SDWAN: 検証エラー: インターフェイス/メンバーには最大 9 回のオカレンスが許可されます

SDWAN: 検証エラー: インターフェイス/メンバーには最大 9 回のオカレンスが許可されます

9700
Created On 09/08/22 03:43 AM - Last Modified 01/31/23 00:15 AM


Symptom


  • のPanoramacommit は成功しますが、ファイアウォールにプッシュされると失敗します。
Autogenerated SDWAN configuration
Validation Error:
At most 9 occurrences are allowed for interface/member
network -> interface -> sdwan -> units -> sdwan.903 -> interface is invalid
Commit failed
NOTE: ほとんどの場合、上記はhub、わずかですがスポークに発生する可能性があります。

Environment


  • Panorama バージョン 10.1.6
  • SD-WAN プラグイン バージョン 2.2
  • のファイアウォールhubおよびスポーク トポロジ
  • PAN-OS バージョン 10.1.6

Cause


複数のトポロジの組み合わせがエラーにつながると考えられます。そのうちの 1 つは、以下に示すトポロジに基づいています。
エラーがどのように生成されるかを理解するには、次の 3 つの要因を考慮する必要があります。

1 つ目は、プロビジョニングされたリンク タイプに基づいており、文書

"
(ADSL /DSL 、ケーブル モデム、イーサネット、Fiber 、LTE /3G/4G/5G、MPLS 、電子レンジ/ラジオ、衛星、WiFi、またはその他)。 のfirewallどれでもサポートできますCPEへのイーサネット接続として終了し、ハンドオフするデバイス。firewall ;たとえば、WiFi アクセス ポイント、LTEモデム、レーザー/マイクロ波 CPE はすべて、イーサネット ハンドオフで終了できます。

プライベートなポイントツーポイント リンク タイプ (MPLS 、衛星、マイクロ波、およびその他) は、同じリンク タイプのみでトンネルを形成します。例えば、MPLS-に-MPLSそして衛星から衛星へ。 間にトンネルは作成されません。MPLSたとえば、リンクとイーサネット リンクです。
"

2 つ目は、リンク タイプごとに追加されたリンクの数に基づいています。

3 つ目は、ポイント ツー ポイント リンク タイプ (MPLS 、衛星、電子レンジ、およびその他) でhubサイト、イーサネット インターフェイスはによって追加されますSDWAN-プラグインを sdwan インターフェイスに追加します (1.a.iv および 1.c.iv のスクリーンショットを参照してください。標準に加えて追加されたイーサネット インターフェイスを確認できます)。IPSECトンネル インターフェイス)。

8-11.png
上記のトポロジでは、Hubそれに応じて、Branch_1 には 4 つのイーサネット リンク タイプと 2 つのイーサネット リンク タイプがあります。各インターフェイスは、同じリンク タイプを持つリモート上のすべてのインターフェイスへのトンネルを形成します。 したがって、8つになりますIPSECイーサネット リンク タイプ (4x2= 8) を介したトンネル。

上記に加えて、1 つのトンネルが形成されます。MPLSリンク タイプ、および割り当てられた 1 つのイーサネット インターフェイスMPLSリンク タイプも sdwan インターフェースに含まれ、合計 10 のインターフェースになります。 したがって、エラーが発生します。 


 

Resolution


  1. リンクの種類;エラーに対処するために、少なくとも 3 つの異なる組み合わせを調査します。
    1. イーサネット リンク タイプのみ8-1.png
      1. HUBのインターフェイス構成8-2.png
      2. HUBのIPSECBanch_1 へのトンネル8-3.png
      3. Hubの sdwan インターフェイス マッピングIPSEC VPNイーサネット インターフェイスなし。8-4.png
      4. Branch_1 のインターフェイス構成8-5.png
      5. Branch_1 のIPSECトンネルはHub8-6.png
      6. への Branch_1 の sdwan インターフェイス マッピング IPSEC VPN8-7.png
    2. イーサネットとMPLSリンクの種類8-21.png
      1. Hubの設定 Panorama8-22.png
      2. Hubのインターフェイス構成8-23.png
      3. HubのIPSECBranch_1 へのトンネル8-23b.png
      4. Hubの sdwan インターフェイス マッピングIPSEC VPNとイーサネット8-24.png
      5. Branch_1 のインターフェイス構成8-25.png
      6. Branch_1 のIPSECに向かうトンネル Hub8-26.png
      7. への Branch_1 の sdwan インターフェイス マッピング IPSEC VPN8-27.png
    3. イーサネット、MPLS 、電子レンジおよび衛星リンク タイプ8-31.png
      1. Hubの設定 Panorama
        8-32.png
      2. Hubのインターフェース構成
        8-33.png
      3. HubのIPSEC VPNBranch_1 へのトンネル
        8-34.png
      4. Hubの sdwan インターフェイス マッピングIPSEC VPNとイーサネット8-35.png
      5. Branch_1 のインターフェイス構成
        8-36.png
      6. Branch_1 のIPSECに向かうトンネルHub8-37.png
      7. への Branch_1 の sdwan インターフェイス マッピング IPSEC VPN
        8-38.png
  2. マルチハブ;以前に提供されたソリューションでは不十分な場合は、ブランチが接続できる最大 4 つのハブを構成できます。 インターフェイス マッピングを 4 倍にすることができます。

    最後の画面を参考にして、1つだけhub;以下で強調表示されているのは、4 つのハブに対するブランチの sdwan インターフェイスです。  
8-41.png

Additional Information


設定方法SDWAN:基本的な接続
トラブルシューティング方法SD-WANリンクダウン
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZ1MCAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language