So konfigurieren SDWANSie: Basisverbindung

Created On 05/27/22 05:10 AM - Last Modified 07/16/24 02:00 AM

Objective

Konfigurieren Sie das grundlegende SDWAN Setup mithilfe der folgenden Topologie.

Sobald die benötigten IPSEC Tunnel fertig sind, sieht das Routing wie folgt aus.

Environment

Panorama mit installiertem SD-WAN Plugin 2.1.2
PAN-OS 10.1.3

Procedure

Fügen Sie die Geräte zu Panorama
1. Panorama > Verwaltete Geräte > Zusammenfassung > > Seriennummer hinzufügen [Seriennummer von Firewalleinfügen] > klicken Sie auf Authentifizierungsschlüssel generieren (kopieren und in einem Editor speichern) > > OK sich verpflichten Panorama

Konfigurieren Sie Firewall für die Kommunikation mit Panorama.
1. Einrichtung > Verwaltung > Gerät > Panorama Einstellungen > klicken Sie auf das Zahnradsymbol
2. Panorama Server: provide Panorama's IP
3. Authentifizierungsschlüssel: Vorbei an der Taste aus Ihrem Notizblock
4. Klicken Sie OK auf > Commit

Wiederholen Sie die ersten beiden Schritte für die übrigen Firewalls.
Erstellen einer Vorlage
1. Panorama > Vorlage > > Namen hinzufügen: HUB1 > OK
Erstellen eines Vorlagenstapels durch Zuordnen des Geräts zu einer Vorlage

Panorama > Vorlage > Stack hinzufügen

Name: HUB1_TS
Geräte: Setzen Sie ein Häkchen neben dem Gerät
> TEMPLATES Hinzufügen > HUB1 [Sie können andere Vorlagen hinzufügen, wie unten gezeigt, oder nicht]

Wiederholen Sie die Schritte 4 und 5 für die beiden Verzweigungen.

7. Erstellen Sie die Gerätegruppe und ordnen Sie sie der Vorlage zu

Panorama > Gerätegruppen > Hinzufügen

Name
: HUB1 Übergeordnete Gerätegruppe: Freigegeben
: NAMESetzen Sie ein Häkchen neben dem Gerät
REFERENCE TEMPLATE: Hinzufügen > HUB1

8. Wiederholen Sie Schritt 7 für die beiden Zweige

Konfigurieren Sie die Zonen für alle Geräte. Es ist wichtig, dass die unten hervorgehobenen Zonen genauso konfiguriert werden müssen wie unten gezeigt. Die genannten Zonen sind die vorkonfigurierten Zonen, die das sdwan-Plugin verwendet.

10. Konfigurieren Sie die erforderliche Sicherheitpolicy, damit der Datenverkehr durchgehen SDWANkann, und Sie können den policy Datenverkehr entsprechend verschärfen.
Richtlinien> Sicherheit > Vorregeln

Konfigurieren Sie die Tags, die schließlich für das Datenverkehrsverteilungsprofil und die Schnittstellen verwendet werden. Für diesen Artikel verwenden wir vier verschiedene Links: Breitband schnell, MPLSBreitband langsam und Mikrowelle.

Sie müssen sicherstellen, dass die Tags freigegeben sind, damit sie in anderen Teilen der SDWAN Konfigurationsteile sichtbar sind.
Da die Tags freigegeben sind, müssen Sie sie nur in einer der Gerätegruppen konfigurieren, und sie wird auf dem Rest widergespiegelt.
Objekte > Tags > hinzufügen

TOPOLOGY:Konnektivität

Hinweis: Die Adressen in 172.16.x.x werden für IPSEC den IP Tunnelaufbau verwendet.
172.16.x (1 Ziffer für das dritte Oktett) wird für Punkt-zu-Mehrpunkt-Verbindungen (Ethernet) verwendet172.16.xx (2 Ziffern für das dritte Oktett) wird für Punkt-zu-Punkt-Verbindungen (MPLS, Mikrowelle)

verwendet.

Konfigurieren Sie die SD-WAN Schnittstellenprofile basierend auf der obigen Konnektivitätstopologie.

Da alle Firewalls ihre eigenen Schnittstellenprofile haben, finden Sie unten die drei verschiedenen Snapshots, die auf dem Setup basieren.

Netzwerk- > SD-WAN Schnittstellenprofil

Konfigurieren Sie die Ethernet-Schnittstellen basierend auf der Konnektivitätstopologie.

Netzwerk->-Schnittstellen > Ethernet

Topologie: Routing

Konfigurieren Sie den Routing-Teil, wir verwenden die Routing-Topologie als Leitfaden für die Konfiguration der BGP Geräteparameter.

Panorama SD-WAN > > Geräte

Im VPN Cluster-Teil informieren wir, wie sich die Geräte im Netzwerk entsprechend verhalten.

Panorama SD-WAN > > VPN Cluster > Hinzufügen

Name: SDWANClustter
Typ: -Spoke
Zweige: Branch1 & Branch2
Gateways: HubHub

Hub Failover-Priorität: 1
Zulassen DIA VPN: Aktiviert

16. Konfigurieren Sie den VPN Adresspool, der die erforderlichen IP Adressen bereitstellt, die von jedem IPSEC Tunnel verwendet werden sollen.

Panorama SD-WAN > > VPN Cluster > VPN Adresspool

Ergebnisse:

Erinnern Sie sich an die 1digit/2digits für das dritte Oktett? Jetzt sehen Sie, dass diese unten ins Spiel kommen.

Hinweis: sdwan.901 ist die logische Schnittstelle, die für Direct Internet Access (DIA) verwendet wird; in der obigen sind die beiden Ethernet-Schnittstellen Teil davon.
Von den drei sdwan-Schnittstellen ist sdwan.901 die einzige, die keinen Tunnel enthält IPSEC .

Hinweis: Obwohl Branch1 ein einzelnes SD-WAN Schnittstellenprofil von Ethernet hat. Da Ethernet ein Punkt-zu-Mehrpunkt-Verbindungstyp ist, werden zwei IPSEC Tunnel für .hub

NOTE: Hervorgehoben ist Branch2s SD-WAN Schnittstellenprofil von Microwave, das eine private Punkt-zu-Punkt-Verbindung ist, diese Art von Verbindung bildet nur einen IPSEC Tunnel zu einer anderen Mikrowellenverbindung.
Andere private Punkt-zu-Punkt-Verbindungen sind MPLS, Satellit und Andere.
Wenn Sie zum Ergebnis von Branch1 zurückkehren, haben wir auch einen einzelnen IPSEC Tunnel über den MPLS Verbindungstyp, der tunnel.936 ist.

Topologie: SDWAN Schnittstellen (basierend auf den obigen Ergebnissen)

Additional Information

So konfigurieren Sie: Traffic-Verteilung mit gewichteter Sitzungsverteilung So konfigurieren Sie: Traffic-Verteilung mit Top-Down-Priorität So konfigurieren SieSDWAN: Traffic-Verteilung
über den besten verfügbaren Pfad Fehlerbehebung bei Link Down: Validierungsfehler: Maximal 9 Vorkommen sind für Schnittstelle / Member zulässig SDWAN

SD-WAN
SDWAN SDWAN