基本体系结构：

 

目标体系结构：

SDWAN部署 后，该WAN部分将由覆盖数据平面处理。

下面，您可以看到以下 SDWAN 各项引入的实际设置：

• 创建了多个 IPSec 隧道，用于链接到 HQ sdwan.902 接口中的站点A - - 。
• 互联网接入接口连接到 sdwan.901 接口。

• PAN-OS 9.1 或以上
• Panorama
• SDWAN 插件

平面化

隧道数量

VPN 地址池

VPN需要为群集定义地址池，VPN以便将地址分配给IP隧道。 最多可以定义 20 个池。 
根据隧道数（如上定义），所需的地址总数可以计算为隧道总数的两倍（1 个隧道需要 2 IP 个地址）。

BGP 环回池

如果 BGP 选择作为路由协议以通过静态路由来通告子网，则需要为 BGP 使用定义地址池。
地址将自动分配给 loopback.901 接口（本身也由 SDWAN 插件创建）。

BGP AS 数量

如果BGP选择作为路由协议，BGP AS则需要定义号码池。
BGP AS如果数字格式需要为 4 个字节长，则需要在虚拟路由器配置中选中该选项。

Firewall 推送的配置

实现

创建新模板

• 转到 Panorama>模板
  
• 单击 "添加"
• 为模板命名 - 在本例中为"sdwan-branch"。
  注意：现在不要创建"sdwan-hub"模板。
  
• 点击查看 OK

创建新的设备组

• 转到 Panorama>设备组
  
• 单击" 添加"。
• 设置设备组的名称。
• 将父设备组设置为"共享"
  
• 单击 OK。

创建安全区域

• 转到 "网络>区"。
  确保选择之前创建的模板（sdwan-branch）
  
• 单击" 添加"。
• 设置区域名称。
• 将区域类型设置为 第 3 层
  
• 单击 OK。

创建虚拟路由器

• 转到 网络>虚拟路由器
  确保选择之前创建的模板（sdwan-branch）
  
• 单击" 添加"。
• 将虚拟路由器的名称设置为设备上的实际虚拟路由器名称。
  在这种情况下，虚拟名称被命名为"默认"。
  
• 单击 OK。

创建接口

需要在此模板中创建连接到虚拟路由器的接口。
由于模板的目的是被所有分支重用，因此我们还将使用模板变量。
因此，将创建接口 E1/1（L3-不信任）、E1/2（L3-不信任）和 E1/6（L3-信任）。

• 转到 网络>界面>以太网
  确保选择之前创建的模板（sdwan-branch）
  
• 单击 "添加接口"。

• 设置插槽
• 设置接口名称。
• 设置接口类型。
  

配置选项卡

• 将虚拟路由器设置为之前创建的虚拟路由器。
• 设置虚拟系统。
  注意：虚拟系统仅在 上 Panorama可见，当模式设置为"多 VSYS"时。
• 将安全区域设置为实际安全区域 （L3-不信任）。
  

IPv4 选项卡

• 选中选项 启用 SD-WAN。
  
• 单击" 添加"。
• 单击字段 IP 。
• 单击" 新建变量"。
  

• 设置变量名称。
• 将该值设置为 "无"。
  
• 单击 OK。
• 单击 下一个跃点网关 字段。
• 单击" 新建变量"。
  

• 设置变量名称。
• 将该值设置为 "无"。
  
• 单击 OK。

SDWAN 选项 卡

• 单击 SD-WAN 接口配置文件。
• 单击" 新建SD-WAN 接口配置文件"。
  

• 设置接口配置文件的名称。
• tag设置与此配置文件关联的 。
• 设置链接参数。
  
• 单击 OK 两次。

创建 SDWAN 界面

• 转到 "网络>界面>SD-WAN
  确保选择之前创建的模板（sdwan-branch）。
  
• 单击" 添加"。

• 设置接口名称
  注意：链接 tag 不用于AnyPathSD-WAN DIA 功能，不在本文档的范围之内。
  

配置选项卡

• 将虚拟路由器设置为之前创建的虚拟路由器。
• 设置虚拟系统。
  注意：虚拟系统仅在 上 Panorama可见，当模式设置为"多 VSYS"时。
• 将安全区域设置为实际安全区域 （L3-不信任）。
  

"高级"选项卡

• 单击" 添加"。
• 选择需要在此接口中捆绑的接口。
  注意：所有接口需要是相同的类型（DIA 或 VPN）。
  在这种情况下，接口 E1/1 和 E1/2 将添加到此接口中。
  
• 单击 OK。

创建默认路由

• 转到 "网络>虚拟路由器
  "确保选择之前创建的模板（sdwan-branch）。
• 单击之前创建的虚拟路由器（默认）。
  

• 转到 静态路由。
• 单击" 添加"。
  

• 设置静态路由的名称。
• 将目标设置为 0.0.0.0/0
• 将接口设置为 sdwan。
• 将"下一跃点"设置为 "无"。
  注意：请勿更改默认指标。
  
• 单击 OK 两次。

创建流量分布配置文件

• 转到 对象>流量分布配置文件。
  确保选择之前创建的设备组 （SDWAN）。
  
• 单击" 添加"。
• 设置流量分布的名称。
• 设置分发方法
  • 最佳可用：它将考虑满足路径质量要求并具有链接的所有链接 tag。
  • 拖把优先级：将首先考虑具有第一个链接的链接tag。 如果没有匹配项，将考虑具有下一个链接的链接 tag ，依此类推。
  • 加权会话分布：会话根据链路 tag上设置的权重共享负载。
• 单击" 添加"。
• 选择要考虑的链接 tag 。
  
• 单击 OK。

创建路径质量配置文件

• 转到 "对象>路径质量配置文件"。
  确保选择之前创建的设备组 （SDWAN）。
  
• 单击" 添加"。
• 设置路径质量配置文件名称。
• 为最坏的情况设置阈值。
  
• 单击 OK。

创建默认 SDWAN 规则（全部捕获）

• 转到 策略>SD-WAN>发布规则。
  确保选择之前创建的设备组 （SDWAN）
• 创建 SDWAN 规则以捕获所有流量：
  • 来源 ： 任何区域
  • 目的地 ： 任何区域
  • 路径质量配置文件：最差情况
  • 流量分布概况：尽力而为
  
  注意：此无限别名规则需要保留在规则集的底部。

覆盖默认监视器配置文件（可选）

• 转到 "网络>监视器"。
  确保选择之前创建的模板（sdwan-branch）。
  
• 单击" 添加"。
• 将名称设置为 默认 sdwan。
  注意：名称区分大小写。
• 将操作设置为 故障转移。
  
• 单击 OK。

创建另一个模板（可选）

• 转到 Panorama>模板。
• 选择之前创建的模板。
  
• 单击克隆。
• 重命名模板
• 使用 的特定设置 Hub编辑新模板。

SD-WAN 插件

• 转到 Panorama>VPN 群集。
• 单击" VPN 地址池"。
  
• 单击" 添加"。
• 输入地址池。
  
• 单击 OK。
• 单击" 添加"。
  
• 设置群集的名称 VPN 。
• 设置群集的 VPN 类型。
  注：网格仅从 PAN-OS 10.0.3开始可用
  
• 单击 OK。

提交

迁移

模板

• 转到 Panorama>模板。
• 选择要迁移
  的设备的模板堆栈 注意：将迁移使用模板堆栈的所有设备。
  
• 添加模板 SDWAN。
• 将其移动到具有虚拟路由器和接口配置的任何模板之前。
  
• 单击 OK。

设备组

• 转到 Panorama>设备组。
• 选择要迁移
  的设备的设备组 注意：将迁移分配给设备组的所有设备。
  
• 将"父设备组"更改为 SDWAN。
  
• 单击 OK。

变量

• 转到 Panorama>摘要。
• 单击" 创建"。
  注意：如果已经设置了某些变量，则"创建"链接将变为"编辑"。
  
• 点击 否。
  
• 单击 OK。

• 单击要设置的变量。
  
• 单击 覆盖。
• 设置将分配给 的值 firewall。
  在这种情况下，设备的接口 E1/1 IP 地址设置为 3.3.3.1/30 HQ。
  
• 单击 OK。
• 对其他变量执行相同的操作。
  
• 单击" 关闭"。

SD-WAN 插件

• 转到 Panorama>设备。
  
• 单击" 添加"。
• 选择设备。
• 设置设备的类型。
• 设置设备站点的名称。

• 选中该 BGP 选项。
• 设置路由器 ID （可选）。
• 设置环回地址。
• 设置 AS 号码。
• 单击" 添加"。
• 添加前缀以进行播发。
  
• 单击 OK。
• 转到 Panorama>VPN 群集。
  
• 单击 VPN 之前创建的群集。

• 单击" 添加"。
• 选择已添加的设备。 设备列表基于前面定义的设备类型（或hub 分支）。
  如果添加的设备是网关， hub 则需要定义故障转移优先级（优先级越低越好）。
  
• 单击 OK。

提交