К уже присоединенному к сети устройству применяется конфигурация из профиля. По умолчанию на Оркестраторе присутствует базовый профиль для быстрого старта, но предполагается создание пользователем собственного профиля. При отсутствии DHCP-сервера необходимо создать профиль, вручную настроить интерфейс, с которого будет построен SD-WAN тоннель: задать адресацию и другие сопутствующие параметры. Новый настроенный профиль возможно применить при создании Edge - необходимые настройки добавятся в письмо, отправляемой пользователям, активирующим устройство в филиале.
Чтобы настроить параметры, уникальные для каждого устройства (например, IP-адресация), необходимо настраивать каждое устройство отдельно, так как общий профиль конфигурации применит настройки на все устройства, к которым привязан данный профиль.
Чтобы изменить настойки WAN для интерфейса конкретного VCE:
- в разделе Configure перейдите в пункт Edges
- выбрать нужный Edge
Далее настройка будет производиться на примере статической адресации.
- перейдите на вкладку Device
- в блоке Interface Settings представлены настройки устройства (на изображении - настройки по умолчанию: интерфейсы GE1 и GE2 в режиме L2 обслуживают VLAN1, интерфейсы GE3 и GE4 в режиме L3 и ждут адрес по DHCP, чтобы построить оверлейный тоннель в автоматическом режиме)
Чтобы изменить настройки интерфейса:
- нажмите на кнопку [Edit]
- включите опцию "Override interface" - настройка интерфейса станет доступной
- в поле Addressing Type укажите Static
- нажмите на кнопку [Update GE3]
- сохраните настройки - нажмите на кнопку [Save Changes]
Далее возможно активировать Edge.
Если используется MPLS, может отсутствовать выход в интернет. В связи с этим Edge не сможет связаться с VCG через данный тип подключения, не построит оверлейный тоннель до другого Edge в приватной сети. В данном случае необходимо создать пользовательский оверлей:
- переведите физический интерфейс из режима автообнаружения в пользовательский режим
- создайте пользовательский оверлей, ссылающийся на данный интерфейс, и отключите автоматическое измерение
Выбор режима интерфейса User Defined Overlay
- в окне "Edge VMware":
- в поле Link Type укажите тип линка (канала) Private для корректной работы через MPLS
- выберите интерфейс, с которого будет строиться оверлей
- если возможно разрешить доступ из приватной сети к некоторым публичным адресам, включите опцию "SD-WAN Service Reachable" - Edge сможет построить оверлейный тоннель через приватную сеть при отсутствии публичных сетей
- в сегменте Advanced Settings вручную задаются параметры канала
Если сайт гибридный: MPLS + Internet Static IP, по сохранению настроек возможно отправлять письмо для активации.
По умолчанию на многих устройствах порты GE1 и GE2 находятся в режиме L2 во VLAN1.
Данные настройки можно перезаписать. Чтобы создать новый VLAN:
- нажмите на кнопку [Add VLAN]
- в окне "VLAN":
- в поле Segment выберите сегмент; подробнее об этом написано в разделе "Syslog" данной статьи
- в поле VLAN Name укажите имя VLAN
- в поле VLAN id укажите номер
- укажите подсеть
- укажите другие параметры
- включите раздачу адресов по DHCP с этого интерфейса, если это необходимо
- нажмите на кнопку [Add VLAN] - созданный VLAN привяжется к интерфейсу
Сохраняйте конфигурацию, когда меняете настройки профиля или конкретного устройства. Перед изменением профиля сделайте его резервную копию посредством функции копирования профилей.
Для обработки локальных запросов в пределах организации используется функция Conditional Forwarding. Настройка состоит из двух шагов: создание записи о DNS-сервере и привязка записи к шаблону конфигурации.
Чтобы создать новую запись:
- в разделе Configure перейдите на вкладку Network Services
- нажмите на кнопку [DNS Services]
- в окне "DNS Services" нажмите на кнопку [New]
- в окне "New DNS Service":
- перейдите на вкладку Private DNS
- заполните необходимые поля
- сохраните изменения - нажмите на кнопку [Save Changes]
- выберите нужный шаблон конфигурации
- в пункт DNS Settings:
- в поле Conditional DNS Forwarding выберете созданную запись
- сохраните изменения
Перед настройкой Syslog убедитесь, что все SD-WAN-маршрутизаторы вашей сети, которые должны отправлять syslog-сообщения на удаленный сервер, имеют к нему доступ.
Пример: сервер может находится в широковещательном домене одного из VCE и на других VCE. В таком случае должен быть включен Cloud VPN и должна быть связность Branch to Branch. Кроме того, конфигурация производится для каждого сегмента.
На изображении ниже показана настройка Syslog для шаблона конфигурации:
- поле Facility:
- поддерживается 8 уровней
- конфигурируется только для глобального сегмента (Global Segment) и наследуется остальными, подробнее в RFC5424 (Request for Comments: 5424)
Для работы Syslog необходимо включить опцию "Syslog Enabled". Уровней критичности событий всего 8: EMERGENCY, ALERT, CRITICAL, ERROR, WARNING, NOTICE, INFO, DEBUG.
При выборе какого-либо уровня автоматически отправляются сообщения более высоких уровней. Серверу могут быть присвоены следующие роли: EDGE EVENT, FIREWALL EVENT, EDGE AND FIREWALL EVENT.
По умолчанию отправляются только Edge Event, но возможно подключить и Firewall. По умолчанию настройки Syslog применяются ко всем сегментам. Для особой конфигурации в другом сегменте необходимо настраивать Syslog в другом сегменте и затем отключить опцию "All Segments". На одном сегменте может быть не более двух записей о сервере и не более 10 записей на VCE.
Существует различие в настройке syslog для шаблона и для конкретного устройства. Разница заключается в выборе адреса источника. В шаблоне интерфейс определяется автоматически если у него включена опция "Advertise", при настройке конкретного устройства интерфейс выбирается вручную.
