SD-Branchの投稿は多分初めてです。
SD-WANのニーズも少しずつ高まり、ArubaのSD-Branchの製品も成熟してきたので、是非ご検討下さい。
今回は、VPNC(VPN Concentrator)の初期設定をご紹介します。
手順は大まかには以下の通りです。
- VPNCのグループを作成
- デバイスの登録とグループへの適用
- VPNC用のグループ設定
- SYSTEMの設定
- LANの設定
- Interface VLAN IP の設定
- WANの設定
- SD-WAN&ROUTINGの設定(Default Gatewayの設定)
- System IP の設定
- VPNCの接続とCLI初期設定
- オプション:ローカル認証の有効化
1. VPNCのグループを作成
2. デバイスの登録とグループへの適用
この2つは、SD-Branchに限ったことでは無いので以下をご参照ください。
新規デバイスの登録からサブスクリプションの割り当てまで
グループ、サイト、ラベルの作成
3. VPNC用のグループ設定
VPNCのグループを選択し、デバイス > ゲートウェイ の画面で右上の設定アイコンをクリックします。
そうすると、初回だけ、Branch Gateway or VPNC の選択画面が表示されます。Branch GatewayとVPNCでは設定構成が異なるため、初回に正しく選択する必要があります。今回はVPNCなのでVPNCを選択します。
設定を保存すると、今度はGuided Setupのワークフロー画面が現れます。このワークフローで設定してもいいのですが、System IPなど一部ここで設定すると管理上わかりにくくなることもあるので、今回はCancelを選びます。後からこの画面に戻ってくることも可能です。
4. SYSTEMの設定
まず、SYSTEMタブにあるコントローラのModel、Time (NTPとTimezone) 、DNS、Management User の設定を行います。Management User はCLIアクセスの管理者のことなので、Central管理者とは異なります。
これらの設定は見ていただいたらすぐにわかると思うので詳細は割愛します。
5. LANの設定
次にLANの設定です。
今回はゲートウェイをインターネットにアクセスさせるための最小限の設定だけを行います。ここの設定は、ゲートウェイのCLIの初期設定と値を合わせる必要があるので注意してください。
また、ここではVLANの作成とポートのアサインだけ行います。
VLAN IP の設定はここでは行いません!
なぜここでVLAN IPの設定をしないのか少し解説します。
基本的にはほとんどの設定をグループレベルで設定します。
ただし、実IPなどはグループレベルで設定すると、複数の機器で重複するので、そういった設定はデバイスレベルで設定します。
VLANの作成はグループレベルで設定した方が後々便利なのでグループレベルで設定します。具体的には、RoutingのRedistributeの設定などをグループレベルで設定するときに、VLAN設定がグループレベルで存在しないと設定できません。
6. Interface VLAN IP の設定
ここからはデバイスレベルで設定します。
左上のフィルタで、VPNCのデバイスを選択します。
Guided Setupの画面が出てきたらキャンセルしてください。
設定画面以外にいる場合は、デバイス > 設定アイコンをクリックしてください。
LANのVLANでInterface VLAN のIPアドレスを設定します。
グループレベルで設定したVLANが存在するはずなので、選択し、右側の編集アイコン(鉛筆マーク)をクリックしてIPアドレスを設定します。
7. WANの設定
WAN Uplinkの設定を行います。右上の「+」をクリックして追加します。TYPEはWAN環境に合わせて正しく設定してください。Public IPも正しく設定する必要があります。とりあえずVPNCをCentral管理とするだけであれば、こちらの設定は後回しでもOKです。
8. SD-WAN&ROUTINGの設定(Default Gatewayの設定)
ここではDefault Gatewayだけ設定します。
この設定もゲートウェイのCLIの初期設定と合わせるようにしましょう。
9. System IP の設定
ここで初めてAdvanced Mode で設定します。
System IPはBasic Modeでも設定できますが、そうすると、自動的にVLAN Interfaceが作成されてしまいます。それでもいい場合は、SYSTEMでSystem IPを設定してください。
Advanced Mode には、右上のAdvanced Modeをクリックします。
SYSTEMタブに移動します。ついでにホスト名もここで設定しておきましょう。
システムIPアドレスをクリックしてSystem IPに設定したいVLAN Interfaceを選択します。この下にあるloopback IPを設定し、loopback Interfaceを指定しても構いません。
System IPはRouted IPである必要がありますが、Loopback or VLAN Interfaceかは自由に設定して構いません。
また、System IPが設定されていない状態では、Centralからゲートウェイを管理することはできないので、必ず設定して下さい。
10. VPNCの接続とCLI初期設定
思っていたより長くなりましたが、これでVPNCの設定は完了です。
VPNCをSD-WANイメージで起動しコンソール接続すると、初期セットアップ画面が現れます。
設定オプションは、"static-activate"を選択し、ガイドに沿って設定して下さい。設定の値はCentralの設定と合わせるようにして下さい。
VPNCは基本的にStatic IPの設定だと思うのでこのような設定が必要ですが、Branch Gateway側は、GatewayのIPアドレスがDHCP付与でもよければ、ゼロタッチ設定が可能です。
設定例は以下の様になります。
Auto-provisioning is in progress. It requires DHCP and Activate servers
Choose one of the following options to override or debug auto-provisioning...
'enable-debug' : Enable auto-provisioning debug logs
'disable-debug' : Disable auto-provisioning debug logs
'mini-setup' : Start mini setup dialog. Provides minimal customization and requires DHCP server
'full-setup' : Start full setup dialog. Provides full customization
'static-activate' : Provides customization for static or PPPOE ip assignment. Uses activate for master information
Enter Option (partial string is acceptable): static-activate
Enter Controller VLAN ID [1]: 10
Enter Uplink port [GE 0/0/0]:
Enter Uplink port mode (access|trunk) [access]:
Enter Uplink Vlan IP assignment method (static|pppoe) [static]:
Enter Uplink Vlan Static IP address [192.168.1.1]: 172.31.10.100
Enter Uplink Vlan Static IP netmask [255.255.255.0]:
Enter IP default gateway [none]: 172.31.10.1
Enter DNS IP address [none]: 8.8.8.8
Do you wish to configure IPV6 address on vlan (yes|no) [yes]: no
Do you want to disable spanning tree (yes|no)? [no]: no
Do you want to configure dynamic port-channel (yes|no) [no]: no
Current choices are:
Controller VLAN id: 10
Uplink port: GE 0/0/0
Uplink port mode: access
Uplink Vlan IP assignment method: static
Uplink Vlan static IP Address: 172.31.10.100
Uplink Vlan static IP net-mask: 255.255.255.0
Uplink Vlan IP default gateway: 172.31.10.1
Domain Name Server to resolve FQDN: 8.8.8.8
Option to configure VLAN interface IPV6 address: no
Spanning-tree is disabled: no
Do you wish to accept the changes (yes|no)yes
設定が完了し、ゲートウェイが再起動すると、Centralで管理できる様になります。
最後に、ローカル認証も有効にしておくことをお勧めします。
こちらを有効にしないと、VPNCに直接コンソールやSSHでアクセスすることができません。基本的にはCentral管理で問題ありませんが、Central管理でトラブルがある場合など、ローカルアクセスができると何かと便利です。