SDWAN: Validierungsfehler: Maximal 9 Vorkommen sind für Schnittstelle/Member zulässig

SDWAN: Validierungsfehler: Maximal 9 Vorkommen sind für Schnittstelle/Member zulässig

9706
Created On 09/08/22 03:43 AM - Last Modified 01/31/23 00:16 AM


Symptom


  • Der Panorama Commit ist erfolgreich, schlägt jedoch fehl, wenn er an die Firewalls übertragen wird.
Autogenerated SDWAN configuration
Validation Error:
At most 9 occurrences are allowed for interface/member
network -> interface -> sdwan -> units -> sdwan.903 -> interface is invalid
Commit failed
NOTE: Höchstwahrscheinlich wird das Obige von der aus angetroffen, obwohl eine geringe Wahrscheinlichkeit besteht, dass es an der hubSpeiche auftreten kann.

Environment


  • Panorama Version 10.1.6
  • SD-WAN Plugin Version 2.2
  • Firewalls in einer hub und gesprochenen Topologie
  • PAN-OS Version 10.1.6

Cause


Es können mehrere Topologiekombinationen berücksichtigt werden, die zu dem Fehler führen, von denen eine auf der unten angegebenen Topologie basiert.
Um zu verstehen, wie der Fehler generiert wird, müssen wir die drei beitragenden Faktoren berücksichtigen:

Der erste basiert auf den bereitgestellten Link-Typen und gemäß doc

"
ADSL(/, Kabelmodem, Ethernet, , LTE/3G/4G/5G, , Mikrowelle/DSLRadio, Satellit, FiberMPLSWiFi oder Andere). Die firewall können jedes CPE Gerät unterstützen, das als Ethernet-Verbindung an die firewallübergeben wird; z. B. WiFi-Zugangspunkte, LTE Modems, Laser / Mikrowellen-CPEs können alle mit einer Ethernet-Übergabe enden.

Private Punkt-zu-Punkt-Verbindungstypen (MPLS, Satellit, Mikrowelle und Andere) bilden Tunnel mit nur demselben Verbindungstyp, z. B MPLS-. zu- und Satelliten-zu-SatellitMPLS . Beispielsweise werden keine Tunnel zwischen einer Verbindung und einer MPLS Ethernet-Verbindung erstellt.
"

Die zweite basiert auf der Anzahl der Links, die pro Linktyp hinzugefügt werden.

Die dritte ist, dass, wenn es einen Punkt-zu-Punkt-Verbindungstyp (, Satellit, Mikrowelle und Andere) am hub Standort gibt, die Ethernet-Schnittstelle vom SDWAN-Plugin zur SDWAN-Schnittstelle hinzugefügt wird (MPLSsiehe Screenshots in 1.a.iv und 1.c.iv, wo Sie die hinzugefügte Ethernet-Schnittstelle zusätzlich zu den Standardtunnelschnittstellen IPSEC sehen können).

8-11.png
Mit der obigen Topologie haben die Hub und Branch_1 vier und zwei Ethernet-Verbindungstypen entsprechend; jede Schnittstelle bildet einen Tunnel zu allen Schnittstellen auf der Ferne mit demselben Verbindungstyp. Daher haben wir acht IPSEC Tunnel über Ethernet-Link-Typ (4x2 = 8). 

Zusätzlich zu den oben genannten wird ein Tunnel für den MPLS Verbindungstyp gebildet, und eine Ethernet-Schnittstelle, die dem Verbindungstyp zugewiesen ist, wird ebenfalls in die MPLS SDWAN-Schnittstelle aufgenommen, was insgesamt zehn Schnittstellen ergibt. Daher haben wir den Fehler. 


 

Resolution


  1. Link-Typen; Wir werden mindestens drei verschiedene Kombinationen untersuchen, um den Fehler zu beheben.
    1. Nur Ethernet-Verbindungstyp8-1.png
      1. HUBSchnittstellenkonfiguration von8-2.png
      2. HUB's Tunnel IPSEC in Richtung Banch_18-3.png
      3. HubDie SDWAN-Schnittstelle von Mapping auf die IPSEC VPN Ethernet-Schnittstelle ohne Ethernet.8-4.png
      4. Konfiguration der Benutzeroberfläche von Branch_18-5.png
      5. Branch_1's IPSEC Tunnel ist in Richtung Hub 8-6.png
      6. Branch_1 SDWAN-Schnittstellenzuordnung zum IPSEC VPN8-7.png
    2. Ethernet- und MPLS Link-Typen8-21.png
      1. Hub's config von Panorama8-22.png
      2. HubSchnittstellenkonfiguration von8-23.png
      3. Hub's Tunnel IPSEC in Richtung Branch_18-23b.png
      4. HubSDWAN-Schnittstellenzuordnung zum IPSEC VPN und Ethernet8-24.png
      5. Konfiguration der Benutzeroberfläche von Branch_18-25.png
      6. IPSEC Branch_1 Tunnel in Richtung Hub8-26.png
      7. Branch_1 SDWAN-Schnittstellenzuordnung zum IPSEC VPN8-27.png
    3. Ethernet-, MPLSMikrowellen- und Satellitenverbindungstypen8-31.png
      1. Hub's config von Panorama
        8-32.png
      2. HubSchnittstellenkonfiguration von
        8-33.png
      3. Hub's Tunnel IPSEC VPN in Richtung Branch_1
        8-34.png
      4. HubSDWAN-Schnittstellenzuordnung zum IPSEC VPN und Ethernet8-35.png
      5. Konfiguration der Benutzeroberfläche von Branch_1
        8-36.png
      6. IPSEC Branch_1 Tunnel in RichtungHub 8-37.png
      7. Branch_1 SDWAN-Schnittstellenzuordnung zum IPSEC VPN
        8-38.png
  2. Multi-Hubs; Wenn die bisher bereitgestellten Lösungen nicht ausreichten, konnten Sie bis zu vier Hubs konfigurieren, mit denen sich die Zweigstellen verbinden können. So können Sie Ihre Schnittstellenzuordnungen vervierfachen.

    Verwenden Sie den letzten Bildschirm als Referenz mit nur einem einzigen hub; unten hervorgehoben ist die SDWAN-Schnittstelle der Zweigstelle zu den vier Hubs.  
8-41.png

Additional Information


So konfigurieren SDWANSie: Grundlegende Verbindung
Problembehandlung SD-WAN bei Link Down
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZ1MCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language