Migrar a la SDWAN configuración.

Migrar a la SDWAN configuración.

33805
Created On 05/06/21 02:07 AM - Last Modified 06/14/22 03:07 AM


Objective


Este artículo mostrará cómo migrar 2 firewalls a la SDWAN arquitectura.

Arquitectura base:

arquitectura base 
Ambos firewalls son de doble conexión a Internet: un enlace se utiliza como enlace principal y el segundo como enlace secundario (enlace de copia de seguridad si se interrumpe el enlace principal).
Las interfaces públicas (E1/1 y E1/2) se encuentran en la zona L3-Untrust. La interfaz interna (E1/6) se encuentra en la zona L3-Trust.

Arquitectura de destino:

SDWAN Una vez que se implementa, la WAN sección es manejada por el plano de datos de superposición.

plano de datos sdwan


A continuación, puede ver la configuración real introducida con el SDWAN :

  • se crean varios túneles IPSec para que se vinculen HQ a Site-A - en la interfaz sdwan.902.
  • las interfaces de acceso a Internet están conectadas a la interfaz sdwan.901.

arquitectura de destino

Environment


  • PAN-OS 9.1 o superior
  • Panorama
  • SDWAN Plugin

Procedure


Planificación

Número de túneles

Para una interfaz en las Hub interfaces y b en la rama utilizada en SDWAN, habrá túneles a*b entre la hub rama y la rama.
Para hub la topología y radio, para n radios, tendrá hub hasta n*a*b túneles IPsec generados por el SDWAN plugin.
El número real depende del número de interfaz por tipo de interfaz (DIA / VPN): hay una malla completa de túneles entre la DIA interfaz, solo hay 1 túnel para la VPN interfaz (privada).
El número de túneles debe estar dentro del número admitido de túneles por el firewall.

VPN grupo de direcciones

Es VPN necesario definir el grupo de direcciones para que el VPN clúster asigne IP la dirección a los túneles. Se pueden definir hasta 20 piscinas. 
Según el número de túneles (definido anteriormente), el número total de direcciones necesarias se puede evaluar como el doble del número total de túneles (1 túnel necesita 2 IP direcciones).

BGP grupo de bucle invertido

En caso de BGP que se elija como el protocolo de enrutamiento que se utilizará sobre el enrutamiento estático para anunciar las subredes, es necesario definir un grupo de direcciones para el BGP uso.
La dirección se asignará automáticamente a la interfaz loopback.901 (también creada por el SDWAN complemento).

BGP AS número

En caso BGP de que se elija como protocolo de enrutamiento, es necesario definir el BGP AS grupo de números.
Si el formato de BGP AS número debe tener una longitud de 4 bytes, la opción debe verificarse en la configuración del enrutador virtual.

Firewall configuración insertada

Las interfaces y la configuración del enrutador virtual deben ser totalmente administradas por Panorama.

Puesta en práctica

Crear una nueva plantilla

  • Ir a Panorama>Plantillas
    Agregar una nueva plantilla
  • Haga clic en Agregar
  • Asigne un nombre a la plantilla, en este caso, "sdwan-branch".
    Nota: No cree la plantilla "sdwan-hub" en este momento.
    Crear la plantilla
  • pincha OK

Crear un nuevo grupo de dispositivos

  • Ir a Panoramagrupos de >dispositivos
    Agregar un nuevo grupo de dispositivos
  • Haga clic en Agregar.
  • Establezca el nombre del grupo de dispositivos.
  • Establecer el grupo de dispositivos primarios en "Compartido"
    Configurar el grupo de dispositivos
  • Haga clic en OK.

Crear las zonas de seguridad

Las zonas de seguridad "zone-public", "zone-to-hub", "zone-to-branch", "zone-internal" deben crearse para que el SDWAN plugin funcione correctamente.
Tenga en cuenta que el nombre de la zona distingue entre mayúsculas y
minúsculas Deberá crear las zonas existentes (en este caso, "L3-Trust" y "L3-Untrust") en la plantilla para mantener las políticas de seguridad.
  • Vaya a Red>Zones.
    Asegúrese de seleccionar la plantilla creada anteriormente (sdwan-branch)
    Agregar una zona de seguridad
  • Haga clic en Agregar.
  • Establezca el nombre de la zona.
  • Establecer el tipo de zona en Layer3
    Crear la zona de seguridad
  • Haga clic en OK.

Crear el enrutador virtual

  • Vaya a Red> Enrutadores virtuales
    Asegúrese de seleccionar la plantilla creada anteriormente (sdwan-branch)
    Agregar un enrutador virtual
  • Haga clic en Agregar.
  • Establezca el nombre del enrutador virtual en el nombre real del enrutador virtual en el dispositivo.
    En este caso, el nombre virtual se denomina "predeterminado".
    Crear el router virtual
  • Haga clic en OK.

Crear las interfaces

Las interfaces conectadas al enrutador virtual deben crearse en esta plantilla.
Como el propósito de la plantilla es ser reutilizada por todas las ramas, también usaremos las variables de la plantilla.
Por lo tanto, se crearán las interfaces E1/1 (L3-Untrust), E1/2 (L3-Untrust) y E1/6 (L3-Trust).

  • Vaya a Red>Interfaces>Ethernet
    Asegúrese de seleccionar la plantilla creada anteriormente (sdwan-branch)
    Agregar una interfaz
  • Haga clic en Agregar interfaz.
En la nueva ventana:
  • Establecer la ranura
  • Establezca el nombre de la interfaz.
  • Establezca el tipo de interfaz.
    Crear la interfaz - general

Ficha config

  • Establezca el enrutador virtual en el enrutador virtual creado anteriormente.
  • Establezca el sistema virtual.
    Nota: el Sistema Virtual sólo es visible en Panorama, cuando el conjunto de modos es "multi VSYS".
  • Establezca la zona de seguridad en la zona de seguridad real (L3-Untrust).
    Configuración de la pestaña Configuración

Ficha IPv4

  • Marque la opción Habilitar SD-WAN.
    Permiten SD-WAN
  • Haga clic en Agregar.
  • Haga clic en el IP campo.
  • Haga clic en Nueva variable.
    Establecer la variable para la IP dirección
En la nueva ventana :
  • Establezca el nombre de la variable.
  • Establezca el valor en Ninguno.
    Crear la variable de IP dirección
  • Haga clic en OK.
  • Haga clic en el campo de puerta de enlace del siguiente salto .
  • Haga clic en Nueva variable.
    Establecer la variable para la puerta de enlace del siguiente salto
En la nueva ventana:
  • Establezca el nombre de la variable.
  • Establezca el valor en Ninguno.
    Crear la variable de puerta de enlace de salto siguiente
  • Haga clic en OK.

SDWAN pestaña

  • Haga clic en el SD-WAN perfil de interfaz.
  • Haga clic en Nuevo SD-WAN perfil de interfaz.
    Agregar un nuevo SD-WAN perfil de interfaz
En la nueva ventana:
  • Establezca el Nombre del perfil de interfaz.
  • Establezca el tag asociado a este perfil.
  • Establezca los parámetros de enlace.
    Crear el perfil de enlace
  • Haga clic en OK dos veces.
Continúe con los mismos pasos para la interfaz E1/2 y E1/6.

Crear la SDWAN interfaz

  • Vaya a Red>Interfaces>SD-WAN
    asegúrese de seleccionar la plantilla creada anteriormente (sdwan-branch).
    Agregar la SD-WAN interfaz
  • Haga clic en Agregar.
En la nueva ventana:
  • Establezca el nombre
    de la interfaz Nota: el vínculo tag no es para la SD-WAN DIA característica AnyPath, no está en el ámbito de este documento.
    Crear la SD-WAN interfaz

Ficha config

  • Establezca el enrutador virtual en el enrutador virtual creado anteriormente.
  • Establezca el sistema virtual.
    Nota: el Sistema Virtual sólo es visible en Panorama, cuando el conjunto de modos es "multi VSYS".
  • Establezca la zona de seguridad en la zona de seguridad real (L3-Untrust).
    SD-WAN Configuración

Ficha Avanzadas

Para cada interfaz que se va a conectar en esta SD-WAN interfaz:
  • Haga clic en Agregar.
  • Seleccione la interfaz que debe incluirse en esta interfaz.
    Nota: todas las interfaces deben ser del mismo tipo (DIA o VPN).
    En este caso, las interfaces E1/1 y E1/2 se añaden a esta interfaz.
    Seleccione las interfaces que se utilizarán en el SD-WAN paquete
  • Haga clic en OK.

Crear la ruta predeterminada

  • Vaya a Red> Routers virtuales
    Asegúrese de seleccionar la plantilla creada anteriormente (sdwan-branch).
  • Haga clic en el enrutador virtual creado anteriormente (predeterminado).
    Editar la configuración del enrutador virtual
En la nueva ventana:
  • Vaya a Rutas estáticas.
  • Haga clic en Agregar.
    Agregar una ruta estática
En la nueva ventana:
  • Establezca el Nombre de la ruta estática.
  • Establecer el destino en 0.0.0.0/0
  • Establecer la interfaz en sdwan.1
  • Establezca el siguiente salto en Ninguno.
    Nota: No cambie la métrica predeterminada.
    Establecer la ruta predeterminada
  • Haga clic OK dos veces.

Crear el perfil de distribución de tráfico

  • Vaya a Objetos>Perfil de distribución de tráfico.
    Asegúrese de seleccionar el grupo de dispositivos creado anteriormente (SDWAN).
    Agregar una nueva distribución de tráfico
  • Haga clic en Agregar.
  • Establezca el nombre de la distribución del tráfico.
  • Establecer el método de distribución
    • mejor disponible: considerará todos los enlaces que cumplan con los requisitos de calidad de la ruta y que tengan el enlace tag.
    • Prioridad: los enlaces con el primer enlace tag se considerarán primero. Si no coincide, se considerarán los enlaces con el siguiente enlace tag y así sucesivamente.
    • distribución ponderada de sesiones: las sesiones se comparten según el conjunto de pesaje en el enlace tag.
  • Haga clic en Agregar.
  • Seleccione el enlace tag que desea considerar.
    Configuración de la distribución del tráfico
  • Haga clic en OK.

Crear el perfil de calidad de ruta

Múltiples perfiles de calidad de ruta ya están presentes.
Sin embargo, es necesario crear un perfil de calidad de ruta para la regla general SDWAN (consulte a continuación).
  • Vaya a Objects>Path Quality Profile.
    Asegúrese de seleccionar el grupo de dispositivos creado anteriormente (SDWAN).
    Agregar un perfil de calidad de ruta de acceso
  • Haga clic en Agregar.
  • Establezca el nombre del perfil de calidad de ruta.
  • Establezca los umbrales para la situación peor.
    Configurar el perfil de calidad de ruta de acceso
  • Haga clic en OK.

Crear una regla predeterminada SDWAN (capturar todo)

  • Vaya a Políticas>SD-WAN>Publicar reglas.
    Asegúrese de seleccionar el grupo de dispositivos creado anteriormente (SDWAN)
  • Cree una SDWAN regla para capturar todo el tráfico:
    • Fuente: cualquier zona
    • Destino : cualquier zona
    • Perfil de calidad de la ruta: peor escenario
    • Perfil de distribución de tráfico: mejor esfuerzo
    Regla Catch All
    Nota: Esta regla General debe permanecer en la parte inferior del conjunto de reglas.

Invalidar el perfil de monitor predeterminado (opcional)

El perfil de monitor predeterminado creado por el SDWAN complemento está configurado en "Wait Recover".
  • Vaya a Network>Monitor.
    Asegúrese de seleccionar la plantilla creada anteriormente (sdwan-branch).
    Invalidar el perfil de monitor predeterminado
  • Haga clic en Agregar.
  • Establezca el nombre en sdwan-default.
    Nota: el nombre distingue entre mayúsculas y minúsculas.
  • Establezca la acción en Conmutación por error.
    La configuración del perfil de monitor
  • Haga clic en OK.

Crear otra plantilla (opcional)

Hasta ahora, solo se ha creado 1 plantilla (para las ramas, ya que se ha denominado sdwan-branch)
En caso de que las Hub ramas y las ramas tengan una configuración que no coincida, por ejemplo, si las interfaces utilizadas son diferentes o si es necesario establecer configuraciones de enrutamiento específicas.
  • Vaya a Panorama>Plantillas.
  • Seleccione la plantilla creada anteriormente.
    Clonar la plantilla
  • Haga clic en Clonar.
  • Cambiar el nombre de la plantilla
  • Edite la nueva plantilla con la configuración específica para el archivo Hub.

SD-WAN Plugin

  • Vaya a Panorama>VPN Clusters.
  • Haga clic en Grupo VPN de direcciones.
    Agregar el grupo de VPN direcciones
  • Haga clic en Agregar.
  • Introduzca los grupos de direcciones.
    Agregar los grupos de direcciones
  • Haga clic en OK.
  • Haga clic en Agregar.
    Agregar un VPN clúster
  • Establezca el nombre del VPN clúster.
  • Establezca el tipo de VPN clúster.
    Nota: Mesh solo está disponible a partir de PAN-OS la versión 10.0.3
    Establecer el VPN clúster
  • Haga clic en OK.

Cometer

Confirmar la configuración

Migración

Plantilla

  • Vaya a Panorama>Plantillas.
  • Seleccione la pila de plantillas de los dispositivos que se van a migrar
    Nota: se migrarán todos los dispositivos que utilicen la pila de plantillas.
    Editar la pila de plantillas
  • Agregue la plantilla SDWAN.
  • Muévelo antes de cualquier plantilla con configuración de enrutador virtual e interfaz.
    Agregar la plantilla a la pila de plantillas
  • Haga clic en OK.

Grupo de dispositivos

  • Vaya a Panorama>Grupos de dispositivos.
  • Seleccione el grupo de dispositivos de los dispositivos que se van a migrar
    Nota: se migrarán todos los dispositivos asignados a los grupos de dispositivos.
    Editar el grupo de dispositivos
  • Cambie el grupo de dispositivos primario a SDWAN.
    Cambiar el grupo de dispositivos primarios
  • Haga clic en OK.

Variables

  • Vaya a Panorama>Resumen.
  • Haga clic en Crear.
    Nota: si algunas variables ya estaban configuradas, el enlace "Crear" se convierte en "Editar".
    Crear las variables
  • Haga clic en No.
    Haga clic en No
  • Haga clic en OK.
En la nueva ventana.
  • Haga clic en la variable para establecer.
    Anular la variable $wan-1-ip
  • Haga clic en Anular.
  • Establezca el valor que se asignará al archivo firewall.
    En este caso, la dirección de interfaz E1/1 IP se establece en 3.3.3.1/30 para el dispositivo HQ.
    Definición de la variable $wan-1-ip
  • Haga clic en OK.
  • Realice lo mismo para las otras variables.
    Todas las variables se anulan.
  • Haga clic en Cerrar.

SD-WAN Plugin

  • Vaya a Panorama>Dispositivos.
    Agregar un dispositivo para SD-WAN
  • Haga clic en Agregar.
  • Seleccione el dispositivo.
  • Establezca el tipo de dispositivo.
  • Establezca el nombre del sitio del dispositivo.
Si BGP el enrutamiento es el protocolo de enrutamiento elegido:
  • Marque la BGP opción.
  • Configure el router ID (opcional).
  • Establezca la dirección de bucle invertido.
  • Establezca el AS número.
  • Haga clic en Agregar.
  • Agregue los prefijos para anunciar.
    Establecer los parámetros wan del dispositivo SD-
  • Haga clic en OK.
  • Vaya a Panorama>VPN Clusters.
    Editar el VPN clúster
  • Haga clic en el VPN clúster creado anteriormente.
En la nueva ventana:
  • Haga clic en Agregar.
  • Seleccione el dispositivo que ha agregado. La lista de dispositivos se basa en el tipo de dispositivo definido anteriormente (hub o rama).
    Si el dispositivo agregado es una puerta de enlace, es necesario definir la hub prioridad de conmutación por error (la prioridad más baja tendrá prioridad).
    Agregar un dispositivo al VPN clúster
  • Haga clic en OK.

Cometer

Confirme y envíe la configuración al dispositivo.

Additional Information


La configuración de la interfaz sdwan.1 y la ruta predeterminada asociada no es obligatoria.
Sin embargo, ayuda a visualizar la configuración en Panorama ya que la configuración generada automáticamente desde el SD-WAN complemento no es visible en Panorama.


SD-WAN Características

de la guía de administraciónEspecificaciones técnicasComparación
de productos

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VJZCA2&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language