nel profilo della VPN di filiale

  1. Passare a Configura (Configure) > Profili (Profiles) e selezionare il profilo VPN avvio rapido.
  2. Passare alla scheda Dispositivo (Device) e aggiungere questo nuovo SD-WAN Edge a un elenco di hub.

Configurare e attivazione del sito ibrido-2

Questo passaggio consente di creare un sito ibrido-1, ovvero un sito ibrido in cui SD-WAN Edge è dietro il router CE e SD-WAN Edge è anche il router predefinito per la LAN. Di seguito sono disponibili informazioni di esempio relative a cablaggio e indirizzo IP per ogni hardware.
topology-configure-and-activate-hybrid site-2-site
Connettere un PC al Wi-Fi o alla LAN di SD-WAN Edge e utilizzare il browser per puntare a http://192.168.2.1.

Per ulteriori informazioni sull'attivazione degli Edge, vedere Attivazione di SD-WAN Edge.