· HQ1：由于控制组件部署在内网，两台Hub设备需要使用两个接口和LAN1互联，分别为管理口和LAN口。管理口不绑定VPN，使用OSPF协议和LAN1互联，主要用于打通和控制组件之间的管理通道。 LAN口绑定VPN，使用OSPF协议和LAN1互联，用于业务流量互通。LAN口通过OSPF学习内网路由，并重分布到BGP中发布给分支；从BGP学到的分支路由重分布到OSPF中，通过OSPF发布给LAN1。

· HQ2：由于控制组件部署在内网， Hub2设备需要使用两个接口和LAN2互联，分别为管理口和LAN口。管理口不绑定VPN，使用OSPF协议和LAN2互联，主要用于打通和控制组件之间的管理通道。 LAN口绑定VPN，使用OSPF协议和LAN2互联，用于业务流量互通。LAN口通过OSPF学习内网路由，并重分布到BGP中发布给分支；从BGP学到的分支路由重分布到OSPF中，通过OSPF发布给LAN2。

· Branch1：站点双网关的LAN口配置VRRP，内部终端的网关配置为VRRP虚地址，需要配置双网关路由同步；

· Branch2：单个LAN口接入LAN网络；

· Branch3：单个LAN口接入LAN网络；

· Branch4：站点双网关的LAN口配置VRRP，内部终端的网关配置为VRRP虚地址，需要配置双网关路由同步；

· Branch5：单个LAN口接入LAN网络；

· 对于站点双网关组网，如果通过VRRP或者静态路由方式接入LAN网络，每个业务VPN都需要配置双网关路由同步，否则链路故障后可能无法实现路径切换，配置可以参考5.9 双网关路由同步。

· Hub设备使用两个OSPF进程（分别属于公网和业务VPN）和LAN1网络建立OSPF邻居，两个进程需要配置不同的Router id，否则会导致路由问题，建议公网OSPF进程使用全局Router id，业务VPN的OSPF进程手动指定其它Router id。

· 如果LAN 接口使用二层交换模式或者使用 Vlan-lnterface 作为 LAN口(物理口工作在二层交换模式下)，路由器部分设备款型和板卡可能功能受限或影响转发性能，请关注设备对应的发布资料或咨询二线，确认对应设备款型和接口是否有限制。

· 使用二层接口作为LAN口时，路由器不支持跨版和跨框的二层聚合，如果必须使用请咨询二线。

2.2.4 WebSocket管理通道说明

· HQ1和HQ2：控制组件部署在内网，Hub设备使用管理口和LAN1互联，通过管理口注册上线。

· Branch1：Spoke1-1设备通过二层专线口打通到控制组件的Underlay路由，使用二层专线口注册上线。Spoke1-2设备支持两种注册方式：通过二层专线口打通到控制组件的Underlay路由，使用二层专线口注册上线；通过三层专线口打通到控制组件的Underlay路由，使用三层专线口注册上线。

· Branch2：两种注册方式：通过Internet口注册上线，注册地址为HQ1的NAT设备将控制组件北向虚地址映射的公网地址（映射端口TCP 19443）；通过三层专线口打通到控制组件的Underlay路由，使用三层专线口注册上线。

· Branch3：两种注册方式：通过Internet口注册上线，注册地址为HQ1的NAT设备将控制组件北向虚地址映射的公网地址（映射端口TCP 19443）；通过三层专线口打通到控制组件的Underlay路由，使用三层专线口注册上线。

· Branch4：Spoke4-1设备通过二层专线口打通到控制组件的Underlay路由，使用二层专线口注册上线。Spoke4-2设备支持两种注册方式：通过二层专线口打通到控制组件的Underlay路由，使用二层专线口注册上线；通过三层专线口打通到控制组件的Underlay路由，使用三层专线口注册上线。

· Branch5：两种注册方式：通过Internet口注册上线，注册地址为HQ1的NAT设备将控制组件北向虚地址映射的公网地址（映射端口TCP 19443）；通过三层专线口打通到控制组件的Underlay路由，使用三层专线口注册上线。

2.2.5 接入区规划

组网模型为三级组网，需要划分多个接入区，接入区规划如下：

· 接入区zone1：使用HQ1站点为RR，二级站点Branch1、Branch2和Branch3接入此接入区。单总部二级组网只需要规划接入区zone1。

· 接入区zone2：使用HQ2站点为RR，二级站点Branch1、Branch2和Branch3接入此接入区。双总部二级组网需要规划zone1和zone2。

· 接入区zone3：二级汇聚站点Branch1为RR，下挂的三级站点Branch4接入此接入区。

· 接入区zone4：二级汇聚站点Branch2为RR，下挂的三级站点Branch5接入此接入区。

2.2.6 区域拓扑规划

每个接入区针对业务VPN都需要创建一个区域拓扑，建议包含接入区内所有部署了对应VPN的站点。

双总部区域拓扑规划：

· 区域拓扑topo1：对应接入区zone1创建区域拓扑，区域RR设备为HQ1。配置分支站点Branch1、Branch2和Branch3接入。站点双总部组网为了指定二级站点优选的区域拓扑策略，分支站点接入时配置区域本地优先级为200，分支间互通优选此区域拓扑。

· 区域拓扑topo2：对应接入区zone2创建区域拓扑，区域RR设备为HQ2。配置分支站点Branch1、Branch2和Branch3接入。站点双总部组网为了指定二级站点优选的区域拓扑策略，分支站点接入时不修改区域本地优先级（缺省为100），分支间互通备选此区域拓扑。

如果区域topo1和区域拓扑topo2都配置了Hub-Spoke模型，分支间互访会优选topo1中的中心站点HQ1互通。当topo1中的中心站点/RR故障时，会备选topo2中的重点站点HQ2互通。建议两个总部发布不同的明细路由，如果发布相同的路由，则优先HQ1总部。

二级汇聚站点区域规划：

· 区域拓扑topo3：对应接入区zone3创建区域拓扑，区域RR设备为Branch1。配置分支站点Branch4接入。

· 区域拓扑topo4：对应接入区zone4创建区域拓扑，区域RR设备为Branch2。配置分支站点Branch5接入。

2.2.7 区域互联规划

区域拓扑可以实现区域内互通，区域间互通需要指定边界站点，通过边界站点转发互通。边界站点需要属于两个区域拓扑。

针对三级组网必须配置区域互联，区域互联规划如下：

· 区域拓扑topo1和区域拓扑topo3之间配置边界站点为Branch1；

· 区域拓扑topo2和区域拓扑topo3之间配置边界站点为Branch1；

· 区域拓扑topo1和区域拓扑topo4之间配置边界站点为Branch2；

· 区域拓扑topo2和区域拓扑topo4之间配置边界站点为Branch2；

区域拓扑topo3和topo4之间无直连，因此不需要创建区域互联，通过topo1/topo2互通。

2.3 设备接口地址和Underlay网络参数说明

各设备对应的接口地址规划参考表2-1。

表2-1 设备节点地址规划

设备	接口	接口地址	对端设备	对端接口	对端地址	备注
Hub1-1	GE2/0.1	172.1.1.1/24	LAN1		172.1.1.2	管理网络
	GE2/0.2	20.1.10.2/24 2000:2::2/64	LAN1		20.1.10.1 2000:2::1	VPN1的LAN口
	GE3/0	30.1.1.1/24	Hub1-2	GE3/0	30.1.1.2	横穿链路
	GE4/0	172.1.3.1/24	NAT	GE2/0	17.1.3.2	互联网线路
	GE5/0	172.1.5.1/24	Spoke1-1	GE3/0	172.1.5.2	二层专线
Hub1-2	GE2/0.1	172.1.2.1/24	LAN1		172.1.2.2	管理网络
	GE2/0.2	20.1.11.2/24 2000:3::2/64	LAN1		20.1.11.1 2000:3::1	VPN1的LAN口
	GE3/0	30.1.1.2	Hub1-1	GE3/0	30.1.1.1	横穿链路
	GE4/0	172.1.4.1/24	NAT	GE3/0	17.1.4.2	互联网线路
	GE5/0	172.1.6.1/24	Spoke2-1	GE3/0	172.1.6.2	二层专线
	GE6/0	173.1.1.1/24	MPLS		173.1.1.2	三层专线
NAT	GE2/0	172.1.3.2/24	Hub1-1	GE4/0	172.1.3.1
	GE3/0	172.1.4.2/24	Hub1-2	GE4/0	172.1.4.1
	GE4/0	110.1.1.1/24	Internet		110.1.1.2	Internet公网出口
	GE5/0	110.1.2.1/24	Internet		110.1.2.2	Internet公网出口
Hub2	GE2/0.1	172.1.10.1/24	LAN2		172.1.10.2	管理网络
	GE2/0.2	20.1.20.2/24 2000:4::2/64	LAN2		20.1.20.1 2000:4::1	VPN1的LAN口
	GE3/0	173.1.4.1/24	MPLS		173.1.4.2	三层专线
	GE4/0	110.1.3.1/24	Internet		110.1.3.2	互联网线路
	GE5/0	174.1.1.1/24	VPDN		174.1.1.2	VPDN网络
Spoke1-1	GE2/0	20.1.2.2/24 2001::2/64	LAN3			VPN1的LAN口 VRRP （主） 20.1.2.1 2001::1
	GE3/0	172.1.5.2/24	Hub1-1	GE3/0	172.1.5.1	二层专线
	GE4/0	30.1.2.1/24	Spoke1-2	GE4/0	30.1.2.2	横穿链路
	GE4/0.1	20.2.21.1/24 2001:2::1/64	Spoke1-2	GE4/0.1	20.2.21.2 2001:2::2	VPN1的LAN口横穿路由同步
	GE5/0	172.1.5.1/24	Spoke4-2	GE3/0	172.1.5.2	二层专线
	GE6/0	172.1.7.1/24	Spoke4-1	GE3/0	172.1.7.2	二层专线
Spoke1-2	GE2/0	20.1.2.3/24 2001::3/64	LAN3			VPN1的LAN口 VRRP: (备) 20.1.2.1 2001::1
	GE3/0	172.1.6.2/24	Hub1-2	GE3/0	172.1.6.1	二层专线
	GE4/0	30.1.2.2/24	Spoke1-1	GE4/0	30.1.2.1	横穿链路
	GE4/0.1	20.2.21.2/24 2001:2::2/64	Spoke1-1	GE0/1.1	20.2.21.1 2001:2::1	VPN1的LAN口横穿路由同步
	GE5/0	11.1.6.2/24	Hub1-2	GE3/0	11.1.6.1	二层专线
	GE5/0	172.1.8.1/24	Spoke4-2	GE3/0	172.1.8.2	二层专线
	GE6/0	173.1.2.1/24	MPLS		173.1.2.2	三层专线
Spoke2	GE2/0	20.1.3.1/24 2002::1/64	LAN4
	GE3/0	173.1.5.1/24	MPLS		173.1.5.2	三层专线
	GE4/0	110.1.4.1/24	Internet		110.1.4.2	Internet专线
	GE5/0	110.1.7.1/24	Internet		110.1.7.2	Internet专线
Spoke3	GE2/0	20.1.4.1/24 2003::1/24	LAN5			VPN1的LAN口
	GE3/0	173.1.6.1/24	MPLS		173.1.6.2	三层专线
	GE4/0	DHCP	Internet			Internet专线
	GE5/0	Dialer1	VPDN			VPDN网络
Spoke4-1	GE2/0	20.1.5.2/24 2004::2/64	LAN6			VPN1的LAN口 VRRP （主） 20.1.5.1 2004::1
	GE3/0	172.1.7.2/24	Spoke1-1	GE3/0	172.1.5.1	二层专线
	GE4/0	30.1.3.1/24	Spoke4-2	GE4/0	30.1.3.2	横穿链路
	GE4/0.1	20.2.22.1/24 2001:3::1/64	Spoke4-2	GE4/0.1	20.2.22.2 2001:3::2	VPN1的LAN口横穿路由同步
Spoke4-2	GE2/0	20.1.5.3/24 2004::3/64	LAN6			VPN1的LAN口 VRRP （主） 20.1.5.1 2004::1
	GE3/0	172.1.8.2/24	Spoke1-2	GE3/0	172.1.8.1	二层专线
	GE4/0	30.1.3.2/24	Spoke4-1	GE4/0	30.1.3.1	横穿链路
	GE4/0.1	20.2.22.2/24 2001:3::2/64	Spoke4-1	GE4/0.1	20.2.22.1 2001:3::1	VPN1的LAN口横穿路由同步
	GE5/0	173.1.3.1	MPLS		173.1.3.2	三层专线
Spoke5	GE2/0	20.1.6.1/24 2005::1/24	LAN7			VPN1的LAN口
	GE3/0	173.1.7.1/24	MPLS		173.1.7.2	三层专线
	GE4/0	Dialer1	Internet			Internet专线

2.4 NAT地址映射配置说明

NAT使用端口映射方式，将私网地址+端口映射到对应的公网地址+端口，需要配置NAT映射关系参考表2-2。

表2-2 NAT映射关系说明

功能	设备	接口	协议	外部地址: 端口	内网地址: 端口	备注
控制器映射	NAT	GE4/0	TCP	110.1.1.1: 19443	控制组件北向虚地址: 19443	WebSocket注册
		GE4/0	TCP	110.1.1.1: 35000	控制组件北向虚地址: 35000	设备配置备份和升级使用
		GE5/0	TCP	110.1.2.1: 19443	控制组件北向虚地址: 19443	WebSocket注册
		GE5/0	TCP	110.1.2.1: 35000	控制组件北向虚地址: 35000	设备配置备份和升级使用
总部设备映射		GE4/0	TCP	110.1.2.1: 2004	172.1.3.1: 2004	CPE和RR之间建立SSL连接端口支持自定义，缺省为2004
			UDP	110.1.1.1: 4799	172.1.3.1: 4799	缺省SDWAN隧道封装端口映射
			UDP	110.1.1.1: 12288	172.1.3.1: 12288	基于Group ID的SDWAN隧道封装端口映射
			UDP	110.1.1.1: 12289	172.1.3.1: 12289	基于Group ID的SDWAN隧道封装端口映射
			UDP	110.1.1.1: 12290	172.1.3.1: 12290	基于Group ID的SDWAN隧道封装端口映射
			UDP	110.1.1.1: 12291	172.1.3.1: 12291	基于Group ID的SDWAN隧道封装端口映射
		GE5/0	TCP	110.1.2.1: 2004	172.1.4.1: 2004	CPE和RR之间建立SSL连接端口支持自定义，缺省为2004
			UDP	110.1.2.1: 4799	172.1.4.1: 4799	缺省SDWAN隧道封装端口映射
			UDP	110.1.2.1: 12288	172.1.4.1: 12288	基于Group ID的SDWAN隧道封装端口映射
			UDP	110.1.2.1: 12289	172.1.4.1: 12289	基于Group ID的SDWAN隧道封装端口映射
			UDP	110.1.2.1: 12290	172.1.4.1: 12290	基于Group ID的SDWAN隧道封装端口映射
			UDP	110.1.2.1: 12291	172.1.4.1: 12291	基于Group ID的SDWAN隧道封装端口映射

总部防火墙配置NAT端口映射，需要配置私网地址+业务端口和公网地址+业务端口的1:1映射变换，NAT变换中业务端口不允许修改。保证私网访问公网时，源私网地址+业务端口可以变换为对应的公网地址+业务端口；公网访问私网时，目的公网地址+业务端口可以变换为对应的私网地址+业务端口。

NAT关键配置：

interface GigabitEthernet4/0

port link-mode route

ip address 110.1.1.1 255.255.255.0

ip last-hop hold

nat server protocol tcp global current-interface 2004 inside 172.1.3.1 2004 reversible

nat server protocol tcp global current-interface 19443 inside 192.168.40.155 19443

nat server protocol tcp global current-interface 35000 inside 192.168.40.155 35000

nat server protocol udp global current-interface 4799 inside 172.1.3.1 4799 reversible //需要配置reversible，保证双向地址变换

nat server protocol udp global current-interface 12288 inside 172.1.3.1 12288 reversible //需要配置reversible，保证双向地址变换

nat server protocol udp global current-interface 12289 inside 172.1.3.1 12289 reversible //需要配置reversible，保证双向地址变换

nat server protocol udp global current-interface 12290 inside 172.1.3.1 12290 reversible //需要配置reversible，保证双向地址变换

nat server protocol udp global current-interface 12291 inside 172.1.3.1 12291 reversible //需要配置reversible，保证双向地址变换

interface GigabitEthernet5/0

port link-mode route

ip address 110.1.2.1 255.255.255.0

ip last-hop hold

nat server protocol tcp global current-interface 2004 inside 172.1.4.1 2004 reversible

nat server protocol tcp global current-interface 19443 inside 192.168.40.155 19443

nat server protocol tcp global current-interface 35000 inside 192.168.40.155 35000

nat server protocol udp global current-interface 4799 inside 172.1.4.1 4799 reversible //需要配置reversible，保证双向地址变换

nat server protocol udp global current-interface 12288 inside 172.1.4.1 12288 reversible //需要配置reversible，保证双向地址变换

nat server protocol udp global current-interface 12289 inside 172.1.4.1 12289 reversible //需要配置reversible，保证双向地址变换

nat server protocol udp global current-interface 12290 inside 172.1.4.1 12290 reversible //需要配置reversible，保证双向地址变换

nat server protocol udp global current-interface 12291 inside 172.1.4.1 12291 reversible //需要配置reversible，保证双向地址变换

2.5 防火墙端口放通规则

如果设备和控制组件之间有防火墙，需要放通对应的服务端口保证控制组件对设备的纳管，放通端口参考表2-3。

表2-3 控制组件和设备间放通的端口

协议	源地址	源端口	目的地址	目的端口	说明
TCP	设备注册接口地址	Any	控制组件统一北向地址	19443	设备Websocket注册使用
TCP	设备注册接口地址	Any	控制组件统一北向地址	35000	设备版本升级使用
UDP	服务器节点IP+统一北向地址	Any	设备管理地址	161	如果需要使用SNMP网管，需要放通SNMP网管业务访问端口
UDP	设备管理地址	Any	控制组件统一北向地址	162	如果需要使用SNMP网管，需要放通SNMP网管业务访问端口
UDP	设备NTP同步源地址	Any	控制器组件统一北向地址	123	如果和控制器同步NTP时间，需要放通NTP服务端口

如果CPE和RR之间有防火墙，需要放通对应的服务端口保证Overlay链路（TTE连接）可以正常建立，放通端口参考表2-4。

表2-4 RR和CPE之间放通的端口

协议	源地址	源端口	目的地址	目的端口	说明
TCP	CPE WAN口地址 Any	Any	RR WAN口地址	2004	TLS连接使用的端口，用户可以自定义修改，修改方法参考4.2.1 基础配置
UDP	CPE WAN口地址 Any	4799 Any	RR WAN口地址	4799	缺省平面使用的端口号，如果使用缺省平面需要放通；如果CPE为私网地址，通过NAT变换为公网地址和RR互通，源地址和端口都可能变化，需要匹配Any
UDP	CPE WAN口地址 Any	12288～12543 Any	RR WAN口地址	12288～12543	自定义平面使用端口号，1对1放通。自定义平面配置参考4.3 WAN网络配置如果CPE为私网地址，通过NAT变换为公网地址和RR互通，源地址和端口都可能变化，需要匹配Any
UDP	RR WAN口地址	4799	CPE WAN口地址	4799	缺省平面使用的端口号，如果使用缺省平面需要放通；如果CPE为公网地址，RR会主动进行TTE协商，也需要放通。
UDP	RR WAN口地址	12288～12543	CPE WAN口地址	12288～12543	自定义平面使用端口号，1对1放通。自定义平面配置参考4.3 WAN网络配置如果CPE为公网地址，RR会主动进行TTE协商，也需要放通。

如果CPE1和CPE2之间需要直接建立连接且中间有防火墙，需要放通对应的服务端口保证Overlay链路（TTE连接）可以正常建立，放通端口参考表2-5。

表2-5 CPE之间放通的端口

协议	源地址	源端口	目的地址	目的端口	说明
UDP	CPE1的WAN口地址 Any	4799 Any	CPE2的WAN口地址	4799	缺省平面使用的端口号，如果使用缺省平面需要放通；如果CPE1为私网地址，通过NAT变换为公网地址和CPE2互通，源地址和端口都可能变化，需要匹配Any
UDP	CPE1的WAN口地址 Any	12288～12543 Any	CPE2的WAN口地址	12288～12543	自定义平面使用端口号，1对1放通。自定义平面配置参考4.3 WAN网络配置 CPE1和CPE2需要有一端为固定公网地址，如果CPE1为私网地址，通过NAT变换为公网地址和CPE2互通，源地址和端口都可能变化，需要匹配Any
UDP	CPE2的WAN口地址	4799	CPE1的WAN口地址	4799	缺省平面使用的端口号，如果使用缺省平面需要放通；如果CPE1和CPE2都使用固定公网地址，两边都会主动进行TTE协商，反向报文也需要放通。
UDP	CPE2的WAN口地址	12288～12543 Any	CPE1的WAN口地址	12288～12543	自定义平面使用端口号，1对1放通。自定义平面配置参考4.3 WAN网络配置如果CPE1和CPE2都使用固定公网地址，两边都会主动进行TTE协商，反向报文也需要放通。

2.6 资源池规划

分支设备自动化部署上线前可以先对网络进行规划，申请网络需要使用的资源池，参考表2-6。

表2-6 资源池规划

地址池	地址数量需求	地址池规划
System IP地址池	可以通过地址池分配或手动指定，每台设备需要分配或指定一个System IP。地址池数量需求>=实际设备数量	假设未来规划10台设备，地址数量需要大于10 地址池：7.1.1.11~7.1.1.255 掩码长度：24
站点上网地址池	应用集中上网使用，一个VPN需要规划一个地址池。地址数量需求：一个应用集中上网站点需要分配一个地址；站点双网关配置站点上网路由同步，一个上网口需要分配一个地址。地址池数量需求>=应用集中上网站点数量+配置站点上网路由同步的站点双网关的上网口数量	VPN1应用上网地址池：172.16.1.1~ 172.16.1.100 掩码长度：24

地址池

地址数量需求

地址池规划

System IP地址池

可以通过地址池分配或手动指定，每台设备需要分配或指定一个System IP。

地址池数量需求>=实际设备数量

假设未来规划10台设备，地址数量需要大于10

地址池：7.1.1.11~7.1.1.255

掩码长度：24

站点上网地址池

应用集中上网使用，一个VPN需要规划一个地址池。地址数量需求：一个应用集中上网站点需要分配一个地址；站点双网关配置站点上网路由同步，一个上网口需要分配一个地址。

地址池数量需求>=应用集中上网站点数量+配置站点上网路由同步的站点双网关的上网口数量

VPN1应用上网地址池：172.16.1.1~ 172.16.1.100

掩码长度：24

· 所有资源池都支持扩展，初始部署时需要尽量满足现网要求。

· 站点上网地址池需要保证和用户业务网段不重叠，否则应用集中上网可能转发异常

2.7 总部设备手动开局初始配置

一般总部设备需要手工上线，Underlay网络配置需要手动增加。

设备上线前不能添加控制组件需要下发的配置，如rir配置，sdwan配置等。如果设备有相关配置，需要先清空相关配置后再上线，例如设备被控制组件纳管过，在控制组件上删除设备后并不会自动清除设备配置，需要手动将设备配置回退到初始配置后再上线。

2.7.1 Hub1-1设备的Underlay配置说明

1. 接口配置

interface GigabitEthernet2/0.1 //管理口地址配置

port link-mode route

ip address 172.1.1.2 255.255.255.0

ospf cost 10

vlan-type dot1q vid 201

interface GigabitEthernet4/0 //二层专线接口配置

port link-mode route

ip address 172.1.3.1 255.255.255.0

ospf cost 100

interface GigabitEthernet3/4/3 //防火墙互联接口配置

port link-mode route

ip address 172.1.5.1 255.255.255.0

2. 路由配置

ospf 1 router-id 172.1.1.2 //管理网、二层专线、打通防火墙路由

area 0.0.0.0

network 172.1.1.2 0.0.0.0

network 172.1.3.1 0.0.0.0

area 0.0.0.10

network 172.1.5.1 0.0.0.0

3. WebSocket注册配置

dns proxy enable

cloud-management server domain 192.168.40.155 //WebSocket注册的配置

cloud-management keepalive 60

4. NTP配置

对于手工开局，可以手动添加NTP相关配置，总部设备推荐和控制组件进行时间同步，相关配置：

clock protocol ntp mdc 1 //对于SR66设备需要指定mdc编号，

clock protocol ntp // MSR、VSR设备不需要指定mdc

ntp-service enable

ntp-service unicast-server 192.168.40.155

2.7.2 Hub1-2设备的Underlay配置说明

1. 接口配置

interface GigabitEthernet2/0.1 //管理口地址配置

port link-mode route

ip address 172.1.2.2 255.255.255.0

ospf cost 20

vlan-type dot1q vid 202

interface GigabitEthernet4/0 //二层专线接口配置

port link-mode route

ip address 172.1.4.1 255.255.255.0

ospf cost 100

interface GigabitEthernet5/0 //防火墙互联接口配置

port link-mode route

ip address 172.1.6.1 255.255.255.0

接入三层专线的接口配置先不用手动下发，后续使用控制组件的WebSocket开局方式进行部署。

2. 路由配置

ospf 1 router-id 172.1.2.2 //管理网、二层专线、打通防火墙路由。

area 0.0.0.0

network 172.1.2.2 0.0.0.0

network 172.1.4.1 0.0.0.0

area 0.0.0.10

network 172.1.5.1 0.0.0.0

接入三层专线的路由配置先不用手动下发，后续使用控制组件的WebSocket开局方式进行部署，包括Fake AS配置，统一通过控制组件下发配置。

3. WebSocket注册配置

dns proxy enable

cloud-management server domain 192.168.40.155 //WebSocket注册的配置

cloud-management keepalive 60

4. NTP配置

对于手工开局，可以手动添加NTP相关配置，总部设备推荐和控制组件进行时间同步，相关配置：

clock protocol ntp mdc 1 //对于SR66设备需要指定mdc编号，

clock protocol ntp // MSR、VSR设备不需要指定mdc

ntp-service enable

ntp-service unicast-server 192.168.40.155

2.7.3 Hub2设备的Underlay配置说明

1. 接口配置

interface GigabitEthernet2/0.1 //管理口地址配置

port link-mode route

ip address 172.1.10.2 255.255.255.0

vlan-type dot1q vid 203

interface GigabitEthernet3/0 //三层专线接口配置

port link-mode route

ip address 173.1.4.1 255.255.255.0

interface GigabitEthernet4/0 //Internet接口配置

port link-mode route

ip address 110.1.3.1 255.255.255.0

interface GigabitEthernet5/0 //VPDN接入

port link-mode route

ip address 174.1.1.1 255.255.255.0

2. 路由配置

ip route-static 0.0.0.0 0 110.1.3.2 //上网静态路由

ospf 1 router-id 172.1.10.1 //打通管理网路由

area 0.0.0.0

network 172.1.10.2 0.0.0.0

ospf 2 router-id 173.1.4.1 //打通三层专线路由

area 0.0.0.0

network 173.1.4.1 0.0.0.0

3. WebSocket注册配置

dns proxy enable

cloud-management server domain 192.168.40.155 //WebSocket注册的配置

cloud-management keepalive 60

4. NTP配置

对于手工开局，可以手动添加NTP相关配置，总部设备推荐和控制组件进行时间同步，相关配置：

clock protocol ntp mdc 1 //对于SR66设备需要指定mdc编号，

clock protocol ntp // MSR、VSR设备不需要指定mdc

tp-service enable

ntp-service unicast-server 192.168.40.155

2.7.4 防火墙作为Hub设备配置说明

使用防火墙作为Hub设备，除了接口配置、路由配置和WebSocket注册配置外，还需要以下额外手工配置。

1. 安全策略配置

防火墙必须配置基础的安全策略才能保证设备和控制组件之间的通信以及基础SDWAN业务互通。放通安全策略如下：

(1) 指定注册的控制器地址，放通设备到控制器的访问。

(2) 放通WAN口和Local区域的互访，保证SDWAN基础业务（TLS、TTE建立）互通。

具体配置举例：

security-zone name AdwanUntrustPublic

import interface GigabitEthernet3/4/2 //WAN口

import interface GigabitEthernet3/4/3

import ip 192.168.40.155 32 // Websocket注册地址，统一北向地址或公网映射地址

security-policy ip

rule 61001 name sdwan-out //出方向策略：允许设备注册以及通过WAN口主动发起的SDWAN请求

action pass

counting enable

source-zone Local

destination-zone AdwanUntrustPublic

rule 61002 name sdwan-in //入方向策略：允许通过WAN口接收的SDWAN请求

action pass

counting enable

source-zone AdwanUntrustPublic

destination-zone Local

2. NTP配置

对于手工开局，可以手动添加NTP相关配置，总部设备推荐和控制组件进行时间同步，相关配置。

clock protocol ntp //VFW和F1000-AI-25以下款型不支持context

clock protocol ntp context 1 //F1000-AI-25及以上款型防火墙，需要指定context编号,目前只支持context1

ntp-service enable

ntp-service unicast-server 192.168.40.155

2.8 防火墙堆叠配置说明

为了保障可靠性防火墙建议使用堆叠组网并配合聚合口使用。防火墙使用堆叠组网后需要手动添加如下配置。

2.8.1 配置会话备份

防火墙堆叠后需要添加以下会话备份命令：

session synchronization enable

session synchronization dns http

如果使用防火墙使用其它业务功能，请确认对应功能在堆叠场景下是否需要启用会话备份功能。

2.8.2 聚合口配置

1. 防火墙聚合口配置

为了保证流量通过单个防火墙转发，需要配置聚合口物理成员口最大选中一个，并配置接口联动，保证选中的成员口属于同一台防火墙。聚合口组网如图2-2所示。

图2-2 聚合口组网

聚合口说明：

· 防火墙FW1和FW2配置堆叠；

· SW1为内网交换机，堆叠防火墙使用聚合口RAGG3连接内网交换机(LAN口)，成员口为GE1/0/4和GE2/0/4；

· SW2为公网交换机，堆叠防护墙使用聚合口RAGG2和RAGG3连接公网交换机（两个WAN口），其中RAGG1的成员口为GE1/0/1和GE2/0/1，RAGG2的成员口为GE1/0/25和GE2/0/15；

聚合口要求配置为动态聚合且只选中一个成员口，为了保证流量通过一台防火墙转发，需要配置联动组。具体配置如下：

collaboration-group 1 //创建接口联动组1

聚合口1相关配置：

interface GigabitEthernet1/0/1

port link-mode route

port collaboration-group 1 //加入接口联动组1

link-aggregation port-priority 10 //配置优先级10，优选此接口（数值越小越优）

port link-aggregation group 1 //加入聚合口1

interface GigabitEthernet2/0/1

port link-mode route

link-aggregation port-priority 100 //配置优先级100，备选此接口（数值越小越优）

port link-aggregation group 1 //加入聚合口1

interface Route-Aggregation1

bandwidth 300000

ip address 183.242.86.201 255.255.255.240

link-aggregation mode dynamic //聚合口模式为动态聚合口

link-aggregation selected-port maximum 1 //聚合成员口最大选中1

聚合口2相关配置：

interface GigabitEthernet1/0/15

port link-mode route

port collaboration-group 1 ///加入接口联动组1

link-aggregation port-priority 10 //配置优先级10，优选此接口

port link-aggregation group 2 //加入聚合口2

interface GigabitEthernet2/0/15

port link-mode route

link-aggregation port-priority 100 //配置优先级100，备选此接口

port link-aggregation group 2 //加入聚合口2

interface Route-Aggregation2

bandwidth 100000

ip address 103.159.124.203 255.255.255.248

link-aggregation mode dynamic //聚合口模式为动态聚合口

link-aggregation selected-port maximum 1 //聚合成员口最大选中1

聚合口3相关配置：

interface GigabitEthernet1/0/4

port link-mode route

port collaboration-group 1 //加入接口联动组1

link-aggregation port-priority 10 //配置优先级10

port link-aggregation group 3 //加入聚合口3

interface GigabitEthernet2/0/4

port link-mode route

link-aggregation port-priority 100 //配置优先级100

port link-aggregation group 3 //加入聚合口3

interface Route-Aggregation3

description LAN interface

ip binding vpn-instance vpn1

ip address 10.20.1.20 255.255.255.248

link-aggregation mode dynamic //聚合口模式为动态聚合口

link-aggregation selected-port maximum 1 //聚合成员口最大选中1

2. 交换机聚合口配置

以SW1为例，说明交换机聚合口配置。

聚合口说明：

· 交换机使用二层聚合口BAGG1对接防火墙；

· 交换机GE1/5/0和GE1/5/1加入二层，其中GE1/5/0为优选接口，对接防火墙优选接口，GE1/5/1为备选接口，对接防火墙备选接口。

交换机对接配置举例：

interface Bridge-Aggregation1

link-aggregation mode dynamic----配置动态聚合

link-aggregation selected-port maximum 1----配置最大选中1

interface GigabitEthernet1/5/0

port link-mode bridge

link-aggregation port-priority 10----配置高优成员口优先级，（数值越小越优，与防火墙高优成员口对应）

port link-aggregation group 1

interface GigabitEthernet1/5/1

port link-mode bridge

link-aggregation port-priority 100----配置备选成员口优先级，（与防火墙备选成员口对应）

port link-aggregation group 1

return

3 系统和租户配置

3.1 登录统一数字底盘

控制组件安装完成后会自动创建“System”租户，使用该租户缺省的系统管理组账号（admin）登录控制组件页面，具体登录方式如下：

(1) 在浏览器中输入登录地址（默认登录地址http://ip_address:30000/central），回车后进入登录界面，如图3-1所示。其中，ip_address为统一数字底盘的北向业务虚IP地址，30000为端口号。

(2) 输入操作员名称和密码，缺省密码为Pwd@12345。可以在该用户下进行业务配置，也可以使用手动创建的租户业务管理员进行业务配置。

图3-1 统一数字底盘登录页面

3.2 配置邮件服务器（可选）

若使用邮件开局通过需要通过邮件发送告警信息，则需要配置邮件服务器，否则可以跳过此步骤。

(1) 使用缺省系统管理员（admin）登录统一数字底盘，进入[系统>系统配置>邮件服务器配置]页面。

(2) 单击<修改>按钮，填写邮件服务器域名或者IP地址及对应端口（默认端口为25），验证用户名/密码和发件人邮箱地址，如图3-2所示，单击<确定>按钮保存配置。

图3-2 邮件服务器信息

(3) 配置完成后，单击<发送测试邮件>按钮，会向发件人邮件地址发送一封测试邮件，可以测试邮件服务器配置是否正常。

3.3 创建租户（可选）

控制组件安装完成后会自动创建“System”租户，可以直接使用该租户纳管设备并完成业务部署。

用户也可以手动创建一个租户，使用创建租户的业务管理员完成设备纳管和业务部署。

(1) 使用缺省系统管理员（admin）登录统一数字底盘，进入[系统>租户管理>租户管理]页面，如图3-3所示。

图3-3 租户管理页面

(2) 单击“System”租户后面的按钮，增加一个新的租户，如图3-4所示，单击<确定>按钮完成配置。

图3-4 增加租户

关键参数说明：

¡ 租户名称：创建的租户名称，本例中为“SDWAN”。

¡ 租户类型：选择普通租户。

¡ 初始化组织：选择当前租户的系统预置角色组，若同时选择创建租户管理员，则租户管理员的角色组会根据是否选择了“初始化角色组”确定，未选择时为“初始化角色组”下拉框中的第一个，选择了角色组时，为所选框显示的第一个角色组。默认拷贝当前租户下的所有预置角色组到新建的租户内。

¡ 机构名称：该租户下的顶级机构的名，默认和租户名称保持相同。

¡ 创建租户管理员：选择是否创建租户管理员。若选择启用，则增加一个操作员作为该租户的系统管理员。

· 删除租户时会校验对应租户下是否有设备和VPN，如果有设备和VPN则不允许删除。

· 控制器异常时（例如控制器升级时）由于无法校验控制器中是否有设备和VPN，请不要删除租户，否则可能会导致控制器数据残留，需要后台清除。

3.4 创建租户管理员（可选）

用户创建租户后，需要使用该租户的业务管理员完成业务部署。

(1) 使用缺省系统管理员（admin）登录统一数字底盘，进入[系统>操作员管理>操作员列表]页面，如图3-5所示，可以查看当前租户的操作员列表。

图3-5 操作员列表

(2) 单击<增加>按钮，配置相关参数，如图3-6所示，单击<确定>按钮完成配置。

图3-6 增加操作员

关键参数说明：

¡ 操作员名称：登录时使用的操作员名称，本例中为“sdwan”。

¡ 租户：设备纳管和业务部署使用的租户，本例中选择3.3 创建租户（可选）创建的租户“SDWAN”。

¡ 机构：选择机构“SDWAN”。

¡ 认证方式：可选的认证方式有简单密码认证、RADIUS认证、LDAP认证、TACACS认证和第三方认证。本例中选择“简单密码认证”，并且设置相关的登录密码。

¡ 人员归组：系统有4个预置组织，其中“业务管理组”和“系统管理组”都可以部署业务。本例中选择“系统管理组”，将授予操作员系统管理组的相关权限。

4 设备上线规划

4.1 配置流程

首先进行设备上线规划，参考组网图完成所有设备注册上线，其中HQ1和HQ2总部设备通过手动方式完成开局部署，分支设备通过U盘/邮件方式完成开局部署。

本节中使用租户业务管理员（sdwan）登录统一数字底盘，相关配置参考3.3 创建租户（可选）和3.4 创建租户管理员（可选）。

设备上线规划可以通过配置向导完成相关配置，也可以在自动化菜单中进行相关设置。设备上线规划配置流程图如图4-1所示。

图4-1 设备上线规划配置流程图

4.2 全局配置

全局配置为控制组件的基础配置，新开局时需要优先完成配置。建议通过配置向导完成相关配置。

4.2.1 基础配置

进入[向导>分支网络向导>设备上线规划>全局配置>基础配置]页面，配置BGP AS号、System IP口编号和SDWAN Server端口号，如图4-2所示，单击<确定>按钮保存配置。

图4-2 基础配置

关键参数说明：

· BGP AS号：控制组件向设备下发BGP配置时使用的AS号，每个租户唯一。

· 管理口：是否创建管理Loopback口，配合管理VPN使用，选择开启。

· 管理Loopback口编号：控制组件为设备分配管理Loopback接口时使用的接口编号。

· System IP口编号：控制组件为设备分配System IP对应的Loopback接口时使用的接口编号。

· SDWAN Server端口号：接区RR与接入CPE之间建立TLS连接时使用的端口号，缺省值为2004，用户可以自定义修改。

· 开启管理口才能配置管理VPN，并在管理VPN中为每台设备下发Loopback管理口和管理地址，管理VPN配置参考VPN管理。

· Overlay链路（TTE连接）建立完成后，修改SDWAN Server端口号会导致RR与CPE之间的TLS连接断开再重新建立，设备之间所有Overlay链路（TTE连接）都会断开重建，会影响Overlay流量转发。

用户也可以进入[自动化>分支网络>参数配置>全局配置 >基础配置]页面查询或进行相关配置。

4.2.2 IP地址池配置

进入[向导>分支网络向导>设备上线规划>全局配置>IP地址配置]页面，包含System IP地址池和站点上网地址池，单击<增加>按钮，可以增加对应资源池。根据2.6 资源池规划完成相关配置，如图4-3所示，单击<确定>按钮保存配置。

图4-3 配置IP地址池

用户可以进入[自动化>分支网络>参数配置>全局配置 >IP地址池]页面查询或进行相关配置，手动添加地址池时，根据需要选择地址池类型为“System IP接口”或“站点上网”，如图4-4所示。

图4-4 IP地址池

4.2.3 IPsec配置

进入[向导>分支网络向导>设备上线规划>全局配置>IPsec配置]页面进行IPsec配置，如图4-5所示，单击<确定>按钮保存配置。

图4-5 IPsec配置

关键参数说明：

· 抗重放检测：方案建议关闭抗重放检测功能，否则配合Qos保障可能出现断流。

· 加密方案：支持五种加密方案，包括自定义加密方案。本例中使用推荐加密方案。

配置完成后，可以在[自动化>分支网络>参数配置>全局配置>IPsec配置]页面查看对应IPsec方案配置，当配置了IPsec加密的WAN详情都删除后，支持修改IPsec加密方案。

· 全网只能选择一种IPsec加密方案。国密硬件加密方案需要使用单独的硬件加密卡，如果选择此加密方案，必须保证所有需要建立IPsec的设备都有对应的硬件加密卡，否则会导致IPsec建立失败，流量无法转发。

· 建议关闭IPsec抗重放检测功能，否则配合Qos应用保障可能出现断流。

4.2.4 运维配置

进入[向导>分支网络向导>设备上线规划>全局配置>运维配置]页面或者[自动化>分支网络>参数配置>运维配置>运维参数配置]页面，完成“全局质量探测和流量采集配置”和“控制组件质量探测和流量采集配置”，如图4-6所示；修改全局BFD模板参数，如图4-7所示；修改“链路质量评估值”如图4-8所示；修改各项配置参数后均需单独单击<确定>按钮保存。

图4-6 设备质量探测和流量采集配置

图4-7 全局BFD配置

图4-8 链路质量评估

设备质量探测和流量采集配置：根据组网规模可以直接选择对应的运维精度，不同运维对应的全局参数不同。用户也可以选择自定义运维参数。此运维参数会下发到设备，设备按照此运维参数进行探测和选路，具体运维参数说明如下：

· 链路质量探测周期：SDWAN隧道的链路质量探测的周期。

· 接口流量采集周期：设备接口流量统计时间，单位为秒。

· 选路调整周期：为防止频繁选路，可指定RIR智能选路的调整周期，当链路质量或带宽不满要求时，需要延后此周期再进行选路单位为秒。

· 选路调整抑制周期：为防止选路后频繁回切，可指定RIR智能选路的调整抑制周期，上次选路完成后需要抑制此周期时间后在进行选路，单位为秒。

· SDWAN隧道保活报文间隔：SDWAN隧道发送Keepalive请求报文的时间间隔。范围为1～32767，单位为秒，启用BFD探测隧道后Keepalive报文主要用于隧道建立。

· SDWAN隧道包含报文允许重试次数：SDWAN隧道允许未收到Keepalive应答报文的最大连续次数。范围为1～255。

控制组件质量探测和流量采集配置：控制组件采集设备相关信息时间。

· 质量上报周期：设备上报链路质量周期，单位为秒。

· 实时流量上报周期：设备上报实时流量报文的时间间隔，单位为秒。

· 应用流量上报周期：设备上报应用流量报文的时间间隔，单位为秒。

全局BFD配置：控制组件对路由协议下发BFD配置，下发BFD配置的时间参数。

· BFD检测时间倍数：BFD检测的时间倍数。

· BFD接收报文最小时间间隔：BFD接受报文的最小时间间隔单位为毫秒。

· BFD发送报文最小时间间隔：BFD发送报文的最小时间间隔单位为毫秒。

链路质量评估值：系统链路实际的延时、丢包率和抖动值，以及设置的相应权重计算出来的链路质量评估值，其值越大表示链路质量越好。

· 权重分配：可以设置链路的延时权重分配、丢包率权重分配和抖动权所占的权重。

· 阈值分配：可以分别配置延时、抖动、丢包率的优秀级别阈值、良好级别阈值、及格阈值，其中优秀级别阈值 < 良好级别阈值 < 及格级别阈值，小于及格阈值的为较差。

阈值的作用：用来计算链路质量评估值，具体计算方式参考如图4-9、图4-10、图4-11所示：

图4-9 延时评估值计算方式

图4-10 抖动评估值计算方式

图4-11 丢包评估值计算方式

计算链路质量的评估值，具体计算方式如图4-12所示。

图4-12 链路质量评估值

如果BGP要启用BFD功能，BFD探测精度必须低于隧道BFD保活的探测，即BFD探测时间和次数需要大于隧道BFD保活报文探测的时间和次数。

4.2.5 WebSocket模板

进入[向导>分支网络向导>设备上线规划>全局配置>WebSocket模板]页面，配置WebSocket模板。WebSocket模板主要用于生成U盘/URL开局的配置文件使用，如果不需要使用U盘/URL开局，此配置可以不进行修改。

支持通过IP地址或者域名组注册上线，配置基于域名注册上线时需要配置对应DNS Server，生成配置文件时会包含DNS Server配置和注册的域名。

默认全局模板的地址是北向虚IP地址，根据网络规划需要通过公网上线时，增加对应公网地址。本例中增加两个公网注册地址110.1.1.1和110.1.2.1，如图4-13所示，单击<确定>按钮保存配置。

图4-13 WebSocket模板配置

用户可以进入[自动化>分支网络>参数配置>模板配置>WebSocket模板]页面查询或者修改相关配置。

如果用户需要使用异地灾备组网，也需要增加灾备集群的统一北向地址作为备Server地址。

4.2.6 SNMP模板

进入[向导>分支网络向导>设备上线规划>全局配置>SNMP模板]页面可以配置SNMP模板。控制组件并不需要通过SNMP管理设备，如果网管或分析组件需要通过SNMP管理设备，控制组件也支持下发SNMP配置。单击<增加>按钮可增加SNMP模板，本例中选择使用的SNMP版本号“v2c”，只读团体字为“public”，写团体字为“private”，如图4-14所示。

图4-14 SNMP模板配置

配置完成后，可以在[自动化>分支网络>参数配置>模板配置>SNMP模板]页面查看或配置对应模板。

4.2.7 隧道BFD模板

进入[向导>分支网络向导>设备上线规划>全局配置>隧道BFD模板]页面或者[自动化>分支网络>参数配置>模板配置>隧道BFD模板]页面进行隧道BFD模板配置，单击<增加>按钮，添加隧道BFD模板，如图4-15所示。

图4-15 隧道BFD模板配置

关键参数说明：

· 模板名称：隧道BFD模板，SDWAN隧道下引用的BFD模板，用于Overlay链路（TTE连接）通断探测。

· BFD检测时间倍数：探测的次数，方案建议配置为5次，可以根据现网需求进行调整；

· BFD接收报文最小时间间隔/BFD发送报文最小时间间隔：探测时间间隔，方案建议配置为1000ms，可以根据现网需求进行调整。

· BFD绑定开关：是否使用隧道BFD进行通断探测，方案要求启用隧道BFD探测。

单击<增加>按钮，添加协同隧道BFD模板，如图4-16所示。

图4-16 协同隧道BFD模板配置

关键参数说明：

· 模板名称：协同隧道BFD模板，站点双网关使用的扩展SDWAN隧道下引用的BFD模板，用于协同隧道的通断探测。

· BFD检测时间倍数：探测的次数，方案建议配置为5次，可以根据现网需求进行调整；

· BFD接收报文最小时间间隔/ BFD发送报文最小时间间隔：探测时间间隔，方案建议配置为1000ms，可以根据现网需求进行调整；

· BFD绑定开关：是否要使用协同隧道BFD进行通断探测。站点双网关两台设备通过物理链路直连，方案不建议启用协同隧道BFD功能；两台设备通过三层网络连接或无法通过物理口Down感知对端故障时（例如使用VSR设备），方案建议启用协同隧道BFD探测。

· 方案建议使用BFD探测隧道的通断状态，必须先配置隧道BFD模板后再添加WAN网络详情，非BFD探测方式只是为了兼容前期开局项目。

· 方案建议使用协同隧道BFD探测协同隧道的通断状态，站点双网关两台设备通过三层网络连接或无法通过物理口Down感知对端故障时（例如使用VSR设备），必须开局协同隧道BFD。

· 如果配置了WAN详情后再绑定隧道BFD模板，原有隧道不会补充下发BFD模板配置，需要删除WAN详情后再重新添加。

· 打开隧道/协同隧道BFD绑定开关后无法关闭。

完成全局配置后，单击<下一步>按钮进入WAN网络配置页面。

4.3 WAN网络配置

进入[向导>分支网络向导>设备上线规划>WAN网络配置]页面，根据实际组网需求增加WAN业务网络，本例中需要增加四种类型的WAN网络。

用户可以进入[自动化>分支网络>物理网络>站点配置>WAN链路]页面查询或添加WAN网络。

4.3.1 Internet网络类型WAN业务网络

1. 添加WAN业务网络

对于Internet网络或者网络中有防火墙进行了NAT变换，需要使用Internet类型的WAN网络。单击<增加>按钮，添加WAN业务网络，其中WAN网络名称为“Internet”，选择网络类型为“Internet”如图4-17所示。

图4-17 增加Internet网络类型WAN业务网络

关键参数说明：

· 网络路由域：指定网络路由域，不同WAN业务网络需要配置不同的路由域，不同租户WAN网络的路由域不能相同。同一路由域内可以建立Overlay链路（TTE连接）。见本例中网络路由域为200。

· 加密IPsec：可以选择是否IPsec加密，本例选择加密IPsec。

· 跨传输网：是否使能该网络跨传输网，使能后不同传输网络之间可以建立Overlay链路（TTE连接）,一般情况下需要开局此开关。

单击<确定>按钮完成添加。

2. 配置传输网络和业务平面列表

Internet类型的WAN业务网络添加完成后会自动进入传输网络和业务平面配置界面。如果返回后也可以单击按钮进入传输网络和业务平面配置页面。

(1) 添加传输网络

同一站点接入同一WAN网络（Internet类型）的不同接口需要属于不同的传输网络。当站点有多个接口接入同一个Internet网络时，需要配置多个传输网络。一般一个运营商配置一个传输网络，单击<增加>按钮添加新的传输网络，如图4-18所示。

图4-18 传输网络列表

关键参数说明：

¡ 传输网络：默认存在Default，可以根据需要增加或者删除传输网络，同一站点的不同接入WAN口应属于不同传输网络，只支持英文

¡ 传输网络别名：传输网络的别名，支持中文。

本例中为Internet网络配置两个传输网络，对应的别名是CT和CU。

不同的WAN业务网络应配置不同的网络路由域；同一站点接入同一WAN业务网络的不同接口需要配置不同的传输网络。

(2) 业务平面说明

启用跨传输网建立隧道时，如果同一个WAN网络内部存在多个传输网，可能出现一对多的Overlay链路（TTE连接）。流量调度是选择本设备的出接口，如果一个接口到同一个目的设备建立了多个Overlay链路（TTE连接），那无法选择具体的Overlay链路（TTE连接），因此引入了业务平面的概念。通过业务平面可以对WAN接口进行切分，同一个WAN接口可以属于多个平面，只允许同一平面内的WAN口之间建立Overlay链路（TTE连接）。

CPE和RR之间Overlay链路（TTE连接）建立原则：

· 当关闭WAN网络跨传输网开关：同一WAN网络，同一业务平面，同一传输网之间才能建立Overlay链路（TTE连接）。

· 当开启WAN网络跨传输网开关：同一WAN网络，同一业务平面都可以建立Overlay链路（TTE连接），不考虑传输网是否相同。

CPE之间Overlay链路（TTE连接）建立原则：

· 当关闭WAN网络跨传输网开关：同一WAN网络，同一业务平面，同一传输网，CPE之间通过RR可以交互TTE信息（CPE使用客户机接入到接入区）且有直连路由（区域拓扑配置为CPE直连或者接入区阻断策略为关闭且没有添加区域拓扑，同时两端CPE都发布VPN业务路由）的情况下才能建立Overlay链路（TTE连接）。

· 当开启WAN网络跨传输网开关：同一WAN网络，同一业务平面，CPE之间通过RR可以交互TTE信息（CPE使用客户机接入到接入区）且有直连路由（区域拓扑配置为CPE直连或者接入区阻断策略为关闭且没有添加区域拓扑，同时两端CPE都发布VPN业务路由）的情况下才能建立Overlay链路（TTE连接）。不考虑传输网是否相同。

流量调度中的优选策略支持基于接口（WAN网络和传输网）和业务平面配置优选，通过配置业务平面就可以对优先路径进行精确的控制。

(3) 二级组网业务平面规划

本例中Internet网络有两个传输网CT和CU，总部和分支分别有两个Internet出口，启用跨传输网建立隧道，总部和一个分支之间会建立4条Overlay链路（TTE连接）。为了区分这4条隧道，可以定义4个平面，使用“上级传输网络-下级传输网络”进行命名，4个平面分别是：平面1（CT-CT），平面2（CT-CU）,平面3（CU-CT），平面4（CU-CU），平面划分如图4-19所示。这样后面调度策略中就可以通过配置路由域+传输网+业务平面的方式精确的选择对应的Overlay链路（TTE连接）。例如应用需要优选CT同运营商隧道，次选CU同运营商隧道，跨运营商隧道作为被备份隧道，优选策略为：平面1的CT>平面4的CU>平面2的CT>平面2的CU>平面3的CT>平面3的CU ，后面4个策略都为跨运营商隧道，作为备份隧道可以按需定义优先级。

图4-19 平面划分示意图

(4) 三级组网业务平面规划

对于三级组网中由于汇聚站点需要配置到总部站点和分支站点的选路策略，为了区分路径，建议将一二级站点间的平面和二三级站点间的平面区分开来。对比二级组网业务平面规划，针对二三级站点之间也需要再划分4个平面：平面5（2-CT-CT），平面6（2-CT-CU）,平面7（2-CU-CT），平面8（2-CU-CU）。

(5) 业务平面配置

参考三级组网业务平面划分完成业务平面列表的添加，如图4-20所示

图4-20 业务平面列表

关键参数说明：

¡ 业务平面名称：定义的业务平面名称，后面优选策略中需要引用。

¡ 业务平面编号：业务平面的编号，同一WAN网络下，不同业务平面需要使用不同的编号；

¡ UDP封装端口号：SDWAN隧道UDP封装的端口号，同一个WAN网络下，不同平面需要使用不同的UDP编号，建议配置范围为12288~12543的整数。如果中间有防火墙，需要放通或映射对应的端口，端口映射参考2.4 。

(6) 单击<返回>按钮可以返回WAN网络配置页面。

4.3.2 三层专线类型WAN业务网络

1. 添加WAN业务网络

单击<增加>按钮，添加WAN业务网络，其中WAN网络名称为“MPLS”，选择网络类型为“三层专线”，如图4-21所示，单击<确定>按钮保存配置。

图4-21 增加三层专线角色WAN业务网络

关键参数说明：

· 网络路由域：指定网络路由域，不同WAN业务网络需要配置不同的路由域，不同租户WAN网络的路由域不能相同。同一路由域内可以建立Overlay链路（TTE连接）。本例中网络路由域为300。

· 加密IPsec：可以选择是否IPsec加密，本例选择否。

· 跨传输网：是否使能该网络跨传输网，使能后不同传输网络之间可以建立Overlay链路（TTE连接），默认推荐开启。

单击<确定>按钮完成添加。

2. 配置传输网络和业务平面列表

三层类型的WAN业务网络添加完成后会自动进入传输网络和业务平面配置界面。如果返回后也可以单击按钮进入传输网络和业务平面配置页面。

(1) 添加传输网络

同一站点接入同一WAN网络的不同接口需要属于不同的传输网络。当站点有多个接口接入同一个三层WAN网络时，需要配置多个传输网络。本例中没有相关需求，因此不需要额外增加传输网络，传输网络列表如图4-22所示。

图4-22 传输网络列表

关键参数说明：

¡ 传输网络：默认存在Default，可以根据需要增加或者删除其他传输网络，同一台设备的不同接入WAN口应属于不同传输网络，只支持英文

¡ 传输网络别名：传输网络的别名，支持中文。

本例中没有相关需求，因此不需要额外增加传输网络。

不同WAN业务网络应配置不同的网络路由域；同一站点接入同一WAN业务网络的不同接口需要配置不同的传输网络。

(2) 业务平面说明

CPE和RR之间Overlay链路（TTE连接）建立原则：

· 当关闭WAN网络跨传输网开关：同一WAN网络，同一业务平面，同一传输网之间才能建立Overlay链路（TTE连接）。

· 当开启WAN网络跨传输网开关：同一WAN网络，同一业务平面都可以建立Overlay链路（TTE连接），不考虑传输网是否相同。

CPE之间Overlay链路（TTE连接）建立原则：

· 当关闭WAN网络跨传输网开关：同一WAN网络，同一传输网，CPE之间通过RR可以交互TTE信息（CPE使用客户机接入到接入区）且有直连路由（区域拓扑配置为CPE直连或者接入区阻断策略为关闭且没有添加区域拓扑，同时两端CPE都发布VPN业务路由）的情况下才能建立Overlay链路（TTE连接）。

流量调度中的优选策略支持基于接口（WAN网络和传输网）和业务平面配置优选，通过配置业务平面就可以对优先路径进行精确的控制，

(3) 二级组网业务平面规划

例如三层WAN网络有两个传输网tn1和tn2，总部和分支分别有两个接口加入三层WAN网络，启用跨传输网建立隧道，总部和一个分支之间会建立4条Overlay链路（TTE连接）。为了区分这4条隧道，可以定义4个平面，使用“上级传输网络-下级传输网络”进行命名，4个平面分别是：平面1（tn1-tn1），平面2（tn1-tn2）,平面3（tn2-tn1），平面4（tn2-tn2），平面划分如图4-23所示。这样后面调度策略中就可以精确的选择对应的Overlay链路（TTE连接）。

图4-23 平面划分示意图

(4) 三级组网业务平面规划

对于三级组网中由于汇聚站点需要配置到总部站点和分支站点的选路策略，为了区分路径，建议将一二级站点间的平面和二三级站点间的平面区分开来。对比二级组网业务平面规划，针对二三级站点之间的隧道也需要再划分不同的平面。

(5) 业务平面配置

由于本例中一级和二级站点、二级和三级站点间不涉及划分多个平面，本例中使用三级组网，为了汇聚站点区分选路，划分两个平面：平面L1用于一级和二级站点间建立隧道，平面L2用于二级和三级站点间建立隧道，完成业务平面列表的添加，如图4-24所示。

图4-24 业务平面列表

关键参数说明：

¡ 业务平面名称：定义的业务平面名称，后面优选策略中需要引用。

¡ 业务平面编号：业务平面的编号，同一WAN网络下，不同业务平面需要使用不同的编号；

¡ UDP封装端口号：SDWAN隧道UDP封装的端口号，同一个WAN网络下，不同平面需要使用不同的UDP编号，建议配置范围为12288~12543的整数。

(6) 单击<返回>按钮可以返回WAN网络配置页面。

4.3.3 二层专线类型WAN业务网络

1. 添加WAN业务网络

两个站点间有多条二层专线时，需要使用多个WAN网络来区分；不同层级间的二层专线也需要使用多个WAN网络来区分。

本例中一二级之间有两条（两类）二层专线，二三级之间也有两条（两类）二层专线，因此需要增加四个二层专线的WAN业务网络，分别为MSTP1、 MSTP2、MSTP3和MSTP4。单击<增加>按钮，添加WAN业务网络。以增加MSTP1专线为例说明配置方式，其中WAN网络名称为“MSTP1”，选择网络类型为“二层专线”，如图4-25所示，单击<确定>按钮保存配置。

图4-25 增加二层专线角色WAN业务网络

关键参数说明：

· 网络路由域：指定网络路由域，同一租户内不同WAN业务网络需要配置不同的路由域。同一路由域内可以建立Overlay链路（TTE连接）。本例中MSTP1专线的网络路由域为401，MSTP2专线的网络路由域为402，MSTP3专线的网络路由域为403，MSTP4专线的网络路由域为404。

· LoopBack口编号：总部站点/汇聚站点（使用同一个二层专线网络连接多个分支设备）必须使用LoopBack接口作为SDWAN隧道封装的源接口，指定下发的LoopBack接口编号。不同WAN网络需要指定不同的接口编号。MSTP1专线LoopBack接口编号为11，MSTP2专线LoopBack接口编号为12，MSTP3专线LoopBack接口编号为13，MSTP4专线LoopBack接口编号为14。

· 加密IPsec：可以选择是否IPsec加密，本例选择否。

单击<确定>按钮完成添加。

· 不同WAN业务网络应配置不同的网络路由域；

· 对于同一个二层专线WAN网络，两个站点之间只能有一条WAN网络连接，因此当两个站点之间有多条二层专线时，需要创建多个WAN网络。

· 不同层级间的二层专线需要创建不同的WAN网络。

2. 配置业务平面列表

单击对应二层专线后面的按钮进入业务平面配置页面, 通过业务平面可以对WAN接口进行切分，同一个WAN接口可以属于多个平面，只允许同一平面内的WAN口之间建立Overlay链路（TTE连接）。

通过添加平面配置可以在特定组网下控制Overlay链路（TTE连接）的建立，本配置手册中不涉及。

4.3.4 VPDN类型WAN业务网络

1. 添加WAN业务网络

单击<增加>按钮，添加WAN业务网络，其中WAN网络名称为“VPDN”，选择网络类型为“VPDN”，如图4-26所示，单击<确定>按钮保存配置。

图4-26 增加VPND角色WAN业务网络

关键参数说明：

· 网络路由域：指定网络路由域，同一租户内不同WAN业务网络需要配置不同的路由域。同一路由域内可以建立Overlay链路（TTE连接）。本例中网络路由域为500。

· 加密IPsec：可以选择是否IPsec加密，本例选择开启。

· WAN网络跨传输网开关：是否使能该网络跨传输网，使能后不同传输网络之间可以建立Overlay链路（TTE连接），本例中关闭此开关。

单击<确定>按钮完成添加。

2. 配置传输网络和业务平面列表

VPDN类型的WAN业务网络添加完成后会自动进入传输网络和业务平面配置界面。如果返回后也可以单击按钮进入传输网络和业务平面配置页面。

对于LNS设备支持多个接口使用同一个VT接口（运营商提供多条物理链路，使用同一个VT口进行认证和地址分配），控制器添加WAN详情时，不同的接口需要绑定不同的传输网络。

本例中不涉及此配置，单击<返回>按钮可以返回WAN网络配置页面。

4.4 站点和设备

如所示，进入[向导>分支网络向导>设备上线规划>站点和设备]页面，根据实际组网需求添加设备和站点，添加STUN Server。

图4-27 导入站点和设备

· 用户支持通过[自动化>分支网络>物理网络>设备管理>设备管理]页面手动添加设备。通过[自动化>分支网络>物理网络>站点管理]页面手动添加或者导入设备和站点。

· 用户支持通过[自动化>分支网络>物理网络>设备配置>STUN]页面手动添加STUN Server。

· 用户可以在导入站点完成NTP相关配置，也可以通过页面添加NTP相关配置，配置步骤参考4.12 NTP配置。

4.4.2 站点和设备

支持手动添加或通过Excel导入站点和设备。

1. 导入站点和设备

单击<下载模板>按钮，下载导入设备模板，根据组网模型和模板说明填写站点和设备。

图4-28 站点和设备模板

关键参数说明：

· 站点名称：长度为1-255的字符，且只支持英文字母、数字和小数点，全网不可重复。

· 站点角色：目前方案不支持使用NAT Transfer，不能配置NAT Transfer角色，目前支持配置的站点角色如下：

¡ RR：只用于路由反射器，VPN业务流量不通过此站点转发，本例中不涉及

¡ CPE：用户提供的网络边缘，VPN业务流量通过此站点转发，Branch3、Branch4和Branch5站点属于CPE角色；

¡ RR_CPE：路由反射器、用户提供的网络边缘，反射CPE路由的同时VPN流量也通过此站点转发，两个总部站点和Branch1、Branch2两个二级汇聚站点配置为此角色。

¡ 使用POP：MSP场景下使用，企业自建场景不涉及。

· WebSocket模板：设备对应的全局或局部WebSocket模板名称。不填写则使用全局模板。

· snmp模板：需要下发SNMP配置时，需要指定此模板。

· 站点类别：选择路由器，如果是防火墙设备，需要选择防火墙。

· 互联端口号：站点双网关必填。本端与对端设备间同步链路数据的TCP连接的端口号，端口号不能与设备上其他服务使用的TCP端口号冲突，例如3001。

· 双网关重定向：仅适用于广域网加速场景。使用WAAS双网关重定向功能时，才需要选择是。如果选择是，互连接口必须是物理口(不包括物理子接口)，同时双网关重定向配置才会下发，默认为否。

· NTP：方案要求必须配置NTP时间同步，选择“是”用户可以在导入设备时完成NTP相关配置。

· NTP配置方式：支持U盘/邮件和WebSocket。选择“U盘/邮件”，生成开局文件时会包含NTP相关配置；选择 “WebSocket”，设备上线后通过WebSocket下发NTP配置。

· 设备名称：导入的设备名称，站点双网关组网时需要导入设备1和设备2的名称。

· 上线认证模式：设备注册时控制组件需要对设备进行认证，支持三种认证模式：

¡ 设备序列号：可以填入多个序列号，可以通过命令在设备上查询；

¡ 软件序列号：软件层面定义的设备的唯一标识，可以手动在设备上配置或生成的U盘/URL配置中包含此配置。

¡ 设备序列号和软件序列号：两个序列号同时认证，必须保证两个都认证成功后才能上线。

· 软件序列号：如果认模式包含软件序列号则必填，每个序列号最长32字符。软件序列号对应的手动配置方式可以参考4.8 手动开局。

· 设备序列号：如果认模式包含软件序列号则必填，可以填多个序列号，各序列号之间使用英文半角分号隔开即可。序列号需要增加主机序列号，对于堆叠设备需要查询两个机框的序列号并填入，可以通过如下命令进行查询（命令和款型相关，有可能差异）：

display license device-id (盒式设备)

display license device-id slot 1/2 （盒式设备堆叠）

display license device-id chassis 1/2 （框式设备堆叠）

例如，查询Hub设备的SN，将查询结果填写到Excel导入模板中。

<hub>dis license device-id slot 1

SN: 210235A1X5M168A00057

Device ID: pYw5-FWs7-H7PX-m6N@-iu@i-3Chd-3Squ-677n

<hub>dis license device-id slot 2

SN: 2102111111A129000001

Device ID: MAj3-VkTY-jr>D-hnx$-6m9j-wP%y-6PaF-PWw/

· Router ID：全局Router ID配置，控制组件会自动下发。

· 管理IP地址：设备的管理IP地址，配置在管理Loopback口。开启管理口后可以配置。

· System IP地址：设备的System IP地址，配置在对应的Loopback口。不填时使用全局地址池自动分配。System IP地址不能增加到Underlay路由中（包括静态路由和动态路由)，否则可能导致业务流量无法到达overlay网络。

· 互联接口名称：站点双网关必填，站点内各设备互连使用的接口名称。支持使用LoopBack接口，需要保证两个接口地址间三层可达。

· 互联接口地址：站点双网关互联接口地址。

· 是否安全开局：如果选择是，则设备上线后不会自动下发配置，必须手动确认开局后再进行业务部署。

· NTP服务端IP及源接口：启用NTP服务后，可填写单个或多个NTP服务端IP及源接口，填写多个时使用英文半角分号隔开，NTP服务端IP和源接口用英文冒号隔开，源接口可不填。对于专线组网建议和控制组件同步时间。对于非专线组网，建议和站点接入的RR同步时间。

· MDC Context：NTP配置方式选择U盘/URL时，由于设备没有上线，无法判断设备款型，无法确定生成的U盘开局文件/URL开局链接中是否需要包含MDC/Context参数，因此需要手动指定此参数。路由器SR66设备、防火墙F1000-AI-25及以上款型设备需要选择1。NTP配置方式选择WebSocket时，此参数不能配置，由控制器自动下发。

完成站点和设备导入。

· System IP地址、管理IP地址、Router id要求全网唯一，不同租户间也不能重复。

· 存在专线组网或者和内网存在动态路由互引时，System IP地址不建议和管理地址配置一致，可能影响System IP地址学习。

· 全网需要配置NTP时间同步，对于专线组网，建议直接和控制组件同步时间。对于非专线组网，CPE建议和RR设备同步时间，RR和控制器同步时间。

· System IP地址不能增加到Underlay路由中（包括静态路由和动态路由)，否则可能导致业务流量无法到达Overlay网络。

· 由于设备注册时，上报的硬件SN都为大写字母，因此添加或者导入设备时，如果硬件SN填写的是小写字母会自动转换为大写字母。

· NTP配置方式选择U盘/URL时，路由器SR66和防火墙F1000-AI-25及以上款型设备MDC Context需要选择1，其它款型设备不能指定MDC Context参数。NTP配置方式选择WebSocket时，不能配置MDC Context参数。

· 路由器不建议使用Vlan-interface接口作为站点双网关互联接口（转发性能受限）。

2. 手动添加站点和设备

支持手动添加站点和设备，单击<增加站点>按钮可以添加站点，按照需求添加站点。如图4-29所示

图4-29 添加站点

相关参数参考1. 导入站点和设备。单击按钮可以添加设备，如图4-30所示

图4-30 添加设备

相关参数参考1. 导入站点和设备。

4.4.3 配置STUN（可选）

进入[向导>分支网络向导>设备上线规划>站点和设备>STUN]页面，单击<增加>按钮，配置STUN Server，如图4-31所示。组网中分支到总部的Internet链路存在动态NAT变换时（分支出口的NAT变换或运营商NAT变换），需要使用STUN，不存在此情况时，可跳过此步骤。

图4-31 增加STUN配置

选择一个RR设备作为STUN Server，当前方案只需要配置一个STUN Server。本例中选择Hub1-2作为STUN Server，IP地址配置成127.0.0.1。

关键参数说明如下：

· 设备名称：选择一台Hub设备，本例中选择Hub1-2；

· IP地址：STUN服务器的IP地址，127.0.0.1，目前方案要求地址配置为127.0.0.1.

其他选项不需要添加，支持单击<确定>按钮保存配置。

4.5 设备LoopBack口地址

对于二层专线，总部需要使用LoopBack口地址作为SDWAN隧道封装的源地址。通过此页面可以导入对应的LoopBack口地址。

本例中有四条二层专线，两台总部设备，两台二级汇聚设备，导入对应的LoopBack口地址，导入模板如图4-32所示。

图4-32 LoopBack地址模板

关键参数说明如下：

· WAN业务网络名称：二层专线名称；

· 接入站点名称：二层专线对应的总部站点名称；

· 接入设备名称：总部站点下对应的接入二层专线的设备名称；

· 接口IPv4地址：LoopBack接口对应的IPv4地址。

单击<增加>按钮也可以添加二层专线设备LoopBack口地址，如图4-33所示。

图4-33 添加LoopBack地址

4.6 WAN网络详情

进入[向导>分支网络向导>设备上线规划>WAN业务网络详情]页面，可以导入或者手动添加WAN网络详情。

用户可以进入[自动化>分支网络>物理网络>站点配置]页面查询或添加WAN网络详情。

4.6.1 导入WAN网络详情

1. 导入的WAN详情

单击<下载模板>按钮，根据组网模型和模板说明填写WAN网络详情参数。

图4-34 导入WAN网络详情说明

· 导入WAN业务网络详情后，控制组件会下发隧道配置，对于堆叠或者框式设备，需要手动在隧道下补充server slot配置，参考6.1.2 隧道配置下发。

· 如果需要手动创建隧道，隧道编号建议大于500。

· RR设备添加WAN详情时必须保证接口有IP地址，否则会添加失败。如果是动态获取地址，需要等待地址获取成功后再进行重试。添加成功后WAN口地址不允许修改，如果需要修改必须先删除WAN详情，手工开局情况下需要先同步设备状态确认控制器上接口地址正确后重新；U盘或者WebSocket开局情况下重新添加WAN详情时需要输入正确的接口地址。

· 对于WebSocket开局部署方式，控制组件会下发接口地址等接口相关配置，删除WAN详情时也会同步删除控制组件下发的配置，包括接口地址，如果用户手动配置的接口地址，并通过此地址进行Websocket注册上线，删除WAN详情会清除此接口地址，导致设备和控制组件失联，配置删除失败，因此对于手动配置接口地址的情况下，开局部署方式请选择手工方式。

· 路由器不允许使用Vlan-interface接口作为WAN口，建议使用子接口或者三层聚合子接口。如果必须使用Vlan-interface接口作为WAN口，请提前咨询方案二线和路由器二线确认。

2. 导入Internet网络详情

导入Internet类型的WAN网络详情，关键配置如下：

· 业务网络名称：对应的Internet类型的业务网络名称，本例中为Internet。

· 接入站点名称/接入设备名称：接入的站点和对应的设备名称；

· 接入设备接口：接入WAN网络的接口名称（配置有IP地址的接口，如PPPoE拨号时需要配置Dialer口）。

· 接入传输网络：已创建的传输网络名称。两个互联网口分别接入CT和CU；

· 接入业务平面列表：根据组网规划设置接入的业务平面。

· 开局配置部署方式：

¡ U盘/邮件：生成U盘/邮件对应的开局配置，设备可以通过此WAN口注册上线。接口地址、接入方式、相关路由协议必须配置。一般分支零部署上线时使用。

¡ WebSocket：不生成U盘/邮件对应的开局配置，设备不通过此WAN口注册上线，等设备上线后，通过WebSocket下发对应的配置。接口地址、接入方式、相关路由协议需要配置。

¡ 手工：手动完成接口地址和路由协议相关配置，一般总部设备（非零部署上线）使用此方式。

· 协议栈类型：支持IPv4协议栈和IPv6协议栈，本例中使用IPv4协议栈；

· STUN Server：没有固定公网地址或者无法映射到公网地址的分支需要配置，本例中为： 127.0.0.1。

· 固定公网IP：如果前面有防火墙将接口的私网地址映射为公网地址，填写对应的公网地址。本例中HQ1站点设备需要添加对应的固定公网地址。

¡ 上/下行带宽（kbps）：设备到网络/网络到设备的链路可分配带宽，分支方案需要基于带宽进行调度，上/下行带宽配置必须进行指定。

¡ MTU：接口存在缺省值，一般情况下不建议修改，此项不建议填写。

¡ TCP MSS：WAN接口一般不建议添加TCP MSS配置，此项不建议填写。

· 联网方式：WAN接口接入网络的方式，WAN详情的开局方式为手工时不需要配置该项。取值包括：

¡ DHCP：通过DHCP服务器自动分配IP地址接入网络。

¡ PPPoE：通过拨号上网的方式接入网络。

¡ 静态IP地址：通过固定IP地址的方式接入网络。

¡ 4G/5G：通过4G/5G上网的方式接入网络。

¡ 静态IP地址/密码：联网方式为静态IP地址，并且使用非手工开局时需要填写。

¡ VLAN ID：接入的接口为子接口是需要填写终结的VLAN ID。

¡ PPPoE对应配置：使能PPPoE Client的物理接口，认证使用的用户名和密码。

· 4G/5G对应配置：使用4G/5G拨号上网对应的配置。

¡ 静态路由目的IPv4地址/掩码：如果要下发静态路由，需要填写对应的地址和掩码。

¡ IPv4网关地址：使用静态IP地址时，需要添加网关地址。

· 动态路由协议：支持OSPF、BGP、RIP协议，动态路由协议对应的配置。

Internet类型的WAN网络详情填写完毕。

· 添加WAN详情时配置的上/下行带宽会自动生成物理链路可分配带宽和隧道带宽，其中上行带宽为设备到对端的物理链路可分配带宽和对应的隧道带宽，下行带宽为对端到设备的物理链路可分配带宽。导入WAN详情后，如果希望修改物理链路可分配带宽可以参考4.10.3 Underlay链路查询和维护，如果希望修改隧道的可分配带宽可以参考4.10.4 隧道部署状态查询和维护。

· 配置了固定公网IP则表示有映射的固定公网地址，因此不能再配置STUN Server，两个配置项只能添加一个。

3. 导入二层专线网络详情

导入二层专线类型的WAN网络详情，关键配置如下：

· 业务网络名称：对应二层专线类型的业务网络名称，本例中为MSTP1、MSTP2、MSTP3和MSTP4。

· A/B端接入站点名称/接入设备名称：接入的站点和对应的设备名称；

· A/B端接入设备接口：互联的物理接口名称。

· A/B端开局配置部署方式：

¡ 手工：手动完成接口地址和路由协议相关配置，一般总部设备（非零部署上线）使用此方式。

· A/B端协议栈类型：支持IPv4协议栈和IPv6协议栈，本例中使用IPv4协议栈；

· A/B端联网方式：二层专线只支持静态IP地址。

· A/B端静态IP地址/密码：联网方式为静态IP地址，并且使用非手工开局时需要填写，手工开局不需要配置

· 路由协议配置：互联对应的路由协议配置，手工开局不需要配置。

· 上/下行带宽（kbps）：设备到网络/网络到设备的链路可分配带宽，分支方案需要基于带宽进行调度，上/下行带宽配置必须进行指定。

· MTU：接口存在缺省值，一般情况下不建议修改，此项不建议填写。

· TCP MSS：WAN接口一般不建议添加TCP MSS配置，此项不建议填写。

二层专线类型的WAN网络详情填写完毕。

添加WAN详情时配置的上/下行带宽会自动生成物理链路可分配带宽和隧道带宽，其中上行带宽为设备到对端的物理链路可分配带宽和对应的隧道带宽，下行带宽为对端到设备的物理链路可分配带宽。对于二层专线来说，由于一个隧道会对应多个物理出口，因此隧道带宽默认配置为400G。导入WAN详情后，如果希望修改物理链路可分配带宽可以参考4.10.3 Underlay链路查询和维护，如果希望修改隧道的可分配带宽可以参考4.10.4 隧道部署状态查询和维护。

4. 导入三层专线网络详情

导入三层专线类型的WAN网络详情，关键配置如下：

· 业务网络名称：对应三层专线类型的业务网络名称，本例中为MPLS。

· 接入站点名称/接入设备名称：接入的站点和对应的设备名称；

· 接入设备接口：接入WAN网络的接口名称。

· 接入传输网络：已创建的传输网络名称，本例使用Default；

· 接入业务平面列表：按照平面规划添加对应的业务平面。

· 开局配置部署方式：

¡ 手工：手动完成接口地址和路由协议相关配置，一般总部设备（非零部署上线）使用此方式。

· 协议栈类型：支持IPv4协议栈和IPv6协议栈，本例中使用IPv4协议栈；

· 联网方式：只支持静态IP地址；

· 静态IP地址/密码：联网方式为静态IP地址，并且使用非手工开局时需要填写。

· 路由协议配置：互联对应的路由协议配置，手工开局不需要配置。

· 上/下行带宽（kbps）：设备到网络/网络到设备的链路可分配带宽，分支方案需要基于带宽进行调度，上/下行带宽配置必须进行指定。

· MTU：接口存在缺省值，一般情况下不建议修改，此项不建议填写。

· TCP MSS：WAN接口一般不建议添加TCP MSS配置，此项不建议填写。

三层专线类型的WAN网络详情填写完毕。

添加WAN详情时配置的上/下行带宽会自动生成物理链路可分配带宽和隧道带宽，其中上行带宽为设备到对端的物理链路可分配带宽和对应的隧道带宽，下行带宽为对端到设备的物理链路可分配带宽。导入WAN详情后，如果希望修改物理链路可分配带宽可以参考4.10.3 Underlay链路查询和维护，如果希望修改隧道的可分配带宽可以参考4.10.4 隧道部署状态查询和维护。

5. 导入VPN网络详情

Hub和LNS合一组网，Hub设备在导入WAN详情时需要指定虚拟模板接口，用户可以手动添加也可以通过控制器部署下发，控制器配置方式参考。导入VPDN类型的WAN网络详情，关键配置如下：

· 业务网络名称：对应的VPDN类型的业务网络名称，本例中为VPDN。

· 接入站点名称/接入设备名称：接入的站点和对应的设备名称；

· 接入设备接口：接入WAN网络的接口名称（配置有IP地址的接口，如VPDN拨号时需要配置Eth-channel口）。

· 接入传输网络：本例中使用默认的Default；

· 接入业务平面列表：根据组网规划设置接入的业务平面，本例中无平面。

开局配置部署方式：

¡ 手工：手动完成接口地址和路由协议相关配置，一般总部设备（非零部署上线）使用此方式。

· 协议栈类型：支持IPv4协议栈和IPv6协议栈，本例中使用IPv4协议栈；

· 上/下行带宽（kbps）：设备到网络/网络到设备的链路可分配带宽，分支方案需要基于带宽进行调度，上/下行带宽配置必须进行指定。

· MTU：接口存在缺省值，一般情况下不建议修改，此项不建议填写。

· TCP MSS：WAN接口一般不建议添加TCP MSS配置，此项不建议填写。

· 虚拟模板接口：HUB LNS合一场景，LNS设备需要指定虚拟模板接口，只支持Virtual-Template接口。

· 联网方式：

¡ 静态IP地址：通过固定IP地址的方式接入网络，一般为LNS设备。

¡ VPDN拨号：通过VPDN拨号上网的方式接入网络，分支使用VPDN拨号接入。

· 静态IP地址/密码：联网方式为静态IP地址，并且使用非手工开局时需要填写。

· VLAN ID：接入的接口为子接口是需要填写终结的VLAN ID。

· VPDN拨号认证方式：接入运营商网络的认证方式，例如PAP、CHAP、PAP-CHAP，本例中采用CHAP。

· 认证用户名密码：接入运营商网络的认证用户名和密码。其中用户名使用username@dmain的方式，domain由运营商提供，username自定义用于LNS设备认证使用。

· VPDN接口名称：需要填写使能VPDN业务的Cellular接口名称

· VPDN拨号串：需要填写运营商提供的拨号串，例如一般移动/联通配置“*99#”，电信配置“#777”

· 接入点类型：联网方式配置为VPDN拨号时需要选择接入点类型。动态接入点，接入点名称在拨号协商时由运营商分配。静态接入点，需要填写运营商提供的接入点名称。WAN详情的开局方式为手工时不需要配置该项。

· 接入点名称：指定由运营商提供的接入点名称，是否大小写敏感和运营商有关。WAN详情的开局方式为手工时不需要配置该项。

· 静态路由目的IPv4地址/掩码：如果要下发静态路由，需要填写对应的地址和掩码。

VPN类型的WAN网络详情填写完毕。

4.6.2 手动添加WAN网络详情

单击<增加>按钮可以手动添加WAN网络详情，如图4-35所示。具体配置参数可以参考4.6.1 导入WAN网络详情。

图4-35 添加WAN网络详情

4.7 U盘/邮件开局

进入[向导>分支网络向导>设备上线规划>U盘/邮件开局]页面或者[自动化>分支网络>物理网络>站点配置>U盘/邮件开局]，显示了支持自动化开局的设备，即导入站点时NTP部署方式选择了U盘/邮件或添加WAN详情时选择了U盘/邮件开局的设备，如图4-36所示。U盘开局文件和URL开局链接可以从页面下载到本地，也可以直接通过邮件发送给一线工程师，如果通过邮件发送，需要先完成邮件服务器配置，参考3.2 配置邮件服务器（可选）。

图4-36 U盘/邮件开局

4.7.2 邮件开局

1. 获取自动化开局URL

(1) 选择需要自动化开局的设备（以Spoke4-1设备为例），单击操作列中的按钮，进入开局配置页面。开局方式选择“URL开局”，填写必要参数，如图4-37所示，单击<确定>按钮保存配置。

图4-37 URL开局

关键参数说明：

¡ 初始IP地址：设备初始上电后接口默认地址，用于设备接收开局URL，一般默认地址192.168.0.1。

¡ 收件箱地址：接收开局URL的邮箱地址。

¡ 密钥：URL开局支持加密，当不配置密钥时，不对开局使用的URL进行加密；当配置密钥时，使用对应的密钥进行加密。本例中配置密钥为“Pwd@12345”。

¡ 以太网接口工作模式：可选择默认模式或三层模式。本例中使用缺省的三层模式，自动将以太类型的WAN口切换成三层模式。对于VSR设备，接口不支持使用三层模式，需要使用默认模式。

¡ 配置命令：URL开局支持下发自定义配置命令，可以手动添加配置命令。如果需要远程登录设备进行调试，可以在URL开局文件中添加远程登录相关配置，具体配置方式请参考路由器相关操作手册。

· 请务必保证手动添加的配置命令正确，否则有可能导致URL开局失败。

· 通过URL开局下发NTP配置时，路由器SR66和防火墙F1000-AI-25及以上款型设备MDC Context需要选择1，其它款型设备不能指定MDC Context参数，必须保证配置正确否则有可能导致URL开局失败。

(2) 获取开局URL文件，目前支持以下两种方式：

单击设备对应操作列中的按钮，可以显示待发送的邮件，如图4-38所示，链接信息为加密后的信息，用户可以修改发送的邮件正文。单击<确认>按钮完成邮件发送，发送成功后，发送状态变为已发送。

图4-38 发送邮件

单击设备对应操作列中的按钮，可以下载开局使用的URL链接（HTML文件）如图4-39所示，配置文件名称默认为“设备SystemIP.html”。用户也可以勾选多个设备，批量下载URL开局配置文件，文件名称为“URL_时间戳.zip”，解压后为多个“设备SystemIP.html”。

图4-39 下载URL配置文件

2. 使用邮件链接开局

用户可以通过邮件或者下载方式获取URL开局链接，使用此链接可以完成开局。

具体配置过程如下：

保证开局使用的电脑和设备网络可达，使用电脑和设备第一个网口通过网线直连，电脑配置和设备同网段的地址（例如：192.168.0.100）。

(1) 使用电脑单击开局的URL链接或者双击URL开局文件进行开局。

(2) 如果设置了URL加密，因此会提示输入密钥，如图4-40所示，输入对应的密钥。如果没有配置密钥，则会跳过此步骤。

图4-40 输入密钥

(3) 输入设备默认的用户名和密码（admin/admin）完成认证，如图4-41所示，完成开局认证登录。

图4-41 URL开局认证登录

(4) 进入开局页面，单击<查看待下发配置>按钮可查看需要下发的配置，如图4-42所示。单击<下发开局配置>按钮可以进行配置下发，等待一段时间后，会显示最终WebSocket注册结果，如图4-43所示。

图4-42 查看下发配置

图4-43 URL开局完成

设备通过邮件开局完成后，等待一段时间，进入[自动化>分支网络>物理网络>设备>设备管理]页面，可以看到设备上线成功，如图4-44所示。

图4-44 URL开局设备上线

4.7.3 U盘开局

1. 配置U盘开局

(1) 选择需要自动化开局的设备（以Spoke4-2设备为例），单击操作列中的按钮，开局方式选择“U盘开局”，填写必要参数，如图4-45所示，单击<确定>按钮保存配置。

图4-45 U盘开局

关键参数说明：

¡ 收件箱地址：可以配置邮箱地址由于接收U盘开局配置文件。

¡ 预先配置命令：在设备上优先生效的手动配置命令，各条命令行之间以回车分隔，例如聚合口相关配置命令。

¡ 配置命令：在设备上最后生效的手动配置命令，各条命令行之间以回车分隔，例如认证相关配置。如果需要远程登录设备进行调试，可以在URL开局文件中添加远程登录相关配置，具体配置方式请参考路由器相关操作手册。

¡ 以太网接口工作模式：使用缺省的三层模式，自动将以太类型的WAN口切换成三层模式。对于VSR设备，接口不支持使用三层模式，需要使用默认模式。

· 请务必保证手动添加的配置命令正确，否则会导致U盘开局失败。

· 通过U盘开局下发NTP配置时，路由器SR66和防火墙F1000-AI-25及以上款型设备MDC Context需要选择1，其它款型设备不能指定MDC Context参数，必须保证配置正确否则会导致U盘开局失败。

(2) 获取U盘开局文件

单击设备对应操作列中的按钮，可以下载U盘开局文件，如图4-46所示，下载的开局配置文件：

¡ 设备上线认证模式包含设备序列号：当只有一个设备序列号时下载的文件名称为“设备序列号.cfg”，可直接导入U盘供设备识别；当存在多个设备序列号时下载文件名称为“设备SystemIP_时间戳.zip”，解压后为多个“设备序列号.cfg”，可解压后导入U盘供设备识别。

¡ 设备上线认证模式不包含设备序列号：下载文件名称为“设备SystemIP.cfg”，使用前必须修改为“autodeploy.cfg”，否则设备将无法识别。

选择多个设备批量下载开局文件：

¡ 设备上线认证模式包含设备序列号：下载文件名称为“SN_时间戳.zip”，解压后为多个“设备序列号.cfg”，可直接导入U盘供设备识别。

¡ 设备上线认证模式不包含设备序列号：下载文件名称为“SYSTEM_IP_时间戳.zip”，解压后为多个“设备SystemIP.cfg”，请使用前请修改为“autodeploy.cfg”，再导入U盘供设备识别。

配置文件如图4-47所示。

图4-46 U盘文件下载

图4-47 U盘开局配置文件

单击设备对应操作列中的按钮，可以发送U盘开局文件，如图4-48所示。

图4-48 发送U盘开局文件

2. 使用U盘配置文件开局

(1) 将U盘开局文件拷贝到U盘根目录下，将U盘插到设备上后重启设备，设备将自动使用开局配置文件启动。当设备上线认证模式包含设备序列号时，使用SN作为设备开局文件名，设备可以根据SN自动选择对应的开局文件，因此可以将多个设备的开局文件放在一个U盘中，使用同一个U盘为多个设备进行开局。

· U盘文件系统需要使用FAT32格式，且需要插入设备第一个USB口。

· U盘开局完成后需要拔掉U盘或删除U盘上的开局配置文件，否则设备再次重启时，启动文件会自动替换为设备上的开局文件。

(2) 设备通过U盘开局完成后，等待一段时间，进入[自动化>分支网络>物理网络>设备>设备管理]页面，可以看到设备上线成功，如图4-49所示。

图4-49 U盘开局设备上线

4.8 手动开局

4.8.1 路由器手动开局配置

用户可以选择手动开局。手动完成设备接口和路由相关配置，保证设备和控制组件之间可以互相访问。

设备通过WebSocket进行注册，设备主动向控制组件统一北向地址发送WebSocket注册请求。

(1) 使用设备序列号认证，以Hub1-1为例，需要手动添加的注册相关配置：

dns proxy enable

cloud-management backup-server domain 110.1.2.1

cloud-management backup-server domain 110.1.1.1

cloud-management server domain 192.168.40.155

cloud-management keepalive 60

(2) 用软件序列号认证，以Spoke3为例，需要手动添加的注册相关配置：

dns proxy enable

cloud-management backup-server domain 110.1.2.1

cloud-management backup-server domain 110.1.1.1

cloud-management server domain 192.168.40.155

cloud-management token simple ADC234SCWW2 //配置认证用的序列号

cloud-management keepalive 60

(3) 如果网络中有访问限制，设备只能通过特定的源地址访问控制组件，可以在配置websocket注册的时候指定源地址，相关配置举例：

[Hub1-1]cloud-management server domain 192.168.40.155 source 30.1.1.1

如果需要远程登录设备进行调试，也可以添加远程登录相关配置，具体配置方式请参考产品相关操作手册。

4.8.2 防火墙手动开局配置

防火墙设备手动开局除了添加对应Websocket注册配置外，还需要手动添加安全策略保证设备和控制组件之间的通信以及基础SDWAN业务互通。放通安全策略如下：

(1) 指定注册的控制器地址，放通设备到控制器的访问。

(2) 放通WAN口和Local区域的互访，保证SDWAN基础业务（TLS、TTE建立）互通。

以Spoke3为例，需要手动添加的注册相关配置：：

security-zone name AdwanUntrustPublic

import interface GigabitEthernet0/1.1 ///WAN口加入安全域

import interface GigabitEthernet0/1.2

import interface GigabitEthernet0/2

import ip 192.168.40.155 32 //注册地址Websocket注册地址，统一北向地址或公网映射地址

security-policy ip

rule 61001 name sdwan-out //出方向策略：允许设备注册以及通过WAN口主动发起的SDWAN请求

action pass

counting enable

source-zone Local

destination-zone AdwanUntrustPublic

rule 61002 name sdwan-in //入方向策略：允许通过WAN口接收的SDWAN请求

action pass

counting enable

source-zone AdwanUntrustPublic

destination-zone Local

等待一段时间后，设备注册上线，

如果需要远程登录设备进行调试，也可以添加远程登录相关配置，具体配置方式请参考产品相关操作手册。

4.9 安全开局

添加或导入设备时，如果选择了安全开局，设备注册上线后并不会下发任何配置。进入[自动化>分支网络>物理网络>设备>设备管理]页面，查看启用安全开局的设备管理状态为“待确认开局”。

如果管理员确认可以进行开局，需要选择设备后单击<确认开局>按钮，如图4-50所示。确认开局后控制组件可以正常对设备下发配置，完成相关业务部署。

图4-50 确认开局

4.10 部署状态查询和维护

4.10.1 站点部署状态查询

进入[自动化>分支网络>物理网络>站点管理]页面可以查询到站点部署状态。如果有站点部署异常需要单击<重试>按钮重新尝试部署下发，如图4-51所示。

图4-51 站点管理

4.10.2 WAN网络详情部署状态查询

进入[自动化>分支网络>物理网络>站点配置>WAN链路]页面，在WAN业务网络详情区域可以查看WAN业务网络配置状态。如果配置状态非正常，可以单击状态查看原因，如图4-52所示。根据失败原因进行排查修复后，单击<重试>按钮重新下发。

图4-52 WAN业务配置状态查询

4.10.3 Underlay链路查询和维护

进入[自动化>分支网络>物理网络>物理链路>物理链路]页面可以查询Underlay链路信息，如图4-53所示。

图4-53 链路管理

单击后面的按钮可以修改链路名称和上线行带宽，如图4-54所示。

图4-54 修改可分配带宽和名称

4.10.4 隧道部署状态查询和维护

进入[自动化>分支网络>物理网络>隧道管理>SDWAN隧道]页面可以查询到隧道列表，如图4-55所示。

图4-55 隧道列表

单击后面的按钮可以修改上行带宽，如图4-56所示。

图4-56 修改带宽

进入[自动化>分支网络>物理网络>隧道管理>协同隧道]页面可以查询到协同隧道部署状态。如果有协同隧道部署异常需要单击<重试>按钮重新尝试部署下发，如图4-57所示。

图4-57 协同隧道列表

4.11 VPDN虚拟模板接口和L2TP组配置

VPDN网络Hub和LNS合一组网，Hub设备需要配置虚拟模板接口和L2TP组，可以通过控制器完成对应业务的部署下发。

4.11.1 虚拟模板接口

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备配置>虚拟模板接口]页面，单击<增加>按钮添加新的虚拟模板接口，如图4-58所示。

图4-58 增加虚拟模板接口

关键参数说明如下：

· 接口编号：对应Virtual-Template的编号。

· IPv4地址/掩码：VT口的地址。

· 认证对端方式：本地认证对端的认证方式，取值为PAP、CHAP和PAP-CHAP。

对应如下设备命令的加粗部分：

ppp authentication-mode pap domain test。

· ISP域：用户认证采用的ISP域名称；

· PPP计费：默认开启即可，对应如下设备命令：ppp account-statistics enable。

· 上/下行带宽（kbps）：设备到网络/网络到设备的链路可分配带宽，分支方案需要基于带宽进行调度，上/下行带宽配置必须进行指定。

· MTU：接口存在缺省值，一般情况下不建议修改，此项不建议填写。

· TCP MSS：WAN接口一般不建议添加TCP MSS配置，此项不建议填写。

4.11.2 L2TP组

L2TP组用于配置L2TP的相关参数, 使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备配置>L2TP组]页面，单击<增加>按钮可以手动增加L2TP组，如图4-59所示。

图4-59 增加L2TP组

关键参数说明如下：

· L2TP组编号：对应L2TP组的编号，编号1的L2TP组为缺省L2TP组，可以接受任何名称的隧道对端的建立请求，不需要指定对端隧道名称；其他编号的L2TP组必须指定对端隧道名称。

· 虚拟模板接口：指定建立L2TP隧道时使用的虚拟模板接口。

· 对端隧道名称：非编号为1的L2TP组需要指定对端隧道名称。

· 隧道验证密钥：配置隧道验证密钥。

4.11.3 手工配置补充

目前控制器无法下发全部的VPDN相关配置，需要用户手工补充地址池和ISP相关配置。

1. 地址池配置

分支使用VPDN拨号，LNS设备需要为分支分配地址。在LNS设备上配置本地地址池为分支分配地址：

[Hub2]ip pool aaa 10.100.100.100 10.100.100.200

[Hub2]ip pool aaa gateway 10.100.100.1

[Hub2]interface Virtual-Template 1

[Hub2-Virtual-Template1]remote address pool aaa

如果有其它地址分配需求，请参考设备相关配置手册。

2. ISP配置

通过ISP配置用户的认证和授权，支持本地认证或Radius认证。

【本地认证配置举例】

[Hub2]domain system //VT中指定的ISP名称

[Hub2-isp-system]authentication ppp local //配置本地认证

[Hub2]local-user vpdnuser class network //本地认证的用户名和密码，服务类型

[Hub2-luser-network-vpdnuser] password simple abc123

[Hub2-luser-network-vpdnuser] service-type ppp

【Radius认证配置举例】

[Hub2]domain system //VT中指定的ISP名称

[Hub2-isp-system]authentication ppp radius-scheme radius //使用Radius进行认证、授权和计费，指定Radius模板

[Hub2-isp-system]authorization ppp radius-scheme radius

[Hub2-isp-system] accounting ppp radius-scheme radius

[Hub2] radius scheme radius //创建Radius模板

[Hub2-radius-test]primary authentication 10.1.1.1 //和Radius服务器对接配置

[Hub2-radius-test]primary accounting 10.1.1.1

[Hub2-radius-test]key authentication simple expert

[Hub2-radius-test] key accounting simple expert

[Hub2-radius-test]user-name-format with-domain

4.12 NTP配置

全网设备都需要配置NTP时间同步，对于专线组网，建议直接和控制组件同步时间。对于非专线组网，RR设备（和控制器部署在同一内部网络）和控制器同步时间，其它设备建议和RR设备同步时间。

NTP有两种配置方式：

· U盘/URL开局部署：通过控制组件生成包括NTP配置的零部署配置文件，设备通过零配置部署上线后自动加载NTP配置，具体配置参考：4.4.2 站点和设备。

· WebSocket部署下发：设备注册上线后，控制组件可以通过WebSocket下发NTP配置。

用户可以通过在导入站点时完成NTP配置，配置步骤参考4.4.2 站点和设备，也可以导入站点后在页面完成NTP相关配置，本节介绍通过页面完成NTP配置。使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>站点配置>NTP配置]页面，展示了所有已经添加的站点，单击站点前面的按钮可以显示站点内NTP配置的详情如图4-60所示。用户可以手动编辑或者导入NTP配置。

图4-60 NTP配置

4.12.2 手动编辑NTP配置

选择一个站点配置或者修改NTP服务，例如配置站点Branch4的NTP服务，单击对应站点后的按钮配置NTP服务，可以查询到当前的NTP配置信息及状态，如图4-61所示。单击<增加>按钮可以添加NTP服务端IP及源接口，单击按钮可以删除对应的记录。

图4-61 配置NTP服务

关键配置说明：

· NTP：开启和关闭，开启后设备可以通过NTP服务同步时间，同时本机也可以作为NTP Server。关闭NTP时，NTP服务端IP及源接口列表必须为空。

· 配置方式：支持U盘/邮件和WebSocket，只有关闭NTP服务后才能修改配置方式。

· 设备名称：站点绑定的设备名称；

· 服务端IP：NTP 服务端IP地址。如果和控制器同步时间，则配置为控制器统一北向地址；如果和RR同步时间，则配置为 RR设备的System IP。

· 源接口：NTP同步的源接口，如果和控制器同步时间，不需要指定源接口；如果和RR同步时间，则指定源接口为System IP对应的Loopback接口。

· MDC Context：当配置方式为U盘/邮件时对于特定设备需要配置。配置方式为WebSocket时不会显示此配置。

· 配置方式为U盘/邮件时，路由器SR66和防火墙F1000-AI-25及以上款型设备MDC Context需要选择1，其它款型设备不能指定MDC Context参数。

· 需要先删除NTP服务端IP及源接口才能关闭NTP服务，关闭NTP服务后才能修改配置方式。

· NTP配置方式为U盘/邮件，需要用户通过U盘或URL将NTP配置下发到设备，由用户自己保证，配置状态显示为部署成功。

· 当配置方式为U盘/邮件时，不支持选择源接口为Tunnel口和Vlan-interface口。

4.12.3 批量导入NTP配置

单击<导入>按钮进入NTP批量导入页面如图4-62所示。用户可通过下载相应的模板文件，对文件进行编辑后再上传以实现批量NTP配置功能。只能导入NTP服务为关闭的站点的NTP配置，关闭NTP服务的方式参考4.12.2 手动编辑NTP配置。

图4-62 批量导入

下载NTP服务模板，编辑模板后重新导入，NTP模板如所示。

图4-63 NTP模板

关键配置说明：

· 站点：导入NTP服务的站点名称；

· NTP：是否启用NTP服务；

· 配置方式：支持U盘/邮件或WebSocket。

· 设备名称：站点绑定的设备名称；

· NTP服务端IP及源接口：设备的NTP服务端IP及源接口。

· MDC Context：当配置方式为U盘/邮件时对于特定设备需要配置。

· 配置方式为U盘/邮件时，路由器SR66和防火墙F1000-AI-25及以上款型设备MDC Context需要选择1，其它款型设备不能指定MDC Context参数。

· NTP配置方式为U盘/邮件，需要用户通过U盘或URL将NTP配置下发到设备，由用户自己保证，配置状态显示为部署成功。

4.12.4 NTP状态查询

NTP服务下发完成，设备上可以查看到对应NTP服务的配置：

clock protocol ntp

ntp-service enable

ntp-service unicast-server 192.168.40.155

如果和RR设备的System IP进行NTP同步，需要等分支网络规划完成隧道建立成功后，设备可以完成NTP时间同步完成，查询NTP同步状态：

<Spoke4-1> display ntp-service sessions

source reference stra reach poll now offset delay disper

********************************************************************************

[12345]192.168.40.155 127.127.1.1 10 255 64 10 0.9872 0.5035 4.3335

Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.

Total sessions: 1

<Spoke4-1>

4.13 RBM配置

站点双网关组网如果需要使用DPI功能，需要添加RBM配置。使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>站点配置>RBM配置]页面，单击<增加>按钮，添加RBM配置，如图4-64所示。

图4-64 添加RBM

关键配置说明：

· 站点名称：选择已存在的站点名称；

· 主设备名称：选择双网关站点其中一台设备名称；

· 复用互连接口：复用互连接口开启时，数据通道接口、主设备本端地址和主设备对端地址分别使用互连接口以及地址。当前仅支持开启。

· 数据通道接口：复用站点互连接口，只支持物理口。

· 流量回切延迟时间：流量回切的延迟时间，取值范围为1～1440，单位为分钟，根据用户需求配置。

· 协议类型：选择IPv4或IPv6。

· 主设备本端地址/主设备对端地址：自动使用互联接口地址。

单击<确定>按钮完成相关配置，配置完成后如图4-65所示，部署状态为部署成功。

图4-65 RBM配置

单击<导入RBM配置>按钮，可以通过Excel导入RBM相关配置，相关配置可以参考模板说明，如图4-66所示。

图4-66 模板说明

· 站点双网关组网如果需要使用RBM功能,必须保障互联接口为物理接口且直连（不能通过三层网络互连）。

· 站点双网关配置RBM功能时需要保证两台设备款型和板卡一致，并且站点双网关使用的互联接口必须一致。

· 站点双网关启用RBM功能，除了因为调度通过协同隧道转发外，需要保证流量不能同时经过同一站点的两台设备(不能配合路由同步接口使用)。

5 分支网络规划

5.1 配置流程

设备上线后可以对分支网络进行规划，分支网络规划可以通过配置向导完成相关配置，也可以在自动化菜单中进行相关设置。本节中使用租户业务管理员（sdwan）登录统一数字底盘进行相关配置。分支网络规划配置流程图如图5-1所示。

图5-1 分支网络规划配置流程图

5.2 接入区管理

5.2.1 创建接入区

进入[向导>分支网络向导>分支网络规划>接入区管理]页面或者[自动化>分支网络>虚拟网络>接入区管理]页面，单击<增加>按钮创建接入区，参考2.2.5 接入区规划创建4个接入区，添加接入区zone1如图5-2所示。

图5-2 配置接入区

关键配置说明：

· 接入区名称：创建的接入区名称；

· BFD功能：接入区RR和接入该接入区的CPE站点之间会建立BGP邻居，配置BGP邻居是否开启BFD功能。对于单总部站点组网，方案建议关闭BFD功能；对于多总部站点组网，建议开启BFD功能。接入区zone1和zone2需要开启BFD功能，接入区zone3和zone4不需要开启。

· 阻断策略：通过开启或关闭阻断策略，控制接入区的CPE站点间是否开启业务流量缺省不互通；若开启业务流量缺省不互通，则需要配置区域拓扑功能否则CPE间无法通信；若关闭业务流量缺省不互通，则CPE加入接入区后会自动反射业务路由，可能导致设备路由过大或生成大量无效的Overlay链路（TTE连接）。当CPE使用客户机接入时，方案建议开启阻断策略，并需要配置区域拓扑；当CPE使用非客户机接入，方案建议关闭阻断策略，不需要配置区域拓扑，通过总部发送聚合路由实现Hub-Spoke组网。

· 一个接入区至少选择一个RR站点，如果RR站点部署失败，CPE无法接入该接入区。

· 对于单总部站点组网，方案建议关闭BFD功能；对于多总部站点组网，建议开启BFD功能，并且需要修改运维配置，设置全局BFD探测精度低于隧道BFD保活精度，即BFD探测时间和次数需要大于隧道BFD保活报文探测的时间和次数，配置参考4.2.4 运维配置。

· 当CPE使用客户机接入时，方案建议开启阻断策略，并需要配置区域拓扑；当CPE使用非客户机接入，方案建议关闭阻断策略，不需要配置区域拓扑，通过总部发送聚合路由实现Hub-Spoke组网。

· 创建接入区后，接入区BFD和阻断策略无法修改。

· 不支持阻断策略的SDWAN版本（E64XX、E66XX）升级到支持阻断策略的SDWAN版本（E68XX及之后的版本），原有接入区的阻断策略默认为关闭。

接入区配置完成后，如图5-3所示。单击操作列中的，确认RR部署状态，如图5-4所示。

图5-3 创建完成接入区

图5-4 接入区RR管理

5.2.2 CPE站点接入

单击操作列中的<站点接入>按钮，如图5-5所示，根据接入区规划选择要接入的CPE站点Branch1、Branch2和Branch3，选择客户机接入，部署成功后如图5-6所示。

图5-5 选择接入站点

图5-6 接入站点部署成功

· 接入站点需要配置WAN详情。

· 使用客户机接入，站点之间可以反射TTE和VPN路由信息，可以使用VPN拓扑功能；使用非客户机接入时无法使用VPN拓扑功能，只能通过Hub发送聚合路由的方式实现Hub-Spoke组网。需要根据用户需求完成相关配置，本例中使用客户机接入。

使用相同的步骤完成zone2、zone3和zone4接入区创建和CPE接入。

5.3 运维配置

进入[向导>分支网络向导>分支网络规划>设备运维配置]页面，本页面用于对单个设备自定义运维配置。单击<增加>按钮可以对单个设备下发运维项，如图5-7所示。运维配置项主要包括流量统计周期、选路调整周期、选路调整抑制周期、SDWAN隧道保活报文间隔和SDWAN隧道保活报文允许重试次数配置，具体配置说明参考4.2.4 运维配置。如果不需要单独设备定制，此页面可跳过。

图5-7 增加设备运维参数

5.4 VPN管理

5.4.1 添加VPN

用户的业务流量必须配置绑定VPN，通过VPN传递业务路径，需要添加一个VPN，本例中配置VPN1。

进入[向导>分支网络向导>分支网络规划>VPN实例]页面，或者[自动化>分支网络>虚拟网络>VPN管理>VPN实例]页面，单击<增加>按钮，填写必要参数，如图5-8所示，单击<确定>按钮保存配置。

图5-8 增加VPN

关键参数说明：

· VPN名称：控制组件存储的VPN名称，本例中为“VPN1”。

· VPN实例名称：下发到设备上的VPN实例配置，本例中为“VPN1”。

· RT：VPN实例的RT，用户可以自己指定RT也可以不填由控制器分配。

· VN ID：VPN实例的VN-ID，不允许重复，用户可以自己指定也可以不填由控制器分配。当填写了VN ID后，设备对应VPN的RD，例如X:Y，第一位X使用VN ID，第二位Y由控制器自动分配，保证每设备不冲突。

· 管理VPN：是否开启管理VPN，如果开启将会自动在该VPN中为每台设备创建一个管理Loopback口并下发管理地址，同时在Overlay中会自动发布管理Loopback接口路由。

· VPN添加完成后如图5-9所示。单击VPN后面的图标绑定站点，单击<选择>按钮，选择所有站点进行绑定，如图5-10所示。

图5-9 VPN列表

图5-10 绑定站点

5.4.2 VPN部署和状态查询

VPN添加完毕后为，状态变为“部署成功”，如图5-11所示，如果部署失败需要确认失败原因，单击VPN后面的图标可以查询站点的部署状态，确认失败原因，单击重试，重新尝试下发。

图5-11 VPN部署状态

5.5 区域拓扑

区域拓扑是根据不同的业务互通需求，基于VPN构建站点之间互联的拓扑。当前方案建议一个接入区对应部署的VPN创建一个区域拓扑。当前支持的区域拓扑模型如下：

· Hub-Spoke 区域内分支间互通：适用于分支站点互访都需要绕行总部的场景；

· Hub-Spoke 区域内分支不互通：适用于总部和分支互通，分支间不互通的场景；（RR不会反射CPE间路由信息，CPE间无法互通或只能通过RR发布的聚合路由进行互通）；

· Full-Mesh：适用于所有站点之间互访都需要直接互通的场景。

支持用户在三种拓扑模型的基础上自定义规划拓扑。

不支持区域拓扑的SDWAN版本（E64XX、E66XX）升级到支持区域拓扑的SDWAN版本（E68XX及之后的版本），升级前创建的接入区也支持配置区域拓扑（需要保证CPE使用客户机加入接入区），但是创建区域拓扑时会对BGP邻居下发新的路由策略替换原有的路由策略。如果创建区域拓扑前，BGP邻居下有用户个性化路由策略配置（手动配置或通过控制组件下发），需要将对应的路由策略配置移植到新的路由策略下。

参考前面规划2.2.6 区域拓扑规划完成区域拓扑创建，区域拓扑都配置为Hub-Spoke分支间互通。区域拓扑添加完成如图5-12所示。

图5-12 区域拓扑

本例中使用topo1为例说明不同区域拓扑的配置方式。

5.5.2 Hub-Spoke分支间互通拓扑模式

进入[向导>分支网络向导>分支网络规划>区域拓扑]页面或者[自动化>虚拟网络>VPN管理>区域拓扑]页面，单击<增加>按钮，添加区域拓扑。添加Hub-Spoke模式的拓扑，添加全局配置和区域RR站点，如图5-13所示。

图5-13 添加全局配置和区域RR

关键参数说明：

· 区域名称：区域的名称，用于标识用户创建的VPN区域，本例中为“topo1”。

· VPN实例名称：VPN名称，用于绑定所选择的VPN，本例中为“VPN1”。

· 拓扑模式：区域中拓扑模型，本例选择“HUB-SPOKE”。

· 区域内分支间互通：开启情况下RR会反射CPE间路由信息，本例中选择“开启”。

· 区域RR站点：为区域拓扑指定RR，可以指定多个RR站点，本例中选择“HQ1”。

· 只有CPE使用客户机接入的情况下才可以配置VPN拓扑区域。

· 选择多个区域RR时，所有RR必须在同一接入区。

· 区域RR站点必须是区域站点公共RR。

· RR站点不能在同一VPN内的多个区域拓扑中作为区域RR站点。

· 区域拓扑变更可能产生失效的Overlay链路，例如CPE站点间直通变为通过中心站点互通，站点直通的Overlay隧道会变为失效的Overlay隧道，需要用户手动删除。删除Overlay隧道前请判断失效的原因，删除后所有历史信息都将清空，请谨慎操作。

· 如果对应区域拓扑创建了互通模式为不互通的拓扑策略时不允许关闭区域内分支间互通选项。

添加中心站点，如图5-14所示，只支持区域RR作为中心站点

图5-14 添加中心站点

关键参数说明：

· 中心站点：通过下拉菜单选择中心站点，目前只支持区域RR作为中心站点，本例中使用“HQ1”。

· 缺省优先级：添加中心站点时可以指定优先级，数字越小优先级越高，通过优先级配置可以设置中心站点转发流量的优先级，目前只支持单个中心站点，使用缺省的优先级“0 ”。

· 本地路由优先级：本机发布路由器时携带的color优先级，数字越小优先级越高，主要用于一三级互通特殊组网场景，通常情况下不需要填写。

· 中心站点必须使用区域RR，当前只支持单个中心站点。

· 一三级互通组网场景为特殊组网场景，有需求需要单独评估确认配置方案。

添加分支站点，如图5-15所示，选择区域内的CPE作为分支站点

图5-15 添加分支站点

关键参数说明：

· 分支站点：本例中选择zone1中的分支站点“Branch1”、“Branch2”和“Branch3”。

· 区域本地优先级：分支站点接入中心站点的区域本地优先级。多总部组网需要创建多个接入区和区域拓扑，分支站点需要加入多个区域拓扑。针对不同的双总部模型，分支站点接入的区域本地优先级也需要配置不同：

¡ 双中心为双活总部，两个总部Overlay发布相同的路由，通过路由的COST优先级来区分优选总部：分支接入的区域本地优先级需要配置相同。Overlay路由发布配置参考7.2.2 Overlay路由配置。

¡ 双中心为双活总部，两个总部Overlay发布不同的明细路由，通过发布汇总路由实现备份：不同区域拓扑需要配置不同的区域本地优先级，默认为100，数值越大优先级越高，分支站点间互通以优先级高的区域拓扑为准，当两个总部发布相同的路由时，分支优选优先级高的区域总部进行通信。Overlay路由发布配置参考7.2.2 Overlay路由配置。

¡ 双中心为两个独立的总部，两个总部Overlay发布不同的路由：不同区域拓扑需要配置不同的区域本地优先级，默认为100，数值越大优先级越高，分支站点间互通以优先级高的区域拓扑为准。Overlay路由发布配置参考7.2.2 Overlay路由配置。

· 本地路由优先级：本机发布路由器时携带的color优先级，数字越小优先级越高，主要用于一三级互通特殊组网场景，通常情况下不需要填写。

· 中心站点：指定分支站点发送流量的中心站点，当指定多个中心站点时，可以配置不同的优先级，数字越小优先级越高。使用缺省的优先级“0”。

· 目前只支持配置一个中心站点。

· 分支站点必须通过客户机接入到区域RR站点。

· 一三级互通组网场景为特殊组网场景，有需求需要单独评估确认配置方案。

· CPE站点（包括CPE+RR角色的站点）针对同一个VPN同时接入多个区域拓扑时，不同区域拓扑相同分支站点接入的区域本地优先级配置不同时，分支间转发以优先级高的区域拓扑为准。当优先级相同分支间互通优选Hub-Spoke组网分支互通模型，存在多个Hub-Spoke组网分支互通模型时优选中心站点优先级高（数字小）的拓扑模型转发，当优先级一致时，形成等价路由，否则通过Full-Mesh直接互通，只有全部为阻断时才无法访问；通常场景要求分支接入不同区域拓扑时配置不同的区域优先级。

Hub-Spoke模型的VPN区域拓扑添加完成，确认区域拓扑的状态为部署成功，如图5-16所示。

图5-16 HUB-SPOKE拓扑部署状态

如果部署状态为部署失败，单击状态链接可以查询区域内RR-CPE状态，如果部署状态异常可以进行重试，如图5-17所示。

图5-17 RR-CPE状态

5.5.3 Hub-Spoke分支间不互通拓扑模式

进入[向导>分支网络向导>分支网络规划>区域拓扑]页面或者[自动化>虚拟网络>VPN管理>区域拓扑]页面，单击<增加>按钮，添加区域拓扑。添加Hub-Spoke模式的拓扑，添加全局配置和区域RR站点，如图5-18所示。

图5-18 添加全局配置和区域RR

关键参数说明：

· 区域名称：区域的名称，用于标识用户创建的VPN区域，本例中为“topo1”。

· VPN实例名称：VPN名称，用于绑定所选择的VPN，本例中为“VPN1”。

· 拓扑模式：区域中拓扑模型，本例选择“HUB-SPOKE”。

· 区域内分支间互通：关闭情况下RR不会反射CPE间路由信息，本例中选择“关闭”。

· 区域RR站点：为区域拓扑指定RR，可以指定多个RR站点，本例中选择“HQ1”。

· 只有CPE使用客户机接入的情况下才可以配置VPN拓扑区域。

· 选择多个区域RR时，所有RR必须在同一接入区。

· 区域RR站点必须是区域站点公共RR。

· RR站点不能在同一VPN内的多个区域拓扑中作为区域RR站点。

· 如果对应区域拓扑创建了互通模式为网关互通的拓扑策略时不允许打开区域内分支间互通选项。

添加中心站点，如图5-19所示，只支持区域RR作为中心站点

图5-19 添加中心站点

关键参数说明：

· 中心站点：通过下拉菜单选择中心站点，目前只支持区域RR作为中心站点，本例中使用“HQ1”。

· 缺省优先级：添加中心站点时可以指定优先级，数字越小优先级越高，通过优先级配置可以设置中心站点转发流量的优先级。目前只支持单个中心站点，使用缺省的优先级“0 ”。

· 本地路由优先级：本机发布路由器时携带的color优先级，数字越小优先级越高，主要用于一三级互通特殊组网场景，通常情况下不需要填写。

· 中心站点必须使用区域RR，当前只支持单个中心站点。

· 一三级互通组网场景为特殊组网场景，有需求需要单独评估确认配置方案。

添加分支站点，如图5-20所示，选择区域内的CPE作为分支站点

图5-20 添加分支站点

关键参数说明：

· 分支站点：本例中选择zone1中的分支站点“Branch1”、“Branch2”和“Branch3”。

· 本地路由优先级：本机发布路由器时携带的color优先级，数字越小优先级越高，主要用于一三级互通特殊组网场景，通常情况下不需要填写。

· 中心站点：指定分支站点发送流量的中心站点，当指定多个中心站点时，可以配置不同的优先级，数字越小优先级越高。使用缺省的优先级“0”

· 目前只支持配置一个中心站点。

· 分支站点必须通过客户机接入到区域RR站点。

· 一三级互通组网场景为特殊组网场景，有需求需要单独评估确认配置方案。

Hub-Spoke模型的VPN区域拓扑添加完成，确认区域拓扑的状态为部署成功，如图5-21所示。

图5-21 HUB-SPOKE拓扑部署状态

如果部署状态为部署失败，单击状态链接可以查询区域内RR-CPE状态，如果部署状态异常可以进行重试，如图5-22所示。

图5-22 RR-CPE状态

5.5.4 Full-Mesh拓扑模式

进入[向导>分支网络向导>分支网络规划>区域拓扑]页面或者[自动化>虚拟网络>VPN管理>区域拓扑]页面，单击<增加>按钮，添加区域拓扑。添加Full-Mesh模式的拓扑，如图5-23所示。

图5-23 添加Full-Mesh模式的拓扑

关键参数说明：

· 区域名称：区域的名称，用于标识用户创建的VPN区域，本例中为“topo1”。

· VPN实例名称：VPN名称，用于绑定所选择的VPN，本例中为“VPN1”。

· 拓扑模式：区域中拓扑模型，本例选择“FULL-MESH”。

· 区域RR站点：为区域拓扑指定RR，可以指定多个RR站点，本例中选择“HQ1”。

· 分支站点：选择分支站点，选择接入区内的所有站点，本例中选择分支站点“Branch1”、“Branch2”、“Branch3”和“HQ1”,区域本地优先级配置为200。多总部组网需要创建多个接入区和区域拓扑，分支站点需要加入多个区域拓扑。针对不同的双总部模型，分支站点接入的区域本地优先级也需要配置不同：

· 只有CPE使用客户机接入的情况下才可以配置VPN拓扑区域。

· 选择多个区域RR时，所有RR必须在同一接入区。

· 区域RR站点必须是区域站点公共RR。

· RR站点不能在同一VPN内的多个区域拓扑中作为区域RR站点。

· 分支站点必须通过客户机接入到区域RR站点。

· CPE站点（包括CPE+RR角色的站点）针对同一个VPN同时接入多个区域拓扑时，不同区域拓扑相同分支站点接入的区域本地优先级配置不同时，分支间转发以优先级高的区域拓扑为准。当优先级相同时，分支间互通优选Hub-Spoke组网模型；当多个区域组网模型相同时，优选System IP小的RR设的区域拓扑。

· Full-Mesh区域的RR站点参与区域业务流量转发时（RR&CPE角色），需同时将RR站点设置为区域内分支站点。

FULL-MESH模型的VPN区域拓扑添加完成，确认区域拓扑的状态为部署成功，如图5-24所示。

图5-24 Full-Mesh拓扑部署状态

如果部署状态为部署失败，单击状态链接可以查询区域内RR-CPE状态，如果部署状态异常可以进行重试，如图5-25所示。

图5-25 RR-CPE状态

添加完毕区域拓扑后，用户可以自定义拓扑策略。

5.6 拓扑策略

添加完毕区域拓扑后，用户可以自定义拓扑策略。

5.6.1 Hub-Spoke分支互通拓扑策略

Hub-Spoke分支互通区域拓扑添加完毕后，用户可以自定义拓扑策略。进入[向导>分支网络向导>分支网络规划>拓扑策略]页面或者[自动化>分支网络>虚拟网络>VPN管理>拓扑策略]页面，单击<增加>按钮，增加一个新的拓扑策略。如图5-26所示。

图5-26 拓扑策略

关键参数说明：

· 站点A、站点B：配置两个站点间的拓扑策略，本例中分别选择“Branch2”和“Branch3”。

· 互通模式：设置为“直连互通”则表示站点A和站点B直接互通；设置为“不互通”则表示RR不在两个站点间反射路由，站点A和站点B无法互通；本例中选择“直连互通”。

区域拓扑变更可能产生失效的Overlay链路，例如CPE站点间直通变为通过中心站点互通，站点直通的Overlay隧道会变为失效的Overlay隧道，需要用户手动删除。删除Overlay隧道前请判断失效的原因，删除后所有历史信息都将清空，请谨慎操作。

5.6.2 Hub-Spoke分支不互通拓扑策略

Hub-Spoke分支不互通区域拓扑添加完毕后，用户可以自定义拓扑策略。进入[向导>分支网络向导>分支网络规划>拓扑策略]页面或者[自动化>分支网络>虚拟网络>VPN管理>拓扑策略]页面，单击<增加>按钮，增加一个新的拓扑策略，如图5-27所示。

图5-27 拓扑策略

关键参数说明：

· 站点A、站点B：配置两个站点间的拓扑策略，本例中分别选择“Branch2”和“Branch3”。

· 互通模式：设置“直接互通”则表示站点A和站点B直接互通；设置“网关互通”则表示站点A和站点B通过网关站点互通；本例中选择“网关互通”。

· 网关站点：通过下拉菜单选择网关站点。本例中通过总部互通，选择HQ1。

· 优先级：配置中心站点的缺省优先级，配置为0；

· 中心站点必须使用区域RR，当前只支持单个中心站点。

· Hub-Spoke分支不互通区域拓扑下不能创建互通模式为不互通的拓扑策略（和区域拓扑行为一致）。

5.6.3 FULL-MESH拓扑策略

FULL-MESH区域拓扑添加完毕后，用户可以自定义拓扑策略。进入[向导>分支网络向导>分支网络规划>拓扑策略]页面或者[自动化>分支网络>虚拟网络>VPN管理>拓扑策略]页面，单击<增加>按钮，增加一个新的拓扑策略，如图5-28所示。

图5-28 拓扑策略

关键参数说明：

· 站点A、站点B：配置两个站点间的拓扑策略，本例中分别选择“Branch1”和“Branch2”。

· 互通模式：设置“网关互通”则表示站点A和站点B通过网关互通；设置“不互通”则表示RR不在两个站点间反射路由，站点A和站点B无法互通；本例中选择“网关互通”。

· 网关站点：通过下拉菜单选择站点A和站点B互通的网关站点。本例中通过总部互通，选择HQ1。

· 优先级：配置中心站点的缺省优先级，配置为0。

· 中心站点必须使用区域RR，当前只支持单个中心站点。

5.7 区域互联

区域拓扑之间需要配置边界站点互通，参考2.2.7 区域互联规划完成区域互联配置。

进入[向导>分支网络向导>分支网络规划>区域互联]页面或者[自动化>分支网络>虚拟网络>VPN管理>区域互联]页面，单击<增加>按钮添加区域如图5-29所示。

图5-29 拓扑互联

关键参数说明：

· VPN名称：用于标识区域互联绑定的VPN，例如：VPN1.

· 互联区域A：相同VPN下区域互联中区域拓扑A的名称，例如topo1。

· 互联区域B：相同VPN下区域互联中区域拓扑B的名称。例如topo3。

· 边界站点：每个区域内的站点和其他区域内的站点通信时的边缘站点，选择Branch1；边界站点需要在两个互联区域中。

· 主区域：当存在多个边界站点且边界站点存在互访需求时，此时以主区域的网络模型进行边界站点间的互访。当前只能配置一个边界站点，任意选择一个主区域即可，例如选择topo3。

区域互联添加完成，确认区域互联的状态部署成功，如图5-30所示。

图5-30 区域互联部署状态

如果部署状态为部署失败，单击状态链接可以查询区域内边界站点状态，如果部署状态异常可以进行重试。

请谨慎删除区域互联，否则会出现网络无法连接。

5.8 LAN网络

进入[向导>分支网络向导>分支网络规划>LAN网络]页面，或者[自动化>分支网络>虚拟网络>VPN管理>LAN网络]页面，可以导入或者手动添加LAN网络。

5.8.1 导入LAN网络

单击<下载模板>按钮下载模板，根据组网模型和模板说明填写对应LAN网络信息。

关键参数说明：

· VPN名称：LAN口需要绑定的VPN名称。EVPN方案中，LAN口必须绑定VPN。

· 站点名称/接入设备名称：LAN业务对应的站点名称和接入设备名称

· LAN接口工作模式：路由交换一体机可以选择二层交换模式，一般选择三层路由模式。

· 接入设备接口：接入LAN业务的设备接口名称，如果使用子接口，需要直接填写子接口名称。

· VLAN ID：用于指定子接口终结的VLAN以及二层接口对应加入的VLAN。

· LAN接口地址：控制组件下发的LAN接口地址，三层接口或者对应的VLAN-Interface。

· LAN接口SUB地址：可以配置接口的SUB地址，支持配置多个。

· LAN接口IPv6地址：可以配置接口的IPv6地址，可以配置多个。

· MTU：接口存在缺省值，一般情况下不建议修改，此项不建议填写。

· TCP MSS：TCP最大分片报文长度，对应控制组件下发的LAN业务必须配置，建议配置为1280。

· 是否引入LAN侧所有路由：控制组件通过路由策略引入LAN口路由，对于分支选择“是”，总部需要手动引入。

· 是否配置DHCP服务：是否在LAN口开启IPv4的DHCP服务，具体支持的配置参数请参考模板说明或帮助文档。

· 是否开启VRRP：配置是否需要启用VRRP，如果开启了需要配置VRRP ID和虚拟IP，启用VRRP的双网关需要配置相同的ID和IP地址。

· 是否开启IPv6 VRRP：是否需要配置IPv6的VRRP业务，如果开启了需要配置IPv6 VRRP ID、虚拟IPv6地址和IPv6本地链路地址，启用VRRP的双网关需要配置相同的ID和IPv6地址。链路本地地址的IPv6前缀标识为FE80::/10。

· 是否配置DHCPv6服务：是否开启IPv6的DHCPv6服务，具体支持的配置参数请参考模板说明或帮助文档。

LAN详情导入完成，如图5-31所示。进入[自动化>分支网络>虚拟网络>VPN管理>LAN网络]页面可以查询到部署状态，如果配置状态非正常，可以单击状态查看对应原因，根据失败原因进行排查修复后，单击<重试>按钮重新下发。

图5-31 导入LAN网络详情

· 导入/添加LAN网络详情时，需要配置TCP MSS为1280。

· 多个站点共享同一个内网或者使用站点双网关组网，并且设备和内网之间使用动态路由互通，例如HQ1站点，需要使用手动路由引流。

· 站点单设备组网或者站点双网关组网且使用静态路由或VRRP和内网互通。例如Branch站点可以选择自动路由引流。

· LAN详情创建完成后，DHCP不支持更新。

· 如果接入设备的接口为子接口，且该子接口为用户手动创建，建议不添加VLAN ID，由用户手动配置终结的VLAN。如果添加VLAN ID，必须保证控制组件配置的VLAN ID和用户手动配置的终结VLAN一致，否则接口无法正常工作。

· 使用子接口作为LAN口时，删除LAN网络会删除对应的子接口。

· 如果LAN接口使用二层交换模式或者使用Vlan-Interface作为LAN口（物理口工作在二层交换模式下），部分型号设备和板卡可能功能受限或影响转发性能，请关注设备对应的发布资料或咨询二线，确认对应设备款型和接口是否有限制。

· 如果LAN 接口使用二层交换模式或者使用Vlan-lnterface 作为LAN口（物理口工作在二层交换模式下），路由器部分设备款型和板卡可能功能受限或影响转发性能，请关注设备对应的发布资料或咨询二线，确认对应设备款型和接口是否有限制。

· 使用二层接口作为LAN口时，路由器不支持跨版和跨框的二层聚合，如果必须使用请咨询二线。

5.8.2 手动添加LAN网络详情

用户也可以手动添加LAN网络详情，单击<增加>按钮，添加LAN业务网络详情，如图5-32所示。相关参数说明参考5.8.1 导入LAN网络。

图5-32 添加LAN网络详情

5.9 双网关路由同步

进入[向导>分支网络向导>分支网络规划>双网关路由同步]页面，或者[自动化>分支网络>虚拟网络>VPN管理>双网关路由同步]页面，可以导入或者手动添加双网关路由同步。

5.9.1 导入双网关路由同步

单击<下载模板>按钮下载模板，根据组网模型和模板说明填写对应双网关路由同步配置。

关键参数说明：

· VPN名称：配置路由同步的VPN名称。

· 站点名称：配置路由同步的站点名称。

· 配置方式：双网关路由同步互联链路的配置方式，支持接口方式和隧道方式。

¡ 接口方式：通过接口或子接口来配置双网关路由同步，接口类型支持物理口、物理子接口、聚合口和Vlan-interface口。

¡ 隧道方式：通过GRE隧道来配置双网关路由同步，隧道编号由控制器分配生成。隧道接口及隧道封装地址复用双网关站点互连接口地址。

· VLAN ID：当设备接口选择子接口时，或者当配置方式为接口方式且复用互连接口地址开关打开时，该参数必填。配置方式为隧道方式时不需要配置该项。

· 协议栈类型：双网关路由同步的协议栈类型，支持IPv4协议栈、IPv6协议栈和双协议栈。

· 复用互连接口地址：当配置方式为接口方式时，选择开启复用互连接口地址，控制器使用站点互连主接口或站点互连子接口对应的主接口自动分配子接口配置路由同步接口，同时路由同步接口地址复用互连接口地址，无需再单独配置路由同步接口及地址。当配置方式为隧道方式时，不支持关闭该参数。

· LAN侧路由同步：开启后，会自动下发双网关LAN侧路由同步配置（对应LAN业务需要同时开启自动引入LAN侧路由）。

· 站点上网路由同步：选择是时，会下发双网关站点上网路由同步功能配置。

双网关路由同步导入完成，如图5-33所示，如果配置状态非正常，可以单击状态查看对应原因，根据失败原因进行排查修复后，进入[自动化>分支网络>虚拟网络>VPN管理>双网关路由同步]页面，单击<重试>按钮重新下发。

图5-33 双网关路由同步

· 对于站点双网关组网，如果通过VRRP或者静态路由方式接入LAN网络，每个业务VPN都需要配置双网关路由同步，否则链路故障后可能无法实现路径切换。

· 修改双网关路由同步，仅支持从IPv4协议栈或IPv6协议栈更新至双协议栈，其他情况不允许修改。

· 双网关路由同步开启LAN侧路由同步时需要站点对应VPN的LAN详情开启自动引入LAN侧路由才会下发LAN侧路由同步配置。

· 路由同步接口为LAN口，部署调度时需要在对应接口入方向绑定流策略模板，参考7.3.3 4. 接口绑定流策略模板。

5.9.2 手动添加双网关路由同步

单击<添加>添加双网关路由同步配置，以Branch1为例，添加双网关路由同步，如图5-34所示。

图5-34 添加双网关路由同步

关键参说明和注意事项可以参考5.9.1 导入双网关路由同步。

5.10 Overlay链路运维和拓扑查询

配置区域拓扑后，控制组件会下发对应的路由策略配置。导入LAN详情后，设备可以生成对应的Overlay链路（TTE连接），可以通过控制组件查询到Overlay链路和拓扑信息。

CPE和RR之间Overlay链路（TTE连接）建立原则：

· 当关闭WAN网络跨传输网开关：同一WAN网络，同一业务平面，同一传输网之间才能建立Overlay链路（TTE连接）。

· 当开启WAN网络跨传输网开关：同一WAN网络，同一业务平面都可以建立Overlay链路（TTE连接），不考虑传输网是否相同。

CPE之间Overlay链路（TTE连接））建立原则：

· 当关闭WAN网络跨传输网开关：同一WAN网络，同一业务平面，同一传输网，CPE之间通过RR可以交互TTE信息且有直连路由的情况下才能建立Overlay链路（TTE连接）。

· 当开启WAN网络跨传输网开关：同一WAN网络，同一业务平面，CPE之间通过RR可以交互TTE信息且有直连路由的情况下才能建立Overlay链路（TTE连接）。不考虑传输网是否相同。

进入[自动化>分支网络>虚拟网络>虚拟链路>链路管理]页面，可以查询到Overlay链路信息，如图5-35所示。

图5-35 Overlay链路信息

Overlay链路状态分为以下几种状态：

· 正常：Overlay链路正常；

· 下线：设备脱管或者TTE连接状态异常都会导致Overlay链路下线，需要进一步排查；

· 次要/重要/紧急告警：链路有告警信息，单击状态可以查询告警信息；

· 失效：设备上不存在对应的TTE连接，Overlay链路状态会变为失效。隧道异常或者拓扑变更都可能导致Overlay链路失效。用户需要判断此Overlay链路后续是否还要继续使用，对于不需要使用的Overlay链路，可以通过按钮手动进行删除。

删除Overlay链路后，当TTE连接恢复，设备会重新上报Overlay链路，但是此链路的历史信息会被删除，请谨慎操作。

6 手动配置下发和状态检查

目前方案允许用户手动在设备上进行配置，补充控制组件暂未实现的功能。

· 不建议用户手动修改或删除控制组件下发的配置命令，如果需要手动修改或删除配置请咨询二线或研发。

· 修改或者删除控制组件下发的配置后30分钟内设备不能重启，否则手动修改或删除的配置可能被自动回滚。

· 手动在接口下配置描述信息时，不支持配置中文的描述信息。

6.1 手动配置下发

6.1.1 切换工作模式

MSR小内存设备（小于2G内存），需要通过切换sd-wan模式来优化内存使用，切换sd-wan模式后需要重启设备。所有MSR设备均支持切换sd-wan模式。

SR66设备不需要切换。

切换模式命令：

<Spoke1-1>system-view

System View: return to User View with Ctrl+Z.

[Spoke1]system-working-mode sd-wan

Do you want to change the system working mode? [Y/N]:y

The system working mode is changed, please save the configuration and reboot the system to make it effective.

[Spoke1]quit

<Spoke1>reboot

设备切换到sd-wan模式后无法使用URL开局，如果需要使用URL开局，请开局后再切换工作模式。

6.1.2 隧道配置下发

站点双网关组网，控制组件会部署两种类型的隧道，UDP封装的SDWAN隧道和GRE封装的SDWAN协同隧道。

路由器：堆叠或框式设备需要在UDP封装的SDWAN隧道口上配置service slot/service chasis x slot x命令指定设备的转发板；防火墙：都为堆叠模式需要在UDP封装的SDWAN隧道口上配置service slot/service chasis x slot x命令指定设备的转发板。

目前控制组件无法自动下发此，必须手动在设备上添加。

隧道下配置service slot/service chasis x slot x命令会导致隧道震荡，此隧道相关的TTE需要重建，会影响Overlay链路（TTE连接）上承载的业务流量。

路由器手工配置service slot的方式参考表6-1。

表6-1 server slot配置支持情况描述表

设备名称	ipe	设备详细信息	可选slot号	推荐slot配置
MSR3600-28-G	msr3600g.ipe	盒子设备	单机：无堆叠：0、1（堆叠支持情况与设备型号有关，详见设备彩页）	· 单机情况不配置 · 堆叠环境，配置流量较大的chassis、slot为service chassis chassis-id slot slot-id，配置流量较小的chassis、slot为service standby chassis-id slot slot-id
MSR3600-51-G	msr3600g.ipe
MSR3620-G	msr36g.ipe
MSR3610-G	msr36g.ipe
MSR3610-I-DP	msr36i.ipe
MSR3610-IE-DP
MSR3610-IE-EAD
MSR3600-28-X1	msr3600x1.ipe
MSR3600-28-X1-DP
MSR3600-51-X1
MSR3600-51-X1-DP
MSR810	msr810.ipe
MSR810-W-DB
MSR810-LM
MSR810-LM-HK
MSR810-W-LM
MSR810-W-LM-HK
MSR810-LM-EA
MSR2600-6-X1	msr26x1a.ipe
MSR2600-15-X1	msr26x1a.ipe
MSR2600-10-X1	msr2600x1.ipe
MSR3610-X1	msr36x1.ipe
MSR3610-X1-DP
MSR3610-X1-DC
MSR3610-X1-DP-DC
MSR3620-X1
MSR3640-X1
MSR3640-X1-HI	msr36x1hi.ipe
MSR36-10	msr36.ipe
MSR36-20
MSR36-40
MSR36-60
MSR3620-DP
MSR2630E-X1	msr26e.ipe
MSR1008	msr1000.ipe
MSR3610E-X1	msr36e.ipe
MSR3610E-X1-DP	msr36e.ipe
SR6602-I	sr6602i.ipe	支持FIP-30子卡	0	配置service slot 0
SR6602-IE	sr6602i.ipe	支持FIP-30子卡	0	配置service slot 0
MSR5660/MSR5680	msr56.ipe	SPU-100X1	转发板2；	· 单机情况，配置service slot 2 · 堆叠环境，配置流量较大的chassis为service chassis chassis-id slot 2，配置流量较小的chassis为service standby chassis-id slot 2
		SPU-200X1	转发板2；	· 单机情况，配置service slot 2 · 堆叠环境，配置流量较大的chassis为service chassis chassis-id slot 2，配置流量较小的chassis为service standby chassis-id slot 2
		SPU-400X1	转发板2；	· 单机情况，配置service slot 2 · 堆叠环境，配置流量较大的chassis为service chassis chassis-id slot 2，配置流量较小的chassis为service standby chassis-id slot 2
		SPU-600X1/S1或S3	转发板2；	display device可以查看s1/s3对应的slot号和主备情况 · 单机单s1/s3，配置service slot为s1/s3所在slot · 单机双s1/s3，配置service slot为master所在slot，配置service standby slot为standby所在slot · 堆叠环境，配置service chassis slot为流量大的chassis所在master slot，配置service standby chassis slot为流量较小的chassis所在master slot
MSR5660-G/MSR5680-G	msr56g.ipe	SPU-300G	转发板2；	· 单机情况，配置service slot 2 · 堆叠环境，配置流量较大的chassis为service chassis chassis-id slot 2，配置流量较小的chassis为service standby chassis-id slot 2
VSR	vsr1000.ipe vsr2000.ipe	虚拟设备	无	无
SR6604+RPEX5/RPEX5E	SR6600-RPEX5.ipe	FIP-260	转发板2、3(现场槽位有转发板才可配）；	display device可以查看转发板对应的slot号，不同SDWAN隧道可以配置不同service slot · 单机单转发板，配置service slot为转发板所在slot · 单机多转发板，配置service slot为流量大的slot，配置service standby slot为流量较小的slot，尽量保证不跨板转发，同进同出 · 堆叠环境，配置service chassis slot为流量大的chassis slot，配置service standby chassis slot为流量较小的chassis slot，尽量保证不跨板转发，同进同出
		FIP-380
		FIP-660
		SAP-XP4GE32
		FIP-680
SR6608+RPEX5/RPEX5E	SR6600-RPEX5.ipe	FIP-260	转发板2、3、4、5(现场槽位有转发板才可配）；	display device可以查看转发板对应的slot号，不同SDWAN隧道可以配置不同service slot · 单机单转发板，配置service slot为转发板所在slot · 单机多转发板，配置service slot为流量大的slot，配置service standby slot为流量较小的slot，尽量保证不跨板转发，同进同出 · 堆叠环境，配置service chassis slot为流量大的chassis slot，配置service standby chassis slot为流量较小的chassis slot，尽量保证不跨板转发，同进同出
		FIP-380
		FIP-660
		SAP-XP4GE32
		FIP-680

(1) ‍UDP封装的SDWAN隧道，需要补充配置：

interface Tunnel1 mode sdwan udp //类型为sdwan udp

bandwidth 100000

service slot 3 //需要手动配置service slot命令。

ip address unnumbered interface GigabitEthernet3/4/3

source GigabitEthernet3/4/3

tunnel out-interface GigabitEthernet3/4/3

ipv6 address auto link-local

tunnel protection ipsec profile adwan-ipsec-profile

sdwan interface-id 1

sdwan routing-domain 200 id 200

sdwan transport-network CT.1 id 1

sdwan group-id 1

sdwan encapsulation udp-port 12288

sdwan nat-global-ip 110.1.1.1

sdwan bfd enable template tunnelBfdTemplate

sdwan collaboration peer-device-id 2

(2) GRE封装的SDWAN协同隧道，不需要补充配置。

interface Tunnel4 mode sdwan-ex gre //GRE隧道封装的SDWAN协同隧道

ip address unnumbered interface GigabitEthernet3/4/1

source GigabitEthernet3/4/1

destination 30.1.1.2

gre key 1

tunnel bfd enable template extendTunnelBfdTemplate

ipv6 address auto link-local

6.1.3 OSPF优化配置

1. VPN多实例配置优化

可以通过控制组件下发OSPF多实例（绑定VPN）。当手动配置OSPF多实例（OSPF/OSPFv3）时，需要添加vpn-instance-capability simple命令来关闭OSPF实例的路由环路检测功能（通过控制组件下发时会自动下发）。

(1) OSPF多实例配置

ospf 10 router-id 20.1.11.2 vpn-instance VPN1

vpn-instance-capability simple

(2) OSPFv3多实例配置

ospfv3 100 vpn-instance VPN1

router-id 9.9.9.9

vpn-instance-capability simple

2. NSR配置优化

当设备有多块主控板时（设备堆叠或框式设备有两块主控板），OSPF需要配置NSR保证设备在发生主备倒换时可以自行完成链路状态的恢复和路由的重新生成，邻接关系不会发生中断，从而避免了主备倒换对转发业务的影响。

当有多个OSPF进程时，每个进程都需要配置。

(1) OSPF NSR配置

ospf 10 router-id 20.1.11.2 vpn-instance VPN1

non-stop-routing

(2) OSPFv3 NSR配置

ospfv3 100 vpn-instance VPN1

non-stop-routing

6.1.4 BGP优化配置

1. NSR配置优化

当设备有多块主控板时（设备堆叠或框式设备有两块主控板），BGP需要配置NSR，使得BGP协议的主进程中断时，备份进程能够无缝地接管主进程的工作，从而确保对等体感知不到BGP协议中断，保持BGP路由，并保证转发不会中断。

配置举例如下：

bgp 6000

non-stop-routing

6.1.5 RIP优化配置

当设备有多块主控板时（设备堆叠或框式设备有两块主控板），RIP需要配置NSR，将RIP路由信息从主进程备份到备进程，使设备在发生主备倒换时新主进程可以无缝完成路由的重新生成、下刷，邻接关系不会发生中断，从而避免了主备倒换对转发业务的影响。

配置举例如下：

rip 1

non-stop-routing

6.1.6 静态路由配置优化

设备有多个上网口时，需要配置静态缺省路由指向上网出接口（控制器下发或者用户手工配置）。CPE设备使用此路由用于向控制器注册（控制器映射到公网）以及和RR设备之间建立TTE连接（初始的TLS连接和后续的TTE连接）。当CPE有多个公网出口时，多条静态路由会形成等价路由。CPE设备向控制器注册以及和RR之间建立TLS连接是基于等价路由哈希选择，只会选择一条路由转发，因此需要配置track联动，保证失效的路由能进行收敛。

配置举例如下：

根据项目需求，先选择一个或多个进行探测的公网地址（本例中选择了两个），探测公网地址失败后，缺省路由失效。

track 2 nqa entry test 1 reaction 1

track 3 nqa entry test 2 reaction 1

track 10 list boolean or //两个探测都失败后，整个探测失败。

object 2

object 3

nqa entry test 1

type icmp-echo

destination ip 180.76.76.76 //探测的公网地址1，基于项目自主选择

frequency 1000

out interface GigabitEthernet0/1 //探测出接口，缺省路由的出接口

reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only

source interface GigabitEthernet0/1

nqa entry test 2

type icmp-echo

destination ip 223.5.5.5 //探测的公网地址1，基于项目自主选择

frequency 1000

out interface GigabitEthernet0/1 //探测出接口，缺省路由的出接口

reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only

source interface GigabitEthernet0/1

nqa schedule test 1 start-time now lifetime forever

nqa schedule test 2 start-time now lifetime forever

ip route-static 0.0.0.0 0 GigabitEthernet0/1 dhcp track 10 ///对应缺省路由联动track

ip route-static 180.76.76.76 32 GigabitEthernet0/1 dhcp

ip route-static 223.5.5.5 32 GigabitEthernet0/1 dhcp //添加两个探测目的地址的静态路由，保证探测失败后还有对应路由，可以继续进行探测。

6.1.7 其它优化配置

(1) TCP MSS功能会触发会话建立，TCP EST默认3600s会造成大量会话保持，如果现网会话数量过大，可以修改TCP EST会话老化时间为300s。

session aging-time state tcp-est 300

(2) 堆叠设备或框式设备配置聚合时，NAT业务设备可能无法自动同步session，需要在聚合接口下配置service slot/service chasis x slot x命令。防火墙针对聚合口建议配置单接口模式，不需要额外添加此配置

interface Route-Aggregation3

service chassis 1 slot 3

6.1.8 干扰配置检查

部分配置可能会影响现网业务部署和智能选路等功能，需要确认是否有干扰配置并删除。

(1) 配置了SAAS选路功能，异常配置会流量选路异常，必须删除。

¡ 检查是否有配置命令：

saas-path-optimize

¡ 手动删除配置：

undo saas-path-optimize

(2) MSR的初始配置中第一个接口或Vlan-inteface1接口存在管理地址192.168.0.1，此地址主要用于URL开局使用，有可能和现网规划的接口地址冲突，建议开局后手动删除此地址。

interface GigabitEthernet 0/0

undo ip address

interface Vlan-interface 1

undo ip address

6.1.9 防火墙手工配置补充

使用防火墙开局，除了以上配置外还需要手工额外添加如下配置。

1. Websocket注册配置补充

删除Websocket注册使用的WAN口时，安全控制组件会回收WAN口的安全域配置，导致设备Websocket注册失败。手动将Weboscket注册地址添加到安全域中，保证管理通道的稳定。

security-zone name AdwanUntrustPublic

import ip 192.168.40.155 32 // websocket注册地址（统一北向地址或公网映射地址），避免接口改变导致设备失联

2. 安全策略相关配置

当场景中没有安全控制组件的时候，需要手工补充安全策略相关配置，将接口加入到安全域，以及下发相应的安全策略。保证overlay流量的正常转发，具体配置如下：

security-zone name AdwanUntrustPublic //所有WAN口加入Untrust域

import interface GigabitEthernet3/4/2

import interface GigabitEthernet3/4/3

security-zone name AdwanDefaultPublic //system ip、站点横穿口以及需要放通的非LANWAN口

import interface GigabitEthernet1/0/1

import interface GigabitEthernet1/0/2

import interface LoopBack1

security-zone name Adt_vpn1 //LAN口，如果存在多VPN的情况，可以创建多个用来区别

import interface GigabitEthernet1/0/3

security-zone name AdwanMiddlePublic //所有隧道口，包括sdwan隧道和横穿的GRE隧道

import interface Tunnel1

import interface Tunnel2

security-policy ip

rule 1 name SDN_AdwanUntrustPublic_Adt_vpn1 //配置WAN口到LAN口的域间策略，缺省丢弃本地上网的回程报文，不允许从WAN口直接访问内网

counting enable

source-zone AdwanUntrustPublic

destination-zone Adt_vpn1

rule 3 name SDN_AdwanUntrustPublic_AdwanMiddlePublic //配置WAN口到隧道的域间策略，缺省丢弃集中上网的回程报文，不允许从WAN口通过隧道访问远端站点

counting enable

source-zone AdwanUntrustPublic

destination-zone AdwanMiddlePublic

rule 2 name SDN_Any_Any_vpn1 //对于VPN内部互访流量，缺省全部放通

action pass

counting enable

vrf vpn1

rule 0 name SDN_Any_Any_ //对于非VPN流量，缺省全部放通

description SDN_DEFAULT-ip

action pass

counting enable

这里需要注意的是，如果设备上之前已经有了安全策略的话，需要将rule2和rule0两条规则放到最后，用于缺省匹配全部报文，具体操作如下：

[Spoke1-1]security-policy ip

[Spoke1-1-security-policy-ip]move rule 2 bottom

[Spoke1-1-security-policy-ip]move rule 0 bottom

3. 多条互联网链路补充配置

V7防火墙如果分支单设备有多个接入互联网的WAN口，存在等价路由的情况下，设备无法保证请求的源地址和出接口一致，有可能出现使用A接口的地址作为源地址但是出接口为B接口的情况，运营商会禁止这种报文转发。此缺陷可能影响WebSocket请求和TLS连接。

需要手动在设备上添加PBR配置进行优化，以Spoke2设备为例，说明需要添加的配置：

policy-based-route global permit node1

if-match source-ip interface GigabitEthernet0/4 //匹配对应的WAN口

apply next-hop 110.1.4.2 //指定下一跳为对应的网关地址

policy-based-route global permit node2

if-match source-ip interface GigabitEthernet0/5 ///匹配对应的WAN口

apply next-hop 110.1.7.2 //指定下一跳为对应的网关地址

ip local policy-based-route global//全局应用PBR

6.1.10 IPv6配置补充

控制组件为设备接口下发IPv6全球单播地址时，不会下发链路本地地址，有可能导致IPv6业务不可用，需要手动补充链路本地地址。

配置命令如下：

[Spoke3] interface GigabitEthernet 4/0

[Spoke3-GigabitEthernet4/0] ipv6 address auto link-local

6.1.11 接口配置补充

CPE站点先部署Internet类型的WAN详情，切换站点角色为RR_CPE，需要手工在WAN口下补充ip last-hop hold命令。

配置命令如下：

[Spoke5] interface GigabitEthernet 4/0

[Spoke5-GigabitEthernet4/0] ip last-hop hold

7 WAN业务部署下发

7.1 配置流程

WAN业务部署下发包含应用调度配置和对应的QoS业务部署。

7.2 路由引流配置

路由引流包含LAN侧路由配置，Overlay路由配置，必须先完成路由配置后用户业务流量才能互通，并且可以配置调度功能。

7.2.1 LAN侧路由配置

HQ1站点设备使用OSPF协议和内网互通，控制组件下发LAN口后，还需要对LAN侧路由进行配置。以Hub1-1设备为例，LAN侧路由配置流程：

1. 创建LAN侧IPv4路由

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备配置>OSPF路由]页面，单击<增加>按钮为Hub1-1设备增加一个OSPF进程，如图7-1、图7-2所示：

图7-1 添加OSPF路由-1

图7-2 添加OSPF路由-2

关键配置说明：

· 进程号：需要添加一个新的OSPF进程，进程号配置为：10。

· Router ID：由于Hub设备和LAN网络通过LAN口和管理口分别建立的OSPF邻居，因此需要指Router ID，保证和管理通道OSPF使用的Router ID不同。使用LAN口地址20.1.10.2。

· VPN名称：绑定的VPN名称，VPN1。

· 协议类型：OSPF类型。

· 区域配置列表：可以添加区域，当区域为非骨干区域时（非0.0.0.0），通过区域类型可以选择普通区域、NSSA区域或TOTALLY_NSSA区域。

· 接口配置列表：指定LAN接口GE2/0.2，配置区域：0.0.0.0。

· 开销：对应OSPF邻居开销。

单击<确定>按钮保存配置。

2. 创建LAN侧IPv6路由

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络 >设备配置>OSPF路由]页面，单击<增加>按钮为Hub1-1设备增加一个OSPF进程，如图7-3所示：

图7-3 添加OSPFv3路由

关键配置说明：

· 进程号：需要添加一个新的OSPFv3进程，进程号配置为：20。

· Router ID：必须配置Router id。使用LAN口地址20.1.10.2。

· VPN名称：绑定的VPN名称，VPN1

· 协议类型：OSPFv3类型

· 接口配置列表：指定LAN接口GE2/0.2，配置区域：0.0.0.0。

· 开销：对应OSPF邻居开销。

单击<确定>按钮保存配置。

7.2.2 Overlay路由配置

目前组网中有两种路由引流方式：

· 手动路由引流：多个站点共享同一个内网或者使用站点双网关组网，并且设备和内网之间使用动态路由互通，例如HQ1站点，需要使用手动路由引流。

· 自动引流：站点单设备组网或者站点双网关组网且使用静态路由或VRRP和内网互通。例如HQ2和Branch站点都使用自动引流，添加LAN网络时直接引流，具体配置参考5.8.1 导入LAN网络。

本节介绍手动引流配置，以Hub1-1设备为例说明手动引流配置。

Overlay手动引流配置支持以下三种方式：

(1) Overlay路由引入基于tag标记过滤：创建路由策略，OSPF重分布到BGP时基于路由标记进行过滤：BGP重分布到OSPF中时需要添加对应的tag标记，配置方式参考7.2.3 Overlay路由引入LAN，防止Hub1-1将Hub1-2重分布到OSPF中的分支路由再次引入Overlay中，出现路由环路。适用于总部路由较多，无法明确定义内网网段。

(2) Overlay路由引入基于前缀列表进行过滤：创建路由策略，引入Overlay路由时基于前缀列表进行过滤：适用总部路由数量较少的情况，路由控制比较精细。

(3) 直接使用NETWORK命令引入Overlay路由：在BGP地址族下直接配置NETWORK网段引入路由。适用总部路由数量较少的情况，配置简单。

2. Overlay路由引入基于tag标记过滤

(1) 创建路由策略

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备配置>路由策略]页面，支持导入或手动添加路由策略。单击<增加>按钮，为Hub1-1增加一条路由策略，单击匹配列表里面的<增加>按钮，增加两条匹配规则如图7-4所示，配置两条匹配规则：

¡ 第一条规格匹配模式为deny，单击匹配规则下的按钮，配置过滤标记100，如图7-5所示。

¡ 第二条规则匹配模式为permit，单击匹配规则下的按钮，匹配LAN口，引入LAN口路由，如图7-6所示；如果站点双网关通过OSPF学到的内网路由COST不同，需要引入路由时应用相同的开销，保证分支学到的路由能形成等价，单击应用策略下的按钮，配置开销0，如图7-7所示。

添加完毕，单击<确定>按钮保存配置。

也可以支持通过模板导入路由策略，单击<导入>按钮，下载对应模板导入路由策略。

(2) IPv4路由引流

进入[自动化>分支网络>物理网络>设备配置>BGP路由]页面，选择对应设备Hub1-1，单击“BGP-VPN实例”中的修改按钮进入BGP-VPN实例页面，单击“VPN地址族列表”中的按钮进入BGP-VPN地址族页面，如图7-8所示。

图7-8 BGP-VPN地址族

选择IPv4-Unicast地址族，单击“地址族详情”里面的按钮，展开邻居和引入路由配置页面，在引入路由配置页面引入OSPF路由，配置进程号为10，并匹配对应的路由策略filter，单击按钮进行保存，如图7-9所示。

图7-9 引入路由配置

Overlay路由引流配置完成。

引入OSPF路由协议时，必须配置进程号，否则无法下发成功。

(3) IPv6路由引流

进入[自动化>分支网络>物理网络>设备配置>BGP路由]页面，选择对应设备Hub1-1，单击“BGP-VPN实例”中的修改按钮进入BGP-VPN实例页面，单击“VPN地址族列表”中的按钮进入BGP-VPN地址族页面，如图7-10所示。

图7-10 BGP-VPN地址族

选择IPv6-Unicast地址族，单击“地址族详情”里面的按钮，展开邻居和引入路由配置页面，在引入路由配置页面引入OSPFv3路由，配置进程号为20，并匹配对应的路由策略filter，单击按钮进行保存，如图7-11所示。

图7-11 引入路由配置

Overlay路由引流配置完成。

引入OSPFv3路由协议时，必须配置进程号，否则无法下发成功。

3. Overlay路由引入基于前缀列表进行过滤

(1) 创建IPv4路由策略

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备配置>路由策略]页面，在策略前缀页面可以手动添加或导入策略前缀，单击<增加>按钮，增加一个路由前缀，匹配网段20.1.1.0/24，如图7-12所示。

图7-12 增加策略前缀

单击导入按钮，下载模板可以导入策略前缀，。

增加路由策略filter，支持手动添加和导入。单击路由策略的<增加>按钮，添加一个新的路由策略，单击匹配列表里面的<增加>按钮，增加一条匹配规则如图7-13所示，单击匹配规则下的按钮，增加对应匹配规则，如图7-14所示；如果站点双网关通过OSPF学到的内网路由COST不同，需要引入路由时应用相同的开销，保证分支学到的路由能形成等价，单击应用策略下的按钮，配置开销为0，如图7-15所示。

图7-13 添加路由策略模板

图7-14 匹配规则

图7-15 应用策略

添加完成，单击<确定>按钮保存配置。

(2) IPv4路由引流

进入[自动化>分支网络>物理网络>设备配置>BGP路由]页面，选择对应设备Hub1-1，单击“BGP-VPN实例”中的修改按钮进入BGP-VPN实例页面，单击“VPN地址族列表”中的按钮进入BGP-VPN地址族页面，如图7-16所示。

图7-16 BGP-VPN地址族

选择IPv4-Unicast地址族，单击“地址族详情”里面的按钮，展开邻居和引入路由配置页面，在引入路由配置页面引入OSPF路由，配置进程号为10，并匹配对应的路由策略filter，单击按钮进行保存，如图7-17所示。

图7-17 引入路由配置

Overlay路由引流配置完成。

· 前缀列表中配置的网段必须精确匹配设备路由表中的网段，如果网段不一致则过滤不生效。

· 引入OSPF路由协议时，必须配置进程号，否则无法下发成功。

(3) 创建IPv6路由策略

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备配置>路由策略]页面，在策略前缀页面支持导入和手动添加策略前缀，单击<增加>按钮，增加一个路由前缀，匹配网段2000：1：：1/64，如图7-18所示。

图7-18 增加策略前缀

增加路由策略filter，支持手动添加和导入。单击路由策略里的<增加>按钮添加一条路由策略，单击匹配列表里面的<增加>按钮，增加一条匹配规则如图7-19所示，单击匹配规则下的按钮，增加对应匹配规则，如图7-20所示；如果站点双网关通过OSPFv3学到的内网路由COST不同，需要引入路由时应用相同的开销，保证分支学到的路由能形成等价，单击应用策略下的按钮，配置开销为0，如图7-21所示。

图7-19 添加路由策略模板

图7-20 匹配规则

图7-21 应用策略

添加完成，单击<确定>按钮保存配置。

(4) IPv6路由引流

进入[自动化>分支网络>物理网络>设备配置>BGP路由]页面，选择对应设备Hub1-1，单击“BGP-VPN实例”中的修改按钮进入BGP-VPN实例页面，单击“VPN地址族列表”中的按钮进入BGP-VPN地址族页面，如图7-22所示。

图7-22 BGP-VPN地址族

选择IPv6-Unicast地址族，单击“地址族详情”里面的按钮，展开邻居和引入路由配置页面，在引入路由配置页面引入OSPFv3路由，配置进程号为10，并匹配对应的路由策略filter，单击按钮进行保存，如图7-23所示。

图7-23 引入路由配置

Overlay路由引流配置完成。

· 前缀列表中配置的网段必须精确匹配设备路由表中的网段，如果网段不一致则过滤不生效。

· 引入OSPFv3路由协议时，必须配置进程号，否则无法下发成功。

4. 直接使用NETWORK命令引入Overlay路由

(1) IPv4路由引流

进入[自动化>分支网络>物理网络>设备配置>BGP路由]页面，选择对应设备Hub1-1，单击“BGP-VPN实例”中的修改按钮进入BGP-VPN实例页面，单击“VPN地址族列表”中的按钮进入BGP-VPN地址族页面，如图7-24所示。

图7-24 BGP-VPN地址族

选择IPv4-Unicast地址族，单击“地址族详情”里面的按钮，展开邻居和引入路由配置页面，在BGP-NETWORK列表中单击<增加>按钮，添加一个引入的路由，如图7-25所示。单击按钮进行保存。

图7-25 NETWORK引入路由

Overlay路由引流配置完成。

NETWORK引入的网段必须精确匹配设备路由表中的网段，如果网段不一致则路由引入失败。

(2) IPv6路由引流

进入[自动化>分支网络>物理网络>设备配置>BGP路由]页面，选择对应设备Hub1-1，单击“BGP-VPN实例”中的修改按钮进入BGP-VPN实例页面，单击“VPN地址族列表”中的按钮进入BGP-VPN地址族页面，如图7-26所示。

图7-26 BGP-VPN地址族

选择IPv6-Unicast地址族，单击“地址族详情”里面的按钮，展开邻居和引入路由配置页面，在BGP-NETWORK列表中单击<增加>按钮，配置引入路由，如图7-27所示，单击按钮进行保存。

图7-27 NETWORK引入路由

Overlay路由引流配置完成。

NETWORK引入的网段必须精确匹配设备路由表中的网段，如果网段不一致则路由引入失败。

7.2.3 Overlay路由引入LAN网络

HQ1站点设备使用OSPF/OSPFv3协议和内网互通，完成Overlay路由配置后还需要将Overlay路由重分布到OSPF中。以Hub1-1设备为例，说明Overlay路由引入LAN网络配置：

1. Overlay路由引入基于tag过滤

当配置了Overlay路由引入基于tag过滤，Overlay路由引入LAN网络时也必须添加对应的tag。

(1) 创建路由策略

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备配置>路由策略]页面，路由策略页面可以手动添加或导入。单击<增加>按钮，为Hub1-1设备增加一条路由策略tag，单击匹配列表里面的<增加>按钮，增加一条匹配规则如图7-28所示，单击应用策略下的按钮，配置应用策略为添加应用标记100，如图7-29所示。

图7-28 路由策略

图7-29 应用策略

BGP路由重分布到OSPF时默认tag为1，手动配置tag进行路由防环时，需要配置为非1的tag。

(2) IPv4路由引流

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备配置>OSPF路由]页面，找到7.2.1 LAN侧路由配置创建的OSPF进程，单击引入路由后面的按钮，如图7-30所示。

图7-30 OSPF路由

单击<增加>按钮，添加引入BGP路由，添加对应AS号，通过下拉菜单选择路由策略tag，如图7-31所示。单击按钮进行保存。

图7-31 OSPF引入路由配置

关键配置说明：

¡ 路由协议：BGP，需要将Overlay的BGP路由重分布到OSPF中。

¡ AS号：BGP的AS号，本例为6000；

¡ 路由策略：通过下拉菜单选择策略tag。

完成路由引入配置。

(3) IPv6路由引流

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备配置>OSPF路由]页面，找到7.2.1 LAN侧路由配置创建的OSPFv3进程，单击引入路由后面的按钮，如图7-33所示。

图7-32 OSPFv3路由

单击<增加>按钮，添加引入BGP路由，添加对应AS号，通过下拉菜单选择路由策略tag，如图7-33所示。单击按钮进行保存。

图7-33 OSPFv3引入路由配置

关键配置说明：

¡ 路由协议：BGP，需要将Overlay的BGP路由重分布到OSPFv3中。

¡ AS号：BGP的AS号，本例为6000；

¡ 路由策略：通过下拉菜单选择策略tag。

完成路由引入配置

7.2.4 业务状态查询

1. VPN内路由引流状态查询

路由引入完成后，Spoke1-1设备可以查看到对应的业务网段路由通过Overlay隧道转发，并且所有隧道形成等价路由。

<Spoke1-1> display ip routing-table vpn-instance VPN1 20.1.1.0

Summary count : 2

Destination/Mask Proto Pre Cost NextHop Interface

20.1.1.0/24 BGP 5 0 7.1.1.11 Tun1

BGP 5 0 7.1.1.12 Tun5

BGP 5 0 7.1.1.12 Tun7

路由引流成功。

7.3 调度组流量调度及可视

对自定义应用流量实现流量调度以及拓扑视图的流量路径可视需要完成以下配置：

· 定义应用流量特征。

· 定义对应调度策略。

7.3.1 设备资源同步

使用QoS组件时，如果设备列表和控制组件纳管设备列表不同步，需要单击[自动化>网络公共配置>设备管理]的资源全量同步，如图7-34所示，同步后所有同步状态成功。

图7-34 资源全量同步

7.3.2 定义应用特征

1. 配置五元组应用定义的ACL模板

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>网络公共配置>QoS管理>ACL模板]页面，单击<增加>按钮，增加五元组定义应用的ACL模板，如图7-35所示。

图7-35 增加ACL模板

关键参数说明：

· 模板名称：控制组件显示的ACL模板名称。

· 标识类型：用来标识向设备下发ACL配置时所使用的命令。选择名称标识时，命令如acl advance name app1。选择数字标识时，命令如acl advance 3000。

· ACL标识：下发到设备上的ACL名称标识或数字标识。

· IP类型：IPv4 ACL 或者IPv6 ACL。

填写完毕后，单击<增加规则>按钮，配置ACL内的匹配规则，由于业务流量都绑定VPN，所以匹配规则需要填写VPN名称。单击<确定>按钮，完成增加规则，如图7-36所示。

图7-36 增加匹配规则

支持增加多条ACL匹配规则，支持通过修改规则号来调整匹配顺序，单击<确定>后保存ACL模板。

支持导入ACL规则，单击<导入规则>按钮，可以下载导入模板，通过模板导入ACL规则。

2. 配置域名自定义应用

(1) 通过域名定义应用时，建议指定终端的DNS Server为SDWAN路由器，并且在对应的VPN下配置DNS Server。目前DNS Server需要手动配置下发，配置命令如下：

[Spoke1-1]dns server 8.8.8.8 vpn-instance VPN1

(2) 用户需要先手动在设备上添加对象组配置，配置举例如下：

object-group ip address baidu

0 network host name *baidu.com vpn-instance VPN1

配置域名支持通配符“*”，可以使用通配符进行模糊匹配，匹配域名时需要指定对应的VPN实例。

V9路由器暂不支持通配符，需要配置精确匹配的域名。

(3) 添加ACL关联对象组

进入[自动化>网络公共配置>QoS管理>ACL模板]页面，单击<增加>按钮，模板名称为app2，添加规则列表，选择对象组来源为手动添加，选择目的对象组为baidu，指定对应的VPN，如图7-37所示。

图7-37 增加匹配规则

7.3.3 下发流策略

1. 配置流分类模板

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>网络公共配置>QoS管理>CBQoS模板>流分类模板]页面，单击<增加>按钮，进入增加流分类页面，如图7-38所示。

图7-38 增加流分类

关键参数说明：

· 名称：流分类（traffic classifier）名称。

· 规则逻辑：多个匹配规则之间逻辑关系，包括and（逻辑与）和or（逻辑或），一般配置为or。

在匹配规则区域，单击<增加>按钮，配置流分类特征。匹配类型支持多种选择：

· 选择五元组定义应用流量的ACL模板，即匹配类型选择ACL，ACL模板选择app1，如图7-39所示。

单击<确认>按钮完成流分类特性添加。

图7-39 ACL类型特征

单击<确定>按钮，完成流分类添加。

2. 配置流行为模板

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>网络公共配置>QoS管理>CBQoS模板>流行为模板]页面，单击<增加>按钮增加流行为，如图7-40所示，名称为app1，标记DSCP为8，Flow ID为1。

图7-40 增加流行为模板

单击<确定>按钮保存。

业务流量进入到SDWAN网络时，建议同一条业务流量（VPN+五元组）Remark成唯一的Flow Id方便运维。

3. 配置流策略模板

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>网络公共配置>QoS管理>CBQoS模板>流策略模板]页面，单击<增加>按钮，进入增加流策略页面，如图7-41所示。

图7-41 增加流策略模板

关键配置说明：

· 名称：对应的流策略名称。例如app

· 选择一组流分类和流行为，单击<增加>按钮，将流分类和对应的流行为增加到匹配列表中，例如流分类app1和流行为app1相绑定。

流策略支持增加多组流分类和流行为绑定关系。一般流策略QoS Policy都会绑定多组流分类与流行为，匹配顺序可以通过调整，单击确定按钮完成流分类的添加。

4. 接口绑定流策略模板

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>网络公共配置>QoS管理>CBQoS模板>流策略模板]页面，选择对应流策略后面的部署到接口按钮，进入部署调度组配置到设备接口页面，如图7-42所示。

图7-42 部署到接口页面

单击<选择接口>按钮，如图7-43所示，配置在设备LAN口。

· 如果使用三层LAN口，流策略模板直接下发到三层接口上，例如GigabitEthernet1/0、Vlan-interface 10。

· 如果使用二层LAN口，流策略模板需要下发到对应的Vlan-interface接口，例如Vlan-interface100。

· 配合调度站点双网关路由同步接口入方向也需要绑定流策略模板。

图7-43 选择接口页面

选择<入方向>，支持基于设备名称、接口名称或接口描述进行搜索，选择LAN口，单击按钮添加到已选接口中，单击<确定>按钮，保存需要应用流策略的接口，如图7-44所示。

图7-44 已选择部署接口

单击<确定>按钮，开始在设备部署流策略、流行为、流分类、ACL模板配置，如图7-45所示。

图7-45 部署成功

部署流策略会关联下发流行为模板、流分类模板、ACL模板、对象组和应用等，如果部署失败可以在对应的模板下确认部署状态。

7.3.4 配置分支网络调度组

1. 智能调度配置

使用租户业务管理员（sdwan）登录统一数字底盘，进入[向导>分支网络向导>应用调度配置>智能调度配置]页面或[自动化>分支网络>应用调度>调度策略>智能调度配置]页面，可以查询和修改链路调度配置和逐流负载分担模式配置，如图7-46所示。

图7-46 智能调度配置

链路调度配置关键配置说明：

· 带宽调度策略：业务流量基于带宽选路功能。默认开启，当开启带宽调度策略后，业务流量选路因素中考虑链路带宽，选择满足实际带宽的链路。

· 链路调度策略：基于业务优先级选路开关，开启时基于业务优先级选路。缺省情况下关闭。

· 调度周期：基于业务优先级选路的调度周期，一般配置为30秒；

· 带宽利用率下阈值：链路上的流量所占总带宽百分比低于下阈值时，停止流量调度。

· 带宽利用率上阈值：链路上的流量所占总带宽百分比超过上限阈值时会触发流量调度。

逐流负载分担模式配置关键配置说明：

· 逐流负载分担模式：

¡ 逐流周期模式：RIR全局级的链路负载分担模式，对参与智能选路的所有业务流量生效。该模式不但可以将同一业务流量的不同会话分布到不同链路上进行传输，而且会进行周期性地调整。在一个调整周期内，一个会话只选择一条链路进行传输。选路完成后也会根据阈值周期性调整流量路径。

¡ 逐流加权模式：RIR全局级的链路负载分担模式，对参与智能选路的所有业务流量生效。该模式可以按照一定权重将同一业务流量的不同会话分布到不同链路上进行传输，一个会话只选择一条链路进行传输。选路完成后不会根据阈值周期性调整流量路径。

· 调整周期：逐流周期模式调整周期。逐流周期模式下，设备会对链路上的业务流量进行周期性地调整，当达到调整周期时，设备会对所有业务流量的链路带宽使用情况进行检测。

· 剩余带宽比差值上阈值：最大剩余带宽比与最小剩余带宽比差值的周期调整上限阈值。如果用于转发某一业务流量的所有链路所属的物理接口或隧道接口中，最大剩余带宽比与最小剩余带宽比的差值大于或等于上限阈值，则会对该业务流量进行重新选路。

· 剩余带宽比差值下阈值：最大剩余带宽比与最小剩余带宽比差值的周期调整下限阈值。重新选路会持续多个调整周期，当达到新的调整周期时，如果剩余带宽比的差值小于周期调整下限阈值，或者新的调整周期是该业务流量开始进行重新选路的第20次调整，设备会停止调整该业务流量。

现网实施可能对Session流量无法准确评估，导致逐流周期模式无法准确实现流量负载均衡，建议修改为逐流加权模式。

2. 调度作用域

用户根据实际业务范围指定源设备，增加调度组时根据调度作用域指定的范围下发配置。

使用租户业务管理员（sdwan）登录统一数字底盘，进入[向导>分支网络向导>应用调度配置>调度作用域]页面或[自动化>分支网络>应用调度>调度作用域]页面。

单击<增加>按钮，添加下发调度的站点，如图7-47所示。

图7-47 增加调度作用域

参数说明：

· 调度作用域名称：All。

· 选择站点：选择全部的站点。

只有包含CPE角色的站点才能加入到调度作用域中，包括CPE或RR&CPE角色。

3. 调度策略

设备基于Session进行选路，每条Session对应一个明确的五元组流量。应用选路时需要定义应用的质量需求，会基于链路质量、链路带宽和链路优选策略进行选路。

基本选路规则：

· 当链路质量和链路带宽（未启用链路调度策略，链路带宽利用率小于80%或启用链路调度策略，链路带宽利用率小于带宽利用率下阈值）都满足需求时，会优选高优先级的链路转发。

· 当高优先级链路的带宽或质量不满足需求时，会优选满足质量和带宽的次高优先级链路转发。

· 当链路质量都不满足需求链路带宽满足需求时，进行质量勉强选路时。首先选择待选链路中综合质量近似CQI值最高的链路，如果存在多条综合质量近似CQI值相同的可选链路，则根据链路负载分担模式选择一条或者多条链路作为最优链路。

· 当链路带宽都不满足需求时（未启用链路调度策略，链路带宽利用率大于80%或启用链路调度策略，链路带宽利用率大于带宽利用率下阈值），不再考虑链路质量，多条链路使用UCMP，基于剩余带宽进行负载分担。

· 当链路带宽使用率到达或超过100%时，直接使用路由表转发，RIR不再单独选路。

基本应用路径调整规则：

· 质量调整：当应用流量所在的链路质量不符合SLA质量需求时，会调整应用路径，将应用调整到符合SLA质量需求的次优链路；当所有链路的质量都不符合SLA质量需求时，会调整到CQI最高的链路。当高优链路的质量符合需求后，应用流量会调整回高优链路。

· 带宽调整：当应用所在链路的带宽超过阈值时（未启用链路调度策略，链路带宽利用率超过90%或启用链路调度策略，链路带宽利用率超过带宽利用率上阈值）触发带宽调整，调整到链路带宽利用率符合要求的链路（未启用链路调度策略，链路带宽利用率小于80%或启用链路调度策略，链路带宽利用率小于带宽利用率下阈值），保证当前链路的带宽利用率满足要求（未启用链路调度策略，链路带宽利用率小于80%或启用链路调度策略，链路带宽利用率小于带宽利用率下阈值）。当前下不支持链路空闲后应用流量回调。

· 带宽调度会判断物理接口剩余带宽和隧道剩余带宽。对于总部设备，一个隧道可能对应多个TTE，还可以支持基于TTE的调度，TTE带宽配置方式可以参考7.4.6 动态QoS。

· VPN实例名称不能使用65535，无法通过控制组件下发目的VPN实例为65535的静态路由。如果需要配置目的VPN实例为65535的静态路由，用户只能手动在设备上配置。

(1) SLA策略

系统预定义了8个SLA级别，优先级从0到7（数字越大优先级越高），分别定义了延时、丢包率和抖动的质量需求，用户可以手动修改对应SLA级别的质量需求。

使用租户业务管理员（sdwan）登录统一数字底盘，进入[向导>分支网络向导>应用调度配置>调度策略>SLA策略]页面或[自动化>分支网络>应用调度>调度策略>SLA策略]页面，如图7-48所示。

图7-48 SLA质量需求

当前缺省的SLA质量需求过于高，需要根据现网链路质量情况进行调整，现网使用不建议使用抖动进行调整。

单击<增加>按钮，增加SLA策略，配置以下参数：

¡ SLA级别：多个应用策略可以使用相同的级别，如果不选择SLA策略，则不根据质量进行选路。

¡ 期望带宽：应用初始选路时使用的带宽，每条Session的预测带宽，可以不配置。

¡ 优选策略：定义应用优选转发路径，可以增加多条优选链路，设置链路优先级，数字越小优先级越高。

本例中增加SLA策略SLA1，如图7-49所示。

图7-49 SLA1调度策略

对应优选策略如下：“MSTP1专线”>“MSTP2专线”>“Internet的CT出口，同运营商隧道”>“Internet的CU出口，同运营商隧道”>“Internet的CT出口，跨运营商隧道”>“Internet的CU出口，跨运营商隧道”>“MPLS专线”。

(2) 时间策略

使用租户业务管理员（swan1）登录统一数字底盘，进入[向导>分支网络向导>应用调度配置>调度策略>时间策略]页面或[自动化>分支网络>应用调度>调度策略>时间策略]页面，，增加工作对应时间段time1，如图7-50所示。

图7-50 时间段策略

(3) 选路质量权重

智能选路中链路质量探测结果高于指定SLA的阈值，则认为该链路不符合业务质量要求。则根据综合质量指标（CQI算法）评估各链路的质量优劣。本功能用于配置CQI算法中时延、抖动和丢包率的权重，各配置项取值范围为0～10，当配置为0时则表示选路时不考虑对应的指标。

使用租户业务管理员（sdwan）登录统一数字底盘，进入[向导>分支网络向导>应用调度配置>调度策略>选路质量权重]页面或[自动化>分支网络>应用调度>调度策略>选路质量权重]页面，可以查询和修改选路质量权重模板，如图7-51所示，此配置为模板配置，添加调度组时可以单独定义，如果未指定则使用本配置的权重。

图7-51 选路质量权重

缺省选路质量权重全为1，都需要参考。

· 不可以将CQI算法中时延、抖动和丢包率的权重值都配置为0。

· 下发调度组前建议先选路质量权重，修改此指标后，已经下发的使用通用模板的调度组选路质量权重不会修改，需要先删除调度组后再重新添加。

4. 调度组

使用租户业务管理员（sdwan）登录统一数字底盘，进入[向导>分支网络向导>应用调度配置>调度组]页面或[自动化>分支网络>应用调度>调度组]页面。

单击<增加>按钮，添加调度组，如图7-52所示。

图7-52 增加调度组

关键配置说明：

· 调度作用域：该调度组下发到作用域内的所有设备。

· 调度ID：调度组的Flow ID，不同调度组可以重复，但是一个设备不能同时加入到相同Flow ID的调度组，选择7.3.1 设备资源同步中定义的Flow ID 1。

· 负载均衡策略：负载均衡有两种方式，逐包和逐流，一般建议使用逐流负载均衡。如果路径优先级相同，流量可以在多条路径上进行负载均衡。

· 隧道故障报文丢弃：开启后，如果设备没有为业务流量找到最优链路，则会将该业务流量的报文丢弃。通过智能选路机制，设备可以为业务流量选择最优链路进行转发。如果没有找到最优链路，则按照原路由表项进行普通转发。当为某业务指定的链路均发生故障，且用户不希望该业务流量占用其他链路时，例如，不希望低优先级的视频流量占用业务链路时，可以配置本功能。

· 隧道独占：开启后，优选链路隧道被该调度组流量独占，一条优选链路只能同时被一个调度组独占。如果希望某个应用独占特定链路转发可以使用隧道独占功能。启用了隧道独占功能后，如果对应隧道上没有独占应用流量时，其他应用流量可以使用此隧道转发；如果对应隧道上有需要独占此隧道的应用流量时，其它应用流量会被自动调出。

· 选路质量权重：支持为单个调度组定制选路质量权重，参考7.3.4 1. 智能调度配置。

· 调度组策略：可以选择“永久”和“按时间段”。当选择“按时间段”时，可以选择不同时间段使用不同的SLA调度策略。

按照应用调度需求完成所有调度组下发，应用进度100%即下发成功，如图7-53所示。

图7-53 调度组

7.3.5 配置效果验证

模拟“app1”的应用流量，进入[监控>拓扑管理>分支拓扑]页面，单击调度组按钮，选择“app1”调度组查询调度组路径，单击对应着色的链路，可以查询到应用转发的路径，如图7-54所示，应用流量通过“MSTP1”专线转发，符合应用调度规则。

图7-54 “app1”应用流量路径

应用路径查询，查询的是应用流量的转发路径，需要有对应的应用流量才能查到应用路径信息。

7.4 部署QoS业务

分支方案Qos包含以下业务功能，用户可以根据需求选择配置：

· WAN口限速：基于WAN接口进行限速。

· WAN口应用保障：WAN出口拥塞时，可以根据应用优先级区分保障不同应用的带宽。

· 基于Overlay链路（TTE连接）的限速和应用保障：总部设备的隧道为一对多隧道，需要支持基于Overlay链路（TTE连接）的限速和保障。

· WAN口优先级队列保障：WAN口拥塞时，可以配置优先级队列，对高优先级应用流量进行保障

· LAN口应用阻断：识别流量拒绝转发。

· 动态Qos功能：总部设备的隧道为一对多隧道时，使用基于Overlay链路的限速和保障功能时，总部配置过于复杂且无法支持基于TTE调度。通过动态Qos功能支持分支设备上报TTE下行带宽和Qos策略模板，总部设备基于分支设备上报的下行带宽进行TTE限速并支持基于TTE带宽的调度，基于分支设备上报的Qos策略模板实现业务保障功能。

使用QoS组件前需要进行设备资源全量同步，参考7.3.1 设备资源同步

7.4.1 WAN口限速

1. 物理口限速部署流程

由于运营商提供的带宽可能会小于接口带宽，因此需要对WAN口进行限速。

· WAN口带宽小于物理接口带宽时，如果不配置WAN口限速，设备会发送大于运营商限速的流量，运营商无法根据业务优先级进行丢包，有可能会丢掉协议报文或关键业务报文，因此对于有确定带宽的链路必须配置WAN口限速。

· 若需要保证在WAN口带宽拥塞时关键业务能优先转发，则需要配合配置应用保障功能进行队列保障。

· 控制组件配置WAN详情时需要指定WAN接口带宽，需要保证WAN口限速带宽和接口带宽一致。当WAN链路带宽有变化时，需要同步修改链路接口带宽和WAN口限速配置，参考8.4.3 链路可视和管理。

(1) 使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>网络公共配置>QoS管理>LR模板]页面，如图7-55所示。

图7-55 LR模板

(2) 单击<增加>按钮，配置LR模板，如图7-56所示，以对Spoke1-1接入二层专线的WAN口限速10000Kbps为例。

图7-56 增加限速模板

(3) 单击<确定>按钮，保存LR模板，如图7-57所示。

图7-57 创建完成LR模板

(4) 单击操作列中的按钮，将应用限速模板部署到设备接口，下拉选择<出方向>，搜索选择对应的WAN接口，单击选中接口，如图7-58所示。

图7-58 选择接口

(5) 单击<确定>按钮，保存已选择接口列表，如图7-59所示。

图7-59 已选择接口

(6) 单击<确定>按钮，模板将部署到设备接口上，如图7-60所示。

图7-60 部署成功

2. 功能验证

(1) 模拟发送超过链路限速的流量，确认链路限速生效。

(2) 物理口限速：查询设备上WAN口配置，确认限速配置已经下发。

<Spoke1-1>display cu int GigabitEthernet 0/2

interface GigabitEthernet0/2

port link-mode route

bandwidth 10000

ip address 11.1.5.2 255.255.255.0

ospf 1 area 0.0.0.10

qos lr outbound cir 10000 cbs 625000 ebs 0

7.4.2 WAN口应用保障

当流量出口拥塞时，可以根据应用优先级区分保障不同应用的带宽。

WAN口不能同时部署应用保障和优先级队列保障两个策略。

例如配置两个调度组“app1”和“app2”，调度路径的SLA策略相同。其中，应用流量“app1”的流行为“remark dscp”为50，“app2”的流行为“remark dscp”为40。

1. 配置应用保障模板

(1) 创建流分类，使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>网络公共配置>QoS管理>CBQoS模板>流分类模板]页面，单击匹配规则中的<增加>按钮，配置匹配规则为DSCP值，本例中配置匹配“app1”的DSCP为50，“app2”的DSCP为40，配置如图7-61、图7-62所示。

图7-61 创建流分类模板-1

图7-62 创建流分类模板-2

(2) 创建流行为，进入[自动化>网络公共配置>QoS管理>CBQoS模板>流行为模板]页面，单击<增加>按钮，配置队列。以配置“app1-af”队列带宽值1600kbps和“app2-ef”队列带宽值1400kbps为例，如图7-63、图7-64所示。

图7-63 创建流行为模板-1

图7-64 创建流行为模板-2

(3) 创建流策略，选择一组流分类与流行为，进入[自动化>网络公共配置>QoS管理>CBQoS模板>流策略模板]页面，单击<增加>按钮，将流分类与流行为的绑定增加到流分类、流行为匹配列表中，如图7-65所示。

图7-65 创建流策略模板

2. WAN口应用保障模板

配置物理接口限速，以限速3000kbps为例。

(1) 单击流策略操作列中的按钮，单击<选择接口>，以选择Spoke1-1的GigabitEthernet3/0的出方向为例，如图7-66所示。

图7-66 选择部署接口

(2) 选定接口后，将配置部署到设备上，如图7-67所示。

图7-67 部署成功

7.4.3 基于Overlay链路（TTE连接）的限速和应用保障

在EVPN方案中由于总部设备的出口对应多个分支，总部的出口带宽一般大于分支入口带宽，为了保障每一个分支的入方向流量不会超过上限，总部设备支持在隧道口配置针对不同分支的限速和应用保障。

推荐使用动态Qos功能实现TTE限速和保障，配置方式参考7.4.6 动态Qo。

在隧道上配置应用保障模板，需要先配置基于分支出口带宽的限速父策略，然后引用应用保障模板的子策略。

1. 配置应用保障模板

(1) 配置流分类，使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>网络公共配置>QoS管理>CBQoS模板>流分类模板]页面，单击<增加>按钮，在匹配规则的匹配类型选择“SDWAN TTE”。本例配置基于Spoke1-2在三层专线TTE的流分类，如图7-68所示。

图7-68 创建流分类模板

(2) 创建TTE限速的流行为，进入[自动化>网络公共配置>QoS管理>CBQoS模板>流行为模板]页面，单击<增加>按钮，在流量整形GTS区域配置承诺信息速率（CIR），以10000kbps为例。在配置（Policy）区域配置子策略，填写应用保障模板的流策略名称，以前面创建的“spokecbq”为例，如图7-69所示。

图7-69 创建流行为模板

(3) 进入[自动化>网络公共配置>QoS管理>CBQoS模板>流策略模板]页面，创建流策略，如图7-70所示。

图7-70 创建流策略模板

2. 隧道口应用保障模板

单击流策略操作列中的按钮，将策略部署在总部设备Hub1-2的三层专线隧道出方向，以Tunnel7为例，如图7-71所示。部署成功后如图7-72所示。

图7-71 选择部署接口

图7-72 部署成功

· 一般WAN口带宽都要小于物理接口带宽，需要先对WAN口进行限速然后再配置应用保障。

· 基于TTE的保障当前只支持配置绝对值保障。

7.4.4 WAN口优先级队列保障

支持在WAN口下发绝对优先级队列保障。保障高优先级对应转发。支持下发8个优先级队列。

WAN口不能同时部署应用保障和优先级队列保障两个策略。

1. 配置应用保障模板

(1) 使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>网络公共配置>QoS管理>ACL模板]页面，创建ACL，匹配对应的应用流量DSCP，只能创建数字标识的ACL。单击增加按钮增加两个新的ACL，分别匹配DSCP 50和DSCP 40，配置如图7-73、图7-74所示。

图7-73 创建ACL-1

图7-74 创建ACL-2

(2) 进入[自动化>网络公共配置>QoS管理>更多>PQ模板]页面，创建PQ模板，单击<增加>按钮，配置模板。单击<增加规则>按钮，增加对应队列，如图7-75所示。

图7-75 创建优先级队列

关键配置：

¡ 规则类型：选择协议类型。

¡ 队列优先级：队列优先级为0-7，越大越优先。

¡ 报文类型：IPv4。

¡ 协议类型：选择ACL。

¡ ACL：绑定前面创建的ACL。

对应两个应用ACL添加两个规则，如所示。

图7-76 创建优先级队列

单击<确定>按钮完成添加。

2. WAN口应用优先级队列

(1) 单击优先级队列部署设备列中的按钮，进入部署接口页面，单击<选择接口>按钮，选定接口后进行确认，如图7-77所示。

图7-77 选择接口

(2) 单击<确定>按钮后开始部署，显示部署成功如图7-78所示。

图7-78 优先级队列部署结果

7.4.5 应用阻断

对流分类匹配的应用流量，配置“deny”动作的流行为，拒绝转发该应用流量。

(1) 创建流分类，配置步骤参考7.3.2 定义应用特征和7.3.3 1. 配置流分类模板，创建流分类。

(2) 进入[自动化>网络公共配置>QoS管理>CBQoS>流行为模板]页面，单击<增加>按钮创建流行为，流量过滤（Filter）一项选择“deny”，如图7-79所示。

图7-79 创建流行为

(3) 创建流策略，将流分类与流行为绑定，并绑定在LAN的入接口上，操作参考7.3.3 3. 配置流策略模板和7.3.3 4. 接口绑定流策略模板。

7.4.6 动态QoS

在EVPN方案中总部设备的一个出口对应多个分支时，总部的出口带宽一般大于分支入口带宽，为了保障每一个分支的入方向流量不会超过上限，总部设备需要支持针对不同分支的限速和应用保障。通过动态Qos功能支持分支设备上报TTE下行带宽和Qos策略模板，总部设备基于分支设备上报的下行带宽进行TTE限速并支持基于TTE带宽的调度，基于分支设备上报的Qos策略模板实现业务保障功能。

1. 添加动态QoS

用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>站点配置 >动态QoS]页面，单击<增加>按钮，增加动态QoS页面，如图7-80所示

图7-80 增加动态QoS

关键配置说明

· 动态QoS名称：控制组件上便于用户区别的名称，本例为办公线路。

· 用户模板：下发到设备上的user-profile名称，默认以ADWAN_开头，本例为profile1。

· QoS策略模板：WVAS组件已下发的流策略模板名称，需要提前定义并下发到设备，配置方法参考7.4.2 WAN口应用保障，本例使用qos1。

· 下行带宽限速：支持配置开启/关闭，默认开启，开启总部到分支的隧道限速。

目前动态QoS里面引用的QoS策略模板只支持CAR限速和基于绝对值的队列保障。

2. 配置中心站点

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>站点配置>动态QoS]页面，单击操作栏的中心站点详情按钮，进入配置中心站点页面，单击<增加>按钮，选择需要配置的中心站点，如图7-81所示。

图7-81 配置中心站点

3. 配置分支站点隧道

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>站点配置>动态QoS]页面，单击操作栏的分支站点隧道详情按钮，进入配置分支站点隧道详情页面，单击<增加>按钮，选择需要配置的隧道，如图7-82所示。

图7-82 增加分支站点隧道

关键配置说明：

· 下行带宽(kbps)：用来配置需要在对端隧道出方向上应用的流量限速值,默认与wan详情的下行带宽值保持一致，支持修改。

· 动态QoS需要与WVAS组件配合使用，动态QoS用户模板若配置了QoS策略模板，需要在网络公共配置-QoS管理-流策略模板配置同名的QoS策略,若未配置，则会配置下发失败。

· 下发到设备的动态QoS用户模板名称，对应User-Profile配置，以ADWAN_开头，需避免与其他业务User-Profile名称相同，配置审计只审计以ADWAN_开头User-Profile配置。

8 基础运维和扩展功能

运维和可视功能配置相对独立，用户按照功能需求选择对应的章节即可，各功能需要的前置配置在对应功能介绍中进行描述。

8.1 首页展示

使用租户业务管理员（sdwan）登录统一数字底盘，可以查看租户首页信息，如图8-1所示，首页提供了10个默认Widget窗口。用户可以修改首页中的地图并配置设备的位置信息。

管理员登录可以编辑租户首页的Widget窗口。

图8-1 首页展示

Widget说明：

· 站点健康度：使用站点出方向所有链路质量的评估值进行平均，计算得出站点健康度，链路质量评估值计算方法可以参考4.2.4 运维配置中的链路质量评估值说明。

· 站点间低质量Top5：基于链路质量评估值计算得出的低质量链路Top5。链路质量评估值计算方法可以参考4.2.4 运维配置中的链路质量评估值说明。

单击Widget窗口中的链接可跳转至对应的配置页面，例如，单击左下角的“链路带宽趋势”将跳转至链路运行状态页面，如图8-2所示。

图8-2 链路运行状态

8.2 修改首页地图并配置站点位置信息

8.2.1 修改首页地图

1. 修改首页地图配置

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>参数配置>运维配置>地图配置]页面，可以配置首页显示的地图地区以及显示的链路类型，如图8-3所示。

图8-3 地图配置

关键配置参数：

· 地图类型：地图的类型，目前支持静态地图，百度地图和谷歌地图。

· API地址：所选地图类型对应的接口API地址，控制组件自动填入不建议修改。

· API密钥：所选地图类型的API密钥，需要到对应的地图官网申请。申请流程参考2. 百度地图密钥申请流程和3. 谷歌地图密钥申请流程。

· 国家：目前支持世界、亚洲、中国、哈萨克斯坦、马来西亚、日本、泰国、印度尼西亚、菲律宾、巴基斯坦和俄罗斯。

· 省份/市/区县：当选择中国时，可以选择省份、市和区县。

· 展示所有站点：开启代表展示当前地图中的所有站点，关闭后仅展示当前地图本层级及其下一层级的站点。仅静态地图支持该功能。

· 链路类型：选择默认展示的链路是Underlay链路或者Overlay链路。

分别单击<确定>按钮保存配置。

· 仅国家为中国时可配置省、市和区/县。

· 使用百度或者谷歌地图时，需要设置正确密钥且必须联网。

· 切换地图类型后，需要重新配置站点地理位置数据。

2. 百度地图密钥申请流程

(1) 单击密钥申请链接http://lbsyun.baidu.com/apiconsole/key?application=key，进入百度地图官网。

(2) 在官网注册账号并登录。

(3) 个人开发选择成为个人开发者，企业开发选择成为企业开发者。

(4) 选择企业开发者进入注册开发者账号。

(5) 根据要求完善开发者信息。

(6) 等待注册结果。

(7) 注册成功后，再次单击上述申请链接进入百度地图控制台。

(8) 选择“我的应用 > 创建应用”。

(9) 应用类型选择浏览器端。

(10) 启用相应服务，配置IP白名单。

(11) 单击<提交>按钮，获得密钥。

3. 谷歌地图密钥申请流程

(1) 单击密钥申请链接https://developers.google.com/maps/documentation/javascript/get-api-key，进入谷歌地图官网。

(2) 在官网注册账号并登录。

(3) 创建谷歌地图项目。

(4) 在左侧导航栏中选择“Set up in Cloud Console”，在[Create a project]页签中，单击<Create new project>按钮。

(5) 填写项目信息，单击<CREATE>按钮，创建新项目。

(6) 获取谷歌地图API key。

(7) 在左侧导航栏中选择“Set up in Cloud Console”，在[Enabling APIs]页签中，单击<Enable the Maps JavaScript API>按钮。

(8) 选择新建项目，单击<ENABLE>按钮，开启Maps JavaScript API功能。

(9) 在[Credentials]页签，单击<CREATE CREDENTIALS>按钮，单击<API key>按钮，获取API key。

(10) （可选）去除谷歌地图水印。

(11) 在左侧导航栏选择“Set up in Cloud Console”，在[Creating budgets and setting alerts]页签中，单击<Go to the Billing page>按钮。

(12) 单击<ADD BILLING ACCOUNT>按钮，填写个人信息。

(13) 单击<START MY FREE TRIAL>按钮，完成去除水印操作。

8.2.2 设置站点位置

用户导入站点和设备时，可以直接导入站点的位置信息，配置方式参考4.4.2 站点和设备。导入或增加站点和设备后，也可以修改设备的位置信息。进入[自动化>分支网络>物理网络>站点管理]页面可以查询到站点列表，选择需要修改位置信息的设备，单击操作列中的按钮，修改地址位置，如图8-4所示。

图8-4 修改地理位置

如果需要呈现Underlay链路信息、虚拟的云节点等也需要配置位置信息，进入[自动化>分支网络>物理网络>站点配置>WAN链路]页面，对于三层专线或者Internet网络，可以修改位置信息，单击操作列中的按钮，修改地址位置，如图8-5所示。

图8-5 修改地理位置

如果在中文环境下配置了地理位置，切换到英文环境时，站点的地理位置仍然显示为中文。如果在英文环境下配置了地理位置，切换到中文环境时，站点的地理位置仍然显示为英文。

8.3 编辑首页

使用租户业务管理员（sdwan）登录统一数字底盘，单击选择“首页配置“，如图8-6所示。

图8-6 首页编辑

可以通过下拉菜单选择首页大屏，用户可以选择默认的大屏首页，用户重新登录时可以切换首页显示。

单击“自定义大屏”进入可视化大屏编辑器，可以编辑可视化大屏，如图8-7所示。

图8-7 编辑可视化大屏

用户可以自己定制化自己的大屏展示，编辑后需要单击右上角的按钮保存配置。

8.4 基础可视运维

控制组件提供了基础可视功能，包括：

· 拓扑可视和管理：可以查询控制组件拓扑，并且可以在拓扑上查询相关设备信息、链路信息和应用路径信息，并且可以直接在拓扑上增加或删除设备。

· 设备可视和编辑：提供设备列表可以查询设备状态，包括设备板卡状态和接口状态等。

· 链路可视和管理：提供Underlay和Overlay链路列表，可以查询到链路基础信息和历史信息，以及链路实时运行情况。

· 站点维度可视：可以基于站点维度呈现拓扑和相关信息。

8.4.1 拓扑可视和管理

使用租户业务管理员（sdwan）登录统一数字底盘，进入[监控>拓扑管理>分支拓扑]页面，可以查看到拓扑信息，用户可以拖动设备，自己编辑拓扑，如图8-8所示。

图8-8 拓扑管理

拓扑页面支持关键操作如下（对于缩放等常用操作不做解释）：

(1) 拓扑视图：可以编辑自定义视图并通过下拉菜单选择对应视图。

单击<自定义拓扑视图>按钮，可以进入拓扑视图页面，单击<增加>按钮可以添加一个自定义视图，视图名称为总部1，选择总部1和所有分支，如图8-9所示，单击确定保存配置。

图8-9 增加拓扑视图

添加完成后，可以通过操作中的按钮设置对应视图为当前视图，如图8-10所示，这样进入分支拓扑直接显示对应视图

图8-10 设置当前视图

进入拓扑试图后，可以下拉菜单可以选择展示的视图，例如选择展示总部1视图，如图8-11所示。

图8-11 切换视图

(2) 站点组：可对站点进行分组，例如将Branch1、Branch2站点合并为一个站点组，组名为“Branch”，如图8-12、图8-13所示。

图8-12 站点组配置

图8-13 站点组拓扑

(3) 调度组：可以查询调度组的转发路径，具体操作可以参考7.3 调度组流量调度及可视。

(4) 链路流量：可以展示链路历史和实时流量TOPN，可选链路类型为Underlay或Overlay。对于历史流量，用户还可以设置时间范围，如图8-14所示。

图8-14 流量TOPN

(5) 节点定位：可以查找对应节点，居中显示定位节点，如图8-15所示。

图8-15 节点定位

(6) 业务网络可以选择对应的业务网络，只呈现链接到此网络的设备和链路，如图8-16所示。

图8-16 Internet业务网络

(7) 单击按钮可以设置自动刷新周期，最小刷新周期为1分钟，如图8-17所示。

图8-17 配置刷新周期

(8) Overlay和Underaly切换：可以切换Overlay或Underlay拓扑展示。切换到Overlay后可以通过和切换IPv4和IPv6的拓扑，如图8-18所示。

图8-18 Overlay拓扑

(9) 单击站点查询站点相关信息，包括站点名称、站点角色、站点内设备信息（包括cpu利用率、内存利用率、温度、告警）以及站点内设备SDWAN隧道数量（Overlay拓扑呈现，Underlay拓扑不呈现），如图8-19所示。展开站点后，单击设备可以查询对应设备的相关信息。

图8-19 设备信息查询

(10) 单击链路，在链路列表中可以查询到链路相关信息，如图8-20所示，单击操作列中的按钮可以查询到链路历史信息，如果有告警也可以单击操作列中的按钮查询到对应告警信息。

图8-20 链路信息查询

(11) 右键单击页面，可以直接增加站点。

(12) 右键单击站点，支持查看站点详情、修改或删除站点。

8.4.2 设备可视和管理

(1) 使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备管理]页面，可以查看设备列表，如图8-21所示。

(2) 修改设备位置，配置过程参考8.2 修改首页地图并配置站点位置信息。

(3) 升级设备版本，配置过程参考8.10 设备版本升级。

(4) 备份设备配置，进行设备替换，配置过程参考8.11 设备配置备份恢复和替换。

图8-21 设备列表

(5) 选择[接口管理]页签，通过下拉菜单选择设备，可以查询设备接口状态，并可以修改设备接口的描述信息和TCP MSS值，如图8-22所示。

图8-22 设备接口管理

(6) 选择[板卡管理]页签，通过下拉菜单选择设备，可以查询设备板卡状态。当设备板卡出现异常时，可单击操作列中的按钮确认板卡或子卡的状态，如图8-23所示。

图8-23 设备板卡管理

· 如果有设备板卡拔出的情况下，设备会生成告警，必须在此页面确认拔出，对应告警才能恢复。

· 当有设备板卡损坏或拔出时，为防止出现配置丢失，控制组件不会自动保存配置，请尽快处理板卡异常。

· 在确认板卡不再继续使用的情况下，可以单击<确认拔出>按钮，确认拔除后会清除控制组件板卡相关业务配置数据、子卡信息及接口信息，例如：LAN、WAN详情配置等。注意此操作清除的配置不可恢复，请谨慎使用。

8.4.3 链路可视和管理

(1) 使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>物理链路>链路管理]页面或[自动化>分支网络>虚拟网络>虚拟链路>链路管理]页面，可以查看链路列表，如图8-24所示。支持切换Underlay和Overlay链路显示。可以显示链路状态，包括Underlay和Overlay链路状态显示，单击操作列中的“编辑”按钮，可以修改Underlay链路的可分配带宽。

图8-24 链路列表

(2) 选择[链路运行状态]页签，可以查询到链路的实时运行状态，如图8-25所示。单击操作列中的按钮，可以查看链路的历史信息，在Overlay链路中还能查询到应用的流量信息，如图8-26所示。

图8-25 链路运行状态

图8-26 链路历史信息

控制组件Overlay链路状态可能和设备不一致，可以单击设备列表中对应设备后面的按钮，手动进行状态同步。

8.4.4 站点维度可视

(1) 使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>站点管理]页面，可以查看站点列表，如图8-27所示。

图8-27 站点列表

(2) 选择对应的站点，单击操作列中的按钮，可以查询站点详情，如图8-28所示。中间的拓扑区域会显示站点所有互联链路，两侧窗口显示站点的基础信息、站点内设备的性能信息、站点隧道信息，链路信息，应用信息，告警信息等。

图8-28 站点详情

8.5 告警配置

控制组件可以对自己产生的告警进行配置，包括链路告警配置、告警归类和告警阈值配置。

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>参数配置>运维配置>告警配置]页面。

(1) 对链路告警进行配置：用户可以基于Underlay和Overlay配置是否发送链路告警，如图8-29所示，通常情况下不推荐对链路抖动进行告警。

图8-29 链路告警配置

(2) 告警归类：启用告警归类后，用户可以将告警进行归类，减少发送的告警，如图8-30所示。

图8-30 告警归类

关键参数说明：

¡ 设备下线不发送链路告警：启用后需要配置回溯时间，设备下线后，在回溯时间内，链路的下线告警都不发送。

¡ 下线告警容错：启用后设备/链路闪断引发的下线告警不发送，在延时时间之内设备/链路恢复上线则为闪断，非闪断情况下告警将延迟对应时间后发送。

¡ Underlay下线不发送Overlay告警：开关开启后，当Underlay链路下线时，Underlay对应的Overlay链路不会发送任何告警信息。

(3) 告警阈值配置：配置告警阈值，包括相关告警开关，如图8-31所示。

图8-31 告警阈值配置

8.6 应用调度告警

用户希望监控高优先级应用的路径，当高优先级应用不通过主路径转发时发出告警。通过配置调度组是否使能调度告警开关以及告警阈值，可实现通过告警通知关键流量未在最优路径上转发。

8.6.1 配置告警全局开关和阈值

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>参数配置>运维配置>告警配置>告警阈值配置]页面，单击“调度组选路告警(KB)”后面的按钮，可以进行配置告警开关和阈值，开关默认开启，仅支持次要告警，如图8-32所示。

图8-32 调度组选路告警

关键配置说明：

· 次要告警阈值 (KB)：触发调度告警的阈值，当应用流量在非主路径上的流量超过了阈值则进行告警。

8.6.2 配置调度告警开关

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>应用调度 >调度组]页面，调度组高级选项可以进行配置调度告警开关，开关默认关闭。如图8-33所示。

图8-33 调度告警

8.6.3 功能验证

当流量未走在最优路径上时，会发出告警，包含调度ID，当前路径，如图8-34所示。

图8-34 应用调度告警

流量恢复到最优路径时，可恢复告警，如图8-35所示。

图8-35 应用调度告警恢复

单租户最多支持5个调度组开启调度告警开关且实例数量不超过1000。

8.7 分权分域配置

8.7.1 分权分域配置

通过分权分域功能可以实现不同级别用户管理或查询不同的设备和VPN以及分配不同的权限。

参考 5.4 VPN管理创建一个新的VPN：VPN2并绑定所有设备。分权配置需求如表8-1所示。

表8-1 分权分域配置需求

用户	权限	管理网络设备和VPN	备注
sdwan1	业务管理员权限不支持应用调度相关管理权限，只支持应用调度相关查询权限	管理设备：Hub1-1、Hub1-2、Spoke1-1、Spoke1-2 管理VPN：全部VPN
sdwan2	业务管理员权限不支持网站缓存管理和查询权限	管理设备：全部设备管理VPN：VPN1

用户

权限

管理网络设备和VPN

备注

sdwan1

业务管理员权限

不支持应用调度相关管理权限，只支持应用调度相关查询权限

管理设备：Hub1-1、Hub1-2、Spoke1-1、Spoke1-2

管理VPN：全部VPN

sdwan2

业务管理员权限

不支持网站缓存管理和查询权限

管理设备：全部设备

管理VPN：VPN1

(1) 复制创建角色，选择用户作用范围，指定管理的设备和VPN。

使用租户系统管理员（admin）登录统一数字底盘，进入[系统>角色管理>角色列表]页面，复制创建两个新的角色：

¡ 网络设备管理角色-1：搜索“网络设备管理角色“，单击角色后面的按钮，复制一个新的角色。角色名称：网络设备管理角色-1，指定作用范围，选择资源：Hub1-1、Hub1-2、Spoke1-1和Spoke1-2。选择需要授予管理权限的设备，如所示。

¡ 分支网络管理员-2：搜索“分支VPN管理管理员”，单击角色后面的按钮，复制一个新的角色。角色名称：分支VPN管理管理员-1，指定作用范围，选择资源：VPN1，选择需要授予权限的VPN，如图8-36所示。

图8-36 创建网络设备管理角色-1

图8-37 创建分支VPN管理管理员-1

(2) 复制创建角色组，创建对应的权限。

使用租户系统管理员（admin）登录统一数字底盘，进入[系统>角色管理>角色组列表]页面，复制创建两个新的角色：

¡ 业务管理组1：单击业务管理组后面的按钮，复制一个新的角色组。角色组名称：业务管理组 1，选择按角色授权，在角色中搜索“调度”相关角色，将生效角色的调度管理相关角色选中后单击取消授权，将所有角色中的调度相关查询角色选中后单击增加授权，如图8-38所示；在角色中搜索“网络设备”相关角色，将生效角色的网络设备管理角色选中后单击取消授权，将所有角色中的网络设备管理角色-1选中后单击增加授权，如图8-39所示。

¡ 业务管理组2：单击业务管理组后面的按钮，复制一个新的角色组。角色组名称：业务管理组 2，选择按角色授权，在角色中搜索“网站缓存”相关角色，将相关生效角色选中后单击取消授权，如图8-40所示；在角色中搜索“VPN”相关角色，将生效角色的分支VPN管理管理员角色选中后单击取消授权，将所有角色中的分支VPN管理管理员-1选中后单击增加授权，如图8-41所示。

图8-38 创建业务管理组1-调度

图8-39 创建业务管理组1-网络设备

图8-40 创建业务管理组2-网站缓存

图8-41 创建业务管理组2-VPN管理

(3) 创建用户

使用租户系统管理员（admin）登录统一数字底盘，进入[系统>操作员管理>操作员列表]页面，创建两个新的操作员：

¡ sdwan1：创建操作员sdwan1，选择人员归组：业务管理组1，如图8-42所示。

¡ sdwan2：创建操作员sdwan2，选择人员归组：业务管理组2，如图8-43所示。

图8-42 创建操作员sdwan1

图8-43 创建操作员sdwan2

· 指定用户管理特定资源时，需要创建单独的角色，配置角色组时需要将原有默认的角色取消授权（包含所有资源的管理权限），否则针对特性资源管理配置不生效。

· 分域需要授予资源查看的权限，本手册中直接在新建的角色中绑定了对应的权限，也可以使用缺省的资源组查看角色或者管理角色。

· 分支VPN资源时，如果用户有对应的VPN资源，在分支租户网络中可以查询到对应VPN的所有配置即使没有设备相关的管理权限。

8.7.2 功能验证

1. sdwan1用户功能验证

(1) 使用sdwan1登录控制器后，进入[自动化>分支网络>应用调度>调度组]页面，只有查询权限。如图8-44所示。

图8-44 调度组

(2) 进入[自动化>分支网络>物理网络>设备管理>设备管理]页面，查看设备列表，只能看到授权的设备列表，如图8-45所示。

图8-45 设备列表

2. sdwan2用户功能验证

(1) 使用sdwan2登录控制器后，进入[自动化>分支网络]页面，查看左侧菜单，无法看到网站缓存菜单。如图8-46所示。

图8-46 菜单查询

(2) 进入[自动化>分支网络>虚拟网络>VPN管理>VPN实例]页面，查看VPN列表，只能看到授权的VPN，如图8-47所示。

图8-47 VPN列表

8.8 远程管理

设备注册成功后，控制组件可以通过WebSocket通道对设备进行远程管理。

远程管理分为两种模式：

· 非Telnet模式：直接通过WebSocket连接设备下发命令行，可以回显对应命令的执行结果。此方式不需要额外增加设备配置，但是不支持Tab键和“？”帮助。

· Telnet模式：使用Telnet over WebSocket方式，设备需要额外增加配置，可以支持Tab键和“？”帮助。

由于控制组件远程管理无法收集设备调试信息，可以通过远程管理下发设备远程登录相关配置，远程登录设备进行调试，具体配置方式请参考路由器相关操作手册。

8.8.1 非Telnet模式

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>维护保障>远程管理]页面，通过下拉菜单选择对应的设备，命令行代理不使能Telnet，可以直接对设备下发命令行。如图8-48所示，远程管理设备Spoke1-1，查询BGP状态。

图8-48 非Telnet方式

8.8.2 Telnet模式

使用Telnet模式远程管理设备，支持三种认证方式：

· 用户名/密码认证登录方式：需要输入用户名和密码进行认证。

· 密码认证方式：直接输入密码进行认证。

· 不认证方式：直接登录，不进行认证。

1. 用户名/密码认证登录方式

(1) 远程管理设备时需要输入用户名和密码认证，对设备的控制权限在登录用户中授权。需要在设备上下发配置命令：

line vty 0 63

authentication-mode scheme //使用scheme认证，默认为用户名/密码认证

local-user telnet //登录使用的用户名

password simple Pwd@123456 //认证的密码

service-type telnet //需要配置Telnet服务类型

authorization-attribute user-role network-admin //用户权限

(2) 使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备>远程管理]页面，通过下拉菜单选择对应的设备，命令行代理使能Telnet。如图8-49所示，远程管理设备Spoke1-1，输入“？”进行命令行提示。

图8-49 用户名/密码认证-Telnet模式

2. 密码认证登录方式

(1) 远程管理设备时需要输入密码认证，对设备的控制权限在VTY用户线中授权。需要在设备上下发配置命令：

line vty 0 63

authentication-mode password //使用密码认证

set authentication password simple Pwd@123456 //配置密码认证时需要设置密码

user-role network-admin //用户权限

(2) 使用租户业务管理员（swan1）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备>远程管理]页面，通过下拉菜单选择对应的设备，命令行代理使能Telnet。如图8-50所示，远程管理设备Spoke1-1，输入“？”进行命令行提示。

图8-50 密码认证-Telnet模式

3. 不认证登录方式

(1) 配置登录不认证，对设备的控制权限在VTY用户线中授权。需要在设备上下发配置命令：

line vty 0 63

authentication-mode none //不认证

user-role network-admin //用户权限

(2) 使用租户业务管理员（swan1）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备>远程管理]页面，通过下拉菜单选择对应的设备，命令行代理使能Telnet。如图8-51所示，远程管理设备Spoke1-1，输入“？”进行命令行提示。

图8-51 不认证-Telnet模式

VTY用户线下认证配置为全局配置，需要符合用户安全策略，一般推荐使用“用户名/密码认证登录方式”。

8.9 运维诊断工具

控制组件提供了Ping和Tracert两种运维诊断工具，可以在指定的设备上进行Ping或者Tracert操作，对网络进行排查。

8.9.1 Ping

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>维护保障>运维诊断>Ping]页面，单击<诊断>按钮，增加一个新的Ping诊断，如图8-52所示。

图8-52 Ping诊断

关键参数说明：

· 设备名称：通过下拉菜单选择执行Ping命令的设备。

· VPN名称：指定执行Ping操作的VPN，选择VPN名称后，选择接口时会根据VPN进行过滤。

· 出接口名称：指定发送ICMP报文的出接口，通过下拉菜单选择。

· 源地址：用户可以指定发送ICMP报文的源地址。

· 目的地址：目的端的IP地址或主机名，其中配置主机名时，该主机名需要能够正确解析。

· 包大小：指定发送的ICMP回显请求报文的长度。

· 包数量：指定ICMP回显请求报文的发送次数。

单击<确定>按钮开始进行探测。等待一段时间后会，状态显示成功，可以点开查看探测结果，如图8-53所示。

图8-53 Ping探测结果

8.9.2 Tracert

用户如果需要使用Tracert功能，需要在转发路径的所有设备上手动配置以下命令，否则Tracert探测可能无法显示最终结果。

<spoke1>system-view

[spoke1]ip ttl-expires enable

[spoke1]ip unreachables enable

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>维护保障>运维诊断>Tracert]页面，单击<诊断>按钮，增加一个新的Tracert诊断，如图8-54所示。

图8-54 Tracert诊断

关键参数说明：

· 设备名称：通过下拉菜单选择执行Tracert命令的设备。

· VPN名称：指定执行Tracert操作的VPN，选择VPN名称后，选择接口时会根据VPN进行过滤。

· 出接口名称：指定发送Tracert报文的出接口，通过下拉菜单选择。

· 源地址：用户可以指定发送探测报文的源地址。

· 目的地址：目的端的IP地址或主机名，其中配置主机名时，该主机名需要能够正确解析。

· 目的端口：用户一般不需要更改此选项。当Tracert的目的地址为远端LISP站点的EID地址时，目的端的UDP端口号必须大于或等于33434。

· 超时时间：指定探测报文的响应报文的超时时间。

· 初始TTL：第一个报文所允许的最大跳数3.1.2.1。

· 包数量：探测报文回显请求的发送次数。

单击<确定>按钮开始进行探测。等待一段时间后会，状态显示成功，可以点开查看探测结果，默认以表模式显示，如图8-55所示。可以通过右上角的切换按钮，切换成图模式，显示探测报文经过的路径，如图8-56所示。

图8-55 Tracert探测结果-表模式

图8-56 Tracert探测结果-图模式

8.10 设备版本升级

控制组件可以对设备版本进行升级，支持单设备版本升级和批量设备版本升级。设备使用HTTPS协议访问控制组件统一北向地址的35000端口，下载升级需要的版本。

设备版本升级流程如图8-57所示。

图8-57 升级设备流程图

· 如果控制组件前面有防火墙，需要放通控制组件统一北向地址的TCP 35000端口。

· 如果控制组件前面有NAT设备，控制组件统一北向地址通过NAT映射到外网，则需要使用相同的公网地址，增加映射TCP 35000端口。

8.10.2 上传待升级的设备版本

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>维护保障>设备升级>设备版本管理]页面，单击<上传版本>按钮，上传待升级的设备版本。支持上传IPE版本文件和BIN版本文件，版本上传后按照设备款型+版本号进行分类，如图8-58所示。

图8-58 设备版本管理

· 设备版本上传时只支持上传IPE文件和BIN文件，必须保证文件名唯一。

· 控制组件升级设备版本只支持IPE版本文件和补丁BIN版本文件，其它类型的版本文件无法通过控制组件升级。

8.10.3 单个设备版本升级

1. 选择设备进行升级

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备管理]页面，单击待升级设备操作列中的[>升级]按钮，进入版本升级配置页面，页面会显示此设备款型支持的版本文件，如图8-59所示。

图8-59 设备版本管理

关键参数说明：

· 版本上传路径：版本上传的路径，一般选择默认路径即可。

对于小容量MSR设备控制器会判断设备是否支持小容量设备升级策略，若支持则自动使用小容量版本升级。

选择需要升级的版本文件，单击<下一步>按钮进入升级前检查页面。

2. 升级前检查

设备升级前检查页面如图8-60所示。

图8-60 设备升级前检查

单击<检查>按钮可以对设备进行检查，检查项如下：

· 设备状态检查：设备状态必须为在线状态才能进行升级。

· 设备板卡检查：需要检查设备版本是否有损坏，由于使用IPE文件版本升级会保存配置后重启，如果有版本损坏可能导致配置丢失。

· 设备类型检查：检查款型是否和版本文件匹配。

· 设备剩余磁盘空间检查：检查设备剩余的磁盘空间是否满足升级需求，需要保证剩余空间为IPE文件大小的两倍，小容量版本升级需要大于一倍。

检查通过如图8-61所示。

图8-61 检查通过

单击<升级>按钮，创建升级任务。

· 不进行升级前检查或升级检查失败仍强制进行升级，可能导致升级失败或部分配置丢失，请谨慎评估使用。

· 存储空间检查是针对设备的所有存储空间，如果设备有多个存储控制空间，例如sda0和sda1，必须所有存储空间都符合要求才能检查通过。

3. 升级任务

创建升级任务后，自动开始升级。

(1) 检查磁盘剩余空间，如果剩余空间不满足需求则无法进行升级。此检查无法跳过，如果不满足需求，用户需要手动删除设备上的文件，释放空间后再进行升级。

(2) 设备自动下载版本，通过HTTPS协议完成版本下载。

(3) 版本下载完成后需要用户手动单击操作列中的按钮，继续进行升级，如图8-62所示。

图8-62 升级任务

(4) 如果升级失败可以单击按钮重新进行升级，如图8-63所示。

图8-63 升级失败

(5) 下发对应的升级命令，设备保存配置后重启完成升级。

(6) 进入[自动化>分支网络>维护保障 >设备升级>维护记录]页面，可以查询到对应的升级任务，如图8-64所示。

图8-64 维护记录

如果升级失败可以直接重试，如果希望重新升级需要先删除失败的升级任务。

8.10.4 批量设备版本升级

1. 选择升级使用的版本

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>维护保障>设备升级>设备版本管理]页面。选择需要升级的版本，单击按钮，进入设备升级配置页面，控制组件会列出适用此版本的所有设备，用户可以批量选择需要升级的设备，本例中选择两个设备同时进行升级，如图8-65所示。

图8-65 设备升级配置

单击<下一步>按钮进入升级前检查页面。

2. 升级前检查

进入设备升级前检查页面，单击<检查>按钮可以对设备进行检查，检查项如下：

· 设备状态检查：设备状态必须为在线状态才能进行升级；

· 设备板卡检查：需要检查设备版本是否有损坏，由于使用IPE文件版本升级会保存配置后重启，如果有版本损坏可能导致配置丢失。

· 设备类型检查：检查款型是否和版本文件匹配；

· 设备剩余磁盘空间检查：检查设备剩余的磁盘空间是否满足升级需求

· 所有待升级设备都会进行检查，检查完成后可以显示设备的检查结果，检查通过如图8-66所示。

图8-66 检查通过

检查完成后单击<升级>按钮，创建升级任务。

· 如果不进行升级前检查或升级检查失败仍强制进行升级，可能导致升级失败或部分配置丢失，请谨慎评估使用。

· 单个租户限制同时升级的设备数量不能超过100台

· 批量选择设备升级会同时对多台设备进行操作，并行下载版本文件（哈希分配下载线程，最多同时20台设备下载版本），需要保证3个小时内完成批量升级设备版本推送，否则会判断版本下载失败。请根据网络情况谨慎选择批量升级的设备数量。

· 补丁版本只支持批量升级，无法通过设备列表选择补丁版本升级，且补丁升级时用户需要手动保障补丁版本适配的设备款型。

3. 升级任务

创建升级任务后，自动开始升级。

(2) 设备自动下载版本，下载版本为并行任务，所有设备同时进行版本下载。

(3) 版本下载完成后用户可以复选设备，单击<继续>按钮，选中设备继续进行升级如图8-67所示。

图8-67 升级任务

(4) 下发对应的升级命令，设备保存配置后自动重启完成升级，如果升级失败也可以通过单击按钮重新进行升级，

(5) 进入[自动化>分支网络>物理网络>设备>维护记录]页面，可以查询到对应的升级任务。

如果升级失败可以直接重试，如果希望重新升级需要先删除失败的升级任务。

8.11 设备配置备份恢复和替换

用户可以手动或定时进行设备配置备份并使用备份的文件进行配置恢复。设备配置备份完成后也可以使用相同的设备进行设备替换。设备使用HTTPS协议访问控制组件统一北向地址的35000端口，上传或下载备份配置。

设备配置备份恢复和替换流程见图8-68。

图8-68 手动备份恢复替换流程

· 如果控制组件前面有防火墙，需要放通控制组件统一北向地址的TCP 35000端口。

· 如果控制组件前面有NAT设备，控制组件统一北向地址通过NAT映射到外网，则需要使用相同的公网地址，增加映射TCP 35000端口。

8.11.2 手动备份配置

(1) 使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备管理]页面，选择需要备份配置的设备，单击备份按钮进行备份，如图8-69所示。

图8-69 手动备份设备配置

(2) 单击设备操作列中的按钮查看设备配置文件，如图8-70所示。

图8-70 配置文件

(3) 选择对应的配置文件，单击操作列中的按钮可以下载配置文件，单击操作列中的按钮可以查询配置文件。用户也可以单击<上传配置文件>按钮上传配置文件。

(4) 进入[自动化>分支网络>物理网络 >设备管理>维护记录]页面，可以查询到配置备份记录，如图8-71所示。

图8-71 维护记录

· 控制组件只能为每台设备保存30份备份配置，超出数量限制会自动覆盖最早期的配置文件，如果用户需要保存早期的备份配置，请手动下载。

· .单个租户维护记录最多支持3000条记录，超过后，最旧的记录会被删除

8.11.3 定时备份配置

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>参数配置>运维配置>设备定时备份配置]页面，开启定时备份功能，如图8-72所示。

图8-72 定时备份配置

目前缺省开启定时备份功能。

8.11.4 设备配置恢复

设备配置备份成功后，可以使用早期的配置文件进行配置恢复。

(1) 使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备管理]页面，单击操作列中的按钮查看备份的设备配置文件，如图8-73所示。

图8-73 配置文件

(2) 选择对应的配置文件，单击操作列中的恢复按钮可以进行配置恢复，如图8-74所示，单击<确定>按钮进行恢复。

图8-74 配置恢复确认

(3) 恢复完成后会显示恢复状态及恢复时间，如图8-75所示。

图8-75 恢复状态

· 需要使用保存的配置文件进行配置恢复，如果手动对配置文件进行编辑，可能恢复不成功。

· 配置恢复使用的是配置回滚命令，可能出现各种恢复失败的情况，请评估后谨慎使用。

8.11.5 设备替换

设备配置备份成功后，如果出现设备故障，可以使用相同的设备对故障设备进行替换。

1. 增加新设备并注册

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>物理网络>设备管理]页面，单击<增加>按钮，增加一台新设备，如图8-76所示。设备名称和Router ID都是临时配置，设备替换后会替换为原有设备配置。必须保证设备序列号正确，否则新增设备无法注册。

图8-76 增加设备

将被替换设备上的物理连线迁移到新设备上。设备增加完成后，不需要绑定站点或导入WAN详情，由于设备连线和被替换设备一致，可以直接使用被替换设备的配置注册上线。如果被替换设备使用URL或者U盘开局，也可以直接使用被替换设备的URL或U盘完成开局部署，参考4.7 U盘/邮件开局。新增替换设备注册成功，被替换设备下线。

2. 执行设备替换

选择被替换的故障设备，单击操作列中的[更多>替换]按钮：

(1) 选择需要使用的故障设备配置文件，如图8-77所示，单击<下一步>按钮。

图8-77 故障设备配置

(2) 选择替换设备的名称，通过下拉菜单选择替换设备，如图8-78所示，单击<下一步>按钮。

图8-78 替换设备配置

(3) 进行替换前的检查：

a. 检查配置文件：检查本次替换选择的故障设备配置文件在服务器上是否存在。

b. 故障设备状态检查：单设备替换时确认故障设备是否离线，堆叠替换成员时确认序列号对应的堆叠成员是否离线。

c. 新设备纳管状态检查：确认新设备是否被纳管。

d. 设备类型检查：确认替换和被替换设备款型是否一致。

e. 设备软件版本检查：确认替换和被替换设备版本是否一致。

f. 新设备剩余磁盘空间检查：确认新设备存储空间是否满足需求

如图8-79所示，检查通过后单击<替换>按钮进行设备替换。

图8-79 故障设备替换前检查

(4) 显示替换任务信息。控制组件向新替换设备推送配置文件，并设置配置文件为启动文件，重启设备。

(5) 进入[自动化>分支网络>物理网络>设备管理>维护记录]页面，可以查询到设备替换记录。

· 新设备替换旧设备时，新设备不能配置任何业务也不能加入站点，否则可能导致替换失败。

· 选择故障设备配置文件时最好使用备份得到的文件，不允许修改配置文件内容。

· 设备替换后，被替换的设备不允许重新被控制器纳管，如果需要重新被控制器纳管请联系研发处理。

8.12 配置审计

控制组件提供配置审计功能，能够对比设备当前配置与控制组件数据库中保存配置的差异。页面提供对配置审计结果查看、操作、导出功能，用户可以根据实际需要对差异配置进行同步、忽略操作。

8.12.1 审计策略

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>维护保障>配置审计]页面，单击<审计策略>按钮，可以配置全局审计策略，指定免审计的模块。，如图8-80所示。对设备配置进行审计时，所有免审计的模块都不会进行审计。

图8-80 审计策略

8.12.2 配置审计

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>维护保障>配置审计]页面，如图8-81所示。

图8-81 配置审计

单击操作列中的“开始审计”按钮，对设备进行配置审计操作。

单击操作列中的“审计结果”按钮，查看该设备最近一次的配置审计结果。通过数据模块、数据类型选择查看审计结果，如图8-82所示。

图8-82 审计结果

审计结果的展示、操作以控制组件保存的配置为基准，高亮展示控制器和设备不同的配置。

在数据模块列表通过下拉菜单选择数据模块，在数据类型选择差异配置和无差异配置，支持以下操作：

· 勾选控制器组件中和设备差异的配置，单击同步按钮，会自动将控制器配置同步到设备。

· 勾选设备中和控制器差异的配置，单击珊瑚按钮，会删除设备比控制器多的配置，

· 勾选差异配置，单击<忽略>按钮，提示本次忽略还是永久忽略，如图8-83所示。选择本次则只忽略当前审计差异，再次审计还会提示差异；选择永久则永久忽略此差异，再次审计也不会提示差异。

图8-83 忽略生命周期

· 配置同步或者删除会更新设备运行配置，有可能影响现有业务功能，请联系解决方案支持部评估后再进行操作。

· 对于设备无法平滑的差异配置，控制器直接配置同步有可能无法成功，需要先删除设备冲突配置后再使用控制器配置同步下发。

8.13 配置校验

控制组件提供配置校验功能，通过配置校验功能，实现对指定设备配置获取、配置对比功能。

8.13.1 配置获取

(1) 使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>维护保障>配置校验>配置获取]页面。

(2) 勾选设备，单击<配置获取>按钮，获取当前设备配置，如图8-84所示。

页面展示最近一次获取配置的时间和获取状态，获取到的配置文件可在配置对比页面查看和操作。配置获取功能最多可以保存5份设备配置文件，当设备配置文件超过5份时，需要在配置对比页面删除配置文件，才可以继续使用配置获取功能。

图8-84 配置获取

8.13.2 配置对比

配置对比页面提供对配置文件的下载、删除、修改备注、对比功能。

(1) 使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>业务保障>配置校验>配置对比]页面，下拉菜单选择设备，可以查看到设备获取到的全部配置文件。

(2) 通过操作列中的按钮，可以对配置文件进行修改、删除、下载操作。勾选需要对比的两份配置文件，单击<对比>按钮，即可弹出两份配置文件对比结果框，如图8-85所示。

图8-85 配置对比框

8.14 站点上网

站点上网是根据用户对上网流量的不同要求，指定站点访问互联网的流量由本地转发还是由特定的CPE集中上网。目前普通上网支持本地上网、集中上网和混合上网；应用上网支持应用本地上网和应用集中上网。对于站点双网关组网，当前不支持跨设备的应用本地上网。

Branch1里面的设备Spoke1-2增加一个接口GE7/0连接互联网，本文档中配置示例规划站点上网配置模型见表8-1：

表8-1 站点上网配置需求

站点	上网模型	本地上网接口	路由优先级	是否探测（探测地址）	是否NAT
HQ1	本地上网集中上网网关	GE2/0.2（LAN口）	3	是对端地址	否
Branch1	本地上网集中上网备份	GE7/0（非LAN，非WAN）	3	否	是
Branch2	本地上网集中上网备份	GE4/0（WAN口） GE5/0（WAN口）	3	是 8.8.8.8（公网地址）	是
Branch3	集中上网本地上网备份	GE4/0（WAN口）	7	否	是

表8-2 应用上网配置需求

站点	上网模型	应用说明	上网出口
HQ1	本地上网应用集中上网网关
Branch1	缺省本地上网部分应用集中上网	公网域名：baidu.com	HQ1
Branch3	缺省集中上网部分应用本地上网	公网域名：baidu.com	GE4/0

· 本地上网时，使用PublicVPN接口作为上网口时，建议启用出方向动态地址转换功能（NAT功能），否则需要手动在设备上配置VPN间路由互引，配置方案根据组网需求单独确认。

· 选择接入上网接口时必须选择三层接口（有IP地址的接口），例如Dialer口（对应PPPoE拨号）或Vlan-interface口（对应二层出接口）。

8.14.2 上网口配置

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>虚拟网络>VPN管理>站点上网]页面，VPN名称选择对应VPN，本例为VPN1。选择“上网口配置”页签，单击<增加>按钮进入增加上网口页面，选择对应站点例如HQ1，单击增加按钮按照规划增加对应上网口，如图8-86所示。

图8-86 增加上网口

关键参数：

· 设备名称：下拉选择配置上网口的站点内设备；

· 接入上网接口：指定访问互联网的接口，支持WAN口、LAN口、非WAN非LAN口。本例中选择LAN口GE2/0.2；

· 上网接口VPN：根据选择的接入上网接口自动展示；

· 下一跳类型：取值为DHCP地址和静态IP地址。当接口为Dialer口、Serial接口、Eth接口时，无需配置下一跳类型，本例中使用静态IP地址；

· 下一跳IP：对端网关地址，本例为：20.1.10.1

· 通断探测：开启通断探测，用于探测上网接口与探测IP的连通性，本例中开启；

· 探测的IP：探测IP地址用于检测本地站点与公网连通性。探测IP：20.1.10.1

· 出方向动态地址转换：是否配置出方向NAT变换，本例中关闭。

相同方式完成Hub1-2本地站点上网配置，单击<确定>按钮保存配置。

参考规划完成所有上网口配置后，如图8-87所示。

图8-87 上网口配置

· 上网口必须属于本VPN或者PublicVPN，不支持跨业务VPN上网。

· 接入上网接口配置了出方向动态地址转换所有使用此接口上网的VPN都必须配置动态地址转换，并且不允许在单个VPN中进行关闭。

8.14.3 本地上网

1. 通过控制组件配置本地上网

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>虚拟网络>VPN管理>站点上网]页面，VPN名称选择VPN1。选择“本地上网”页签，单击<增加>按钮进入增加本地上网页面，选择对应站点例如HQ1，单击增加按钮增加本地上网配置，如图8-88所示。

图8-88 增加本地上网

关键参数：

· 设备名称：配置本地上网的站点内设备名称；

· 接入上网接口：选择前面配置的上网接口，上网接口配置参考8.14.2 上网口配置。

· 路由优先级：站点上网会下发静态路由，配置静态路由的优先级，数字越小越优。本地上网优先需要保证优先级配置小于等于5（控制组件下发的IBGP路由优先级），本例中配置为3；

相同方式完成Hub1-2本地站点上网配置，单击<确定>按钮保存配置。

参考规划完成所有本地上网配置后，如图8-89所示。

图8-89 本地上网配置

同一站点设备（站点单设备或站点双网关）所有上网接口的上网类型（本地上网或者本地上网备份）要求配置一致。如果使用本地上网优先，所有上网接口的路由优先级都必须小于等于5；如果使用本地上网备份，所有上网接口的路由优先级都必须大于5。

2. 站点上网路由同步

站点双网关配置本地上网后，对于上网的路由需要进行同步，保证当本设备上网口故障时可以通过另一台设备的上网口进行上网。参考步骤5.9 双网关路由同步完成站点双网关路由同步并开启站点上网路由同步功能。

· 站点上网目前仅支持单栈IPv4协议。

· 站点双网关组网，本地上网缺省从流量入设备的本地上网口上网，上网流量无法在两台设备之间形成负载分担。

8.14.4 集中上网

集中上网主、备网关站点需先配置本地上网且本地上网的路由优先级小于5，再配置集中上网。使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>虚拟网络>VPN管理>站点上网]页面，VPN名称选择VPN1。选择“集中上网”页签，单击<增加>按钮增加集中上网配置

图8-90 配置集中上网

· 站点上网目前仅支持单栈IPv4协议。

· 同一VPN下，作为集中上网网关的本地上网站点不允许删除。

· 集中上网主、备网关站点需先配置本地上网且本地上网的路由优先级小于5，再配置集中上网。

· 配置集中上网后，如果上网站点到集中上网站点间需要经过中间设备转发，且中间设备配置了本地上网（上网优先级小于5），此时上网流量就会从该中间设备直接出局。

· 配置主备站点集中上网的同时在区域拓扑中配置了分支站点的区域优先级，对于上网流量区域优先级配置会优于主备站点集中上网配置。分支站点上网流量会优选区域拓扑转发，按照区域拓扑查找集中上网站点，有可能导致优选集中上网站点与预期结果不一致。

8.14.5 应用上网

应用上网分为两种模型：

· 应用本地上网：应用流量从本地上网口访问互联网。

· 应用集中上网：应用流量从应用集中网关访问互联网。

下面分别介绍两种应用上网配置方式。

1. 应用本地上网

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>虚拟网络>VPN管理>站点上网]页面，VPN名称选择对应VPN，本例为VPN1。选择“应用上网”页签。

(1) 配置站点上网地址池

站点双网关配置应用本地上网时，需要从地址池分配地址用于站点双网关应用上网路由同步，因此必须先配置站点上网地址池。

完成站点上网地址池添加，如图8-91所示。

图8-91 站点上网地址池

(2) 添加本地站点上网

单击应用上网配置下的<增加>按钮，进入增加应用上网配置页面，选择Branch3，单击<增加>按钮添加对应的应用和上网口配置，如图8-92所示。

图8-92 添加应用本地网关

关键参数说明：

¡ 上网方式：集中上网或本地上网，本例选择本地上网。

¡ PBR起始编号：应用上网通过PBR指定应用流量的转发路径，指定PBR起始的node节点编号，执行PBR时按顺序匹配，起始编号为10000。

¡ ACL模板名称：可以通过按钮添加一个ACL模板，配置匹配域名为baidu的模板，添加完成后需要单击进行刷新，然后可以通过下拉菜单选择。

¡ 上网口配置：

- 设备名称：指定上网口所在的设备名称。

- 接入上网接口：设备上对应的上网接口。

- 接口优先级：可以添加多个上网接口，指定接口优先级，按优先级选择上网出口，数字越小越优。

单击<确认>按钮完成配置，可以添加多条应用上网，按照PBR节点编号顺序匹配。

2. 应用集中上网

(1) 配置站点上网地址池

配置应用集中上网需要从地址池分配地址用于应用集中上网，因此必须先配置站点上网地址池。

(2) 配置应用集中网关

单击应用集中网关下的<增加>按钮，增加应用集中网关，如图8-93所示。

图8-93 添加应用集中网关

(3) 添加应用集中上网

单击应用上网配置下的<增加>按钮，进入增加应用上网配置页面。选择Branch1，单击<增加>按钮添加对应的应用和上网口配置，如图8-94所示。

图8-94 添加应用集中网关

关键参数说明：

¡ 上网方式：集中上网或本地上网，本例选择集中网；

¡ PBR起始编号：应用上网通过PBR指定应用流量的转发路径，指定PBR起始的node节点编号，执行PBR时按顺序匹配，起始编号为10000；

¡ ACL模板名称：可以通过按钮添加一个ACL模板，配置匹配域名为baidu的模板，配置方式参考2. 配置域名自定义应用，添加完成后需要单击进行刷新，然后可以通过下拉菜单选择。

¡ 网关配置：指定集中上网的网关，本例中选择HQ1。

单击确认配置完成，可以添加多条应用上网，安排PBR节点编号顺序匹配。

· 配置应用集中上网后，如果上网站点到集中上网站点间需要经过中间设备转发，应用集中上网站点需要配置集中上网。

· 配置应用集中上网后，如果上网站点到集中上网站点间需要经过中间设备转发，且中间设备配置了本地上网（上网优先级小于5），此时上网流量就会从该中间设备直接出局。

· 应用上网配置应用时必须指定对应的VPN。

8.14.6 配置验证

1. HQ1本地上网

查询Hub1-1设备的上网路由通过本地内网转发，公网地址8.8.8.8可以直接ping通。

<Hub1-1>display ip routing-table vpn-instance VPN1 0.0.0.0

Summary count : 2

Destination/Mask Proto Pre Cost NextHop Interface

0.0.0.0/0 Static 3 0 20.1.10.1 GE2/0.2

0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0

<Hub1-1>ping -vpn-instance VPN1 8.8.8.8

Ping 8.8.8.8 (8.8.8.8): 56 data bytes, press CTRL_C to break

56 bytes from 8.8.8.8: icmp_seq=0 ttl=252 time=0.696 ms

56 bytes from 8.8.8.8: icmp_seq=1 ttl=252 time=0.310 ms

56 bytes from 8.8.8.8: icmp_seq=2 ttl=252 time=0.299 ms

56 bytes from 8.8.8.8: icmp_seq=3 ttl=252 time=0.301 ms

56 bytes from 8.8.8.8: icmp_seq=4 ttl=252 time=0.314 ms

--- Ping statistics for 8.8.8.8 in VPN instance VPN1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 0.299/0.384/0.696/0.156 ms

2. Branch1本地上网

查询Spoke1-1设备通过Spoke1-2上网，公网地址8.8.8.8可以直接ping通。

<Spoke1-1>display ip routing-table vpn-instance VPN1 0.0.0.0

Summary count : 3

Destination/Mask Proto Pre Cost NextHop Interface

0.0.0.0/0 O_ASE2 4 1 20.2.21.2 GE4/0.1

0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0

<Spoke1-1>ping -vpn-instance VPN1 8.8.8.8

Ping 8.8.8.8 (8.8.8.8): 56 data bytes, press CTRL_C to break

56 bytes from 8.8.8.8: icmp_seq=0 ttl=250 time=0.976 ms

56 bytes from 8.8.8.8: icmp_seq=1 ttl=250 time=0.437 ms

56 bytes from 8.8.8.8: icmp_seq=2 ttl=250 time=0.435 ms

56 bytes from 8.8.8.8: icmp_seq=3 ttl=250 time=0.423 ms

56 bytes from 8.8.8.8: icmp_seq=4 ttl=250 time=0.460 ms

--- Ping statistics for 8.8.8.8 in VPN instance VPN1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 0.423/0.546/0.976/0.215 ms

3. Branch2本地上网

查询Spoke2-1设备的上网路由通过本地WAN口转发，公网地址8.8.8.8可以直接ping通。

<Spoke2>display ip routing-table vpn-instance VPN1 0.0.0.0

Summary count : 3

Destination/Mask Proto Pre Cost NextHop Interface

0.0.0.0/0 Static 3 0 110.1.4.2 GE4/0

Static 3 0 110.1.7.2 GE5/0

0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0

<Spoke2-1>ping -vpn-instance VPN1 8.8.8.8

Ping 8.8.8.8 (8.8.8.8): 56 data bytes, press CTRL_C to break

56 bytes from 8.8.8.8: icmp_seq=0 ttl=255 time=0.797 ms

56 bytes from 8.8.8.8: icmp_seq=1 ttl=255 time=0.145 ms

56 bytes from 8.8.8.8: icmp_seq=2 ttl=255 time=0.113 ms

56 bytes from 8.8.8.8: icmp_seq=3 ttl=255 time=0.123 ms

56 bytes from 8.8.8.8: icmp_seq=4 ttl=255 time=0.108 ms

--- Ping statistics for 8.8.8.8 in VPN instance VPN1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 0.108/0.257/0.797/0.270 ms

4. Branch3集中上网

查询Spoke3设备的上网路由通过本地WAN口转发，公网地址8.8.8.8可以直接ping通。

<Spoke3>dis ip routing-table vpn-instance VPN1 0.0.0.0

Summary count : 3

Destination/Mask Proto Pre Cost NextHop Interface

0.0.0.0/0 BGP 5 100 7.1.1.11 Tun1

BGP 5 100 7.1.1.12 Tun3

BGP 5 100 7.1.1.12 Tun2

0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0

<Spoke3>ping -vpn-instance VPN1 8.8.8.8

Ping 8.8.8.8 (8.8.8.8): 56 data bytes, press CTRL_C to break

56 bytes from 8.8.8.8: icmp_seq=0 ttl=255 time=0.570 ms

56 bytes from 8.8.8.8: icmp_seq=1 ttl=255 time=0.248 ms

56 bytes from 8.8.8.8: icmp_seq=2 ttl=255 time=0.288 ms

56 bytes from 8.8.8.8: icmp_seq=3 ttl=255 time=0.226 ms

56 bytes from 8.8.8.8: icmp_seq=4 ttl=255 time=0.224 ms

--- Ping statistics for 8.8.8.8 in VPN instance VPN1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 0.224/0.311/0.570/0.131 ms

8.15 容量管理

控制器纳管路由器数量较多时，当设备ACL资源、FIB资源、内存资源不足时，控制器能够及时对这些资源进行监控，不会再出现因为通过控制器下发业务而导致设备资源超过规格。

· 目前设备业务限制下发是基于设备，如果一个设备存在多个板卡，其中任一板卡存在重要告警，往设备正常板卡上下发配置也会被阻断拦截。

· 目前控制器无法做到IPv4 FIB 、IPv6 FIB容量区分，只要存在FIB超阈值，就会阻断配置下发。

· 只限制正常报文的修改类操作如报文的增删改，对批量下发配置命令和远程管理下发配置命令不限制下发，对查询类报文不限制下发，不限制修改设备阈值报文下发。

· 目前配套防火墙产品都暂不支持ACL资源、FIB资源的容量管理功能，无法基于ACL资源、FIB资源实现配置阻断。

8.15.1 容量管理页面

进入[自动化>分支网络>维护保障>容量管理]页面，本页面用于查看设备ACL资源、FIB资源、内存资源的容量信息。当前页面支持以下操作：

· 查看设备ACL资源、FIB资源、内存资源的剩余容量。

· 同步设备资源的容量信息。

· 设置设备ACL资源、FIB资源的剩余容量的告警阈值。

容量管理页面介绍如下：

(1) 查看设备ACL资源、FIB资源、内存资源的剩余容量

设备上线后，控制器会去查询设备ACL容量、IPv4 FIB容量、IPv6 FIB容量、内存容量信息，然后在页面呈现，如图8-95所示。

图8-95 容量管理页面

(2) 同步设备资源的容量信息

支持批量同步操作，勾选需要同步的设备，单击同步，同步操作只对于勾选设备生效，也支持单个设备同步，单个设备同步需单击设备操作栏同步按钮进行同步操作，如图8-96所示。

图8-96 同步设备资源的容量信息

(3) 设置设备ACL资源、FIB资源的剩余容量的告警阈值

支持批量设置设备告警阈值，勾选需要批量设置设备阈值的设备，单击修改按钮进行阈值修改，批量修改操作只对于勾选设备生效，如图8-97所示

图8-97 设置设备告警阈值

· 当前设置的阈值为剩余阈值，剩余容量小于对应阈值时进行告警。

· ACL，FIB的剩余阈值支持在控制器配置并下发到设备，内存阈值需要手动在设备上修改。

· 基于设备修改阈值时，由于可能存在多块板卡且不同板卡的阈值可能配置不同，因此无法显示当前的阈值。

修改阈值后对应下发的命令：

resource-monitor resource acl_rule cpu 0 by-percent minor-threshold 99 severe-threshold 98 //修改ACL阈后下发的命令

resource-monitor resource ipv4fib cpu 0 by-percent minor-threshold 99 severe-threshold 98 //修改FIB后下发的命令

也支持单个设置设备告警阈值，单个设备修改需单击设备操作栏修改按钮进行修改操作，修改对于该设备的所有板卡生效，即所有板卡有acl 容量、fib容量的阈值均会同步修改。

还支持基于设备板卡修改，下拉设备，选择板卡操作栏修改按钮进行修改操作，该操作只针对于该板卡生效，如图8-98所示。

图8-98 修改板卡容量阈值

(4) 查询容量使用情况

单击操作栏详情按钮，可以跳转至容量详情页面，查看容量的具体使用情况，如所图8-99示。

图8-99 查询容量

8.15.2 定时同步配置

设备上线成功之后，会开启一个定时任务，默认10分钟，用户如没有修改需求，页面默认传值为10 min，如有定制时间间隔需求，单击<定时同步>按钮修改，如图8-100所示。

图8-100 容量管理策略

8.15.3 超阈值阻断下发

可以打开或关闭超阈值阻断下发功能，控制器默认为关闭。

关闭超阈值阻断下发功能，容量超一级、二级阈值后，设备打印对应的次要告警、重要告警，控制器不做阻断下发拦截。

开启超阈值阻断下发功能，且容量超二级阈值后，设备打印对应的重要告警，控制器阻断配置下发功能生效。当ACL容量超过二级阈值，打印ACL容量重要告警时，往设备上下发相关acl、rule配置会触发阻断拦截，下发失败，对于其他配置，则不做阻断拦截；当fib、内存容量超过二级阈值，控制器会打印对应的fib、内存容量重要告警，控制器上所有的增加、修改等操作触发的配置下发，均会触发配置阻断下发拦截，导致配置下发失败，失败原因：设备容量超过设定阈值导致配置下发被阻断。开启超阈值阻断下发开关，如图8-101所示。

图8-101 开启超阈值阻断下发开关

8.16 DNS代理

控制器支持在站点上对不同域名根据预先配置好的域名匹配规则重定向到不同的DNS服务器上进行解析，具体支持如下功能：

· 支持根据域名进行模糊匹配或者全匹配重定向到指定的DNS服务器。

· 域名匹配规则需要支持绑定域名组和域名服务器组，其中一个域名组下可以配置多个域名；一个域名服务器组下可以配置多个DNS服务器，且需要支持为每个DNS服务器配置不同的优先级，使其在满足域名匹配规则时根据配置的优先级依次选择对应的DNS服务器。

· 支持配置非的域名匹配规则。域名匹配规则支持根据VPN隔离。

8.16.1 配置域名组

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>增值业务>DNS代理]页面，在域名匹配规则下，单击<域名组>按钮，进入域名组页面，单击<增加>按钮，进入增加域名组页面，如图8-102所示。

图8-102 添加域名组

关键配置说明

· 域名组名称：控制器上域名组的名称，支持中文，例如海外网站。

· 域名组配置名称：下发到设备上的域名组的配置名称。例如oversea。

· 域名列表：域名组的域名信息，每个域名组最多支持1024个域名。支持在页面手动添加或者使用excel表格导入。

· 域名：域名称。

· 匹配方式：域名类型，取值包括完整匹配和模糊匹配两种。

缺省存在any命名的域名组，匹配所有，any不允许配置，不允许修改删除

8.16.2 配置域名服务器组

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>增值业务>DNS代理]页面，在域名匹配规则下，单击<域名服务器组>按钮，进入域名服务器组页面，单击<增加>按钮，进入增加域名服务器组页面，如图8-103所示。

图8-103 添加域名服务器组

关键配置说明

· 域名服务器组名称：域名服务器组的名称，用于标识用户创建的域名服务器组。

· VPN名称：域名服务器组所属的VPN，指定业务VPN例如VPN1。

· 健康检查：是否开启域名服务器健康检查功能。为了避免设备选中不可用的域名服务器，提高效率，建议开启。

· 域名服务器地址列表：域名服务器组下面的域名服务器，每个域名服务器组内可配置6个IPv4域名服务器和6个IPv6域名服务器。

· IP类型：域名服务器组下面的域名服务器类型，取值包括IPV4和IPV6两种。

· 域名服务器地址：域名服务器的地址。

· 优先级：支持配置优先级，缺省优先级100，数值越小优先级越高；优先级相同时以地址小的优先。

8.16.3 配置域名匹配规则

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>增值业务>DNS代理]页面，在域名匹配规则下，单击<增加 >按钮，增加一条域名匹配规则，如图8-104所示。

图8-104 添加域名匹配规则

关键配置说明

· 域名匹配规则名称：域名匹配规则名称，支持中文。

· 匹配方式：域名匹配规则的匹配方式，取值包括匹配和排除两种。

· Vpn名称：发送域名请求的DNS客户端所属的VPN，一般指定业务VPN，例如VPN1。

· 域名组：域名匹配规则绑定的域名组信息，可以复选，最多支持绑定8个。

· 域名服务器组：域名匹配规则绑定的域名服务器组信息。

8.16.4 配置站点DNS代理详情

使用租户业务管理员（sdwan）登录统一数字底盘，进入[自动化>分支网络>增值业务>DNS代理]页面，在站点DNS代理详情下，单击<增加 >按钮，增加一条DNS详情配置，如图8-105所示。为站点配置对应的DNS代理

图8-105 站点DNS代理详情

关键配置说明

· 站点名称：通过下拉菜单选择站点，为对应站点配置DNS代理；

· 域名匹配规则：选择前面定义的域名匹配规则，指定规则ID，对应规格ID会下发到设备，规则ID支持1～16，同一站点不允许重复。

· DNS报文源接口：域名服务器组启用探测后，需要指定探测的源接口，此配置为指定VPN的探测源接口。

单个设备只支持下发16个域名组和域名服务器组，如果下发数据超过限制，会部署失败，需要手动修改后重新部署。

单击<确定>按钮配置下发完成。

9 限制和注意事项

· 控制组件进行业务部署时，业务部署状态不会自动刷新，需要手动进行刷新确认最终部署状态。

· 路由模块不支持自动重试，如果有下发失败，需要手动重试。

· 创建LAN详情：如果选择了为某个接口创建子接口，则此接口下所有子接口都必须由控制组件创建。

· 配合方案使用时VSR必须安装对应的特性license授权函：LIS-VSR1000-AD，license申请和安装步骤请参考VSR对应手册。

· 站点双网关组网，单台设备确认开局后（另外一台设备未确认开局），会自动启动业务部署，但是未确认开局的设备可能会出现业务部署失败，需要在对应业务配置界面手动重试。

· 设备上线后，控制器未成功读取设备接口前部署业务可能会部署失败，需要在[自动化>分支网络>物理网络>设备>设备管理]页面找到对应设备，手动进行信息同步后再重新尝试部署业务。

· VSR路由器站点双网关组网横穿链路不能使用E1000网卡，E1000网卡转发GRE封装报文（协同隧道使用GRE封装）存在问题，会导致站点双网关组网无法正常工作。

· 路由策略、策略前缀导入功能，单次导入上限为1000条，超过数量不允许导入。

· 设备配置中路由相关配置不支持预部署，配置路由时只能选择已经识别或通过LAN/WAN添加的接口，下发失败后无法自动重试，只能手动重试。

· 设备不能同时进行设备升级、配置备份、设备替换和配置恢复，即一个设备同时只能进行一个维护任务。

· 删除Virtual-Template的时候，需要确认设备上是否还存在Virtual-access，否则无法删除。

· E6801之前的版本如果配置了自动引入LAN侧路由，升级到支持区域拓扑的版本后，如果希望使用区域拓扑功能，需要先删除早期版本自动引入LAN侧路由中添加的团体属性配置，否则可能由于团体属性冲突导致网络异常。

· 接入区阻断开关关闭，接入站点客户机接入，部署多个VPN后，缺省情况下站点间所有VPN业务Full-Mesh互通。如果配置一个VPN的区域拓扑功能，站点之间其它VPN就无法互通。如果配置区域拓扑，所有VPN都要配置区域拓扑。

· 被分支控制组件纳管的设备不允许在设备上配置中文，包括设备名称、描述信息等。

10 运维监控

请参考《AD-WAN分支6.6 运维监控部署指导》。

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

技术支持

自助服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

03-AD-WAN分支6.6 WAN业务配置指导

目录

2 组网图和组网说明

2.2.2 WAN网络说明

2.2.3 LAN网络说明

2.2.4 WebSocket管理通道说明

2.3 设备接口地址和Underlay网络参数说明

2.4 NAT地址映射配置说明

2.7.1 Hub1-1设备的Underlay配置说明

3. WebSocket注册配置

4. NTP配置

2.7.2 Hub1-2设备的Underlay配置说明

3. WebSocket注册配置

4. NTP配置

2.7.3 Hub2设备的Underlay配置说明

3. WebSocket注册配置

4. NTP配置

2.7.4 防火墙作为Hub设备配置说明

2. NTP配置

1. 防火墙聚合口配置

2. 交换机聚合口配置

3.2 配置邮件服务器（可选）

3.3 创建租户（可选）

4.2 全局配置

4.2.2 IP地址池配置

4.2.3 IPsec配置

4.2.5 WebSocket模板

4.2.6 SNMP模板

4.2.7 隧道BFD模板

4.3 WAN网络配置

4.3.1 Internet网络类型WAN业务网络

1. 添加WAN业务网络

4.3.2 三层专线类型WAN业务网络

1. 添加WAN业务网络

4.3.3 二层专线类型WAN业务网络

1. 添加WAN业务网络

4.3.4 VPDN类型WAN业务网络

1. 添加WAN业务网络

1. 导入站点和设备