基本アーキテクチャ:

 

ターゲット アーキテクチャ:

が SDWAN 展開されると、 WAN セクションはオーバーレイ データ プレーンによって処理されます。

以下に、 で導入された実際のセットアップを SDWAN 確認できます。

• sdwan.902 インターフェイスで、サイト -A - へのリンクHQに複数の IPSec トンネルが作成されます。
• インターネット アクセス インターフェイスは、sdwan.901 インターフェイスに接続されます。

• PAN-OS 9.1以上
• Panorama
• SDWAN プラグイン

計画化

トンネルの数

VPN アドレス プール

VPNトンネルにアドレスを割り当てるIPには、クラスタにVPN対してアドレス プールを定義する必要があります。 最大 20 個のプールを定義できます。 
トンネルの数 (上記で定義) に基づいて、必要なアドレスの総数をトンネルの総数の 2 倍の数として評価できます (1 トンネルは 2 つの IP アドレスを必要とします)。

BGP ループバック プール

サブネットをアドバタイズするために静的ルーティング上で使用するルーティング プロトコルとして選択された場合 BGP は、使用目的に合ったアドレス プールを BGP 定義する必要があります。
アドレスはloopback.901インターフェイスに自動的に割り当てられます(それ自体はプラグインによっても作成されます SDWAN )。

BGP AS 番号

ルーティング プロトコルとして選択された場合 BGP は、番号プールを BGP AS 定義する必要があります。
数値形式を BGP AS 4 バイト長にする必要がある場合は、仮想ルータ設定でオプションをチェックする必要があります。

Firewall プッシュされた構成

実装

新しいテンプレートを作成する

• Panorama>テンプレートに移動します。
  
• [追加]をクリックします。
• テンプレートに名前を付けます - この場合は"sdwan-branch"。
  注意 : 今すぐ "sdwan-" テンプレートをhub作成しないでください。
  
• をクリックし OK

新しいデバイス グループを作成する

• Panorama>デバイス グループへ
  移動
• [追加]をクリック します。
• デバイスグループの名前を設定します。
• 親デバイス グループを "共有" に設定する
  
• をクリックします OK。

セキュリティ ゾーンを作成する

• ネットワーク>ゾーンに移動します。
  以前に作成したテンプレート (sdwan-branch) を選択してください。
  
• [追加]をクリック します。
• ゾーン名を設定します。
• ゾーン タイプをレイヤ 3
  に設定する
• をクリックします OK。

仮想ルーターを作成する

• ネットワーク>仮想ルータ
  に移動以前に作成したテンプレートを選択してください (sdwan-branch)
  
• [追加]をクリック します。
• 仮想ルーターの名前をデバイス上の実際の仮想ルーター名に設定します。
  この場合、仮想名は "default" という名前になります。
  
• をクリックします OK。

インターフェイスを作成する

仮想ルータに接続されているインターフェイスは、このテンプレートで作成する必要があります。
テンプレートの目的はすべてのブランチで再利用されることなので、テンプレート変数も使用します。
したがって、インターフェイス E1/1 (L3-Untrust)、E1/2 (L3-Untrust) 、および E1/6 (L3-Trust) が作成されます。

• ネットワーク>インターフェイス>イーサネット
  以前に作成したテンプレートを選択してください (sdwan 分岐)
  
• [ インターフェイスの追加] をクリックします。

• スロットを設定する
• インターフェイス名を設定します。
• インターフェイスの種類を設定します。
  

設定タブ

• 仮想ルーターを、先ほど作成した仮想ルーターに設定します。
• 仮想システムを設定します。
  注 : 仮想システムは、モードセットが "multiVSYS" の場合にのみ表示されますPanorama。
• セキュリティ ゾーンを実際のセキュリティ ゾーン (L3-Untrust) に設定します。
  

[IPv4] タブ

• [ 有効] SD-WANオプションをオンにします。
  
• [追加]をクリック します。
• フィールドを IP クリックします。
• [ 新規変数]をクリックします。
  

• 変数名を設定します。
• 値を [なし] に設定します。
  
• をクリックします OK。
• 次ホップゲートウェイフィールドをクリックします。
• [ 新規変数]をクリックします。
  

• 変数名を設定します。
• 値を [なし] に設定します。
  
• をクリックします OK。

SDWAN ] タブ

• SD-WAN インターフェイス プロファイルをクリックします。
• [新しいSD-WANインターフェイス プロファイル] をクリックします。
  

• インターフェイス プロファイルの名前を設定します。
• このプロファイルに tag 関連付けられているを設定します。
• リンク パラメータを設定します。
  
• 2 回クリックします OK 。

インターフェイスを作成するSDWAN

• ネットワーク>インターフェイスSD-WAN
  に移動>以前に作成したテンプレート (sdwan ブランチ) を選択してください。
  
• [追加]をクリック します。

• インターフェイス名
  を設定 注意 : リンク tag は、このドキュメントのSD-WAN DIA 対象ではなく、AnyPath 機能用ではありません。
  

設定タブ

• 仮想ルーターを、以前に作成した仮想ルーターに設定します。
• 仮想システムを設定します。
  注 : 仮想システムは、モードセットが "multiVSYS" の場合にのみ表示されますPanorama。
• セキュリティ ゾーンを実際のセキュリティ ゾーン (L3-Untrust) に設定します。
  

[詳細設定] タブ

• [追加]をクリック します。
• このインターフェイスでバンドルする必要があるインターフェイスを選択します。
  注 : すべてのインターフェイスは同じタイプ (DIA または VPN) である必要があります。
  この場合、インターフェイス E1/1 および E1/2 がこのインターフェイスに追加されます。
  
• をクリックします OK。

既定の工順を作成する

• ネットワーク>仮想ルータ
  前に作成したテンプレートを選択してください(sdwan-branch)に移動します。
• 先ほど作成した仮想ルータをクリックします(デフォルト)。
  

• [静的ルート] に移動します。
• [追加]をクリック します。
  

• 静的ルートの名前を設定します。
• 宛先を 0.0.0.0/0 に設定します。
• インターフェイスを sdwan.1 に設定します。
• 次ホップを [なし] に設定します。
  注: デフォルトのメトリックは変更しないでください。
  
• 2 回クリックします OK 。

トラフィック配信プロファイルの作成

• オブジェクト>トラフィック分布プロファイルに移動します。
  前に作成したデバイスグループを選択してください()SDWAN
  
• [追加]をクリック します。
• トラフィックの分布の名前を設定します。
• 配布方法の設定
  • 最適な利用可能: パス品質要件を満たし、リンク tagを持つすべてのリンクを考慮します。
  • 優先順位を下げる: 最初のリンクを持つリンクtagが最初に考慮されます。 一致しない場合は、次のリンクのリンク tag が考慮されます。
  • 重み付きセッションの配布: セッションは、リンク tag上の計量セットに従って負荷共有されます。
• [追加]をクリック します。
• 考慮するリンク tag を選択します。
  
• をクリックします OK。

パス品質プロファイルの作成

• オブジェクト>パス品質プロファイルに移動します。
  前に作成したデバイスグループを選択してください()SDWAN
  
• [追加]をクリック します。
• パス品質プロファイル名を設定します。
• より悪い状況に対してしきい値を設定します。
  
• をクリックします OK。

既定 SDWAN のルールを作成する (すべてキャッチ)

• ポリシー>SD-WAN>ポストルールに移動します。
  以前に作成したデバイス グループを選択してください (SDWAN)
• すべてのトラフィックを SDWAN キャッチするルールを作成します。
  • ソース : 任意のゾーン
  • 宛先 : 任意のゾーン
  • パス品質プロファイル : さらに悪いシナリオ
  • トラフィック配信プロファイル : ベストエフォート
  
  注: このキャッチオールルールは、ルールセットの一番下に残る必要があります。

デフォルトのモニタプロファイルを上書きする(オプション)

• ネットワークモニタ>に移動します。
  以前に作成したテンプレート (sdwan-branch) を選択してください。
  
• [追加]をクリック します。
• 名前を デフォルトの sdwan に設定します。
  注: 名前は大文字と小文字が区別されます。
• アクションを [フェールオーバー] に設定します。
  
• をクリックします OK。

別のテンプレートを作成する (オプション)

• Panorama>テンプレート] に移動します。
• 以前に作成したテンプレートを選択します。
  
• [クローン]をクリックします。
• テンプレートの名前を変更する
• の特定の設定を使用して新しいテンプレートを編集します Hub。

SD-WAN プラグイン

• Panorama[VPN> クラスター] に移動します。
• VPN [アドレス プール] をクリックします。
  
• [追加]をクリック します。
• アドレス プールを入力します。
  
• をクリックします OK。
• [追加]をクリック します。
  
• クラスタの名前を VPN 設定します。
• クラスタの種類を VPN 設定します。
  注: メッシュは 10.0.3 からの PAN-OS み使用可能です。
  
• をクリックします OK。

コミット

移行

テンプレート

• Panorama>テンプレート] に移動します。
• 移行
  するデバイスのテンプレート スタックを選択 します 注: テンプレート スタックを使用しているすべてのデバイスが移行されます。
  
• テンプレートを追加する SDWAN。
• 仮想ルータとインターフェイス設定を持つテンプレートの前に移動します。
  
• をクリックします OK。

デバイス ・ グループ

• Panorama>デバイス グループ] に移動します。
• 移行
  するデバイスのデバイスグループを選択 注: デバイスグループに割り当てられたすべてのデバイスが移行されます。
  
• 親デバイス グループを に SDWAN変更します。
  
• をクリックします OK。

変数

• Panorama>サマリーに移動します。
• [作成] をクリック します。
  注意: 一部の変数が既に設定されている場合は、「作成」リンクが「編集」になります。
  
• [いいえ] をクリックします。
  
• をクリックします OK。

• 設定する変数をクリックします。
  
• [上書き]をクリックします。
• に割り当てられる値を設定します firewall。
  この場合、インターフェイス E1/1 IP アドレスは、デバイス HQに対して 3.3.3.1/30 に設定されます。
  
• をクリックします OK。
• 他の変数でも同じ実行を行います。
  
• [ 閉じる]をクリックします。

SD-WAN プラグイン

• Panorama>デバイスに移動します。
  
• [追加]をクリック します。
• デバイスを選択します。
• デバイスの種類を設定します。
• デバイスのサイトの名前を設定します。

• オプションを確認します BGP 。
• ルーター ID を設定します (オプション)。
• ループバックアドレスを設定します。
• 番号を設定します AS 。
• [追加]をクリック します。
• アドバタイズするプレフィックスを追加します。
  
• をクリックします OK。
• Panorama[VPN> クラスター] に移動します。
  
• 先ほど作成したクラスターを VPN クリックします。

• [追加]をクリック します。
• 追加したデバイスを選択します。 デバイスリストは、以前に定義したデバイスタイプ(またはブランチ)hub に基づいています。
  追加されたデバイスがゲートウェイである場合、フェールオーバーの優先順位を hub 定義する必要があります(優先順位が低い方が優先されます)。
  
• をクリックします OK。

コミット