Migrer vers le programme d’installation SDWAN .

Migrer vers le programme d’installation SDWAN .

33805
Created On 05/06/21 02:07 AM - Last Modified 06/14/22 03:07 AM


Objective


Cet article montrera comment migrer 2 pare-feu vers l’architecture SDWAN .

Architecture de base :

architecture de base 
Les deux pare-feu sont à double connexion à Internet : un lien est utilisé comme lien principal et le second comme lien secondaire (lien de sauvegarde en cas de panne sur le lien principal).
Les interfaces publiques (E1/1 et E1/2) sont dans la zone L3-Untrust. L’interface interne (E1/6) se trouve dans la zone L3-Trust.

Architecture cible :

Une fois le SDWAN déployé, la WAN section est gérée par le plan de données de superposition.

Plan de données sdwan


Ci-dessous, vous pouvez voir la configuration réelle introduite avec le SDWAN :

  • plusieurs tunnels IPSec sont créés pour être liés HQ à Site-A - dans l’interface sdwan.902.
  • les interfaces d’accès Internet sont connectées à l’interface sdwan.901.

architecture cible

Environment


  • PAN-OS 9.1 ou supérieur
  • Panorama
  • SDWAN Plugin

Procedure


Planification

Nombre de tunnels

Pour les interfaces a sur les Hub interfaces et b sur la branche utilisée dans SDWAN, il y aura des tunnels a*b entre la hub branche et la branche.
Pour hub et la topologie en rayons, pour n rayons, le hub aura jusqu’à n*a*b tunnels IPsec générés par le SDWAN plugin.
Le nombre réel dépend du nombre d’interface par type d’interface (DIA / VPN) : il y a un maillage complet de tunnels entre l’interface DIA , il n’y a que 1 tunnel pour l’interface VPN (privée).
Le nombre de tunnels doit se situer dans le nombre de tunnels pris en charge par le firewallfichier .

VPN pool d’adresses

Le VPN pool d’adresses doit être défini pour que le VPN cluster puisse attribuer une IP adresse aux tunnels. Jusqu’à 20 pools peuvent être définis. 
Sur la base du nombre de tunnels (défini ci-dessus), le nombre total d’adresses nécessaires peut être évalué comme deux fois le nombre total de tunnels (1 tunnel a besoin de 2 IP adresses).

BGP pool de bouclage

Dans le cas BGP où est choisi comme protocole de routage à utiliser sur le routage statique pour annoncer les sous-réseaux, un pool d’adresses doit être défini pour l’utilisation BGP .
L’adresse sera automatiquement attribuée à l’interface loopback.901 (elle-même également créée par le SDWAN plugin).

BGP AS Nombre

Dans le cas BGP où est choisi comme protocole de routage, le BGP AS pool de numéros doit être défini.
Si le format numérique BGP AS doit être de 4 octets, l’option doit être cochée dans la configuration du routeur virtuel.

Firewall configuration poussée

Les interfaces et la configuration du routeur virtuel doivent être entièrement gérées par Panorama.

Mise en œuvre

Créer un nouveau modèle

  • Accédez à Panorama>Templates
    Ajouter un nouveau modèle
  • Cliquez sur Ajouter
  • Donnez un nom au modèle - dans ce cas, « sdwan-branch ».
    Note : Ne créez pas le modèle « sdwan-hub » pour le moment.
    Créer le modèle
  • Cliquez sur OK

Créer un nouveau groupe d’appareils

  • Accédez à Panorama> Groupes de périphériques
    Ajouter un nouveau groupe d’appareils
  • Cliquez sur Ajouter.
  • Définissez le nom du groupe de périphériques.
  • Définissez le groupe de périphériques parent sur « Partagé »
    configurer le groupe de périphériques
  • Cliquez sur OK.

Créer les zones de sécurité

Les zones de sécurité « zone-public », « zone-to-hub« , « zone-to-branch », « zone-internal » doivent être créées pour que le SDWAN plugin fonctionne correctement.
Veuillez noter que le nom de la zone est sensible
à la casseVous devrez créer les zones existantes (dans ce cas « L3-Trust » et « L3-Untrust ») dans le modèle pour conserver les stratégies de sécurité.
  • Accédez à Network>Zones.
    Assurez-vous de sélectionner le modèle créé précédemment (sdwan-branch)
    Ajouter une zone de sécurité
  • Cliquez sur Ajouter.
  • Définissez le nom de la zone.
  • Définissez le type de zone sur Layer3
    Créer la zone de sécurité
  • Cliquez sur OK.

Créer le routeur virtuel

  • Aller à Réseau>Routeurs virtuels
    Assurez-vous de sélectionner le modèle créé précédemment (sdwan-branch)
    Ajouter un routeur virtuel
  • Cliquez sur Ajouter.
  • Définissez le nom du routeur virtuel sur le nom réel du routeur virtuel sur le périphérique.
    Dans ce cas, le nom virtuel est nommé « default ».
    Créer le routeur virtuel
  • Cliquez sur OK.

Créer les interfaces

Les interfaces attachées au routeur virtuel doivent être créées dans ce modèle.
Comme le but du modèle est d’être réutilisé par toutes les branches, nous utiliserons également les variables du modèle.
Ainsi, les interfaces E1/1 (L3-Untrust), E1/2 (L3-Untrust) et E1/6 (L3-Trust) seront créées.

  • Accédez à Réseau>Interfaces>Ethernet
    Assurez-vous de sélectionner le modèle créé précédemment (sdwan-branch)
    Ajouter une interface
  • Cliquez sur Ajouter une interface.
Dans la nouvelle fenêtre :
  • Définir l’emplacement
  • Définissez le nom de l’interface.
  • Définissez le type d’interface.
    Créer l’interface - général

Onglet config

  • Définissez le routeur virtuel sur le routeur virtuel créé précédemment.
  • Définissez le système virtuel.
    Note : le système virtuel n’est visible que sur Panorama, lorsque le mode défini est « multi VSYS ».
  • Définissez la zone de sécurité sur la zone de sécurité réelle (L3-Untrust).
    Paramètres de l’onglet Configuration

Onglet IPv4

  • Cochez l’option Activer SD-WAN.
    Activer SD-WAN
  • Cliquez sur Ajouter.
  • Cliquez sur le IP champ.
  • Cliquez sur Nouvelle variable.
    Définir la variable pour l’adresse IP
Dans la nouvelle fenêtre :
  • Définissez le nom de la variable.
  • Définissez la valeur sur Aucun.
    Créer la variable d’adresse IP
  • Cliquez sur OK.
  • Cliquez sur le champ passerelle de saut suivant .
  • Cliquez sur Nouvelle variable.
    Définir la variable pour la passerelle de tronçon suivante
Dans la nouvelle fenêtre :
  • Définissez le nom de la variable.
  • Définissez la valeur sur Aucun.
    Créer la variable de passerelle de saut suivante
  • Cliquez sur OK.

SDWAN languette

  • Cliquez sur le SD-WAN profil de l’interface.
  • Cliquez sur Nouveau SD-WAN profil d’interface.
    Ajouter un nouveau SD-WAN profil d’interface
Dans la nouvelle fenêtre :
  • Définissez le nom du profil d’interface.
  • Définissez l’associé tag à ce profil.
  • Définissez les paramètres du lien.
    Créer le profil de lien
  • Cliquez deux fois.OK
Procédez avec les mêmes étapes pour l’interface E1/2 et E1/6.

Créer l’interface SDWAN

  • Accédez à Réseau>Interfaces>SD-WAN
    Assurez-vous de sélectionner le modèle créé précédemment (sdwan-branch).
    Ajouter l’interface SD-WAN
  • Cliquez sur Ajouter.
Dans la nouvelle fenêtre :
  • Définir le nom
    de l’interface Remarque : le lien tag n’est pas pour la SD-WAN DIA fonctionnalité AnyPath, ni dans le champ d’application de ce document.
    Créer l’interface SD-WAN

Onglet config

  • Définissez le routeur virtuel sur le routeur virtuel créé précédemment.
  • Définissez le système virtuel.
    Note : le système virtuel n’est visible que sur Panorama, lorsque le mode défini est « multi VSYS ».
  • Définissez la zone de sécurité sur la zone de sécurité réelle (L3-Untrust).
    SD-WAN Configuration

Onglet Avancé

Pour chaque interface à joindre dans cette SD-WAN interface :
  • Cliquez sur Ajouter.
  • Sélectionnez l’interface qui doit être regroupée dans cette interface.
    Note : toutes les interfaces doivent être de même type (DIA ou VPN).
    Dans ce cas, les interfaces E1/1 et E1/2 sont ajoutées à cette interface.
    Sélectionnez les interfaces à utiliser dans le SD-WAN bundle
  • Cliquez sur OK.

Créer l’itinéraire par défaut

  • Accédez à Routeurs réseau>virtuels
    Assurez-vous de sélectionner le modèle créé précédemment (sdwan-branch).
  • Cliquez sur le routeur virtuel créé précédemment (par défaut).
    Modifier la configuration du routeur virtuel
Dans la nouvelle fenêtre :
  • Accédez à Itinéraires statiques.
  • Cliquez sur Ajouter.
    Ajouter un itinéraire statique
Dans la nouvelle fenêtre :
  • Définissez le nom de l’itinéraire statique.
  • Définissez la destination sur 0.0.0.0/0
  • Définissez l’interface sur sdwan.1
  • Définissez le tronçon suivant sur Aucun.
    Remarque : Ne modifiez pas la métrique par défaut.
    Définir l’itinéraire par défaut
  • Cliquez OK deux fois.

Créer le profil de distribution du trafic

  • Accédez à Profil de distribution Objects>Traffic.
    Assurez-vous de sélectionner le groupe d’appareils créé précédemment (SDWAN).
    Ajouter une nouvelle distribution de trafic
  • Cliquez sur Ajouter.
  • Définissez le nom de la distribution du trafic.
  • Définir la méthode de distribution
    • meilleur disponible: il considérera tous les liens répondant aux exigences de qualité du chemin et ayant le lien tag.
    • top down priority: les liens avec le premier lien tag seront considérés en premier. S’il n’y a pas de correspondance, les liens avec le lien tag suivant seront pris en compte et ainsi de suite.
    • distribution de session pondérée : les sessions sont partagées selon le jeu de pesée sur le lien tag.
  • Cliquez sur Ajouter.
  • Sélectionnez le lien tag à prendre en compte.
    Configuration de la distribution du trafic
  • Cliquez sur OK.

Créer le profil de qualité path

Plusieurs profils de qualité de chemin sont déjà présents.
Toutefois, un profil de qualité de chemin d’accès doit être créé pour la règle fourre-tout SDWAN (voir ci-dessous).
  • Accédez à Profil de qualité Objects>Path.
    Assurez-vous de sélectionner le groupe d’appareils créé précédemment (SDWAN).
    Ajouter un profil de qualité de chemin d’accès
  • Cliquez sur Ajouter.
  • Définissez le nom du profil de qualité du chemin d’accès.
  • Définissez les seuils pour la pire situation.
    Configurer le profil de qualité de chemin d’accès
  • Cliquez sur OK.

Créer une règle par défaut SDWAN (tout attraper)

  • Accédez à Règles>SD-WAN>Post.
    Assurez-vous de sélectionner le groupe d’appareils créé précédemment (SDWAN)
  • Créez une SDWAN règle pour intercepter tout le trafic :
    • Source : n’importe quelle zone
    • Destination : n’importe quelle zone
    • Profil de qualité du chemin : pire scénario
    • Profil de répartition du trafic : meilleur effort
    Règle Catch All
    Remarque : Cette règle fourre-tout doit rester au bas de l’ensemble de règles.

Remplacer le profil de moniteur par défaut (facultatif)

Le profil de moniteur par défaut créé par le SDWAN plugin est défini sur « Wait Recover ».
  • Accédez à Network>Monitor.
    Assurez-vous de sélectionner le modèle créé précédemment (sdwan-branch).
    Remplacer le profil de moniteur par défaut
  • Cliquez sur Ajouter.
  • Définissez le nom sur sdwan-default.
    Remarque : le nom est sensible à la casse.
  • Définissez l’action sur Basculement.
    Configuration du profil du moniteur
  • Cliquez sur OK.

Créer un autre modèle (facultatif)

Jusqu’à présent, seul 1 modèle a été créé (pour les branches comme il a été nommé sdwan-branch)
Dans le cas où le Hub et les branches ont une configuration non correspondante, par exemple si les interfaces utilisées sont différentes ou si des paramètres de routage spécifiques doivent être en place.
  • Accédez à Panorama>Templates.
  • Sélectionnez le modèle créé précédemment.
    Cloner le modèle
  • Cliquez sur Cloner.
  • Renommer le modèle
  • Modifiez le nouveau modèle avec les paramètres spécifiques du fichier Hub.

SD-WAN Plugin

  • Accédez à Panorama>VPN Clusters.
  • Cliquez sur VPN Pool d’adresses.
    Ajouter le pool d’adresses VPN
  • Cliquez sur Ajouter.
  • Entrez le(s) pool(s) d’adresses.
    Ajouter le(s) pool(s) d’adresses
  • Cliquez sur OK.
  • Cliquez sur Ajouter.
    Ajouter un VPN cluster
  • Définissez le nom du VPN cluster.
  • Définissez le type du VPN cluster.
    Note : Mesh n’est disponible qu’à partir de la PAN-OS version 10.0.3
    Définir le VPN cluster
  • Cliquez sur OK.

commettre

Valider la configuration

migration

Modèle

  • Accédez à Panorama>Templates.
  • Sélectionnez la pile de modèles des périphériques à migrer
    Remarque : tous les appareils utilisant la pile de modèles seront migrés.
    Modifier la pile de modèles
  • Ajoutez le modèle SDWAN.
  • Déplacez-le avant tout modèle avec la configuration du routeur virtuel et de l’interface.
    Ajouter le modèle dans la pile de modèles
  • Cliquez sur OK.

Groupe de périphériques

  • Accédez à Panorama> Groupes de périphériques.
  • Sélectionnez le groupe de périphériques des périphériques à migrer
    Remarque : tous les périphériques affectés aux groupes d’appareils seront migrés.
    Modifier le groupe d’appareils
  • Remplacez le groupe de périphériques SDWANparent par .
    Modifier le groupe de périphériques parent
  • Cliquez sur OK.

Variables

  • Accédez à Panorama>Summary.
  • Cliquez sur Créer.
    Remarque: si certaines variables ont déjà été définies, le lien « Créer » devient « Modifier ».
    Créer les variables
  • Cliquez sur Non.
    Cliquez sur Non
  • Cliquez sur OK.
Dans la nouvelle fenêtre.
  • Cliquez sur la variable à définir.
    Remplacer la variable $wan-1-ip
  • Cliquez sur Remplacer.
  • Définissez la valeur qui sera affectée au fichier firewall.
    Dans ce cas, l’adresse de l’interface E1/1 IP est définie sur 3.3.3.1/30 pour le périphérique HQ.
    Définition de la variable $wan-1-ip
  • Cliquez sur OK.
  • Effectuez la même chose pour les autres variables.
    Toutes les variables sont remplacées.
  • Cliquez sur Fermer.

SD-WAN Plugin

  • Accédez à Panorama>Devices.
    Ajouter un appareil pour SD-WAN
  • Cliquez sur Ajouter.
  • Sélectionnez l’appareil.
  • Définissez le type de l’appareil.
  • Définissez le nom du site de l’appareil.
Si BGP le routage est le protocole de routage choisi :
  • Cochez l’option BGP .
  • Réglez le routeur ID (facultatif).
  • Définissez l’adresse de bouclage.
  • Définissez le AS numéro.
  • Cliquez sur Ajouter.
  • Ajoutez le(s) préfixe(s) pour annoncer.
    Définir les paramètres wan de l’appareil SD-
  • Cliquez sur OK.
  • Accédez à Panorama>VPN Clusters.
    Modifier le VPN cluster
  • Cliquez sur le VPN cluster créé précédemment.
Dans la nouvelle fenêtre :
  • Cliquez sur Ajouter.
  • Sélectionnez l’appareil que vous avez ajouté. La liste des périphériques est basée sur le type de périphérique défini précédemment (hub ou branche).
    Si le périphérique ajouté est une passerelle, la hub priorité de basculement doit être définie (la priorité inférieure prévaudra).
    Ajouter un périphérique dans le VPN cluster
  • Cliquez sur OK.

commettre

Validez et poussez la configuration vers l’appareil.

Additional Information


La configuration de l’interface sdwan.1 et de l’itinéraire par défaut associé n’est pas obligatoire.
Cependant, il est utile de visualiser la configuration car Panorama la configuration générée automatiquement à partir du SD-WAN plugin n’est pas visible sur Panorama.


SD-WAN Fonctionnalités

du Guide d’administrationSpécifications
techniquesComparaison de produits

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VJZCA2&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language