Comment configurer SDWAN: Connexion de base

Created On 05/27/22 05:10 AM - Last Modified 07/16/24 02:00 AM

Objective

Configurez la configuration de base à l’aide de SDWAN la topologie ci-dessous.

Une fois que les tunnels nécessaires IPSEC sont en place, le routage ressemblera à ce qui suit.

Environment

Panorama avec SD-WAN Plugin 2.1.2 installé
PAN-OS 10.1.3

Procedure

Ajouter les appareils à Panorama
1. Panorama > Périphériques gérés > Résumé > Ajouter > série [numéro de série de collerFirewall] > cliquez sur Générer une clé d'authentification (copiez-la et enregistrez-la dans un bloc-notes) > OK > Valider Panorama

Configurez Firewall pour communiquer avec Panorama.
1. Configuration > gestion des > périphériques > Panorama Paramètres > cliquez sur l’icône d’engrenage
2. Panorama Serveur : fournir Panoramades ' IP
3. Auth Key: passez la touche de votre bloc-notes
4. Cliquez OK > Valider

Répétez les deux premières étapes pour le reste des autres pare-feu
Créer un modèle
1. Panorama > Modèle > ajouter > nom : HUB1 > OK
Créer une pile de modèles en associant l’appareil à un modèle

Panorama > Modèle > Ajouter une pile

Nom: HUB1_TS
Appareils: cochez l’appareil
> TEMPLATES Ajouter > HUB1 [vous pouvez choisir d’ajouter d’autres modèles comme indiqué ci-dessous, ou non]

Répétez les étapes 4 et 5 pour les deux branches

7. Créez le groupe de périphériques et associez-le au modèle

Panorama > Groupes de périphériques > ajouter

Nom
: HUB1 Groupe de périphériques parents : Partagé
: NAMEcochez la case
Périphérique REFERENCE TEMPLATE: Ajouter > HUB1

8. Répétez l’étape 7 pour les deux branches

Configurez les zones pour tous les appareils; Il est important que les zones mises en évidence ci-dessous soient configurées de la même manière que ci-dessous. Lesdites zones sont les zones préconfigurées utilisées par le plugin sdwan.

10. Configurez la sécurité policy nécessaire pour permettre au trafic de passer par SDWAN, et vous pouvez resserrer le policy en conséquence.
Politiques> sécurité > règles préalables

Configurez les balises, qui seront éventuellement utilisées pour le profil et les interfaces de distribution du trafic. Pour cet article, nous utiliserons quatre liens différents, à savoir Broadband-fast, Broadband-slow, MPLSet Microwave.

Vous devez vous assurer que les balises sont partagées pour qu'elles soient visibles sur les autres parties des parties de configuration SDWAN .
Étant donné que les balises sont partagées, vous n'aurez qu'à les configurer sur l'un des groupes d'appareils, et elles seront reflétées sur le reste.
Objets > balises > ajouter

TOPOLOGY:Connectivité

Remarque : Les IP adresses de la version 172.16.x.x seront utilisées pour IPSEC la construction de tunnels.
172.16.x (1 chiffre pour le troisième octet) est utilisé pour les liaisons point à multipoint (Ethernet)172.16.xx (2 chiffres pour le troisième octet) est utilisé pour les liaisons point à point (MPLS, Micro-ondes)

Avec ce qui précède, plus loin dans cet article, nous remarquerons que les tunnels se forment uniquement avec le même type.

Configurez les profils d’interface SD-WAN en fonction de la topologie de connectivité ci-dessus.

Étant donné que tous les pare-feu ont leurs profils d’interface uniques, vous trouverez ci-dessous les trois instantanés différents basés sur la configuration.

Profil d’interface > SD-WAN réseau

Configurez les interfaces Ethernet en fonction de la topologie de connectivité.

Interfaces > réseau > Ethernet

Topologie : Routage

Configurez la partie routage, nous utiliserons la topologie de routage comme guide pour configurer les paramètres de BGP l'appareil.

Panorama SD-WAN > > Appareils

La VPN partie Cluster est l’endroit où nous informons comment les appareils se comporteront dans le réseau en conséquence.

Panorama SD-WAN > > VPN Cluster > Ajouter

Nom: SDWANClustter
Type: -spoke Branches: Branch1 &
Branch2
Passerelles: HubHub

Hub Priorité de basculement : 1
Autoriser DIA VPN: Coché

16. Configurez le pool d’adresses VPN , qui fournira les adresses nécessaires IP à utiliser par chaque IPSEC tunnel.

Panorama SD-WAN > > VPN clusters > pool d’adresses VPN

Résultats:

Vous souvenez-vous des 1 chiffres/2 chiffres pour le troisième octet ? Maintenant, vous les verrez entrer en jeu ci-dessous.

Remarque : sdwan.901 est l’interface logique utilisée pour l’accès direct à Internet () ;DIA dans ce qui précède, les deux interfaces Ethernet en font partie.
Des trois interfaces sdwan, sdwan.901 est la seule qui ne comporte IPSEC pas de tunnel.

Remarque: Bien que Branch1 ait un profil d’interface unique SD-WAN d’Ethernet. Ethernet étant un type de liaison point à multipoint, deux IPSEC tunnels sont créés pour le hub.

NOTE: Le profil d' SD-WAN interface de Branch2 de Branch2 est Microwave, qui est une liaison privée point à point, ce type de liaison ne formera qu'un IPSEC tunnel vers une autre liaison micro-ondes.
Les autres liaisons privées point à point sont MPLS, Satellite et Autre.
Si vous revenez au résultat de Branch1, nous avons également un seul IPSEC tunnel via le MPLS type de liaison, qui est tunnel.936.

Topologie : SDWAN interfaces (basées sur les résultats ci-dessus)

Additional Information

Comment configurer SDWAN: Distribution du trafic à l’aide de la distribution de session pondérée
Comment configurer : Répartition du trafic en utilisant la priorité descendante Comment configurer SDWAN
SDWAN: Distribution du trafic en utilisant le meilleur chemin disponible Comment

dépanner SD-WAN le lien vers le bas
: SDWANErreur de validation : Au maximum 9 occurrences sont autorisées pour l’interface/membre