在配置文件中,您可以为各种 Edge 型号配置接口设置。

您可以为每种 Edge 型号配置接口设置。Edge 上的每个接口可以是交换机端口 (LAN) 或路由 (WAN) 接口。接口设置因 Edge 型号而异。有关不同 Edge 型号和部署的更多信息,请参阅配置接口设置

要在配置文件中为不同的 Edge 型号配置接口设置,请执行以下操作:

  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 配置文件 (Profiles)
  2. 配置文件 (Profiles) 页面将显示现有的配置文件。
  3. 单击指向某个配置文件的链接,或者单击该配置文件的设备 (Device) 列中的查看 (View) 链接。您也可以选择一个配置文件,然后单击修改 (Modify) 以配置该配置文件。
  4. 选定配置文件的配置选项将显示在设备 (Device) 选项卡中。
  5. 连接 (Connectivity) 类别中,单击接口 (Interfaces)。将显示选定配置文件中提供的 Edge 型号:
  6. 单击一个 Edge 型号以查看该 Edge 中的可用接口。

    您可以根据 Edge 型号编辑以下类型的接口的设置:

    • 交换机端口
    • 路由接口
    • WLAN 接口

    您还可以根据 Edge 型号添加子接口、辅助 IP 地址和 Wi-Fi SSID。

  7. 配置路由 (Routed) 接口的设置。有关这些配置设置的说明,请参阅下表。
    注: 下表中的接口设置可以在 Edge 级别被覆盖。
    选项 描述
    描述 (Description) 键入描述。此字段为可选字段。
    接口已启用 (Interface Enabled) 默认情况下,将选中该复选框。如果需要,您可以停用接口。如果停用,接口将无法用于任何通信。
    功能 (Capability) 对于路由接口,将默认选择路由 (Routed) 选项。您可以从下拉列表中选择交换 (Switched) 选项,以选择将端口转换为交换机端口接口。
    分段 (Segments) 默认情况下,配置设置适用于所有分段。无法编辑此字段。
    Radius 身份验证 (Radius Authentication) 停用启用 WAN 覆盖网络 (Enable WAN Overlay) 复选框以配置 Radius 身份验证 (Radius Authentication)。选中 Radius 身份验证 (Radius Authentication) 复选框,并添加预先进行身份验证的设备的 MAC 地址。
    ICMP 回显响应 (ICMP Echo Response) 默认情况下,将选中该复选框。这有助于接口响应 ICMP 回显消息。出于安全目的,您可以停用该选项。
    底层网络记帐 (Underlay Accounting) 默认情况下,将选中该复选框。如果在接口上定义了专用 WAN 覆盖网络,将根据测量的 WAN 链路速率计算流经接口的所有底层网络流量以防止过度订阅。可以停用该选项以避免这种行为。
    注: IPv4 和 IPv6 地址都支持底层网络记帐。
    启用 WAN 覆盖网络 (Enable WAN Overlay) 默认情况下,将选中该复选框。这有助于为接口激活 WAN 覆盖网络。
    DNS 代理 (DNS Proxy) “DNS 代理”(DNS Proxy) 功能为与配置文件关联的 Edge 上的本地 DNS 条目提供了额外支持,以将某些设备流量指向特定的域。无论 IPv4 或 IPv6 DHCP 服务器设置如何,您都可以激活或停用此选项。
    注: 该复选框仅适用于路由接口和路由子接口。
    注: 如果激活 IPv4/IPv6 DHCP 服务器,并且停用 DNS 代理,则“DNS 代理”(DNS Proxy) 功能将无法按预期工作,并且可能会导致 DNS 解析失败。
    VLAN 对于访问端口,从下拉列表中选择一个现有的 VLAN。对于中继端口,您可以选择多个 VLAN 以及选择未标记的 VLAN。
    IPv4 设置 (IPv4 Settings) - 选中该复选框以激活 IPv4 设置。
    寻址类型 (Addressing Type) 默认情况下,将选择 DHCP 以动态分配 IPv4 地址。如果选择静态 (Static)PPPoE,您必须为每个 Edge 配置寻址详细信息。
    WAN 覆盖网络 (WAN Overlay) 默认情况下,将激活自动检测覆盖网络 (Auto-Detect Overlay)。您可以选择用户定义的覆盖网络 (User Defined Overlay) 并配置覆盖网络设置。有关更多信息,请参阅配置 Edge WAN 覆盖网络设置
    注: 如果为 Edge 创建了 CSS GRE 隧道,并且将与 CSS 隧道接口关联的 WAN 链路的 WAN 覆盖网络设置从“自动检测覆盖网络”(Auto-Detect Overlay) 更改为“用户定义的覆盖网络”(User-Defined Overlay),则还会从 Edge 级别的 CSS 配置中移除 WAN 链路和关联的 CSS 隧道。
    OSPF 只有在为配置文件配置了 OSPF 时,该选项才可用。请选中该复选框,然后从下拉列表中选择一个 OSPF。单击切换高级 OSPF 设置 (toggle advance ospf settings) 以配置选定 OSPF 的接口设置。
    注: 子接口不支持 OSPF,非全局分段也不支持 OSPF。
    OSPFv2 配置仅支持 IPv4。OSPFv3 配置仅支持 IPv6,该配置仅在 5.2 版本中可用。
    注: OSFPv3 仅在 5.2 版本中可用。
    有关 OSPF 设置和 OSPFv3 的更多信息,请参阅为配置文件激活 OSPF
    多播 (Multicast) 只有在为配置文件配置了多播设置时,该选项才可用。您可以为选定接口配置以下多播设置。
    • IGMP - 选中该复选框以激活 Internet 组管理协议 (IGMP)。仅支持 IGMP v2。
    • PIM - 选中该复选框以激活协议无关多播。仅支持 PIM 稀疏模式 (PIM-SM)。
    单击 切换高级多播设置 (toggle advanced multicast settings) 以配置以下定时器:
    • PIM 探活定时器 (PIM Hello Timer) - PIM 接口发出 Hello 消息以发现 PIM 邻居的时间间隔。范围是 1 到 180 秒,默认值为 30 秒。
    • IGMP 主机查询间隔 (IGMP Host Query Interval) - IGMP 查询器发出主机查询消息以在连接的网络上发现包含成员的多播组的时间间隔。范围是 1 到 1800 秒,默认值为 125 秒。
    • IGMP 最大查询响应值 (IGMP Max Query Response Value) - 主机必须响应 IGMP 查询的最长时间。范围是 1 到 25 秒,默认值为 10 秒。
    注: 当前,多播侦听器发现 (Multicast Listener Discovery, MLD) 已停用。因此,在为接口分配了 IPv6 地址时,Edge 不会发送多播侦听器报告。如果网络中存在侦听交换机,则不发送 MLD 报告可能会导致 Edge 无法接收在重复地址检测 (Duplicate Address Detection, DAD) 中使用的多播数据包。即使地址重复,也会导致 DAD 成功。
    VNF 插入 (VNF Insertion) 您必须停用 WAN 覆盖网络 (WAN Overlay),然后选中受信任的源 (Trusted Source) 复选框以激活 VNF 插入 (VNF Insertion)。在将 VNF 插入到 L3 接口或子接口时,系统会将流量从 L3 接口或子接口重定向到 VNF。
    通告 (Advertise) 选中该复选框以向网络中的其他分支通告接口。
    NAT 直接流量 (NAT Direct Traffic) 选中该复选框以在路由接口上为 IPv4 激活 NAT 直接流量。
    小心:

    早期版本的 SASE Orchestrator 可能在配置了 VLAN 或子接口的主接口上无意中配置了 NAT 直接流量。如果该接口将直接流量发送一个或多个跃点,由于未应用 NAT 直接流量设置,客户不会观察到任何问题。但是,如果将 Edge 升级到 5.2.0 或更高版本,Edge 内部版本会修复未正确应用 NAT 直接流量的问题(请求单 92142),由于在之前的版本中未实施该特定用例,因此这会导致路由行为发生更改。

    换言之,由于 5.2.0 或更高版本的 Edge 现在按预期方式为所有用例实施 NAT 直接流量,之前正常传输的流量(因为未根据缺陷应用 NAT 直接流量)现在可能会出现故障,这是因为客户从未意识到已为配置了 VLAN 或子接口的接口选中了 NAT 直接流量。

    因此,如果要将 Edge 升级到 5.2.0 或更高版本,客户应该首先检查配置文件和 Edge 接口设置,以确保仅为明确需要 NAT 直接流量的接口配置该设置;如果接口不需要该设置,则将其停用,尤其是在该接口配置了 VLAN 和子接口时。

    受信任的源 (Trusted Source) 选中该复选框以将接口设置为受信任的源。
    反向路径转发 (Reverse Path Forwarding) 只有在选中了受信任的源 (Trusted Source) 复选框时,您才能选择反向路径转发 (RPF) 选项。只有在可以在同一接口上转发返回流量时,该选项才允许接口上的流量。这有助于防止来自未知源的流量,例如,企业网络上的恶意流量。如果入站源未知,则会在输入时丢弃数据包而不创建流量。从下拉列表中选择以下选项之一:
    • 未启用 (Not Enabled) - 即使在路由表中没有匹配的路由,也允许入站流量。
    • 特定 (Specific) - 默认情况下,将选择该选项,即使停用了受信任的源 (Trusted Source) 选项。入站流量应与入站接口上的特定返回路由匹配。如果未找到特定的匹配项,则会丢弃入站数据包。这是配置了公用覆盖网络和 NAT 的接口上的常用模式。
    • 宽松 (Loose) - 入站流量应与路由表中的任意路由(已连接/静态/路由)匹配。这允许使用非对称路由,并通常用于没有配置下一跃点的接口。
    IPv6 设置 (IPv6 Settings) - 选中该复选框以激活 IPv6 设置。
    寻址类型 (Addressing Type) 从以下选项中选择一个选项以动态分配 IPv6 地址。
    • DHCP 无状态 (DHCP Stateless) - 允许接口自行配置 IPv6 地址。无需在 ISP 中提供 DHCPv6 服务器。ICMPv6 发现消息源自 Edge 并用于自动配置。
      注: 在“DHCP 无状态”(DHCP Stateless) 配置中,将在内核接口级别创建两个 IPv6 地址。Edge 不会使用与链路本地地址相匹配的主机地址。
    • DHCP 有状态 (DHCP Stateful) - 该选项类似于 IPv4 的“DHCP”选项。网关将连接到 ISP 的 DHCPv6 服务器以获取租用地址,服务器将维护 IPv6 地址的状态。
      注: 在有状态 DHCP 中,如果将有效生命周期和首选生命周期设置为无限值 (0xffffffff(4294967295)),则定时器将无法正常工作。有效定时器和首选定时器可以接受的最大值为 2147483647
    • 静态 (Static) - 如果选择该选项,则应为每个 Edge 配置寻址详细信息。
    注: 对于蜂窝接口,默认情况下,“寻址类型”(Addressing Type) 为 静态 (Static)
    WAN 覆盖网络 (WAN Overlay) 默认情况下,将激活自动检测覆盖网络 (Auto-Detect Overlay)。您可以选择用户定义的覆盖网络 (User Defined Overlay) 并配置覆盖网络设置。有关更多信息,请参阅配置 Edge WAN 覆盖网络设置
    OSFP 只有在为配置文件配置了 OSPF 时,该选项才可用。请选中该复选框,然后从下拉列表中选择一个 OSPF。单击切换高级 OSPF 设置 (toggle advance ospf settings) 以配置选定 OSPF 的接口设置。
    注: 子接口不支持 OSPF,非全局分段也不支持 OSPF。
    OSPFv2 配置仅支持 IPv4。OSPFv3 配置仅支持 IPv6。
    注: OSFPv3 仅在 5.2 版本中可用。
    有关 OSPF 设置和 OSPFv3 的更多信息,请参阅为配置文件激活 OSPF
    通告 (Advertise) 选中该复选框以向网络中的其他分支通告接口。
    NAT 直接流量 (NAT Direct Traffic) 选中该复选框以在路由接口上为 IPv6 激活 NAT 直接流量。
    小心:

    早期版本的 SASE Orchestrator 可能在配置了 VLAN 或子接口的主接口上无意中配置了 NAT 直接流量。如果该接口将直接流量发送一个或多个跃点,由于未应用 NAT 直接流量设置,客户不会观察到任何问题。但是,如果将 Edge 升级到 5.2.0 或更高版本,Edge 内部版本会修复未正确应用 NAT 直接流量的问题(请求单 92142),由于在之前的版本中未实施该特定用例,因此这会导致路由行为发生更改。

    换言之,由于 5.2.0 或更高版本的 Edge 现在按预期方式为所有用例实施 NAT 直接流量,之前正常传输的流量(因为未根据缺陷应用 NAT 直接流量)现在可能会出现故障,这是因为客户从未意识到已为配置了 VLAN 或子接口的接口选中了 NAT 直接流量。

    因此,如果要将 Edge 升级到 5.2.0 或更高版本,客户应该首先检查配置文件和 Edge 接口设置,以确保仅为明确需要 NAT 直接流量的接口配置该设置;如果接口不需要该设置,则将其停用,尤其是在该接口配置了 VLAN 和子接口时。

    受信任的源 (Trusted Source) 选中该复选框以将接口设置为受信任的源。
    反向路径转发 (Reverse Path Forwarding) 只有在选中了受信任的源 (Trusted Source) 复选框时,您才能选择反向路径转发 (RPF) 选项。只有在可以在同一接口上转发返回流量时,该选项才允许接口上的流量。这有助于防止来自未知源的流量,例如,企业网络上的恶意流量。如果入站源未知,则会在输入时丢弃数据包而不创建流量。从下拉列表中选择以下选项之一:
    • 未启用 (Not Enabled) - 即使在路由表中没有匹配的路由,也允许入站流量。
    • 特定 (Specific) - 默认情况下,将选择该选项,即使停用了受信任的源 (Trusted Source) 选项。入站流量应与入站接口上的特定返回路由匹配。如果未找到特定的匹配项,则会丢弃入站数据包。这是配置了公用覆盖网络和 NAT 的接口上的常用模式。
    • 宽松 (Loose) - 入站流量应与路由表中的任意路由(已连接/静态/路由)匹配。这允许使用非对称路由,并通常用于没有配置下一跃点的接口。
    路由器通告主机设置 (Router Advertisement Host Settings) - 只有在选中 IPv6 设置 (IPv6 Settings) 复制框并选择 DHCP 无状态 (DHCP Stateless)DHCP 有状态 (DHCP Stateful) 以作为寻址类型 (Addressing Type) 时,这些设置才可用。选中该复选框以显示以下 RA 参数。默认情况下,将激活这些参数。如果需要,您可以停用这些参数。
    注: 在停用并再次激活 RA 主机参数时,Edge 等待接收下一个 RA,然后再安装路由、MTU 和 ND/NS 参数。
    MTU 接受通过路由通告收到的 MTU 值。如果停用该选项,则会考虑接口的 MTU 配置。
    默认路由 (Default Routes) 在接口上收到路由通告时,安装默认路由。如果停用该选项,则接口没有可用的默认路由。
    特定路由 (Specific Routes) 当路由通告在接口上收到路由信息时,安装特定的路由。如果停用该选项,则接口不会安装路由信息。
    ND6 定时器 (ND6 Timers) 接受通过路由通告收到的 ND6 定时器。如果停用该选项,则会考虑默认 ND6 定时器。NDP 重新发送定时器的默认值为 1 秒,NDP 可访问超时为 30 秒。
    L2 设置 (L2 Settings)
    自动协商 (Autonegotiate) 默认情况下,将选中该复选框。这允许端口与链路另一端的设备进行通信,以确定连接的最佳双工模式和速度。
    速度 (Speed) 只有在停用了自动协商 (Autonegotiate) 时,才能使用该选项。选择端口与其他链路通信的速度。默认情况下,将选择 100 Mbps
    双工 (Duplex) 只有在停用了自动协商 (Autonegotiate) 时,才能使用该选项。选择全双工 (Full duplex)半双工 (Half duplex) 以作为连接模式。默认情况下,将选择全双工 (Full duplex)
    MTU 在所有路由接口上接收和发送的帧的默认 MTU 大小为 1500 字节。您可以更改接口的 MTU 大小。
    注: 在以下场景中选中 DNS 代理 (DNS proxy) 复选框时,将显示一条警告消息:
    • IPv4 和 IPv6 DHCP 服务器均处于已停用 (Deactivated) 状态。
    • IPv4 DHCP 服务器处于中继 (Relay) 状态,IPv6 DHCP 服务器处于已停用 (Deactivated) 状态。
    如果使用 USB 调制解调器连接到网络,要启用 IPv6 寻址,请手动在 Edge 中进行以下配置:
    1. 将全局参数 “usb_tun_overlay_pref_v6”:1 添加到 /etc/config/edged 中,以将首选项更新为 IPv6 地址。
    2. 运行以下命令以将接口的 IP 类型更新为 IPv6。
      /etc/modems/modem_apn.sh [USB] [ACTION] [ACTION ARGS...]
       

      输入以下参数:

      • USB - 输入 USB 编号
      • 输入 APN 设置,如下所示:
        • apn - 输入接入点名称。
        • username - 输入运营商提供的用户名。
        • password - 输入运营商提供的密码。
        • spnetwork - 输入服务提供商网络的名称。
        • simpin - 输入用于解锁 SIM 卡的 PIN 码。
        • auth - 指定身份验证类型。
        • iptype - 输入 IP 地址的类型。

      以下是包含示例参数的示例命令:

      /etc/modems/modem_apn.sh USB3 set ‘’vzwinternet’' ‘’ ‘VERIZON’ ‘’ ‘’ ‘ipv4v6’
    注: 有关支持在 SD-WAN Edge 上使用的调制解调器列表,请参阅 支持的调制解调器页面。
  8. 配置交换 (Switched) 接口的设置。有关这些配置设置的说明,请参阅下表。
    选项 描述
    接口已启用 (Interface Enabled) 默认情况下,将激活该选项。如果需要,您可以停用接口。如果停用,接口将无法用于任何通信。
    功能 (Capability) 对于交换机端口,将默认选择交换 (Switched) 选项。您可以从下拉列表中选择路由 (Routed) 选项,以选择将端口转换为路由接口。
    模式 (Mode) 选择“访问端口”(Access port) 或“中继端口”(Trunk port) 以作为端口模式。
    VLAN 对于访问端口,从下拉列表中选择一个现有的 VLAN。

    对于中继端口,您可以选择多个 VLAN 以及选择未标记的 VLAN。

    L2 设置 (L2 Settings)
    自动协商 (Autonegotiate) 默认情况下,将激活该选项。如果激活,自动协商将允许端口与链路另一端的设备进行通信,以确定连接的最佳双工模式和速度。
    速度 (Speed) 只有在停用了自动协商 (Autonegotiate) 时,才能使用该选项。选择端口与其他链路通信时的速度。默认情况下,将选择 100 Mbps。
    双工 (Duplex) 只有在停用了自动协商 (Autonegotiate) 时,才能使用该选项。选择“全双工”(Full duplex) 或“半双工”(Half duplex) 以作为连接模式。默认情况下,将选择“全双工”(Full duplex)。
    MTU 在所有交换机接口上接收和发送的帧的默认 MTU 大小为 1500 字节。您可以更改接口的 MTU 大小。
  9. 您还可以根据 Edge 型号添加子接口、辅助 IP 地址和 Wi-Fi SSID。单击删除 (Delete) 以移除选定的接口。
    1. 要为现有接口添加子接口,请执行以下操作:
      • 接口 (Interface) 部分中,单击添加子接口 (Add SubInterface)
      • 选择接口 (Select Interface) 窗口中,选择要为其添加子接口的接口。
      • 输入子接口 ID (Subinterface ID),然后单击下一步 (Next)
      • 子接口 (Sub Interface) 窗口中,配置接口设置。
    2. 要为现有接口添加辅助 IP 地址,请执行以下操作:
      • 接口 (Interface) 部分中,单击添加辅助 IP (Add Secondary IP)
      • 选择接口 (Select Interface) 窗口中,选择要为其添加辅助 IP 地址的接口。
      • 输入子接口 ID (Subinterface ID),然后单击下一步 (Next)
      • 辅助 IP (Secondary IP) 窗口中,配置接口设置。
    3. 某些 Edge 型号支持无线 LAN。要为现有接口添加 Wi-Fi SSID,请执行以下操作:
      • 接口 (Interface) 部分中,单击添加 Wi-Fi SSID (Add Wi-Fi SSID)。此时将显示 WLAN 接口设置窗口。
      • 配置以下 WLAN 接口设置:
        选项 描述
        接口已启用 (Interface Enabled) 默认情况下,将启用该选项。如果需要,您可以停用接口。如果停用,接口将无法用于任何通信。
        VLAN 选择接口要使用的 VLAN。
        SSID 输入无线网络名称。

        选中广播 (Broadcast) 复选框,以将 SSID 名称广播到周围设备。

        安全 (Security) 从下拉列表中选择 Wi-Fi 连接的安全类型。可以使用以下选项:
        • 开放 (Open) - 不实施安全功能。
        • WPA2/个人 (WPA2 / Personal) - 需要使用密码以进行身份验证。请在密码短语 (Passphrase) 字段中输入密码。
          注: 从版本 4.5 开始,不再支持在密码中使用特殊字符“<”。如果用户已在之前版本的密码中使用了“<”,则必须将其移除才能保存页面上的任何更改。
        • WPA2/企业 (WPA2 / Enterprise) - 使用 RADIUS 服务器进行身份验证。您应该已配置一个 RADIUS 服务器,并为配置文件和 Edge 选择该服务器。

          要配置 RADIUS 服务器,请参阅配置身份验证服务

          要为配置文件选择 RADIUS 服务器,请参阅为配置文件配置身份验证设置

  10. 单击设备 (Device) 窗口中的保存更改 (Save Changes)

    在为配置文件配置接口设置时,这些设置将自动应用于与配置文件关联的 Edge。如果需要,您可以覆盖特定 Edge 的配置。请参阅为 Edge 配置接口设置