Cómo configurar SDWAN: Conexión básica

Created On 05/27/22 05:10 AM - Last Modified 07/16/24 02:00 AM

Objective

Configure la configuración básica SDWAN mediante la topología siguiente.

Una vez que los túneles necesarios IPSEC estén listos, el enrutamiento se verá como el siguiente.

Environment

Panorama con SD-WAN el Plugin 2.1.2 instalado
PAN-OS 10.1.3

Procedure

Agregar los dispositivos a Panorama
1. Panorama > Dispositivos administrados > resumen > Agregar > serie [pegue Firewallel número de serie de >] haga clic en Generar clave de autenticación (cópiela y guárdela en un bloc de notas) > > OK Commit to Panorama

Configurar Firewall para comunicarse con Panorama.
1. Configuración > > administración de dispositivos > Panorama Configuración > haga clic en el icono de engranaje
2. Panorama Servidor: proporcionar Panorama's IP
3. Tecla de autenticación: pase la tecla del bloc de notas
4. Haga clic OK > confirmar

Repita los dos primeros pasos para el resto de los otros firewalls
Crear una plantilla
1. Panorama > Plantilla > Agregar > nombre: HUB1 > OK
Crear una pila de plantillas asociando el dispositivo con una plantilla

Panorama > Plantilla > Agregar pila

Nombre: HUB1_TS
Dispositivos: ponga una marca de verificación junto al dispositivo
TEMPLATES > Agregar > HUB1 [puede optar por agregar otras plantillas como se ve a continuación, o no]

Repita los pasos 4 y 5 para las dos ramas

7. Cree el grupo de dispositivos y asócielo a la plantilla

Panorama > grupos de dispositivos > agregar

Nombre
: HUB1 Grupo de dispositivos primarios: Compartido
: NAMEcoloque una marca de verificación junto al dispositivo
REFERENCE TEMPLATE: Agregar > HUB1

8. Repita el paso 7 para las dos ramas

Configurar las zonas para todos los dispositivos; Es importante que las zonas resaltadas a continuación se configuren de la misma manera que se muestra a continuación. Dichas zonas son las zonas preconfiguradas que utiliza el complemento sdwan.

10. Configure la seguridad policy necesaria para permitir que el tráfico pase por SDWAN, y puede ajustarla policy en consecuencia.
Políticas> Seguridad > Reglas previas

Configure las etiquetas, que eventualmente se usarán para el perfil de distribución de tráfico y las interfaces. Para este artículo, usaremos cuatro enlaces diferentes, que son Banda ancha rápida, MPLSBanda ancha lenta y Microondas.

Deberá asegurarse de que las etiquetas estén compartidas para que sean visibles en otras partes de las partes de configuración SDWAN .
Dado que las etiquetas se comparten, solo tendrá que configurarlas en uno de los grupos de dispositivos y se reflejará en el resto.
Objetos > etiquetas > agregar

TOPOLOGY:Conectividad

Nota: Las IP direcciones en 172.16.x.x se utilizarán para IPSEC la construcción del túnel.
172.16.x (1 dígito para el tercer octeto) se usa para enlaces punto a multipunto (ethernet)172.16.xx (2 dígitos para el tercer octeto) se usa para enlaces punto a punto (MPLS, microondas)

Con lo anterior, más adelante en este artículo, notaremos que los túneles se forman solo con el mismo tipo.

Configure los perfiles de interfaz en función de la topología de SD-WAN conectividad anterior.

Dado que todos los firewalls tienen sus perfiles de interfaz únicos, a continuación se muestran las tres instantáneas diferentes basadas en la configuración.

Perfil de interfaz > de SD-WAN red

Configure las interfaces Ethernet en función de la topología de conectividad.

Interfaces de > de red > Ethernet

Topología: enrutamiento

Configure la parte de enrutamiento, usaremos la topología de enrutamiento como guía para configurar los parámetros del BGP dispositivo.

Panorama SD-WAN > > dispositivos

La VPN parte del clúster es donde informamos cómo se comportarán los dispositivos en la red en consecuencia.

Panorama SD-WAN > > VPN Clúster > Agregar

Nombre: SDWANClustter
Tipo: -Spoke Branches: Branch1 &
Branch2
Gateways: HubHub

Hub Prioridad de conmutación por error: 1
Permitir DIA VPN: comprobado

16. Configure el grupo de VPN direcciones, que proporcionará las direcciones necesarias IP para ser utilizadas por cada IPSEC túnel.

Panorama SD-WAN > clústeres > VPN > VPN grupo de direcciones

Resultados:

¿Recuerdas los 1 dígitos/2 dígitos para el tercer octeto? Ahora verás que entran en juego a continuación.

Nota: sdwan.901 es la interfaz lógica que se utiliza para el acceso directo a Internet (DIA); en lo anterior, las dos interfaces ethernet forman parte de ella.
De las tres interfaces sdwan, sdwan.901 es la única que no tiene un IPSEC túnel.

Nota: Aunque Branch1 tiene un único SD-WAN perfil de interfaz de ethernet. Dado que Ethernet es un tipo de enlace punto a multipunto, se crean dos IPSEC túneles para el hub.

NOTE: Resaltado arriba está el perfil de SD-WAN interfaz de Branch2 de Microwave, que es un enlace privado, punto a punto, este tipo de enlace solo formará un IPSEC túnel a otro enlace de microondas.
Otros enlaces privados punto a punto son MPLS, Satélite y Otros.
Si nos remontamos al resultado de la rama 1, también tenemos un solo IPSEC túnel a través del MPLS tipo de enlace, que es tunnel.936.

Topología: SDWAN interfaces (basadas en los resultados anteriores)

Additional Information

Cómo configurar: Distribución del tráfico mediante la distribución de sesión ponderada Cómo configurar: Distribución del tráfico mediante la prioridad descendente Cómo configurarSDWAN
SDWAN
SDWAN: Distribución del tráfico utilizando la mejor ruta disponible Cómo

solucionar SD-WAN problemas de enlace caído
: SDWANError de validación: Como máximo se permiten 9 ocurrencias para la interfaz / miembro