通过使用“设备设置”(Device Settings),您可以为配置文件中的一个或多个 Edge 型号配置接口设置。

根据 Edge 型号,每个接口可能是交换机端口 (LAN) 接口或路由 (WAN) 接口。根据分支型号,连接端口是专用 LAN 或 WAN 端口,或者可以将端口配置为 LAN 或 WAN 端口。分支端口可能是以太网或 SFP 端口。某些 Edge 型号可能还会支持无线 LAN 接口。

假定单个公用 WAN 链路连接到一个仅处理 WAN 流量的接口。如果没有为支持 WAN 的路由接口配置 WAN 链路,则假定应自动发现单个公用 WAN 链路。如果发现一个链路,则向 SD-WAN Orchestrator 报告该链路。然后,可以通过 SD-WAN Orchestrator 修改该自动发现的 WAN 链路,并将新配置推送回分支。

注:
  • 如果为路由接口启用了 WAN 覆盖网络并将其连接到 WAN 链路,则该接口可用于所有分段。
  • 如果将一个接口配置为 PPPoE,则它仅支持单个自动发现的 WAN 链路。无法将其他链路分配给该接口。

如果不应或无法自动发现链路,则必须明确配置该接口。在多种支持的配置中无法执行自动发现,其中包括:

  • 专用 WAN 链路
  • 单个接口上的多个 WAN 链路。示例:具有 2 个 MPLS 连接的数据中心 Hub
  • 可以通过多个接口访问的单个 WAN 链路。示例:对于活动-活动 HA 拓扑

自动发现的链路始终是公用链路。用户定义的链路可能是公用链路或专用链路,根据选择的类型,它们具有不同的配置选项。

注: 即使是自动发现的链路,Edge 配置可能会覆盖网络自动检测的参数,如服务提供商和带宽。

公用 WAN 链路

公用 WAN 链路是提供对公用 Internet(如电缆、DSL 等)的访问的任何传统链路。公用 WAN 链路不需要使用对等配置。它们将自动连接到 SD-WAN Gateway,后者处理传播对等连接所需的信息。

专用 (MPLS) WAN 链路

专用 WAN 链路属于专用网络,只能连接到同一专用网络中的其他 WAN 链路。由于可能具有多个 MPLS 网络(例如,在单个企业中),因此,用户必须确定哪个链路属于哪个网络。SD-WAN Gateway 将使用该信息分发 WAN 链路的连接信息。

您可以选择将 MPLS 链路作为单个链路进行处理。不过,为了区分不同的 MPLS 服务类,可以为每个 WAN 链路分配不同的 DSCP 标记以定义多个映射到不同 MPLS 服务类的 WAN 链路。

此外,您还可以决定为专用 WAN 链路定义静态 SLA。这样,对等体无需交换路径统计信息,并减少了链路上消耗的带宽。由于探测间隔影响设备故障切换的速度,因此,并不确定静态 SLA 定义是否应自动缩短探测间隔。

设备设置 (Device Settings)

以下屏幕截图说明了 SD-WAN Edge 500、SD-WAN Edge 1000 以及为 3.4 版引入的 SD-WAN Edge 610 的顶级用户界面。下表介绍了 UI 的主要功能(表中的编号对应于后续屏幕截图中的编号)。

configure-profile-device-setting-510-3-0

可以对网络接口执行的操作,如“编辑”(Edit) 或删除 (Delete)
接口名称。该名称与 Edge 设备上的 Edge 端口标签匹配,或者是为无线 LAN 预先确定的。
交换机端口列表及其一些设置的摘要(例如,访问或中继模式以及接口的 VLAN)。交换机端口是使用浅黄色背景突出显示的。
路由接口列表及其一些设置的摘要(例如,寻址类型,接口是不是自动检测的,以及接口是具有自动检测 WAN 覆盖网络还是用户定义的 WAN 覆盖网络)。路由接口是使用浅蓝色背景突出显示的。
无线接口列表(如果在 Edge 设备上可用)。您可以单击添加 Wi-Fi SSID (Add Wi-Fi SSID) 按钮以添加额外的无线网络。无线接口以浅灰色背景突出显示。
  • 您可以单击添加 Wi-Fi SSID (Add Wi-Fi SSID) 按钮以添加额外的无线网络。无线接口以浅灰色背景突出显示。
  • 您可以单击添加子接口 (Add Sub Interface) 按钮以添加子接口。子接口在接口旁边显示“SIF”。不支持 PPPoE 接口的子接口。
  • 您可以单击添加辅助 IP (Add Secondary IP) 按钮以添加辅助 IP。辅助 IP 在接口旁边显示“SIP”。

3.4 版引入了 Edge 610。

对于 3.4 版,添加了一个新的路由接口 (CELL1),如果用户选择 Edge 510-LTE 以作为型号,将在接口设置 (Interface Settings) 区域中显示该接口(请参阅下图)。

通过单击上图中所示的编辑 (Edit) 链接,用户可以编辑蜂窝设置 (Cell Settings) 部分。(请参阅下图。)

注: 510 LTE 调制解调器信息诊断测试:对于 3.4 版,如果配置了 Edge 510 LTE 设备,则可以运行“LTE 调制解调器信息”(LTE Modem Information) 诊断测试。“LTE 调制解调器信息”(LTE Modem Information) 诊断测试将检索诊断信息,如信号强度、连接信息等。有关如何运行诊断测试的信息,请参阅标题为 远程诊断的章节。

子接口和辅助 IP

configure-profile-device-setting-510-3-0

添加子接口

在将子接口添加到路由接口时,子接口将获得向父接口提供的一部分配置选项。

  1. 单击添加子接口 (Add Sub Interface) 按钮。
  2. 从下拉菜单中选择一个接口,然后在文本框中选择子接口 ID (Sub Interface ID),如下面的选择接口 (Select Interface) 对话框中所示。
    configure-profile-device-select-interface
  3. 单击下一步 (Next)
  4. 子接口 (Sub Interface) 对话框中,选择寻址类型(DHCP静态 (Static))。
    1. 如果选择 DHCP 寻址类型,则会默认选中启用 VLAN 标记 (Enable VLAN Tagging) 复选框,并在文本框中显示在上一对话框中选择的子接口 ID。

      configure-profile-device-edit-subinterface-dialog-dhcp

    2. 如果选择静态 (Static) 寻址类型,您可以选中启用 VLAN 标记 (Enable VLAN Tagging) 复选框以选择启用 VLAN。将在文本框中显示在上一对话框中选择的子接口 ID。

      configure-profile-device-edit-subinterface-dialog-Static

  5. 如有必要,请选中 NAT 直接流量 (NAT Direct Traffic) 复选框。
  6. 单击更新 (Update) 按钮。

将刷新接口 (Interface) 列,以显示新创建的子接口。

添加辅助 IP 地址

  1. 单击添加辅助 IP (Add Secondary IP) 按钮。
  2. 从下拉菜单中选择一个接口,然后在文本框中选择子接口 ID (Sub Interface ID),如下面的选择接口 (Select Interface) 对话框中所示。请注意,“子接口类型”(Sub Interface type) 为“辅助 IP”(Secondary IP)。

    configure-profile-device-secondary-ip

  3. 单击下一步 (Next)
  4. 辅助 IP (Secondary IP) 对话框中,选择寻址类型(DHCP静态 (Static))。

    configure-profile-device-secondary-ip-dialog

  5. 辅助 IP (Secondary IP) 对话框中,选择寻址类型(DHCP静态 (Static))。
  6. 单击更新 (Update) 按钮。

将刷新接口 (Interface) 列,以显示新创建的辅助 IP(请参阅下面的接口设置 (Interface Settings) 图像)。

configure-profile-device-interface-settings-secondary-interfaces

用户定义的 WAN 覆盖网络用例

先简要说明该配置对哪些场景非常有用,然后说明该配置本身的规格。

  1. 用例 1:两个 WAN 链路连接到一个 L2 交换机 - 考虑传统数据中心拓扑,其中,SD-WAN Edge 连接到 DMZ 中的一个 L2 交换机,该交换机连接到多个防火墙,每个防火墙连接到不同的上游 WAN 链路。

    在该拓扑中,可能已为 VMware 接口配置 FW1 以作为下一跃点。不过,要使用 DSL 链路,必须为其置备一个备用的下一跃点,应将数据包转发到该跃点,因为 FW1 无法访问 DSL。在定义 DSL 链路时,用户必须将自定义下一跃点 IP 地址配置为 FW2 的 IP 地址,以确保数据包可以到达 DSL 调制解调器。此外,用户还必须为该 WAN 链路配置自定义源 IP 地址,以使 Edge 能够识别返回接口。最终配置与下图类似:

    下一段介绍了如何定义最终的配置。
    • 为接口定义了 IP 地址 10.0.0.1 和下一跃点 10.0.0.2。由于多个 WAN 链路连接到接口,因此,这些链路设置为“用户定义”。
    • 定义了电缆链路,它继承 IP 地址 10.0.0.1 和下一跃点 10.0.0.2。无需进行任何更改。在需要将数据包发出到电缆链路时,它从 10.0.0.1 发出,然后转发到响应 10.0.0.2 (FW1) 的 ARP 的设备。返回数据包将发送到 10.0.0.1,并标识为已到达电缆链路。
    • 定义了 DSL 链路,由于它是第二个 WAN 链路,因此,SD-WAN Orchestrator 将 IP 地址和下一跃点标记为必需的配置项。用户为源 IP 指定自定义虚拟 IP(如 10.0.0.4),并为下一跃点指定 10.0.0.3。在需要将数据包发出到 DSL 链路时,它从 10.0.0.4 发出,然后转发到响应 10.0.0.3 (FW2) 的 ARP 的设备。返回数据包将发送到 10.0.0.4,并标识为已到达 DSL 链路。
  2. 用例 2:两个 WAN 链路连接到 L3 交换机/路由器:上游设备也可能是 L3 交换机或路由器。在这种情况下,两个 WAN 链路的下一跃点设备是相同的(一个交换机),上一示例的下一跃点设备是不同的(两个防火墙)。通常,在防火墙位于 SD-WAN Edge 的 LAN 端时,将使用该用例。

    在该拓扑中,将使用基于策略的路由以将数据包转移到相应的 WAN 链路。可以按 IP 地址或 VLAN 标记执行该转向,因此,我们支持这两种方法。

    按 IP 转向:如果 L3 设备能够按源 IP 地址进行基于策略的路由,则两个设备可以位于同一 VLAN 上。在这种情况下,所需的唯一配置是用于区分设备的自定义源 IP。

    下一段介绍了如何定义最终的配置。
    • 为接口定义了 IP 地址 10.0.0.1 和下一跃点 10.0.0.2。由于多个 WAN 链路连接到接口,因此,这些链路设置为“用户定义”。
    • 定义了电缆链路,它继承 IP 地址 10.0.0.1 和下一跃点 10.0.0.2。无需进行任何更改。在需要将数据包发出到电缆链路时,它从 10.0.0.1 发出,然后转发到响应 10.0.0.2(L3 交换机)的 ARP 的设备。返回数据包将发送到 10.0.0.1,并标识为已到达电缆链路。
    • 定义了 DSL 链路,由于它是第二个 WAN 链路,因此,SD-WAN Orchestrator 将 IP 地址和下一跃点标记为必需的配置项。用户为源 IP 指定自定义虚拟 IP(如 10.0.0.3),并为下一跃点指定相同的 10.0.0.2。在需要将数据包发出到 DSL 链路时,它从 10.0.0.3 发出,然后转发到响应 10.0.0.2(L3 交换机)的 ARP 的设备。返回数据包将发送到 10.0.0.3,并标识为已到达 DSL 链路。

    按 VLAN 转向:如果 L3 设备无法进行源路由,或者出于某种其他原因,用户选择为电缆和 DSL 链路分配单独的 VLAN,则必须配置该方法。

    • 在 VLAN 100 上为接口定义了 IP 地址 10.100.0.1 和下一跃点 10.100.0.2。由于多个 WAN 链路连接到接口,因此,这些链路设置为“用户定义”。
    • 定义了电缆链路,它继承 VLAN 100 以及 IP 地址 10.100.0.1 和下一跃点 10.100.0.2。无需进行任何更改。在需要将数据包发出到电缆链路时,它从 10.100.0.1 发出(标记为 VLAN 100),然后转发到响应 VLAN 100 上的 10.100.0.2(L3 交换机)的 ARP 的设备。返回数据包将发送到 10.100.0.1/VLAN 100,并标识为已到达电缆链路。
    • 定义了 DSL 链路,由于它是第二个 WAN 链路,因此,SD-WAN Orchestrator 将 IP 地址和下一跃点标记为必需的配置项。用户为源 IP 指定自定义 VLAN ID (200) 以及虚拟 IP(如 10.200.0.1),并为下一跃点指定 10.200.0.2。在需要将数据包发出到 DSL 链路时,它从 10.200.0.1 发出(标记为 VLAN 200),然后转发到响应 VLAN 200 上的 10.200.0.2(L3 交换机)的 ARP 的设备。返回数据包将发送到 10.200.0.1/VLAN 200,并标识为已到达 DSL 链路。
  3. 用例 3:单臂部署:单臂部署最终与其他 L3 部署非常相似。

    同样,对于两个 WAN 链路,SD-WAN Edge 使用相同的下一跃点。可以执行基于策略的路由,以确保将流量转发到上面定义的相应目标。或者,VMware 中的 WAN 链路对象的源 IP 和 VLAN 可以与电缆和 DSL 链路的 VLAN 相同以自动执行路由。
  4. 用例 4:可以通过多个接口访问一个 WAN 链路:考虑传统金级站点拓扑,其中,可以通过两个备用路径访问 MPLS。在这种情况下,我们必须定义一个可以共享的自定义源 IP 地址和下一跃点,而无论使用哪个接口进行通信。

    • 为 GE1 定义了 IP 地址 10.10.0.1 和下一跃点 10.10.0.2。
    • 为 GE2 定义了 IP 地址 10.20.0.1 和下一跃点 10.20.0.2。
    • 定义了 MPLS 并将其设置为可通过任一接口进行访问。这使源 IP 地址和下一跃点 IP 地址成为必需项,并且没有默认值。
    • 定义了源 IP 和目标,可以使用它们进行通信,而不考虑使用的接口。在需要将数据包发出到 MPLS 链路时,它从 169.254.0.1 发出(标记为配置的 VLAN),然后转发到响应配置的 VLAN 上的 169.254.0.2(CE 路由器)的 ARP 的设备。返回数据包将发送到 169.254.0.1,并标识为已到达 MPLS 链路。
    注: 如果未启用 OSPF 或 BGP ,您可能需要在两个交换机上配置相同的转换 VLAN 以允许访问该虚拟 IP。

接口配置

单击编辑 (Edit) 链接将显示一个对话框,可用于更新特定接口的设置。以下几节提供了为 Edge 型号和接口类型显示的各种对话框的简短描述。

Edge 500 LAN 访问

下面显示了配置为访问端口的 Edge 500 LAN 接口的参数。您可以为端口选择一个 VLAN 并选择 L2 设置:自动协商(默认选择)、速度、双工类型和 MTU 大小(默认为 1500)。

configure-profile-device-settings-e500-lan-access

Edge 500 LAN 中继

下面显示了配置为中继端口的 Edge 500 LAN 接口的参数。您可以为端口选择一些 VLAN,选择如何处理未标记的 VLAN 数据(路由到特定 VLAN 或丢弃)以及选择 L2 设置:自动协商(默认选择)、速度、双工类型和 MTU 大小(默认为 1500)。

configure-profile-device-settings-e500-lan-trunk

Edge 1000 LAN 访问

下面显示了配置为交换访问端口的 Edge 1000 LAN 接口的参数。您可以为端口选择一个 VLAN 并选择 L2 设置:自动协商(默认选择)、速度、双工类型和 MTU 大小(默认为 1500)。

configure-profile-device-settings-e1000-lan-access

Edge 1000 LAN 中继

下面显示了配置为中继端口的 Edge 1000 LAN 接口的参数。您可以为端口选择一些 VLAN,选择如何处理未标记的 VLAN 数据(路由到特定 VLAN 或丢弃)以及选择 L2 设置:自动协商(默认选择)、速度、双工类型和 MTU 大小(默认为 1500)。

configure-profile-device-settings-e1000-lan-trunk

Edge 500 WAN

下面显示了 Edge 500 WAN 接口(“功能”(Capability) 为“路由”(Routed))的参数。您可以选择寻址类型(DHCP、PPPoE 或静态)和 WAN 覆盖网络(自动检测或用户定义),启用 OSPF,启用 NAT 直接流量以及选择 L2 设置:自动协商(默认选择)、速度、双工类型和 MTU 大小(默认为 1500)。

注: 还可以将端口配置为交换接口。

configure-profile-device-settings-e500-wan

Edge 1000 WAN

下面显示了 Edge 1000 WAN 接口(“功能”(Capability) 为路由 (Routed) 的参数。您可以选择寻址类型(DHCP、PPPoE 或静态)和 WAN 覆盖网络(自动检测或用户定义),启用 OSPF,启用 NAT 直接流量以及选择 L2 设置:自动协商(默认选择)、速度、双工类型和 MTU 大小(默认为 1500)。

注: 还可以将端口配置为交换接口。

configure-profile-device-settings-e1000-wan

Edge 500 WLAN

最初,为 SD-WAN Edge 500 定义了两个 Wi-Fi 网络;一个作为企业网络,另一个作为最初禁用的客户机网络。可以定义额外的无线网络,每个网络具有特定的 VLAN、SSID 和安全配置。

configure-profile-device-settings-e500-wlan

Wi-Fi 连接的安全性

Wi-Fi 连接的安全性可以是以下三种类型之一:

类型 描述
开放 (Open) 不实施任何安全功能。
WPA2/个人 (WPA2 / Personal) 使用密码对用户进行身份验证。
WPA2/企业 (WPA2 / Enterprise) 使用 Radius 服务器对用户进行身份验证。在这种场景下,必须在“网络服务”(Network Services) 中配置一个 Radius 服务器,并且必须在设备 (Device) 页面上的配置文件身份验证设置 (Profile Authentication Settings) 中选择该 Radius 服务器。也可以在 Edge 设备 (Edge Device) 页面上覆盖默认安全设置。