設定方法SDWAN:基本的な接続
27805
Created On 05/27/22 05:10 AM - Last Modified 07/16/24 02:00 AM
Objective
基本的な構成SDWAN以下のトポロジを使用してセットアップします。
必要になったらIPSECトンネルが稼働している場合、ルーティングは次のようになります。
Environment
- Panorama とSD-WANプラグイン 2.1.2 がインストールされました
- PAN-OS 10.1.3
Procedure
- デバイスを追加します Panorama
- Panorama> 管理対象デバイス > 概要 > 追加 > シリアル[ペーストFirewallのシリアル番号】 >クリック認証キーの生成(コピーしてメモ帳に保存) >OK > コミットするPanorama
- 構成、設定Firewallと通信するPanorama.
- デバイス > セットアップ > 管理 >Panorama設定 >歯車のアイコンをクリックします
- Panoramaサーバ: 提供Panoramaの IP
- 認証キー:メモ帳のキーを過ぎてください
- クリックOK> コミットする
- 残りのファイアウォールについて、最初の 2 つの手順を繰り返します。
- テンプレートを作成する
- Panorama> テンプレート > 追加 > 名前:ハブ1 >OK
- 作成するテンプレート スタックデバイスをテンプレートに関連付ける
Panorama > テンプレート > スタックを追加
名前: HUB1_TS
デバイス: デバイスの横にチェック マークを付けます
TEMPLATES> 追加> HUB1 [以下のような他のテンプレートを追加するかどうかを選択できます]
デバイス: デバイスの横にチェック マークを付けます
TEMPLATES> 追加> HUB1 [以下のような他のテンプレートを追加するかどうかを選択できます]
- 2 つの分岐に対して手順 4 と 5 を繰り返します。
7. デバイス グループを作成し、テンプレートに関連付けます。
Panorama > デバイス グループ > 追加
名前: ハブ1
親デバイス グループ: 共用
NAME: デバイスの横にチェック マークを付けます
REFERENCE TEMPLATE: 追加> HUB1
親デバイス グループ: 共用
NAME: デバイスの横にチェック マークを付けます
REFERENCE TEMPLATE: 追加> HUB1
8. 2 つの分岐に対して手順 7 を繰り返します。
- すべてのデバイスのゾーンを構成します。以下で強調表示されているゾーンを構成する必要があることが重要です同じ以下に示すように。 上記のゾーンは、sdwan プラグインが使用する事前構成されたゾーンです。
10.必要なセキュリティを構成するpolicyトラフィックが通過できるようにするSDWAN、そしてあなたは締めることができますpolicyによると。
ポリシー> セキュリティ > 事前ルール
ポリシー> セキュリティ > 事前ルール
- 最終的にトラフィック分散プロファイルとインターフェイスに使用されるタグを設定します。 この記事では、ブロードバンド高速、ブロードバンド低速、MPLS 、および電子レンジ。
タグが他の部分に表示されるようにするには、タグが共有されていることを確認する必要があります。SDWAN設定パーツ。
タグは共有されているため、デバイス グループの 1 つで設定するだけで、残りのデバイス グループに反映されます。
オブジェクト > タグ > 追加
タグは共有されているため、デバイス グループの 1 つで設定するだけで、残りのデバイス グループに反映されます。
オブジェクト > タグ > 追加
TOPOLOGY: コネクティビティ
注:IP 172.16.xx のアドレスが使用されますIPSECトンネルの出来上がり。
172.16.x (第 3 オクテットの 1 桁) は、ポイントツーマルチポイント リンク (イーサネット) に使用されます。
172.16.xx (第 3 オクテットの 2 桁) は、ポイントツーポイント リンクに使用されます (MPLS 、電子レンジ)
上記により、この記事の後半で、トンネルが同じタイプでのみ形成されることに気付くでしょう。
172.16.x (第 3 オクテットの 1 桁) は、ポイントツーマルチポイント リンク (イーサネット) に使用されます。
172.16.xx (第 3 オクテットの 2 桁) は、ポイントツーポイント リンクに使用されます (MPLS 、電子レンジ)
上記により、この記事の後半で、トンネルが同じタイプでのみ形成されることに気付くでしょう。
- を構成しますSD-WAN上記の接続トポロジに基づくインターフェイス プロファイル。
すべてのファイアウォールには独自のインターフェイス プロファイルがあるため、セットアップに基づく 3 つの異なるスナップショットを以下に示します。
ネットワーク >SD-WANインターフェイス プロファイル
- 接続トポロジに基づいてイーサネット インターフェイスを設定します。
ネットワーク > インターフェース > イーサネット
トポロジ: ルーティング
- ルーティング部分を構成します。デバイスの構成のガイドとしてルーティング トポロジを使用します。BGPパラメーター。
Panorama >SD-WAN > デバイス
- のVPNクラスター部分は、デバイスがネットワーク内でどのように動作するかを通知する場所です。
Panorama >SD-WAN >VPNクラスタ > 追加
名前: SDWANCluster
タイプ:Hub -話した
支店: Branch1 & Branch2
ゲートウェイ:Hub
タイプ:Hub -話した
支店: Branch1 & Branch2
ゲートウェイ:Hub
Hubフェイルオーバーの優先度: 1
許可するDIA VPN:チェックあり
許可するDIA VPN:チェックあり
- 16.VPN必要なアドレス プールを提供します。IPそれぞれが使用するアドレスIPSECトンネル。
Panorama >SD-WAN >VPNクラスタ >VPNアドレス プール
結果:
3 番目のオクテットの 1 桁/2 桁を覚えていますか? 今、あなたはそれらが下で活躍するのを見るでしょう.注: sdwan.901 は、ダイレクト インターネット アクセスに使用される論理インターフェイスです (DIA );上記では、2 つのイーサネット インターフェイスがその一部です。
3 つの sdwan インターフェイスのうち、sdwan.901 だけがIPSECその中にトンネル。
注: Branch1 には 1 つしかありませんが、SD-WANイーサネットのインターフェイス プロファイル。 イーサネットはポイントツーマルチポイント リンク タイプであるため、2 つのIPSEC用のトンネルが作成されます。hub .
NOTE: 上で強調表示されているのは Branch2 のものです。SD-WANプライベートなポイントツーポイント リンクである Microwave のインターフェイス プロファイルの場合、このタイプのリンクはIPSEC別のマイクロ波リンクへのトンネル。
その他のプライベートなポイント ツー ポイント リンクは、MPLS 、サテライト、およびその他。
Branch1 の結果に戻ると、単一のものもあります。IPSEC経由のトンネルMPLSリンク タイプは、tunnel.936 です。
トポロジー:SDWANインターフェイス (上記の結果に基づく)
Additional Information
設定方法SDWAN: 加重セッション分散を使用したトラフィック分散
設定方法SDWAN: トップダウン優先度を使用したトラフィック分散
設定方法SDWAN: 最適な利用可能なパスを使用したトラフィック分散
トラブルシューティング方法SD-WANリンクダウン
SDWAN: 検証エラー: インターフェイス/メンバーには最大 9 回のオカレンスが許可されます