通过使用 WAN 覆盖网络设置,您可以添加或修改用户定义的 WAN 覆盖网络。
用户定义的覆盖网络需要连接到预先为 WAN 覆盖网络配置的接口。您可以配置以下任一覆盖网络:
- 专用覆盖网络:如果要让 Edge 在为专用网络上的每个 Edge 分配的专用 IP 地址之间直接建立覆盖网络 VCMP 隧道,则需要使用该网络。
注: 在配置了切换接口的合作伙伴网关设置中,当具有专用接口的 Edge 同时具有 IPv4 和 IPv6 用户定义的覆盖网络时,Edge 会尝试根据隧道首选项建立到网关的公用 IP 地址的 IP 隧道。
- 公用覆盖网络:如果要为 VCMP 隧道设置自定义 VLAN 或源 IP 地址和网关地址(由 SASE Orchestrator 确定)以通过 Internet 访问 VMware SD-WAN Gateway,该网络是非常有用的。
您还可以修改或删除已在路由接口上检测到的现有自动检测的 WAN 覆盖网络。只有在 Edge 已成功在配置了 WAN 覆盖网络的路由接口上建立到 SASE Orchestrator 指定的网关的 VCMP 隧道时,才能使用自动检测的覆盖网络。
要配置特定 Edge 的 WAN 覆盖网络设置,请执行以下步骤:
- 在企业门户的 SD-WAN 服务中,单击 。Edge (Edges) 页面将显示现有的 Edge。
- 单击指向某个 Edge 的链接,或者单击该 Edge 的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示选定 Edge 的配置选项。
- 在连接 (Connectivity) 类别中,单击接口 (Interfaces)。
- WAN 链路配置 (WAN Link Configuration) 部分将显示现有的覆盖网络。
- 您可以单击覆盖网络名称以修改设置。要创建新的公用或专用 WAN 覆盖网络,请单击添加用户定义的 WAN 链路 (Add User Defined WAN Link)。此时将显示虚拟 Edge: 新建链路 (Virtual Edge: new link) 窗口。
- 在用户定义的 WAN 覆盖网络 (User Defined WAN Overlay) 部分中,从以下可用的选项中选择链路类型 (Link Type):
-
公用 (Public) 覆盖网络在 Internet 上使用,其中,可以访问位于 Internet 上的 SD-WAN 云网关。用户定义的覆盖网络必须连接到一个接口。公用覆盖网络指示 Edge 在它连接的接口上分配主网关和辅助网关,以帮助确定外部全局 NAT 地址。将向 Orchestrator 报告该外部全局地址,以便所有其他 Edge 使用该外部全局地址(如果配置为建立到当前选择的 Edge 的 VCMP 隧道)。
注: 默认情况下,所有路由接口将尝试 自动检测 (Auto Detect),即,在 Internet 上建立到预分配的云网关的 VCMP 隧道。如果尝试成功,则会创建自动检测公用覆盖网络。仅在以下情况下需要使用用户定义的公用覆盖网络:Internet 服务需要使用 VLAN 标记,或者要使用的公用 IP 地址与 Edge 在面向公众的接口上通过 DHCP 学习的地址不同。 - 专用 (Private) 覆盖网络在专用网络(如 MPLS 网络)或点到点链路上使用。像任何用户定义的覆盖网络一样,专用覆盖网络连接到一个接口,并假定同一专用网络上的所有其他 Edge 可路由到它连接的接口上的 IP 地址。这意味着,在接口的 WAN 端没有 NAT。在将专用覆盖网络连接到一个接口时,Edge 建议 Orchestrator 应将该接口上的 IP 地址用于配置为建立到它的隧道的任何远程 Edge。
下表介绍了覆盖网络设置:表 1. 公用和专用覆盖网络的通用设置 选项 描述 地址类型 (Address Type) 选择 WAN 覆盖网络链路以使用 IPv4 或 IPv6 地址。您也可以选择 IPv4 和 IPv6,从而允许将指向同一 ISP 的 IPv4 和 IPv6 用户定义覆盖网络配置为单个链路。该选项有助于防止超额订阅指向 ISP 的链路。
注: 在选择 IPv6 地址时,IP 转向的覆盖网络不支持重复地址检测 (Duplicate Address Detection, DAD)。在 可选配置 (Optional Configuration) 中配置源 IP 地址时,覆盖网络会发生转向。名称 (Name) 为公用或专用链路输入描述性 WAN 覆盖网络名称。 注: WAN 覆盖网络名称应仅包含 ASCII 字符。不支持非 ASCII 字符。在业务策略中选择 WAN 链路时,您可以引用该名称。请参阅配置链路转向模式。操作员警示 (Operator Alerts) 将与覆盖网络有关的警示发送给操作员。确保您在 页面中启用了链路警示以接收这些警示。警示 (Alerts) 将与覆盖网络有关的警示发送给客户。确保您在 页面中启用了链路警示以接收这些警示。选择接口 (Select Interfaces) 启用了 IPv4 WAN 覆盖网络或 IPv6 WAN 覆盖网络并设置为 用户定义的覆盖网络 (User Defined Overlay) 的路由接口将显示为复选框。显示的接口取决于所选的 地址类型 (Address Type)。注: 如果 WAN 覆盖网络链路使用静态 IPv4 地址,您可以选择一个或多个路由接口,当前用户定义的覆盖网络将连接到选定的接口。如果配置了静态 IPv6 地址,则无法选择一个或多个路由接口。注: 对于 610-LTE,您可以在 CELL1 或 CELL2 上添加用户定义的 WAN 覆盖网络。无论 SIM 卡是否存在, SASE Orchestrator 都会显示 CELL1 和 CELL2。因此,您必须知道启用(激活)了哪个 SIM 卡插槽,然后选择该 SIM 卡。表 2. 公用覆盖网络设置 选项 描述 公用 IP 地址 (Public IP Address) 显示为公用覆盖网络发现的公用 IP 地址。在使用网关方法发现外部全局 NAT 地址后,将填充该字段。 下图显示了一个公用覆盖网络设置示例:表 3. 专用覆盖网络设置 选项 描述 SD-WAN 服务可访问 (SD-WAN Service Reachable) 在创建专用覆盖网络并将其连接到专用 WAN(如 MPLS 网络)时,您也许还可以在同一 WAN 上访问 Internet(通常通过数据中心的防火墙)。在这种情况下,建议启用“SD-WAN 服务可访问”(SD-WAN Service Reachable),因为它提供了以下功能:
- 到 Internet 的辅助路径,用于访问 Internet 托管的 SD-WAN 网关。如果从该 Edge 到 Internet 的所有直接链路都发生故障,则使用该路径。
- 到 Orchestrator 的辅助路径;如果从该 Edge 到 Orchestrator 的所有直接链路都发生故障,则使用该路径。Edge 用于通信的管理 IP 地址必须可以在 MPLS 中路由,否则,需要在专用接口上选中“NAT 直接”(NAT Direct),以使 Orchestrator 流量正确返回。
注: 与使用远程防火墙在专用网络上创建的到 Internet 的 VCMP 隧道(长路径)相比, SD-WAN Edge 始终首选在本地 Internet 链路上创建的 VCMP 隧道(短路径)。注: 不会在短路径和长路径之间执行每个数据包或循环负载均衡。在无法直接访问公用 Internet 的站点中,“SD-WAN 服务可访问”(SD-WAN Service Reachable) 选项允许将专用 WAN 用于专用站点到站点 VCMP 隧道,并作为与 Internet 托管的 VMware SD-WAN 服务进行通信的路径。
公用 SD-WAN 地址 (Public SD-WAN Addresses) 在选中 SD-WAN 服务可访问 (SD-WAN Service Reachable) 复选框时,将显示 SD-WAN 网关和 SASE Orchestrator 的公用 IPv4 和 IPv6 地址列表;如果尚未在同一专用网络中通告来自防火墙的默认路由,可能需要在专用网络中通告这些地址。
注: 列表中的某些 IP 地址(如网关)可能会随时间而发生变化。下图显示了一个专用覆盖网络设置示例:表 4. 可选配置 选项 描述 源 IP 地址 (Source IP Address) 这是用于 VCMP 隧道数据包的原始套接字源 IP 地址,这些数据包来自于当前覆盖网络连接到的接口。
不需要在任何地方预配置源 IP 地址,但该地址必须能够路由到选定的接口,以及从选定的接口中路由到该地址。
您可以在相应字段中输入 IPv4 或 IPv6 地址,以与对等体建立 WAN 覆盖网络。
下一跃点 IP 地址 (Next-Hop IP Address) 输入数据包要路由到的下一跃点 IP 地址,这些数据包来自于在源 IP 地址 (Source IP Address) 字段中指定的原始套接字源 IP 地址。
您可以在相应字段中输入 IPv4 或 IPv6 地址。
自定义 VLAN (Custom VLAN) 选中该复选框可启用自定义 VLAN 并输入 VLAN ID。范围是 2 到 4094。
该选项将 VLAN 标记应用于数据包,这些数据包来自于从当前覆盖网络连接到的接口建立的 VCMP 隧道的源 IP 地址。
启用每链路 DSCP (Enable Per Link DSCP) 选中该复选框可将 DSCP 标记添加到特定的覆盖网络链路。将在通过此覆盖网络链路传输的 VCMP 数据包的外部标头中应用 DSCP 标记。通过该标记,将可以利用专用网络底层 DSCP 标记机制,通过在上游路由器上定义的 QoS 设置来唯一处理每个覆盖网络。有关该复选框的用例,请参阅下面标题为“用例:每个用户定义的覆盖网络的 DSCP 值”的一节。 802.1P 设置 (802.1P Setting) 选中该复选框可设置从当前覆盖网络连接到的接口发送的帧上的 802.1p PCP 位。该设置仅适用于特定的 VLAN。PCP 优先级值是一个 3 位二进制数字。范围是 000 到 111,默认值为 000。
只有在 session.options.enable8021PConfiguration 系统属性设置为 True 时,才能使用该复选框。默认情况下,该值为 False。
如果无法使用该选项,请与您的运营团队的 VMware 支持人员联系以启用该设置。
-
- 单击查看高级设置 (View advanced settings),以配置以下设置:
表 5. 公用和专用覆盖网络的通用高级设置 选项 描述 带宽测量 (Bandwidth Measurement) 从以下选项中选择一种测量带宽的方法: - 测量带宽 (缓慢启动) (Measure Bandwidth (Slow Start)):如果在测量默认带宽时报告不正确的结果,这可能是由 ISP 限制造成的。要解决该问题,请选择该选项以持续传输较慢的突发 UDP 流量,然后传输较大的突发流量。
- 测量带宽 (突发模式) (Measure Bandwidth (Burst Mode)):选择该选项,以将较短的突发 UDP 流量传输到 SD-WAN 网关(公用链路)或对等体(专用链路)以评估链路带宽。
- 不测量 (手动定义) (Do Not Measure (define manually)):选择该选项以手动配置带宽。建议将其用于 Hub 站点,因为:
- 通常,Hub 站点只能测量链路速度比 Hub 慢的远程分支。
- 如果 Hub Edge 发生故障并使用动态带宽测量模式,在重新测量可用的带宽时,它可能会增加 Hub Edge 恢复联机的延迟。
上游带宽 (Upstream Bandwidth) 输入上游带宽 (Mbps)。只有在选择“不测量 (手动定义)”(Do Not Measure (define manually)) 时,才能使用该选项。 下游带宽 (Downstream Bandwidth) 输入下游带宽 (Mbps)。只有在选择“不测量 (手动定义)”(Do Not Measure (define manually)) 时,才能使用该选项。 动态带宽调整 (Dynamic Bandwidth Adjustment) 动态带宽调整尝试根据数据包丢失率动态调整可用的链路带宽,并旨在用于带宽可能突然减少的无线宽带服务。
注: 对于具有软件 3.3.x 或更低版本的 Edge,不建议使用该配置。您可以为具有 3.4 或更高版本的 Edge 配置该选项。注: 公用链路 CoS 不支持此配置。链路模式 (Link Mode) 从下拉菜单中选择 WAN 链路的模式。可以使用以下选项: - 活动 (Active):默认情况下,将选择该选项。接口用作发送流量的主要模式。
- 备份 (Backup):该选项将该 WAN 覆盖网络连接到的接口置于备份模式。这意味着,将会拆除该接口的管理隧道,而且连接的 WAN 链路将不会收到任何数据流量。只有当来自多个活动链路的所有路径均关闭,使得活动链路数低于配置的最小活动链路数 (Minimum Active Links) 时,才会使用备份链路。满足此条件时,将为接口重建管理隧道,备份链路将变为活动链路并传输流量。
只能将 Edge 上的一个接口置于备份模式。如果启用,该接口将在云状态: 备用 (Cloud Status: Standby)。
页面中显示为注: 可以使用该选项减少 4G 或 LTE 服务上的用户数据和 SD-WAN 性能测量带宽消耗。不过,与配置为热备用或活动链路并使用业务策略控制带宽消耗的链路相比,故障切换时间将会较长。如果将 Edge 配置为 Hub 或集群的一部分,请不要使用该功能。 - 热备用 (Hot Standby):在将 WAN 链路配置为热备用模式时,将会建立管理隧道,从而在发生故障时快速进行切换。热备用链路不接收检测信号(每 5 秒发送一次)以外的数据流量。
当来自多个活动链路的所有路径均关闭,使得活动链路数低于配置的最小活动链路数 (Minimum Active Links) 时,将启动热备用链路。流量通过热备用路径进行发送。
如果活动链路上的主网关路径启动,使得活动链路数超过配置的最小活动链路数 (Minimum Active Links),则热备用链路将恢复为备用模式,并且流量将切换到活动链路。
有关更多信息,请参阅配置热备用链路。
在一个接口上激活“备份”(Backup) 或“热备用”(Hot Standby) 链路选项后,您无法将该 Edge 的其他接口配置为备份或热备用链路,因为一个 Edge 一次只能将一个 WAN 链路用作备份或热备用链路。
最小活动链路数 (Minimum Active Links) 只有在选择备份或热备用以作为链路模式时,才能使用该选项。从下拉列表中,选择每次可以在网络中存在的活动链路数。在当前启动的活动链路数低于选定数字时,将会启动备份或热备用链路。范围是 1 到 3,默认值为 1。 MTU SD-WAN Edge 执行路径 MTU 发现,并在该字段中更新发现的 MTU 值。大多数有线网络支持 1500 字节,而支持 VoLTE 的 4G 网络通常仅允许最多 1358 字节。
建议不要将 MTU 设置为 1300 字节以下,因为这可能会产生组帧开销。除非路径 MTU 发现失败,否则,不需要设置 MTU。
您可以从
页面中确定 MTU 是否较大,因为接口的 VCMP 隧道(路径)永远不会变得稳定,并反复达到“不可用”(UNUSABLE) 状态(数据包丢失率超过 25%)。在每个路径上进行带宽测试期间,随着 MTU 缓慢增加,如果配置的 MTU 大于网络 MTU,则会丢弃所有大于网络 MTU 的数据包,从而在该路径上导致严重的数据包丢失。
有关更多信息,请参阅隧道概览和 MTU。
开销字节数 (Overhead Bytes) 输入开销带宽的值(以字节为单位)。这是一个指示 WAN 路径中存在的额外 L2 组帧开销的选项。
在配置开销字节数时,除了实际数据包长度以外,QoS 计划程序还会为每个数据包额外统计这些字节数。这可确保不会由于任何上游 L2 组帧开销而超额订阅链路带宽。
路径 MTU 发现 (Path MTU Discovery) 选中该复选框可启用路径 MTU 发现。在确定要应用的开销带宽后,Edge 执行“路径 MTU 发现”以查找最大允许 MTU,从而为客户数据包计算有效的 MTU。有关更多信息,请参阅隧道开销和 MTU。 配置服务类别 (Configure Class of Service) SD-WAN Edge 可以设置流量优先级,并在 Internet 和专用网络上提供类似的 3x3 QoS 类列表。不过,某些公用或专用 (MPLS) 网络包含自己的服务质量 (Quality Of Service, QoS) 类,且每个类具有特定的特性,例如速率保证、速率限制、数据包丢失概率,等等。
该选项允许 Edge 了解可用的公用或专用网络 QoS 带宽,并监管特定接口上的公用或专用覆盖网络。
注: 必须在业务策略中为每个应用程序/规则设置外部 DSCP 标记,在该功能中,每个服务类行与业务策略中设置的这些 DSCP 标记匹配。在选中该复选框后,配置以下设置:
- 服务类别 (Class of Service):为服务类别输入描述性名称。在业务策略中选择 WAN 链路时,您可以引用该名称。请参阅配置链路转向模式。
- DSCP 标记 (DSCP Tags):服务类将与此处定义的 DSCP 标记匹配。DSCP 标记使用业务策略分配给每个应用程序。
- 带宽 (Bandwidth):该类的可用接口发送/上载带宽百分比,它是由公用或专用网络 QoS 类保证带宽确定的。
- 策略制定 (Policing):该选项监控服务类中的流量使用的带宽;在流量超过带宽时,则会限制流量的速率。
- 默认类 (Default Class):如果流量不属于任何定义的类,则流量与默认 CoS 相关联。
注: 公用链路 CoS 不支持动态带宽调整配置。有关如何配置 CoS 的更多信息,请参阅配置服务类别。
严格 IP 优先级 (Strict IP precedence) 如果选中配置服务类别 (Configure Class of Service) 复选框,则可以使用该复选框。
在启用该选项时,将创建与 8 个 IP 优先级位对应的 8 个 VCMP 子路径。如果您希望在服务提供商网络中将服务类合并为较少数量的类,请使用该选项。
默认情况下,将停用该选项,并为配置的确切服务类数量创建 VCMP 子路径。不会应用分组。
表 6. 公用覆盖网络的高级设置 选项 描述 UDP 穿透 (UDP Hole Punching) 如果需要使用分支到分支 SD-WAN 覆盖网络,分支 Edge 部署在 NAT 设备后面(即,NAT 设备位于 Edge 的 WAN 端),并且 NAT 设备未配置为在 UDP 端口 2426 上允许来自其他 Edge 的入站 VCMP 隧道,则 UDP/2426 上的直接 VCMP 隧道不太可能会启动。
使用分支到分支 VPN (Branch to Branch VPN) 以启用分支到分支隧道。请参阅配置分支和分支 VPN 之间的隧道和为 Edge 配置云 VPN 和隧道参数。
使用
以检查一个 Edge 是否已建立到另一个 Edge 的隧道。UDP 穿透尝试解决阻止入站连接的 NAT 设备问题。不过,这种方法并非适用于所有场景或所有类型的 NAT,因为并未标准化 NAT 运行特性。
如果在 Edge 覆盖网络接口上启用 UDP 穿透,将指示所有远程 Edge 将发现的 NAT 公用 IP 和通过 SD-WAN 网关发现的 NAT 动态源端口作为目标 IP 和目标端口,以创建到该 Edge 覆盖网络接口的 VCMP 隧道。
注: 在启用 UDP 穿透之前,请配置分支 NAT 设备以允许 UDP/2426 入站连接并将端口转发到 Edge 专用 IP 地址,或者将 NAT 设备(通常是路由器或调制解调器)置于网桥模式。除非万不得已,否则,不要使用 UDP 穿透,因为它不能与防火墙、对称 NAT 设备、4G/LTE 网络(由于 CGNAT)以及大多数最新调制解调器 NAT 设备一起使用。UDP 穿透可能会产生额外的连接问题,因为远程站点尝试将新的 UDP 动态端口用于 VCMP 隧道。
类型 (Type) 在为 Edge 配置业务策略时,您可以选择链路转向 (Link Steering) 以首选传输组 (Transport Group),如下所示:“公用有线”(Public Wired)、“公用无线”(Public Wireless) 或“专用有线”(Private Wired)。请参阅配置链路转向模式。
选择有线 (Wired) 或无线 (Wireless),以将覆盖网络放在公用有线或无线传输组中。
下图显示了公用覆盖网络的高级设置:表 7. 专用覆盖网络的高级设置 选项 描述 专用网络名称 (Private Network Name) 如果您具有多个专用网络并且要区分它们,以确保 Edge 仅尝试通过隧道连接到同一专用网络上的 Edge,请定义一个专用网络名称并将覆盖网络连接到该网络。这可防止通过隧道连接到它们无法访问的不同专用网络上的 Edge。此外,将该专用网络上的其他位置中的 Edge 配置为使用相同的专用网络名称。
例如:
Edge1 GE1 连接到专用网络 A。将专用网络 A 用于连接到 GE1 的专用覆盖网络。
Edge1 GE2 连接到专用网络 B。将专用网络 B 用于连接到 GE2 的专用覆盖网络。
对于 Edge2,重复相同的连接和命名。
在启用分支到分支或 Edge2 是 Hub 站点时:- Edge1 GE1 尝试连接到 Edge2 GE1 而不是 GE2。
- Edge1 GE2 尝试连接到 Edge2 GE2 而不是 GE1。
配置静态 SLA (Configure Static SLA) 强制覆盖网络假设要设置的 SLA 参数是路径的实际 SLA 值。不会在该覆盖网络上动态测量数据包丢失率、延迟或抖动。QoE 报告将这些值用于针对阈值的颜色设置(绿色/黄色/红色)。 注:从 3.4 版开始,不支持静态 SLA 配置。建议不要使用该选项,因为动态测量数据包丢失率、延迟和抖动将提供更好的结果。
下图显示了专用覆盖网络的高级设置:
- 单击添加链路 (Add Link) 以保存配置。
支持为每个用户定义的覆盖网络应用 DSCP 值标记
在 5.0.0 版本中,网络管理员将能够将 DSCP 标记添加到特定的覆盖网络链路。将在通过覆盖网络链路传输的 VCMP 数据包的外部标头中应用 DSCP 标记,该标记利用专用网络底层网络 DSCP 标记以通过 WAN 底层网络上定义的 QoS 设置唯一地处理每个覆盖网络。
启用每链路 DSCP (Enable Per Link DSCP)
选中该复选框可将 DSCP 标记添加到特定的覆盖网络链路。将在通过此覆盖网络链路传输的 VCMP 数据包的外部标头中应用 DSCP 标记。通过该标记,将可以利用专用网络底层 DSCP 标记机制,通过在上游路由器上定义的 QoS 设置来唯一处理每个覆盖网络。
用例:每个用户定义的覆盖网络的 DSCP 值
在此用例中,对于隧道源 Edge,要求将在 WAN 链路上配置的 WAN 覆盖网络 DSCP 标记值应用于所有从此链路输出的流量。配置的 DSCP 值应应用于 VCMP 外部标头,以便 MPLS 网络可以读取 DSCP 值并将差异化服务应用于 VCMP 封装的数据包。来自 Edge 网络 LAN 端的内部 DSCP 标记值应保持不变。隧道目标端的要求:接收隧道创建请求的 Hub 或对等 Edge 必须使用隧道创建者在 VCMP 外部标头上发送的相同 DSCP 覆盖网络标记值进行响应。终止覆盖网络隧道的 Hub 或对等 Edge 不应修改发往 LAN 的内部 DSCP 标记。
在下图中,企业在其底层网络上使用 DSCP 值,以根据源 WAN 覆盖网络链路/隧道提供差异化服务。