- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
09-基础网络
本章节下载: 09-基础网络 (1.78 MB)
目 录
随着网络规模的扩大和网络复杂度的提高,网络配置越来越复杂,经常出现计算机位置变化(如便携机或无线网络)和计算机数量超过可分配的IP 地址的情况。DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)就是为满足这些需求而发展起来的。
与 BOOTP相比,DHCP也采用客户/服务器通信模式,由客户端向服务器提出配置申请(包括分配的IP地址、子网掩码、缺省网关等参数),服务器根据策略返回相应配置信息,两种协议的报文都采用UDP进行封装,并使用基本相同的报文结构。BOOTP运行在相对静态(每台主机都有固定的网络连接)的环境中,管理员为每台主机配置专门的BOOTP参数文件,该文件会在相当长的时间内保持不变。
DHCP从两方面对BOOTP进行了扩展:DHCP可使计算机仅用一个消息就获取它所需要的所有配置信息;DHCP允许计算机快速、动态地获取IP 地址,而不是静态为每台主机指定地址。
设备可以作为DHCP Server,用于实现对网络中IP地址的动态分配和集中管理。动态分配是指当DHCP客户端第一次从DHCP Server租用到IP地址后,并非永久的使用该地址,只要租约到期,客户端就要释放(Release)这个IP地址以给其它工作站使用。为了实现IP地址的动态分配,必须设置DHCP Server拥有一个IP地址范围,用来分配给用户,这个用来分配给客户端的地址范围也叫IP地址池(IP Pool)。
如图1-1反映了DHCP客户端从DHCP Server申请IP地址的过程。
图1-1 DHCP服务器原理图
当客户端第一次登录到网络时,它会向网络广播一个DHCP DISCOVER消息,此时由于客户端还不知道自己属于哪一个网路,所以封包的来源地址为0.0.0.0,目的地址则为255.255.255.255。
由于网络上可能不止一个DHCP Server,凡是具有有效IP地址信息的DHCP Server均从各自还没有租出的地址中选择一个空闲IP,然后将该提议回应给客户端。
客户端从接收到的第一个提议中选定IP地址信息,并广播一条租用地址的消息请求。由发出该提议的DHCP Server响应该消息,确认已接受请求并开始租用。
客户端收到确认后开始使用此地址。
DHCP 中继代理是用来将一个网段的DHCP请求转发给其它网段的DHCP Server,由其它网段的DHCP Server分配IP地址。DHCP 中继代理存在的原因是DHCP客户端还没有IP环境设定,这时由DHCP Relay来接管客户的DHCP请求然后将DHCP消息传递给DHCP Server,再将DHCP服务器的应答消息传给客户端,客户端获得IP地址。当然也可以在每一个网段之中安装DHCP Server但这样的话设备成本会增加而且管理上面也比较分散。DHCP 中继代理的工作原理如图1-2所示。
图1-2 DHCP代理原理图
通过菜单“网络配置 > 基础网络 > DHCP服务”,进入如图1-3所示页面。在该页面上,可以设置各个接口下的DHCP服务类型。
图1-3 DHCP服务页面
点击<编辑>按钮,进入如图1-4所示的页面,进行接口下DHCP服务类型的配置。各个配置项的含义如表1-1所示。
图1-4 接口DHCP服务类型配置页面
表1-1 DHCP服务配置项含义描述表
|
标题项 |
说明 |
|
接口名称 |
配置DHCP服务的接口名称。 |
|
IPv4服务类型 |
· 空:不在接口上启用DHCP服务。 · DHCP中继代理:在接口上启用DHCP中继代理服务,并指定DHCP服务器IPv4。代理从指定的DHCP服务器请求IPv4地址,并中继转发给接口。 · DHCP服务器:在接口上启用DHCP服务器服务,向与该接口连接主机分配IPv4地址。 |
|
IPv6服务类型 |
· 空:不在接口上启用DHCPv6服务。 · DHCPv6中继代理:在接口上启用DHCPv6中继代理服务,并指定DHCPv6服务器IPv6。代理从指定的DHCPv6服务器请求IPv6地址,并中继转发给接口。 · DHCPv6服务器:在接口上启用DHCPv6服务器服务,向与该接口连接主机分配IPv6地址。 |
|
空 |
接口不启用任何DHCP服务。 |
通过菜单“网络配置 > 基础网络 > DHCP服务 > 服务器”,进入如图1-5所示页面。在该页面上可以新建、编辑、删除、浏览DHCP服务器的配置。
图1-5 DHCP服务器页面
在页面上点击“新建 > IPv4服务器”,可以新建DHCPv4服务器。新建页面如图1-6所示。各个配置项的含义如表1-2所示。
图1-6 DHCPv4服务器配置
表1-2 DHCPv4服务器配置项含义描述表
|
标题项 |
说明 |
|
名称 |
DHCP服务器配置名称。 |
|
子网/掩码 |
DHCP服务器的子网和掩码。 |
|
网关 |
DHCP服务器的网关。 |
|
IP地址开始 |
DHCP服务器地址池的开始地址。 |
|
IP地址结束 |
DHCP服务器地址池的结束地址。 |
|
租约 |
DHCP服务器分配的地址的租约时间: · 无限:DHCP服务器分配的IP地址永久有效。 · 有限期:配置有效时间,该时间内DHCP服务器分配的IP地址有效。 |
|
DNS1 |
DHCP服务器的主DNS。 |
|
DNS2 |
DHCP服务器的备DNS。 |
|
Wins1 |
DHCP服务器的主Wins。 |
|
Wins2 |
DHCP服务器的备Wins。 |
|
域 |
DHCP服务器的域名 |
|
AC1 |
DHCP服务器中option43字段AC1的IP地址。 |
|
AC2 |
DHCP服务器中option43字段AC2的IP地址。 |
|
选项252 |
密钥,是可选配置,最大长度为63字符。如果配置了opt_252,DHCP服务器将在收到客户端DHCP请求时,将配置的选项252下发给客户端。 |
|
选项253 |
域名,是可选配置,最大长度为63字符。如果配置了opt_253,DHCP服务器将在收到客户端DHCP请求时,将配置的选项253下发给客户端。 |
点击<提交>按钮,提交配置。提交配置后可在如图1-7所示的页面上查看配置的DHCPv4服务器信息。
图1-7 DHCPv4服务器概览
点击<编辑>按钮,可对选中条目进行编辑。
点击<删除>按钮,可对选中条目进行删除。
在页面上点击“新建 > IPv6服务器”,可以新建DHCPv6服务器。新建页面如图1-8所示。各个配置项的含义如表1-3所示。
图1-8 DHCPv6服务器配置
表1-3 DHCPv6服务器配置项含义描述表
|
标题项 |
说明 |
|
名称 |
DHCP服务器配置名称。 |
|
子网/前缀长度 |
DHCP服务器的子网和前缀长度。 |
|
地址范围 |
DHCP服务器分配给请求IP地址的客户端的地址范围。 |
|
前缀代理 |
DHCP服务器分配给请求前缀的客户端的前缀范围。 |
|
可分配前缀长度 |
DHCP服务器分配给客户端的前缀总长度。 |
|
租约 |
DHCP服务器分配的地址的租约时间: · 无限:DHCP服务器分配的IP地址永久有效。 · 有限期:配置有效时间,该时间内DHCP服务器分配的IP地址有效。 |
|
首选DNS服务器 |
DHCP服务器的主DNS。 |
|
备用DNS服务器 |
DHCP服务器的备DNS。 |
|
Wins1 |
DHCP服务器的主Wins。 |
|
Wins2 |
DHCP服务器的备Wins。 |
|
域 |
DHCP服务器的域名 |
|
SNTP服务器 |
SNTP服务器的IP地址。 |
|
SIP服务器 |
SIP服务器的IP地址。 |
|
AC1 |
DHCP服务器中option52字段AC1的IPv6地址。 |
|
AC2 |
DHCP服务器中option52字段AC2的IPv6地址。 |
点击<提交>按钮,提交配置。提交配置后可在如图1-7所示的页面上查看配置的DHCPv6服务器信息。
图1-9 DHCPv6服务器概览
点击<编辑>按钮,可对选中条目进行编辑。
点击<删除>按钮,可对选中条目进行删除。
通过菜单“网络配置 > 基础网络 > DHCP服务 > 排除范围”,进入如图1-10所示页面。在该页面上可以新建、编辑、删除、浏览排除范围的配置。
在页面上点击“新建>IPv4排除范围”,可以新建IPv4排除范围。新建页面如图1-11所示。各个配置项的含义如表1-4所示。
图1-11 新建IPv4排除范围页面
表1-4 IPv4排除范围各个配置项的含义描述表
|
标题项 |
说明 |
|
起始IP |
排除范围的起始IPv4地址。 |
|
结束IP |
排除范围的结束IPv4地址。 |
点击<提交>,提交配置。提交配置后可在如图1-12所示的页面上查看配置的IPv4排除范围信息。
图1-12 IPv4排除范围页面概览
点击<编辑>按钮,可对选中条目进行编辑。
点击<删除>按钮,可对选中条目进行删除。
在页面上点击“新建>IPv6排除范围”,可以新建IPv6排除范围。新建页面如图1-13所示。各个配置项的含义如表1-5所示。
图1-13 新建IPv6排除范围页面
表1-5 IPv6排除范围各个配置项的含义描述表
|
标题项 |
说明 |
|
起始IP |
排除范围的起始IPv6地址。 |
|
结束IP |
排除范围的结束IPv6地址。 |
点击<提交>,提交配置。提交配置后可在如图1-12所示的页面上查看配置的IPv6排除范围信息。
图1-14 IPv6排除范围页面概览
点击<编辑>按钮,可对选中条目进行编辑。
点击<删除>按钮,可对选中条目进行删除。
通过菜单“网络配置 > 基础网络 > DHCP服务 > 静态地址分配”,进入如图1-15所示页面。在该页面上可以新建、编辑、删除、浏览静态地址分配的配置。
在页面上点击“新建>IPv4静态地址分配”,可以新建IPv4静态地址分配。新建页面如图1-16所示。各个配置项的含义如表1-6所示。
表1-6 IPv4静态地址分配各个配置项的含义描述表
|
标题项 |
说明 |
|
名称 |
静态地址分配的名称,可输入1到63个字符。 |
|
IP地址 |
静态地址分配的IPv4地址。 |
|
MAC地址 |
静态地址分配的MAC地址。 |
点击<提交>按钮,提交配置,提交后可在静态地址分配页面查看配置的IPv4静态地址信息,如下图所示。
DHCPv6服务器支持为特定客户端分配指定的IPv6地址。可以将客户端DUID、IAID与IPv6地址绑定,当DHCPv6服务器给客户端分配地址时,将与此客户端DUID及IAID绑定在一起的IPv6地址指定给该客户端。
选择“网络配置 > 基础网络 > DHCP服务 > 静态地址分配”,点击“新建>IPv6静态地址分配”,进入IPv6静态地址分配页面。
图1-18 IPv6静态地址分配页面
表1-7 IPv6静态地址分配页面的详细说明
|
标题项 |
说明 |
|
名称 |
DHCPv6 静态绑定的名称的名称。 |
|
IP地址 |
静态分配的IPv6地址。 |
|
DUID |
配置与IPv6地址静态绑定的DHCPv6客户端的DUID,十六进制字符串形式,字符串长度取值范围是2~256,字符串长度为偶数位。 |
|
IAID |
静态分配的IA标识,整数形式,取值范围1~4294967295。 无法得到设备的DUID和IAID时,抓包DHCPv6交互报文可获取DUID和IAID值。 |
· Windows系统可以使用ipconfig/all命令查看客户端的DUID和IAID。
· 无法得到客户端的DUID和IAID时,需要抓包DHCPv6交互报文获取DUID和IAID值。
点击<提交>,提交配置。提交后可在静态地址分配页面查看配置的IPv6静态地址信息。
图1-19 查看IPv6静态地址分配页面
当设备作为DHCP服务器时,可以通过监视器来查看地址池中的IP地址分配情况。
通过菜单“网络配置 > 基础网络 > DHCP服务 > 监视器”,进入如图1-20所示页面。在该页面上可以查看IP地址的分配使用情况。表中各项的含义如表1-8所示。
|
标题项 |
说明 |
|
IP地址 |
已分配正在使用的IP地址。 |
|
MAC地址 |
已分配正在使用的IP地址对应的MAC地址。 |
|
开始时间 |
已分配正在使用的IP地址的开始使用时间。 |
|
结束时间 |
已分配正在使用的IP地址的回收时间。 |
点击<清除>按钮,可以清除已分配的IP地址。
DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。
本功能具有如下功能点:
· 能够根据用户的DNS请求,从本地查找DNS缓存,然后对用户的请求做出应答。
· 能够向配置的远端DNS server请求,然后对用户的请求做出应答。
· 能够手动配置DNS域名,方便对一些IP地址的访问。
· 能够对设备本身的DNS请求,做出DNS域名解析。
DNS模块缓存数量并非无限,可缓存最多条目数根据设备自身的规格而定,并且规格中总存储条目数中,有256条,用于保存静态域名配置。
通过菜单“网络配置 > 基础网络 > DNS服务 > 域名管理”,进入如图1-21所示的页面。在该页面上,可以新建、编辑、删除、浏览静态域名配置项。
单击“新建按钮”,进入如图1-22所示的静态域名配置页面。各个配置项的含义如表1-9所示。
|
参数 |
说明 |
|
域名 |
静态域名信息,可以输入3到253个字符,可填入英文大小写字符、“-”、“.”,每级域名不超过63个字符。 |
|
IP1 |
静态域名对应的第一个IP地址,支持IPv4和IPv6地址。 |
|
IP2 |
静态域名对应的第二个IP地址,支持IPv4和IPv6地址。 |
|
IP3 |
静态域名对应的第二个IP地址,支持IPv4和IPv6地址。 |
|
IP4 |
静态域名对应的第二个IP地址,支持IPv4和IPv6地址。 |
|
DNS映射 |
DNS Mapping功能,私网用户希望通过域名访问位于同一私网的内部服务器,启用后设备会直接回复静态域名配置的IP地址,无需开启DNS透明代理或DNS全局代理。 |
|
目标位置 |
静态域名对应的目标位置,1-128的整数。可通过选择数字大小来调整静态域名位置。 |
通过菜单“网络配置 > 基础网络 > DNS服务 > 动态缓存”,进入如图1-23所示的页面。在该页面上,可以开启关闭DNS动态缓存。该页面各展示项介绍见表1-10。
|
参数 |
说明 |
|
域名 |
设备解析成功的域名显示。 |
|
命中次数 |
DNS记录在本生存时间内被匹配的次数。 |
|
TTL |
一条DNS记录的生存时间。 |
|
IP |
解析成功的域名对应的IP,页面支持显示4个具体ip地址,后面()显示总的ip地址个数。 |
一些特殊域名使用公共的DNS服务器无法解析,需要指定特定的DNS服务器才能解。例如,域名www.baidu.com和map.baidu.com的DNS请求必须使用DNS服务器2.2.2.2进行解析,其他DNS服务器的解析结果都是错误的。
通过菜单“网络配置 > 基础网络 > DNS服务 > 特定域名解析”,进入如图1-24所示的页面。在该页面上,可以新建、编辑、删除、浏览特定域名配置项。
单击“新建按钮”,进入如图1-25所示的特定域名配置页面。各个配置项的含义如表1-11所示。
|
参数 |
说明 |
|
域名 |
特定域名信息,可以输入3到253个字符,可填入英文大小写字符、“-”、“.”,每级域名不超过63个字符。 |
|
主DNS |
特定域名对应的第一个DNS服务器地址。 |
|
备DNS |
特定域名对应的第二个DNS服务器地址。 |
|
目标位置 |
特定域名对应的目标位置,1-128的整数。可通过选择数字大小来调整静态域名位置。 |
通过菜单“网络配置 > 基础网络 > DNS服务 > DNS透明代理”,进入如图1-26所示的页面。在该页面上,可以新建、编辑、删除、启用、设置均衡值标准、浏览DNS透明代理配置项。
图1-26 DNS透明代理展示页面
单击“新建按钮”,进入如图1-27所示的DNS透明代理配置页面。各个配置项的含义如表1-12所示。
图1-27 DNS透明代理配置页面
表1-12 DNS透明代理配置说明
|
参数 |
说明 |
|
DNS链路 |
DNS出接口名称例如:GE0。 |
|
DNS链路均衡值 |
权重、优先级和流量的数值,取值范围为:1-100。 · 对于权重负载模式,按照均衡值比例转发DNS请求。 · 对于优先级负载模式,选择均衡值小的链路优先转发。 · 对于流量负载模式,按照均衡值比例转发链路DNS流量。 |
|
DNS模式 |
透明代理的规则分为2种类型:手工配置和自动链路继承。 · 手工配置是指对于配置有IP地址的三层网络接口,需要人为的配置正确的DNS服务器地址才能正常域名解析的类型。 · 自动链路继承是指对于配置为DHCP或PPPOE类型的网络接口,既可以人为配置DNS服务器地址也可以从地址服务器端获取DNS服务器地址的类型。 |
|
主DNS |
第一个DNS服务器IP。 |
|
备DNS |
第二个DNS服务器IP。 |
创建DNS透明代理后,用户可以在“DNS透明代理”页签下勾选“启用代理”复选框启用DNS透明代理功能,并选择基于权重、优先级或流量三种模式转发DNS请求。
图1-28 启用DNS透明代理
详细配置请参见下表。
表1-13 启用DNS透明代理详细配置说明
|
配置项 |
说明 |
|
权重 |
根据权重值的比例转发DNS请求。例如:A链路设置权重值1,B链路设置权重值2,则A和B链路的DNS请求向主备DNS服务器按照1:2比例进行转发。 |
|
优先级 |
指定DNS链路转发的先后顺序,当优先级高的DNS链路出现故障后,优先级低的DNS链路接管DNS转发请求。优先级通过均衡值体现,均衡值越小,优先级越高。例如:A链路设置均衡值1,B链路设置均衡值2,则DNS请求由A链路转发,此时链路B不转发DNS请求;当A线路发生故障后,继续由B链路转发DNS请求。 |
|
流量 |
根据均衡值设置转发DNS流量。例如:A链路均衡值为1,B链路均衡值为2,则A和B链路根据1:2比例转发DNS流量。 |
通过菜单“网络配置 > 基础网络 > DNS服务 > DNS服务器”,进入如图1-29所示的页面。在该页面上,可以启用禁用DNS代理、编辑DNS服务器配置项。无论启用或禁用,各个DNS服务器是设备本身请求域名解析的服务器地址。各个配置项的含义如表1-14所示。
图1-29 DNS服务器配置页面
表1-14 DNS服务器配置说明
|
标题项 |
说明 |
|
启用DNS代理 |
启用或关闭DNS服务,当PC的DNS指向设备时充当DNS服务器代理功能 |
|
DNS服务器1 |
远端DNS服务器1,设备第一次解析DNS请求时,将向该DNS服务器请求 |
|
DNS服务器2 |
远端DNS服务器2,DNS服务器1解析失败时,将向该DNS服务器请求 |
|
DNS服务器3 |
远端DNS服务器3,DNS服务器1和2解析失败时,将向该DNS服务器请求 |
|
DNS服务器4 |
远端DNS服务器4,DNS服务器1、2、3解析失败时,将向该DNS服务器请求 |
DDNS是对域名绑定的IP地址进行动态更新,解决网络中已注册域名的服务器的IP地址是动态变化的,服务器公网IP变更时,导致DNS域名服务器所绑定的该服务器的IP地址已经过时,用户通过域名方式无法正常访问该服务器的相关服务。设备开启DDNS功能后,通过更新报文把动态IP地址信息发送给位于服务商主机上的服务器程序,服务器程序负责提供DNS服务并实现动态域名解析;保证网络可以通过此域名正常访问到服务器。
在使用DDNS功能之前,用户需要在DDNS服务提供商进行注册,以获取动态域名。目前设备支持在花生壳和阿里云上的DDNS注册信息。
通过菜单“网络配置 > 基础网络 > DDNS服务”,进入如图1-30所示的页面。在该页面上,可以启用、关闭DDNS功能。
图1-30 DDNS功能配置页面
点击<新建>按钮,进入如图1-31所示的DDNS条目配置页面。各个配置项的含义如表1-15所示。
图1-31 DDNS条目配置页面
表1-15 DDNS条目配置项含义
|
标题项 |
说明 |
|
名称 |
DDNS条目名称。 |
|
域名 |
所要更新此账户下的域名,若不配置则默认更新此账户下所有的域名。服务商选择阿里云时,域名必须填写,且只支持三级域名。 |
|
接口 |
连接外网的接口。 |
|
服务商 |
DDNS服务商,目前支持花生壳和阿里云。 |
|
账户名 |
在DDNS服务商注册的账户名。服务商为阿里云时,账户名需填写AccessKeyID。 |
|
账户密码 |
在DDNS服务商注册的账户所使用的密码。服务商为阿里云时,账户名需填写AccessKeySecret。 |
|
日志 |
开启后生成DDNS解析日志。 |
|
更新间隔 |
指定DDNS请求更新间隔时间。启用DDNS功能的接口会定期向DDNS服务器发送请求更新动态IP地址与域名之间的绑定。 |
新建DDNS后,需要启用DDNS功能,才能使配置生效。勾选启用,在弹出的对话框中点击<确定>,启用DDNS功能,如图1-32所示。
如下图所示,有一条公网PPPOE线路WLAN接口,内网服务器提供HTTP服务;具体应用需求如下:
· DDNS实现域名IP动态绑定。
· 目的NAT实现对内网服务器进行地址映射。
· 在WLAN接口公网IP变化的情况下,仍可通过域名方式正常访问内网HTTP服务。
图1-33 组网图
(1) 配置DNS服务器。
(2) 启用DDNS功能,配置动态域名服务DDNS。
(3) 配置目的NAT,将动态域名映射到内网服务器。
(1) 配置DNS服务器,保证设备能够正常进行域名解析。
如下图所示,在导航栏选择“网络配置 > 基础网络 > DNS服务 > DNS服务器”,配置DNS服务器为114.114.114.114,点击<提交>。
图1-34 配置dns服务器
(2) 配置DDNS功能
如下图所示,在导航栏选择“网络配置 > 基础网络 >DDNS服务”。勾选启用选项,点击确定。
图1-35 启用DDNS功能
如下图所示,在导航栏选择“网络管理>DDNS服务”。点击<新建>,配置名称为test,域名为***test.iask.in,接口为ge0,服务商为花生壳,更新间隔30,点击<提交>。
图1-36 配置动态域名服务DDNS
如下图所示,创建成功设备将与花生壳服务商进行连接,成功后会根据配置的更新间隔发送更新报文进行更新,并显示当前更新的公网IP地址。
图1-37 DDNS功能状态显示
(3) 配置目的NAT,将动态域名映射到内网服务器。
如下图所示,在导航栏选择“策略配置>对象管理>地址对象”。点击<新建>,配置域名为***test.iask.in,点击<提交>。
图1-38 配置地址对象
如下图所示,在导航栏选择“策略配置>对象管理>服务对象>自定义服务”。点击<新建>,配置名称为tcp65003,目的端口65003-65003,源端口0-65535的自定义服务对象,点击<提交>。
图1-39 配置自定义服务
如下图所示,在导航栏选择“策略配置 > NAT转换策略 > 地址池”。点击<新建>,配置名称为httpserver,地址池的地址类型为IPv4,地址项目为192.168.2.120,点击<提交>。
图1-40 配置地址池
如下图所示,在导航栏选择“策略配置 > NAT转换策略 > 目的NAT”。点击<新建>,配置源地址为any,目的地址为地址对象***test.iask.in,服务为自定义服务tcp65503,接口为ge0,转换后IP为httpserver,转换后端口为80,点击<提交>。
图1-41 配置目的NAT
如下图所示,在Internet访问http:// ***test.iask.in:65003,可正常访问内网的HTTP服务器,当外网口IP地址发生变更后,通过域名访问内网HTTP服务器正常。
图1-42 通过域名访问内网HTTP服务器
应用缓存功能,是以网络节点(比如网关设备)作为锚点,该功能的开启,首先将用户需求的应用软件(一般是用户高频使用的软件,例如:QQ、微信等)上传到该锚点。随后配置相应的URL链接并与上传的应用完成一一对应。
当用户接入网络发起对应用软件(例如:QQ)的下载时,则命中该锚点上的URL,则用户直接从该锚点下得该应用。
对于用户来讲,通过应用缓存下载软件会比在互联网下载速度要快。
该功能有两种配置方式分别为精确匹配和模糊匹配。
只有下载的http地址(URL)与配置的URL地址完全一致时,才会命中已经缓存在设备上的APP文件,实现APP文件加速下载的功能。
目前市场上发现安卓应用缓存URL在变化,为了应对这种场景,可以开启模糊匹配功能。
截取完整URL中的部分路径(比如取用URL的path部分)作为模糊匹配的URL条件,从而达到在精确匹配的基础上进行更为宽松匹配的一种方式。
点击导航栏的“网络配置 > 基础网络 > 应用缓存”,进入应用缓存的显示页面,如图1-43所示。在应用缓存页面中,点击<新建>按钮,会切换到新建的页面,如图1-44所示。
|
配置项 |
说明 |
|
模糊匹配 |
勾选则开启模糊匹配,不勾选则使用精确匹配,默认为不勾选。 默认只有用户请求的应用下载URL与配置的URL地址完全一致时,才会命中已经缓存在设备上的下载文件。启用模糊匹配后,用户请求的应用下载URL只要匹配完整URL中的部分路径(如URL的path部分),就可以认定为命中并开始下载。 |
|
URL |
资源对象网络地址,精确匹配的URL需要输入标准的URL格式(必须包括路径或文件名),例如:http://www.qq.com/qq.exe。目前不支持HTTPS协议。 |
|
上传文件名称 |
选择需要缓存的下载文件。 |
APP动态缓存截取现网用户在应用商城内下载文件的下载URL,自身再次请求下载此文件或其它用户若下载相同文件时,将进入设备动态缓存下载到的文件通道进行下载,不在网络当中占用带宽下载。
通过界面“网络配置 > 基础网络 > 应用缓存 > APP动态缓存”,进入如图1-45所示的页面。在该页面上,可以新建app动态缓存。
图1-45 App动态缓存页面
开启此功能前,请先配置dns服务器。
单击“新建”按钮,在弹出的对话框中编辑域名(即文件下载链接),如图1-46所示,各个配置项的含义如表1-17所示。
|
参数 |
说明 |
|
域名 |
添加应用商城的下载域名,字符限制在3-255内合法字符。 |
配置完成后,如果有用户通过该域名成功下载了文件,点击
图标即可查看设备所缓存的下载文件。
图1-47 查看缓存的下载文件
服务质量管理是指,通过配置接口、协议、目的地址、端口号、探测间隔等信息后,由设备定时发送对应的探测报文,并解析返回的响应报文,作为一个采样点。定时对一个时间段内的采样点进行统计分析,计算出该时间段的探测成功率,和该时间段内的平均延时。再将这些统计结果,在页面中通过曲线表现出来,方便网络管理员了解当前或者过去某一个时刻的网络状况,更加方便有效的管理维护网络。
本功能具有如下功能点:
· 可配置PING、DNS探测条目。
· 可配置TCP协议,通过配置端口号,可添加HTTP、FTP、E-mail的探测条目。
· 收集每个探测条目的请求总次数,成功总次数,计算成功比例。以10分钟为单位统计。保留一周的数据,以文件形式保存。
· 收集每个探测条目每次探测的延时,10分钟为单位,取平均值,保留一周的数据。
· 每个条目都对应有成功率曲线、延时曲线。且每条曲线可选择一天,或一周的显示周期。
探测间隔为可配置项,统计间隔为固定10分钟。
最多可配置20个条目。
最多保存一周的数据,达到数据上限后,新数据会覆盖旧数据。
通过菜单“网络配置 > 基础网络 > 服务质量管理”,进入如图1-48所示的页面。在该页面上,可以查看设备上配置的所有服务质量管理条目及统计信息,在最后一次成功率列和最后一次延时(ms)列下点击数据查看统计曲线图。
点击“新建”,进入如图1-49所示的服务质量管理配置页面,各个配置项的含义如表1-18所示。
|
标题项 |
说明 |
|
名称 |
服务质量管理条目名称 |
|
探测目标 |
服务质量管理探测地址,可以为IP地址,或域名 |
|
类型 |
探测条目类型,可以为PING、DNS、TCP |
|
出接口 |
探测条目的发送接口 any:根据路由自动选择一个路由可达接口 |
|
间隔时间 |
探测条目的发送间隔时间,秒为单位 |
端口镜像(port Mirroring)功能是网络设备上常用的功能,将一个或多个端口的数据流量复制到某一个指定端口来实现对网络的监控。在不影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。
端口镜像功能是对网络流量监控的一个有效的安全手段,对监控流量进行分析和安全性的检查,同时也能及时的在网络发生故障时进行准确的定位。端口镜像功能简单地说就是将被监控流量镜像到监控端口,以便对被监控流量进行故障定位、流量分析、流量备份等,监控端口一般直接与监控主机等相连。端口镜像功能能够将进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据。而企业出于信息安全、保护公司机密的需要,也迫切需要网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。
通过菜单“网络配置>基础网络>端口镜像”,单击“新建”按钮,进入如图1-50所示界面,在该界面,可以新建端口镜像规则,各个配置项的含义如图1-51所示。
|
参数 |
说明 |
|
名称 |
端口镜像规则的名称,1-63字符。 |
|
源接口 |
允许把此接口的流量镜像到监控接口。 |
|
监控接口 |
即目的接口,允许把源接口的流量镜像到的接口,不允许配置为管理口。 |
|
规则类型 |
根据端口镜像作用的接口模式来划分,分为以下三种类型: 入流量,只对从源接口接收的流量进行镜像。 出流量,只对从源接口发出的流量进行镜像。 双向流量,对源接口接受和发出的双向流量进行镜像。 |
通常情况下设备串联到网络中,以直连的方式对网络流量进行分析、控制以及转发。如果仅需要使用部分功能,如IPS、防病毒、监控等,用户可以选择旁路模式。在旁路部署模式下,设备仅对流量进行统计、扫描或记录,不进行流量转发,网络流量也不会受到设备故障的影响。因此,对于仅有审计需求的业务场景,使用旁路部署模式会更加有效。
通过菜单“网络管理 > 基础网络 > 部署方式”,进入如图1-52所示页面。各个配置项的含义如表1-19所示。启用接口旁路部署方式只对报文进行监听,不进行转发。
|
标题项 |
说明 |
|
接口名称 |
当前系统所有的接口名称。 |
|
状态 |
当前系统部署状态,绿色对号图标为该接口是旁路口。 |
|
启用 |
勾选接口启用,代表该接口启用旁路口。 |
启用了旁路部署模式的接口将会从网络中抓取流量进行统计、扫描或记录。
设备旁路部署时支持认证和阻断功能。旁路模式并不替换用户的路由器,也不提供任何NAT、DHCP或者DNS服务。通常部署在交换机旁边,通过镜像的方式,仅仅提供认证和阻断的功能。旁路模式不修改网络结构,不关心网络细节,关机也不掉线。
适用一些密度高度集中的场所,如大型展会,大型推销活动,演唱会,火车站或者运动会等。
· 对于没有认证的用户发送http 302报文重定向。
· 控制策略为拒绝时,对匹配到安全策略的TCP报文发送reset报文,阻止用户访问网络。
通过菜单“网络管理 > 基础网络 > 部署方式 > 高级配置”,进入如图1-53所示页面。在该页面上可以配置旁路认证和阻断相关功能。各个配置项含义如表1-20所示。
|
标题项 |
说明 |
|
旁路阻断 |
旁路阻断开关,开启旁路阻断配合控制策略实现旁路阻断功能,默认为关闭。 |
|
旁路认证 |
旁路认证开关,开启旁路认证配合用户认证实现旁路认证功能,默认为关闭。 |
· 启用旁路认证功能后,用户需在认证策略中将源接口和目的接口配置为旁路部署接口或any。
· 启用旁路阻断功能后,用户需在控制策略中将源接口和目的接口配置为旁路部署接口或any。
VRF:Virtual Routing Forwarding,VPN路由转发表,是一项计算机网络技术,它允许一个路由表的多个实例在同一时间同一个路由器共存。因为它的路由实例是独立的,可以使用相同的或者重叠的IP地址而不会产生冲突。VRF功能提供了从一台物理路由器变成多台虚拟路由器的功能。
将接口加入VRF实例,会清除接口上已配置的IP地址,请谨慎操作。
通过菜单“网络配置 > 基础网络 > VRF配置”,进入到VRF显示界面,如图1-54所示。可以查看设备上配置的所有VRF。默认所有接口都属于root实例。
图1-54 VRF显示界面
通过菜单“网络配置 > 基础网络 > VRF配置”,进入到如图1-54所示VRF显示界面。点击<新建>按钮,页面切换到VRF新建页面,如图1-55所示。
图1-55 VRF新建界面
表1-21 VRF配置说明
|
配置项 |
说明 |
|
VRF名称 |
要创建的VRF名称 |
|
接口列表 |
选择需要加入到VRF的接口。如果接口之前已经配置了IP地址,加入到VRF后IP地址将会被删除。 |
IPv6是Internet Protocol Version 6的缩写,是IETF组织设计的用于替代现行版本IP协议(IPv4)的下一代IP协议。IPv4地址只有32位,最大的问题在于网络地址资源有限,严重制约了互联网的应用和发展。IPv6地址为128位,不仅能解决网络地址资源数量的问题,而且支持更多的服务类型,解决了多种设备接入互联网的障碍。
通过菜单“网络配置 > 基础网络 > IPv6网络 > IPv6路由表”,进入IPv6路由表,如图1-56所示。在该页面上可以浏览所有IPv6路由。
图1-56 IPv6路由表
:该图标表示该条静态路由有效。
:该图标表示该条静态路由无效。
设备支持通过以下几种方式获取IPv6路由:
· IPv6静态路由,指定目的网段和下一跳即可生成IPv6路由
· IPv6路由通告
· IPv6隧道,IPv6手工隧道、isatap和6to4隧道模式均会生成IPv6路由
· 直连路由
通过菜单“网络配置 > 基础网络 > IPv6网络 > IPv6静态路由”,进入IPv6静态路由页面,如图1-57所示。在该页面上可以新建、删除、浏览IPv6静态路由。
图1-57 IPv6静态路由页面
点击<新建>按钮,进入IPv6静态路由的新建页面,如图1-58所示。各个配置项的含义如表1-22所示。
图1-58 IPv6静态路由新建页面
表1-22 IPv6静态路由各项配置含义描述表
|
标题项 |
说明 |
|
目的前缀 |
IPv6静态路由的目的网络前缀,与IPv4路由中的目的子网意义相同。 |
|
掩码长度 |
IPv6静态路由的目的网络前缀的掩码长度。 |
|
下一跳/出接口 |
IPv6静态路由的下一跳地址,可以为网关地址或出接口(必须为隧道接口或PPPoE接口)。 |
|
权重 |
设置IPv6静态路由的权重,取值范围1~255。如果存在多个下一跳负载均衡,权重越大,该条路由命中的概率就越大。 |
|
距离 |
指定IPv6静态路由的管理距离,取值范围1~255。管理距离是指路由协议的路由可信度。每种路由协议按可靠性从高到低依次分配一个信任等级,这个信任等级就叫管理距离。正常情况下,管理距离越小,优先级就越高,也就是可信度越高。对于两种不同的路由协议到同一个目的地的路由信息,路由器会优先选择管理距离小的路由。 |
通过菜单“网络配置 > 基础网络 > IPv6网络 > IPv6路由通告”,进入路由通告信息显示页面,查看设备上的所有IPv6路由通告信息。在接口上开启IPv6路由通告后,该接口会定期向邻近网络发布IPv6路由信息
图1-59 IPv6路由通告信息显示
点击<编辑>按钮,进入如图1-60所示的路由通告信息配置页面。各个配置项的含义如表1-23所示。
|
标题项 |
说明 |
|
接口名称 |
配置发布路由通告的接口名称。 |
|
发布路由通告 |
是否发布路由通告,如果选中,则发布,否则不发布。 |
|
发布间隔 |
配置发布路由通告的最大间隔,最小间隔是最大时间间隔的三分之一。 |
|
默认路由器时间 |
PC把发布通告的路由器作为默认路由的下一跳的时间。 |
|
邻居可达时间 |
通告的邻居可达时间,如果为0,则表示路由器不指定邻居可达时间。 |
|
NS重传间隔 |
通告的NS重传间隔,如果为0,则表示路由器不指定NS重传间隔。 启用了IPv6路由通告的接口会定期向邻居发送邻居节点请求(NS)报文以探测邻居是否可达,如果没有收到响应报文将会按照NS重传间隔再次发送NS报文。 |
|
MTU |
通告的链路MTU值,如果为0,则表示不通告链路MTU。 |
|
跳数 |
通告信息的最大传输跳数。 |
|
被管理标记 |
如果选中被管理标记,则表示PC不使用通告的前缀进行无状态地址自动配置。 |
|
其它标记 |
如果选中其它配置标记,则表示PC应该向DHCPv6服务器请求DNS配置信息。 |
如需添加新的路由前缀,可点击“前缀信息配置”框中的<新建>按钮,进入如图1-61所示的配置页面。通过该页面添加前缀信息,各个配置项的含义如表1-24所示。
|
标题项 |
说明 |
|
路由前缀 |
通告的网段前缀,PC可使用该前缀进行无状态地址自动配置。 |
|
有效生存期 |
通过该网段前缀进行无状态地址自动配置生成地址后,该地址的有效时间。 |
|
首选生存期 |
通过该网段前缀进行无状态地址自动配置生成地址后,该地址的优先使用时间。 |
|
在链路标记 |
如果选中该标记,则表示可使用该前缀进行判定是否与其它主机在同一链路上。 |
|
自治标记 |
如果选中该标记,则表示可使用该前缀进行无状态地址自动配置。 |
IPv6隧道用于在IPv4的网络上通过隧道封装的方式实现IPv6通讯。
通过菜单“网络配置 > 基础网络 > IPv6网络 > IPv6隧道”,进入IPv6隧道页面,如图1-62所示。在该页面上可以新建、编辑、删除、浏览IPv6隧道。
图1-62 IPv6隧道概览页面
点击<新建>按钮,进入IPv6隧道的新建页面,如表1-25所示。各个配置项的含义如表1-26所示。
表1-25 IPv6隧道新建页面
表1-26 IPv6隧道各个配置项含义描述表
|
标题项 |
说明 |
|
名称 |
tunnel前缀加上tunnel id即为tunnel接口的名称。 |
|
隧道模式 |
该隧道采用的隧道模式,有三种模式,分别为: · 手动隧道:手工指定隧道的源地址和目的地址。源地址是封装隧道报文时外层封装所使用的源IPv4地址或指定接口的主IP地址,目的地址是封装隧道报文时外层封装所使用的目的IPv4地址。 IPv6 over IPv4是一种IPv6过渡机制,其机制是将IPv6 报文前封装IPv4 的报文头,通过隧道方式使IPv6报文穿越IPv4网络,实现隔离的IPv6网络互通。根据隧道终点IPv4地址的获取方式不同,IPv6 over IPv4隧道分为“手工隧道”及“自动隧道”两种类型。如果隧道的终点地址无法从IPv6报文的目的地址中自动获取,需要进行手工配置,这种隧道即为手工隧道;如果隧道的接口地址采用内嵌IPv4地址的特殊IPv6地址形式,即可以从IPv6报文的目的地址中自动获取隧道终点的IPv4地址,这种隧道即为自动隧道。本文所述的配置适用于手工隧道。 · isatap隧道:ISATAP隧道是点到点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。该模式需要用户配置隧道的源地址(同手工隧道配置)和隧道接口的主IPv6地址。 · ISATAP隧道允许通过IPv4网络上的双栈节点传输IPv6报文。支持ISATAP的双栈主机会自动在该隧道接口上生成本地链路的前缀(fe80::开头)和64位的接口标识符(::0:5EFE:X.X.X.X,其中X.X.X.X是双栈主机的IPv4单播地址),以便与同一子网内的其他ISATAP客户机进行IPv6通讯;如果需要与其他网络的ISPTAP客户机或者IPv6网络通讯,必须通过ISATAP路由器获取全球单播地址前缀(2001:, 2002:, 3ffe:)。 · 6to4隧道:用户只需手动指定隧道的源地址(同手工隧道配置)。每个站点必须至少有一台6to4路由器作为出入口,使用特定的地址格式(地址前缀为2002:开头)并将路由器的IPv4地址加入到IPv6地址中,因此位于不同6to4站点内的主机彼此通讯时可自动抽取IPv4地址在路由器之间建立隧道。 |
|
隧道源 |
指定封装隧道报文时,用哪个地址作为外层的源IPv4地址。 可以使用指定的地址作为隧道源地址,也可以使用某个接口的主IP地址作为隧道源地址。 |
|
源地址 |
指定封装隧道报文时,作为外层封装的IPv4报文的源地址。 |
|
隧道目的 |
指定封装隧道报文时,作为外层封装的IPv4报文的目的地址。 |
|
IPv6地址 |
配置隧道接口的IPv6主地址,只有隧道模式选择istap模式才需要配置。 |
点击<提交>按钮,提交配置。提交配置后可在如图1-63所示的页面上查看配置的IPv6隧道信息。
图1-63 IPv6隧道信息
点击<编辑>按钮,可对选中条目进行编辑。
点击<删除>按钮,可对选中条目进行删除。
通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御 > IPv6异常包攻击防御”,进入IPv6异常包攻击防御,在该页面上可以配置IPv6异常包攻击防御。
图1-64 IPv6异常包攻击防御配置页面
表1-27 IPv6异常包攻击防御配置项含义描述表
|
标题项 |
说明 |
|
Winnuke |
winnuke报文攻击。 |
|
Land-Base |
Land-base报文攻击。 |
|
TCP flag |
异常的TCP flag报文攻击。 |
|
Fraggle |
fraggle报文攻击。 |
|
IP spoof |
IP地址欺骗攻击。 |
要求设备发布路由通告信息,对网络内的主机进行无状态地址自动配置。
图1-65 路由通告配置组网图
1. 在设备的接口ge0上配置RA,发布前缀为3004::/64的前缀。
2. HostA和HostB收到设备的RA信息,自动生成前缀为3004::1/64的IPv6地址。
按图1-66所示配置路由通告。
在设备上使用display ipv6 rtadv-conf 验证配置结果。
host# display ipv6 rtadv-conf ge0
ipv6 nd rtadv disable (suppress ra)
---------------------------------------------------
Field-name Value Units
---------------------------------------------------
link-mtu 0 byte
hop-limit 64 -
ra-maxinterval 600 second
ra-mininterval 198 second
reachable-time 0 millisecond
ns-retrans-interval 0 millisecond
other-config-flag false -
managed-config-flag false -
default-rt-lifetime 1800 second
----------------------------------------------------------------------------------------
Prefix Valid-lifetime Preferred-lifetime On-link Autonomous ----------------------------------------------------------------------------------------
3004::/64 2592000 604800 true true
如图1-67所示,两个IPv6网络分别通过设备 A和设备 B与IPv4网络连接,设备 A与设备 B之间路由可达,要求在设备 A和设备 B之间建立IPv6手动隧道,使两个IPv6网络可以互通。
图1-67 IPv6手动隧道组网图
按照图1-67组网。
设备 A配置IPv6手动隧道。如图1-68所示。
图1-68 设备 A配置页面
配置设备 B手动隧道。如图1-69所示。
图1-69 配置设备 B手动隧道
配置主机。
配置Host A的IPv6地址为2003:7856::3/64,默认网关配置为设备 A的ge0口的地址2003:7856::1。
配置Host B的IPv6地址为3003:7856::3/64,默认网关配置为设备 B的ge0口的地址3003:7856::1。
在HostB上ping 2003:7856::3 来验证。
hostA# ping6 2003:7856::3
PING 2003:7856::3 (3003:7856::3) 56 data bytes
seq ttl time(ms)
1 128 1.178
2 128 1.339
3 128 1.053
4 128 1.111
5 128 1.170
--- 2003:7856::3 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 1.053/1.170/1.339/0.098 ms
要求各问题重复之间配置IPv6静态路由协议后,可以使所有主机和问题重复之间互通。
(1) 根据组网图给各个设备的相应接口配置IPv6地址(略)。
(2) 配置IPv6静态路由。
# 在设备 A上配置IPv6缺省路由,如图1-71所示。
图1-71 配置设备 A静态路由
# 在设备 B上配置静态路由。如图1-72所示。
图1-72 配置设备 B静态路由
# 在设备 C上配置静态路由。如图1-73所示。
图1-73 配置设备 C静态路由
(3) 配置主机地址和网关。
根据组网图配置好各主机的IPv6地址,并将HostA的缺省网关配置为2002::1,HostB的缺省网关配置为2001::1/64,HostC的缺省网关配置为2003::1。
# 在设备 B上执行ping6命令验证。
hostB# ping6 2002::2
PING 2002::2 (2002::2) 56 data bytes
seq ttl time(ms)
1 128 1.178
2 128 1.339
3 128 1.053
4 128 1.111
5 128 1.170
--- 2002::2 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 1.053/1.170/1.339/0.098 ms
网络引流的功能是指通过设备将终端访问外网的流量引流到云平台,流量经过云平台处理后再回流到设备,然后从原路径转发出去。使用GRE VPN或者IPsec VPN实现隧道的互通,通过策略路由实现引流,并解决流量二次过设备问题。
如下图所示,将SASE平台部署在城域汇聚节点,提供POP点接入、安全检测和防护、安全策略等功能;客户侧部署一台设备作为CPE(Customer Premise Equipment),用于和POP点建立隧道,并转发指定流量到SASE平台,最后将过滤后的流量转发到CPE设备出接口。
图1-74 网络引流应用场景组网图
终端访问外网的流量需要经过云平台的安全检查,流量转发的流程如下:
(1) PC发出的流量经过设备CPE。
(2) CPE先将接收到的流量通过GRE隧道上送到云平台的VPE。
(3) VPE收到上送来的流量后转发给VRouter。
(4) VRouter将VPE转发过来的流量传递给安全模块进行安全检查。
(5) 安全模块处理完成后将流量返回给VRouter。
(6) VRouter将安全模块发送过来的流量转发给VPE。
(7) VPE将VRouter转发过来的流量再通过GRE隧道送回到CPE。
(8) CPE将二次过来的流量从接口转发到出口防火墙(FW)。
(9) 出口防火墙(FW)最终真正的将流量发送到外网。
· CPE只支持IPv4引流,不支持IPv6引流(IPv6数据可正常转发)。
· VPE侧建立GRE隧道只支持IP地址不支持域名配置。
· CPE侧出口FW的NAT功能须支持GRE协议。
· CPE引流不支持带vlan tag。
· GRE隧道无状态检测机制,CPE设备侧需配接口状态探测功能做引流动态切换。
· 设备作为VPE时到安全模块无引流链路检测机制,当链路不通会造成CPE侧业务不通。
· CPE引流支持协议icmp,tcp,udp。
在导航栏选择“网络配置>接口配置>隧道接口”,新建隧道接口tunnel1,源IP为CPE上的出接口IP,目的IP为VPE上入接口的IP。
图1-75 配置隧道接口
CPE与VPE之间正确建立GRE隧道需要具备以下条件:
· CPE和VPE上分别配置tunnel口为GRE模式。
· 指定隧道的源目地址分别为隧道通信两端的IP地址。
· 保证网络可达。
· 根据需要选择是否配置tunnel口的VRF(由于流量需要二次过设备,为了避免环路以及VPE上区分不同CPE上送的流量等问题,需要配置tunnel口的VRF,将不同tunnel接口的流量进行隔离)。
在导航栏选择“网络配置>基础网络>网络引流>GRE网络引流”,启用网络引流,绑定引流的GRE隧道接口和地址对象。
图1-76 配置网络引流
表1-28 网络引流显示信息描述:
|
标题项 |
说明 |
|
启用 |
勾选启用表示启用此网络引流; 不勾选启用表示不启用此网络引流。 |
|
引流接口 |
指定网络引流的具体接口,选择已创建的GRE隧道接口。 |
|
引流对象 |
指定网络引流的地址对象。 |
实现网络引流需要具备以下条件:
· 配置CPE与VPE之间的GRE隧道。
· 配置网络引流业务,绑定引流的GRE隧道口和地址对象。
· VPE上配置策略路由指向Vrouter。
· VRouter上配置策略路由指向VPE。
IPSec网络引流是指CPE与VPE之间通过IPsec隧道实现互通,需要配置CPE与VPE之间的IPsec隧道,引流的接口选择IPsec隧道接口,配置步骤与GRE网络引流相同,此处不再赘述。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
