- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
SD-WAN
WAN业务配置指导
资料版本:5W102-20241210
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
SD-WAN分支方案控制组件支持分支网络自动化部署和WAN业务部署下发,本文档主要介绍如何完成上述业务配置,包括以下几部分的内容:
· 设备上线规划:介绍设备自动化注册上线过程。
· 分支网络规划:介绍分支EVPN方案网络规划和VPN业务配置。
· 应用调度配置:介绍调度相关功能下发和QoS业务部署的过程。
· 基础运维和扩展功能:介绍基础可视运维、告警配置、站点上网等基础运维和扩展功能。
图2-1 WAN业务配置组网图
· HQ1:总部站点,使用站点双网关组网,站点角色为RR&CPE。
· Branch1:分支站点,使用站点双网关组网,站点角色为CPE。
· Branch2:分支站点,使用站点双网关组网,站点角色为CPE。
· Branch3:分支站点,使用单设备组网,站点角色为CPE。
· 站点双网关组网如果需要使用WAN优化,必须保障互联接口为物理接口且直连(不能通过三层网络互连)。
· 站点双网关组网如果需要使用RBM功能,必须保障互联接口为物理接口且直连(不能通过三层网络互连)。
· HQ1:通过三层防火墙(NAT1)接入互联网。HQ1和Branch1之间使用二层专线互联,通过OSPF协议保证互通。站点对应公网地址配置在防火墙上,通过NAT映射将HUB设备的私网地址/业务端口映射到互联网上。HUB1-2接入三层专线网络,使用BGP协议保证互通,由于SDWAN的AS号和底层网络的AS号不一致,需要使用Fake AS功能。
· Branch1:SPOKE1-2接入三层专线网络,使用OSPF协议保证互通;SPOKE1-1和SPOKE1-2直接接入互联网,通过DHCP获取公网地址。
· Branch2:SPOKE2-2接入三层专线网络,使用OSPF协议保证互通;SPOKE2-1和SPOKE2-2直接接入互联网,使用固定公网地址。
· Branch3:SPOKE3接入三层专线网络,使用OSPF协议保证互通,SPOKE3的两个互联网出口,使用私网地址,通过运营商NAT将源地址变换成公网地址。
总部站点(RR设备)必须有固定公网地址,固定公网地址可以直接配置在总部设备上或者前置防火墙上。如果固定公网地址在防火墙上,防火墙需要通过NAT变换将总部站点的私网地址/业务端口映射到互联网,支持两种NAT变换方式:
· 静态NAT变换:配置私网地址和公网地址间静态NAT变换,包括入方向和出方向NAT变换,保证HUB设备上的私网地址和公网地址的1:1映射。
· 端口映射:配置私网地址+业务端口和公网地址+业务端口的1:1映射变换,包括入方向和出方向的NAT变换,NAT变换中业务端口不允许修改。保证私网访问公网时,源私网地址+业务端口可以变换为对应的源公网地址+业务端口;公网访问私网时,目的公网地址+业务端口可以变换为对应的目的私网地址+业务端口。
· HQ1:由于控制组件部署在内网,两台HUB设备需要使用两个接口和LAN1互联,分别为管理口和LAN口。管理口不绑定VPN,使用OSPF协议和LAN1互联,主要用于打通和控制组件之间的管理通道。 LAN口绑定VPN,使用OSPF协议和LAN1互联,用于业务流量互通。LAN口通过OSPF学习内网路由,并重分布到BGP中发布给分支;从BGP学到的分支路由重分布到OSPF中,通过OSPF发布给LAN1。
· Branch1:站点双网关的LAN口配置VRRP,内部终端的网关配置为VRRP虚地址,需要增加路由互联接口进行路由同步;
· Branch2:站点双网关的LAN口配置VRRP,内部终端的网关配置为VRRP虚地址,需要增加路由互联接口进行路由同步;
· Branch3:单个LAN口接入LAN网络。
· 对于站点双网关组网,如果通过VRRP或者静态路由方式接入LAN网络,需要为每个业务VPN增加一条互联链路(可以使用子接口),并配置OSPF协议进行路由同步,否则链路故障后可能无法实现路径切换。
· HUB设备使用两个OSPF进程(分别属于公网和业务VPN)和LAN1网络建立OSPF邻居,两个进程需要配置不同的Router id,否则会导致路由问题,建议公网OSPF进程使用全局Router id,业务VPN的OSPF进程手动指定其它Router id。
设备通过Internet口注册上线,设备上配置dns server,注册地址为cloudnet.h3c.com。
|
站点 |
角色 |
|
HUB |
RR/CPE |
|
Agg1 |
RR/CPE |
|
Agg2 |
RR/CPE |
|
Spoke1 |
CPE |
|
Spoke2 |
CPE |
|
Spoke3 |
CPE |
|
站点 |
LAN侧网段 |
|
HUB |
120.1.1.0/24 |
|
Agg1 |
120.2.1.0/24 |
|
Agg2 |
120.3.1.0/24 |
|
Spoke1 |
120.4.1.0/24 |
|
Spoke2 |
120.5.1.0/24 |
|
Spoke3 |
120.6.1.0/24 |
表2-3 接入区配置
|
接入区序号 |
RR |
CPE(均客户机接入) |
|
1 |
HUB |
Agg1、Agg2 |
|
2 |
Agg1 |
Spoke1、Spoke2 |
|
3 |
Agg2 |
Spoke2、Spoke3 |
· Agg间可以直接互通。
· Spoke1和Spoke2互通经过Agg1,Spoke2和Spoke3不互通(分别只与中心互通)。
· Spoke1与HUB互访需要经过Agg1,Spoke3与HUB互访需要经过Agg2。
· Spoke2与HUB互访需要经过Agg1和Agg2,Agg为主备关系,其中Agg1为主。
各设备对应的接口地址规划参考表2-4。NAT1使用端口映射方式,将私网地址+端口映射到对应的公网地址+端口,需要配置NAT映射关系参考表2-5。
|
设备 |
接口 |
接口地址 |
对端设备 |
对端接口 |
对端地址 |
备注 |
|
HUB1-1 |
GE3/4/0 |
11.1.1.2/24 |
LAN1 |
|
11.1.1.1 |
管理网络 |
|
GE3/4/0.1 |
20.1.10.2/24 2000:2::2/64 |
LAN1 |
|
20.1.10.1 2000:2::1 |
VPN1的LAN口 |
|
|
GE3/4/1 |
30.1.1.1/24 |
HUB1-2 |
GE3/4/1 |
30.1.1.2 |
横穿链路 |
|
|
GE3/4/2 |
11.1.5.1/24 |
SPOKE1-1 |
GE0/2 |
11.1.5.2 |
二层专线 |
|
|
GE3/4/3 |
11.1.3.1/24 |
NAT1 |
GE0/1 |
11.1.3.2 |
互联网线路 |
|
|
HUB1-2 |
GE3/4/0 |
11.1.2.2/24 |
LAN1 |
|
11.1.2.1 |
管理网络 |
|
GE3/4/0.1 |
20.1.11.2/24 2000:3::2/64 |
LAN1 |
|
20.1.11.1 2000:3::1 |
VPN1的LAN口 |
|
|
GE3/4/1 |
30.1.1.2/24 |
HUB1-2 |
GE3/4/1 |
30.1.1.1 |
横穿链路 |
|
|
GE3/4/2 |
11.1.6.1/24 |
SPOKE1-2 |
GE0/2 |
11.1.6.2 |
二层专线 |
|
|
GE3/4/3 |
11.1.4.1/24 |
NAT1 |
GE0/2 |
11.1.4.2 |
互联网线路 |
|
|
GE3/4/4 |
12.1.1.1/24 |
MPLS |
|
12.1.1.2 |
三层专线 |
|
|
NAT1 |
GE0/0.1 |
110.1.1.1/24 |
Internet |
|
110.1.1.2 |
Internet公网出口 |
|
GE0/0.2 |
110.1.2.1/24 |
Internet |
|
110.1.2.2 |
Internet公网出口 |
|
|
GE0/1 |
11.1.3.2/24 |
HUB1-1 |
GE3/4/3 |
11.1.3.1 |
|
|
|
GE0/2 |
11.1.4.2/24 |
HUB1-2 |
GE3/4/3 |
11.1.4.1 |
|
|
|
SPOKE1-1 |
GE0/0 |
20.1.2.2/24 2001::2/64 |
LAN2 |
|
|
VPN1的LAN口 VRRP (主) 20.1.2.1 2001::1 |
|
GE0/1 |
30.1.2.1/24 |
SPOKE1-2 |
GE0/1 |
30.1.2.2 |
横穿链路 |
|
|
GE0/1.1 |
20.1.21.1/24 2001:2::1/64 |
SPOKE1-2 |
GE0/1.1 |
20.1.22.2 2001:2::2 |
VPN1的LAN口 横穿路由同步 |
|
|
GE0/2 |
11.1.5.2/24 |
HUB1-1 |
GE3/4/2 |
11.1.5.1 |
二层专线 |
|
|
GE0/3 |
DHCP |
Internet |
|
|
互联网线路 |
|
|
SPOKE1-2 |
GE0/0 |
20.1.2.3/24 2001::3/64 |
LAN2 |
|
|
VPN1的LAN口 VRRP: (备) 20.1.2.1 2001::1 |
|
GE0/1 |
30.1.2.2/24 2001::3/64 |
SPOKE1-1 |
GE0/1 |
30.1.2.1 |
横穿链路 |
|
|
GE0/1.1 |
20.1.21.2/24 2001:2::2/64 |
SPOKE1-1 |
GE0/1.1 |
20.1.21.1 2001:2::1 |
VPN1的LAN口 横穿路由同步 |
|
|
GE0/2 |
11.1.6.2/24 |
HUB1-2 |
GE3/4/2 |
11.1.6.1 |
二层专线 |
|
|
GE0/3 |
12.1.4.2/24 |
MPLS |
|
12.1.4.1 |
三层专线 |
|
|
GE0/4 |
DHCP |
Internet |
|
|
互联网线路 |
|
|
SPOKE2-1 |
GE0/1 |
30.1.3.1/24 |
SPOKE2-2 |
GE0/1 |
30.1.3.2 |
横穿链路 |
|
GE0/1.1 |
20.1.22.1/24 2002:2::1/64 |
SPOKE2-2 |
GE0/1.1 |
20.1.22.2 2001:2::2 |
VPN1的LAN口 横穿路由同步 |
|
|
GE0/2 |
110.1.100.2/24 |
Internet |
|
|
互联网线路 |
|
|
GE0/3 |
20.1.3.3/24 2002::2/64 |
LAN3 |
|
|
VPN1的LAN口 VRRP:(主) 20.1.3.1 2002::1 |
|
|
SPOKE2-2 |
GE0/0 |
12.1.2.2/24 |
MPLS |
|
12.1.2.1 |
三层专线 |
|
GE0/1 |
30.1.3.2/24 |
SPOKE2-1 |
GE0/1 |
30.1.3.1 |
横穿链路 |
|
|
GE0/1.1 |
20.1.22.2/24 2001:2::2/64 |
SPOKE2-1 |
GE0/1.1 |
20.1.22.1 2002:2::1 |
VPN1的LAN口 横穿路由同步 |
|
|
GE0/2 |
110.1.101.2/24 |
Internet |
|
|
互联网线路 |
|
|
GE0/3 |
20.1.3.3/24 2002::3/64 |
LAN3 |
|
|
VPN1的LAN口 VRRP: (备) 20.1.3.1 2002::1 |
|
|
SPOKE3 |
GE0/0 |
20.1.4.1/24 2003::1 |
LAN4 |
|
|
VPN1的LAN口 |
|
GE0/1.1 |
PPPoe拨号 Dialer1 |
Internet |
|
|
互联网线路 |
|
|
GE0/1.2 |
DHCP |
Internet |
|
|
互联网线路 |
|
|
GE0/2 |
12.1.3.2/24 |
MPLS |
|
12.1.3.1 |
三层专线 |
表2-5 NAT映射关系说明
|
设备 |
接口 |
协议 |
外部地址: 端口 |
内网地址: 端口 |
功能 |
|
NAT1 |
GE0/0.1 |
TCP |
110.1.1.1: 2004 |
10.1.3.1: 2004 |
CPE和RR之间建立SSL连接 端口支持自定义,缺省为2004 |
|
UDP |
110.1.1.1: 4799 |
10.1.3.1: 4799 |
缺省SDWAN隧道封装端口映射 |
||
|
UDP |
110.1.1.1: 12288 |
10.1.3.1: 12288 |
基于Group ID的SDWAN隧道封装端口映射 |
||
|
UDP |
110.1.1.1: 12289 |
10.1.3.1: 12289 |
基于Group ID的SDWAN隧道封装端口映射 |
||
|
UDP |
110.1.1.1: 12290 |
10.1.3.1: 12290 |
基于Group ID的SDWAN隧道封装端口映射 |
||
|
UDP |
110.1.1.1: 12291 |
10.1.3.1: 12291 |
基于Group ID的SDWAN隧道封装端口映射 |
||
|
GE3/4/3 |
TCP |
110.1.2.1: 2004 |
10.1.4.1: 2004 |
CPE和RR之间建立SSL连接 端口支持自定义,缺省为2004 |
|
|
UDP |
110.1.2.1: 4799 |
10.1.4.1: 4799 |
缺省SDWAN隧道封装端口映射 |
||
|
UDP |
110.1.2.1: 12288 |
10.1.4.1: 12288 |
基于Group ID的SDWAN隧道封装端口映射 |
||
|
UDP |
110.1.2.1: 12289 |
10.1.4.1: 12289 |
基于Group ID的SDWAN隧道封装端口映射 |
||
|
UDP |
110.1.2.1: 12290 |
10.1.4.1: 12290 |
基于Group ID的SDWAN隧道封装端口映射 |
||
|
UDP |
110.1.2.1: 12291 |
10.1.4.1: 12291 |
基于Group ID的SDWAN隧道封装端口映射 |
总部防火墙配置NAT端口映射,需要配置私网地址+业务端口和公网地址+业务端口的1:1映射变换,NAT变换中业务端口不允许修改。保证私网访问公网时,源私网地址+业务端口可以变换为对应的公网地址+业务端口;公网访问私网时,目的公网地址+业务端口可以变换为对应的私网地址+业务端口。
如果设备和控制组件之间有防火墙,需要放通对应的服务端口保证控制组件对设备的纳管,放通端口参考表2-6。
|
协议 |
源地址 |
源端口 |
目的地址 |
目的端口 |
说明 |
|
TCP |
设备注册接口地址 |
Any |
cloudnet.h3c.com |
19443 |
设备Websocket注册使用 |
如果CPE和RR之间有防火墙,需要放通对应的服务端口保证Overlay链路(TTE连接)可以正常建立,放通端口参考表2-7。
表2-7 RR和CPE之间放通的端口
|
协议 |
源地址 |
源端口 |
目的地址 |
目的端口 |
说明 |
|
TCP |
CPE WAN口地址 Any |
Any |
RR WAN口地址 |
2004 |
|
|
UDP |
CPE WAN口地址 Any |
4799 Any |
RR WAN口地址 |
4799 |
缺省平面使用的端口号,根据WAN规划放通; 如果CPE为私网地址,通过NAT变换为公网地址和RR互通,源地址和端口都可能变化,需要匹配Any |
|
UDP |
CPE WAN口地址 Any |
12288~12543 Any |
RR WAN口地址 |
12288~12543 |
自定义平面使用端口号,1对1放通。自定义平面配置参考4.4 WAN网络配置 如果CPE为私网地址,通过NAT变换为公网地址和RR互通,源地址和端口都可能变化,需要匹配Any |
|
UDP |
RR WAN口地址 |
4799 |
CPE WAN口地址 |
4799 |
缺省平面使用的端口号,根据WAN规划放通; 如果CPE为公网地址,RR会主动进行TTE协商,也需要放通。 |
|
UDP |
RR WAN口地址 |
12288~12543 |
CPE WAN口地址 |
12288~12543 |
自定义平面使用端口号,1对1放通。自定义平面配置参考4.4 WAN网络配置 如果CPE为公网地址,RR会主动进行TTE协商,也需要放通。 |
如果CPE1和CPE2之间需要直接建立连接且中间有防火墙,需要放通对应的服务端口保证Overlay链路(TTE连接)可以正常建立,放通端口参考表2-8。
表2-8 CPE之间放通的端口
|
协议 |
源地址 |
源端口 |
目的地址 |
目的端口 |
说明 |
|
UDP |
CPE1的WAN口地址 Any |
4799 Any |
CPE2的WAN口地址 |
4799 |
缺省平面使用的端口号,根据WAN规划放通; 如果CPE1为私网地址,通过NAT变换为公网地址和CPE2互通,源地址和端口都可能变化,需要匹配Any |
|
UDP |
CPE1的WAN口地址 Any |
12288~12543 Any |
CPE2的WAN口地址 |
12288~12543 |
自定义平面使用端口号,1对1放通。自定义平面配置参考4.4 WAN网络配置 CPE1和CPE2需要有一端为固定公网地址,如果CPE1为私网地址,通过NAT变换为公网地址和CPE2互通,源地址和端口都可能变化,需要匹配Any |
|
UDP |
CPE2的WAN口地址 |
4799 |
CPE1的WAN口地址 |
4799 |
缺省平面使用的端口号,根据WAN规划放通; 如果CPE1和CPE2都使用固定公网地址,两边都会主动进行TTE协商,反向报文也需要放通。 |
|
UDP |
CPE2的WAN口地址 |
12288~12543 Any |
CPE1的WAN口地址 |
12288~12543 |
自定义平面使用端口号,1对1放通。自定义平面配置参考4.4 WAN网络配置 如果CPE1和CPE2都使用固定公网地址,两边都会主动进行TTE协商,反向报文也需要放通。 |
分支设备自动化部署上线前可以先对网络进行规划,申请网络需要使用的资源池,参考表2-9。
|
地址池 |
地址数量需求 |
地址池规划 |
|
System IP地址池 |
可以通过地址池分配,每台设备需要分配或指定一个System IP。 地址池数量需求=实际设备数量 |
假设未来规划10台设备,地址数量需要大于10 地址池:6.1.1.1~6.1.1.255 掩码长度:24 |
所有资源池都支持扩展,初始部署时需要尽量满足现网要求。
一般总部设备需要手工上线,Underlay网络配置需要手动增加。
设备上线前不能添加控制组件需要下发的配置,如rir配置,sdwan配置等。如果设备有相关配置,需要先清空相关配置后再上线,例如设备被控制组件纳管过,在控制组件上删除设备后并不会自动清除设备配置,需要手动将设备配置回退到初始配置后再上线。
#
interface GigabitEthernet3/4/0 //管理口地址配置
port link-mode route
ip address 11.1.1.2 255.255.255.0
ospf cost 10
#
interface GigabitEthernet3/4/2 //二层专线接口配置
port link-mode route
ip address 11.1.5.1 255.255.255.0
ospf cost 100
#
interface GigabitEthernet3/4/3 //防火墙互联接口配置
port link-mode route
ip address 11.1.3.1 255.255.255.0
#
#
ip route-static 0.0.0.0 0 11.1.3.2 //指向防火墙静态路由,上网使用
#
ospf 1 router-id 11.1.1.2 //管理网、二层专线。
default-route-advertise //发布缺省路由,
import-route static cost 10 //引入静态路由,缺省路由引入内网
area 0.0.0.0
network 11.1.1.2 0.0.0.0
area 0.0.0.10
network 11.1.5.1 0.0.0.0
#
#
dns proxy enable
dns server 8.8.8.8
#
cloud-management server domain cloudnet.h3c.com //WebSocket注册的配置
#
#
interface GigabitEthernet3/4/0 //管理口地址配置
port link-mode route
ip address 11.1.2.2 255.255.255.0
ospf cost 20
#
interface GigabitEthernet3/4/2 //二层专线接口配置
port link-mode route
ip address 11.1.6.1 255.255.255.0
ospf cost 100
#
interface GigabitEthernet3/4/3 //防火墙互联接口配置
port link-mode route
ip address 11.1.4.1 255.255.255.0
#
接入三层专线的接口配置先不用手动下发,后续使用控制组件的WebSocket开局方式进行部署。
#
ip route-static 0.0.0.0 0 11.1.4.2 //指向防火墙静态路由,上网使用
#
ospf 1 router-id 11.1.2.2 //管理网、二层专线。
default-route-advertise //发布缺省路由
import-route static cost 20 //引入静态路由,缺省路由引入内网
area 0.0.0.0
network 11.1.2.2 0.0.0.0
area 0.0.0.10
network 11.1.5.1 0.0.0.0
#
接入三层专线的路由配置先不用手动下发,后续使用控制组件的WebSocket开局方式进行部署,包括Fake AS配置,统一通过控制组件下发配置。
#
dns proxy enable
dns server 8.8.8.8
#
cloud-management server domain cloudnet.h3c.com //WebSocket注册的配置
#
请参考《H3C 云简网络部署手册》中的“2.1 云简网络账户”章节。
请参考《H3C 云简网络部署手册》中的“2.1 云简网络账户”章节。
请参考《H3C 云简网络部署手册》中的“2.3.2分支管理与场所配置”章节。
请参考《H3C 云简网络部署手册》中的“2.3.2分支管理与场所配置”章节。
请参考《H3C 云简网络部署手册》中的“2.3.2分支管理与场所配置”章节。
请参考《H3C 云简网络部署手册》中的“2.3.3 分支、场所的导入与导出”章节。
请参考《H3C 云简网络部署手册》中的“2.3.4 场所标签”章节。
请参考《H3C 云简网络部署手册》中的“2.4 设备”章节。
目前各组件均支持试用License,可以直接使用试用License进行测试。
现网实际部署时需要注册正式License,关于授权的申请和安装过程,请参见《H3C 软件产品远程授权License 使用指南》。
· 请根据实际组网需求申请和安装所需款型和数量的License资源。
· 顶级账户才可进行License资源安装。
· 进行安装前,请确保不存在欠费License资源。
· 已绑定License的设备,上线后解绑,解绑当日仍需扣除点数。
进入[SD-WAN>许可>License许可]页面,如图3-1所示,可以查看已安装License资源。单击<安装License>按钮,如图3-2所示,进入License安装页面,可以选择激活文件安装对应款型的License授权。
首先进行设备上线规划,参考组网图完成所有设备注册上线。
设备上线规划可以通过配置向导完成相关配置,也可以在自动化菜单中进行相关设置。设备上线规划配置流程图如图4-1所示。
添加的所有的设备名称都不能重复。
请参考《H3C 云简网络部署手册》中的“2.4.3 设备的导入与导出”章节导入所有设备,完成所有设备注册上线。
全局配置为控制组件的基础配置,新开局时需要优先完成配置。建议通过配置向导完成相关配置。
进入[SD-WAN>向导>设备上线规划>全局配置>基础配置]页面,配置BGP AS号、System IP口编号和SDWAN Server端口号,如图4-2所示,点击<确定>按钮保存配置。
关键参数说明:
· BGP AS号:控制组件向设备下发BGP配置时使用的AS号,每个租户唯一。
· 管理口:是否由控制组件创建管理loopback接口。开启时,自动创建管理loopback编号,需要配合管理VPN使用;关闭时不创建。
· 管理Loopback口编号:控制组件为设备分配管理Loopback接口时使用的接口编号,取值范围为0~1023的整数。
· System IP口编号:控制组件为设备分配System IP对应的Loopback接口时使用的接口编号。
· SDWAN Server端口号:接区RR与接入CPE之间建立TLS连接时使用的端口号,默认值为2004,用户可以自定义修改。
Overlay链路(TTE连接)建立完成后,修改SDWAN Server端口号会导致RR与CPE之间的TLS连接断开再重新建立,设备之间所有Overlay链路(TTE连接)都会断开重建,会影响Overlay流量转发。
用户可以进入[SD-WAN>自动化>参数配置>资源池>基础配置]页面查询或进行相关配置。
进入[SD-WAN>向导>设备上线规划>全局配置>资源池配置]页面,点击<增加 >按钮,可以增加对应资源池,根据2.5 资源池规划完成相关配置,如图4-3所示,点击<确定>按钮保存配置。
用户可以进入[SD-WAN>自动化>参数配置>资源池>IP地址池]页面查询或进行相关配置,手动添加地址池时,需要选择地址池类型为“System IP接口”,如图4-4所示。
图4-4 IP地址池
进入[SD-WAN>向导>设备上线规划>全局配置>IPsec配置]页面进行IPsec配置,如图4-5所示,点击<确定>按钮保存配置。
关键参数说明:
· 抗重放检测:方案建议关闭抗重放检测功能,否则配合Qos保障可能出现断流。
· 加密方案:支持五种加密方案,包括自定义加密方案。本例中使用推荐加密方案。
配置完成后,可以在[SD-WAN>自动化>虚拟网络>IPsec配置]页面查看对应IPsec方案配置,当配置了IPsec加密的WAN详情都删除后,支持修改IPsec加密方案。
· 全网只能选择一种IPsec加密方案。国密硬件加密方案需要使用单独的硬件加密卡,如果选择此加密方案,必须保证所有需要建立IPsec的设备都有对应的硬件加密卡,否则会导致IPsec建立失败,流量无法转发。
· 建议关闭IPsec抗重放检测功能,否则配合Qos应用保障可能出现断流。
进入[SD-WAN>向导>分支网络规划]页面或者[SD-WAN>自动化>参数配置>运维配置>运维参数配置]页面,完成“设备质量探测和流量采集配置”和“控制组件质量探测和流量采集配置”,如图4-6所示;修改全局BFD模板参数,如图4-7所示;修改“链路质量评估值”和“INQA开关”如图4-8所示;修改各项配置参数后均需单独点击<确定>按钮保存。
设备质量探测和流量采集配置:根据组网规模可以直接选择对应的运维精度,不同运维对应的全局参数不同。用户也可以选择自定义运维参数。此运维参数会下发到设备,设备按照此运维参数进行探测和选路,具体运维参数说明如下:
· 链路质量探测周期:SDWAN隧道的链路质量探测的周期。
· 接口流量采集周期:设备接口流量统计时间,单位为秒。
· 选路调整周期:为防止频繁选路,可指定RIR智能选路的调整周期,当链路质量或带宽不满要求时,需要延后此周期再进行选路单位为秒。
· 选路调整抑制周期:为防止选路后频繁回切,可指定RIR智能选路的调整抑制周期,上次选路完成后需要抑制此周期时间后在进行选路,单位为秒。
· SDWAN隧道保活报文间隔:SDWAN隧道发送Keepalive请求报文的时间间隔。范围为1~32767,单位为秒,启用BFD探测隧道后Keepalive报文主要用于隧道建立。
· SDWAN隧道包含报文允许重试次数:SDWAN隧道允许未收到Keepalive应答报文的最大连续次数。范围为1~255。
控制组件质量探测和流量采集配置:控制组件采集设备相关信息时间。
· 质量上报周期:设备上报链路质量周期,单位为秒。
· 应用流量上报周期:设备上报应用流量报文的时间间隔,单位为秒。
全局BFD配置:控制组件对路由协议下发BFD配置,下发BFD配置的时间参数。
· BFD检测时间倍数:BFD检测的时间倍数。
· BFD接收报文最小时间间隔:BFD接受报文的最小时间间隔单位为毫秒。
· BFD发送报文最小时间间隔:BFD发送报文的最小时间间隔单位为毫秒。
链路质量评估值:系统链路实际的延时、丢包率和抖动值,以及设置的相应权重计算出来的链路质量评估值,其值越大表示链路质量越好。
· 权重分配:可以设置链路的延时权重分配、丢包率权重分配和抖动权所占的权重。
· 阈值分配:可以分别配置延时、抖动、丢包率的优秀级别阈值、良好级别阈值、及格阈值,其中优秀级别阈值 < 良好级别阈值 < 及格级别阈值,小于及格阈值的为较差。
阈值的作用:用来计算链路质量评估值,具体计算方式参考如图4-9、图4-10、图4-11所示:
计算链路质量的评估值,具体计算方式如图4-12所示。
iNQA开关:使用缺省配置。此开关用于切换单向和双向INQA功能,关闭为使用双向INQA探测,打开为使用单向向INQA探测。方案要求使用双向INQA探测。
· 如果BGP要启用BFD功能,BFD探测精度必须低于隧道BFD保活的探测,即BFD探测时间和次数需要大于隧道BFD保活报文探测的时间和次数。
· 目前方案使用双向iNQA探测,iNQA开关需要为关闭状态。
进入[SD-WAN>向导>设备上线规划>全局配置>隧道BFD模板]页面进行隧道BFD模板配置,点击<增加>按钮,添加隧道BFD模板,如图4-13所示。
图4-13 隧道BFD模板配置
关键参数说明:
· 模板名称:隧道BFD模板,SDWAN隧道下引用的BFD模板,用于Overlay链路(TTE连接)通断探测。
· BFD检测时间倍数:探测的次数,方案建议配置为5次,可以根据现网需求进行调整;
· BFD接收报文最小时间间隔/BFD发送报文最小时间间隔:探测时间间隔,方案建议配置为1000ms,可以根据现网需求进行调整。
· BFD绑定开关:是否使用隧道BFD进行通断探测,方案要求启用隧道BFD探测。
点击<增加>按钮,添加扩展隧道BFD模板,如图4-14所示。
图4-14 扩展隧道BFD模板配置
关键参数说明:
· 模板名称:扩展隧道BFD模板,站点双网关使用的扩展SDWAN隧道下引用的BFD模板,用于扩展隧道的通断探测。
· BFD检测时间倍数:探测的次数,方案建议配置为5次,可以根据现网需求进行调整;
· BFD接收报文最小时间间隔/BFD发送报文最小时间间隔:探测时间间隔,方案建议配置为1000ms,可以根据现网需求进行调整;
· BFD绑定开关:是否要使用扩展隧道BFD进行通断探测。站点双网关两台设备通过物理链路直连,方案不建议启用扩展隧道BFD功能;两台设备通过三层网络连接,方案建议启用扩展隧道BFD探测。
· 方案建议使用BFD探测隧道的通断状态,必须先配置隧道BFD模板后再添加WAN网络详情,非BFD探测方式只是为了兼容前期开局项目。
· 站点双网关两台设备通过物理链路直连下,不建议启用扩展隧道BFD;两台设备通过三层网络连接,需要使用扩展隧道BFD探测隧道的通断状态。
· 如果配置了WAN详情后再绑定隧道BFD模板,原有隧道不会补充下发BFD模板配置,需要删除WAN详情后再重新添加。
· 打开隧道/扩展隧道BFD绑定开关后无法关闭。
完成全局配置后,点击<下一步>按钮进入WAN网络配置页面。
进入[SD-WAN>向导>设备上线规划>WAN网络配置]页面,根据实际组网需求增加WAN业务网络,本例中需要增加三种类型的WAN网络。
对于Internet网络或者网络中有防火墙进行了NAT变换,需要使用Internet类型的WAN网络。点击<增加>按钮,添加WAN业务网络,其中WAN网络名称为“Internet”,选择网络类型为“Internet”如图4-15所示。
图4-15 增加Internet网络类型WAN业务网络
关键参数说明:
· 网络路由域:指定网络路由域,同一租户内不同WAN业务网络需要配置不同的路由域。同一路由域内可以建立Overlay链路(TTE连接)。见本例中网络路由域为200。
· 加密IPsec:可以选择是否IPsec加密,本例选择加密IPsec。
· WAN网络跨传输网开关:是否使能该网络跨传输网,使能后不同传输网络之间可以建立Overlay链路(TTE连接),本例中开启此开关。
点击<确定>按钮完成添加。
Internet类型的WAN业务网络添加完成后会自动进入传输网络和业务平面配置界面。如果返回后也可以点击
按钮进入传输网络和业务平面配置页面。
(1) 添加传输网络:同一站点接入同一WAN网络(Internet类型)的不同接口需要属于不同的传输网络。当站点有多个接口接入同一个Internet网络时,需要配置多个传输网络。一般一个运营商配置一个传输网络,点击<增加>按钮添加新的传输网络,如图4-16所示。
关键参数说明:
¡ 传输网络:默认存在Default,可以根据需要增加或者删除传输网络,同一站点的不同接入WAN口应属于不同传输网络,只支持英文
¡ 传输网络别名:传输网络的别名,支持中文。
本例中为Internet网络配置两个传输网络,对应的别名是CT和CU。
同一租户内不同的WAN业务网络应配置不同的网络路由域;同一站点接入同一WAN业务网络的不同接口需要配置不同的传输网络。
(2) 配置业务平面:
启用跨传输网建立隧道时,如果同一个WAN网络内部存在多个传输网,可能出现一对多的Overlay链路(TTE连接)。流量调度是选择本设备的出接口,如果一个接口到同一个目的设备建立了多个Overlay链路(TTE连接),那无法选择具体的Overlay链路(TTE连接),因此引入了业务平面的概念。通过业务平面可以对WAN接口进行切分,同一个WAN接口可以属于多个平面,只允许同一平面内的WAN口之间建立Overlay链路(TTE连接)。
CPE和RR之间Overlay链路(TTE连接)建立原则:
· 当关闭WAN网络跨传输网开关:同一路由域(同一个租户内同一个WAN网络),同一业务平面,同一传输网之间才能建立Overlay链路(TTE连接)。
· 当开启WAN网络跨传输网开关:同一路由域(同一个租户或不同租户,网络路由域相同),同一业务平面都可以建立Overlay链路(TTE连接),不考虑传输网是否相同。
CPE之间Overlay链路(TTE连接)建立原则:
· 当关闭WAN网络跨传输网开关:同一路由域(同一个租户内同一个WAN网络),同一业务平面,同一传输网,CPE之间通过RR可以交互TTE信息(CPE使用客户机接入到接入区)且有直连路由(区域拓扑配置为CPE直连或者接入区阻断策略为关闭且没有添加区域拓扑,同时两端CPE都发布VPN业务路由)的情况下才能建立Overlay链路(TTE连接)。
· 当开启WAN网络跨传输网开关:同一路由域(同一个租户或不同租户,网络路由域相同),同一业务平面,CPE之间通过RR可以交互TTE信息(CPE使用客户机接入到接入区)且有直连路由(区域拓扑配置为CPE直连或者接入区阻断策略为关闭且没有添加区域拓扑,同时两端CPE都发布VPN业务路由)的情况下才能建立Overlay链路(TTE连接)。不考虑传输网是否相同。
(3) 流量调度中的优选策略支持基于接口(WAN网络和传输网)和业务平面配置优选,通过配置业务平面就可以对优先路径进行精确的控制,
(4) 本例中Internet网络有两个传输网CT和CU,总部和分支分别有两个Internet出口,启用跨传输网建立隧道,总部和一个分支之间会建立4条Overlay链路(TTE连接)。为了区分这4条隧道,可以定义4个平面,使用“上级传输网络-下级传输网络”进行命名,4个 平面分别是:平面1(CT-CT),平面2(CT-CU),平面3(CU-CT),平面4(CU-CU),平面划分如图4-17所示。这样后面调度策略中就可以通过配置路由域+传输网+业务平面的方式精确的选择对应的Overlay链路(TTE连接)。例如应用需要优选CT同运营商隧道,次选CU同运营商隧道,跨运营商隧道作为被备份隧道,优选策略为:平面1的CT>平面4的CU>平面2的CT>平面2的CU>平面3的CT>平面3的CU ,后面4个策略都为跨运营商隧道,作为备份隧道可以按需定义优先级。
(5) 参考平面划分示意图完成业务平面列表的添加,如图4-18所示
关键参数说明:
¡ 业务平面名称:定义的业务平面名称,后面优选策略中需要引用。
¡ 业务平面编号:业务平面的编号,同一WAN网络下,不同业务平面需要使用不同的编号;
¡ UDP封装端口号:SDWAN隧道UDP封装的端口号,同一个WAN网络下,不同平面需要使用不同的UDP编号,建议配置范围为12288~12543的整数。如果中间有防火墙,需要放通或映射对应的端口,端口映射参考表2-5。
(6) 点击<返回>按钮可以返回WAN网络配置页面。
点击<增加>按钮,添加WAN业务网络,其中WAN网络名称为“MPLS”,选择网络类型为“三层专线”,如图4-19所示,点击<确定>按钮保存配置。
关键参数说明:
· 网络路由域:指定网络路由域,同一租户内不同WAN业务网络需要配置不同的路由域。同一路由域内可以建立Overlay链路(TTE连接)。本例中网络路由域为300。
· 加密IPsec:可以选择是否IPsec加密,本例选择否。
· WAN网络跨传输网开关:是否使能该网络跨传输网,使能后不同传输网络之间可以建立Overlay链路(TTE连接),本例中关闭此开关。
点击<确定>按钮完成添加。
三层类型的WAN业务网络添加完成后会自动进入传输网络和业务平面配置界面。如果返回后也可以点击
按钮进入传输网络和业务平面配置页面。
(1) 添加传输网络:同一站点接入同一WAN网络的不同接口需要属于不同的传输网络。当站点有多个接口接入同一个三层WAN网络时,需要配置多个传输网络。本例中没有相关需求,因此不需要额外增加传输网络,传输网络列表如图4-20所示。
关键参数说明:
¡ 传输网络:默认存在Default,可以根据需要增加或者删除其他传输网络,同一台设备的不同接入WAN口应属于不同传输网络,只支持英文
¡ 传输网络别名:传输网络的别名,支持中文。
本例中没有相关需求,因此不需要额外增加传输网络。
同一租户内不同的WAN业务网络应配置不同的网络路由域;同一站点接入同一WAN业务网络的不同接口需要配置不同的传输网络。
(2) 配置业务平面:
启用跨传输网建立隧道时,如果同一个WAN网络内部存在多个传输网,可能出现一对多的Overlay链路(TTE连接)。流量调度是选择本设备的出接口,如果一个接口到同一个目的设备建立了多个Overlay链路(TTE连接),那无法选择具体的Overlay链路(TTE连接),因此引入了业务平面的概念。通过业务平面可以对WAN接口进行切分,同一个WAN接口可以属于多个平面,只允许同一平面内的WAN口之间建立Overlay链路(TTE连接)。
CPE和RR之间Overlay链路(TTE连接)建立原则:
· 当关闭WAN网络跨传输网开关:同一路由域(同一个租户内同一个WAN网络),同一业务平面,同一传输网之间才能建立Overlay链路(TTE连接)。
· 当开启WAN网络跨传输网开关:同一路由域(同一个租户或不同租户,网络路由域相同),同一业务平面都可以建立Overlay链路(TTE连接),不考虑传输网是否相同。
CPE之间Overlay链路(TTE连接)建立原则:
· 当关闭WAN网络跨传输网开关:同一路由域(同一个租户内同一个WAN网络),同一业务平面,同一传输网,CPE之间通过RR可以交互TTE信息(CPE使用客户机接入到接入区)且有直连路由(区域拓扑配置为CPE直连或者接入区阻断策略为关闭且没有添加区域拓扑,同时两端CPE都发布VPN业务路由)的情况下才能建立Overlay链路(TTE连接)。
· 当开启WAN网络跨传输网开关:同一路由域(同一个租户或不同租户,网络路由域相同),同一业务平面,CPE之间通过RR可以交互TTE信息(CPE使用客户机接入到接入区)且有直连路由(区域拓扑配置为CPE直连或者接入区阻断策略为关闭且没有添加区域拓扑,同时两端CPE都发布VPN业务路由)的情况下才能建立Overlay链路(TTE连接)。不考虑传输网是否相同。
(3) 流量调度中的优选策略支持基于接口(WAN网络和传输网)和业务平面配置优选,通过配置业务平面就可以对优先路径进行精确的控制,例如三层WAN网络有两个传输网tn1和tn2,总部和分支分别有两个接口加入三层WAN网络,启用跨传输网建立隧道,总部和一个分支之间会建立4条Overlay链路(TTE连接)。为了区分这4条隧道,可以定义4个平面,使用“上级传输网络-下级传输网络”进行命名,4个 平面分别是:平面1(tn1-tn1),平面2(tn1-tn2),平面3(tn2-tn1),平面4(tn2-tn2),平面划分如图4-21所示。这样后面调度策略中就可以精确的选择对应的Overlay链路(TTE连接)。
(4) 由于本例中对于三层专线不涉及业务平面配置,具体配置方式可以参考4.4.1 Internet网络类型WAN业务网络。
需要增加两个二层专线的WAN业务网络,分别为MSTP1和MSTP2。点击<增加>按钮,添加WAN业务网络。以增加MSTP1专线为例说明配置方式,其中WAN网络名称为“MSTP1”,选择网络类型为“二层专线”,如图4-22所示,点击<确定>按钮保存配置。
关键参数说明:
· 网络路由域:指定网络路由域,同一租户内不同WAN业务网络需要配置不同的路由域。同一路由域内可以建立Overlay链路(TTE连接)。本例中MSTP1专线的网络路由域为401,MSTP2专线的网络路由域为402。
· LoopBack口编号:总部设备(使用同一个二层专线网络连接多个分支设备)必须使用LoopBack接口作为SDWAN隧道封装的源接口,指定下发的LoopBack接口编号。不同WAN网络需要指定不同的接口编号。MSTP1专线LoopBack接口编号为10,MSTP2专线LoopBack接口编号为11.
· 加密IPsec:可以选择是否IPsec加密,本例选择否。
点击<确定>按钮完成添加。
· 同一租户内不同的WAN业务网络应配置不同的网络路由域;
· 对于同一个二层专线WAN网络,两个站点之间只能有一条WAN网络连接,因此当两个站点之间有多条二层专线时,需要创建多个WAN网络。
点击对应二层专线后面的
按钮进入业务平面配置页面, 通过业务平面可以对WAN接口进行切分,同一个WAN接口可以属于多个平面,只允许同一平面内的WAN口之间建立Overlay链路(TTE连接)。
通过添加平面配置可以在特定组网下控制Overlay链路(TTE连接)的建立,本配置手册中不涉及。
进入[SD-WAN>向导>设备上线规划>增加站点和设备]页面。
在增加设备页面点击<网元同步>按钮,进入网元同步页面,选择是否安全开局,然后勾选需要同步的设备,单击<确认同步>按钮,即可同步设备。
关键参数说明:
· 安全开局:设备安全开局状态,选“是”则需要手动确认开局,选“否”则不需要确认开局。默认站点名称。
网元同步过程中,不要修改设备名称。
在增加站点页面点击<增加>按钮,进入增加站点页面,以增加总部站点为例:
(1) 配置站点基础信息,包括站点名称、站点描述、站点角色、站点类别等参数;
(2) 点击<双网关>按钮,选择HUB1-1和HUB1-2设备,并指定互连接口名称、互连接口IP地址,单击右上角<确定>按钮,完成增加站点的操作。
图4-24 增加站点
关键参数说明:
· 站点的名称,不允许重复。最长255个字符,且只支持字母、数字和小数点。
· 站点ID:是分支站点在SDWAN网络中的唯一标识,由网络控制组件统一自动分配,范围为1-65535。
· 站点描述:站点的描述。
· 站点角色:站点的角色,支持:
¡ RR:路由反射器。
¡ CPE:用户提供的网络边缘。
¡ NAT_TRANSFER:NAT传输。
· 站点类别:取值为路由器和防火墙。(目前不支持防火墙)
· 站点管理员:站点管理员的名称。
· 站点管理员邮箱:站点管理员的邮箱。
· 站点管理员手机:站点管理员的手机。
· 互连端口号:互连端口号,取值范围为1024~65535的整数,双网关站点必须填写。
· 双网关重定向:使用WAAS双网关重定向功能时,才需要选择开启。如果选择开启,互连接口必须是物理口(不包括物理子接口)。
· 互连接口名称:站点内各设备互连使用的接口名称。如果站点内设备互通,则必须填写互连接口名称。
· 互连接口IPv4地址:设备互连接口的IPv4地址。如果站点内设备互通,则需填写互连接口IPv4地址。站点内各设备的互连接口IPv4地址不能相同。
· 互连接口IPv6地址:设备互连接口的IPv6地址。如果站点内设备互通,则需填写互连接口IPv6地址。站点内各设备的互连接口IPv6地址不能相同。
· 互连接口VLAN ID:取值范围为1~4094的整数,如果互连接口为子接口,互连接口VLAN ID必须填写
· 部署状态:站点的部署状态。包括:
¡ 待部署:设备未上线,站点未部署。
¡ 部署中:站点正在部署服务。
¡ 部署成功:站点已经部署服务完成,部署状态正常。
¡ 部署失败:站点部署服务失败。
· 设备编号:系统自动生成,取值为1、2。
· 设备ID:是支持SDWAN功能的设备在站点内的唯一标识,由控制组件自动分配,范围为1~2。
· 全网需要配置NTP时间同步,建议和RR设备同步时间。
· System IP地址不能增加到Underlay路由中(包括静态路由和动态路由),否则可能导致业务流量无法到达Overlay网络。
· SR66设备不支持通过控制组件下发NTP配置,导入SR66时,不要添加NTP相关配置。
进入[SD-WAN>向导>设备上线规划>增加站点和设备>STUN]页面,点击<增加>按钮,配置STUN Server,如图4-25所示。组网中分支到总部的Internet链路存在动态NAT变换时(分支出口的NAT变换或运营商NAT变换),需要使用STUN,不存在此情况时,可跳过此步骤。
由于目前STUN配合有很多限制,推荐组网中需要将STUN Server的IP地址配置成127.0.0.1.
关键参数说明如下:
· 设备名称:选择一台HUB设备,本例中选择HUB1-2;
· IP地址:STUN服务器的IP地址,127.0.0.1,目前方案要求地址配置为127.0.0.1.
其他选项不需要添加,支持点击<确定>按钮保存配置。
对于二层专线,总部需要使用LoopBack口地址作为SDWAN隧道封装的源地址。通过此页面可以导入对应的LoopBack口地址。
本例中有两条二层专线,两台总部设备,导入对应的LoopBack口地址,导入模板如图4-26所示。
图4-26 LoopBack地址模板
进入[SD-WAN>向导>设备上线规划>导入WAN网络详情]页面,点击<下载模板>按钮,根据组网模型和模板说明填写站点和设备。
图4-27 导入WAN网络详情说明-1
图4-28 导入WAN网络详情说明-2
图4-29 导入WAN网络详情说明-3
图4-30 导入WAN网络详情说明-4
· 导入WAN业务网络详情后,控制组件会下发隧道配置,对于框式设备,需要手动在隧道下补充server slot配置,参考7.1.2 隧道配置下发。
· 如果需要手动创建隧道,隧道编号建议大于500。
· RR设备添加WAN详情时必须保证接口有IP地址,否则会添加失败。如果是动态获取地址,需要等待地址获取成功后再进行重试。添加成功后WAN口地址不允许修改,如果需要修改必须删除后重新添加。
· 对于WebSocket开局部署方式,控制组件会下发接口地址等接口相关配置,删除WAN详情时也会同步删除控制组件下发的配置,包括接口地址,如果用户手动配置的接口地址,并通过此地址注册上线,删除WAN详情会清除此接口地址,导致设备和控制组件失联,配置删除失败,因此对于手动配置接口地址的情况下,开局部署方式请选择手工方式。
导入Internet类型的WAN网络详情,关键配置如下:
· 业务网络名称:对应的Internet类型的业务网络名称,本例中为Internet。
· 接入站点名称/接入设备名称:接入的站点和对应的设备名称;
· 接入设备接口:接入WAN网络的接口名称(配置有IP地址的接口,如PPPoE拨号时需要配置Dialer口)。
· 接入传输网络:已创建的传输网络名称。两个互联网口分别接入CT和CU;
· 接入业务平面列表:根据组网规划设置接入的业务平面。
· 开局配置部署方式:
¡ WebSocket:设备不通过此WAN口注册上线,等设备上线后,通过WebSocket下发对应的配置。接口地址、接入方式、相关路由协议需要配置。
¡ 手工:手动完成接口地址和路由协议相关配置,一般总部设备(非零部署上线)使用此方式。
· 协议栈类型:支持IPv4协议栈和IPv6协议栈,本例中使用IPv4协议栈;
· 联网方式:WAN接口接入网络的方式,WAN详情的开局方式为手工时不需要配置该项。取值包括:
¡ DHCP:通过DHCP服务器自动分配IP地址接入网络。
¡ PPPoE:通过拨号上网的方式接入网络。
¡ 静态IP地址:通过固定IP地址的方式接入网络。
¡ 4G/5G:通过4G/5G上网的方式接入网络。
¡ 静态IP地址/密码:联网方式为静态IP地址,并且使用非手工开局时需要填写。
¡ 固定公网IP:如果前面有防火墙将接口的私网地址映射为公网地址,填写对应的公网地址。本例中HUB设备需要添加对应的固定公网地址。
¡ VLAN ID:接入的接口为子接口是需要填写终结的VLAN ID。
¡ PPPoE对应配置:使能PPPoE Client的物理接口,认证使用的用户名和密码。
¡ 静态路由目的IPv4地址/掩码:如果要下发静态路由,需要填写对应的地址和掩码。
¡ IPv4网关地址:使用静态IP地址时,需要添加网关地址。
¡ STUN SERVER设备名称:选择上面已配置的STUN Server,本例中为:HUB1-2/127.0.0.1
¡ 上/下行带宽(kbps):设备到网络/网络到设备的链路可分配带宽,分支方案需要基于带宽进行调度,上/下行带宽配置必须进行指定。
¡ MTU:接口存在默认值,一般情况下不建议修改,此项不建议填写。
¡ TCP MSS:WAN接口一般不建议添加TCP MSS配置,此项不建议填写。
Internet类型的WAN网络详情填写完毕。
添加WAN详情时配置的上/下行带宽会自动生成物理链路可分配带宽和隧道带宽,其中上行带宽为设备到对端的物理链路可分配带宽和对应的隧道带宽,下行带宽为对端到设备的物理链路可分配带宽。对于二层专线来说,由于一个隧道会对应多个物理出口,因此隧道带宽默认配置为400G。导入WAN详情后,如果希望修改物理链路可分配带宽可以参考4.9.3 Underlay链路查询和维护,如果希望修改隧道的可分配带宽可以参考4.9.4 隧道部署状态查询和维护。
导入Internet类型的WAN网络详情,关键配置如下:
· 业务网络名称:对应的Internet类型的业务网络名称,本例中为MSTP1和MSTP2。
· A/B端接入站点名称/接入设备名称:接入的站点和对应的设备名称;
· A/B端接入设备接口:互联的物理接口名称。
· A/B端开局配置部署方式:
¡ WebSocket:设备不通过此WAN口注册上线,等设备上线后,通过WebSocket下发对应的配置。接口地址、接入方式、相关路由协议需要配置。
¡ 手工:手动完成接口地址和路由协议相关配置,一般总部设备(非零部署上线)使用此方式。
· A/B端协议栈类型:支持IPv4协议栈和IPv6协议栈,本例中使用IPv4协议栈;
· A/B端联网方式:二层专线只支持静态IP地址。
· A/B端静态IP地址/密码:联网方式为静态IP地址,并且使用非手工开局时需要填写,手工开局不需要配置
· 路由协议配置:互联对应的路由协议配置,手工开局不需要配置。
· 上/下行带宽(kbps):设备到网络/网络到设备的链路可分配带宽,分支方案需要基于带宽进行调度,上/下行带宽配置必须进行指定。
· MTU:接口存在默认值,一般情况下不建议修改,此项不建议填写。
· TCP MSS:WAN接口一般不建议添加TCP MSS配置,此项不建议填写。
二层专线类型的WAN网络详情填写完毕。
添加WAN详情时配置的上/下行带宽会自动生成物理链路可分配带宽和隧道带宽,其中上行带宽为设备到对端的物理链路可分配带宽和对应的隧道带宽,下行带宽为对端到设备的物理链路可分配带宽。对于二层专线来说,由于一个隧道会对应多个物理出口,因此隧道带宽默认配置为400G。导入WAN详情后,如果希望修改物理链路可分配带宽可以参考4.9.3 Underlay链路查询和维护,如果希望修改隧道的可分配带宽可以参考4.9.4 隧道部署状态查询和维护。
导入三层专线类型的WAN网络详情,关键配置如下:
· 业务网络名称:对应三层专线类型的业务网络名称,本例中为MPLS。
· 接入站点名称/接入设备名称:接入的站点和对应的设备名称;
· 接入设备接口:接入WAN网络的接口名称。
· 接入传输网络:已创建的传输网络名称,本例使用Default;
· 接入业务平面列表:无平面规划。
· 开局配置部署方式:
¡ WebSocket:设备不通过此WAN口注册上线,等设备上线后,通过WebSocket下发对应的配置。接口地址、接入方式、相关路由协议需要配置。
¡ 手工:手动完成接口地址和路由协议相关配置,一般总部设备(非零部署上线)使用此方式。
· 协议栈类型:支持IPv4协议栈和IPv6协议栈,本例中使用IPv4协议栈;
· 联网方式:只支持静态IP地址;
· 静态IP地址/密码:联网方式为静态IP地址,并且使用非手工开局时需要填写。
· 路由协议配置:互联对应的路由协议配置,手工开局不需要配置。
· 上/下行带宽(kbps):设备到网络/网络到设备的链路可分配带宽,分支方案需要基于带宽进行调度,上/下行带宽配置必须进行指定。
· MTU:接口存在默认值,一般情况下不建议修改,此项不建议填写。
· TCP MSS:WAN接口一般不建议添加TCP MSS配置,此项不建议填写。
三层专线类型的WAN网络详情填写完毕。
添加WAN详情时配置的上/下行带宽会自动生成物理链路可分配带宽和隧道带宽,其中上行带宽为设备到对端的物理链路可分配带宽和对应的隧道带宽,下行带宽为对端到设备的物理链路可分配带宽。对于二层专线来说,由于一个隧道会对应多个物理出口,因此隧道带宽默认配置为400G。导入WAN详情后,如果希望修改物理链路可分配带宽可以参考4.9.3 Underlay链路查询和维护,如果希望修改隧道的可分配带宽可以参考4.9.4 隧道部署状态查询和维护。
添加或导入设备时,如果选择了安全开局,设备注册上线后并不会下发任何配置。进入[SD-WAN>自动化>物理网络>设备>设备管理]页面,查看启用安全开局的设备管理状态为“待确认开局”。
如果管理员确认可以进行开局,需要选择设备后点击<确认开局>按钮,如图4-31所示。确认开局后控制组件可以正常对设备下发配置,完成相关业务部署。
进入[SD-WAN>自动化>物理网络>站点>站点管理]页面可以查询到站点部署状态。如果有站点部署异常需要点击<一键重试>按钮重新尝试部署下发,如图4-32所示。
进入[SD-WAN>自动化>虚拟网络>虚拟网络部署]页面,在WAN业务网络详情区域可以查看WAN业务网络配置状态。如果配置状态非正常,可以点击状态查看原因,如图4-33所示。根据失败原因进行排查修复后,点击<一键重试>按钮重新下发。
图4-33 WAN业务配置状态查询
进入[SD-WAN>自动化>物理网络>链路>链路管理]页面可以查询Underlay链路信息,如图4-34所示。
点击后面的
按钮可以修改链路名称和可分配带宽,如图4-35所示。
进入[SD-WAN>自动化>虚拟网络>隧道列表]页面可以查询到隧道列表,如图4-36所示。
点击后面的
按钮可以修改链路名称和可分配带宽,如图4-37所示。
进入[SD-WAN>自动化>虚拟网络>扩展隧道列表]页面可以查询到扩展隧道部署状态。如果有扩展隧道部署异常需要点击<一键重试>按钮重新尝试部署下发,如图4-38图4-32所示。
用户可以手动添加STUN Server,登录云简网络平台,进入[SD-WAN>自动化>物理网络>设备>STUN]页面,点击<增加>按钮可以手动增加STUN Server,如图4-39所示,相关参数说明请参考4.5.3 配置STUN(可选)。
用户手动增加设备和站点后,需要配置设备的WAN网络及WAN网络详情。
登录云简网络平台,进入[SD-WAN>自动化>虚拟网络>虚拟网络部署]页面,如图4-40所示,可以查看WAN网络和WAN网络详情。
图4-40 WAN网络和WAN网络详情
添加WAN业务网络:
(1) 添加新的WAN业务网络,点击<增加>按钮,可以增加WAN网络,包括配置传输网络和业务平面,新增WAN网络配置方法和参数说明可以参考4.4 WAN网络配置。
(2) 对于二层专线,可以点击WAN网络操作列中的
按钮,添加或者导入LoopBack地址。点击<增加>按钮,为对应的二层专线添加LoopBack地址,如所示。相关参数说明参考4.6 设备LoopBack口地址。
图4-41 手动增加WAN网络详情
增加WAN网络详情,支持以下两种方式:
(1) 通过模板导入WAN网络详情,导入配置方法和参数说明可以参考4.7 导入WAN网络详情。
(2) 在WAN业务网络详情区域,点击<增加>按钮,可以手动增加WAN网络详情,以HUB1-1设备的internet出口为例,添加WAN详情,如图4-42所示,参数说明可以参考4.7 导入WAN网络详情。
图4-42 手动增加WAN网络详情
全网设备都需要配置NTP时间同步,可以和云简自带的NTP服务器进行同步,也可和自定义的NTP服务器进行同步,但是建议全网和同一NTP服务器进行同步,配置流程如下。
登录云简网络平台,进入[网络管理>配置>路由器>基础配置>时间校准配置]页面,如图4-43所示。
通过下拉菜单可以选择需要配置NTP服务的设备,例如配置HUB1-2的NTP服务,勾选开启NTP使能,选择NTP服务器,如图4-44所示。
· 目前支持MSR系列。
· SR66设备需要手动配置NTP服务。
如果配置使用RR的System IP地址同步时间,需要RR设备首先开启路由同步,配置方式如下:
#
clock protocol ntp mdc 1 //SR66设备需要指定mdc编号
#
ntp-service enable
ntp-service refclock-master 2 //设置本地时钟作为参考时钟,层数为2
ntp-service unicast-server 30.1.1.2 //配置与其他RR设备时间同步
#
ntp-service source LoopBack 1 //配置RR设备的NTP服务源接口为本机System IP的接口
#
CPE设备的NTP服务配置如下:
#
clock protocol ntp
ntp-service enable
ntp-service unicast-server 6.1.1.1 source LoopBack1
ntp-service unicast-server 6.1.1.2 source LoopBack1
#
如果和RR设备的System IP进行NTP同步,需要等分支网络规划完成隧道建立成功后,设备可以完成NTP时间同步,查询NTP同步状态:
[SPOKE2-2] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[12345]6.1.1.1 192.168.40.155 11 63 64 49 -0.068 0.6866 2.4871
[245]6.1.1.2 192.168.40.155 11 63 64 32 74.226 0.5645 2.3345
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Total sessions: 2
站点双网关组网如果需要使用DPI功能,需要添加RBM配置。登录云简网络平台,进入[SD-WAN>自动化>物理网络>站点>RBM配置]页面,点击<增加>按钮,添加RBM配置,如图4-45所示,点击<确定>按钮完成相关配置。
关键配置说明:
· 站点名称:选择已存在的站点名称;
· 主设备名称:选择双网关站点其中一台设备名称;
· 复用互连接口:复用互连接口开启时,数据通道接口、主设备本端地址和主设备对端地址分别使用互连接口以及地址。当前仅支持开启。
· 数据通道接口:复用站点互连接口,只支持物理口。
· 流量回切延迟时间:流量回切的延迟时间,取值范围为1~1440,单位为分钟,根据用户需求配置。
· 协议类型:选择IPv4或IPv6。
· 主设备本端地址/主设备对端地址:自动使用互联接口地址。
点击<导入RBM配置>按钮,可以通过Excel导入RBM相关配置,相关配置可以参考模板说明,如图4-46所示。
· 站点双网关组网如果需要使用RBM功能,必须保障互联接口为物理接口且直连(不能通过三层网络互连)。
· 站点双网关配置RBM功能时需要保证两台设备款型和板卡一致,并且站点双网关使用的互联接口必须一致。
设备上线后可以对分支网络进行规划,分支网络规划可以通过配置向导完成相关配置,也可以在自动化菜单中进行相关设置。本节中登录云简网络平台进行相关配置。分支网络规划配置流程图如图5-1所示。
进入[SD-WAN>向导>分支网络规划>接入区管理]页面或者[SD-WAN>自动化>物理网络>接入区管理>接入区管理]页面,点击<增加>按钮创建接入区,如图5-2所示。
关键配置说明:
· 接入区名称:创建的接入区名称。
· BFD功能:接入区RR和接入该接入区的CPE站点之间会建立BGP邻居,配置BGP邻居是否开启BFD功能。对于单总部站点组网,方案建议关闭BFD功能;对于多总部站点组网,建议开启BFD功能。
· 阻断策略:通过开启或关闭阻断策略,控制接入区的CPE站点间是否开启业务流量缺省不互通;若开启业务流量缺省不互通,则需要配置区域拓扑功能否则CPE间无法通信;若关闭业务流量缺省不互通,则CPE加入接入区后会自动反射业务路由,可能导致设备路由过大或生成大量无效的Overlay链路(TTE连接)。当CPE使用客户机接入时,方案建议开启阻断策略,并需要配置区域拓扑;当CPE使用非客户机接入,方案建议关闭阻断策略,不需要配置区域拓扑,通过总部发送聚合路由实现HUB-SPOKE组网。
· 一个接入区至少选择一个RR站点,如果RR站点部署失败,CPE无法接入该接入区。
· 对于单总部站点组网,方案建议关闭BFD功能;对于多总部站点组网,建议开启BFD功能,并且需要修改运维配置,设置全局BFD探测精度低于隧道BFD保活精度,即BFD探测时间和次数需要大于隧道BFD保活报文探测的时间和次数,配置参考4.3.4 运维配置。
· 当CPE使用客户机接入时,方案建议开启阻断策略,并需要配置区域拓扑;当CPE使用非客户机接入,方案建议关闭阻断策略,不需要配置区域拓扑,通过总部发送聚合路由实现HUB-SPOKE组网。
· 创建接入区后,接入区BFD和阻断策略无法修改。
接入区配置完成后,如图5-3所示。点击操作列中的
,确认RR部署状态,如图5-4所示。
点击操作列中的
<站点接入>按钮,如图5-5所示,选择要接入的CPE站点,选择全部CPE站点,选择客户机接入,部署成功后如图5-6所示。
· 接入站点需要配置WAN详情。
· 使用客户机接入,站点之间可以反射TTE和VPN路由信息,可以使用VPN拓扑功能;使用非客户机接入时无法使用VPN拓扑功能,只能通过HUB发送聚合路由的方式实现HUB-SPOKE组网。需要根据用户需求完成相关配置,本例中使用客户机接入。
本页面用于对单个设备自定义运维配置。进入[SD-WAN>向导>分支网络规划>运维配置]页面,或者[SD-WAN>自动化>租户网络>运维配置]页面,点击<增加>按钮,完成运维参数配置,如图5-7所示,点击<确定>按钮保存配置。
关键参数说明:
· 流量统计周期:接口和隧道流量的统计周期,范围为5~300的整数,且必须为5的倍数,单位为秒。
· 选路调整周期:为防止频繁选路,可指定RIR智能选路的调整周期。范围为1~65535,单位为秒。
· 选路调整抑制周期:为防止选路后频繁回切,可指定RIR智能选路的调整抑制周期。范围为1~131070,单位为秒。
· SDWAN隧道保活报文间隔:SDWAN隧道发送Keepalive请求报文的时间间隔。范围为1~32767,单位为秒。
· SDWAN隧道保活报文允许重试次数:SDWAN隧道允许未收到Keepalive应答报文的最大连续次数。范围为1~255,缺省值为3。
不同设备的性能不同,且不同规模的网络对设备性能消耗不同,如需调整运维配置,请详细咨询产品技术支持人员,谨慎调整。
用户的业务流量必须配置绑定VPN,通过VPN传递业务路径,需要添加一个VPN,本例中配置VPN1。
(1) 进入[SD-WAN>向导>分支网络规划>VPN管理]页面,或者[SD-WAN>自动化>租户网络>VPN管理]页面,点击<增加>按钮,填写必要参数,如图5-8所示,点击<确定>按钮保存配置。
关键参数说明:
¡ VPN名称:控制组件存储的VPN名称,本例中为“VPN1”。
¡ VPN实例名称:下发到设备上的VPN实例配置,本例中为“VPN1。
(2) 创建完成后,如图5-9所示。
图5-9 VPN管理
(3) 操作栏点击
按钮,进入VPN站点绑定页面,点击选择按钮可选择配置该VPN的站点,绑定站点完成后,状态变为“部署成功”,如图5-10所示。如果部署失败需要确认失败原因,然后点击重试,重新尝试下发。
区域拓扑是根据不同的业务互通需求,基于VPN构建站点之间互联的拓扑。当前方案建议一个接入区对应部署的VPN创建一个区域拓扑。当前支持的区域拓扑模型如下:
· HUB-SPOKE 区域内分支间互通:适用于分支站点互访都需要绕行总部的场景;
· HUB-SPOKE 区域内分支不互通:适用于总部和分支互通,分支间不互通的场景;(RR不会反射CPE间路由信息,CPE间无法互通或只能通过RR发布的聚合路由进行互通);
· Full-Mesh:适用于所有站点之间互访都需要直接互通的场景。
支持用户在三种拓扑模型的基础上自定义规划拓扑。
进入[SD-WAN>向导>分支网络规划>区域拓扑]页面,或者[SD-WAN>自动化>租户网络>区域拓扑]页面,点击<增加>按钮,添加区域拓扑。添加HUB-SPOKE模式的拓扑,添加全局配置和区域RR站点,如图5-11所示。
图5-11 添加全局配置和区域RR
关键参数说明:
· 区域名称:区域的名称,用于标识用户创建的VPN区域,本例中为“zone1”。
· VPN实例名称:VPN名称,用于绑定所选择的VPN,本例中为“VPN1”。
· 拓扑模式:区域中拓扑模型,本例选择“HUB-SPOKE”。
· 区域内分支间互通:开启情况下RR会反射CPE间路由信息,本例中选择“开启”。
· 区域RR站点:为区域拓扑指定RR,可以指定多个RR站点,本例中选择“HQ1”。
· 只有CPE使用客户机接入的情况下才可以配置VPN拓扑区域。
· 选择多个区域RR时,所有RR必须在同一接入区。
· 区域RR站点必须是区域站点公共RR。
· RR站点不能在多个区域拓扑中作为区域RR站点。
· 区域拓扑变更可能产生失效的Overlay链路,例如CPE站点间直通变为通过中心站点互通,站点直通的Overlay隧道会变为失效的Overlay隧道,需要用户手动删除。删除Overlay隧道前请判断失效的原因,删除后所有历史信息都将清空,请谨慎操作。
添加中心站点,如图5-12所示,只支持区域RR作为中心站点
关键参数说明:
· 中心站点:通过下拉菜单选择中心站点,目前只支持区域RR作为中心站点,本例中使用“HQ1”。
· 缺省优先级:添加中心站点时可以指定优先级,数字越小优先级越高,通过优先级配置可以设置中心站点转发流量的优先级。使用缺省的优先级“0 ”。
中心站点必须使用区域RR,当前只支持单个中心站点。
添加分支站点,如图5-13所示,选择区域内的CPE作为分支站点
关键参数说明:
· 分支站点:通过下拉菜单选择分支站点,本例中选择分支站点“Branch1”、“Branch2”和“Branch3”。
· 中心站点:指定分支站点发送流量的中心站点,当指定多个中心站点时,可以配置不同的优先级,数字越小优先级越高。使用缺省的优先级“0”
· 目前只支持配置一个中心站点。
· 分支站点必须通过客户机接入到区域RR站点。
· CPE站点(包括CPE+RR角色的站点)针对同一个VPN同时接入多个区域拓扑,CPE间互通方式需要配置一致(配置为直接互通),否则CPE间实际流量转发路径无法明确。
HUB-SPOKE模型的VPN区域拓扑添加完成,确认区域拓扑的状态为部署成功,如图5-14所示。
图5-14 HUB-SPOKE拓扑部署状态
进入[SD-WAN>向导>分支网络规划>区域拓扑]页面,或者[SD-WAN>自动化>租户网络>区域拓扑]页面,点击<增加>按钮,添加区域拓扑。添加HUB-SPOKE模式的拓扑,添加全局配置和区域RR站点,如图5-15所示。
关键参数说明:
· 区域名称:区域的名称,用于标识用户创建的VPN区域,本例中为“zone1”。
· VPN实例名称:VPN名称,用于绑定所选择的VPN,本例中为“VPN1”。
· 拓扑模式:区域中拓扑模型,本例选择“HUB-SPOKE”。
· 区域内分支间互通:关闭情况下RR不会反射CPE间路由信息,本例中选择“关闭”。
· 区域RR站点:为区域拓扑指定RR,可以指定多个RR站点,本例中选择“HQ1”。
· 只有CPE使用客户机接入的情况下才可以配置VPN拓扑区域。
· 选择多个区域RR时,所有RR必须在同一接入区。
· 区域RR站点必须是区域站点公共RR。
· RR站点不能在多个区域拓扑中作为区域RR站点。
· 区域拓扑变更可能产生失效的Overlay链路,例如CPE站点间直通变为通过中心站点互通,站点直通的Overlay隧道会变为失效的Overlay隧道,需要用户手动删除。删除Overlay隧道前请判断失效的原因,删除后所有历史信息都将清空,请谨慎操作。
添加中心站点,如图5-16所示,只支持区域RR作为中心站点
关键参数说明:
· 中心站点:通过下拉菜单选择中心站点,目前只支持区域RR作为中心站点,本例中使用“HQ1”。
· 缺省优先级:添加中心站点时可以指定优先级,数字越小优先级越高,通过优先级配置可以设置中心站点转发流量的优先级。使用缺省的优先级“0 ”。
中心站点必须使用区域RR,当前只支持单个中心站点。
添加分支站点,如图5-17所示,选择区域内的CPE作为分支站点
关键参数说明:
· 分支站点:通过下拉菜单选择分支站点,本例中选择分支站点“Branch1”、“Branch2”和“Branch3”。
· 中心站点:指定分支站点发送流量的中心站点,当指定多个中心站点时,可以配置不同的优先级,数字越小优先级越高。使用缺省的优先级“0 ”
· 目前只支持配置一个中心站点。
· 分支站点必须通过客户机接入到区域RR站点。
· CPE站点(包括CPE+RR角色的站点)针对同一个VPN同时接入多个区域拓扑,CPE间互通方式需要配置一致(配置为直接互通),否则CPE间实际流量转发路径无法明确。
HUB-SPOKE模型的VPN区域拓扑添加完成,确认区域拓扑的状态为部署成功,如图5-18所示。
图5-18 HUB-SPOKE拓扑部署状态
进入[SD-WAN>向导>分支网络规划>区域拓扑]页面,或者[SD-WAN>自动化>租户网络>区域拓扑]页面,点击<增加>按钮,添加区域拓扑。添加FULL-MESH模式的拓扑,如图5-19所示。
图5-19 添加FULL-MESH模式的拓扑
关键参数说明:
· 区域名称:区域的名称,用于标识用户创建的VPN区域,本例中为“zone1”。
· VPN实例名称:VPN名称,用于绑定所选择的VPN,本例中为“VPN1”。
· 拓扑模式:区域中拓扑模型,本例选择“FULL-MESH”。
· 区域RR站点:为区域拓扑指定RR,可以指定多个RR站点,本例中选择“HQ1”。
· 分支站点:选择分支站点,选择接入区内的所有站点,本例中选择分支站点“Branch1”、“Branch2”、“Branch3”和“HQ1”。
· 只有CPE使用客户机接入的情况下才可以配置VPN拓扑区域。
· 选择多个区域RR时,所有RR必须在同一接入区。
· 区域RR站点必须是区域站点公共RR。
· RR站点不能在多个区域拓扑中作为区域RR站点。
· 区域拓扑变更可能产生失效的Overlay链路,例如CPE站点间直通变为通过中心站点互通,站点直通的Overlay隧道会变为失效的Overlay隧道,需要用户手动删除。删除Overlay隧道前请判断失效的原因,删除后所有历史信息都将清空,请谨慎操作。
· CPE站点(包括CPE+RR角色的站点)针对同一个VPN同时接入多个区域拓扑,CPE间互通方式需要配置一致(配置为直接互通),否则CPE间实际流量转发路径无法明确。
HUB-SPOKE模型的VPN区域拓扑添加完成,确认区域拓扑的状态为部署成功,如图5-20所示。
图5-20 Full-Mesh拓扑部署状态
基于拓扑区域HUB-SPOKE或FULL-MESH模型的基础上,可单独定义站点间的互连关系。
· 增加网关站点为空的拓扑策略可实现站点A和B直接互通。
· 增加拓扑策略时,站点A和站点B必须属于同一区域。
进入[SD-WAN>向导>分支网络规划>拓扑策略]页面,或者[SD-WAN>自动化>租户网络>拓扑策略]页面,点击<增加>按钮可以添加一个新的拓扑策略,如图5-21所示。
关键参数说明:
· VPN实例名称:VPN名称,本例中为“VPN1”。
· 区域拓扑名称:区域拓扑的名称,本例选择区域拓扑“zone1”。
· 站点A、站点B:配置两个站点间的拓扑策略,本例中分别选择“Branch2”和“Branch3”。
· 匹配模式:设置为允许则表示站点A和站点B直接互通;设置为阻断则表示不允许站点A与站点B互通;本例中选择允许。
区域拓扑变更可能产生失效的Overlay链路,例如CPE站点间直通变为通过中心站点互通,站点直通的Overlay隧道会变为失效的Overlay隧道,需要用户手动删除。删除Overlay隧道前请判断失效的原因,删除后所有历史信息都将清空,请谨慎操作。
进入[SD-WAN>向导>分支网络规划>拓扑策略]页面,或者[SD-WAN>自动化>租户网络>拓扑策略]页面,点击<增加>按钮可以添加一个新的拓扑策略,如图5-22所示。
关键参数说明:
· VPN实例名称:VPN名称,本例中为“VPN1”。
· 区域拓扑名称:区域拓扑的名称,本例选择区域拓扑“zone1”。
· 站点A、站点B:配置两个站点间的拓扑策略,本例中分别选择“Branch2”和“Branch3”。
· 匹配模式:设置为允许则表示站点A和站点B可以互通;设置为阻断则表示不允许站点A与站点B互通;本例中选择允许。
· 网关站点:站点A和站点B互通指定的下一跳站点列表。网关站点为空表示站点A和站点B直接互通。本例中通过总部互通,选择HQ1。
· 缺省优先级:配置中心站点的缺省优先级;
· 区域拓扑变更可能产生失效的Overlay链路,例如CPE站点间直通变为通过中心站点互通,站点直通的Overlay隧道会变为失效的Overlay隧道,需要用户手动删除。删除Overlay隧道前请判断失效的原因,删除后所有历史信息都将清空,请谨慎操作。
· 中心站点必须使用区域RR,当前只支持单个中心站点。
进入[SD-WAN>向导>分支网络规划>拓扑策略]页面,或者[SD-WAN>自动化>租户网络>拓扑策略]页面,点击<增加>按钮可以添加一个新的拓扑策略,如图5-23所示。
关键参数说明:
· VPN实例名称:VPN名称,本例中为“VPN1”。
· 区域拓扑名称:区域拓扑的名称,本例选择区域拓扑“zone1”。
· 站点A、站点B:配置两个站点间的拓扑策略,本例中分别选择“Branch2”和“Branch3”。
· 匹配模式:设置为允许则表示站点A和站点B可以互通;设置为阻断则表示不允许站点A与站点B互通;本例中选择允许。
· 网关站点:站点A和站点B互通指定的下一跳站点列表。网关站点为空表示站点A和站点B直接互通。本例中通过总部互通,选择HQ1。
· 缺省优先级:配置中心站点的缺省优先级,配置为0;
· 区域拓扑变更可能产生失效的Overlay链路,例如CPE站点间直通变为通过中心站点互通,站点直通的Overlay隧道会变为失效的Overlay隧道,需要用户手动删除。删除Overlay隧道前请判断失效的原因,删除后所有历史信息都将清空,请谨慎操作。
· 中心站点必须使用区域RR,当前只支持单个中心站点。
进入[SD-WAN>向导>分支网络规划>LAN网络配置]页面,或者[SD-WAN>自动化>租户网络>LAN网络部署]页面点击<增加>按钮,根据实际组网需要增加LAN网络,如图5-24所示。本例中HUB设备的LAN口需要使用子接口,创建两个LAN网络,分别对应VLAN40和VLAN41.
进入[SD-WAN>向导>分支网络规划>LAN业务网络详情]页面,或者[SD-WAN>自动化>租户网络>LAN业务网络详情]页面,单击<下载模板>按钮,根据组网模型和模板说明填写对应LAN网络信息。
关键参数说明:
· 站点名称/接入设备名称:LAN业务对应的站点名称和接入设备名称
· LAN接口工作模式:路由交换一体机可以选择二层交换模式,一般选择三层路由模式。
· 是否创建子接口:三层路由模式下是否在指定接入设备接口下创建子接口进行业务配置。子接口中使用LAN网络中指定的VLAN ID配置VLAN终结。
· 链路类型:Access只能属于一个VLAN;Trunk可以允许多个VLAN通过。
· 接入设备接口:接入LAN业务的设备接口名称。
· 业务名称:已添加的LAN业务名称,对于需要创建子接口,则对应需要终结的VLAN;对于二层接口则对应vlan-interface。
· LAN接口地址:控制组件下发的LAN接口地址。
· LAN接口SUB地址:控制组件下发的LAN接口SUB地址,支持配置多个。
· VPN名称:LAN口需要绑定的VPN名称。EVPN方案中,LAN口必须绑定VPN。
· DHCP:是否在LAN口开启IPv4的DHCP服务。
· DHCP类型:配置DHCP服务的类型,可选“Server”或“Relay”。
· DHCP Relay服务器地址:配置DHCP Relay的远程服务器地址。
· DHCP地址池:配置DHCP业务可分配的IP地址范围。
· DHCP网关地址:配置DHCP地址池的网关地址。
· DHCP地址池起始地址:配置DHCP地址池的起始地址。
· DHCP地址池终止地址:配置DHCP地址池的终止地址。
· DHCP静态地址绑定:将客户端的硬件地址与IP地址绑定
· DHCP Option配置:DHCP利用Options字段传递控制信息和网络配置参数,DHCP选项的格式由option码、option类型和option值组成。 Option类型目前支持ascii、hex、ip-address类型。
· DHCP禁止IP地址 :DHCP地址池中指定不参与自动分配的IP地址范围,必须是IPv4地址格式。
· DHCPv6:是否开启IPv6的DHCPv6服务。
· DHCPv6类型:配置DHCPv6服务的类型,可选“Server”或“Relay”
· DHCPv6 Relay服务器地址:配置DHCPv6 Relay的远程服务器地址。可填写多个IPv6地址,多个IPv6地址之间以";"隔开。
· DHCPv6地址池:配置DHCPv6业务可分配的IP地址范围。当开启“DHCPv6”时,需:配置该参数。
· DHCPv6地址池起始地址:配置DHCPv6地址池的起始地址。
· DHCPv6地址池终止地址:配置DHCPv6地址池的终止地址。
· DHCPv6静态地址绑定:将客户端的硬件标识与IP地址绑定。
· DHCPv6 Option:DHCPv6利用Options字段传递控制信息和网络,DHCPv6选项的格式由option码、option类型和option值组成。 Option类型目前只支hex类型。
· 是否开启VRRP:配置是否需要启用VRRP,如果开启了需要配置VRRP ID和虚拟IP,启用VRRP的双网关需要配置相同的ID和IP地址。
· 是否开启IPv6 VRRP:是否需要配置IPv6的VRRP业务,如果开启了需要配置IPv6 VRRP ID。
· 虚拟IPv6地址和IPv6本地链路地址,启用VRRP的双网关需要配置相同的ID和IPv6地址。本地链路地址需要以fe80::开头。
· MTU:接口存在默认值,一般情况下不建议修改,此项不建议填写。
· TCP MSS:TCP最大分片报文长度,对应控制组件下发的LAN业务必须配置,建议配置为1280。
· 是否引入LAN侧所有路由:控制组件通过路由策略引入LAN口路由,对于分支选择“是”,总部需要手动引入。
LAN详情导入完成,如图5-25所示,可以查询到部署状态,如果配置状态非正常,可以点击状态查看对应原因,根据失败原因进行排查修复后,点击<一键重试>按钮重新下发。
图5-25 导入LAN网络详情
· 导入/添加LAN网络详情时,需要配置TCP MSS为1280。
· 多个站点共享同一个内网或者使用站点双网关组网,并且设备和内网之间使用动态路由互通,例如HQ1站点,需要使用手动路由引流。
· 站点单设备组网或者站点双网关组网且使用静态路由或VRRP和内网互通。例如Branch站点可以选择自动路由引流。
用户也可以手动添加LAN网络详情,进入[SD-WAN>自动化>租户网络>LAN网络部署]页面,在“LAN业务网络详情”页面可以导入或手动添加LAN业务网络详情。点击<添加>按钮,添加LAN业务网络详情,以HUB1-1为例添加LAN业务网络详情,如图5-26所示。相关参数说明参考5.8 导入LAN网络详情。
图5-26 添加LAN网络详情
SD-WAN分支方案控制组件支持LAN业务支持配置多个IPv4地址、LAN侧部署DHCP中继、DHCPv6中继,并完善了DHCP Server及DHCPv6 Server功能。
(1) 进入[SD-WAN>自动化>租户网络>LAN网络部署]页面,在“LAN业务网络详情”页面可以导入或手动添加LAN业务网络详情。点击<添加>按钮,添加LAN业务网络详情且DHCP/DHCPv6配置为Relay类型,如图5-27所示:
图5-27 添加LAN网络详情且DHCP/DHCPv6配置为Relay类型
(2) 点击<添加>按钮,添加LAN业务网络详情且DHCP/DHCPv6配置为Server类型,如图5-28和图5-29所示:
图5-28 添加LAN网络详情且DHCP配置为Server类型
图5-29 添加LAN网络详情且DHCPv6配置为Server类型
(3) 分支网络规划完成。
配置区域拓扑后,控制组件会下发对应的路由策略配置。导入LAN详情后,设备可以生成对应的Overlay链路(TTE连接),可以通过控制组件查询到Overlay链路和拓扑信息。
CPE和RR之间Overlay链路(TTE连接)建立原则:
· 当关闭WAN网络跨传输网开关:同一路由域(同一个租户内同一个WAN网络),同一业务平面,同一传输网之间才能建立Overlay链路(TTE连接)。
· 当开启WAN网络跨传输网开关:同一路由域(同一个租户或不同租户,网络路由域相同),同一业务平面都可以建立Overlay链路(TTE连接),不考虑传输网是否相同。
CPE之间Overlay链路(TTE连接))建立原则:
· 当关闭WAN网络跨传输网开关:同一路由域(同一个租户内同一个WAN网络),同一业务平面,同一传输网,CPE之间通过RR可以交互TTE信息且有直连路由的情况下才能建立Overlay链路(TTE连接)。
· 当开启WAN网络跨传输网开关:同一路由域(同一个租户或不同租户,网络路由域相同),同一业务平面,CPE之间通过RR可以交互TTE信息且有直连路由的情况下才能建立Overlay链路(TTE连接)。不考虑传输网是否相同。
进入[SD-WAN>自动化>物理网络>链路>链路管理]页面,切换到Overlay视图,可以查询到Overlay链路信息,如图5-30所示。
图5-30 Overlay链路信息
Overlay链路状态分为以下几种状态:
· 正常:Overlay链路正常;
· 下线:设备脱管或者TTE连接状态异常都会导致Overlay链路下线,需要进一步排查;
· 告警:链路有告警信息,点击状态可以查询告警信息;
· 失效:设备上不存在对应的TTE连接,Overlay链路状态会变为失效。隧道异常或者拓扑变更都可能导致Overlay链路失效。用户需要判断此Overlay链路后续是否还要继续使用,对于不需要使用的Overlay链路,可以通过
按钮手动进行删除。
删除Overlay链路后,当TTE连接恢复,设备会重新上报Overlay链路,但是此链路的历史信息会被删除,请谨慎操作。
根绝区域拓扑可以生成对应的Overlay拓扑,可以通过控制组件查询到对应的Overlay拓扑信息。进入[SD-WAN>自动化>监控>分支拓扑]页面,切换到Overlay视图,可以查询到Overlay拓扑信息,
(1) HUB-SPOKE 拓扑,拓扑如图5-31所示:
(2) HUB-SPOKE拓扑,Branch2和Branch3直接互通,拓扑如图5-32所示:
图5-32 HUB-SPOKE拓扑,Branch2和Branch3直通
(3) Full-Mesh拓扑,拓扑如图5-33所示:
(4) Full-Mesh拓扑,Branch2和Branch3之间通过HUB互通,拓扑如图5-34所示:
图5-34 Full-Mesh拓扑,Branch2和Branch3通过HUB互通
站点按照表2-1的角色设置添加SDWAN控制组件,参考图2-2的网络连接及表2-2的接入区规划完成相关配置后,可以基于VPN进行区域组网部署,实现基于VPN的灵活拓扑。灵活拓扑整体配置流程如图6-1所示。
(1) 进入[SD-WAN>向导>分支网络规划>VPN管理]页面,点击<增加>按钮,输入VPN名称及VPN实例名称信息增加VPN实例(如有需要可自定义VPN描述、RT、VN ID信息),如图6-2所示,点击<确定>按钮保存配置。创建完成后,如图6-3所示。
图6-3 VPN列表
(2) 进入[SD-WAN>向导>分支网络规划>VPN管理]页面,点击操作栏的“绑定站点”按钮,进入VPN站点绑定页面,点击选择按钮可选择配置该VPN的站点,绑定站点页面可显示VPN每一个站点的部署状态,如图6-4所示。
组网图2-2中的站点,按照通信需求,分为三个区域构建区域拓扑,如图6-5、表6-1所示。
|
区域 |
拓扑模式 |
中心站点 |
区域RR站点 |
分支站点 |
|
1 |
FULL-MESH |
HUB |
HUB |
Agg1、Agg2 |
|
2 |
HUB-SPOKE 分支互通 |
Agg1 |
Agg1 |
Spoke1、Spoke2 |
|
3 |
HUB-SPOKE 分支不通 |
Agg2 |
Agg2 |
Spoke2、Spoke3 |
· FULL-MESH区域中的RR站点在参与网络流量转发的情况下,必须将其设置为区域分支站点。
· 只有CPE使用客户机接入的情况下才可以配置VPN拓扑区域。
· 选择多个区域RR时,所有RR必须在同一接入区。
· 区域RR站点必须是区域站点公共RR。
· RR站点不能在多个区域拓扑中作为区域RR站点。
· HUB-SPOKE区域中心站点必须是区域RR。
(1) 进入[SD-WAN>向导>分支网络规划>区域拓扑]页面,或者[SD-WAN>自动化>租户网络>区域拓扑]页面,单击<增加>按钮,进入增加区域拓扑页面。
(2) 创建区域1,添加FULL-MESH模式的拓扑,添加全局配置、区域RR站点和分支站点,如图6-6所示。
(3) 创建区域2,分支间互通按钮需要开启,添加分支站点时的缺省优先级配置为150(对应发布本地路由时的local-preference),添加HUB-SPOKE模式的拓扑,添加全局配置、区域RR站点和分支站点,如图6-7所示:
(4) 创建区域3,分支间互通按钮需要关闭,添加分支站点时的缺省优先级配置为50(对应发布本地路由时的local-preference),添加HUB-SPOKE模式的拓扑,添加全局配置、区域RR站点和分支站点,如图6-8所示:
(5) 创建完成后,查看区域拓扑页面,如图6-9所示
关键参数说明:
¡ 区域名称:区域的名称,用于标识用户创建的VPN区域,本例中分别创建区域名称为“1”、“2”、“3”的三个区域。
¡ VPN名称:VPN名称,用于绑定所选择的VPN,本例中都选择“vpn1”。
¡ 拓扑模式:区域内的拓扑模式,支持HUB-SPOKE和FULL-MESH两种拓扑模式,本例中区域1选择“FULL-MESH”,区域2和区域3选择“HUB-SPOKE”。
¡ 区域内分支间互通:区域内分支间互通状态,本例中区域2选择“开启”,区域3选择“关闭”。
¡ 中心站点:区域内的中心站点,一般为企业总部或者数据中心。中心站点也可作为区域内站点与其它区域站点互通时的边缘站点,本例中心站点参考表6-1进行配置。
¡ 中心站点优先级:对应RR站点反射路由时修改下一跳priority-color配置。当同一个Hubspoke区域中存在多个中心站点时,多个中心站点需要配置主备关系(当前版本仅支持一个中心站点)。
¡ 区域RR站点:负责管理该区域拓扑,本例区域RR站点参考表6-1进行配置。
¡ 分支站点:区域内的分支站点,本例分支站点参考表6-1进行配置。
¡ 分支站点优先级:对应分支站点发布本地路由和接收对端路由时配置的local-preference配置。当同一个站点在VPN多个区域内做分支站点时,不同区域中心(RR)对于分支站点有主备关系,需要配置该项。
拓扑策略配置可参考5.6 拓扑策略,可以基于拓扑区域HUB-SPOKE或FULL-MESH模型的基础上,单独配置站点间的互连关系。
VPN内多个区域需要配置区域互联部署区域间路由,区域间流量经由区域边界站点转发。
请谨慎删除区域互联,否则会出现网络无法连接。
(1) 进入[SD-WAN>向导>分支网络规划>区域互联]页面,或者[SD-WAN>自动化>租户网络>互联]页面,单击<增加>按钮,进入增加区域拓扑页面。
(2) 参考图6-5构造区域互联关系:区域1和区域2互联,边界站点为Agg1,如图6-10所示。
图6-10 区域1和区域2的区域互联
关键参数说明:
¡ VPN名称:VPN的名称,用于标识区域互联绑定的VPN,本例选择“vpn1”。
¡ 互联区域A:相同VPN下区域互联中区域拓扑A的名称,本例选择区域“1”。
¡ 互联区域B:相同VPN下区域互联中区域拓扑B的名称,本例选择区域“2”。
¡ 边界站点:每个区域内的站点和其他区域内的站点通信时的边缘站点,本例选择站点“Agg1”。
¡ 主区域:当存在多个边界站点的情况下,边界站点之间的流量通信可能受不同区域控制,设置主区域后,边界站点之间的路由由主区域中的RR控制(当前版本区域互联仅支持一个边界站点),本例选择区域“1”。
(3) 参考图6-5构造区域互联关系:区域1和区域3互联,边界站点为Agg2,如图6-11所示。
图6-11 区域1和区域3的区域互联
关键参数说明:
¡ VPN名称:VPN的名称,用于标识区域互联绑定的VPN,本例选择“vpn1”。
¡ 互联区域A:相同VPN下区域互联中区域拓扑A的名称,本例选择区域“1”。
¡ 互联区域B:相同VPN下区域互联中区域拓扑B的名称,本例选择区域“3”。
¡ 边界站点:每个区域内的站点和其他区域内的站点通信时的边缘站点,本例选择站点“Agg2”。
¡ 主区域:当存在多个边界站点的情况下,边界站点之间的流量通信可能受不同区域控制,设置主区域后,边界站点之间的路由由主区域中的RR控制(当前版本区域互联仅支持一个边界站点),本例选择区域“1”。
LAN侧业务配置可参考5.7 LAN网络配置、5.8 导入LAN网络详情、5.9 手动添加LAN网络详情。
完成灵活拓扑后,可满足图2-2基本通信需求:
(1) Agg1和Agg2间可以直接互通,如图6-12所示。
图6-12 Agg1和Agg2间可以直接互通
(2) Spoke1和Spoke2经过Agg1互通,如图6-13所示。
图6-13 Spoke1和Spoke2互通经过Agg1
(3) Spoke2和Spoke3之间不互通,但是各自可以与中心站点Agg2互通,如图6-14所示。
图6-14 Spoke2和Spoke3不互通(分别只与中心互通)
(4) 区域2中的Spoke1与区域1中的HUB互访需要经过边界站点Agg1,如图6-15所示。
图6-15 Spoke1与HUB互访需要经过Agg1
(5) 区域2中的Spoke3与区域1中的HUB互访需要经过边界站点Agg2,如图6-16所示。
图6-16 Spoke3与HUB互访需要经过Agg2
(6) Spoke2同时在区域2和区域3中,访问HUB时区域2中心Agg1为主,区域3中心Agg2为备。正常情况下访问HUB需要经过Agg1,如图6-17所示。断开Agg1的互联网出口,Spoke2与HUB互访经过Agg2,如图6-18所示。
图6-17 Spoke2与HUB互访需要经过Agg1
图6-18 Spoke2与HUB互访经过Agg2
目前方案允许用户手动在设备上进行配置,补充控制组件暂未实现的功能。
· 不建议用户手动修改或删除控制组件下发的配置命令,如果需要手动修改或删除配置请咨询二线或研发。
· 修改或者删除控制组件下发的配置后30分钟内设备不能重启,否则手动修改或删除的配置可能被自动回滚。
MSR设备内存较小,可以通过切换sd-wan模式来优化内存使用,切换sd-wan模式后需要重启设备。所有MSR设备均支持切换sd-wan模式,SR66设备不需要切换。
切换模式命令:
<SPOKE1-1>system-view
System View: return to User View with Ctrl+Z.
[SPOKE1]system-working-mode sd-wan
Do you want to change the system working mode? [Y/N]:y
The system working mode is changed, please save the configuration and reboot the system to make it effective.
[SPOKE1]quit
<SPOKE1>reboot
设备切换到sd-wan模式后无法使用URL开局,如果需要使用URL开局,请开局后再切换工作模式。
站点双网关组网,控制组件会部署两种类型的隧道,UDP封装的SDWAN隧道和GRE封装的SDWAN扩展隧道。
路由器:框式设备需要在UDP封装的SDWAN隧道口上配置service slot slot-id命令指定设备的转发板。
目前控制组件无法自动下发此,必须手动在设备上添加。
隧道下配置service slot slot-id命令会导致隧道震荡,此隧道相关的TTE需要重建,会影响Overlay链路(TTE连接)上承载的业务流量。
(1) UDP封装的SDWAN隧道,需要补充配置:
#
interface Tunnel1 mode sdwan udp //类型为sdwan udp
bandwidth 100000
service slot 3 //需要手动配置service slot命令。
ip address unnumbered interface GigabitEthernet3/4/3
source GigabitEthernet3/4/3
tunnel out-interface GigabitEthernet3/4/3
ipv6 address auto link-local
tunnel protection ipsec profile adwan-ipsec-profile
sdwan interface-id 1
sdwan routing-domain 200 id 200
sdwan transport-network CT.1 id 1
sdwan group-id 1
sdwan encapsulation udp-port 12288
sdwan nat-global-ip 110.1.1.1
sdwan bfd enable template tunnelBfdTemplate
sdwan collaboration peer-device-id 2
#
(2) GRE封装的SDWAN扩展隧道,不需要补充配置。
#
interface Tunnel4 mode sdwan-ex gre //GRE隧道封装的SDWAN扩展隧道
ip address unnumbered interface GigabitEthernet3/4/1
source GigabitEthernet3/4/1
destination 30.1.1.2
gre key 1
tunnel bfd enable template extendTunnelBfdTemplate
ipv6 address auto link-local
#
如果分支单设备有多个接入互联网的WAN口,存在等价路由的情况下,设备无法保证请求的源地址和出接口一致,有可能出现使用A接口的地址作为源地址但是出接口为B接口的情况,运营商会禁止这种报文转发。此缺陷可能影响WebSocket请求和TLS连接。
需要手动在设备上添加PBR配置进行优化,以SPOKE3设备为例,说明需要添加的配置:
#
policy-based-route global permit node 1
if-match source-ip interface GigabitEthernet0/1.1 ///匹配对应的WAN口
apply next-hop 110.1.100.1 //指定下一跳为对应的网关地址
#
policy-based-route global permit node 2
if-match source-ip interface GigabitEthernet0/1.2 ///匹配对应的WAN口
apply next-hop 110.1.101.1 //指定下一跳为对应的网关地址
#
ip local policy-based-route global //全局应用PBR
#
可以通过控制组件下发OSPF多实例(绑定VPN),配置方式可以参考8.2.1 LAN侧路由配置中的2. 创建LAN侧IPv4路由和3. 创建LAN侧IPv6路由也可以手动配置。当手动配置OSPF多实例(OSPF/OSPFv3)时,需要添加vpn-instance-capability simple命令来关闭OSPF实例的路由环路检测功能(通过控制组件下发时会自动下发)。
(1) OSPF多实例配置
ospf 10 router-id 20.1.11.2 vpn-instance VPN1
vpn-instance-capability simple
(2) OSPFv3多实例配置
#
ospfv3 100 vpn-instance VPN1
router-id 9.9.9.9
vpn-instance-capability simple
#
当设备有多块主控板时(框式设备有两块主控板),OSPF需要配置NSR保证设备在发生主备倒换时可以自行完成链路状态的恢复和路由的重新生成,邻接关系不会发生中断,从而避免了主备倒换对转发业务的影响。
当有多个OSPF进程时,每个进程都需要配置。
(1) OSPF NSR配置
ospf 10 router-id 20.1.11.2 vpn-instance VPN1
non-stop-routing
(2) OSPFv3 NSR配置
ospfv3 100 vpn-instance VPN1
non-stop-routing
BGP中需要在VPN下配置IPv4和IPv6地址族,可以通过控制组件创建,配置方式参考8.2.2 Overlay路由配置中的4. IPv4 Overlay路由引流和5. IPv6 Overlay路由引流。用户也可以手动添加IPv4和IPv6地址族,手动添加IPv4和IPv6地址族时,需要配置等价路由数量为32。配置举例如下:
#
bgp 6000
#
ip vpn-instance VPN1
#
address-family ipv4 unicast
balance 32 //配置等价路由数量为32
preference 255 5 255
import-route ospf 10 route-policy filter
#
address-family ipv6 unicast
balance 32 //配置等价路由数量为32
#
当设备有多块主控板时(框式设备有两块主控板),BGP需要配置NSR,使得BGP协议的主进程中断时,备份进程能够无缝地接管主进程的工作,从而确保对等体感知不到BGP协议中断,保持BGP路由,并保证转发不会中断。
配置举例如下:。
#
bgp 6000
non-stop-routing
#
当设备有多块主控板时(框式设备有两块主控板),RIP需要配置NSR,将RIP路由信息从主进程备份到备进程,使设备在发生主备倒换时新主进程可以无缝完成路由的重新生成、下刷,邻接关系不会发生中断,从而避免了主备倒换对转发业务的影响。
配置举例如下:。
#
rip 1
non-stop-routing
#
(1) TCP MSS功能会触发会话建立,TCP EST默认3600s会造成大量会话保持,如果现网会话数量过大,可以修改TCP EST会话老化时间为300s。
session aging-time state tcp-est 300
(2) 框式设备配置聚合时,NAT业务设备可能无法自动同步session,需要在聚合接口下配置service slot/service chasis x slot x命令。
interface Route-Aggregation3
service chassis 1 slot 3
部分配置可能会影响现网业务部署和智能选路等功能,需要确认是否有干扰配置并删除。
(1) 配置了SAAS选路功能,异常配置会流量选路异常,必须删除。
¡ 检查是否有配置命令:
saas-path-optimize
¡ 手动删除配置:
undo saas-path-optimize
(2) MSR的初始配置中第一个接口或Vlan-inteface1接口存在管理地址192.168.0.1,此地址主要用于URL开局使用,有可能和现网规划的接口地址冲突,建议开局后手动删除此地址。
interface GigabitEthernet 0/0
undo ip address
interface Vlan-interface 1
undo ip address
WAN业务部署下发包含应用调度配置和对应的QoS业务部署,配置流程如图8-1所示。
路由引流包含LAN侧路由配置,Overlay路由配置以及站点双网关间路由同步配置,必须先完成路由配置后才能进行流量调度功能。
HQ1站点设备使用OSPF协议和内网互通,控制组件下发LAN口后,还需要对LAN侧路由进行配置。以HUB1-1设备为例,LAN侧路由配置流程:
(1) 为了保证后续路由引流方便,创建路由策略模板,配置引入路由时添加对应的tag。
(2) 配置HUB1和LAN网络之间的OSPF邻居,并将BGP学到的Overlay路由重分布到OSPF中,重分布时需要绑定对应的路由策略。
登录云简网络平台,进入[SD-WAN>自动化>物理网络>设备配置>路由策略]页面,点击<增加>按钮,为HUB1-1设备增加一条路由策略tag,点击匹配列表里面的<增加>按钮,增加一条匹配规则如图8-2所示,点击应用策略下的
按钮,配置应用策略为添加应用标记100,如图8-3所示。
BGP路由重分布到OSPF时默认tag为1,手动配置tag进行路由防环时,需要配置为非1的tag。
登录云简网络平台,进入[SD-WAN>自动化>物理网络>设备配置>OSPF路由]页面,点击<增加>按钮为HUB1-1设备增加一个OSPF进程,如所图8-4、图8-5所示:
图8-4 添加OSPF路由-1
图8-5 添加OSPF路由-2
关键配置说明:
· 进程号:需要添加一个新的OSPF进程,进程号配置为:10。
· Router ID:由于HUB设备和LAN网络通过LAN口和管理口分别建立的OSPF邻居,因此需要指Router ID,使用LAN口地址20.1.10.2。
· VPN名称:绑定的VPN名称,VPN1
· 协议类型:IPv4的邻居
· 引入路由表:需要将Overlay的BGP路由重分布到OSPF中,引入BGP路由,指定AS号为6000,绑定策略tag;
· 接口配置列表:指定LAN接口GE3/4/0.1,配置区域:0.0.0.0。
· 开销:对应OSPF邻居开销,为了保证路由优选,可以配置站点双网关两端开销不同。
点击<确定>按钮保存配置。
登录云简网络平台,进入[SD-WAN>自动化>物理网络 >设备配置>OSPF路由]页面,点击<增加>按钮为HUB1-1设备增加一个OSPF进程,如图8-6所示:
关键配置说明:
· 进程号:需要添加一个新的OSPFv3进程,进程号配置为:20。
· Router ID:需要指Router ID,使用LAN口地址20.1.10.2。
· VPN名称:绑定的VPN名称,VPN1。
· 协议类型:OSPFv3。
· 接口配置列表:指定LAN接口GE3/4/0.1,配置区域:0.0.0.0。
· 开销:对应OSPF邻居开销,为了保证路由优选,可以配置站点双网关两端开销不同。
点击<确定>按钮保存配置。
目前控制组件无法在OSPFv3中下发引入路由配置,需要手动配置引入的路由,配置如下:
#
ospfv3 20 vpn-instance VPN1
router-id 20.1.10.2
import-route bgp4+ route-policy tag //将BGP4+的路由重分布到OSPFv3中,增加tag
area 0.0.0.0
#
目前组网中有两种路由引流方式:
· 手动路由引流:多个站点共享同一个内网或者使用站点双网关组网,并且设备和内网之间使用动态路由互通,例如HQ1站点,需要使用手动路由引流。
· 自动引流:站点单设备组网或者站点双网关组网且使用静态路由或VRRP和内网互通。例如Branch站点都使用自动引流,添加LAN网络时直接引流,具体配置参考5.8 导入LAN网络详情。
本节介绍手动引流配置,以HUB1-1设备为例说明手动引流配置。Overlay引流配置流程:
(1) 创建路由策略,基于路由标记进行过滤:过滤8.2.1 LAN侧路由配置中配置的路由标记,防止将HUB1-2重分布到OSPF中的路由再次引入Overlay中,出现路由环路。
(2) 创建路由策略,基于前缀列表进行过滤,基于路由标记进行过滤:对于总部路由数量较少的情况,也可以直接创建路由策略,匹配对应的前缀列表
(3) 创建对应的VPN地址族,引入对应业务路由。
步骤1,2任选一个方式进行配置即可。
登录云简网络平台,进入[SD-WAN>自动化>物理网络>设备配置>路由策略]页面,点击<增加>按钮,为HUB1-1增加一条路由策略,点击匹配列表里面的<增加>按钮,增加两条匹配规则如图8-7所示,配置两条匹配规则:
· 第一条规格匹配模式为deny,点击匹配规则下的
按钮,配置过滤标记100,如图8-8所示。
· 第二条规则匹配模式为permit,点击匹配规则下的
按钮,匹配LAN口,如图8-9所示。点击应用策略下的
按钮,配置开销0,如图8-10所示。
添加完毕,点击<确定>按钮保存配置。
登录云简网络平台,进入[SD-WAN>自动化>物理网络>设备配置>路由策略]页面,在策略前缀页面点击<增加>按钮,增加一个路由前缀,匹配网段20.1.1.0/24,如图8-11所示。
增加路由策略filter,点击匹配列表里面的<增加>按钮,增加一条匹配规则如图8-12所示,点击匹配规则下的
按钮,增加对应匹配规则,如图8-13所示,点击应用策略下的
按钮,配置开销为0,如图8-14所示。
添加完成,点击<确定>按钮保存配置。
登录云简网络平台,进入[SD-WAN>自动化>物理网络>设备配置>路由策略]页面,在策略前缀页面点击<增加>按钮,增加一个路由前缀,匹配网段2000::0/64,如图8-15所示。
图8-15 增加IPv6策略前缀
增加路由策略filter,点击匹配列表里面的<增加>按钮,增加一条匹配规则如图8-16所示,点击匹配规则下的
按钮,在匹配规则区域增加对应匹配规则,如图8-17所示;点击应用策略下的
按钮,增加应用策略,配置开销为0,如图8-18所示。
添加完成后,点击<确定>按钮保存配置。
登录云简网络平台,进入[SD-WAN>自动化>物理网络>设备配置>BGP路由]页面,选择对应设备HUB1-1,点击“BGP-VPN实例”中的
修改按钮进入修改BGP路由 - BGP-VPN实例页面,如图8-19所示。
图8-19 修改BGP路由 - BGP-VPN实例页面
点击“VPN地址族列表”中的
按钮,进入修改BGP路由 -
BGP-VPN地址族页面,如图8-20所示。
图8-20 修改BGP路由 - BGP-VPN地址族页面
点击IPv4单播地址族后面“地址族详情”里面的
按钮,展开邻居和引入路由配置页面,在引入路由配置页面引入OSPF路由,配置进程号为10,并匹配对应的路由策略filter,点击
按钮进行保存,如图8-21所示。
Overlay路由引流配置完成。
· 前缀列表中配置的网段必须精确匹配设备路由表中的网段,如果网段不一致则过滤不生效。
· 引入OSPF路由协议时,必须配置进程号,否则无法下发成功。
登录云简网络平台,进入[SD-WAN>自动化>物理网络>设备配置>BGP路由]页面,选择对应设备HUB1-1,点击“BGP-VPN实例”中的
修改按钮进入修改BGP路由 - BGP-VPN实例页面,如图8-22所示。
图8-22 修改BGP路由 - BGP-VPN实例页面
点击“VPN地址族列表”中的
按钮,进入修改BGP路由 -
BGP-VPN地址族页面,如图8-23所示。
图8-23 修改BGP路由 - BGP-VPN地址族页面
点击IPv6单播地址族后面“地址族详情”里面的
按钮,展开邻居和引入路由配置页面,在引入路由配置页面引入OSPF路由,配置进程号为20,并匹配对应的路由策略filter,点击
按钮进行保存,如图8-24所示。
Overlay路由引流配置完成。
· 前缀列表中配置的网段必须精确匹配设备路由表中的网段,如果网段不一致则过滤不生效。
· 引入OSPF路由协议时,必须配置进程号,否则无法下发成功。
对于站点双设备组网,如果通过VRRP或者静态路由方式接入LAN网络,需要为每个业务VPN增加一条互联链路,并配置OSPF协议进行路由同步,否则链路故障后可能无法实现路径切换。
以SPOKE1-1和SPOKE1-2为例说明路由同步配置方式。
登录云简网络平台,进入[SD-WAN>自动化>租户网络>LAN网络部署]页面,点击<增加>按钮,为SPOKE1-2添加一条新的LAN业务详情,如图8-25所示。
关键参数说明:
· VPN名称:VPN1,对应的业务VPN
· LAN接口地址:对应的IPv4地址和IPv6地址。
· 是否自动引入LAN侧路由:选择否,互联LAN口只是用于站点双网关路由同步,不能将路由引入Overlay发布。
同样的SPOKE1-1也添加对应的LAN网络详情。
登录云简网络平台,进入[SD-WAN>自动化>物理网络>设备配置>OSPF路由]页面,点击<增加>按钮为SPOKE1-1设备增加一个OSPF进程,如所示:
图8-26 添加OSPF路由-1
图8-27 添加OSPF路由-2
关键配置说明:
· 进程号:需要添加一个新的OSPF进程,进程号配置为:20。
· Router ID:使用System IP作为Router ID。
· VPN名称:绑定的VPN名称,VPN1。
· 协议类型:IPv4的邻居。
· 引入路由表:需要将BGP路由重分布到OSPF中,引入BGP路由。
· 接口配置列表:指定互联接口GE0/1.1,配置区域:0.0.0.0.
点击<确定>按钮保存配置。
同样的SPOKE1-2也添加对应的路由配置。
登录云简网络平台,进入[SD-WAN>自动化>物理网络 >设备配置>OSPF路由]页面,点击<增加>按钮为SPOKE1-1设备增加一个OSPF进程,如所示:
图8-28 添加OSPFv3进程
关键配置说明:
· 进程号:需要添加一个新的OSPF进程,进程号配置为:30。
· Router ID:使用LAN口地址作为Router ID。
· VPN名称:绑定的VPN名称,VPN1。
· 协议类型:OSPFv3。
· 接口配置列表:指定互联接口GE0/1.1,配置区域:0.0.0.0.
点击<确定>按钮保存配置。
目前控制组件无法下发引入路由配置,需要手动配置引入的路由,配置如下:
#
ospfv3 30 vpn-instance VPN1
router-id 20.1.2.2
import-route bgp4+ 6000 //将BGP4+的路由重分布到OSPFv3中
area 0.0.0.0
#
同样的SPOKE1-2也添加对应的路由配置。
路由引入完成后,SPOKE1-1设备可以查看到对应的业务网段路由通过Overlay隧道转发,并且所有隧道形成等价路由。
<SPOKE1-1> display ip routing-table vpn-instance VPN1 20.1.1.0
Summary count : 2
Destination/Mask Proto Pre Cost NextHop Interface
20.1.1.0/24 BGP 5 0 6.1.1.1 Tun1
BGP 5 0 6.1.1.2 Tun4
BGP 5 0 6.1.1.2 Tun3
路由引流成功。
对自定义应用流量实现流量调度以及拓扑视图的流量路径可视需要完成以下配置:
· 定义应用流量特征。
· 定义对应调度策略。
使用QoS组件时,如果设备列表和控制组件纳管设备列表不同步,需要点击[SD-WAN>网络公共配置>设备管理]的资源全量同步,如图8-29所示,同步后所有同步状态成功
登录云简网络平台,进入[SD-WAN>网络公共配置>Qos管理>ACL模板]页面,点击<增加>按钮,增加五元组定义应用的ACL模板,如图8-30所示。
关键参数说明:
· 模板名称:控制组件显示的ACL模板名称。
· 标识类型:用来标识向设备下发ACL配置时所使用的命令。选择名称标识时,命令如acl advance name app1。选择数字标识时,命令如acl advance 3000。
· ACL标识:下发到设备上的ACL名称标识或数字标识。
· IP类型:IPv4 ACL 或者IPv6 ACL。
填写完毕后,点击<增加规则>按钮,配置ACL内的匹配规则,由于业务流量都绑定VPN,所以匹配规则需要填写VPN名称。点击<确定>按钮,完成增加规则,如图8-31所示。
支持增加多条ACL匹配规则,支持通过修改规则号来调整匹配顺序,点击<确定>后保存ACL模板。
支持导入ACL规则,点击<导入规则>按钮,可以下载导入模板,通过模板导入ACL规则。如图8-32所示。
规则号、动作、协议类型为必填项。
各类ACL规则取值如下:
· 规则号:0-65534。
· 动作:
¡ 1-Deny
¡ 2-Permit
· 协议类型:
¡ 6-TCP
¡ 17-UDP
¡ 256-IP协议
· 源地址与目的地址根据模板基本信息填写IPv4/IPv6格式。
· 对象组名称:1-63。
· 端口模式:
¡ 1—lt (lower than)
¡ 2—eq (equal to)
¡ 3—gt(greater than)
¡ 4—neq (not equal to)
¡ 5—range (inclusive range)
· 端口值:
¡ 端口模式为1-4时,仅支持填写值1
¡ 端口模式为5时,支持填写值1与值2
· VPN名称:1-31。
· DSCP:0-63。
登录云简网络平台,进入[SD-WAN>网络公共配置>QoS管理>CBQoS模板>流分类模板]页面,点击<增加>按钮,进入增加流分类页面,如图8-33所示。
关键参数说明:
· 名称:流分类(traffic classifier)名称。
· 规则逻辑:多个匹配规则之间逻辑关系,包括and(逻辑与)和or(逻辑或),一般配置为or。
在匹配规则区域,点击<增加>按钮,配置流分类特征。匹配类型支持多种选择:
· 选择五元组定义应用流量的ACL模板,即匹配类型选择ACL,ACL模板选择app1,如所示;
点击<确认>按钮完成流分类特性添加。
图8-34 ACL类型特征
点击<确定>按钮,完成流分类添加。
登录云简网络平台,进入[SD-WAN>QOSM>CBQoS模板>流行为模板]页面,点击<增加>按钮增加流行为,如图8-35所示,名称为app1,标记DSCP为8。
点击标记(Remark)对应的“高级配置”链接,填写Flow ID,根绝规划填写Flow ID为1,如图8-36所示,点击<确定>后保存。
点击<确定>按钮保存。
业务流量进入到SDWAN网络时,建议同一条业务流量(VPN+五元组)Remark成唯一的Flow Id方便运维。
登录云简网络平台,进入[SD-WAN>网络公共配置>CBQoS模板>流策略模板]页面,点击<增加>按钮,进入增加流策略页面,如图8-37所示。
关键配置说明:
· 名称:对应的流策略名称。例如app
· 选择一组流分类和流行为,点击<增加>按钮,将流分类和对应的流行为增加到匹配列表中,例如流分类app1和流行为app1相绑定。
流策略支持增加多组流分类和流行为绑定关系。一般流策略QoS Policy都会绑定多组流分类与流行为,匹配顺序可以通过
调整,点击确定按钮完成流分类的添加。
登录云简网络平台,进入[SD-WAN>网络公共配置>CBQoS模板>流策略模板]页面,点击对应流策略后面的
按钮,进入部署应用组配置到设备接口页面,如图8-38所示。
点击<选择接口>按钮,如图8-39所示,配置在设备LAN口。
· 如果使用三层LAN口,流策略模板直接下发到三层接口上,例如GigabitEthernet1/0、Vlan-interface 10。
· 如果使用二层LAN口,流策略模板需要下发到对应的Vlan-interface接口,例如Vlan-interface100。
选择设备,勾选接口,点击<选择入向接口>按钮,接口将增加到右侧已选接口列表中,支持增加多个入向接口到已选接口列表,在所有设备的LAN口下发入方向策略,如图8-40所示。
点击<确定>按钮,保存需要应用流策略的接口,如图8-41所示。
点击<确定>按钮,开始在设备部署流策略、流行为、流分类、ACL模板配置,如图8-42所示。
登录云简网络平台,进入[SD-WAN>自动化>策略管理>调度策略>选路质量权重]页面,可以查询或者修改选路质量权重,如图8-43所示。
智能选路中链路质量探测结果高于指定SLA的阈值,则认为该链路不符合业务质量要求。则根据综合质量指标(CQI算法)评估各链路的质量优劣。本功能用于配置CQI算法中时延、时延抖动和丢包率的权重,各配置项取值范围为0~10,当配置为0时则表示选路时不考虑对应的指标。
· 不可以将CQI算法中时延、抖动和丢包率的权重值都配置为0。
· 下发应用组前必须先配置调度综合质量指标,修改此指标后,已经下发的应用组对应的权重配置不会修改,需要先删除应用组后再重新添加。
登录云简网络平台,进入[SD-WAN>自动化>策略管理>调度策略>智能调度配置]页面,可以查询或者修改综合质量权重,如图8-44所示。
关键配置说明:
· 带宽调度策略:业务流量基于带宽选路功能。默认开启,当开启带宽调度策略后,业务流量选路因素中考虑链路带宽,选择满足实际带宽的链路。
· 链路调度策略:基于业务优先级选路开关,开启时基于业务优先级选路。缺省情况下关闭。
· 调度周期:基于业务优先级选路的调度周期,一般配置为30秒;
· 带宽利用率下阈值:链路上的流量所占总带宽百分比低于下阈值时,停止流量调度。
· 带宽利用率上阈值:链路上的流量所占总带宽百分比超过上限阈值时会触发流量调度。
用户根据实际业务范围指定源设备,增加应用组时根据策略作用域指定的范围下发配置。
登录云简网络平台,进入[SD-WAN>自动化>策略管理>策略作用域]页面。点击<增加>按钮,进入增加策略作用域页面,指定策略作用域名称。
点击<增加>按钮,添加下发调度的站点,如图8-45所示。
配置说明:
· 策略作用域名称:All。
· 选择站点:选择全部的站点。
设备基于Session进行选路,每条Session对应一个明确的五元组流量。应用选路时需要定义应用的质量需求,会基于链路质量、链路带宽和链路优选策略进行选路。
基本选路规则:
· 当链路质量和链路带宽都满足需求时,会优选高优先级的链路转发。
· 当高优先级链路的带宽或质量不满足需求时,会优选满足质量和带宽的次高优先级链路转发。
· 当链路质量都不满足需求链路带宽满足需求时,会随机选择一条链路转发。
· 当链路带宽都不满足需求时(链路带宽使用率超过80%),不再考虑链路质量,多条链路使用UCMP,基于剩余带宽进行负载分担。
· 当链路带宽都不满足需求时(链路带宽使用率超过100%),直接使用路由表转发,RIR不再单独选路。
配置SLA策略定义:
系统预定义了8个SLA级别,优先级从0到7(数字越大优先级越高),分别定义了延时、丢包率和抖动的质量需求,用户可以手动修改对应SLA级别的质量需求。
(1) 登录云简网络平台,进入[SD-WAN>自动化>策略管理>调度策略>SLA策略]页面,如图8-46所示。
图8-46 SLA质量需求
(2) 点击<增加>按钮,配置以下参数:
¡ SLA级别:多个应用策略可以使用相同的级别,如果不选择SLA策略,则不根据质量进行选路。
¡ 期望带宽:应用初始选路时使用的带宽,每条Session的预测带宽,一般建议配置为10Kbps。
¡ 优选策略:定义应用优选转发路径,可以增加多条优选链路,设置链路优先级,数字越小优先级越高。
(3) 本例中增加SLA策略SLA1,如图8-47所示。
图8-47 SLA1调度策略
对应优选策略如下:“MSTP1专线”>“MSTP2专线”>“Internet的CT出口,同运营商隧道”>“Internet的CU出口,同运营商隧道”>“Internet的CT出口,跨运营商隧道”>“Internet的CU出口,跨运营商隧道”>“MPLS专线”。
进入[SD-WAN>自动化>策略管理>调度策略>时间策略]页面,增加工作对应时间段time1,如图8-48所示。
(1) 登录云简网络平台,进入[SD-WAN>自动化>策略管理>应用组]页面。
(2) 点击<增加>按钮,添加应用组,如图8-49所示。
关键配置说明:
· 策略作用域:该应用组下发到作用域内的所有设备。
· 负载均衡策略:负载均衡有两种方式,逐包和逐流,一般建议使用逐流负载均衡。如果路径优先级相同,流量可以在多条路径上进行负载均衡。
· 应用ID:应用组的Flow ID,每个应用组不重复,选择8.3.1 中定义的Flow ID 1。
· 隧道故障报文丢弃:开启后,如果设备没有为业务流量找到最优链路,则会将该业务流量的报文丢弃。通过智能选路机制,设备可以为业务流量选择最优链路进行转发。如果没有找到最优链路,则按照原路由表项进行普通转发。当为某业务指定的链路均发生故障,且用户不希望该业务流量占用其他链路时,例如,不希望低优先级的视频流量占用业务链路时,可以配置本功能。
· 应用组策略:可以选择“永久”和“按时间段”。当选择“按时间段”时,可以选择不同时间段使用不同的SLA调度策略。
按照应用调度需求完成所有应用组下发,应用进度100%即下发成功,如图8-50所示。
模拟“app1”的应用流量,进入[SD-WAN>监控>拓扑视图>分支拓扑]页面,点击
应用组按钮,选择“app1”应用组查询应用组路径,点击对应着色的链路,可以查询到应用转发的路径,如图8-51所示,应用流量通过“MSTP1”专线转发,符合应用调度规则。
图8-51 “app1”应用流量路径
应用路径查询,查询的是应用流量的转发路径,需要有对应的应用流量才能查到应用路径信息。
主要配置三种QoS业务部署:
· WAN口限速:基于WAN接口进行限速。
· WAN口应用保障:WAN出口拥塞时,可以根据应用优先级区分保障不同应用的带宽。
· 基于Overlay链路(TTE连接)的限速和应用保障:总部设备的隧道为一对多隧道,需要支持基于Overlay链路(TTE连接)的限速和保障
· WAN口优先级队列保障:WAN口拥塞时,可以配置优先级队列,对高优先级应用流量进行保障
· LAN口应用阻断:识别流量拒绝转发。
使用QoS组件前需要进行设备资源全量同步,参考8.3.1 设备资源同步
由于运营商提供的带宽可能会小于接口带宽,因此需要对WAN口进行限速。
· WAN口带宽小于物理接口带宽时,如果不配置WAN口限速,设备会发送大于运营商限速的流量,运营商无法根据业务优先级进行丢包,有可能会丢掉协议报文或关键业务报文,因此对于有确定带宽的链路必须配置WAN口限速。
· 若需要保证在WAN口带宽拥塞时关键业务能优先转发,则需要配合配置应用保障功能进行队列保障。
· 控制组件配置WAN详情时需要指定WAN接口带宽,需要保证WAN口限速带宽和接口带宽一致。当WAN链路带宽有变化时,需要同步修改链路接口带宽和WAN口限速配置,参考9.1.3 链路可视和管理。
(1) 登录云简网络平台,进入[SD-WAN>QOSM>LR模板]页面,如图8-52所示。
图8-52 LR模板
(2) 点击<增加>按钮,配置LR模板,如图8-53所示,以对SPOKE1-1接入二层专线的WAN口限速10000Kbps为例。
(3) 点击<确定>按钮,保存LR模板,如图8-54所示。
(4) 点击操作列中的
按钮,将应用限速模板部署到设备接口,点击<选择接口>按钮,勾选设备接口,点击<选择出向接口>按钮,将接口增加到右侧已选接口列表,如图8-55所示。
(5) 点击<确定>按钮,保存已选择接口列表,如图8-56所示。
(6) 点击<确定>按钮,模板将部署到设备接口上,如图8-57所示。
(1) 模拟发送超过链路限速的流量,确认链路限速生效。
(2) 物理口限速:查询设备上WAN口配置,确认限速配置已经下发。
<SPOKE1-1>display cu int GigabitEthernet 0/2
#
interface GigabitEthernet0/2
port link-mode route
bandwidth 10000
ip address 11.1.5.2 255.255.255.0
ospf 1 area 0.0.0.10
qos lr outbound cir 10000 cbs 625000 ebs 0
#
当流量出口拥塞时,可以根据应用优先级区分保障不同应用的带宽。
WAN口不能同时部署应用保障和优先级队列保障两个策略。
例如配置两个应用组“app1”和“app2”,调度路径的SLA策略相同。其中,应用流量“app1”的流行为“remark dscp”为50,“app2”的流行为“remark dscp”为40。
(1) 创建流分类,登录云简网络平台,进入[SD-WAN>网络公共配置>CBQoS模板>流分类模板]页面,点击匹配规则中的<增加>按钮,配置匹配规则为DSCP值,本例中配置匹配“app1”的DSCP为50,“app2”的DSCP为40,配置如图8-58、图8-59所示。
(2) 创建流行为,进入[SD-WAN>网络公共配置>CBQoS模板>流行为模板]页面,点击<增加>按钮,配置队列。以配置“app1-af”队列带宽值1600kbps和“app2-ef”队列带宽值1400kbps为例,如图8-60、图8-61所示。
(3) 创建流策略,选择一组流分类与流行为,进入[SD-WAN>QOSM>CBQoS模板>流策略模板]页面,点击<增加>按钮,将流分类与流行为的绑定增加到流分类、流行为匹配列表中,如图8-62所示。
配置物理接口限速,以限速3000kbps为例。
(1) 点击流策略操作列中的
按钮,点击<选择接口>,以选择SPOKE1-1的GigabitEthernet0/2的出方向为例,如图8-63所示。
(2) 选定接口后,将配置部署到设备上,如图8-64所示。
在EVPN方案中由于总部设备的出口对应多个分支,总部的出口带宽一般大于分支入口带宽,为了保障每一个分支的入方向流量不会超过上限,总部设备支持在隧道口配置针对不同分支的限速和应用保障。
在隧道上配置应用保障模板,需要先配置基于分支出口带宽的限速父策略,然后引用应用保障模板的子策略。
(1) 配置流分类,登录云简网络平台,进入[SD-WAN>网络公共配置>CBQoS模板>流分类模板]页面,点击<增加>按钮,在匹配规则的匹配类型选择“sdwanTte”。本例配置基于SPOKE1-2在三层专线TTE的流分类,如图8-65所示。
(2) 创建TTE限速的流行为,进入[SD-WAN>网络公共配置>CBQoS模板>流行为模板]页面,点击<增加>按钮,在流量整形GTS区域配置承诺信息速率(CIR),以10000kbps为例。在配置(Policy)区域配置子策略,填写应用保障模板的流策略名称,以前面创建的“SPOKEcbq”为例,如图8-66所示。
(3) 进入[SD-WAN>网络公共配置>CBQoS模板>流策略模板]页面,创建流策略,如图8-67所示。
点击流策略操作列中的
按钮,将策略部署在总部设备HUB1-2的三层专线隧道出方向,以Tunnel1为例,如图8-68所示。部署成功后如图8-69所示。
· 一般WAN口带宽都要小于物理接口带宽,需要先对WAN口进行限速然后再配置应用保障。
· 配置绝对值带宽保障,各应用保障的带宽和不能大于链路实际出接口带宽。为了避免挤占所有接口带宽,建议最大保障带宽和不超过实际接口带宽的80%。
· 默认接口最大预留带宽占比为80%,因此配置带宽占比方式的应用保障时,真正为应用保障的带宽=链路带宽×80%×应用带宽占比。可以在接口下手动配置qos reserved-bandwidth pct percent命令来修改默认带宽占比,一般情况下不建议修改。
支持在WAN口下发绝对优先级队列保障。保障高优先级对应转发。支持下发8个优先级队列。
WAN口不能同时部署应用保障和优先级队列保障两个策略。
(1) 登录云简网络平台,进入[SD-WAN>网络公共配置>ACL模板]页面,创建ACL,匹配对应的应用流量DSCP,只能创建数字标识的ACL。点击增加按钮增加两个新的ACL,分别匹配DSCP 50和DSCP 40,配置如图8-70、图8-71所示。
(2) 进入[SD-WAN>网络公共配置>PQ模板]页面,创建PQ模板,点击<增加>按钮,配置模板。点击<增加规则>按钮,增加对应队列,如图8-72所示。
图8-72 创建优先级队列
关键配置:
¡ 规则类型:选择协议类型。
¡ 队列优先级:队列优先级为0-7,越大越优先。
¡ 报文类型:IPv4。
¡ 协议类型:选择ACL。
¡ ACL:绑定前面创建的ACL。
对应两个应用ACL添加两个规则,如所示。
图8-73 创建优先级队列
点击<确定>按钮完成添加。
(1) 点击优先级队列部署设备列中的
按钮,进入部署接口页面,如图8-74所示。
(2) 点击<选择接口>按钮,选定接口后进行确认,如图8-75所示。
(3) 点击<确定>按钮后开始部署,显示部署成功如图8-76所示。
对流分类匹配的应用流量,配置“deny”动作的流行为,拒绝转发该应用流量。
(1) 创建流分类,配置步骤参考8.3.2 定义应用特征和8.3.3 1. 配置流分类模板,创建流分类。
(2) 进入[SD-WAN>网络公共配置>CBQoS>流行为模板]页面,点击<增加>按钮创建流行为,流量过滤(Filter)一项选择“deny”,如图8-77所示。
(3) 创建流策略,将流分类与流行为绑定,并绑定在LAN的入接口上,操作参考8.3.3 3. 配置流策略模板和8.3.3 4. 接口绑定流策略模板。
运维和可视功能配置相对独立,用户按照功能需求选择对应的章节即可,各功能需要的前置配置在对应功能介绍中进行描述。
控制组件提供了基础可视功能,包括:
· 拓扑可视和管理:可以查询控制组件拓扑,并且可以在拓扑上查询相关设备信息、链路信息和应用路径信息,并且可以直接在拓扑上增加或删除设备。
· 设备可视和编辑:提供设备列表可以查询设备状态,包括设备板卡状态和接口状态等。
· 链路可视和管理:提供Underlay和Overlay链路列表,可以查询到链路基础信息和历史信息,以及链路实时运行情况。
· 站点维度可视:可以基于站点维度呈现拓扑和相关信息。
登录云简网络平台,进入[SD-WAN>监控>拓扑视图>分支拓扑]页面,可以查看到拓扑信息,用户可以拖动设备,自己编辑拓扑,如图9-1所示。
拓扑页面支持关键操作如下(对于缩放等常用操作不做解释):
(1) 站点组
:可对站点进行分组,例如将Branch1、Branch2站点合并为一个站点组,组名为“Branch”,如图9-2、图9-3所示。
(2) 应用组
:可以查询应用组的转发路径,具体操作可以参考8.3 应用组流量调度及可视。
(3) 链路流量
:可以展示链路历史和实时流量TOPN,可选链路类型为Underlay或Overlay。对于历史流量,用户还可以设置时间范围,如图9-4所示。
(4) 节点定位
:可以查找对应节点,居中显示并用红色边框标识定位节点,如图9-5所示。
(5) 业务网络
:可以选择对应的业务网络,只呈现链接到此网络的设备和链路,如图9-6所示。
图9-6 Internet业务网络
(6) 点击
按钮可以设置自动刷新周期,最小刷新周期为1分钟,如图9-7所示。
(7) Overlay和Underaly切换
:可以切换Overlay或Underlay拓扑展示。
(8) 点击站点,在站点列表中可以查询到设备相关信息,如图9-8所示,如果有告警也可以点击操作列中的
按钮查询到对应告警信息。
(9) 点击链路,在链路列表中可以查询到链路相关信息,如图9-9所示,点击操作列中的
按钮可以查询到链路历史信息,如果有告警也可以点击操作列中的
按钮查询到对应告警信息。
(10) 右键点击页面,可以直接增加站点。
(11) 右键点击站点,支持查看站点详情、修改或删除站点。
(1) 登录云简网络平台,进入[SD-WAN>自动化>物理网络>设备>设备管理]页面,可以查看设备列表,如图9-10所示。
(2) 选择[设备接口管理]页签,通过下拉菜单选择设备,可以查询设备接口状态,并可以修改设备接口的描述信息和TCP MSS值,如图9-11所示。
(3) 选择[设备板卡管理]页签,通过下拉菜单选择设备,可以查询设备板卡状态。当设备板卡出现异常时,可点击操作列中的 按钮确认板卡或子卡的状态,如图9-12所示。
· 如果有设备板卡拔出的情况下,设备会生成告警,必须在此页面确认拔出,对应告警才能恢复。
· 当有设备板卡损坏或拔出时,为防止出现配置丢失,控制组件不会自动保存配置,请尽快处理板卡异常。
· 在确认板卡不再继续使用的情况下,可以点击<确认拔出>按钮,确认拔除后会清除控制组件板卡相关业务配置数据、子卡信息及接口信息,例如:LAN、WAN详情配置等。注意此操作清除的配置不可恢复,请谨慎使用。
(1) 登录云简网络平台,进入[SD-WAN>自动化>物理网络>链路>链路管理]页面,可以查看链路列表,如图9-13所示。支持切换Underlay和Overlay链路显示。可以显示链路状态,包括Underlay和Overlay链路状态显示,点击操作列中的
“编辑”按钮,可以修改Underlay链路的可分配带宽。
(2) 选择[链路运行状态]页签,可以查询到链路的实时运行状态,如图9-14所示。点击操作列中的
按钮,可以查看链路的历史信息,在Overlay链路中还能查询到应用的流量信息,如图9-15所示。
控制组件Overlay链路状态可能和设备不一致,可以点击设备列表中对应设备后面的
按钮,手动进行状态同步。
(1) 登录云简网络平台,进入[SD-WAN>自动化>物理网络>站点>站点管理]页面,可以查看站点列表,如图9-16所示。
(2) 选择对应的站点,点击操作列中的
按钮,可以查询站点详情,如图9-17所示。中间的拓扑区域会显示站点所有互联链路,两侧窗口显示站点的基础信息、站点内设备的性能信息、站点隧道信息,链路信息,应用信息,告警信息等。
图9-17 站点详情
云简网络可以对SDWAN告警进行配置,包括链路告警配置、告警归类和告警阈值配置。
登录云简网络平台,进入[SD-WAN>监控>告警日志>告警订阅]页面。
(1) 对链路告警进行配置:用户可以基于Underlay和Overlay配置是否发送链路告警,如图9-18所示。
(2) 告警归类:启用告警归类后,用户可以将告警进行归类,减少发送的告警,如图9-19所示。
关键参数说明:
¡ 设备下线不发送链路告警:启用后需要配置回溯时间,设备下线后,在回溯时间内,链路的下线告警都不发送。
¡ 下线告警容错:启用后设备/链路闪断引发的下线告警不发送,在延时时间之内设备/链路恢复上线则为闪断,非闪断情况下告警将延迟对应时间后发送。
¡ Underlay下线不发送Overlay告警:开关开启后,当Underlay链路下线时,Underlay对应的Overlay链路不会发送任何告警信息。
¡ 告警阈值配置:配置告警阈值,包括相关告警开关,如图9-20所示。
完成告警配置后,当网络出现异常就可以查询到对应的告警。
登录云简网络平台,进入[SD-WAN>监控>告警日志>告警日志]页面,缺省展示最近一小时未恢复的SDWAN告警。
图9-21 SDWAN告警
登录云简网络平台,进入[网络管理>消息>告警日志>告警订阅>SDWAN告警]页面,可以配置告警方式,支持通过邮件转发,如图9-22所示
登录云简网络平台,进入[网络管理>消息>操作日志>用户操作日志]页面,如图9-23所示,可以查看和筛选用户操作日志。
控制组件提供了Ping和Tracert两种运维诊断工具,可以在指定的设备上进行Ping或者Tracert操作,对网络进行排查。
登录云简网络平台,进入[SD-WAN>自动化>业务保障>运维诊断>Ping]页面,点击<诊断>按钮,增加一个新的Ping诊断,如图9-24所示。
关键参数说明:
· 设备名称:通过下拉菜单选择执行Ping命令的设备。
· VPN名称:指定执行Ping操作的VPN,选择VPN名称后,选择接口时会根据VPN进行过滤。
· 出接口名称:指定发送ICMP报文的出接口,通过下拉菜单选择。
· 源地址:用户可以指定发送ICMP报文的源地址。
· 目的地址:目的端的IP地址或主机名,其中配置主机名时,该主机名需要能够正确解析。
· 包大小:指定发送的ICMP回显请求报文的长度。
· 包数量:指定ICMP回显请求报文的发送次数。
点击<确定>按钮开始进行探测。等待一段时间后会,状态显示成功,可以点开查看探测结果,如图9-25所示。
图9-25 Ping探测结果
用户如果需要使用Tracert功能,需要在转发路径的所有设备上手动配置以下命令,否则Tracert探测可能无法显示最终结果。
<HUB1-2>system-view
[HUB1-2]ip ttl-expires enable
[HUB1-2]ip unreachables enable
登录云简网络平台,进入[SD-WAN>自动化>业务保障>运维诊断>Tracert]页面,点击<诊断>按钮,增加一个新的Tracert诊断,如图9-26所示。
关键参数说明:
· 设备名称:通过下拉菜单选择执行Tracert命令的设备。
· VPN名称:指定执行Tracert操作的VPN,选择VPN名称后,选择接口时会根据VPN进行过滤。
· 出接口名称:指定发送Tracert报文的出接口,通过下拉菜单选择。
· 源地址:用户可以指定发送探测报文的源地址。
· 目的地址:目的端的IP地址或主机名,其中配置主机名时,该主机名需要能够正确解析。
· 目的端口:用户一般不需要更改此选项。当Tracert的目的地址为远端LISP站点的EID地址时,目的端的UDP端口号必须大于或等于33434。
· 超时时间:指定探测报文的响应报文的超时时间。
· 初始TTL:第一个报文所允许的最大跳数。
· 最大TTL:一个报文所允许的最大跳数。
· 包数量:探测报文回显请求的发送次数。
点击<确定>按钮开始进行探测。等待一段时间后会,状态显示成功,可以点开查看探测结果,默认以表模式显示,如图9-27所示。可以通过右上角的切换按钮,切换成图模式,显示探测报文经过的路径,如图9-28所示。
图9-27 Tracert探测结果-表模式
图9-28 Tracert探测结果-图模式
请参考《H3C 云简网络功能详解指导手册》中的“2.5.2 自有版本”章节。
请参考《H3C 云简网络功能详解指导手册》中的“2.5.1 软件升级”章节。
请参考《H3C 云简网络功能详解指导手册》中的“2.5.5 配置还原”章节。
请参考《H3C 云简网络功能详解指导手册》中的“2.5.11 设备替换”章节。
控制组件提供配置审计功能,能够对比设备当前配置与控制组件数据库中保存配置的差异。页面提供对配置审计结果查看、操作、导出功能,用户可以根据实际需要对差异配置进行同步、忽略操作。
登录云简网络平台,进入[SD-WAN>自动化>业务保障>配置审计]页面,如图9-29所示。
点击操作列中的“开始审计”
按钮,对设备进行配置审计操作。
点击操作列中的“审计结果”
按钮,查看该设备最近一次的配置审计结果。通过数据模块、数据类型、数据状态下拉框选择查看审计结果,如图9-30所示。
审计结果的展示、操作以控制组件保存的配置为基准,操作说明如下:
· 控制组件比设备多的配置:支持同步操作。勾选配置,点击<同步>按钮,将对应配置下发到设备上。
· 控制组件比设备少的配置:支持同步和忽略操作。勾选配置,点击<同步>按钮,将删除设备上对应的配置。点击<忽略>按钮则不更改设备上对应配置。
· 控制组件与设备不同的配置:支持同步操作。勾选配置,点击<同步>按钮,将设备上对应配置修改为与控制组件数据一致。
板卡异常影响的配置:仅支持查看板卡软删除时影响到的配置,不支持操作配置。
同步配置会更新设备运行配置,有可能影响现有业务功能,请联系解决方案支持部评估后再进行操作。
控制组件提供配置校验功能,通过配置校验功能,实现对指定设备配置获取、配置对比功能。
(1) 登录云简网络平台,进入[SD-WAN>自动化>业务保障>配置校验>配置获取]页面。
(2) 勾选设备,点击<配置获取>按钮,获取当前设备配置,如图9-31所示。
页面展示最近一次获取配置的时间和获取状态,获取到的配置文件可在配置对比页面查看和操作。配置获取功能最多可以保存5份设备配置文件,当设备配置文件超过5份时,需要在配置对比页面删除配置文件,才可以继续使用配置获取功能。
配置对比页面提供对配置文件的下载、删除、修改备注、对比功能。
(1) 登录云简网络平台,进入[SD-WAN>自动化>业务保障>配置校验>配置对比]页面,下拉菜单选择设备,可以查看到设备获取到的全部配置文件。
(2) 通过操作列中的
按钮,可以对配置文件进行修改、删除、下载操作。勾选需要对比的两份配置文件,点击<对比>按钮,即可弹出两份配置文件对比结果框,如图9-32所示。
站点上网是根据用户对上网流量的不同要求,指定站点访问互联网的流量由本地转发还是由特定的CPE集中上网。目前仅支持本地上网、集中上网以及混合上网,暂不支持部分应用本地上网或集中上网。
本文档中配置示例规划站点上网配置模型见表9-1:
|
站点 |
上网模型 |
本地上网接口 |
路由优先级 |
是否探测 (探测地址) |
是否NAT |
|
HQ1 |
本地上网 集中上网网关 |
GE3/4/0.1(LAN口) |
3 |
是 对端地址 |
否 |
|
Branch1 |
集中上网 |
不涉及 |
不涉及 |
不涉及 |
不涉及 |
|
Branch2 |
本地上网 集中上网备份 |
GE0/2(WAN口) |
3 |
是 8.8.8.8(公网地址) |
是 |
|
Branch3 |
集中上网 本地上网备份 |
Dialer1(WAN口) GE0/1.2(WAN口) |
7 |
否 |
是 |
· 本地上网时,上网VPN和上网接口属于不同VPN时,建议启用出方向动态地址转换功能(NAT功能),否则需要手动在设备上配置VPN间路由互引,配置方案根据组网需求单独确认。
· 选择接入上网接口时必须选择三层接口(有IP地址的接口),例如Dialer口(对应PPPoE拨号)或Vlan-interface口(对应二层出接口)。
登录云简网络平台,进入[SD-WAN>自动化>租户网络>VPN管理]页面,在VPN1操作列点击
图标进入站点上网页面。选择“本地上网”页签,点击<增加>按钮,进入本地上网配置页面。
(1) HQ1站点配置本地上网:站点名称通过下拉菜单选择HQ1点击<增加>按钮,设备名称通过下拉菜单选择HUB1-1,填写必须参数,如图9-33所示。
图9-33 HUB1-1站点上网
关键参数:
¡ 接入上网接口:指定访问互联网的接口,支持WAN口、LAN口、非WAN非LAN口。本例中选择LAN口GE3/4/0.1;
¡ 上网接口VPN:上网接口绑定的VPN,LAN口绑定了VPN1;
¡ 路由优先级:站点上网会下发静态路由,配置静态路由的优先级,数字越小越优。本地上网优先需要保证优先级配置小于等于5(控制组件下发的IBGP路由优先级),本例中配置为3;
¡ 下一跳类型:取值为DHCP地址和静态IP地址。当接口为Dialer口、Serial接口、Eth接口时,无需配置下一跳类型,本例中使用静态IP地址;
¡ 下一跳IP:对端网关地址,本例为:20.1.10.1
¡ 通断探测:开启通断探测,用于探测上网接口与探测IP的连通性,本例中开启;
¡ 探测的IP:探测IP地址用于检测本地站点与公网连通性。探测IP:20.1.10.1
¡ 出方向动态地址转换:是否配置出方向NAT变换,本例中关闭。
相同方式完成HUB1-2本地站点上网配置,点击<确定>按钮保存配置。
(2) Branch2站点配置本地上网:站点名称通过下拉菜单选择Branch2点击<增加>按钮,设备名称通过下拉菜单选择SPOKE2-1,填写必须参数,如图9-34所示。
图9-34 SPOKE2-1站点上网
关键参数:
¡ 接入上网接口:指定访问互联网的接口,支持WAN口、LAN口、非WAN非LAN口。本例中选择WAN口GE0/2;
¡ 上网接口VPN:上网接口绑定的VPN,WAN口没有绑定VPN,选择PublicInstance;
¡ 路由优先级:站点上网会下发静态路由,配置静态路由的优先级,数字越小越优。本地上网优先需要保证优先级配置小于等于5(控制组件下发的IBGP路由优先级),本例中配置为3;
¡ 下一跳类型:取值为DHCP地址和静态IP地址。当接口为Dialer口、Serial接口、Eth接口时,无需配置下一跳类型,本例中使用静态IP地址;
¡ 下一跳IP:对端网关地址,本例为:110.1.100.1
¡ 通断探测:开启通断探测,用于探测上网接口与探测IP的连通性,本例中开启;
¡ 探测的IP:探测IP地址用于检测本地站点与公网连通性。探测IP:8.8.8.8
¡ 出方向动态地址转换:是否配置出方向NAT变换,本例中开启。
相同方式完成SPOKE2-2本地站点上网配置,点击<确定>按钮保存配置。
(3) Branch3站点配置本地上网:站点名称通过下拉菜单选择Branch3点击<增加>按钮,设备名称通过下拉菜单选择SPOKE3,填写必须参数,如图9-35所示。
图9-35 SPOKE3站点上网-1
关键参数:
¡ 接入上网接口:指定访问互联网的接口,支持WAN口、LAN口、非WAN非LAN口。本例中选择WAN口Dialer1;
¡ 上网接口VPN:上网接口绑定的VPN,WAN口没有绑定VPN,选择PublicInstance;
¡ 路由优先级:站点上网会下发静态路由,配置静态路由的优先级,数字越小越优。本地上网优先需要保证优先级配置小于等于5(控制组件下发的IBGP路由优先级),本例中配置为7,本地上网备份使用。
¡ 通断探测:开启通断探测,用于探测上网接口与探测IP的连通性,本例中关闭;
¡ 出方向动态地址转换:是否配置出方向NAT变换,本例中开启。
点击<增加>按钮,再添加一个本地上网出口,如所示。
图9-36 SPOKE3站点上网-2
关键参数:
¡ 接入上网接口:指定访问互联网的接口,支持WAN口、LAN口、非WAN非LAN口。本例中选择WAN口GE0/1.2;
¡ 上网接口VPN:上网接口绑定的VPN,WAN口没有绑定VPN,选择PublicInstance;
¡ 路由优先级:站点上网会下发静态路由,配置静态路由的优先级,数字越小越优。本地上网优先需要保证优先级配置小于等于5(控制组件下发的IBGP路由优先级),本例中配置为7,本地上网备份使用并且两个上网口优先级相同,负载分担。
¡ 下一跳类型:选择DHCP地址,无需配置下一跳IP。
¡ 通断探测:开启通断探测,用于探测上网接口与探测IP的连通性,本例中关闭;
¡ 出方向动态地址转换:是否配置出方向NAT变换,本例中开启。
添加完成后,点击<确定>按钮保存配置。
· 同一站点设备(站点单设备或站点双网关)所有上网接口的上网类型(本地上网或者本地上网备份)要求配置一致。如果使用本地上网优先,所有上网接口的路由优先级都必须小于等于5;如果使用本地上网备份,所有上网接口的路由优先级都必须大于5。
· 接入上网接口配置了出方向动态地址转换所有使用此接口上网的VPN都必须配置动态地址转换,并且不允许在单个VPN中进行关闭。
站点双网关配置本地上网后,对于上网的路由需要进行同步,保证当本设备上网口故障时可以通过另一台设备的上网口进行上网。支持通过LAN口同步路由或者手动创建同步链路进行路由同步。HQ1使用LAN口同步路由;Branch1和Branch2需要手动配置路由同步,配置步骤如下:
(1) 参考步骤8.2.3 路由同步配置添加互联接口,完成IPv4路由同步配置;
(2) 控制组件配置站点上网下发的缺省路由为静态路由,通过引入静态路由并匹配路由策略的方式在同步的OSPF进程中引入缺省路由。可以通过控制组件页面配置,进入[SD-WAN>自动化>物理网络>设备配置>路由策略>策略前缀],点击<增加>按钮添加一个新的策略前缀,匹配0.0.0.0/0,如图9-37所示。
点击路由策略页面最上面的<添加>按钮,添加一个新的路由策略,匹配前缀default,如图9-38所示。
进入[SD-WAN>自动化>物理网络>设备配置>OSPF路由]页面,单击<增加>按钮,增加OSPF路由,如图9-39所示。
图9-39 OSPF路由配置
点击引入路由下面的<增加>按钮,增加引入静态路由,且关联路由策略default,如图9-40所示,点击<确定>按钮保存配置。
(3) 需要手动添加OSPF配置:
Branch2优选本地上网,配置允许OSPF发布缺省路由且缺省路由优先级高于BGP路由,配置步骤如下:
#
ospf 10 router-id 20.1.13.1 vpn-instance VPN1
default-route-advertise permit-calculate-other //允许发布缺省路由并进行路由计算
preference ase 5 route-policy default //使用路由策略default匹配缺省路由,保证收到的缺省路由优先级为5,高于BGP路由优先级。
#
Branch1备选本地上网,配置允许OSPF发布缺省路由,不需要调整路由优先级,配置步骤如下:
#
ospf 10 router-id 20.1.13.1 vpn-instance VPN1
default-route-advertise permit-calculate-other //允许发布缺省路由并进行路由计算
#
(4) 同步的OSPF协议中配置路由引入,引入LAN侧路由,保证当本地LAN口故障时,上网的流量能回到对应的终端。由于Branch2的LAN侧使用VRRP,因此引入LAN侧路由只需要引入直连路由,可以继承使用自动引入LAN口的路由策略。配置步骤如下:
进入[SD-WAN>自动化>物理网络>设备配置>OSPF路由]页面,查询到SPOKE2-1对应的路由配置,点击引入路由下面的
按钮,修改引入路由,增加引入直连路由,且关联路由策略DIRECT-VPN1-XXXX(以DIRECT开头,包含对应VPN的路由的略),如图9-41所示,点击
按钮保存配置。
本地上网配置完成。
· 站点上网目前仅支持单栈IPv4协议。
· 站点双网关组网,本地上网缺省从流量入设备的本地上网口上网,上网流量无法在两台设备之间形成负载分担。
集中上网主、备网关站点需先配置本地上网且本地上网的路由优先级小于5,再配置集中上网。登录云简网络平台,进入[SD-WAN>自动化>租户网络>VPN管理]页面,在VPN1操作列点击
图标进入站点上网页面。选择“集中上网”页签,点击<增加>按钮,选择集中上网的主站点HQ1,如所示,点击<确定>按钮完成配置。
图9-42 配置集中上网
站点双网关通过集中上网站点进行上网,需要对上网的路由进行同步,保证当本设备到集中上网站点的隧道故障时可以通过另一台设备到集中上网站点进行上网。可以通过LAN口同步路由或者手动创建同步链路进行路由同步。手动创建链路同步路由配置步骤如下:
(1) 参考步骤8.2.3 路由同步配置添加互联接口,完成IPv4路由同步配置;
(2) 由于OSPF中已经引入了BGP路由,完成了缺省路由的引入,因此只需要手动配置允许OSPF发布缺省路由。不需要调整OSPF引入路由的优先级,配置步骤如下:
#
ospf 10 router-id 20.1.13.1 vpn-instance VPN1
default-route-advertise permit-calculate-other //允许发布缺省路由并进行路由计算
#
· 站点上网目前仅支持单栈IPv4协议。
· 同一VPN下,作为集中上网网关的本地上网站点不允许删除。
· 集中上网主、备网关站点需先配置本地上网且本地上网的路由优先级小于5,再配置集中上网。
查询HUB1-1设备上的上网路由通过本地内网转发,公网地址8.8.8.8可以直接ping通。
<HUB1-1>display ip routing-table vpn-instance VPN1 0.0.0.0
Summary count : 2
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 3 0 20.1.10.1 GE3/4/0.1
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
<HUB1-1>ping -vpn-instance VPN1 8.8.8.8
Ping 8.8.8.8 (8.8.8.8): 56 data bytes, press CTRL_C to break
56 bytes from 8.8.8.8: icmp_seq=0 ttl=252 time=0.696 ms
56 bytes from 8.8.8.8: icmp_seq=1 ttl=252 time=0.310 ms
56 bytes from 8.8.8.8: icmp_seq=2 ttl=252 time=0.299 ms
56 bytes from 8.8.8.8: icmp_seq=3 ttl=252 time=0.301 ms
56 bytes from 8.8.8.8: icmp_seq=4 ttl=252 time=0.314 ms
--- Ping statistics for 8.8.8.8 in VPN instance VPN1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.299/0.384/0.696/0.156 ms
查询SPOKE1-1设备上的上网路由通过HQ1转发,公网地址8.8.8.8可以直接ping通。
<SPOKE1-1>display ip routing-table vpn-instance VPN1 0.0.0.0
Summary count : 3
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 BGP 5 0 6.1.1.1 Tun1
BGP 5 0 6.1.1.2 Tun4
BGP 5 0 6.1.1.2 Tun3
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
<SPOKE1-1>ping -vpn-instance VPN1 8.8.8.8
Ping 8.8.8.8 (8.8.8.8): 56 data bytes, press CTRL_C to break
56 bytes from 8.8.8.8: icmp_seq=0 ttl=250 time=0.976 ms
56 bytes from 8.8.8.8: icmp_seq=1 ttl=250 time=0.437 ms
56 bytes from 8.8.8.8: icmp_seq=2 ttl=250 time=0.435 ms
56 bytes from 8.8.8.8: icmp_seq=3 ttl=250 time=0.423 ms
56 bytes from 8.8.8.8: icmp_seq=4 ttl=250 time=0.460 ms
--- Ping statistics for 8.8.8.8 in VPN instance VPN1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.423/0.546/0.976/0.215 ms
查询SPOKE2-1设备上的上网路由通过本地WAN口转发,公网地址8.8.8.8可以直接ping通。
<SPOKE2-1>display ip routing-table vpn-instance VPN1 0.0.0.0
Summary count : 2
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 3 0 110.1.100.1 GE0/2
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
<SPOKE2-1>ping -vpn-instance VPN1 8.8.8.8
Ping 8.8.8.8 (8.8.8.8): 56 data bytes, press CTRL_C to break
56 bytes from 8.8.8.8: icmp_seq=0 ttl=255 time=0.797 ms
56 bytes from 8.8.8.8: icmp_seq=1 ttl=255 time=0.145 ms
56 bytes from 8.8.8.8: icmp_seq=2 ttl=255 time=0.113 ms
56 bytes from 8.8.8.8: icmp_seq=3 ttl=255 time=0.123 ms
56 bytes from 8.8.8.8: icmp_seq=4 ttl=255 time=0.108 ms
--- Ping statistics for 8.8.8.8 in VPN instance VPN1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.108/0.257/0.797/0.270 ms
查询SPOKE3设备上的上网路由通过本地WAN口转发,公网地址8.8.8.8可以直接ping通。
<SPOKE1-1>display ip routing-table vpn-instance VPN1 0.0.0.0
Summary count : 3
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 BGP 5 0 6.1.1.1 Tun1
BGP 5 0 6.1.1.1 Tun4
BGP 5 0 6.1.1.2 Tun3
BGP 5 0 6.1.1.2 Tun2
BGP 5 0 6.1.1.2 Tun5
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
<SPOKE2-1>ping -vpn-instance VPN1 8.8.8.8
Ping 8.8.8.8 (8.8.8.8): 56 data bytes, press CTRL_C to break
56 bytes from 8.8.8.8: icmp_seq=0 ttl=255 time=0.570 ms
56 bytes from 8.8.8.8: icmp_seq=1 ttl=255 time=0.248 ms
56 bytes from 8.8.8.8: icmp_seq=2 ttl=255 time=0.288 ms
56 bytes from 8.8.8.8: icmp_seq=3 ttl=255 time=0.226 ms
56 bytes from 8.8.8.8: icmp_seq=4 ttl=255 time=0.224 ms
--- Ping statistics for 8.8.8.8 in VPN instance VPN1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.224/0.311/0.570/0.131 ms
· 控制组件进行业务部署时,业务部署状态不会自动刷新,需要手动进行刷新确认最终部署状态。
· 路由模块不支持自动重试,如果有下发失败,需要手动重试。
· 创建LAN详情:如果选择了为某个接口创建子接口,则此接口下所有子接口都必须由控制组件创建。
· 配合方案使用时VSR必须安装对应的特性license授权函:LIS-VSR1000-AD,license申请和安装步骤请参考VSR对应手册。
· 本期上云方案只支持MSR26、MSR36、MSR800、MSR1000以及SR66的单设备,不支持堆叠设备。
· 已上线的设备,上线后解绑,解绑当日仍需扣除点数。
· License超期停用后,强制下线该License对应款型的所有设备。
· 设备只要在SD-WAN侧上过线,就占用License台数且扣点,但是上线当天就删除的设备,只有完成开局,才会扣除当日的点数。
· 告警日志自动删除31天前的告警数据,不论是否恢复。
请参考《SD-WAN 运维监控部署指导》。
支持
