本節提供在雙臂組態中設定 SD-WAN Edge 的概觀。

概觀

若要在雙臂組態中設定 SD-WAN Edge

  1. 設定並啟動中樞 1
  2. 設定並啟動銀級 1 站台
  3. 啟用分支到中樞的通道 (銀級 1 到中樞 1)
  4. 設定並啟動銅級 1 站台
  5. 設定並啟動中樞 2
  6. 設定並啟動銀級 2 站台

以下幾節將詳細說明相關步驟。

設定並啟動中樞 1

此步驟可協助您瞭解如何在中樞位置啟動 SD-WAN Edge 的一般工作流程。SD-WAN Edge 可使用兩個介面進行部署 (每個 WAN 連結使用一個介面)。

您將使用虛擬 Edge 作為中樞。以下是線路和 IP 位址資訊的範例。

configure-activate-hub-1

透過本機 UI 將中樞 1 SD-WAN Edge 設定為連線至網際網路

由於這是資料中心/中樞站台,因此 SD-WAN Edge 無法使用 DHCP 取得其 WAN IP。因此,您必須先啟用 SD-WAN Edge 以透過資料中心防火牆連線至網際網路,之後才能啟用 SD-WAN Edge

  1. 將 PC 連線至 SD-WAN Edge 上的預設 LAN 連接埠 (例如,如果這是 Edge 3800,則預設 LAN 連接埠是 GE1 和 GE2)。依預設,這些連接埠已啟用 DHCP 服務,且會提供 192.168.2.0/24 範圍內的 IP 位址給您的 PC。
  2. 從電腦瀏覽至 http://192.168.2.1 (SD-WAN Edge 的本機 Web 介面)。按一下連結檢閱組態 (review the configuration)

    it-admin-topologies-edge-hub1-review-configuration

  3. 設定 SD-WAN Edge 的 GE2 靜態 WAN IP 和預設閘道,使其能夠連線至網際網路。
    按一下 儲存 (Save),並提供 管理員/管理員 (admin/admin) 的登入/密碼。
    備註: 也可以透過 SASE Orchestrator 完成相同的組態。在這種情況下,啟用 URL 將納入 IP 位址組態,且會在啟用期間推送至 SD-WAN Edge。這是慣用方法。

    一般而言,在資料中心/中樞站台上,系統會將靜態 IP 位址指派給您,而企業 IT 管理員會設定防火牆以將 SD-WAN Edge WAN IP 轉譯為公用 IP,同時篩選適當的流量 (輸出:TCP/443、輸入:UDP/2426、UDP/500、UDP/4500)。

    it-admin-topologies-edge-hub1-set-static-ip

  4. 此時,網際網路狀態應會顯示為「已連線」。

    SD-WAN Edge 靜態 WAN IP 位址和相關聯的防火牆組態設定完成後,SD-WAN Edge 網際網路狀態會顯示為「已連線」。

    it-admin-topologies-edge-internet-connected

在預設設定檔中啟用 SD-WAN Edge

  1. 登入 SASE Orchestrator
  2. 預設 VPN 設定檔可讓您啟用 SD-WAN Edge

啟動中樞 1 SD-WAN Edge

  1. 移至設定 (Configure) > Edge,然後新增 SD-WAN Edge。指定正確的型號和設定檔 (我們使用分支 VPN 設定檔)。
  2. 移至中樞 SD-WAN Edge (DC1-VCE),然後依照一般啟用程序操作。如果您已設定電子郵件功能,則會將啟用電子郵件傳送至該電子郵件地址。若未設定,您可以移至裝置設定頁面取得啟用 URL。
  3. 複製啟用 URL 並將其貼到連線至 SD-WAN Edge 之電腦上的瀏覽器,或直接從電腦瀏覽器中按一下啟用 URL。
  4. 按一下啟動 (Activate) 按鈕。
  5. 現在,DC1-VCE 資料中心中樞應會啟動。移至監控 (Monitor) > Edge。按一下 Edge 概觀 (Edge Overview) 索引標籤。系統會偵測公用 WAN 連結容量,以及正確的公用 IP 238.162.42.202 和 ISP。

    activate-hub-1

  6. 移至設定 (Configure) > Edge,然後選取 DC1-VCE。移至裝置 (Device) 索引標籤,然後向下捲動至介面設定 (Interface Settings)

    您將會看到登錄程式通知 SASE Orchestrator 已透過本機 UI 設定靜態 WAN IP 位址和閘道。SASE Orchestrator 的組態會據以更新。

  7. 向下捲動至 WAN 設定 (WAN Settings) 區段。連結類型應自動識別為公用有線 (Public Wired)

在中樞 1 SD-WAN Edge 上設定私人 WAN 連結

  1. 直接從 SASE Orchestrator 設定私人 MPLS Edge WAN 介面。移至設定 (Configure) > Edge,然後選擇 DC1-VCE。移至裝置 (Device) 索引標籤,然後向下捲動至 [介面設定 (Interface Settings)] 區段。在 GE3 上將靜態 IP 設定為 172.31.2.1/24,並設定預設閘道 172.31.2.2。在 WAN 覆疊 (WAN Overlay) 下,選取使用者定義的覆疊 (User Defined Overlay)。這可以讓我們在下一個步驟中手動定義 WAN 連結。
  2. WAN 設定 (WAN Settings) 下,按一下新增使用者定義的 WAN 覆疊 (Add User Defined WAN Overlay) 按鈕 (請參閱下列螢幕擷取畫面)。
  3. 為 MPLS 路徑定義 WAN 覆疊。選取私人 (Private)連結類型 (Link Type),然後在 [IP 位址 (IP Address)] 欄位中指定 WAN 連結的下一個躍點 IP (172.31.2.2)。選擇 GE3 作為介面。按一下進階 (Advanced) 按鈕。

    提示:中樞站台通常會比分支具有更多頻寬。如果選擇自動探索頻寬,中樞站台將會對第一個對等執行頻寬測試 (例如,第一個啟動的分支),且將停止探索不正確的 WAN 頻寬。對於中樞站台,您應一律以手動方式定義 WAN 頻寬 (在進階設定中執行)。

  4. 在進階設定中指定私人 WAN 頻寬。下方的螢幕擷取畫面顯示中樞上對稱 MPLS 連結 5 Mbps 的上游和下游頻寬範例。
  5. 驗證已設定 WAN 連結,並儲存變更。

    您已完成在中樞上設定 SD-WAN Edge 的作業。在啟用分支 SD-WAN Edge 前,您將不會看到剛才新增的使用者定義 MPLS 覆疊。

如需詳細資訊,請參閱:

在 L3 交換器後方設定 LAN 網路的靜態路由

透過 L3 交換器將靜態路由新增至 172.30.0.0/24 子網路。您必須指定要用來路由至下一個躍點的介面 GE3。請務必啟用 [通告 (Advertise)] 核取方塊,使其他 SD-WAN Edge 能在 L3 交換器後方學習此子網路。如需詳細資訊,請參閱設定靜態路由設定

設定並啟動銀級 1 站台

此步驟可協助您瞭解如何在銀級站台插入 SD-WAN Edge 的一般工作流程。SD-WAN Edge 會在路徑外插入,並依賴 L3 交換器來重新導向流量。以下是線路和 IP 位址資訊的範例。

topology-configure-and-activate-silver-1-site

啟動銀級 1 站台分支 SD-WAN Edge

在此範例中,我們假設 SD-WAN Edge 使用 DHCP 取得其公用 IP 位址,因此不需要進行任何設定。SD-WAN Edge 隨附可在所有路由介面上使用 DHCP 的預設組態。

  1. 移至設定 (Configure) > 設定檔 (Profile) > 新增設定檔 (New Profile) > 建立分支設定檔 (Create a Branch Profile),然後開啟 [雲端 VPN (Cloud VPN)]。
  2. 建立新的 Edge SILVER1-VCE,然後選取適當的型號和組態設定檔。

    create-new-edge-silver-site

  3. 將電腦連線至其 LAN 或 Wi-Fi 以啟動此 SD-WAN Edge
  4. SD-WAN Edge 此時應會在 SASE Orchestrator 中處於作用中狀態,且具有一個公用連結。我們現在可以設定私人 WAN 連結。

在銀級 1 站台 SD-WAN Edge 上設定私人 WAN 連結

此時,我們必須建置從 SD-WAN Edge 到 L3 交換器的 IP 連線。

  1. 移至設定 (Configure) > Edge,選取 SILVER1-VCE 並移至 [裝置 (Device)] 索引標籤,然後向下捲動至 [介面設定 (Interface Settings)] 區段。在 GE3 上將靜態 IP 設定為 10.12.1.1/24,並設定預設閘道 10.12.1.2。在 WAN 覆疊 (WAN Overlay) 下,選取使用者定義的覆疊 (User Defined Overlay)。這允許手動定義 WAN 連結。
  2. WAN 設定 (WAN Settings) 區段下,按一下新增使用者定義的 WAN 覆疊 (Add User Defined WAN Overlay)
  3. 為 MPLS 路徑定義 WAN 覆疊。選取私人 (Private)連結類型 (Link Type)。在 [IP 位址 (IP Address)] 欄位中指定 WAN 連結的下一個躍點 IP (10.12.1.2)。選擇 GE3 作為介面。按一下進階 (Advanced) 按鈕。提示:由於中樞已設定,因此可以自動探索頻寬。此分支將對中樞執行頻寬測試,以探索其連結頻寬。
  4. 將頻寬測量設定為測量頻寬 (Measure Bandwidth)。這將導致分支 SD-WAN Edge 對中樞 SD-WAN Edge 執行頻寬測試,如同連線至 SD-WAN 閘道 時所發生的情況。
  5. 驗證已設定 WAN 連結,並儲存變更。

在 L3 交換器後方設定 LAN 網路的靜態路由

透過 L3 交換器將靜態路由新增至 192.168.128.0/24。您必須指定介面 GE3。請務必啟用 [通告 (Advertise)] 核取方塊,使其他 SD-WAN Edge 在 L3 交換器後方學習此子網路。

啟用分支到中樞的通道 (銀級 1 到中樞 1)

此步驟可協助您建置從分支到中樞的覆疊通道。請注意,此時您可能會看到連結已啟動,但這是透過網際網路路徑連至 SD-WAN 閘道 的通道,而非連至中樞的通道。我們必須啟用雲端 VPN,才能建立從分支到中樞的通道。

現在您已準備就緒,可以建置從分支到中樞的通道。

啟用雲端 VPN 和 Edge 到 SD-WAN 中樞 的通道

  1. 移至設定 (Configure) > 設定檔 (Profiles),選取分支 VPN 設定檔 (Branch VPN Profile),然後移至裝置 (Device) 索引標籤。在 VPN 服務 (VPN Service) 之下,啟用 [雲端 VPN (Cloud VPN)],並執行下列動作。
    • 分支到中樞站台 (永久 VPN) (Branch to Hub Site (Permanent VPN)) 之下,勾選啟用 (Enable) 核取方塊。
    • 分支到分支 VPN (傳送和動態) (Branch to Branch VPN (Transit & Dynamic)) 之下,勾選啟用 (Enable) 核取方塊。
    • 分支到分支 VPN (傳送和動態) (Branch to Branch VPN (Transit & Dynamic)) 之下,勾選 [適用於 VPN 的中樞 (Hubs for VPN)] 核取方塊。執行此動作將會透過 SD-WAN 閘道,停用分支到分支 VPN 的資料平面。在建立分支到分支的直接通道時,分支到分支的流量會先通過其中一個中樞 (位於您後續將指定的排序清單中)。
    按一下 中樞指定 (Hubs Designation) > 編輯中樞 (Edit Hubs)。接著,將 DC1-VCE 移至右側。這會將 DC1-VCE 指定為 SD-WAN 中樞。按一下中樞中的 DC1-VCE,然後按一下啟用回傳中樞 (Enable Backhaul Hubs)啟用分支到分支 VPN 中樞 (Enable Branch to Branch VPN Hubs) 按鈕。我們會將相同的 DC1-VCE 用於分支到分支的流量和中樞的回傳網際網路流量。在 [雲端 VPN (Cloud VPN)] 區段之下,DC1-VCE 現在會顯示為兩個 SD-WAN 中樞,並且用於分支到分支 VPN 中樞。
  2. 此時,應會啟動分支與中樞 SD-WAN Edge 之間的直接通道。偵錯命令此時也會顯示分支與中樞之間的直接通道。以下是來自 SILVER1-VCE 的範例。請注意 71.6.4.9172.31.2.1 以外的通道。這些是連至中樞 SD-WAN Edge 的直接通道 (透過公用網際網路的 GE2,以及透過私人連結的 GE3)。

設定並啟動銅級 1 站台

此步驟可協助您建立銅級站台 - 具有一個 DIA 和一個寬頻的雙網際網路站台。以下是線路和 IP 位址資訊的範例。BRONZE1-VCE SD-WAN Edge LAN,並啟動 SD-WAN Edge。WAN 上不需要進行任何設定,因為它會對兩個 WAN 介面使用 DHCP。

設定並啟動中樞 2

此步驟可協助您設定通常用於單臂中樞部署中的「依 IP 位址操控」。以下是線路和 IP 位址資訊的範例。在單臂部署中,可以使用相同的通道來源 IP 在不同的路徑上建立覆疊。
topology-configure-and-activate-hub-2

設定中樞 2 SD-WAN Edge 以連線至網際網路

  1. 將電腦連線至 SD-WAN Edge,並使用瀏覽器指向 http://192.168.2.1
  2. 藉由設定第一個 WAN 介面 GE2 來設定中樞 SD-WAN Edge,以連線至網際網路。
    configure-activate-hub-2-configure-hub-to-reach-internet

將中樞 2 SD-WAN Edge 新增至 SASE Orchestrator 並啟動

在此步驟中,您將建立名為 DC2.VCE 的第二個中樞 SD-WAN Edge

  1. SASE Orchestrator 上,移至設定 (Configure) > Edge,選取新增 Edge (New Edge) 以新增 SD-WAN Edge
  2. 移至設定 (Configure) > Edge,選取您剛剛建立的 SD-WAN Edge,然後移至裝置 (Device) 索引標籤,以設定您在上一個步驟中設定的相同介面和 IP。
    重要: 由於我們將在單臂模式中部署 SD-WAN Edge (相同的實體介面,但此介面中會有多個通道),因此請務必將 WAN 覆疊指定為 [使用者定義 (User Defined)]。
  3. 此時,您必須建立覆疊。在 WAN 設定 (WAN Settings) 下,按一下新增使用者定義的 WAN 覆疊 (Add User Defined WAN Overlay)
  4. 建立跨公用連結的覆疊。在我們的範例中,我們將使用下一個躍點 IP 172.29.0.4 以透過防火牆連線至網際網路。防火牆已設定為會將流量 NAT 至 209.116.155.31
  5. 新增跨私人網路的第二個覆疊。在此範例中,我們會指定下一個躍點路由器 172.29.0.1,並指定頻寬,因為這是 MPLS Leg,DC2-VCE 是中樞。透過 GE2 將靜態路由新增至 LAN 端子網路 172.30.128.0/24
  6. 啟動 SD-WAN Edge。啟用成功後,請回到 Edge 層級組態下的裝置 (Device) 索引標籤。請注意,[公用 IP (Public IP)] 欄位現已填入。您現在應該會在概觀 (Overview) 索引標籤下方的監控 (Monitor) > Edge 中看到連結。

將中樞 2 SD-WAN Edge 新增至分支 VPN 設定檔中的中樞清單

  1. 移至設定 (Configure) > 設定檔 (Profiles),然後選取設定檔快速入門 VPN
  2. 移至裝置 (Device) 索引標籤,然後將這個新的 SD-WAN Edge 新增至中樞清單。

設定並啟動銀級 2 站台

此步驟可協助您建立銀級站台 -- 一個混合式站台 (在 CE 路由器後方有 SD-WAN Edge,且以 SD-WAN Edge 作為 LAN 的預設路由器)。以下是針對每個硬體的線路和 IP 位址資訊範例。
topology-configure-and-activate-silver-2-site
將電腦連線至 SD-WAN Edge LAN 或 Wi-Fi,然後使用瀏覽器指向 http://192.168.2.1