Edge 具有不同类型的接口。默认情况下,Edge 的接口配置设置是从关联的配置文件中继承的。您可以修改和配置每个 Edge 的更多设置。

“接口设置”(Interface Settings) 选项因 Edge 型号而异。有关不同 Edge 型号和部署的更多信息,请参阅配置接口设置

要为特定 Edge 配置接口设置,请执行以下步骤:

  1. 在企业门户的 SD-WAN 服务中,单击配置 (Configure) > Edge (Edges)Edge (Edges) 页面将显示现有的 Edge。
  2. 单击指向某个 Edge 的链接,或者单击该 Edge 的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示选定 Edge 的配置选项。
  3. 连接 (Connectivity) 类别中,展开接口 (Interfaces)
  4. 将显示适用于选定 Edge 的不同类型的接口。单击指向一个接口的链接以编辑设置。此时将显示如下所示的接口设置屏幕。

    您可以根据 Edge 型号编辑以下类型的接口的设置:

    • 交换机端口
    • 路由接口
    • WLAN 接口

    您还可以根据 Edge 型号添加子接口、辅助 IP 地址和 Wi-Fi SSID。

  5. 您可以为 Edge 的路由接口配置以下设置。
    选项 描述
    描述 (Description) 输入描述。此字段为可选字段。
    接口已启用 (Interface Enabled) 默认情况下,将激活该选项。如果需要,您可以停用接口。如果停用,接口将无法用于任何通信。
    功能 (Capability) 对于交换机端口,将默认选择交换 (Switched) 选项。您可以从下拉菜单中选择路由 (Routed) 选项,以选择将端口转换为路由接口。
    分段 (Segments) 默认情况下,配置设置适用于所有分段。
    Radius 身份验证 (Radius Authentication) 停用启用 WAN 覆盖网络 (Enable WAN Overlay) 复选框以配置 Radius 身份验证 (Radius Authentication)。选中 Radius 身份验证 (Radius Authentication) 复选框,并添加预先进行身份验证的设备的 MAC 地址。
    ICMP 回显响应 (ICMP Echo Response) 默认情况下,将选中该复选框。这有助于接口响应 ICMP 回显消息。出于安全目的,您可以停用该选项。
    底层网络记帐 (Underlay Accounting) 默认情况下,将选中该复选框。如果在接口上定义了专用 WAN 覆盖网络,将根据测量的 WAN 链路速率计算流经接口的所有底层网络流量以防止过度订阅。可以停用该选项以避免这种行为。
    注: IPv4 和 IPv6 地址都支持底层网络记帐。
    启用 WAN 覆盖网络 (Enable WAN Overlay) 选中该复选框以便为接口激活 WAN 覆盖网络。
    DNS 代理 (DNS Proxy) DNS 代理 (DNS Proxy) 功能为 Edge 上的本地 DNS 条目提供了额外支持,以将某些设备流量指向特定的域。无论 IPv4 或 IPv6 DHCP 服务器设置如何,您都可以激活或停用此选项。
    注: 该复选框仅适用于路由接口和路由子接口。
    VLAN 对于访问端口,从下拉菜单中选择一个现有的 VLAN。对于中继端口,您可以选择多个 VLAN 以及选择未标记的 VLAN。
    已连接 EVDSL 调制解调器 (EVDSL Modem Attached) 选中该复选框以激活连接到 Edge 上的某个以太网端口的 EVDSL 调制解调器。
    IPv4 设置 (IPv4 Settings) 选中启用 (Enable) 复选框,然后配置 IPv4 设置。有关更多信息,请参阅下面的“IPv4 设置”一节。
    IPv6 设置 (IPv6 Settings) 选中启用 (Enable) 复选框,然后配置 IPv6 设置。有关更多信息,请参阅下面的“IPv6 设置”一节。
    L2 设置 (L2 Settings)
    自动协商 (Autonegotiate) 默认情况下,将选择该选项。如果选择该选项,自动协商将允许端口与链路另一端的设备进行通信,以确定连接的最佳双工模式和速度。
    速度 (Speed) 只有在未选择自动协商 (Autonegotiate) 时,该选项才可用。选择端口与其他链路通信时的速度。默认情况下,将选择 100 Mbps
    双工 (Duplex) 只有在未选择自动协商 (Autonegotiate) 时,该选项才可用。选择全双工 (Full duplex)半双工 (Half duplex) 以作为连接模式。默认情况下,将选择全双工 (Full duplex)
    MTU 在所有路由接口上接收和发送的帧的默认 MTU 大小为 1500 字节。您可以更改接口的 MTU 大小。
    LOS 检测 (LOS Detection) 该选项仅适用于 Edge 的路由接口。选中该复选框以激活使用 ARP 监控进行的信号丢失 (Loss of Signal, LoS) 检测。有关更多信息,请参阅路由接口上的 HA LoS 检测
    注: 仅当在 Edge 上激活了高可用性时,才能选中该复选框。

IPv4 设置

选中已启用 (Enabled) 复选框,以配置以下 IPv4 设置 (IPv4 Settings)

选项 描述
寻址类型 (Addressing Type) 选择寻址类型:
  • DHCP:动态分配 IPv4 地址。
  • PPPoE:必须为每个 Edge 配置身份验证详细信息。PPPoE 需要进行身份验证才能获取动态分配的 IP 地址。
  • 静态 (Static):必须输入选定路由接口的 IP 地址 (IP address)CIDR 前缀 (CIDR Prefix)网关 (Gateway)
注: 根据 RFC 3021,IPv4 支持 31 位前缀。
OSPF 只有在为选定分段配置了 OSPF 时,该选项才可用。选中该复选框,然后从下拉菜单中选择一个 OSPF。单击切换高级 OSPF 设置 (toggle advance ospf settings) 以配置选定 OSPF 的接口设置。
注: 子接口不支持 OSPF,非全局分段也不支持 OSPF。
OSPFv2 配置仅支持 IPv4。OSPFv3 配置仅支持 IPv6。
注: OSFPv3 仅在 5.2 版本中可用。
有关 OSPF 设置和 OSPFv3 的更多信息,请参阅为配置文件激活 OSPF
多播 (Multicast) 只有在为选定分段配置了多播设置时,该选项才可用。您可以为选定接口配置以下多播设置。
  • IGMP - 选中该复选框以激活 Internet 组管理协议 (IGMP)。仅支持 IGMP v2。
  • PIM - 选中该复选框以激活协议无关多播。仅支持 PIM 稀疏模式 (PIM-SM)。
单击 切换高级多播设置 (toggle advanced multicast settings) 以配置以下定时器:
  • PIM 探活定时器 (PIM Hello Timer) - PIM 接口发出 Hello 消息以发现 PIM 邻居的时间间隔。范围是 1 到 180 秒,默认值为 30 秒。
  • IGMP 主机查询间隔 (IGMP Host Query Interval) - IGMP 查询器发出主机查询消息以在连接的网络上发现包含成员的多播组的时间间隔。范围是 1 到 1800 秒,默认值为 125 秒。
  • IGMP 最大查询响应值 (IGMP Max Query Response Value) - 主机必须响应 IGMP 查询的最长时间。范围是 1 到 25 秒,默认值为 10 秒。
注: 当前,多播侦听器发现 (Multicast Listener Discovery, MLD) 已停用。因此,在为接口分配了 IPv6 地址时,Edge 不会发送多播侦听器报告。如果网络中存在侦听交换机,则不发送 MLD 报告可能会导致 Edge 无法接收在重复地址检测 (Duplicate Address Detection, DAD) 中使用的多播数据包。即使地址重复,也会导致 DAD 成功。
VNF 插入 (VNF Insertion) 您必须停用 WAN 覆盖网络 (WAN Overlay),然后选中受信任的源 (Trusted Source) 复选框以激活 VNF 插入 (VNF Insertion)。在将 VNF 插入到 L3 接口或子接口时,系统会将流量从 L3 接口或子接口重定向到 VNF。
通告 (Advertise) 选中该复选框以向网络中的其他分支通告接口。
NAT 直接流量 (NAT Direct Traffic) 选中该复选框以将 IPv4 NAT 应用于从接口发送的网络流量。
小心:

早期版本的 SASE Orchestrator 可能在配置了 VLAN 或子接口的主接口上无意中配置了 NAT 直接流量。如果该接口将直接流量发送一个或多个跃点,由于未应用 NAT 直接流量设置,客户不会观察到任何问题。但是,如果将 Edge 升级到 5.2.0 或更高版本,Edge 内部版本会修复未正确应用 NAT 直接流量的问题(请求单 92142),由于在之前的版本中未实施该特定用例,因此这会导致路由行为发生更改。

换言之,由于 5.2.0 或更高版本的 Edge 现在按预期方式为所有用例实施 NAT 直接流量,之前正常传输的流量(因为未根据缺陷应用 NAT 直接流量)现在可能会出现故障,这是因为客户从未意识到已为配置了 VLAN 或子接口的接口选中了 NAT 直接流量。

因此,如果要将 Edge 升级到 5.2.0 或更高版本,客户应该首先检查配置文件和 Edge 接口设置,以确保仅为明确需要 NAT 直接流量的接口配置该设置;如果接口不需要该设置,则将其停用,尤其是在该接口配置了 VLAN 和子接口时。
受信任的源 (Trusted Source) 选中该复选框以将接口设置为受信任的源。
反向路径转发 (Reverse Path Forwarding) 只有在选中了受信任的源 (Trusted Source) 复选框时,您才能选择反向路径转发 (RPF) 选项。只有在可以在同一接口上转发返回流量时,该选项才允许接口上的流量。这有助于防止来自未知源的流量,例如,企业网络上的恶意流量。如果入站源未知,则会在输入时丢弃数据包而不创建流量。从下拉菜单中选择以下任一选项:
  • 未启用 (Not Enabled) - 即使在路由表中没有匹配的路由,也允许入站流量。
  • 特定 (Specific) - 默认情况下,将选择该选项,即使停用了受信任的源 (Trusted Source) 选项。入站流量应与入站接口上的特定返回路由匹配。如果未找到特定的匹配项,则会丢弃入站数据包。这是配置了公用覆盖网络和 NAT 的接口上的常用模式。
  • 宽松 (Loose) - 入站流量应与路由表中的任意路由(已连接/静态/路由)匹配。这允许使用非对称路由,并通常用于没有配置下一跃点的接口。
对于 IPv4 地址,请按以下方式配置 IPv4 DHCP 服务器 (IPv4 DHCP Server)
注: 仅当将 寻址类型 (Addressing Type) 选择为 静态 (Static) 时,才会显示该选项。
  • 已激活 (Activated):激活 DHCP 并将 Edge 作为 DHCP 服务器。如果选择该选项,请配置以下详细信息:
    • DHCP 起始 (DHCP Start):输入子网中可用的有效 IP 地址。
    • 地址数 (Num. Addresses):输入 DHCP 服务器中的子网上可用的 IP 地址数。
    • 租约时间 (Lease Time):从下拉菜单中选择时间段。这是允许 VLAN 使用 DHCP 服务器动态分配的 IP 地址的持续时间。
    • 选项 (Options):单击添加 (Add) 以从下拉菜单中添加预定义或自定义 DHCP 选项。DHCP 选项是从 DHCP 服务器传送到客户端的网络服务。选择自定义选项,然后输入代码、数据类型和值。
  • 中继 (Relay) - 允许在客户端和服务器之间交换 DHCPv4 消息。如果选择此选项,请配置以下内容:
    • 中继代理 IP (Relay Agent IP(s)):指定中继代理的 IP 地址。单击添加 (Add) 以添加更多 IP 地址。
  • 已停用 (Deactivated) - 停用 DHCP 服务器。

IPv6 设置

选中 已启用 (Enabled) 复选框,以配置以下 IPv6 设置 (IPv6 Settings)
选项 描述
寻址类型 (Addressing Type) 选择寻址类型:
  • DHCP 无状态 (DHCP Stateless)
  • DHCP 有状态 (DHCP Stateful)
  • 静态 (Static):必须输入选定路由接口的 IP 地址 (IP address)CIDR 前缀 (CIDR Prefix)网关 (Gateway)
OSPF 只有在为选定分段配置了 OSPF 时,该选项才可用。选中该复选框,然后从下拉菜单中选择一个 OSPF。单击切换高级 OSPF 设置 (toggle advance ospf settings) 以配置选定 OSPF 的接口设置。
注: 子接口不支持 OSPF,非全局分段也不支持 OSPF。
OSPFv2 配置仅支持 IPv4。OSPFv3 配置仅支持 IPv6,该配置仅在 5.2 版本中可用。
注: OSFPv3 仅在 5.2 版本中可用。
有关 OSPF 设置和 OSPFv3 的更多信息,请参阅为配置文件激活 OSPF
通告 (Advertise) 选中该复选框以向网络中的其他分支通告接口。
NAT 直接流量 (NAT Direct Traffic) 选中该复选框以将 IPv6 NAT 应用于从接口发送的网络流量。
小心:

早期版本的 SASE Orchestrator 可能在配置了 VLAN 或子接口的主接口上无意中配置了 NAT 直接流量。如果该接口将直接流量发送一个或多个跃点,由于未应用 NAT 直接流量设置,客户不会观察到任何问题。但是,如果将 Edge 升级到 5.2.0 或更高版本,Edge 内部版本会修复未正确应用 NAT 直接流量的问题(请求单 92142),由于在之前的版本中未实施该特定用例,因此这会导致路由行为发生更改。

换言之,由于 5.2.0 或更高版本的 Edge 现在按预期方式为所有用例实施 NAT 直接流量,之前正常传输的流量(因为未根据缺陷应用 NAT 直接流量)现在可能会出现故障,这是因为客户从未意识到已为配置了 VLAN 或子接口的接口选中了 NAT 直接流量。

因此,如果要将 Edge 升级到 5.2.0 或更高版本,客户应该首先检查配置文件和 Edge 接口设置,以确保仅为明确需要 NAT 直接流量的接口配置该设置;如果接口不需要该设置,则将其停用,尤其是在该接口配置了 VLAN 和子接口时。
受信任的源 (Trusted Source) 选中该复选框以将接口设置为受信任的源。
反向路径转发 (Reverse Path Forwarding) 只有在选中了受信任的源 (Trusted Source) 复选框时,您才能选择反向路径转发 (RPF) 选项。只有在可以在同一接口上转发返回流量时,该选项才允许接口上的流量。这有助于防止来自未知源的流量,例如,企业网络上的恶意流量。如果入站源未知,则会在输入时丢弃数据包而不创建流量。从下拉菜单中选择以下任一选项:
  • 未启用 (Not Enabled) - 即使在路由表中没有匹配的路由,也允许入站流量。
  • 特定 (Specific) - 默认情况下,将选择该选项,即使停用了受信任的源 (Trusted Source) 选项。入站流量应与入站接口上的特定返回路由匹配。如果未找到特定的匹配项,则会丢弃入站数据包。这是配置了公用覆盖网络和 NAT 的接口上的常用模式。
  • 宽松 (Loose) - 入站流量应与路由表中的任意路由(已连接/静态/路由)匹配。这允许使用非对称路由,并通常用于没有配置下一跃点的接口。
对于 IPv6 地址,请按以下方式配置 IPv6 DHCP 服务器 (IPv6 DHCP Server)
注: 仅当将 寻址类型 (Addressing Type) 选择为 静态 (Static) 时,才会显示该选项。
  • 已激活 (Activated):激活 DHCPv6 并将 Edge 作为 DHCPv6 服务器。如果选择该选项,请配置以下详细信息:
    • DHCP 起始 (DHCP Start):输入子网中可用的有效 IPv6 地址。
    • 地址数 (Num. Addresses):输入 DHCPv6 服务器中的子网上可用的 IP 地址数。
    • 租约时间 (Lease Time):从下拉列表中选择时间段。这是允许 VLAN 使用 DHCPv6 服务器动态分配的 IPv6 地址的持续时间。
    • DHCPv6 前缀委派 (DHCPv6 Prefix Delegation):单击添加 (Add) 以将从全局池中选择的前缀分配给 DHCP 客户端。输入前缀池名称以及前缀开始和结束详细信息。
    • 选项 (Options) - 单击添加 (Add) 以从下拉菜单中添加预定义或自定义 DHCP 选项。DHCP 选项是从 DHCP 服务器传送到客户端的网络服务。选择自定义选项,然后输入代码、数据类型和值。
  • 中继 (Relay) - 允许在客户端和服务器之间交换 DHCPv6 消息。如果选择此选项,请配置以下内容:
    • 中继代理 IP (Relay Agent IP(s)):指定中继代理的 IP 地址。单击添加 (Add) 以添加更多 IP 地址。

      从 5.2.0 版本开始,VMware SD-WAN Edge 支持 DHCPv6 中继 (DHCPv6 Relay) 功能。该功能允许 DHCPv6 客户端与远程 DHCPv6 服务器进行通信。该功能与 DHCPv4 中继 (DHCPv4 Relay) 功能非常相似,不同之处在于 DHCPv6 使用不同的消息类型来允许中继代理插入自身的选项或标识回复数据包的出站接口。要在某个 Edge 上激活该功能,必须在该 Edge 的 LAN 接口上激活 IPv6。

      注:
      • 在面向客户的接口上,必须提供服务器 IP 地址作为中继代理 IP (Relay Agent IP) 地址。
      • 如果该接口属于某个非全局分段,则必须通过该相同的非全局分段访问服务器。
  • 已停用 (Deactivated):停用 DHCP 服务器。

路由器通告主机设置 (Router Advertisement Host Settings):只有在您激活 IPv6 设置 (IPv6 Settings),然后选择 DHCP 无状态 (DHCP Stateless)DHCP 有状态 (DHCP Stateful) 作为寻址类型 (Addressing Type) 时,才能使用路由器通告 (Router Advertisement, RA) 参数。

默认情况下,将选择以下 RA 参数。如果需要,您可以禁用这些参数。
选项 描述
MTU 接受通过路由通告收到的 MTU 值。如果禁用该选项,则会考虑接口的 MTU 配置。
默认路由 (Default Routes) 在接口上收到路由通告时,安装默认路由。如果禁用该选项,则接口没有可用的默认路由。
特定路由 (Specific Routes) 当路由通告在接口上收到路由信息时,安装特定的路由。如果禁用该选项,接口将不会安装路由信息。
ND6 定时器 (ND6 Timers) 接受通过路由通告收到的 ND6 定时器。如果禁用该选项,则会考虑默认 ND6 定时器。NDP 重新发送定时器的默认值为 1 秒,NDP 可访问超时为 30 秒。
注: 在停用并再次激活 RA 主机参数时,Edge 会等待接收下一个 RA,然后再安装路由、MTU 和 ND/NS 参数。

基于 MAC 地址的 Wi-Fi 访问控制

Wi-Fi 访问控制可用作无线网络的附加安全层。如果激活,将仅允许已知且获得批准的 MAC 地址与基站相关联。

  1. 在企业门户的“SD-WAN”服务中,单击配置 (Configure) > Edge (Edges),然后选择一个现有 WLAN 接口以配置以下参数。
选项 描述
接口已启用 (Interface Enabled) 选中该复选框以激活接口。
VLAN 从下拉菜单中选择 VLAN ID。
SSID 输入 SSID
安全 (Security) 选择 WPA2/企业 (WPA2/Enterprise)WPA2/个人 (WPA2/Personal) 作为安全选项。
静态 MAC 允许列表 (Static MAC Allow List) 选中该复选框以仅允许列出的 MAC 与接入点相关联。

配置静态 MAC 允许列表 (Static MAC Allow List) 后,将仅允许列表中指定的 Mac 地址与接入点相关联。

.
Radius ACL 检查 (Radius ACL Check) 选中该复选框以将 MAC 地址与 RADIUS 服务器相关联。如果收到 access-accept,则允许 MAC 与接入点相关联。
注: RADIUS ACL 检查仅限于 WPA2/企业 (WPA2/Enterprise) 安全模式。
添加 (Add) 单击以输入新的 MAC 地址。
删除 (Delete) 单击以移除现有的 MAC 地址。
AP 探测的 MAC 筛选 (MAC filtering for AP Probes) 启用 AP 探测的 MAC 筛选,可阻止来自未获批准的 MAC 地址的探测主动发现 AP 参数。在未广播 SSID 时,这可以帮助阻止未知基站连接到网络。已知某些设备使用随机 MAC 地址进行探测,而不考虑 AP 设置,探测筛选可能会导致这些设备无法发现或连接到网络,即使这些设备的 MAC 已获批准也是如此。
注:

AP 探测的 MAC 筛选 (MAC filtering for AP Probes)RADIUS ACL 检查 (RADIUS ACL Check) 不能同时进行。