概觀

若要在雙臂組態中設定 SD-WAN Edge：

1. 設定並啟動中樞 1
2. 設定及啟用混合式站台 1
3. 啟用分支到中樞通道 (混合式站台 1 到中樞 1)
4. 設定及啟用僅公用 WAN 站台
5. 設定並啟動中樞 2
6. 設定及啟用混合式站台 2

以下幾節將詳細說明相關步驟。

設定並啟動中樞 1

此步驟可協助您瞭解如何在中樞位置啟動 SD-WAN Edge 的一般工作流程。SD-WAN Edge 可使用兩個介面進行部署 (每個 WAN 連結使用一個介面)。

以下是線路和 IP 位址資訊的範例。

在預設設定檔中啟用 SD-WAN Edge

1. 登入 SASE Orchestrator。
2. 預設 VPN 設定檔可讓您啟用 SD-WAN Edge。

啟動中樞 1 SD-WAN Edge

1. 移至設定 (Configure) > Edge，然後新增 SD-WAN Edge。指定正確的型號和設定檔 (我們使用分支 VPN 設定檔)。
2. 移至中樞 SD-WAN Edge (DC1-VCE)，然後依照一般啟用程序操作。如果您已設定電子郵件功能，則會將啟用電子郵件傳送至該電子郵件地址。若未設定，您可以移至裝置設定頁面取得啟用 URL。
3. 複製啟用 URL 並將其貼到連線至 SD-WAN Edge 之電腦上的瀏覽器，或直接從電腦瀏覽器中按一下啟用 URL。
4. 按一下啟動 (Activate) 按鈕。
5. 現在，DC1-VCE 資料中心中樞應會啟動。移至監控 (Monitor) > Edge。按一下 Edge 概觀 (Edge Overview) 索引標籤。系統會偵測公用 WAN 連結容量，以及正確的公用 IP 238.162.42.202 和 ISP。

   

6. 移至設定 (Configure) > Edge，然後選取 DC1-VCE。移至裝置 (Device) 索引標籤，然後向下捲動至介面設定 (Interface Settings)。

   您將會看到登錄程式通知 SASE Orchestrator 已透過本機 UI 設定靜態 WAN IP 位址和閘道。SASE Orchestrator 的組態會據以更新。

7. 向下捲動至 WAN 設定 (WAN Settings) 區段。連結類型應自動識別為公用有線 (Public Wired)。

在中樞 1 SD-WAN Edge 上設定私人 WAN 連結

1. 直接從 SASE Orchestrator 設定私人 MPLS Edge WAN 介面。移至設定 (Configure) > Edge，然後選擇 DC1-VCE。移至裝置 (Device) 索引標籤，然後向下捲動至 [介面設定 (Interface Settings)] 區段。在 GE3 上將靜態 IP 設定為 172.31.2.1/24，並設定預設閘道 172.31.2.2。在 WAN 覆疊 (WAN Overlay) 下，選取使用者定義的覆疊 (User Defined Overlay)。這可以讓我們在下一個步驟中手動定義 WAN 連結。
2. 在 WAN 設定 (WAN Settings) 下，按一下新增使用者定義的 WAN 覆疊 (Add User Defined WAN Overlay) 按鈕 (請參閱下列螢幕擷取畫面)。
3. 為 MPLS 路徑定義 WAN 覆疊。選取私人 (Private) 的連結類型 (Link Type)，然後在 [IP 位址 (IP Address)] 欄位中指定 WAN 連結的下一個躍點 IP (172.31.2.2)。選擇 GE3 作為介面。按一下進階 (Advanced) 按鈕。

   提示：中樞站台通常會比分支具有更多頻寬。如果選擇自動探索頻寬，中樞站台將會對第一個對等執行頻寬測試 (例如，第一個啟動的分支)，且將停止探索不正確的 WAN 頻寬。對於中樞站台，您應一律以手動方式定義 WAN 頻寬 (在進階設定中執行)。

4. 在進階設定中指定私人 WAN 頻寬。下方的螢幕擷取畫面顯示中樞上對稱 MPLS 連結 5 Mbps 的上游和下游頻寬範例。
5. 驗證已設定 WAN 連結，並儲存變更。

   您已完成在中樞上設定 SD-WAN Edge 的作業。在啟用分支 SD-WAN Edge 前，您將不會看到剛才新增的使用者定義 MPLS 覆疊。

在 L3 交換器後方設定 LAN 網路的靜態路由

透過 L3 交換器將靜態路由新增至 172.30.0.0/24 子網路。您必須指定要用來路由至下一個躍點的介面 GE3。請務必選取通告 (Advertise) 核取方塊，使其他 SD-WAN Edge 能在 L3 交換器後方學習此子網路。如需詳細資訊，請參閱設定靜態路由設定。

設定及啟用混合式站台 1

此步驟可協助您瞭解如何在混合式站台 1 插入 SD-WAN Edge 的一般工作流程。SD-WAN Edge 會在路徑外插入，並依賴 L3 交換器來重新導向流量。以下是線路和 IP 位址資訊的範例：

在混合式站台 1 SD-WAN Edge 上設定私人 WAN 連結

此時，我們必須建置從 SD-WAN Edge 到 L3 交換器的 IP 連線。

1. 移至設定 (Configure) > Edge，選取混合式站台 1-VCE (Hybrid Site-1-VCE)，並移至裝置 (Device) 索引標籤，然後向下捲動至介面設定 (Interface Settings) 區段。在 GE3 上將靜態 IP 設定為 10.12.1.1/24，並設定預設閘道 10.12.1.2。在 WAN 覆疊 (WAN Overlay) 下，選取使用者定義的覆疊 (User Defined Overlay)。這允許手動定義 WAN 連結。
2. 在 WAN 設定 (WAN Settings) 區段下，按一下新增使用者定義的 WAN 覆疊 (Add User Defined WAN Overlay)。
3. 為 MPLS 路徑定義 WAN 覆疊。選取私人 (Private) 的連結類型 (Link Type)。在 [IP 位址 (IP Address)] 欄位中指定 WAN 連結的下一個躍點 IP (10.12.1.2)。選擇 GE3 作為介面。按一下進階 (Advanced) 按鈕。提示：由於中樞已設定，因此可以自動探索頻寬。此分支將對中樞執行頻寬測試，以探索其連結頻寬。
4. 將頻寬測量設定為測量頻寬 (Measure Bandwidth)。這將導致分支 SD-WAN Edge 對中樞 SD-WAN Edge 執行頻寬測試，如同連線至 SD-WAN 閘道 時所發生的情況。
5. 驗證已設定 WAN 連結，並儲存變更。

在 L3 交換器後方設定 LAN 網路的靜態路由

透過 L3 交換器將靜態路由新增至 192.168.128.0/24。您必須指定介面 GE3。請務必選取通告 (Advertise) 核取方塊，使其他 SD-WAN Edge 能在 L3 交換器後方學習此子網路。

啟用分支到中樞通道 (混合式站台 1 到中樞 1)

此步驟可協助您建置從分支到中樞的覆疊通道。請注意，此時您可能會看到連結已啟動，但這是透過網際網路路徑連至 SD-WAN 閘道 的通道，而非連至中樞的通道。我們必須啟用雲端 VPN，才能建立從分支到中樞的通道。

現在您已準備就緒，可以建置從分支到中樞的通道。

啟用雲端 VPN 和 Edge 到 SD-WAN 中樞 的通道

1. 移至設定 (Configure) > 設定檔 (Profiles)，選取分支 VPN 設定檔 (Branch VPN Profile)，然後移至裝置 (Device) 索引標籤。在 VPN 服務 (VPN Service) 之下，啟用 [雲端 VPN (Cloud VPN)]，並執行下列動作：
   • 在分支到中樞站台 (永久 VPN) (Branch to Hub Site (Permanent VPN)) 之下，勾選啟用 (Enable) 核取方塊。
   • 在分支到分支 VPN (傳送和動態) (Branch to Branch VPN (Transit & Dynamic)) 之下，勾選啟用 (Enable) 核取方塊。
   • 在分支到分支 VPN (傳送和動態) (Branch to Branch VPN (Transit & Dynamic)) 之下，勾選 [適用於 VPN 的中樞 (Hubs for VPN)] 核取方塊。執行此動作將會透過 SD-WAN 閘道，停用分支到分支 VPN 的資料平面。在建立分支到分支的直接通道時，分支到分支的流量會先通過其中一個中樞 (位於您後續將指定的排序清單中)。
   按一下 中樞指定 (Hubs Designation) > 編輯中樞 (Edit Hubs)。接著，將 DC1-VCE 移至右側。這會將 DC1-VCE 指定為 SD-WAN 中樞。按一下中樞中的 DC1-VCE，然後按一下啟用回傳中樞 (Enable Backhaul Hubs) 和啟用分支到分支 VPN 中樞 (Enable Branch to Branch VPN Hubs) 按鈕。我們會將相同的 DC1-VCE 用於分支到分支的流量和中樞的回傳網際網路流量。在 [雲端 VPN (Cloud VPN)] 區段之下，DC1-VCE 現在會顯示為兩個 SD-WAN 中樞，並且用於分支到分支 VPN 中樞。
2. 此時，應會啟動分支與中樞 SD-WAN Edge 之間的直接通道。偵錯命令此時也會顯示分支與中樞之間的直接通道。

設定及啟用僅公用 WAN 站台

此步驟可協助您建立僅公用 WAN 站台，亦即，具有一個 DIA 和一個寬頻的雙網際網路站台。設定僅公用 WAN 站台-VCE SD-WAN Edge LAN，並啟用 SD-WAN Edge。WAN 上不需要進行任何設定，因為它會對兩個 WAN 介面使用 DHCP。

設定並啟動中樞 2

此步驟可協助您設定通常用於單臂中樞部署中的「依 IP 位址操控」。以下是線路和 IP 位址資訊的範例。在單臂部署中，可以使用相同的通道來源 IP 在不同的路徑上建立覆疊。

設定中樞 2 SD-WAN Edge 以連線至網際網路

1. 將電腦連線至 SD-WAN Edge，並使用瀏覽器指向 http://192.168.2.1。
2. 藉由設定第一個 WAN 介面 GE2 來設定中樞 SD-WAN Edge，以連線至網際網路。

   

將中樞 2 SD-WAN Edge 新增至 SASE Orchestrator 並啟動

在此步驟中，您將建立名為 DC2.VCE 的第二個中樞 SD-WAN Edge。

1. 在 SASE Orchestrator 上，移至設定 (Configure) > Edge，選取新增 Edge (New Edge) 以新增 SD-WAN Edge。
2. 移至設定 (Configure) > Edge，選取您剛剛建立的 SD-WAN Edge，然後移至裝置 (Device) 索引標籤，以設定您在上一個步驟中設定的相同介面和 IP。
   重要： 由於我們將在單臂模式中部署 SD-WAN Edge (相同的實體介面，但此介面中會有多個通道)，因此請務必將 WAN 覆疊指定為 [使用者定義 (User Defined)]。
3. 此時，您必須建立覆疊。在 WAN 設定 (WAN Settings) 下，按一下新增使用者定義的 WAN 覆疊 (Add User Defined WAN Overlay)。
4. 建立跨公用連結的覆疊。在我們的範例中，我們將使用下一個躍點 IP 172.29.0.4 以透過防火牆連線至網際網路。防火牆已設定為會將流量 NAT 至 209.116.155.31。
5. 新增跨私人網路的第二個覆疊。在此範例中，我們會指定下一個躍點路由器 172.29.0.1，並指定頻寬，因為這是 MPLS Leg，DC2-VCE 是中樞。透過 GE2 將靜態路由新增至 LAN 端子網路 172.30.128.0/24。
6. 啟動 SD-WAN Edge。啟用成功後，請回到 Edge 層級組態下的裝置 (Device) 索引標籤。請注意，[公用 IP (Public IP)] 欄位現已填入。您現在應該會在概觀 (Overview) 索引標籤下方的監控 (Monitor) > Edge 中看到連結。

將中樞 2 SD-WAN Edge 新增至分支 VPN 設定檔中的中樞清單

1. 移至設定 (Configure) > 設定檔 (Profiles)，然後選取設定檔快速入門 VPN。
2. 移至裝置 (Device) 索引標籤，然後將這個新的 SD-WAN Edge 新增至中樞清單。

設定及啟用混合式站台 2

此步驟可協助您建立混合式站台 1，這是一個混合式站台 (在 CE 路由器後方有 SD-WAN Edge，且以 SD-WAN Edge 作為 LAN 的預設路由器)。以下是針對每個硬體的線路和 IP 位址資訊範例。

將電腦連線至 SD-WAN Edge LAN 或 Wi-Fi，然後使用瀏覽器指向 http://192.168.2.1。

如需有關啟用 Edge 的詳細資訊，請參閱啟動 SD-WAN Edge。