裝置設定可讓您在設定檔中設定一或多個 Edge 型號的介面設定。

根據 Edge 型號,每個介面可以是交換器連接埠 (LAN) 介面或路由 (WAN) 介面。根據分支型號,連線連接埠會是專用的 LAN 或 WAN 連接埠,或連接埠可以設定為 LAN 或 WAN 連接埠。分支連接埠可以是乙太網路或 SFP 連接埠。某些 Edge 型號可能也支援無線 LAN 介面。

在此假設有單一公用 WAN 連結連結至僅用來處理 WAN 流量的單一介面。若未針對支援 WAN 的路由介面設定 WAN 連結,則會假設應自動探索單一公用 WAN 連結。如果探索到連結,則會向 SD-WAN Orchestrator 報告。然後,這個自動探索的 WAN 連結可透過 SD-WAN Orchestrator 進行修改,而新的組態會推送回分支。

備註:
  • 如果路由介面已啟用 WAN 覆疊,並且與 WAN 連結連結,則介面將可用於所有區段。
  • 如果介面設定為 PPPoE,則只會支援單一自動探索的 WAN 連結。無法將其他連結指派給介面。

如果不應或無法自動探索連結,必須明確加以設定。有多個支援的組態無法執行自動探索,包括:

  • 私人 WAN 連結
  • 單一介面上的多個 WAN 連結。範例:具有 2 個 MPLS 連線的資料中心中樞
  • 可透過多個介面存取的單一 WAN 連結。範例:用於作用中/作用中 HA 拓撲

自動探索到的連結一律為公用連結。使用者定義的連結可以是公用或私人的,且會根據選取的類型而有不同的組態選項。

備註: 即便是自動探索到的連結,覆寫自動偵測到的參數 (例如服務提供者和頻寬) 後,仍可由 Edge 組態覆寫。

公用 WAN 連結

公用 WAN 連結是可用來存取公用網際網路 (如纜線、DSL 等) 的任何傳統連結。公用 WAN 連結不需要對等組態。它們會自動連線至 SD-WAN Gateway,由其處理對等連線所需資訊的散佈。

私人 (MPLS) WAN 連結

私人 WAN 連結屬於私人網路,只能連線至相同私人網路內的其他 WAN 連結。由於可能會有多個 MPLS 網路,例如在單一企業內,使用者必須識別哪個連結屬於哪個網路。SD-WAN Gateway 將會使用這項資訊來散佈 WAN 連結的連線資訊。

您可以選擇將 MPLS 連結視為單一連結。但是,若要區分服務不同的 MPLS 類別,您可以為每個 WAN 連結指派不同的 DSCP 標籤來定義多個 WAN 連結,以對應至服務的不同 MPLS 類別。

此外,您也可以決定為私人 WAN 連結定義靜態 SLA。如此,對等就不再需要交換路徑統計資料並減少連結上的頻寬耗用量。由於探查間隔會影響裝置進行容錯移轉的速度,因此靜態 SLA 定義是否應自動縮短探查間隔並不明確。

裝置設定

下列螢幕擷取畫面說明 SD-WAN Edge 500、SD-WAN Edge 1000 的最上層使用者介面,並介紹 3.4 版的 SD-WAN Edge 610。下表說明 UI 的主要功能 (表格中的號碼對應於後續螢幕擷取畫面中的號碼)。

configure-profile-device-setting-510-3-0

您可以在網路介面上執行的動作,例如編輯或刪除
介面名稱。此名稱與 Edge 裝置上的 Edge 連接埠標籤相符,或已針對無線 LAN 預先決定。
交換器連接埠的清單,其中包含其部分設定的摘要 (例如存取或主幹模式,以及介面的 VLAN)。交換器連接埠會以淺黃色背景反白顯示。
路由介面的清單,其中包含其設定的摘要 (例如定址類型,以及介面是自動偵測到的,還是具有自動偵測或使用者定義的 WAN 覆疊)。路由介面會以淺藍色背景反白顯示。
無線介面清單 (如果在 Edge 裝置上可供使用)。您可以按一下新增 Wi-Fi SSID (Add Wi-Fi SSID) 按鈕,以新增其他無線網路。無線介面會以淺灰色背景反白顯示。
  • 您可以按一下新增 Wi-Fi SSID (Add Wi-Fi SSID) 按鈕,以新增其他無線網路。無線介面會以淺灰色背景反白顯示。
  • 您可以按一下新增子介面 (Add Sub Interfaces) 按鈕,以新增子介面。子介面會在介面旁顯示「SIF」。不支援 PPPoE 介面的子介面。
  • 您可以按一下新增次要 IP (Add Secondary IP) 按鈕,以新增次要 IP。次要 IP 會在介面旁顯示「SIP」。

3.4 版本導入了 Edge 610。

3.4 版中新增了新的路由介面 (CELL1),如果使用者選擇 Edge 510-LTE 作為型號,將會顯示在介面設定 (Interface Settings) 區域中 (請參閱下圖)。

按一下編輯 (Edit) 連結 (如上圖所示),使用者即可編輯儲存格設定 (Cell Settings) 區段。(請參閱下圖)。

備註: 510 LTE 數據機資訊診斷測試:在 3.4 版中,如果已設定 Edge 510 LTE 裝置,則可以使用「LTE 數據機資訊」診斷測試。LTE 數據機資訊診斷測試將會擷取診斷資訊,例如訊號強度、連線資訊等。如需如何執行診斷測試的相關資訊,請參閱標題為 遠端診斷一節

子介面和次要 IP

configure-profile-device-setting-510-3-0
備註: 可在介面上設定的子介面數上限為 32。

新增子介面

將子介面新增至路由介面時,子介面會取得提供給父系介面的組態選項子集。

  1. 按一下新增子介面 (Add Sub Interface) 按鈕。
  2. 從下拉式功能表中選取介面,然後選取文字方塊中的子介面識別碼 (Sub Interface ID),如下方的選取介面 (Select Interface) 對話方塊所示。
    configure-profile-device-select-interface
  3. 下一步 (Next)
  4. 子介面 (Sub Interface) 對話方塊中,選擇您的定址類型 (DHCP靜態 (Static))。
    1. 如果您選擇定址類型 DHCP,則依預設會選取啟用 VLAN 標記 (Enable VLAN Tagging) 核取方塊,且在先前的對話方塊中選擇的子介面識別碼會顯示在文字方塊中。

      configure-profile-device-edit-subinterface-dialog-dhcp

    2. 如果您選擇定址類型靜態 (Static),您可以選擇藉由選取啟用 VLAN 標記 (Enable VLAN Tagging) 核取方塊來啟用 VLAN。您在先前的對話方塊中選擇的子介面識別碼會顯示在文字方塊中。

      configure-profile-device-edit-subinterface-dialog-Static

  5. 如有必要,請勾選 NAT 直接流量 (NAT Direct Traffic) 核取方塊。
  6. 按一下更新 (Update) 按鈕。

介面 (Interface) 資料行會重新整理,並顯示新建立的子介面。

新增次要 IP 位址

  1. 按一下新增次要 IP (Add Secondary IP) 按鈕。
  2. 從下拉式功能表中選取介面,然後選取文字方塊中的子介面識別碼 (Sub Interface ID),如下方的選取介面 (Select Interface) 對話方塊所示。請注意,子介面類型為次要 IP。

    configure-profile-device-secondary-ip

  3. 下一步 (Next)
  4. 次要 IP (Secondary IP) 對話方塊中,選擇您的定址類型 (DHCP靜態 (Static))。

    configure-profile-device-secondary-ip-dialog

  5. 次要 IP (Secondary IP) 對話方塊中,選擇您的定址類型 (DHCP靜態 (Static))。
  6. 按一下更新 (Update) 按鈕。

介面 (Interface) 資料行會重新整理,並顯示新建立的次要 IP (請參閱下方的介面設定 (Interface Settings) 影像)。

configure-profile-device-interface-settings-secondary-interfaces

使用者定義的 WAN 覆疊使用案例

在此會先列出可運用此組態的案例,然後列出組態本身的規格。

  1. 使用案例 1:兩個 WAN 連結連線至 L2 交換器 - 假設有一個傳統資料中心拓撲,其中的 SD-WAN Edge 連線至 DMZ 中的 L2 交換器,而該交換器連線至多個防火牆,且每個防火牆分別連線至不同的上游 WAN 連結。

    在此拓撲中,VMware 介面可能已將 FW1 設定為下一個躍點。不過,若要使用 DSL 連結,則必須為其佈建替代的下一個躍點以將封包轉送至該處,因為 FW1 無法連線至 DSL。定義 DSL 連結時,使用者必須將自訂的下一個躍點 IP 位址設定為 FW2 的 IP 位址,以確保封包可以連線至 DSL 數據機。此外,使用者必須為此 WAN 連結設定自訂來源 IP 位址,以允許 Edge 識別傳回介面。最終組態會如下圖所示:

    下一段說明如何定義最終組態。
    • 為介面定義 IP 位址 10.0.0.1 和下一個躍點 10.0.0.2。由於有多個 WAN 連結連結至介面,因此連結會設定為「使用者定義」。
    • 定義纜線連結,並繼承 IP 位址 10.0.0.1 和下一個躍點 10.0.0.2。不需要進行變更。需要將封包傳送至纜線連結時,封包會從來源 10.0.0.1 轉送至針對 10.0.0.2 回應 ARP 的裝置 (FW1)。傳回封包的目的地為 10.0.0.1,並識別為已到達纜線連結。
    • 定義 DSL 連結,且由於這是第二個 WAN 連結,SD-WAN Orchestrator 會將 IP 位址和下一個躍點標示為必要的組態項目。使用者會指定自訂虛擬 IP (例如 10.0.0.4) 作為來源 IP,並將下一個躍點指定為 10.0.0.3。需要將封包傳送至 DSL 連結時,封包會從來源 10.0.0.4 轉送至針對 10.0.0.3 回應 ARP 的裝置 (FW2)。傳回封包的目的地為 10.0.0.4,並識別為已到達 DSL 連結。
  2. 案例 2:兩個 WAN 連結連線至 L3 交換器/路由器:或者,上游裝置可以是 L3 交換器或路由器。在此情況下,兩個 WAN 連結的下一個躍點裝置是相同的 (交換器),而非上一個範例中的不同裝置 (防火牆)。此方式通常用於防火牆位於 SD-WAN Edge 的 LAN 端時。

    在此拓撲中,將使用以原則為基礎的路由將封包導向至適當的 WAN 連結。此操控可由 IP 位址或 VLAN 標籤執行,因此我們同時支援這兩個選項。

    依 IP 操控:如果 L3 裝置能夠依來源 IP 位址進行以原則為基礎的路由,則兩個裝置可以位於相同的 VLAN 上。在此情況下,所需的組態只有用來區分裝置的自訂來源 IP。

    下一段說明如何定義最終組態。
    • 為介面定義 IP 位址 10.0.0.1 和下一個躍點 10.0.0.2。由於有多個 WAN 連結連結至介面,因此連結會設定為「使用者定義」。
    • 定義纜線連結,並繼承 IP 位址 10.0.0.1 和下一個躍點 10.0.0.2。不需要進行變更。需要將封包傳送至纜線連結時,封包會從來源 10.0.0.1 轉送至針對 10.0.0.2 回應 ARP 的裝置 (L3 交換器)。傳回封包的目的地為 10.0.0.1,並識別為已到達纜線連結。
    • 定義 DSL 連結,且由於這是第二個 WAN 連結,SD-WAN Orchestrator 會將 IP 位址和下一個躍點標示為必要的組態項目。使用者會指定自訂虛擬 IP (例如 10.0.0.3) 作為來源 IP,並將下一個躍點同樣指定為 10.0.0.2。需要將封包傳送至 DSL 連結時,封包會從來源 10.0.0.3 轉送至針對 10.0.0.2 回應 ARP 的裝置 (L3 交換器)。傳回封包的目的地為 10.0.0.3,並識別為已到達 DSL 連結。

    依 VLAN 操控:如果 L3 裝置無法進行來源路由,或使用者基於其他原因選擇將不同的 VLAN 指派給纜線和 DSL 連結,則必須進行此設定。

    • 為介面定義 VLAN 100 上的 IP 位址 10.100.0.1 和下一個躍點 10.100.0.2。由於有多個 WAN 連結連結至介面,因此連結會設定為「使用者定義」。
    • 定義纜線連結,並繼承 VLAN 100 以及 IP 位址 10.100.0.1 和下一個躍點 10.100.0.2。不需要進行變更。需要將封包傳送至纜線連結時,標記為 VLAN 100 的封包會從來源 10.100.0.1 轉送至針對 VLAN 100 上 10.100.0.2 回應 ARP 的裝置 (L3 交換器)。傳回封包的目的地為 10.100.0.1/VLAN 100,並識別為已到達纜線連結。
    • 定義 DSL 連結,且由於這是第二個 WAN 連結,SD-WAN Orchestrator 會將 IP 位址和下一個躍點標示為必要的組態項目。使用者會指定自訂 VLAN 識別碼 (200) 和虛擬 IP (例如 10.200.0.1) 作為來源 IP,並將下一個躍點指定為 10.200.0.2。需要將封包傳送至 DSL 連結時,標記為 VLAN 200 的封包會從來源 10.200.0.1 轉送至針對 VLAN 200 上 10.200.0.2 回應 ARP 的裝置 (L3 交換器)。傳回封包的目的地為 10.200.0.1/VLAN 200,並識別為已到達 DSL 連結。
  3. 案例 3:單臂部署:單臂部署最終與其他 L3 部署非常類似。

    同樣地,SD-WAN Edge 會讓兩個 WAN 連結共用相同的下一個躍點。您可以完成以原則為基礎的路由,以確保流量會依照上述定義轉送至適當的目的地。或者,VMware 中的 WAN 連結物件的來源 IP 和 VLAN 可以與纜線和 DSL 連結的 VLAN 相同,以自動進行路由。
  4. 案例 4:透過多個介面連線至一個 WAN 連結:請考量可透過兩個替代路徑連線至 MPLS 的傳統金級站台拓撲。在此情況下,我們必須定義無論使用哪個介面進行通訊都可共用的自訂來源 IP 位址和下一個躍點。

    • 為 GE1 定義 IP 位址 10.10.0.1 和下一個躍點 10.10.0.2。
    • 為 GE2 定義 IP 位址 10.20.0.1 和下一個躍點 10.20.0.2。
    • 定義 MPLS,並將其設定為可透過任一介面進行連線。這會使來源 IP 和下一個躍點 IP 位址成為無預設值的必要項目。
    • 定義無論使用哪個介面皆可用於通訊的來源 IP 和目的地。需要將封包傳送至 MPLS 連結時,標記為已設定 VLAN 的封包會從來源 169.254.0.1 轉送至針對已設定 VLAN 上 169.254.0.2 回應 ARP 的裝置 (CE 路由器)。傳回封包的目的地為 169.254.0.1,並識別為已到達 MPLS 連結。
    備註: 若未啟用 OSPF 或 BGP ,您可能必須在兩個交換器上設定相同的傳送 VLAN,以啟用此虛擬 IP 的連線。

介面組態

按一下編輯 (Edit) 連結會顯示一個對話方塊,供您更新特定介面的設定。以下幾節將簡短說明針對 Edge 型號和介面類型顯示的各種對話方塊。

Edge 500 LAN 存取

以下說明設定為存取連接埠的 Edge 500 LAN 介面的參數。針對連接埠您可以選擇 VLAN,並選取 [L2 設定 (L2 Settings)] 以設定 [自動交涉 (Autonegotiate)] (依預設已選取)、[速度 (Speed)]、[雙工類型 (Duplex type)] 和 MTU 大小 (預設值為 1500)。

configure-profile-device-settings-e500-lan-access

Edge 500 LAN 主幹

以下說明設定為主幹連接埠的 Edge 500 LAN 介面的參數。針對連接埠您可以選擇 VLAN,以及選擇如何處理未標記的 VLAN 資料 (路由至特定 VLAN 或捨棄),並選取 [L2 設定 (L2 Settings)] 以設定 [自動交涉 (Autonegotiate)] (依預設已選取)、[速度 (Speed)]、[雙工類型 (Duplex type)] 和 MTU 大小 (預設值為 1500)。

configure-profile-device-settings-e500-lan-trunk

Edge 1000 LAN 存取

以下說明設定為已交換存取連接埠之 Edge 1000 LAN 介面的參數。針對連接埠您可以選擇 VLAN,並選取 [L2 設定 (L2 Settings)] 以設定 [自動交涉 (Autonegotiate)] (依預設已選取)、[速度 (Speed)]、[雙工類型 (Duplex type)] 和 MTU 大小 (預設值為 1500)。

configure-profile-device-settings-e1000-lan-access

Edge 1000 LAN 主幹

以下說明設定為主幹連接埠的 Edge 1000 LAN 介面的參數。針對連接埠您可以選擇 VLAN,以及選擇如何處理未標記的 VLAN 資料 (路由至特定 VLAN 或捨棄),並選取 [L2 設定 (L2 Settings)] 以設定 [自動交涉 (Autonegotiate)] (依預設已選取)、[速度 (Speed)]、[雙工類型 (Duplex type)] 和 MTU 大小 (預設值為 1500)。

configure-profile-device-settings-e1000-lan-trunk

Edge 500 WAN

以下說明將 [功能 (Capability)] 設為 [路由 (Routed)] 的 Edge 500 WAN 介面的參數。您可以選擇 [定址類型 (Addressing Type)] (DHCP、PPPoE 或靜態)、[WAN 覆疊 (WAN Overlay)] (自動偵測或使用者定義)、啟用 OSPF、啟用 NAT 直接流量,並選取 [L2 設定 (L2 Settings)] 以設定 [自動交涉 (Autonegotiate)] (依預設已選取)、[速度 (Speed)]、[雙工類型 (Duplex type)] 和 MTU 大小 (預設值為 1500)。

備註: 連接埠也可以設定為已交換介面。

configure-profile-device-settings-e500-wan

Edge 1000 WAN

以下說明將 [功能 (Capability)] 設為路由 (Routed) 的 Edge 1000 WAN 介面的參數。您可以選擇 [定址類型 (Addressing Type)] (DHCP、PPPoE 或靜態)、[WAN 覆疊 (WAN Overlay)] (自動偵測或使用者定義)、啟用 OSPF、啟用 NAT 直接流量,並選取 [L2 設定 (L2 Settings)] 以設定 [自動交涉 (Autonegotiate)] (依預設已選取)、[速度 (Speed)]、[雙工類型 (Duplex type)] 和 MTU 大小 (預設值為 1500)。

備註: 連接埠也可以設定為已交換介面。

configure-profile-device-settings-e1000-wan

Edge 500 WLAN

一開始會為 SD-WAN Edge 500 定義兩個 Wi-Fi 網路;一個作為公司網路,另一個作為已初始停用的客體網路。您可以定義其他無線網路,並使其分別具有特定的 VLAN、SSID 和安全性組態。

configure-profile-device-settings-e500-wlan

Wi-Fi 連線的安全性

Wi-Fi 連線的安全性可以是下列三種類型之一:

類型 說明
開放 (Open) 不強制執行安全性。
WPA2/個人 (WPA2 / Personal) 使用密碼來驗證使用者。
WPA2/企業 (WPA2 / Enterprise) 使用 Radius 伺服器來驗證使用者。在此情況下,必須在 [網路服務 (Network Services)] 中設定 Radius 伺服器,且必須在裝置 (Device) 頁面的設定檔驗證設定 (Profile Authentication Settings) 中選取 Radius 伺服器。您也可以在 Edge 裝置 (Edge Device) 頁面上覆寫安全性的預設設定。