裝置設定可讓您在設定檔中設定一或多個 Edge 型號的介面設定。
根據 Edge 型號,每個介面可以是交換器連接埠 (LAN) 介面或路由 (WAN) 介面。根據分支型號,連線連接埠會是專用的 LAN 或 WAN 連接埠,或連接埠可以設定為 LAN 或 WAN 連接埠。分支連接埠可以是乙太網路或 SFP 連接埠。某些 Edge 型號可能也支援無線 LAN 介面。
在此假設有單一公用 WAN 連結連結至僅用來處理 WAN 流量的單一介面。若未針對支援 WAN 的路由介面設定 WAN 連結,則會假設應自動探索單一公用 WAN 連結。如果探索到連結,則會向 SD-WAN Orchestrator 報告。然後,這個自動探索的 WAN 連結可透過 SD-WAN Orchestrator 進行修改,而新的組態會推送回分支。
- 如果路由介面已啟用 WAN 覆疊,並且與 WAN 連結連結,則介面將可用於所有區段。
- 如果介面設定為 PPPoE,則只會支援單一自動探索的 WAN 連結。無法將其他連結指派給介面。
如果不應或無法自動探索連結,必須明確加以設定。有多個支援的組態無法執行自動探索,包括:
- 私人 WAN 連結
- 單一介面上的多個 WAN 連結。範例:具有 2 個 MPLS 連線的資料中心中樞
- 可透過多個介面存取的單一 WAN 連結。範例:用於作用中/作用中 HA 拓撲
自動探索到的連結一律為公用連結。使用者定義的連結可以是公用或私人的,且會根據選取的類型而有不同的組態選項。
公用 WAN 連結
公用 WAN 連結是可用來存取公用網際網路 (如纜線、DSL 等) 的任何傳統連結。公用 WAN 連結不需要對等組態。它們會自動連線至 SD-WAN Gateway,由其處理對等連線所需資訊的散佈。
私人 (MPLS) WAN 連結
私人 WAN 連結屬於私人網路,只能連線至相同私人網路內的其他 WAN 連結。由於可能會有多個 MPLS 網路,例如在單一企業內,使用者必須識別哪個連結屬於哪個網路。SD-WAN Gateway 將會使用這項資訊來散佈 WAN 連結的連線資訊。
您可以選擇將 MPLS 連結視為單一連結。但是,若要區分服務不同的 MPLS 類別,您可以為每個 WAN 連結指派不同的 DSCP 標籤來定義多個 WAN 連結,以對應至服務的不同 MPLS 類別。
此外,您也可以決定為私人 WAN 連結定義靜態 SLA。如此,對等就不再需要交換路徑統計資料並減少連結上的頻寬耗用量。由於探查間隔會影響裝置進行容錯移轉的速度,因此靜態 SLA 定義是否應自動縮短探查間隔並不明確。
裝置設定
下列螢幕擷取畫面說明 SD-WAN Edge 500、SD-WAN Edge 1000 的最上層使用者介面,並介紹 3.4 版的 SD-WAN Edge 610。下表說明 UI 的主要功能 (表格中的號碼對應於後續螢幕擷取畫面中的號碼)。
您可以在網路介面上執行的動作,例如編輯或刪除。 | |
介面名稱。此名稱與 Edge 裝置上的 Edge 連接埠標籤相符,或已針對無線 LAN 預先決定。 | |
交換器連接埠的清單,其中包含其部分設定的摘要 (例如存取或主幹模式,以及介面的 VLAN)。交換器連接埠會以淺黃色背景反白顯示。 | |
路由介面的清單,其中包含其設定的摘要 (例如定址類型,以及介面是自動偵測到的,還是具有自動偵測或使用者定義的 WAN 覆疊)。路由介面會以淺藍色背景反白顯示。 | |
無線介面清單 (如果在 Edge 裝置上可供使用)。您可以按一下新增 Wi-Fi SSID (Add Wi-Fi SSID) 按鈕,以新增其他無線網路。無線介面會以淺灰色背景反白顯示。 | |
|
3.4 版本導入了 Edge 610。
3.4 版中新增了新的路由介面 (CELL1),如果使用者選擇 Edge 510-LTE 作為型號,將會顯示在介面設定 (Interface Settings) 區域中 (請參閱下圖)。
按一下編輯 (Edit) 連結 (如上圖所示),使用者即可編輯儲存格設定 (Cell Settings) 區段。(請參閱下圖)。
子介面和次要 IP
新增子介面
將子介面新增至路由介面時,子介面會取得提供給父系介面的組態選項子集。
- 按一下新增子介面 (Add Sub Interface) 按鈕。
- 從下拉式功能表中選取介面,然後選取文字方塊中的子介面識別碼 (Sub Interface ID),如下方的選取介面 (Select Interface) 對話方塊所示。
- 按下一步 (Next)。
- 在子介面 (Sub Interface) 對話方塊中,選擇您的定址類型 (DHCP 或靜態 (Static))。
- 如果您選擇定址類型 DHCP,則依預設會選取啟用 VLAN 標記 (Enable VLAN Tagging) 核取方塊,且在先前的對話方塊中選擇的子介面識別碼會顯示在文字方塊中。
- 如果您選擇定址類型靜態 (Static),您可以選擇藉由選取啟用 VLAN 標記 (Enable VLAN Tagging) 核取方塊來啟用 VLAN。您在先前的對話方塊中選擇的子介面識別碼會顯示在文字方塊中。
- 如有必要,請勾選 NAT 直接流量 (NAT Direct Traffic) 核取方塊。
- 按一下更新 (Update) 按鈕。
介面 (Interface) 資料行會重新整理,並顯示新建立的子介面。
新增次要 IP 位址
- 按一下新增次要 IP (Add Secondary IP) 按鈕。
- 從下拉式功能表中選取介面,然後選取文字方塊中的子介面識別碼 (Sub Interface ID),如下方的選取介面 (Select Interface) 對話方塊所示。請注意,子介面類型為次要 IP。
- 按下一步 (Next)。
- 在次要 IP (Secondary IP) 對話方塊中,選擇您的定址類型 (DHCP 或靜態 (Static))。
- 在次要 IP (Secondary IP) 對話方塊中,選擇您的定址類型 (DHCP 或靜態 (Static))。
-
按一下更新 (Update) 按鈕。
介面 (Interface) 資料行會重新整理,並顯示新建立的次要 IP (請參閱下方的介面設定 (Interface Settings) 影像)。
使用者定義的 WAN 覆疊使用案例
在此會先列出可運用此組態的案例,然後列出組態本身的規格。
- 使用案例 1:兩個 WAN 連結連線至 L2 交換器 - 假設有一個傳統資料中心拓撲,其中的 SD-WAN Edge 連線至 DMZ 中的 L2 交換器,而該交換器連線至多個防火牆,且每個防火牆分別連線至不同的上游 WAN 連結。 在此拓撲中,VMware 介面可能已將 FW1 設定為下一個躍點。不過,若要使用 DSL 連結,則必須為其佈建替代的下一個躍點以將封包轉送至該處,因為 FW1 無法連線至 DSL。定義 DSL 連結時,使用者必須將自訂的下一個躍點 IP 位址設定為 FW2 的 IP 位址,以確保封包可以連線至 DSL 數據機。此外,使用者必須為此 WAN 連結設定自訂來源 IP 位址,以允許 Edge 識別傳回介面。最終組態會如下圖所示: 下一段說明如何定義最終組態。
- 為介面定義 IP 位址 10.0.0.1 和下一個躍點 10.0.0.2。由於有多個 WAN 連結連結至介面,因此連結會設定為「使用者定義」。
- 定義纜線連結,並繼承 IP 位址 10.0.0.1 和下一個躍點 10.0.0.2。不需要進行變更。需要將封包傳送至纜線連結時,封包會從來源 10.0.0.1 轉送至針對 10.0.0.2 回應 ARP 的裝置 (FW1)。傳回封包的目的地為 10.0.0.1,並識別為已到達纜線連結。
- 定義 DSL 連結,且由於這是第二個 WAN 連結,SD-WAN Orchestrator 會將 IP 位址和下一個躍點標示為必要的組態項目。使用者會指定自訂虛擬 IP (例如 10.0.0.4) 作為來源 IP,並將下一個躍點指定為 10.0.0.3。需要將封包傳送至 DSL 連結時,封包會從來源 10.0.0.4 轉送至針對 10.0.0.3 回應 ARP 的裝置 (FW2)。傳回封包的目的地為 10.0.0.4,並識別為已到達 DSL 連結。
- 案例 2:兩個 WAN 連結連線至 L3 交換器/路由器:或者,上游裝置可以是 L3 交換器或路由器。在此情況下,兩個 WAN 連結的下一個躍點裝置是相同的 (交換器),而非上一個範例中的不同裝置 (防火牆)。此方式通常用於防火牆位於 SD-WAN Edge 的 LAN 端時。
在此拓撲中,將使用以原則為基礎的路由將封包導向至適當的 WAN 連結。此操控可由 IP 位址或 VLAN 標籤執行,因此我們同時支援這兩個選項。
依 IP 操控:如果 L3 裝置能夠依來源 IP 位址進行以原則為基礎的路由,則兩個裝置可以位於相同的 VLAN 上。在此情況下,所需的組態只有用來區分裝置的自訂來源 IP。
下一段說明如何定義最終組態。- 為介面定義 IP 位址 10.0.0.1 和下一個躍點 10.0.0.2。由於有多個 WAN 連結連結至介面,因此連結會設定為「使用者定義」。
- 定義纜線連結,並繼承 IP 位址 10.0.0.1 和下一個躍點 10.0.0.2。不需要進行變更。需要將封包傳送至纜線連結時,封包會從來源 10.0.0.1 轉送至針對 10.0.0.2 回應 ARP 的裝置 (L3 交換器)。傳回封包的目的地為 10.0.0.1,並識別為已到達纜線連結。
- 定義 DSL 連結,且由於這是第二個 WAN 連結,SD-WAN Orchestrator 會將 IP 位址和下一個躍點標示為必要的組態項目。使用者會指定自訂虛擬 IP (例如 10.0.0.3) 作為來源 IP,並將下一個躍點同樣指定為 10.0.0.2。需要將封包傳送至 DSL 連結時,封包會從來源 10.0.0.3 轉送至針對 10.0.0.2 回應 ARP 的裝置 (L3 交換器)。傳回封包的目的地為 10.0.0.3,並識別為已到達 DSL 連結。
依 VLAN 操控:如果 L3 裝置無法進行來源路由,或使用者基於其他原因選擇將不同的 VLAN 指派給纜線和 DSL 連結,則必須進行此設定。
- 為介面定義 VLAN 100 上的 IP 位址 10.100.0.1 和下一個躍點 10.100.0.2。由於有多個 WAN 連結連結至介面,因此連結會設定為「使用者定義」。
- 定義纜線連結,並繼承 VLAN 100 以及 IP 位址 10.100.0.1 和下一個躍點 10.100.0.2。不需要進行變更。需要將封包傳送至纜線連結時,標記為 VLAN 100 的封包會從來源 10.100.0.1 轉送至針對 VLAN 100 上 10.100.0.2 回應 ARP 的裝置 (L3 交換器)。傳回封包的目的地為 10.100.0.1/VLAN 100,並識別為已到達纜線連結。
- 定義 DSL 連結,且由於這是第二個 WAN 連結,SD-WAN Orchestrator 會將 IP 位址和下一個躍點標示為必要的組態項目。使用者會指定自訂 VLAN 識別碼 (200) 和虛擬 IP (例如 10.200.0.1) 作為來源 IP,並將下一個躍點指定為 10.200.0.2。需要將封包傳送至 DSL 連結時,標記為 VLAN 200 的封包會從來源 10.200.0.1 轉送至針對 VLAN 200 上 10.200.0.2 回應 ARP 的裝置 (L3 交換器)。傳回封包的目的地為 10.200.0.1/VLAN 200,並識別為已到達 DSL 連結。
- 案例 3:單臂部署:單臂部署最終與其他 L3 部署非常類似。 同樣地,SD-WAN Edge 會讓兩個 WAN 連結共用相同的下一個躍點。您可以完成以原則為基礎的路由,以確保流量會依照上述定義轉送至適當的目的地。或者,VMware 中的 WAN 連結物件的來源 IP 和 VLAN 可以與纜線和 DSL 連結的 VLAN 相同,以自動進行路由。
- 案例 4:透過多個介面連線至一個 WAN 連結:請考量可透過兩個替代路徑連線至 MPLS 的傳統金級站台拓撲。在此情況下,我們必須定義無論使用哪個介面進行通訊都可共用的自訂來源 IP 位址和下一個躍點。
- 為 GE1 定義 IP 位址 10.10.0.1 和下一個躍點 10.10.0.2。
- 為 GE2 定義 IP 位址 10.20.0.1 和下一個躍點 10.20.0.2。
- 定義 MPLS,並將其設定為可透過任一介面進行連線。這會使來源 IP 和下一個躍點 IP 位址成為無預設值的必要項目。
- 定義無論使用哪個介面皆可用於通訊的來源 IP 和目的地。需要將封包傳送至 MPLS 連結時,標記為已設定 VLAN 的封包會從來源 169.254.0.1 轉送至針對已設定 VLAN 上 169.254.0.2 回應 ARP 的裝置 (CE 路由器)。傳回封包的目的地為 169.254.0.1,並識別為已到達 MPLS 連結。
備註: 若未啟用 OSPF 或 BGP ,您可能必須在兩個交換器上設定相同的傳送 VLAN,以啟用此虛擬 IP 的連線。
介面組態
按一下編輯 (Edit) 連結會顯示一個對話方塊,供您更新特定介面的設定。以下幾節將簡短說明針對 Edge 型號和介面類型顯示的各種對話方塊。
Edge 500 LAN 存取
以下說明設定為存取連接埠的 Edge 500 LAN 介面的參數。針對連接埠您可以選擇 VLAN,並選取 [L2 設定 (L2 Settings)] 以設定 [自動交涉 (Autonegotiate)] (依預設已選取)、[速度 (Speed)]、[雙工類型 (Duplex type)] 和 MTU 大小 (預設值為 1500)。
Edge 500 LAN 主幹
以下說明設定為主幹連接埠的 Edge 500 LAN 介面的參數。針對連接埠您可以選擇 VLAN,以及選擇如何處理未標記的 VLAN 資料 (路由至特定 VLAN 或捨棄),並選取 [L2 設定 (L2 Settings)] 以設定 [自動交涉 (Autonegotiate)] (依預設已選取)、[速度 (Speed)]、[雙工類型 (Duplex type)] 和 MTU 大小 (預設值為 1500)。
Edge 1000 LAN 存取
以下說明設定為已交換存取連接埠之 Edge 1000 LAN 介面的參數。針對連接埠您可以選擇 VLAN,並選取 [L2 設定 (L2 Settings)] 以設定 [自動交涉 (Autonegotiate)] (依預設已選取)、[速度 (Speed)]、[雙工類型 (Duplex type)] 和 MTU 大小 (預設值為 1500)。
Edge 1000 LAN 主幹
以下說明設定為主幹連接埠的 Edge 1000 LAN 介面的參數。針對連接埠您可以選擇 VLAN,以及選擇如何處理未標記的 VLAN 資料 (路由至特定 VLAN 或捨棄),並選取 [L2 設定 (L2 Settings)] 以設定 [自動交涉 (Autonegotiate)] (依預設已選取)、[速度 (Speed)]、[雙工類型 (Duplex type)] 和 MTU 大小 (預設值為 1500)。
Edge 500 WAN
以下說明將 [功能 (Capability)] 設為 [路由 (Routed)] 的 Edge 500 WAN 介面的參數。您可以選擇 [定址類型 (Addressing Type)] (DHCP、PPPoE 或靜態)、[WAN 覆疊 (WAN Overlay)] (自動偵測或使用者定義)、啟用 OSPF、啟用 NAT 直接流量,並選取 [L2 設定 (L2 Settings)] 以設定 [自動交涉 (Autonegotiate)] (依預設已選取)、[速度 (Speed)]、[雙工類型 (Duplex type)] 和 MTU 大小 (預設值為 1500)。
Edge 1000 WAN
以下說明將 [功能 (Capability)] 設為路由 (Routed) 的 Edge 1000 WAN 介面的參數。您可以選擇 [定址類型 (Addressing Type)] (DHCP、PPPoE 或靜態)、[WAN 覆疊 (WAN Overlay)] (自動偵測或使用者定義)、啟用 OSPF、啟用 NAT 直接流量,並選取 [L2 設定 (L2 Settings)] 以設定 [自動交涉 (Autonegotiate)] (依預設已選取)、[速度 (Speed)]、[雙工類型 (Duplex type)] 和 MTU 大小 (預設值為 1500)。
Edge 500 WLAN
一開始會為 SD-WAN Edge 500 定義兩個 Wi-Fi 網路;一個作為公司網路,另一個作為已初始停用的客體網路。您可以定義其他無線網路,並使其分別具有特定的 VLAN、SSID 和安全性組態。
Wi-Fi 連線的安全性
Wi-Fi 連線的安全性可以是下列三種類型之一:
類型 | 說明 |
---|---|
開放 (Open) | 不強制執行安全性。 |
WPA2/個人 (WPA2 / Personal) | 使用密碼來驗證使用者。 |
WPA2/企業 (WPA2 / Enterprise) | 使用 Radius 伺服器來驗證使用者。在此情況下,必須在 [網路服務 (Network Services)] 中設定 Radius 伺服器,且必須在裝置 (Device) 頁面的設定檔驗證設定 (Profile Authentication Settings) 中選取 Radius 伺服器。您也可以在 Edge 裝置 (Edge Device) 頁面上覆寫安全性的預設設定。 |