Migrieren Sie zum SDWAN Setup.

Migrieren Sie zum SDWAN Setup.

33805
Created On 05/06/21 02:07 AM - Last Modified 06/14/22 03:07 AM


Objective


In diesem Artikel erfahren Sie, wie Sie 2 Firewalls in die SDWAN Architektur migrieren.

Basisarchitektur:

Basisarchitektur 
Beide Firewalls sind eine duale Verbindung zum Internet: eine Verbindung wird als primäre Verbindung und die zweite als sekundäre Verbindung verwendet (Sicherungsverbindung bei Ausfall der primären Verbindung).
Öffentliche Schnittstellen (E1/1 und E1/2) befinden sich in der L3-Untrust-Zone. Die interne Schnittstelle (E1/6) befindet sich in der L3-Trust Zone.

Zielarchitektur:

Sobald der SDWAN bereitgestellt ist, wird der WAN Abschnitt von der Overlay-Datenebene verarbeitet.

sdwan Datenebene


Unten sehen Sie das tatsächliche Setup, das mit dem SDWAN eingeführt wurde:

  • Es werden mehrere IPSec-Tunnel für die Verknüpfung HQ mit Site-A - in der sdwan.902-Schnittstelle erstellt.
  • die Internetzugangsschnittstellen sind an die sdwan.901-Schnittstelle angeschlossen.

Zielarchitektur

Environment


  • PAN-OS 9.1 oder höher
  • Panorama
  • SDWAN Plugin

Procedure


Planung

Anzahl der Tunnel

Für a-Schnittstellen auf der Hub und b-Schnittstellen auf dem Branch, die in SDWANverwendet werden, gibt es a*b-Tunnel zwischen dem hub und dem Branch.
Für hub und Spoke-Topologie, für n Speichen, haben die hub bis zu n * a * b IPsec-Tunnel, die SDWAN vom Plugin generiert werden.
Die tatsächliche Anzahl hängt von der Anzahl der Schnittstellen pro Schnittstellentyp (DIA / VPN): Es gibt ein vollständiges Netz von Tunneln zwischen der DIA Schnittstelle, es gibt nur 1 Tunnel für die VPN (private) Schnittstelle.
Die Anzahl der Tunnel muss innerhalb der von unterstützten Anzahl von Tunneln liegen firewall.

VPN Adresspool

Der VPN Adresspool muss definiert werden, damit der VPN Cluster den Tunneln eine Adresse zuweisen IP kann. Es können bis zu 20 Pools definiert werden. 
Basierend auf der Anzahl der Tunnel (oben definiert) kann die Gesamtzahl der benötigten Adressen als doppelt so hoch bewertet werden wie die Gesamtzahl der Tunnel (1 Tunnel benötigt 2 IP Adressen).

BGP Loopback-Pool

BGP Falls als Routing-Protokoll gegenüber statischem Routing zur Ankündigung der Subnetze gewählt wird, muss ein Adresspool für die BGP Verwendung definiert werden.
Die Adresse wird automatisch der loopback.901-Schnittstelle zugewiesen (die SDWAN selbst ebenfalls vom Plugin erstellt wird).

BGP AS Anzahl

Falls BGP als Routing-Protokoll gewählt wird, muss der BGP AS Nummernpool definiert werden.
Wenn das BGP AS Zahlenformat 4 Byte lang sein muss, muss die Option in der Konfiguration des virtuellen Routers aktiviert werden.

Firewall Gepushte Konfiguration

Die Schnittstellen und die Konfiguration des virtuellen Routers müssen vollständig von Panoramaverwaltet werden.

Umsetzung

Erstellen einer neuen Vorlage

  • Weiter zu Panorama>Vorlagen
    Hinzufügen einer neuen Vorlage
  • Klicken Sie auf Hinzufügen
  • Geben Sie der Vorlage einen Namen - in diesem Fall "sdwan-branch".
    Hinweis: Erstellen Sie jetzt nicht die Vorlage "sdwan-hub".
    Erstellen der Vorlage
  • Klick auf OK

Erstellen einer neuen Gerätegruppe

  • Gehe zu Panorama>Device Groups
    Hinzufügen einer neuen Gerätegruppe
  • Klicken Sie auf Hinzufügen.
  • Legen Sie den Namen der Gerätegruppe fest.
  • Legen Sie die übergeordnete Gerätegruppe auf "Freigegeben" fest.
    Konfigurieren der Gerätegruppe
  • Klicken Sie auf OK.

Erstellen der Sicherheitszonen

Die Sicherheitszonen "zone-public", "zone-to-hub", "zone-to-branch", "zone-internal" müssen erstellt werden, damit das SDWAN Plugin korrekt funktioniert.
Bitte beachten Sie, dass beim Zonennamen die Groß-/Kleinschreibung beachtet
wirdSie müssen die vorhandenen Zonen (in diesem Fall "L3-Trust" und "L3-Untrust") in der Vorlage erstellen, um die Sicherheitsrichtlinien beizubehalten.
  • Wechseln Sie zu Network>Zones.
    Stellen Sie sicher, dass Sie die zuvor erstellte Vorlage auswählen (sdwan-branch)
    Hinzufügen einer Sicherheitszone
  • Klicken Sie auf Hinzufügen.
  • Legen Sie den Zonennamen fest.
  • Festlegen des Zonentyps auf Layer3
    Erstellen der Sicherheitszone
  • Klicken Sie auf OK.

Erstellen des virtuellen Routers

  • Gehe zu Netzwerk>Virtual Router
    Stellen Sie sicher, dass du die zuvor erstellte Vorlage auswählst (sdwan-branch)
    Hinzufügen eines virtuellen Routers
  • Klicken Sie auf Hinzufügen.
  • Legen Sie den Namen des virtuellen Routers auf den tatsächlichen Namen des virtuellen Routers auf dem Gerät fest.
    In diesem Fall hat der virtuelle Name den Namen "default".
    Erstellen des virtuellen Routers
  • Klicken Sie auf OK.

Erstellen der Schnittstellen

Die an den virtuellen Router angehängten Schnittstellen müssen in dieser Vorlage erstellt werden.
Da der Zweck der Vorlage darin besteht, von allen Zweigen wiederverwendet zu werden, werden wir auch die Vorlagenvariablen verwenden.
So werden die Schnittstellen E1/1 (L3-Untrust), E1/2 (L3-Untrust) und E1/6 (L3-Trust) erstellt.

  • Gehen Sie zu Network>Interfaces>Ethernet
    Stellen Sie sicher, dass Sie die zuvor erstellte Vorlage auswählen (sdwan-branch)
    Hinzufügen einer Schnittstelle
  • Klicken Sie auf Schnittstelle hinzufügen.
Im neuen Fenster:
  • Steckplatz festlegen
  • Legen Sie den Schnittstellennamen fest.
  • Legen Sie den Schnittstellentyp fest.
    Erstellen der Schnittstelle - allgemein

Config Tab

  • Legen Sie den virtuellen Router auf den zuvor erstellten virtuellen Router fest.
  • Legen Sie das virtuelle System fest.
    Hinweis: Das virtuelle System ist nur auf Panoramasichtbar, wenn der eingestellte Modus "multi VSYS" ist.
  • Legen Sie die Sicherheitszone auf die tatsächliche Sicherheitszone fest (L3-Untrust).
    Einstellungen der Registerkarte "Konfiguration"

IPv4 Tab

  • Aktivieren Sie die Option Aktivieren SD-WAN.
    Aktivieren SD-WAN
  • Klicken Sie auf Hinzufügen.
  • Klicken Sie auf das IP Feld.
  • Klicken Sie auf Neue Variable.
    Festlegen der Variablen für die IP Adresse
Im neuen Fenster :
  • Legen Sie den Variablennamen fest.
  • Legen Sie den Wert auf None fest.
    Erstellen der IP Adressvariablen
  • Klicken Sie auf OK.
  • Klicken Sie auf das Feld für das nächste Hop-Gateway .
  • Klicken Sie auf Neue Variable.
    Festlegen der Variablen für das Gateway für den nächsten Hop
Im neuen Fenster:
  • Legen Sie den Variablennamen fest.
  • Legen Sie den Wert auf None fest.
    Erstellen der nächsten Hop-Gatewayvariablen
  • Klicken Sie auf OK.

SDWAN Registerkarte

  • Klicken Sie auf das SD-WAN Schnittstellenprofil.
  • Klicken Sie auf Neues SD-WAN Schnittstellenprofil.
    Hinzufügen eines neuen SD-WAN Schnittstellenprofils
Im neuen Fenster:
  • Legen Sie den Namen des Schnittstellenprofils fest.
  • Legen Sie das tag diesem Profil zugeordnete Profil fest.
  • Legen Sie die Verknüpfungsparameter fest.
    Erstellen des Linkprofils
  • Klicken Sie zweimal darauf OK .
Fahren Sie mit den gleichen Schritten für die Schnittstelle E1/2 und E1/6 fort.

Erstellen der SDWAN Schnittstelle

  • Gehen Sie zu Network>Interfaces>SD-WAN
    Stellen Sie sicher, dass Sie die zuvor erstellte Vorlage auswählen (sdwan-branch).
    Fügen Sie die SD-WAN Schnittstelle hinzu
  • Klicken Sie auf Hinzufügen.
Im neuen Fenster:
  • Legen Sie den Schnittstellennamen
    fest Hinweis: Der Link tag ist nicht für die SD-WAN DIA AnyPath-Funktion gedacht, nicht im Bereich dieses Dokuments.
    Erstellen der SD-WAN Schnittstelle

Config Tab

  • Stellen Sie den virtuellen Router auf den zuvor erstellten virtuellen Router ein.
  • Legen Sie das virtuelle System fest.
    Hinweis: Das virtuelle System ist nur auf Panoramasichtbar, wenn der eingestellte Modus "multi VSYS" ist.
  • Legen Sie die Sicherheitszone auf die tatsächliche Sicherheitszone fest (L3-Untrust).
    SD-WAN Konfiguration

Registerkarte "Erweitert"

Für jede Schnittstelle, die in diese SD-WAN Schnittstelle eingefügt werden soll:
  • Klicken Sie auf Hinzufügen.
  • Wählen Sie die Schnittstelle aus, die in dieser Schnittstelle gebündelt werden soll.
    Hinweis: Alle Schnittstellen müssen vom gleichen Typ ( oder VPN)DIA sein.
    In diesem Fall werden die Schnittstellen E1/1 und E1/2 in diese Schnittstelle eingefügt.
    Wählen Sie die Schnittstellen aus, die SD-WAN im Bundle verwendet werden sollen
  • Klicken Sie auf OK.

Erstellen der Standardroute

  • Gehen Sie zu Netzwerk>Virtual Router
    Stellen Sie sicher, dass Sie die zuvor erstellte Vorlage auswählen (sdwan-branch).
  • Klicken Sie auf den zuvor erstellten virtuellen Router (Standard).
    Bearbeiten der Konfiguration des virtuellen Routers
Im neuen Fenster:
  • Wechseln Sie zu Statische Routen.
  • Klicken Sie auf Hinzufügen.
    Hinzufügen einer statischen Route
Im neuen Fenster:
  • Legen Sie den Namen der statischen Route fest.
  • Legen Sie das Ziel auf 0.0.0.0/0 fest.
  • Legen Sie die Schnittstelle auf sdwan.1 fest.
  • Setzen Sie den nächsten Hop auf Keine.
    Hinweis: Ändern Sie nicht die Standardmetrik.
    Festlegen der Standardroute
  • Klicken Sie OK zweimal.

Erstellen des Datenverkehrsverteilungsprofils

  • Wechseln Sie zu Objects>Traffic Distribution Profile.
    Stellen Sie sicher, dass Sie die zuvor erstellte Gerätegruppe auswählen (SDWAN).
    Hinzufügen einer neuen Datenverkehrsverteilung
  • Klicken Sie auf Hinzufügen.
  • Legen Sie den Namen für die Datenverkehrsverteilung fest.
  • Festlegen der Verteilungsmethode
    • am besten verfügbar: Es werden alle Links berücksichtigt, die die Anforderungen an die Pfadqualität erfüllen und den Link haben tag.
    • top down Priorität: Die Links mit dem ersten Link tag werden zuerst berücksichtigt. Wenn keine Übereinstimmung besteht, werden die Links mit dem nächsten Link tag berücksichtigt und so weiter.
    • Gewichtete Sitzungsverteilung: Sitzungen werden gemäß der gewichteten Gewichtung auf dem Link taggeteilt.
  • Klicken Sie auf Hinzufügen.
  • Wählen Sie den zu berücksichtigenden Link tag aus.
    Konfiguration der Datenverkehrsverteilung
  • Klicken Sie auf OK.

Erstellen des Pfadqualitätsprofils

Mehrere Pfadqualitätsprofile sind bereits vorhanden.
Für die Catch-All-Regelregel SDWAN muss jedoch ein Pfadqualitätsprofil erstellt werden (siehe weiter).
  • Wechseln Sie zu Objects>Path Quality Profile.
    Stellen Sie sicher, dass Sie die zuvor erstellte Gerätegruppe auswählen (SDWAN).
    Hinzufügen eines Pfadqualitätsprofils
  • Klicken Sie auf Hinzufügen.
  • Legen Sie den Namen des Pfadqualitätsprofils fest.
  • Legen Sie die Schwellenwerte für die schlechtere Situation fest.
    Konfigurieren des Pfadqualitätsprofils
  • Klicken Sie auf OK.

Erstellen einer Standardregel SDWAN (catch all)

  • Gehe zu Richtlinien>SD-WAN>Regeln veröffentlichen.
    Stellen Sie sicher, dass Sie die zuvor erstellte Gerätegruppe auswählen (SDWAN)
  • Erstellen Sie eine SDWAN Regel, um den gesamten Datenverkehr abzufangen:
    • Quelle : beliebige Zone
    • Ziel : jede Zone
    • Pfadqualitätsprofil: schlimmeres Szenario
    • Traffic-Verteilungsprofil: Best-Effort
    Catch All-Regel
    Hinweis: Diese Catch-All-Regel muss am unteren Rand des Regelsatzes verbleiben.

Überschreiben des Standardmonitorprofils (optional)

Das vom SDWAN Plugin erstellte Standard-Monitorprofil ist auf "Wait Recover" eingestellt.
  • Wechseln Sie zu Netzwerk>Monitor.
    Stellen Sie sicher, dass Sie die zuvor erstellte Vorlage auswählen (sdwan-branch).
    Überschreiben des Standardmonitorprofils
  • Klicken Sie auf Hinzufügen.
  • Legen Sie den Namen auf sdwan-default fest.
    Hinweis: Beim Namen muss die Groß-/Kleinschreibung beachtet werden.
  • Legen Sie die Aktion auf Failover fest.
    Die Monitorprofilkonfiguration
  • Klicken Sie auf OK.

Erstellen einer weiteren Vorlage (optional)

Bisher wurde nur 1 Vorlage erstellt (für Zweige, wie sie sdwan-branch genannt wurde)
Für den Fall, dass die Hub und die Zweige ein nicht übereinstimmendes Setup haben, z. B. wenn die verwendeten Schnittstellen unterschiedlich sind oder wenn bestimmte Routing-Einstellungen vorhanden sein müssen.
  • Wechseln PanoramaSie zu >Vorlagen.
  • Wählen Sie die zuvor erstellte Vorlage aus.
    Klonen der Vorlage
  • Klicken Sie auf Klonen.
  • Umbenennen der Vorlage
  • Bearbeiten Sie die neue Vorlage mit den spezifischen Einstellungen für Hub.

SD-WAN Plugin

  • Wechseln PanoramaSie zu >VPN Cluster.
  • Klicken Sie auf VPN Adresspool.
    Hinzufügen des VPN Adresspools
  • Klicken Sie auf Hinzufügen.
  • Geben Sie die Adresspools ein.
    Hinzufügen der Adresspools
  • Klicken Sie auf OK.
  • Klicken Sie auf Hinzufügen.
    Hinzufügen eines VPN Clusters
  • Legen Sie den Namen des VPN Clusters fest.
  • Legen Sie den Typ des Clusters VPN fest.
    Hinweis: Mesh ist nur ab PAN-OS 10.0.3 verfügbar
    Festlegen des VPN Clusters
  • Klicken Sie auf OK.

begehen

Commit der Konfiguration

wanderung

Vorlage

  • Wechseln PanoramaSie zu >Vorlagen.
  • Wählen Sie den Vorlagenstapel der zu migrierenden
    Geräte aus Hinweis: Alle Geräte, die den Vorlagenstapel verwenden, werden migriert.
    Bearbeiten des Vorlagenstapels
  • Fügen Sie die Vorlage hinzu SDWAN.
  • Verschieben Sie es vor jede Vorlage mit virtuellem Router und Schnittstellenkonfiguration.
    Hinzufügen der Vorlage zum Vorlagenstapel
  • Klicken Sie auf OK.

Gerätegruppe

  • Wechseln PanoramaSie zu >Gerätegruppen.
  • Wählen Sie die Gerätegruppe der zu migrierenden
    Geräte aus Hinweis: Alle Geräte, die den Gerätegruppen zugewiesen sind, werden migriert.
    Bearbeiten der Gerätegruppe
  • Ändern Sie die übergeordnete Gerätegruppe in SDWAN.
    Ändern der übergeordneten Gerätegruppe
  • Klicken Sie auf OK.

Variablen

  • Gehe zu Panorama>Zusammenfassung.
  • Klicken Sie auf Erstellen.
    Hinweis: Wenn einige Variablen bereits gesetzt wurden, wird der Link "Erstellen" zu "Bearbeiten".
    Erstellen der Variablen
  • Klicken Sie auf Nein.
    Klicken Sie auf Nein
  • Klicken Sie auf OK.
Im neuen Fenster.
  • Klicken Sie auf die zu setzende Variable.
    Überschreiben der Variablen $wan-1-ip
  • Klicken Sie auf Überschreiben.
  • Legen Sie den Wert fest, der der firewall.
    In diesem Fall wird die Adresse der Schnittstelle E1/1 IP für das Gerät HQauf 3.3.3.1/30 gesetzt.
    Definition der Variablen $wan-1-ip
  • Klicken Sie auf OK.
  • Führen Sie dasselbe für die anderen Variablen aus.
    Alle Variablen werden überschrieben.
  • Klicken Sie auf Schließen.

SD-WAN Plugin

  • Gehen PanoramaSie zu >Geräte.
    Hinzufügen eines Geräts für SD-WAN
  • Klicken Sie auf Hinzufügen.
  • Wählen Sie das Gerät aus.
  • Legen Sie den Gerätetyp fest.
  • Legen Sie den Namen für die Website des Geräts fest.
Wenn BGP Routing das gewählte Routing-Protokoll ist:
  • Aktivieren Sie die BGP Option.
  • Stellen Sie den Router ID ein (optional).
  • Legen Sie die Loopback-Adresse fest.
  • Legen Sie die AS Zahl fest.
  • Klicken Sie auf Hinzufügen.
  • Fügen Sie die anzukündigenden Präfixe hinzu.
    Festlegen der Geräte-WAN-Parameter SD-
  • Klicken Sie auf OK.
  • Wechseln PanoramaSie zu >VPN Cluster.
    Bearbeiten des VPN Clusters
  • Klicken Sie auf den VPN zuvor erstellten Cluster.
Im neuen Fenster:
  • Klicken Sie auf Hinzufügen.
  • Wählen Sie das Gerät aus, das Sie hinzugefügt haben. Die Geräteliste basiert auf dem zuvor definierten Gerätetyp (hub oder Zweig).
    Wenn es sich bei dem hinzugefügten Gerät um ein Gateway handelt, muss die hub Failover-Priorität definiert werden (eine niedrigere Priorität hat Vorrang).
    Hinzufügen eines Geräts zum VPN Cluster
  • Klicken Sie auf OK.

begehen

Commit und Push der Konfiguration auf das Gerät.

Additional Information


Die Konfiguration der sdwan.1-Schnittstelle und der zugehörigen Standardroute ist nicht zwingend erforderlich.
Es hilft jedoch, die Konfiguration zu visualisieren, Panorama da die automatisch generierte Konfiguration aus dem SD-WAN Plugin auf Panoramanicht sichtbar ist.

Admin Guide
SD-WAN FeaturesTechnische


SpezifikationenProduktvergleich

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VJZCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language