Содержание

Введение

Требования

Настройка

Настройка правил NAT для принятия шлюза (опционально)

Настройка SD-WAN

Проверка

Заключение

Вопросы и ответы

Введение

Программно-определяемая глобальная сеть (SD-WAN) революционизирует традиционные архитектуры WAN, используя централизованное управление и автоматизацию для динамической маршрутизации трафика по нескольким подключениям (например, MPLS, широкополосный доступ, LTE). SD-WAN улучшает модель «звезда» за счёт интеграции интеллектуального управления трафиком и упрощённого управления между узлами. Ключевым преимуществом является централизованное управление политиками, которое определяет и применяет сетевые правила на всех узлах из единого контроллера.

Примечание:

• WAN, участвующий в сети, не может иметь включённую функцию DMZ.
• Все периферийные узлы должны сначала подключиться к центральному.

В этой статье представлено подробное пошаговое руководство по настройке функции SD-WAN на контроллере Omada, позволяющее предприятиям централизовать управление сетью, оптимизировать маршрутизацию трафика и устанавливать безопасное соединение по схеме «звезда» между распределёнными узлами в одном контроллере. Руководство охватывает предварительные требования, принятие шлюза, распределение IP-диапазонов и проверку после настройки для обеспечения надёжной производительности WAN.

Требования

• Шлюз Omada с прошивкой, полностью адаптированной к Omada Controller V6.2 и выше
• Omada Controller V6.2 и выше

Настройка

В следующем разделе мы покажем, как настроить SD-WAN на примере трёх шлюзов. Три шлюза приняты в трёх узлах: SD-WAN 1/2/3 на одном контроллере, шлюзы названы Gateway A/B/C.

Обратите внимание, что для отображения панели SD-WAN и выполнения всех последующих настроек необходимо принять шлюзы с прошивкой, поддерживающей функцию SD-WAN!

Настройка правил NAT для принятия шлюза (опционально)

При использовании локального контроллера шлюзы обычно принимаются удалённо, что требует настройки проброса портов для завершения принятия.

Шаг 1. Контроллер должен находиться на стороне LAN одного из шлюзов. После принятия этого шлюза перейдите в раздел Настройка сети > NAT.

Шаг 2. На странице Проброс портов нажмите Создать новое правило.

Шаг 3. Назовите правило, выберите Любой IP-адрес или Ограниченный IP-адрес, который может использовать это правило проброса портов, затем выберите правильный WAN-порт в качестве Интерфейса. После этого настройте Порт источника, IP-адрес назначения, Порт назначения и Протокол. Нажмите Создать.

Для принятия устройства Omada необходимо открыть следующие порты: UDP29810, TCP29811-29817 и TCP8043. На следующем скриншоте показан пример настройки правила проброса портов для UDP29810.

Шаг 4. После создания правила проброса портов настройте WAN-IP-адрес этого шлюза в качестве Inform URL на других шлюзах для завершения принятия. Обратите внимание, что WAN-IP-адрес должен быть напрямую доступен с других шлюзов, в противном случае может потребоваться настройка дополнительных правил проброса портов на вышестоящих устройствах.

Настройка SD-WAN

Если вы завершили принятие всех шлюзов на одном контроллере, начинается процесс настройки SD-WAN.

Шаг 1. Перейдите в Глобальный вид > SD-WAN.

Шаг 2. Нажмите Создать группу SD-WAN.

Шаг 3. При необходимости отредактируйте Название группы и Описание.

Функция Решение конфликтов подсетей впервые появилась в Omada Controller V6.2. Она отображает конфликтующие сетевые сегменты шлюзов SD-WAN на виртуальные сегменты, решая проблему, при которой конфликтующие сетевые сегменты не могли присоединиться к одной группе SD-WAN. Эта опция включена по умолчанию.

Начиная с Omada Controller V6.2, нет необходимости вручную настраивать пул виртуальных IP-адресов SD-WAN для шлюзов в группе SD-WAN — он будет создан и назначен автоматически.

Шаг 4. Нажмите кнопку Выбрать, чтобы выбрать Центральное устройство и Периферийное устройство. Обратите внимание, что только устройство с публичным IP-адресом может выступать в роли Центрального устройства. Отметьте устройства и нажмите Сохранить.

Шаг 5. После выбора центрального и периферийных устройств нажмите Далее.

Шаг 6. На странице Настройка топологии сети вы можете предварительно просмотреть туннели, создаваемые между шлюзами. По умолчанию создаётся только туннель между центральным и периферийными узлами, и весь трафик между периферийными узлами проходит через центральный. Вы также можете создать туннели между периферийными узлами для прямой связи, чтобы снизить нагрузку на центральное устройство. Это можно настроить, нажав Управление соединениями между периферийными узлами. Обратите внимание, что для создания соединения между периферийными узлами требуется, чтобы хотя бы один из них имел публичный IP-адрес.

На странице Управление соединениями между периферийными узлами отметьте нужные соединения и нажмите Сохранить.

После включения соединений между периферийными узлами предварительный просмотр топологии изменится соответствующим образом.

Нажмите Далее в правом нижнем углу для продолжения.

Шаг 7. На странице Выбор WAN и сети нажмите, чтобы выбрать WAN-порт, участвующий в этой группе SD-WAN для каждого шлюза, или нажмите Автоматически выбрать WAN-порт в правом верхнем углу — это автоматически выберет наиболее подходящий WAN, обычно с публичным IP-адресом.

Нажмите, чтобы выбрать LAN-сети на каждом шлюзе, которые должны участвовать в группе SD-WAN. Обратите внимание, что можно выбрать только LAN с маской подсети не ниже /20. Например, LAN 2 на шлюзе B имеет маску /16, она выделена серым цветом и не может быть выбрана. Также можно выбрать пересекающиеся подсети, они будут отображены на виртуальную подсеть без конфликта. Нажмите Сохранить в правом нижнем углу для продолжения.

Шаг 8. (Опционально) Начиная с Omada Controller V6.2.10 и при использовании прошивки шлюза Omada, адаптированной к Omada Controller V6.2, пользователи могут добавлять пользовательские маршруты в группу SD-WAN. Этот маршрут вводится пользователем и не является подсетью, управляемой Omada Controller. Это может быть VPN-туннель, статическая подсеть, подключённая, но не управляемая Omada, или сторонние устройства. Эта функция доступна только на центральном узле. Нажмите кнопку Добавить, чтобы добавить Пользовательский маршрут.

Во всплывающем окне введите имя и целевую подсеть этого пользовательского маршрута. Нажмите Сохранить, чтобы завершить создание.

Обратите внимание, что на шлюзе, содержащем этот Пользовательский маршрут, настроенный в SD-WAN, должен быть настроен статический маршрут для его активации. Статический маршрут для шлюза можно настроить в разделе Настройка сети > Трансляция > Маршрутизация, затем перейдите на вкладку Статический маршрут.

После добавления пользовательского маршрута предварительный просмотр LAN-сегментов должен выглядеть как на следующем скриншоте. Нажмите Сохранить для продолжения.

Шаг 9. Поскольку выбраны пересекающиеся подсети и включена функция Решение конфликтов подсетей, появится страница Отображение виртуальных сетевых сегментов для подтверждения виртуального отображения пересекающихся подсетей. По умолчанию диапазон виртуального отображения будет использовать частные IP-адреса: 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Вы также можете выбрать опцию Пользовательский и нажать Добавить, чтобы задать нужный диапазон отображения.

Результат отображения будет сгенерирован автоматически. Если вы хотите его изменить, нажмите кнопку Изменить и выберите нужную подсеть.

Маска подсети отображаемой подсети совпадает с маской исходной подсети и не может быть изменена. Это гарантирует, что исходные IP-адреса в диапазоне будут отображаться один к одному без конфликтов. Например, подсеть 192.168.254.1/24 отображается на 10.1.0.0/24. Клиенты с IP-адресами 192.168.254.1 и 192.168.254.100 будут отображены на 10.1.0.1 и 10.1.0.100 соответственно.

Порядок Диапазона отображаемых сетевых сегментов можно изменить. Например, на скриншоте порядок: 10.0.0.0/8 > 172.16.0.0/12 > 192.168.0.0/16 > Пользовательский. Первым приоритетом является 10.0.0.0/8, поэтому виртуальные сегменты отображения генерируются в этом диапазоне. Вы можете переместить любой сегмент в начало, чтобы задать его в качестве приоритетного диапазона для генерации виртуального отображения.

После подтверждения конфигурации виртуального отображения нажмите Сохранить для продолжения.

Шаг 10. После завершения настройки виртуального отображения отображённые подсети будут показаны под каждой подсетью на странице Выбор WAN и сети. Если проблем нет, нажмите Сохранить для продолжения.

Шаг 11. Настройка группы SD-WAN завершена, и вы вернётесь на главную страницу SD-WAN, где будет отображаться статус созданной группы SD-WAN. Два представления можно переключать, нажав кнопку вида в правом верхнем углу.

Как показано на примере скриншота, два туннеля между центральным и периферийными узлами установлены, но туннель между периферийными узлами ещё не установлен.

Шаг 12. Нажав кнопку Управление в правом верхнем углу, вы можете выбрать Изменить группу, Удалить группу или Управлять виртуальной сетью.

Нажав Изменить группу, вы вернётесь на страницу детальной настройки группы SD-WAN.

Нажав Удалить группу, вся группа SD-WAN будет удалена после подтверждения.

Нажав Управлять виртуальной сетью, вы можете проверить статус или изменить виртуальное отображение для пересекающихся сетевых сегментов.

Если вы хотите изменить сетевой сегмент и маску LAN, участвующей в группе SD-WAN, рекомендуется сначала удалить эту LAN из группы SD-WAN, затем после изменения настроек LAN добавить её обратно в группу SD-WAN, после чего потребуется повторно настроить отображение конфликтующих подсетей.

Шаг 13. Нажав кнопку Карта в правом верхнем углу, пользователи могут видеть расположение узлов на карте в соответствии с заданными для узла долготой и широтой, или вручную разместить их, если информация о долготе и широте отсутствует. На примере скриншота долгота и широта не заданы, поэтому узлы не размещены и перечислены на левой панели. Перетащите их, чтобы вручную разместить на карте.

После размещения узлов нажмите значок Замок на каждом узле, чтобы подтвердить местоположение, после чего статус туннелей будет визуализирован. Щёлкните правой кнопкой мыши по значкам узлов, чтобы Изменить местоположение или Удалить.

Наведите курсор на туннели или значки узлов, чтобы проверить их статус.

Проверка

Статус группы SD-WAN можно проверить на странице SD-WAN, включая участвующие шлюзы и статус туннелей.

Перейдите в один из узлов и проверьте таблицу маршрутизации шлюза — там будут записи маршрутов, созданные SD-WAN.

Для проверки связи также можно использовать инструменты ping. Обратите внимание, что для пересекающихся подсетей необходимо использовать отображённые виртуальные IP-адреса.

Заключение

В этой статье мы рассказали, как настроить SD-WAN на Omada Controller V6.2 и выше. В этой версии добавлены некоторые новые функции для SD-WAN.

Чтобы узнать больше о каждой функции и настройке, перейдите в Центр загрузок и скачайте руководство для вашего продукта.

Вопросы и ответы

В1:

Что делать, если я понижаю версию прошивки устройств в существующей группе SD-WAN с настроенным виртуальным NAT до версии, не поддерживающей виртуальный NAT?

О1: После понижения версии виртуальный NAT перестаёт работать, исходная группа SD-WAN будет удалена, и её потребуется настроить заново вручную.

В2: Как контролировать, какой пользователь может изменять или просматривать панель SD-WAN при входе в Omada Controller?

О2: Существует три типа привилегий для панели SD-WAN при создании роли учётной записи: Изменение, Только просмотр и Блокировка. Если установлено значение Блокировка, пользователь не увидит панель SD-WAN после входа. Если установлено значение Только просмотр, пользователь может видеть панель SD-WAN, но не может вносить изменения в текущую конфигурацию. Если установлено значение Изменение, пользователь имеет полные права на просмотр и изменение конфигурации на панели SD-WAN. Привилегии ролей можно настроить в разделе Глобальный вид > Учётные записи > Роли. Привилегии для ролей по умолчанию не могут быть изменены. Для создания собственной роли нажмите Добавить новую роль. До версии Controller V6.2.10 пользователь с привилегией «Только просмотр» или «Изменение» для панели SD-WAN мог видеть страницу SD-WAN и связанные узлы, даже если у этого пользователя не было доступа к этим узлам в контроллере, что создавало риск. Начиная с Controller v6.2.10, только пользователь с доступом ко всем узлам в контроллере и соответствующими привилегиями для панели SD-WAN может видеть или изменять панель SD-WAN.