SDWAN: 验证错误：接口/成员最多允许出现 9 次 - Knowledge Base - Palo Alto Networks

SDWAN: 验证错误：接口/成员最多允许出现 9 次

13115

Created On 09/08/22 03:43 AM - Last Modified 01/31/23 00:14 AM

Symptom

这Panorama提交会成功，但在推送到防火墙时会失败。

Autogenerated SDWAN configuration
Validation Error:
At most 9 occurrences are allowed for interface/member
network -> interface -> sdwan -> units -> sdwan.903 -> interface is invalid
Commit failed

NOTE: 最有可能遇到以上情况hub，尽管它有可能发生在辐条处。

Environment

Panorama 版本 10.1.6
SD-WAN 插件版本 2.2
防火墙在hub和辐射拓扑
PAN-OS 版本 10.1.6

Cause

可以考虑导致错误的多种拓扑组合，其中之一是基于下面提供的拓扑。
要了解错误是如何产生的，我们需要考虑三个影响因素：

第一个基于提供的链接类型，并根据文件

“
(ADSL /DSL , 电缆调制解调器, 以太网,Fiber ,LTE /3G/4G/5G,MPLS 、微波/无线电、卫星、WiFi 或其他）。这firewall可以支持任何CPE作为以太网连接终止和移交的设备firewall;例如，WiFi 接入点，LTE调制解调器、激光/微波 CPE 都可以终止以太网切换。

专用的点对点链接类型 (MPLS 、卫星、微波和其他）将形成仅具有相同链路类型的隧道；例如，MPLS-到-MPLS和卫星到卫星。不会在一个之间创建隧道MPLS链路和以太网链路，例如。
“

第二个是基于在每个链接类型基础上添加的链接数量。

第三种是如果有点对点的链接类型（MPLS 、卫星、微波和其他）在hub站点，以太网接口将由添加SDWAN-sdwan接口的插件（请参考1.a.iv和1.c.iv中的截图，你可以看到除了标准接口外还增加了以太网接口IPSEC隧道接口）。

有了上面的拓扑结构，Hub和 Branch_1 相应地有四种和两种以太网链路类型；每个接口将形成一个到远程具有相同链接类型的所有接口的隧道。因此我们将有八个IPSEC以太网链路类型 (4x2= 8) 上的隧道。

除上述外，还将为MPLS链接类型，和一个以太网接口分配MPLS链接类型也将包含在 sdwan 接口中，总共有十个接口。因此我们会有错误。

Resolution

链接类型；我们将探索至少三种不同的组合来解决错误。
1. 仅以太网链路类型
  1. HUB的接口配置
  2. HUB的IPSEC通往 Banch_1 的隧道
  3. Hub的 sdwan 接口映射到IPSEC VPN没有以太网接口。
  4. Branch_1 的接口配置
  5. Branch_1 的IPSEC隧道的方向Hub
  6. Branch_1 的 sdwan 接口映射到 IPSEC VPN
2. 以太网和MPLS链接类型
  1. Hub的配置来自 Panorama
  2. Hub的接口配置
  3. Hub的IPSEC通往 Branch_1 的隧道
  4. Hub的 sdwan 接口映射到IPSEC VPN和以太网
  5. Branch_1 的接口配置
  6. Branch_1 的IPSEC通往的隧道 Hub
  7. Branch_1 的 sdwan 接口映射到 IPSEC VPN
3. 以太网，MPLS , 微波和卫星链路类型
  1. Hub的配置来自 Panorama
  2. Hub的界面配置
  3. Hub的IPSEC VPN通往 Branch_1 的隧道
  4. Hub的 sdwan 接口映射到IPSEC VPN和以太网
  5. Branch_1的接口配置
  6. Branch_1 的IPSEC通往的隧道Hub
  7. Branch_1 的 sdwan 接口映射到 IPSEC VPN
多枢纽；如果之前提供的解决方案不够用，您最多可以配置四个集线器，分支机构可以连接到这些集线器。使您能够将接口映射翻两番。

使用最后一个屏幕作为参考，只有一个hub;下面突出显示的是分支机构与四个集线器的 sdwan 接口。