Visão geral

Para configurar o SD-WAN Edge numa configuração de dois braços:

1. Configurar e ativar o hub 1
2. Configurar e ativar o site Silver 1
3. Ativar o túnel ramo a hub (Silver 1 a hub 1)
4. Configurar e ativar o site Bronze 1
5. Configurar e ativar o hub 2
6. Configurar e ativar o site Silver 2

As secções seguintes descrevem os passos mais detalhadamente.

Configurar e ativar o hub 1

Este passo ajuda-o a compreender o fluxo de trabalho típico de como trazer o SD-WAN Edge para o local do hub. O SD-WAN Edge é implementado com duas interfaces (uma interface para cada ligação WAN).

O Edge virtual será utilizado como um hub. Abaixo está um exemplo da informação dos fios e endereço IP.

Configure o SD-WAN Edge do hub 1 para aceder à Internet via a IU local

Como este é o site do centro de dados/hub, é improvável que o SD-WAN Edge possa obter o IP WAN utilizando o DHCP. Assim, terá de ativar primeiro o SD-WAN Edge para se ligar à Internet através da firewall do centro de dados para que o SD-WAN Edge possa ser ativado.

1. Ligue um PC a uma porta LAN predefinida no SD-WAN Edge (por exemplo, se for um Edge 3800, as portas LAN predefinidas serão GE1 e GE2). Por predefinição, estas portas têm o serviço DHCP ativado e fornecem um endereço IP ao PC no intervalo 192.168.2.0/24.
2. No PC, navegue para http://192.168.2.1 (a interface Web local do SD-WAN Edge). Clique na ligação rever a configuração (review the configuration).

   

3. Configure o IP WAN estático GE2 e o gateway predefinido do SD-WAN Edge para que possa aceder à Internet.
   Clique em Guardar (Save) e forneça o início de sessão/palavra-passe do administrador/administrador (admin/admin).

   Nota: A mesma configuração também pode ser feita através do SASE Orchestrator. Nesse caso, o URL de ativação incorporará a configuração de endereço IP e será enviado para o SD-WAN Edge durante a ativação. Este é o método preferencial.

   Normalmente, no site do centro de dados/hub, o endereço IP estático será atribuído a si e o administrador de TI da empresa irá configurar a firewall para traduzir o SD-WAN Edge IP WAN para um IP público e também filtrar o tráfego apropriado (saída: TCP/443, entrada: UDP/2426, UDP/500, UDP/4500).

   

4. Neste ponto, o estado da Internet deve mostrar Ligado (Connected).

   Após a configuração do endereço IP WAN estático do SD-WAN Edge e da configuração da firewall associada, o estado de Internet do SD-WAN Edge mostra “Ligado” (Connected).

   

Ative o SD-WAN Edge no perfil predefinido

1. Inicie sessão no SASE Orchestrator.
2. O perfil VPN predefinido permite a ativação do SD-WAN Edge.

Ativar o SD-WAN Edge do hub 1

1. Aceda a Configurar > Edges (Configure > Edges) e adicione um novo SD-WAN Edge. Especifique o modelo e o perfil corretos (utilizamos o perfil VPN de ramo).
2. Aceda ao SD-WAN Edge (DC1-VCE) do hub e siga o processo de ativação normal. Se já tiver a funcionalidade de e-mail configurada, será enviado um e-mail de ativação para esse endereço de e-mail. Caso contrário, pode aceder à página de definição do dispositivo para obter o URL de ativação.
3. Copie o URL de ativação e cole-o no navegador do PC ligado ao SD-WAN Edge ou clique no URL de ativação do browser do PC.
4. Clique no botão Ativar (Activate).
5. Agora, o hub do centro de dados DC1-VCE deve estar ativo. Aceda a Monitor > Edges. Clique no separador Visão geral do Edge (Edge Overview). A capacidade da ligação WAN pública é detetada juntamente com o ISP e IP público 238.162.42.202 corretos.

   

6. Aceda a Configurar > Edges (Configure > Edges) e selecione DC1-VCE. Aceda ao separador Dispositivo (Device) e navegue para as Definições de interface (Interface Settings).

   Verá que o processo de registo notifica o SASE Orchestrator do endereço IP WAN estático e gateway que foi configurado através do UI local. A configuração no SASE Orchestrator será atualizada em conformidade.

7. Navegue para a secção Definições WAN (WAN Settings). O tipo de ligação deve ser automaticamente identificado como Pública com fios (Public Wired).

Configurar a ligação WAN privada no SD-WAN Edge do hub 1

1. Configure a interface MPLS Edge WAN privada diretamente no SASE Orchestrator. Aceda a Configurar -> Edges (Configure -> Edges) e escolha DC1-VCE. Aceda ao separador Dispositivo (Device) e navegue para a secção Definições de interface (Interface Settings). Configure o IP estático no GE3 como 172.31.2.1/24 e o gateway predefinido de 172.31.2.2. Em Overlay WAN (WAN Overlay), selecione Overlay definido pelo utilizador (User Defined Overlay). Isto permitir-nos-á definir manualmente uma ligação WAN no passo seguinte.
2. Em Definições WAN (WAN Settings), clique no botão Adicionar overlay WAN definido pelo utilizador (Add User Defined WAN Overlay) (consulte a captura de ecrã).
3. Defina o overlay WAN para o caminho MPLS. Selecione o Tipo de ligação (Link Type) como Privado (Private) e especifique o IP de próximo hop (172.31.2.2) da ligação WAN no campo Endereço IP (IP Address). Escolha o GE3 como interface. Clique no botão Avançado (Advanced).

   Sugestão: o site do hub normalmente tem mais largura de banda do que os ramos. Se escolhermos a largura de banda para ser detetada automaticamente, o site do hub executará um teste de largura de banda com o seu primeiro par, por exemplo, o primeiro ramo que aparece, e acabará por detetar uma largura de banda WAN incorreta. Para o site do hub, deve definir sempre a largura de banda WAN manualmente, o que é feito nas definições avançadas.

4. A largura de banda WAN privada é especificada nas definições avançadas. O ecrã abaixo mostra um exemplo de largura de banda a montante e a jusante de 5 Mbps para uma ligação MPLS simétrica no hub.
5. Valide se a ligação WAN está configurada e guarde as alterações.

   Terminou a configuração do SD-WAN Edge no hub. Não poderá ver o overlay de MPLS definido pelo utilizador que acabou de adicionar até ativar um SD-WAN Edge do ramo.

Configurar o caminho estático para a rede LAN atrás do switch L3

Adicione um caminho estático à sub-rede 172.30.0.0/24 através do switch L3. Tem de especificar a interface GE3 a utilizar para o routing até ao próximo hop. Certifique-se de que ativa a caixa de verificação Anunciar (Advertise) para que outro SD-WAN Edge possa programar esta sub-rede atrás do interruptor L3. Para obter mais informações, consulte Configurar as definições de caminho estático.

Configurar e ativar o site Silver 1

Este passo ajuda-o a compreender o fluxo de trabalho típico de como introduzir o SD-WAN Edge num site Silver. O SD-WAN Edge é inserido fora do caminho e conta com o switch L3 para redirecionar o tráfego para o mesmo. Abaixo está um exemplo da informação de cablagem e endereços IP.

Active o SD-WAN Edge do ramo do site Silver 1

Neste exemplo, assumimos que o SD-WAN Edge obtém o seu endereço IP público utilizando o DHCP, pelo que não é necessária configuração. O SD-WAN Edge vem com uma configuração predefinida para utilizar o DHCP em todas as interfaces routed.

1. Aceda a Configurar (Configure) > Perfil (Profile) > Novo perfil (New Profile) > Criar (Create) um perfil de ramo e ative o VPN de cloud.
2. Crie um novo Edge SILVER1-VCE e selecione o modelo e o perfil de configuração apropriados.

   

3. Ative este SD-WAN Edge ligando um PC à respetiva LAN ou Wi-Fi.
4. O SD-WAN Edge deve agora estar ativo no SASE Orchestrator com uma ligação pública. Agora podemos configurar a ligação WAN privada.

Configurar a ligação WAN privada no SD-WAN Edge do site Silver 1

Neste momento, precisamos de criar a conectividade IP a partir do SD-WAN Edge em direção ao switch L3.

1. Aceda a Configurar > Edges (Configure > Edges), selecione o SILVER1-VCE, aceda ao separador Dispositivo (Device) e navegue para a secção Definições de interface (Interface Settings). Configure o IP estático no GE3 como 10.12.1.1/24 e o gateway predefinido de 10.12.1.2. Em Overlay WAN (WAN Overlay), selecione Overlay definido pelo utilizador (User Defined Overlay). Isto permite definir manualmente uma ligação WAN.
2. Na secção Definições WAN (WAN Settings), clique em Adicionar overlay WAN definido pelo utilizador (Add User Defined WAN Overlay).
3. Defina o overlay WAN para o caminho MPLS. Selecione o Tipo de ligação (Link Type) como Privado (Private). Especifique o IP de próximo hop (10.12.1.2) da ligação WAN no campo Endereço IP (IP Address). Escolha o GE3 como interface. Clique no botão Avançado (Advanced). Sugestão: uma vez que o hub já foi configurado, poderá detetar automaticamente a largura de banda. Este ramo executará um teste de largura de banda com o hub para detetar a largura de banda da respetiva ligação.
4. Defina a medição da largura de banda como Medir a largura de banda (Measure Bandwidth). Isto fará com que o ramo SD-WAN Edge execute um teste de largura de banda com o SD-WAN Edge do hub tal como acontece quando se liga ao SD-WAN Gateway.
5. Valide se a ligação WAN está configurada e guarde as alterações.

Configurar o caminho estático para a rede LAN atrás do switch L3

Adicione um caminho estático a 192.168.128.0/24 através do switch L3. Tem de especificar a interface GE3. Certifique-se de que ativa a caixa de verificação Anunciar (Advertise) para que outro SD-WAN Edge programe esta sub-rede atrás do interruptor L3.

Ativar o túnel ramo a hub (Silver 1 a hub 1)

Este passo ajuda-o a criar o túnel de overlay do ramo para o hub. Note que neste momento, pode ver que a ligação está ativa, mas este é o túnel para o SD-WAN Gateway sobre o caminho da Internet e não o túnel para o hub. Teremos de ativar a VPN de cloud para que permita que o túnel do ramo para o hub seja estabelecido.

Podemos agora criar o túnel do ramo para o hub.

Ativar a VPN de cloud e o Edge no túnel do SD-WAN Hub

1. Aceda a Configurar (Configure) > Perfis (Profiles), selecione Perfil VPN de ramo (Branch VPN Profile) e aceda ao separador Dispositivo (Device). Em Serviço de VPN (VPN Service), ative o VPN de cloud e realize os seguintes passos.
   • Em Site ramo a hub (VPN permanente) [Branch to Hub Site (Permanent VPN)], selecione a caixa de verificação Ativar (Enable).
   • Em VPN ramo a ramo (Trânsito e Dinâmica) [Branch to Branch VPN (Transit & Dynamic)], marque a caixa de verificação Ativar (Enable).
   • Em VPN ramo a ramo (Trânsito e Dinâmica) [Branch to Branch VPN (Transit & Dynamic)], selecione a caixa de verificação Hubs para VPN (Hubs for VPN). Esta ação desativará o plano de dados através do SD-WAN Gateway para a VPN ramo a ramo. O tráfego de ramo a ramo passará primeiro por um dos hubs (na lista ordenada que especificará em seguida) enquanto o túnel ramo a ramo direto está a ser estabelecido.
   Clique no botão Designação de hubs (Hubs Designation) > Editar hubs (Edit Hubs). Em seguida, mova o DC1-VCE para a direita. Isto designará o DC1-VCE como um SD-WAN Hub. Clique no DC1-VCE nos hubs e clique nos botões Ativar hubs de Backhaul (Enable Backhaul Hubs) e Ativar hubs VPN ramo a ramo (Enable Branch to Branch VPN Hubs). Utilizaremos o mesmo DC1-VCE tanto para o tráfego ramo a ramo como para o tráfego da Backhaul de Internet para o hub. Na secção VPN de cloud (Cloud VPN), o DC1-VCE mostra agora como ambos os SD-WAN Hubs são utilizados para os hubs VPN ramo a ramo.
2. Neste ponto, o túnel direto entre o ramo e o hub SD-WAN Edge deve surgir. O comando de depurar mostrará agora também o túnel direto entre o ramo e o hub. O exemplo abaixo é do SILVER1-VCE. Note os túneis adicionais para 71.6.4.9 e 172.31.2.1. Estes são os túneis diretos para o hub SD-WAN Edge (GE2 sobre Internet pública e GE3 sobre ligação privada).

Configurar e ativar o site Bronze 1

Este passo ajuda a criar um site Bronze – um site de Internet duplo com um DIA e uma banda larga. Abaixo está um exemplo da informação de cablagem e endereços IP. O BRONZE1-VCE SD-WAN Edge LAN e ativa o SD-WAN Edge. Não é necessária nenhuma configuração na WAN porque utiliza DHCP para ambas as interfaces WAN.

Configurar e ativar o hub 2

Este passo ajuda-o a configurar o “Dirigir por endereço IP” normalmente utilizado em implementações de hubs de um braço. Abaixo está um exemplo da informação dos fios e endereço IP. Com a implementação de um braço, o mesmo IP de origem do túnel pode ser utilizado para criar o overlay em diferentes caminhos.

Configurar o SD-WAN Edge do hub 2 para aceder à Internet

1. Ligue um PC ao SD-WAN Edge e utilize o navegador para apontar para http://192.168.2.1.
2. Configurar o SD-WAN Edge do hub para aceder à Internet configurando a primeira interface WAN, GE2.

   

Adicione o SD-WAN Edge do hub 2 ao SASE Orchestrator e ative

Neste passo, vai criar o segundo SD-WAN Edge do hub, denominado DC2.VCE.

1. No SASE Orchestrator, aceda a Configurar > Edges (Configure > Edges), selecione Novo Edge (New Edge) para adicionar um novo SD-WAN Edge.
2. Aceda a Configurar > Edges (Configure > Edges), selecione o SD-WAN Edge que acabou de criar e, em seguida, aceda ao separador Dispositivo (Device) para configurar a mesma interface e IP que configurou no passo anterior.
   Importante: Uma vez que estamos a implementar o SD-WAN Edge no modo de um braço (mesma interface física, mas haverá vários túneis a partir desta interface), é importante especificar o overlay WAN a ser definido pelo utilizador.
3. Neste momento, é necessário criar o overlay. Em Definições WAN (WAN Settings), clique em Adicionar overlay WAN definido pelo utilizador (Add User Defined WAN Overlay).
4. Crie um overlay através da ligação pública. No nosso exemplo, utilizaremos o IP de próximo hop de 172.29.0.4 para aceder à Internet através da firewall. A firewall já está configurada para NAT o tráfego para 209.116.155.31.
5. Adicione o segundo overlay através da rede privada. Neste exemplo, especificamos o router de próximo hop 172.29.0.1 e especificamos também a largura de banda, uma vez que esta é a ramificação MPLS e DC2-VCE é um hub. Adicione um caminho estático à sub-rede do lado da LAN, 172.30.128.0/24 através do GE2.
6. Ative o SD-WAN Edge. Depois de a ativação ter sido bem-sucedida, volte ao separador Dispositivo (Device) na configuração do nível de Edge. Note que o campo do IP público está agora preenchido. Deverá agora ver as ligações em Monitor > Edges (Monitor > Edges), no separador Visão geral (Overview).

Adicione o SD-WAN Edge do hub 2 à lista de hubs no perfil VPN de ramo

1. Aceda a Configurar > Perfis (Configure > Profiles) e selecione o perfil VPN de início rápido (Quick Start VPN).
2. Aceda ao separador Dispositivo (Device) e adicione este novo SD-WAN Edge a uma lista de hubs.

Configurar e ativar o site Silver 2

Este passo ajuda-o a criar um site Silver – um site híbrido, que tem o SD-WAN Edge atrás do router CE, bem como o SD-WAN Edge como o router predefinido para a LAN. Abaixo está um exemplo da informação dos fios e endereço IP para cada hardware.

Ligue um PC à LAN ou Wi-Fi do SD-WAN Edge e utilize o navegador para apontar para http://192.168.2.1.