概要

ツーアーム設定で SD-WAN Edge を設定するには、次の手順を実行します。

1. Hub 1 を設定して有効にする
2. Silver 1 サイトを設定して有効にする
3. ブランチからハブへのトンネル（Silver 1 から Hub 1）を有効にする
4. Bronze 1 サイトを設定して有効にする
5. Hub 2 を設定して有効にする
6. Silver 2 サイトを設定して有効にする

以降のセクションでは、手順について詳しく説明します。

Hub 1 を設定して有効にする

この手順は、ハブの場所で SD-WAN Edge を起動するための一般的なワークフローを理解するのに役立ちます。SD-WAN Edge は 2 つのインターフェイス（WAN リンクごとに 1 つのインターフェイス）を使用してデプロイされます。

Virtual Edge をハブとして使用します。以下に、配線と IP アドレスの情報の例を示します。

ローカル ユーザー インターフェイスを介してインターネットにアクセスするように Hub 1 SD-WAN Edge を設定する

これはデータセンター/ハブ サイトであるため、SD-WAN Edge が DHCP を使用して WAN IP アドレスを取得することはほとんどありません。そのため、SD-WAN Edge をアクティベーションするには、まず SD-WAN Edge をデータセンターのファイアウォールを介してインターネットに接続する必要があります。

1. PC を SD-WAN Edge のデフォルトの LAN ポートに接続します（たとえば、これが Edge 3800 の場合、デフォルトの LAN ポートは GE1 と GE2 です）。これらのポートでは、デフォルトで DHCP サービスが有効になっており、192.168.2.0/24 の範囲で PC に IP アドレスが割り当てられます。
2. PC から http://192.168.2.1（SD-WAN Edge のローカル Web インターフェイス）に移動します。[設定をレビュー (review the configuration)] リンクをクリックします。

   

3. インターネットにアクセスできるように、SD-WAN Edge の GE2 の静的 WAN IP アドレスとデフォルト ゲートウェイを設定します。
   [保存 (Save)] をクリックし、ログイン/パスワード ( [admin/admin]) を入力します。

   注： 同じ設定は、 SASE Orchestrator を介して行うこともできます。その場合、アクティベーション URL には IP アドレス設定が組み込まれ、アクティベーション中に SD-WAN Edge にプッシュされます。これが推奨される方法です。

   通常、データセンター/ハブ サイトでは静的 IP アドレスが割り当てられ、エンタープライズ IT 管理者がファイアウォールを設定して SD-WAN Edge の WAN IP アドレスをパブリック IP アドレスに変換し、適切なトラフィック（送信：TCP/443、受信：UDP/2426、UDP/500、UDP/4500）をフィルタリングします。

   

4. この時点で、インターネットの状態は「接続済み (Connected)」と表示されます。

   SD-WAN Edge の静的 WAN IP アドレスと関連するファイアウォールの設定が完了すると、SD-WAN Edge のインターネット状態に「接続済み (Connected)」と表示されます。

   

デフォルト プロファイルで SD-WAN Edge をアクティベーションする

1. SASE Orchestrator にログインします。
2. デフォルトの VPN プロファイルにより、SD-WAN Edge をアクティベーションすることができます。

Hub 1 SD-WAN Edge の有効化

1. [設定 (Configure)] > [Edge (Edges)] に移動して新しい SD-WAN Edge を追加します。適切なモデルとプロファイル（ブランチ VPN プロファイルを使用）を指定します。
2. ハブの SD-WAN Edge (DC1-VCE) に移動し、通常のアクティベーション プロセスに従います。E メール機能がすでに設定されている場合は、そのメール アドレスにアクティベーション メールが送信されます。それ以外の場合は、デバイス設定ページに移動してアクティベーション URL を取得します。
3. アクティベーション URL をコピーして、SD-WAN Edge に接続されている PC のブラウザに貼り付けます。または、PC のブラウザでアクティベーション URL をクリックします。
4. [アクティベーション (Activate)] ボタンをクリックします。
5. [DC1-VCE ] データセンター ハブは稼動状態になります。[監視 (Monitor)] > [Edge (Edges)] の順に移動します。[Edge の概要 (Edge Overview)] タブをクリックします。パブリック WAN リンクのキャパシティが、正しいパブリック IP アドレス [238.162.42.202] および ISP とともに検出されます。

   

6. [設定 (Configure)] > [Edge (Edges)] の順に移動し、[DC1-VCE] を選択します。[デバイス (Device)] タブに移動し、[インターフェイス設定 (Interface Settings)] まで下にスクロールします。

   登録プロセスにより、ローカル ユーザー インターフェイスで設定された静的 WAN IP アドレスおよびゲートウェイが SASE Orchestrator に通知されることがわかります。SASE Orchestrator の設定は、それに応じて更新されます。

7. 下にスクロールして、[WAN 設定 (WAN Settings)] セクションに移動します。[リンク タイプ (Link Type)] は、[パブリック 有線 (Public Wired)] として自動的に識別されます。

Hub 1 SD-WAN Edge でのプライベート WAN リンクの設定

1. SASE Orchestrator から直接プライベート MPLS Edge WAN インターフェイスを設定します。[設定 (Configure)] > [Edge (Edges)] の順に移動し、[DC1-VCE] を選択します。[デバイス (Device)] タブに移動し、[インターフェイス設定 (Interface Settings)] セクションまで下にスクロールします。GE3 の静的 IP アドレスを [172.31.2.1/24] に設定し、デフォルト ゲートウェイを [172.31.2.2] に設定します。[WAN オーバーレイ (WAN Overlay)] で [ユーザー定義のオーバーレイ (User Defined Overlay)] を選択します。これにより、次の手順で WAN リンクを手動で定義できるようになります。
2. [WAN 設定 (WAN Settings)] で、[ユーザー定義の WAN オーバーレイの追加 (Add User Defined WAN Overlay)] ボタンをクリックします（次の画面キャプチャを参照）。
3. MPLS パスの WAN オーバーレイを定義します。[リンク タイプ (Link Type)] に [プライベート (Private)] を選択し、[IP アドレス (IP Address)] フィールドに WAN リンクのネクスト ホップ IP アドレス (172.31.2.2) を指定します。インターフェイスとして [GE3] を選択します。[詳細 (Advanced)] ボタンをクリックします。

   [ヒント：]ハブ サイトには通常、ブランチよりも多くの帯域幅があります。帯域幅の自動検出を選択すると、ハブ サイトは最初のピア（たとえば起動した最初のブランチ）で帯域幅テストを実行し、不正な WAN 帯域幅を検出することになります。ハブ サイトの場合、常に WAN 帯域幅を手動で定義する必要があります。これは、詳細設定で行われます。

4. プライベート WAN 帯域幅は、詳細設定で指定されます。次のスクリーンショットは、ハブの対称 MPLS リンクの 5 Mbps のアップストリームとダウンストリームの帯域幅の例を示しています。
5. WAN リンクが設定されていることを確認し、変更を保存します。

   これで、ハブでの SD-WAN Edge の設定が完了しました。ブランチ SD-WAN Edge を有効にするまで、追加したユーザー定義の MPLS オーバーレイは表示されません。

L3 スイッチの背後にある LAN ネットワークへのスタティック ルートの設定

L3 スイッチを介して [172.30.0.0/24] サブネットにスタティック ルートを追加します。ネクスト ホップへのルーティングに使用するインターフェイス GE3 を指定する必要があります。他の SD-WAN Edge が L3 スイッチの背後にあるこのサブネットについて学習できるように、[広報 (Advertise)] チェックボックスを必ずオンにしてください。詳細については、スタティック ルートの設定を参照してください。

Silver 1 サイトを設定して有効にする

この手順は、シルバー サイトで SD-WAN Edge を挿入するための一般的なワークフローを理解するのに役立ちます。SD-WAN Edge はパスの外部に挿入され、L3 スイッチに従ってトラフィックをリダイレクトします。以下に、配線と IP アドレスの情報の例を示します。

Silver 1 サイト ブランチ SD-WAN Edge の有効化

この例では、SD-WAN Edge が DHCP を使用してパブリック IP アドレスを取得することを前提としているため、設定は必要ありません。SD-WAN Edge は、デフォルトの設定で出荷され、すべてのルーティング インターフェイスで DHCP を使用します。

1. [設定 (Configure)] > [プロファイル (Profile)] > [新規プロファイル (New Profile)] > [作成 (Create)] に移動してブランチ プロファイルを作成し、クラウド VPN をオンにします。
2. [SILVER1-VCE] という新しい Edge を作成し、適切なモデルと設定プロファイルを選択します。

   

3. PC を Edge の LAN または Wi-Fi に接続して、この SD-WAN Edge を有効にします。
4. SD-WAN Edge は、1 つのパブリック リンクを使用して SASE Orchestrator でアクティベーションになります。これで、プライベート WAN リンクを設定できるようになりました。

Silver 1 サイト SD-WAN Edge でのプライベート WAN リンクの設定

この時点で、SD-WAN Edge から L3 スイッチへの IP アドレス接続を構築する必要があります。

1. [設定 (Configure)] > [Edge (Edges)] の順に移動し、[SILVER1-VCE] を選択し、[デバイス (Device)] タブに移動して、[インターフェイス設定 (Interface Settings)] セクションまで下にスクロールします。GE3 の静的 IP アドレスを [10.12.1.1/24] に設定し、デフォルト ゲートウェイを [10.12.1.2] に設定します。[WAN オーバーレイ (WAN Overlay)] で [ユーザー定義のオーバーレイ (User Defined Overlay)] を選択します。これにより、WAN リンクを手動で定義できます。
2. [WAN 設定 (WAN Settings)] セクションで、[ユーザー定義の WAN オーバーレイの追加 (Add User Defined WAN Overlay)] をクリックします。
3. MPLS パスの WAN オーバーレイを定義します。[リンク タイプ (Link Type)] に [プライベート (Private)] を選択します。[IP アドレス (IP Address)] フィールドに、WAN リンクのネクスト ホップ IP アドレス (10.12.1.2) を指定します。インターフェイスとして [GE3] を選択します。[詳細 (Advanced)] ボタンをクリックします。[ヒント：]ハブはすでにセットアップされているため、帯域幅を自動検出しても問題ありません。このブランチは、ハブで帯域幅テストを実行して、リンク帯域幅を検出します。
4. [帯域幅測定 (Bandwidth Measurement)] を [帯域幅の測定 (Measure Bandwidth)] に設定します。これにより、ブランチ SD-WAN Edge は SD-WAN Gateway に接続したときと同じように、ハブ SD-WAN Edge で帯域幅テストを実行します。
5. WAN リンクが設定されていることを確認し、変更を保存します。

L3 スイッチの背後にある LAN ネットワークへのスタティック ルートの設定

L3 スイッチを介して [192.168.128.0/24] にスタティック ルートを追加します。インターフェイス GE3 を指定する必要があります。他の SD-WAN Edge が L3 スイッチの背後にあるこのサブネットについて学習できるように、[広報 (Advertise)] チェックボックスを必ずオンにしてください。

ブランチからハブへのトンネル（Silver 1 から Hub 1）を有効にする

この手順は、ブランチからハブへのオーバーレイ トンネルを構築するのに役立ちます。この時点では、リンクが稼動していることがわかりますが、これは、ハブへのトンネルではなく、インターネット パスを介した SD-WAN Gateway へのトンネルであることに注意してください。クラウド VPN を有効にして、ブランチからハブへのトンネルを確立できるようにする必要があります。

これで、ブランチからハブへのトンネルを構築する準備ができました。

SD-WAN Hub トンネルへのクラウド VPN と Edge を有効にする

1. [設定 (Configure)] > [プロファイル (Profiles)] に移動し、[ブランチ VPN プロファイル (Branch VPN Profile)] を選択して [デバイス (Device)] タブに移動します。[VPN サービス (VPN Service)] でクラウド VPN を有効にして、次の手順を実行します。
   • [ブランチからハブ サイト (常時接続 VPN) (Branch to Hub Site (Permanent VPN))] で、[有効化 (Enable)] チェックボックスをオンにします。
   • [ブランチ間 VPN (トランジットと動的) (Branch to Branch VPN (Transit & Dynamic))] で、[有効化 (Enable)] チェックボックスをオンにします。
   • [ブランチ間 VPN (トランジットと動的) (Branch to Branch VPN (Transit & Dynamic))] で、[VPN 用のハブ (Hubs for VPN)] チェックボックスをオンにします。これを行うと、ブランチ間 VPN の SD-WAN Gateway を介したデータ プレーンが無効になります。ブランチ間トラフィックは、ブランチ間の直接トンネルが確立されている間、（次に指定する順序付きリスト内の）ハブの 1 つを最初に通過します。
   [ハブの指定 (Hubs Designation)] > [ハブの編集 (Edit Hubs)] ボタンをクリックします。次に [DC1-VCE] を右に移動します。これにより、[DC1-VCE] が SD-WAN Hub に指定されます。ハブで [DC1-VCE] をクリックし、[バックホール ハブの有効化 (Enable Backhaul Hubs)] と [ブランチ間 VPN ハブの有効化 (Enable Branch to Branch VPN Hubs)] の両方のボタンをクリックします。ブランチ間トラフィックとハブへのバックホール インターネット トラフィックの両方に同じ [DC1-VCE] を使用します。[クラウド VPN (Cloud VPN)] セクションで、[DC1-VCE] が両方の SD-WAN Hub として表示され、ブランチ間 VPN ハブで使用されるようになります。
2. この時点で、ブランチとハブ SD-WAN Edge の間の直接トンネルが稼動状態になります。debug コマンドを実行してもブランチとハブ間の直接トンネルが表示されます。次の例は、[SILVER1-VCE] からのものです。[71.6.4.9] と [172.31.2.1] への追加トンネルがあることに注意してください。これらは、ハブ SD-WAN Edge への直接トンネルです（パブリック インターネット経由の GE2 およびプライベート リンク経由の GE3）。

Bronze 1 サイトを設定して有効にする

この手順は、ブロンズ サイト（1 つの DIA と 1 つのブロードバンドを持つデュアル インターネット サイト）の作成に役立ちます。以下に、配線と IP アドレスの情報の例を示します。[BRONZE1-VCE] SD-WAN Edge LAN があり、SD-WAN Edge を有効にします。両方の WAN インターフェイスに DHCP を使用するため、WAN での設定は必要ありません。

Hub 2 を設定して有効にする

この手順は、ワンアームのハブ展開で一般的に使用される「IP アドレスによるステアリング」を設定するのに役立ちます。以下に、配線と IP アドレスの情報の例を示します。ワンアーム展開では、同じトンネル送信元 IP アドレスを使用して、異なるパス上にオーバーレイを作成できます。

Hub 2 SD-WAN Edge を設定してインターネットに接続する

1. PC を SD-WAN Edge に接続し、ブラウザを使用して http://192.168.2.1 にアクセスします。
2. 最初の WAN インターフェイスである GE2 を設定して、インターネットに接続するようにハブ SD-WAN Edge を設定します。

   

Hub 2 SD-WAN Edge を SASE Orchestrator に追加して有効にする

この手順では、[DC2.VCE] という 2 番目のハブ SD-WAN Edge を作成します。

1. SASE Orchestrator で、[設定 (Configure)] > [Edge (Edges)] の順に移動し、[新規 Edge (New Edge)] を選択して新しい SD-WAN Edge を追加します。
2. [設定 (Configure)] > [Edge (Edges)] の順に移動して、作成した SD-WAN Edge を選択し、[デバイス (Device)] タブに移動して、前の手順で設定したのと同じインターフェイスと IP アドレスを設定します。
   重要： SD-WAN Edge をワンアーム モード（同じ物理インターフェイスですが、このインターフェイスからの複数のオーバー トンネルがあります）でデプロイしているため、[WAN オーバーレイ (WAN Overlay)] を [ユーザー定義 (User Defined)] に指定することが重要です。
3. この時点で、オーバーレイを作成する必要があります。[WAN 設定 (WAN Settings)] で、[ユーザー定義の WAN オーバーレイの追加 (Add User Defined WAN Overlay)] をクリックします。
4. パブリック リンクにオーバーレイを作成します。この例では、[172.29.0.4] のネクスト ホップ IP アドレスを使用して、ファイアウォールを介してインターネットに接続します。ファイアウォールはすでにトラフィックを [209.116.155.31] に NAT するように設定されています。
5. 2 つ目のオーバーレイをプライベート ネットワークに追加します。この例では、これは MPLS レグで、[DC2-VCE] はハブであるため、ネクスト ホップ ルーター [172.29.0.1] を指定し、さらに帯域幅を指定します。GE2 を介して LAN 側のサブネット [172.30.128.0/24] にスタティック ルートを追加します。
6. SD-WAN Edge をアクティベーションします。アクティベーションが正常に完了したら、Edge レベル設定の下にある [デバイス (Device)] タブに戻ります。[パブリック IP アドレス (Public IP)] フィールドに値が入力されていることを確認します。[概要 (Overview)] タブの [監視 (Monitor)] > [Edge (Edges)] にリンクが表示されます。

ブランチ VPN プロファイルのハブ リストに Hub 2 SD-WAN Edge を追加する

1. [設定 (Configure)] > [プロファイル (Profiles)] に移動し、[クイック スタート VPN (Quick Start VPN)] プロファイルを選択します。
2. [デバイス (Device)] タブに移動し、この新しい SD-WAN Edge をハブのリストに追加します。

Silver 2 サイトを設定して有効にする

この手順は、CE ルーターの背後に SD-WAN Edge があり、LAN のデフォルト ルーターとして SD-WAN Edge を使用するハイブリッド サイトであるシルバー サイトを作成するのに役立ちます。以下に、各ハードウェアの配線と IP アドレスの情報の例を示します。

PC を SD-WAN Edge の LAN または Wi-Fi に接続し、ブラウザを使用して http://192.168.2.1 にアクセスします。