如何配置SDWAN:基本连接

如何配置SDWAN:基本连接

27809
Created On 05/27/22 05:10 AM - Last Modified 07/16/24 02:00 AM


Objective


配置基本SDWAN使用下面的拓扑设置。

sdwan-topology1.png

一旦需要IPSEC隧道已启动,路由将如下所示。

sdwan-topology2.png

Environment


  • Panorama 和SD-WAN已安装插件 2.1.2
  • PAN-OS 10.1.3

Procedure


  1. 将设备添加到 Panorama
    1. Panorama> 托管设备 > 摘要 > 添加 > 串行[粘贴Firewall的序列号] >点击生成授权密钥(复制并保存在记事本中) >OK > 承诺Panorama

sdwan1.png

  1. 配置Firewall沟通Panorama.
    1. 设备 > 设置 > 管理 >Panorama设置 >单击齿轮图标
    2. Panorama服务器: 提供Panorama的 IP
    3. 授权键: 从记事本中输入密钥
    4. 点击OK> 承诺

sdwan2.png

  1. 对其余的其他防火墙重复前两个步骤
  2. 创建模板
    1. Panorama> 模板 > 添加 > 名称:集线器1 >OK
  3. 创建一个模板堆栈通过将设备与模板相关联
Panorama > 模板 > 添加堆栈
名称: HUB1_TS
设备:在设备旁边打勾
TEMPLATES> 添加> HUB1 [您可以选择是否添加其他模板,如下所示]

sdwan3.png
 
  1. 对两个分支重复步骤 4 和 5
sdwan-Templatestack-branch.png
7.创建设备组并将其与模板关联
Panorama > 设备组 > 添加
名称: 集线器1
父设备组: 共享
NAME:在设备旁边打勾
REFERENCE TEMPLATE: 添加> 集线器1
 
sdwan-DG .png

8.对两个分支重复步骤7
sdwan-DG-分支.png
 
  1. 为所有设备配置区域;重要的是需要配置下面突出显示的区域相同如下所示。 上述区域是 sdwan 插件使用的预配置区域。
sdwan4.png
10.配置所需的安全性policy允许交通通过SDWAN,你可以收紧policy因此。
政策> 安全 > 预规则
sdwan5.pngsdwan61.png
  1. 配置标签,最终将用于流量分配配置文件和接口。 对于本文,我们将使用四种不同的链接,它们是 Broadband-fast、Broadband-slow、MPLS和微波炉。
您需要确保标签已共享,以便它们在网站的其他部分可见SDWAN配置部分。
由于标签是共享的,您只需在其中一个设备组上配置它,它就会反映在其余设备上。
对象 > 标签 > 添加
sdwan8.png

 

TOPOLOGY:连通性

sdwan-topology1.png
注意:IP 172.16.xx 中的地址将用于IPSEC隧道建设。
172.16.x(第三个八位字节为 1 位)用于点对多点链接(以太网)
172.16.xx(第三个八位字节为 2 位)用于点对点链接(MPLS , 微波)
通过以上内容,在本文的后面部分,我们会注意到隧道仅由相同类型形成。
  1. 配置SD-WAN基于上述连接拓扑的接口配置文件。
由于所有防火墙都有其独特的接口配置文件,下面是基于设置的三个不同快照。
网络 >SD-WAN界面简介
sdwan-interfaceprofile.png
sdwan-interfaceprofile2.png
sdwan-interfaceprofile3.png
  1. 根据连接拓扑配置以太网接口。
网络 > 接口 > 以太网
sdwan-eth1.png
sdwan-eth2.png
sdwan-eth3.png

 

拓扑:路由

sdwan-topology2.png
  1. 配置路由部分,我们将使用路由拓扑作为配置设备的指南BGP参数。
Panorama >SD-WAN > 设备
sdwan-bgp routing.png
  1. 这VPN集群部分是我们通知设备将如何在网络中相应运行的地方。
Panorama >SD-WAN >VPN集群 > 添加
名称: SDWAN集群
类型:Hub -辐
分支机构: 分支 1 & 分支 2
网关:Hub
Hub故障转移优先级: 1
允许DIA VPN: 勾选
sdwan-vpnCluster.png
  1. 16.配置VPN地址池,它将提供必要的IP每个人要使用的地址IPSEC隧道。
Panorama >SD-WAN >VPN集群 >VPN地址池
sdwan-vpnpool.png


结果:

还记得第三个八位位组的 1digit/2digits 吗? 现在你会看到这些在下面发挥作用。

sdwan-results1.png

注意:sdwan.901 是用于直接互联网访问的逻辑接口(DIA );在上面,两个以太网接口是它的一部分。
在三个 sdwan 接口中,sdwan.901 是唯一一个没有IPSEC隧道在里面。

sdwan-results2.png

注意:虽然 Branch1 有一个SD-WAN以太网接口配置文件。 由于以太网是一种点对多点的链路类型,两个IPSEC隧道是为hub.

sdwan-results3.png

NOTE:上面突出显示的是 Branch2 的SD-WANMicrowave 的接口配置文件,它是私有的、点对点的链路,这种类型的链路只会形成一个IPSEC到另一个微波链路的隧道。
其他私有的点对点链接是MPLS、卫星和其他。
如果你回到 Branch1 的结果,我们也有一个IPSEC隧道通过MPLS链路类型,tunnel.936。


拓扑:SDWAN接口(基于上述结果)


sdwan-拓扑-result.png

sdwan-bgp-results.png

Additional Information


如何配置SDWAN:使用加权会话分配的流量分配
如何配置SDWAN:使用自上而下优先级的流量分配
如何配置SDWAN: 使用最佳可用路径的流量分配

如何排除故障SD-WAN链接下来
SDWAN: 验证错误:接口/成员最多允许出现 9 次
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CpkeCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language