このセクションでは、ツーアーム構成での SD-WAN Edge の構成の概要について説明します。

概要

ツーアーム構成で SD-WAN Edge を構成するには、次の手順を実行します。

  1. Hub 1 を構成して有効にする
  2. Silver 1 サイトを構成して有効にする
  3. ブランチからハブへのトンネル(Silver 1 から Hub 1)を有効にする
  4. Bronze 1 サイトを構成して有効にする
  5. Hub 2 を構成して有効にする
  6. Silver 2 サイトを構成して有効にする

以降のセクションでは、手順について詳しく説明します。

Hub 1 を構成して有効にする

この手順は、ハブの場所で SD-WAN Edge を起動するための一般的なワークフローを理解するのに役立ちます。SD-WAN Edge は 2 つのインターフェイス(WAN リンクごとに 1 つのインターフェイス)を使用してデプロイされます。

Virtual Edge をハブとして使用します。以下に、配線と IP アドレスの情報の例を示します。

configure-activate-hub-1

Hub 1 SD-WAN Edge を構成して有効にし、インターネットに接続する

これはデータセンター/ハブ サイトであるため、SD-WAN Edge が DHCP を使用して WAN IP アドレスを取得することはほとんどありません。そのため、SD-WAN Edge をアクティベーションするには、まず SD-WAN Edge をデータセンターのファイアウォールを介してインターネットに接続する必要があります。

  1. 静的 IP アドレス [192.168.2.100/24] とゲートウェイ [192.168.2.1] を使用して PC を構成します。これは、SD-WAN Edge にアクセスするためのデフォルトの LAN 設定です。PC を SD-WAN Edge LAN インターフェイスに接続します。
  2. PC から http://192.168.2.1SD-WAN Edge のローカル Web インターフェイス)に移動します。[構成をレビュー (review the configuration)] リンクをクリックします。

    it-admin-topologies-edge-hub1-review-configuration

  3. インターネットにアクセスできるように、SD-WAN Edge の GE2 の静的 WAN IP アドレスとデフォルト ゲートウェイを構成します。

    [保存 (Save)] をクリックし、ログイン/パスワード ([admin/admin]) を入力します。

    通常、データセンター/ハブ サイトでは静的 IP アドレスが割り当てられ、エンタープライズ IT 管理者がファイアウォールを構成して SD-WAN Edge の WAN IP アドレスをパブリック IP アドレスに変換し、適切なトラフィック(送信:TCP/443、受信:UDP/2426、UDP/500、UDP/4500)をフィルタリングします。

    it-admin-topologies-edge-hub1-set-static-ip

  4. この時点で、インターネットのステータスは「接続済み (Connected)」と表示されます。

    SD-WAN Edge の静的 WAN IP アドレスと関連するファイアウォールの構成が完了すると、SD-WAN Edge のインターネット ステータスに「接続済み (Connected)」と表示されます。

    it-admin-topologies-edge-internet-connected

デフォルト プロファイルでの仮想 SD-WAN Edge の有効化

  1. SD-WAN Orchestrator にログインします。
  2. デフォルトの VPN プロファイルにより、SD-WAN Edge 500 をアクティベーションすることができます。

Hub 1 SD-WAN Edge の有効化

  1. [構成 (Configure)] > [Edge (Edges)] に移動して新しい SD-WAN Edge を追加します。適切なモデルとプロファイル(クイック スタート VPN プロファイルを使用)を指定します。
  2. ハブの SD-WAN Edge (DC1-VCE) に移動し、通常のアクティベーション プロセスに従います。E メール機能がすでに設定されている場合は、そのメール アドレスにアクティベーション メールが送信されます。それ以外の場合は、デバイス設定ページに移動してアクティベーション URL を取得します。
  3. アクティベーション URL をコピーして、SD-WAN Edge に接続されている PC のブラウザに貼り付けます。または、PC のブラウザでアクティベーション URL をクリックします。
  4. [アクティベーション (Activate)] ボタンをクリックします。
  5. [DC1-VCE ] データセンター ハブは稼動状態になります。[監視 (Monitor)] > [Edge (Edges)] の順に移動します。[Edge の概要 (Edge Overview)] タブをクリックします。パブリック WAN リンクのキャパシティが、正しいパブリック IP アドレス [71.6.4.9] および ISP とともに検出されます。

    activate-hub-1

  6. [構成 (Configure)] > [Edge (Edges)] の順に移動し、[DC1-VCE] を選択します。[デバイス (Device)] タブに移動し、[インターフェイス設定 (Interface Settings)] まで下にスクロールします。

    登録プロセスにより、ローカル ユーザー インターフェイスで構成された静的 WAN IP アドレスおよびゲートウェイが SD-WAN Orchestrator に通知されることがわかります。VMware の構成は、それに応じて更新されます。

    wan-static-ip-address-gateway-configured-ui

  7. 下にスクロールして、[WAN 設定 (WAN Settings)] セクションに移動します。[リンク タイプ (Link Type)] は、[パブリック有線 (Public Wired)] として自動的に識別されます。

    wan-setting-ui

Hub 1 SD-WAN Edge でのプライベート WAN リンクの構成

  1. SD-WAN Orchestrator から直接プライベート MPLS Edge WAN インターフェイスを構成します。[構成 (Configure)] > [Edge (Edges)] の順に移動し、[DC1-VCE] を選択します。[デバイス (Device)] タブに移動し、[インターフェイス設定 (Interface Settings)] セクションまで下にスクロールします。GE3 の静的 IP アドレスを [172.31.2.1/24] に設定し、デフォルト ゲートウェイを [172.31.2.2] に設定します。[WAN オーバーレイ (WAN Overlay)][ユーザー定義のオーバーレイ (User Defined Overlay)] を選択します。これにより、次の手順で WAN リンクを手動で定義できるようになります。

    it-admin-topologies-edge-hub1-private-wan-link

  2. [WAN 設定 (WAN Settings)] で、[ユーザー定義の WAN オーバーレイの追加 (Add User Defined WAN Overlay)] ボタンをクリックします(次の画面キャプチャを参照)。

    it-admin-topologies-edge-hub1-add-user-defined-overlay

  3. MPLS パスの WAN オーバーレイを定義します。[リンク タイプ (Link Type)][プライベート (Private)] を選択し、[IP アドレス (IP Address)] フィールドに WAN リンクのネクスト ホップ IP アドレス (172.31.2.2) を指定します。インターフェイスとして [GE3] を選択します。[詳細 (Advanced)] ボタンをクリックします。

    define-wan-overlay-for-the-mpls-path

    [ヒント:]ハブ サイトには通常、ブランチよりも多くの帯域幅があります。帯域幅の自動検出を選択すると、ハブ サイトは最初のピア(たとえば起動した最初のブランチ)で帯域幅テストを実行し、不正な WAN 帯域幅を検出することになります。ハブ サイトの場合、常に WAN 帯域幅を手動で定義する必要があります。これは、詳細設定で行われます。

  4. プライベート WAN 帯域幅は、詳細設定で指定されます。次のスクリーンショットは、ハブの対称 MPLS リンクの 5 Mbps のアップストリームとダウンストリームの帯域幅の例を示しています。

    topologies-edge-hub1-new-link-advanced-settings

  5. WAN リンクが構成されていることを確認し、変更を保存します。

    it-admin-topologies-edge-hub1-validate-wan-link

    これで、ハブでの SD-WAN Edge の構成が完了しました。ブランチ SD-WAN Edge を有効にするまで、追加したユーザー定義の MPLS オーバーレイは表示されません。

(オプション)管理 IP アドレスを使用した LAN インターフェイスの構成

  1. [構成 (Configure)] > [Edge (Edges)] の順に移動し、[DC1-VCE] を選択します。
  2. [デバイス (Device)] タブに移動し、[VLAN 設定 (VLAN Settings)] セクションまで下にスクロールします。
  3. [編集 (Edit)] をクリックして、インターフェイスの IP アドレスを構成します。

    configure-the-lan-interface-with-management-ip

L3 スイッチの背後にある LAN ネットワークへのスタティック ルートの構成

L3 スイッチを介して [172.30.0.0/24] サブネットにスタティック ルートを追加します。ネクスト ホップへのルーティングに使用するインターフェイス GE3 を指定する必要があります。他の SD-WAN Edges が L3 スイッチの背後にあるこのサブネットについて学習できるように、[アドバタイズ (Advertise)] チェックボックスを必ずオンにしてください(次の画面キャプチャを参照)。configure-static-route-to-lan-network-behind-l3-switch

Silver 1 サイトを構成して有効にする

この手順は、シルバー サイトで SD-WAN Edge を挿入するための一般的なワークフローを理解するのに役立ちます。SD-WAN Edge はパスの外部に挿入され、L3 スイッチに従ってトラフィックをリダイレクトします。以下に、配線と IP アドレスの情報の例を示します。

topology-configure-and-activate-silver-1-site

Silver 1 サイト ブランチ SD-WAN Edge のアクティベーション

この例では、SD-WAN Edge が DHCP を使用してパブリック IP アドレスを取得することを前提としているため、構成は必要ありません。SD-WAN Edge は、デフォルトの構成で出荷され、すべてのルーティング インターフェイスで DHCP を使用します。

  1. [SILVER1-DCE] という新しい Edge を作成し、適切なモデルと構成プロファイルを選択します(下の図を参照)。

    create-new-edge-silver-site

  2. PC を Edge の LAN または Wi-Fi に接続して、この SD-WAN Edge をアクティベーションします。
  3. SD-WAN Edge は、1 つのパブリック リンクを使用して SD-WAN Orchestrator でアクティベーションになります。これで、プライベート WAN リンクを構成できるようになりました。

Silver 1 サイト SD-WAN Edge でのプライベート WAN リンクの構成

この時点で、SD-WAN Edge から L3 スイッチへの IP アドレス接続を構築する必要があります。

  1. [構成 (Configure)] > [Edge (Edges)] の順に移動し、[SILVER1-VCE] を選択し、[デバイス (Device)] タブに移動して、[インターフェイス設定 (Interface Settings)] セクションまで下にスクロールします。GE3 の静的 IP アドレスを [10.12.1.1/24] に設定し、デフォルト ゲートウェイを [10.12.1.2] に設定します。[WAN オーバーレイ (WAN Overlay)][ユーザー定義のオーバーレイ (User Defined Overlay)] を選択します。これにより、次の手順で WAN リンクを手動で定義できるようになります。
    configure-private-wan-link-on-silver1-site-edge
  2. [WAN 設定 (WAN Settings)] セクションで、[ユーザー定義の WAN オーバーレイの追加 (Add User Defined WAN Overlay)] をクリックします。configure-private-wan-link-on-silver1-site-edge-add-user-defined-wan-overlay
  3. MPLS パスの WAN オーバーレイを定義します。[リンク タイプ (Link Type)][プライベート (Private)] を選択します。[IP アドレス (IP Address)] フィールドに、WAN リンクのネクスト ホップ IP アドレス (10.12.1.2) を指定します。インターフェイスとして [GE3] を選択します。[詳細 (Advanced)] ボタンをクリックします。
    configure-private-wan-link-on-silver1-site-edge-define-the-wan-overlay
    [ヒント:]ハブはすでにセットアップされているため、帯域幅を自動検出しても問題ありません。このブランチは、ハブで帯域幅テストを実行して、リンク帯域幅を検出します。
  4. [帯域幅測定 (Bandwidth Measurement)] を [帯域幅の測定 (Measure Bandwidth)] に設定します。これにより、ブランチ SD-WAN EdgeSD-WAN Gateway に接続したときと同じように、ハブ SD-WAN Edge で帯域幅テストを実行します。
  5. WAN リンクが構成されていることを確認し、変更を保存します(次の画面キャプチャを参照)。

    configure-private-wan-link-on-silver-1-site-edge-validate-wan-link

(オプション)管理 IP アドレスを使用した LAN インターフェイスの構成

  1. [構成 (Configure)] > [Edge (Edges)] の順に移動し、[SILVER1-VCE] を選択します。[デバイス (Device)] タブに移動し、[VLAN 設定 (VLAN Settings)] セクションまで下にスクロールします。[編集 (Edit)] をクリックします。LAN および管理インターフェイスの IP アドレスを構成します。configure-lan-interface-management-ip

L3 スイッチの背後にある LAN ネットワークへのスタティック ルートの構成

L3 スイッチを介して [192.168.128.0/24] にスタティック ルートを追加します。インターフェイス GE3 を指定する必要があります。他の SD-WAN Edges が L3 スイッチの背後にあるこのサブネットについて学習できるように、[アドバタイズ (Advertise)] チェックボックスを必ずオンにしてください(次の画面キャプチャを参照)。
configure-static-route-to-lan-network-behind-l3-switch-add-static-route

ブランチからハブへのトンネル(Silver 1 から Hub 1)を有効にする

この手順は、ブランチからハブへのオーバーレイ トンネルを構築するのに役立ちます。この時点では、リンクが稼動していることがわかりますが、これは、ハブへのトンネルではなく、インターネット パスを介した SD-WAN Gateway へのトンネルであることに注意してください。クラウド VPN を有効にして、ブランチからハブへのトンネルを確立できるようにする必要があります。

これで、ブランチからハブへのトンネルを構築する準備ができました。

SD-WAN Hub トンネルへのクラウド VPN と Edge を有効にする

  1. 手順 1:[構成 (Configure)] > [プロファイル (Profiles)] に移動し、[クイック スタート VPN プロファイル (Quick Start VPN Profile)] を選択して [デバイス (Device)] タブに移動します。クラウド VPN を有効にして、次の手順を実行します。
    • [ブランチからハブ (Branch to Hub)] で、[有効化 (Enable)] チェックボックスをオンにします。
    • [ブランチ間 VPN (Branch to Branch VPN)] で、[有効化 (Enable)] チェックボックスをオンにします。
    • [ブランチ間 VPN (Branch to Branch VPN)] で、[クラウド ゲートウェイを使用 (Use Cloud Gateways)] チェックボックスをオフにします。これを行うと、ブランチ間 VPN の SD-WAN Gateway を介したデータ プレーンが無効になります。ブランチ間トラフィックは、ブランチ間の直接トンネルが確立されている間、(次に指定する順序付きリスト内の)ハブの 1 つを最初に通過します。
    [ハブの選択 (Select Hubs)] ボタンをクリックします。次に [DC1-VCE] を右に移動します。これにより、[DC1-VCE]SD-WAN Hub に指定されます。ハブで [DC1-VCE] をクリックし、[バックホール ハブの有効化 (Enable Backhaul Hubs)][B2B VPN ハブの有効化 (Enable B2B VPN Hubs)] の両方のボタンをクリックします。ブランチ間トラフィックとハブへのバックホール インターネット トラフィックの両方に同じ [DC1-VCE] を使用します。[クラウド VPN (Cloud VPN)] セクションで、[DC1-VCE] が両方の SD-WAN Hubs として表示され、ブランチ間 VPN ハブで使用されるようになります。
  2. この時点で、ブランチとハブ SD-WAN Edges の間の直接トンネルが稼動状態になります。debug コマンドを実行してもブランチとハブ間の直接トンネルが表示されます。次の例は、[SILVER1-VCE] からのものです。[71.6.4.9][172.31.2.1] への追加トンネルがあることに注意してください。これらは、ハブ SD-WAN Edge への直接トンネルです(パブリック インターネット経由の GE2 およびプライベート リンク経由の GE3)。

Bronze 1 サイトを構成して有効にする

この手順は、ブロンズ サイト(1 つの DIA と 1 つのブロードバンドを持つデュアル インターネット サイト)の作成に役立ちます。以下に、配線と IP アドレスの情報の例を示します。[BRONZE1-VCE] SD-WAN Edge LAN があり、SD-WAN Edge をアクティベーションします。両方の WAN インターフェイスに DHCP を使用するため、WAN での構成は必要ありません。

Hub 2 を構成して有効にする

この手順は、ワンアームのハブ展開で一般的に使用される「IP アドレスによるステアリング」を構成するのに役立ちます。以下に、配線と IP アドレスの情報の例を示します。ワンアーム展開では、同じトンネル送信元 IP アドレスを使用して、異なるパス上にオーバーレイを作成できます。
topology-configure-and-activate-hub-2

Hub 2 SD-WAN Edge を構成してインターネットに接続する

  1. PC を SD-WAN Edge に接続し、ブラウザを使用して http://192.168.2.1 にアクセスします。
  2. 最初の WAN インターフェイスである GE2 を構成して、インターネットに接続するようにハブ SD-WAN Edge を構成します。
    configure-activate-hub-2-configure-hub-to-reach-internet

Hub 2 SD-WAN EdgeSD-WAN Orchestrator に追加してアクティベーションする

この手順では、[DC2.VCE] という 2 番目のハブ SD-WAN Edge を作成します。

  1. SD-WAN Orchestrator で、[構成 (Configure)] > [Edge (Edges)] の順に移動し、[新規 Edge (New Edge)] を選択して新しい SD-WAN Edge を追加します。
    add-hub-edge-to-orchestrator-activate
  2. [構成 (Configure)] > [Edge (Edges)] の順に移動して、作成した SD-WAN Edge を選択し、[デバイス (Device)] タブに移動して、前の手順で構成したのと同じインターフェイスと IP アドレスを構成します。
    add-hub-edge-to-orchestrator-activate-configure-interface
    重要: SD-WAN Edge をワンアーム モード(同じ物理インターフェイスですが、このインターフェイスからの複数のオーバー トンネルがあります)でデプロイしているため、[WAN オーバーレイ (WAN Overlay)] を [ユーザー定義 (User Defined)] に指定することが重要です。
  3. この時点で、オーバーレイを作成する必要があります。[WAN 設定 (WAN Settings)] で、[ユーザー定義の WAN オーバーレイの追加 (Add User Defined WAN Overlay)] をクリックします。
  4. パブリック リンクにオーバーレイを作成します。この例では、[172.29.0.4] のネクスト ホップ IP アドレスを使用して、ファイアウォールを介してインターネットに接続します。ファイアウォールはすでにトラフィックを [209.116.155.31] に NAT するように構成されています。
  5. 2 つ目のオーバーレイをプライベート ネットワークに追加します。この例では、これは MPLS レグで、[DC2-VCE] はハブであるため、ネクスト ホップ ルーター [172.29.0.1] を指定し、さらに帯域幅を指定します。
    add-hub-edge-to-orchestrator-activate-add-second-overlay
    GE2 を介して LAN 側のサブネット [172.30.128.0/24] にスタティック ルートを追加します(次の画面キャプチャを参照)。add-hub-edge-to-orchestrator-activate-add-static-route-lan
  6. SD-WAN Edge をアクティベーションします。アクティベーションが正常に完了したら、Edge レベル構成の下にある [デバイス (Device)] タブに戻ります。[パブリック IP アドレス (Public IP)] フィールドに値が入力されていることを確認します。[概要 (Overview)] タブの [監視 (Monitor)] > [Edge (Edges)] にリンクが表示されます。(オプション)管理 IP アドレスを使用して LAN インターフェイスを構成します。[構成 (Configure)] > [Edge (Edges)] の順に移動して、[DC2-VCE] を選択します。[デバイス (Device)] タブに移動し、[VLAN 設定 (VLAN Settings)] セクションまで下にスクロールします。[編集 (Edit)] をクリックします。LAN および管理インターフェイスの IP アドレスを構成します。

クイック スタート VPN プロファイルのハブ リストに Hub 2 SD-WAN Edge を追加する

  1. [構成 (Configure)] > [プロファイル (Profiles)] に移動し、[クイック スタート VPN (Quick Start VPN)] プロファイルを選択します。
  2. [デバイス (Device)] タブに移動し、この新しい SD-WAN Edge をハブのリストに追加します。

Silver 2 サイトを構成して有効にする

この手順は、CE ルーターの背後に SD-WAN Edge があり、LAN のデフォルト ルーターとして SD-WAN Edge を使用するハイブリッド サイトであるシルバー サイトを作成するのに役立ちます。以下に、各ハードウェアの配線と IP アドレスの情報の例を示します。
topology-configure-and-activate-silver-2-site
PC を SD-WAN Edge の LAN または Wi-Fi に接続し、ブラウザを使用して http://192.168.2.1 にアクセスします。