WAN 覆疊設定可讓您新增或修改使用者定義的 WAN 覆疊。
使用者定義的覆疊需要連結至已提前設定 WAN 覆疊的介面。您可以設定下列其中一個覆疊:
- 私人覆疊 (Private Overlay):當您想要讓 Edge 在指派給私人網路上每個 Edge 的私人 IP 位址之間建置直接覆疊 VCMP 通道時,需要在私人網路上進行此設定。
備註: 在設定了遞交介面的合作夥伴閘道設定中,當具有私人介面的 Edge 同時具有 IPv4 和 IPv6 使用者定義的覆疊時,Edge 會嘗試根據通道喜好設定建立通往閘道公用 IP 位址的 IP 通道。
- 公用覆疊 (Public Overlay):當您想要為 VCMP 通道設定自訂 VLAN 或來源 IP 位址以及閘道位址,以透過網際網路連線至由 SASE Orchestrator 所判斷的 VMware SD-WAN 閘道時,此功能相當實用。
您也可以修改或刪除已在路由介面上偵測到的現有自動偵測 WAN 覆疊。只有在 Edge 已透過使用 WAN 覆疊設定的路由介面成功建立 VCMP 通道時,自動偵測到的覆疊才可供 SASE Orchestrator 所指定的閘道使用。
若要為特定 Edge 設定 WAN 覆疊設定,請執行下列步驟:
- 在企業入口網站的 SD-WAN 服務中,按一下 。Edge 頁面即會顯示現有的 Edge。
- 按一下 Edge 的連結,或按一下 Edge 的裝置 (Device) 資料行中的檢視 (View) 連結。所選 Edge 的組態選項會顯示在裝置 (Device) 索引標籤中。
- 在連線 (Connectivity) 類別中,按一下介面 (Interfaces)。
- WAN 連結組態 (WAN Link Configuration) 區段將顯示現有的覆疊。
- 您可以按一下覆疊名稱以修改設定。若要建立新的公用或私人 WAN 覆疊,請按一下新增使用者定義的 WAN 連結 (Add User Defined WAN Link)。此時將顯示虛擬 Edge:新增連結 (Virtual Edge: new link) 視窗。
- 在使用者定義的 WAN 覆疊 (User Defined WAN Overlay) 區段中,從下列可用選項中選擇連結類型 (Link Type):
-
公用 (Public) 覆疊用於網際網路,可讓 SD-WAN 雲端閘道在網際網路上與其連線。必須將使用者定義的覆疊連結至介面。公用覆疊會指示 Edge 透過連結的介面指派主要和次要閘道,以協助判斷外部全域 NAT 位址。如果設定為將 VCMP 通道建置到目前選取的 Edge,則系統會向 Orchestrator 報告此外部全域位址,以便所有其他的 Edge 均使用此外部全域位址。
備註: 依預設,所有路由介面將透過網際網路上預先指派的雲端閘道,即建置 VCMP 通道以嘗試 自動偵測 (Auto Detect)。如果嘗試成功,則會建立自動偵測公用覆疊。只有在您的網際網路服務需要 VLAN 標籤,或者您想要使用的公用 IP 位址與 Edge 在對外公開的介面上透過 DHCP 學習的公用 IP 位址不同時,才需要使用者定義的公用覆疊。 - 私人 (Private) 覆疊用於私人網路,例如 MPLS 網路或點對點連結。私人覆疊會如同任何使用者定義的覆疊連結至介面,並假設其所連結介面上的 IP 位址可供相同私人網路上的所有其他 Edge 進行路由。這表示介面的 WAN 端上沒有 NAT。將私人覆疊連結至介面時,Edge 會向 Orchestrator 建議介面上的 IP 位址應用於設定為建置其通道的任何遠端 Edge。
下表說明覆疊設定:表 1. 對公用和私人覆疊通用的設定 (Settings common for Public and Private Overlay) 選項 說明 位址類型 (Address Type) 您可以選擇 WAN 覆疊連結,以使用 IPv4 或 IPv6 位址。您也可以選取 IPv4 和 IPv6,從而允許將指向相同 ISP 的 IPv4 和 IPv6 使用者定義覆疊設定為單一連結。該選項有助於防止過度訂閱指向 ISP 的連結。
備註: 當您選擇 IPv6 位址時,不支援將重複位址偵測 (DAD) 用於 IP 操控的覆疊。當您在 選用組態 (Optional Configuration) 中設定來源 IP 位址時,則會操控覆疊網路。名稱 (Name) 輸入公用或私人連結的描述性 WAN 覆疊名稱。 備註: WAN 覆疊名稱只能由 ASCII 字元組成。不支援非 ASCII 字元。您在商務原則中選擇 WAN 連結時,可以參考此名稱。請參閱設定連結操控模式。操作員警示 (Operator Alerts) 將與覆疊網路相關的警示傳送給操作員。請確定您已在 頁面中啟用連結警示,以接收警示。警示 (Alerts) 將與覆疊網路相關的警示傳送給客戶。請確定您已在 頁面中啟用連結警示,以接收警示。選取介面 (Select Interfaces) 已啟用 IPv4 WAN 覆疊或 IPv6 WAN 覆疊,並且設定為 使用者定義的覆疊 (User Defined Overlay) 的路由介面,會顯示為核取方塊。顯示的介面是以選取的 位址類型 (Address Type) 為基礎。備註: 如果 WAN 覆疊連結使用靜態 IPv4 位址,您可以選取一或多個路由介面,目前使用者定義的覆疊會將連結至選取的介面。如果已設定靜態 IPv6 位址,則無法選取一或多個路由介面。備註: 對於 610-LTE,您可以在 CELL1 或 CELL2 上新增使用者定義的 WAN 覆疊。 SASE Orchestrator 將同時顯示 CELL1 和 CELL2,無論 SIM 是否存在。因此,您必須瞭解已啟用哪些 SIM 插槽 (作用中),並選擇該 SIM。表 2. 公用覆疊設定 (Public Overlay Settings) 選項 說明 公用 IP 位址 (Public IP Address) 顯示已探索到公用覆疊的公用 IP 位址。一旦使用閘道方法探索到外部全域 NAT 位址後,就會填入此欄位。 下圖顯示公用覆疊設定的範例:表 3. 私人覆疊設定 (Private Overlay Settings) 選項 說明 可連線的 SD-WAN 服務 (SD-WAN Service Reachable) 建立私人覆疊並將其連結至私人 WAN (例如 MPLS 網路) 時,您可能也可以透過相同的 WAN (通常是透過資料中心中的防火牆) 連線至網際網路。在此情況下,建議啟用可連線的 SD-WAN 服務 (SD-WAN Service Reachable),因為它提供下列項目:
- 用於存取網際網路所主控 SD-WAN 閘道的網際網路次要路徑。此 Edge 對網際網路的所有直接連結皆失敗時,則會使用此路徑。
- 此 Edge 對網際網路的所有直接連結皆失敗時的 Orchestrator 次要路徑。Edge 用於通訊的管理 IP 位址必須可在 MPLS 內路由,否則必須在私人介面上檢查 NAT Direct,Orchestrator 流量才能正確傳回。
備註: 相較於透過私人網路 (長路徑) 使用遠端防火牆建立對網際網路的 VCMP 通道,此 SD-WAN Edge 一律偏好透過本機網際網路連結 (短路徑) 建立的 VCMP 通道。備註: 系統不會在短路徑和長路徑之間執行每個封包或循環組態資源負載平衡。在無法直接存取公用網際網路的站台中,[可連線的 SD-WAN 服務 (SD-WAN Service Reachable)] 選項允許將私人 WAN 用於私人的站台間 VCMP 通道,作為與網際網路所主控 VMware SD-WAN 服務通訊的路徑。
公用 SD-WAN 位址 (Public SD-WAN Addresses) 當您選取可連線的 SD-WAN 服務 (SD-WAN Service Reachable) 核取方塊時,將會顯示 SD-WAN 閘道和 SASE Orchestrator 的公用 IPv4 和 IPv6 位址清單,如果預設路由尚未從防火牆通告至相同的私人網路,則可能需要在私人網路之間通告這些位址。
備註: 清單中的某些 IP 位址 (例如閘道) 可能會隨著時間變更。下圖顯示私人覆疊設定的範例:表 4. 選用組態 (Optional Configuration) 選項 說明 來源 IP 位址 (Source IP Address) 這是原始通訊端來源 IP 位址,用於源自目前覆疊所連結介面的 VCMP 通道封包。
來源 IP 位址無須在任何位置預先設定,但必須可與所選介面往來路由。
您可以在個別的欄位中輸入 IPv4 或 IPv6 位址,以建立與對等的 WAN 覆疊。
下一個躍點 IP 位址 (Next-Hop IP Address) 輸入封包 (來自指定於來源 IP 位址 (Source IP Address) 欄位中的原始通訊端來源 IP 位址) 所要路由到的下一個躍點 IP 位址。
您可以在個別的欄位中輸入 IPv4 或 IPv6 位址。
自訂 VLAN (Custom VLAN) 選取此核取方塊,可啟用自訂 VLAN,並輸入 VLAN 識別碼。範圍為 2 到 4094。
此選項會將 VLAN 標籤套用至源自 VCMP 通道的來源 IP 位址 (來自目前覆疊所連結介面) 的封包。
啟用每個連結 DSCP 選取此核取方塊,可將 DSCP 標籤新增至特定的覆疊連結。將在透過此覆疊連結傳輸的 VCMP 封包的外部標頭中套用 DSCP 標籤。透過該標籤,將可以利用私人網路底層 DSCP 標籤機制,透過在上游路由器上定義的 QoS 設定來唯一處理每個覆疊。如需此核取方塊的使用案例,請參閱下面標題為〈使用案例:按每個使用者定義的覆疊套用的 DSCP 值〉的一節。 802.1P 設定 (802.1P Setting) 選取此核取方塊,可設定框架上的 802.1p PCP 位元,使其保留目前覆疊所連結的介面。此設定僅適用於特定的 VLAN。PCP 優先順序值是 3 位數的二進位數字。範圍從 000 到 111,預設值為 000。
僅在系統內容 session.options.enable8021PConfiguration 必須設定為 True 時,才能使用此核取方塊。依預設,此值為 False。
如果您無法使用此選項,請連絡作業團隊的 VMware 支援人員以啟用此設定。
-
- 按一下檢視進階設定 (View advanced settings),以進行以下設定:
表 5. 對公用和私人覆疊通用的進階設定 (Advanced Settings common for Public and Private Overlay) 選項 說明 頻寬測量 (Bandwidth Measurement) 從下列選項中選擇測量頻寬的方法: - 測量頻寬 (慢速啟動) (Measure Bandwidth (Slow Start)):測量預設頻寬時若報告不正確的結果,則可能是 ISP 節流所致。若要避免此行為,請選擇此選項,以先維持一段時間的慢速 UDP 流量高載,再轉為較大的高載。
- 測量頻寬 (高載模式) (Measure Bandwidth (Burst Mode)):選擇此選項可對公用連結的 SD-WAN 閘道 或對私人連結的對等執行短暫的 UDP 流量高載,以評估連結的頻寬。
- 不測量 (手動定義) (Do Not Measure (define manually)):選擇此選項可手動設定頻寬。建議將此用於中樞站台,因為:
- 中樞站台通常只能測量連結較中樞更慢的遠端分支。
- 如果中樞 Edge 失敗且正在使用動態頻寬測量模式,則可能會在中樞 Edge 重新測量可用頻寬時,在該中樞 Edge 增加延遲。
上游頻寬 (Upstream Bandwidth) 輸入上游頻寬 (以 Mbps 為單位)。只有在選擇 [不測量 (手動定義) (Do Not Measure (define manually))] 時,才可使用此選項。 下游頻寬 (Downstream Bandwidth) 輸入下游頻寬 (以 Mbps 為單位)。只有在選擇 [不測量 (手動定義) (Do Not Measure (define manually))] 時,才可使用此選項。 動態頻寬調整 (Dynamic Bandwidth Adjustment) 動態頻寬調整會嘗試根據封包遺失來動態調整可用的連結頻寬,並適用於在頻寬可能會突然減少的情況下搭配使用無線寬頻服務。
備註: 此組態不建議用於軟體版本為 3.3.x 或更早版本的 Edge。您可以針對版本為 3.4 或更新版本的 Edge 設定此選項。備註: 此組態不支援搭配公用連結 CoS。連結模式 (Link Mode) 從下拉式清單中選取 WAN 連結的模式。可用選項如下: - 作用中 (Active):依預設會選取此選項。介面將用作傳送流量的主要模式。
- 備份 (Backup):此選項會將此 WAN 覆疊所連結的介面置於備份模式。這表示,將會關閉此介面的管理通道,而且所連結的 WAN 連結不會收到任何資料流量。只有當來自多個作用中連結的所有路徑均關閉,使得作用中連結數目低於所設定的作用中連結數下限 (Minimum Active Links) 時,才會使用備份連結。當符合此條件時,將為介面重建管理通道,且備份連結將變成作用中連結,並傳遞流量。
僅能將 Edge 上的一個介面置於備份模式。啟用時,介面會在雲端狀態:待命 (Cloud Status: Standby)。
頁面中顯示為備註: 使用此選項,可減少 4G 或 LTE 服務上的使用者資料和 SD-WAN 效能測量頻寬耗用量。不過,相較於設定成 [熱待命 (Hot Standby)] 或 [作用中 (Active)],並使用商務原則來控制頻寬耗用量的連結,容錯移轉時間將會較長。如果將 Edge 設定成中樞或叢集的一部分,請勿使用此功能。 - 熱待命 (Hot Standby):將 WAN 連結設定成熱待命模式時,將會建立管理通道,從而在失敗時啟用快速轉換。熱待命連結不會接收活動訊號 (每 5 秒傳送一次) 以外的資料流量。
當來自多個作用中連結的所有路徑均關閉,使得作用中連結數目低於所設定的作用中連結數下限 (Minimum Active Links) 時,會啟動熱待命連結。流量會透過熱待命路徑傳送。
如果作用中連結上的主要閘道路徑啟動,使得作用中連結數超過所設定的作用中連結數下限 (Minimum Active Links),則熱待命連結將回到待命模式,且流量將轉換成作用中連結。
如需詳細資訊,請參閱設定熱待命連結。
在介面上啟用 [備份 (Backup)] 或 [熱待命 (Hot Standby)] 連結選項後,您無法將該 Edge 的其他介面設定成備份或熱待命連結,因為 Edge 一次只能有一個 WAN 連結作為備份或熱待命連結。
作用中連結數下限 (Minimum Active Links) 僅當您選擇備份 (Backup) 或熱待命 (Hot Standby) 作為連結模式時,此選項才可供使用。從下拉式清單中,選取一次可以出現在網路中的作用中連結數目。當目前開啟的作用中連結數低於選取的數目時,[備份 (Backup)] 或 [熱待命 (Hot Standby)] 連結即會啟動。範圍為 1 到 3,預設值為 1。 MTU SD-WAN Edge 會執行路徑 MTU 探索,且會在此欄位中更新探索到的 MTU 值。多數有線網路支援 1500 個位元組,而支援 VoLTE 的 4G 網路通常僅允許最多 1358 個位元組。
建議不要將 MTU 設定為低於 1300 個位元組,因為這可能會導致框架處理額外負荷。除非路徑 MTU 探索失敗,否則不需要設定 MTU。
您可以從
頁面中發現 MTU 是否較大,因為介面的 VCMP 通道 (路徑) 永遠不會變穩定,且會重複連線至封包遺失超過 25% 的「無法使用」狀態。由於 MTU 在每個路徑上的頻寬測試期間會緩慢增加,如果設定的 MTU 大於網路 MTU,則系統會捨棄大於網路 MTU 的所有封包,導致路徑上的嚴重封包遺失。
如需詳細資訊,請參閱通道概觀和 MTU 。
額外負荷位元組 (Overhead Bytes) 輸入額外負荷頻寬的值 (以位元組為單位)。此選項可指出 WAN 路徑中存在的 L2 框架處理額外負荷。
當您設定額外負荷位元組時,除了實際封包長度以外,QoS 排程器還會額外考量每個封包的位元組。這可確保不會因為任何上游 L2 框架處理額外負荷而過度訂閱連結頻寬。
路徑 MTU 探索 (Path MTU Discovery) 選取此核取方塊,可啟用路徑 MTU 的探索。決定要套用的額外負荷頻寬後,Edge 會執行路徑 MTU 探索,以找出可用於計算客戶封包有效 MTU 的最大允許 MTU。如需詳細資訊,請參閱通道額外負荷和 MTU。 設定服務類別 SD-WAN Edge 可以排列流量的優先順序,並同樣提供同時處於網際網路和私人網路的 3x3 QoS 類別矩陣。但是,某些公用或私人 (MPLS) 網路包含其自己的服務品質 (QoS) 類別,每個都具有特定特性,例如速率保證、速率限制、封包遺失機率等。
此選項可讓 Edge 瞭解特定介面上公用或私人覆疊的原則和可用的公用或私人網路 QoS 頻寬。
備註: 每個應用程式/規則的商務原則中都必須設定外部 DSCP 標籤,且在此功能中,每個服務類別行都將符合商務原則中所設定的這些 DSCP 標籤。選取此核取方塊後,請進行以下設定:
- 服務類別 (Class of Service):輸入服務類別的描述性名稱。您在商務原則中選擇 WAN 連結時,可以參考此名稱。請參閱設定連結操控模式。
- DSCP 標籤 (DSCP Tags):服務類別將符合此處定義的 DSCP 標籤。使用商務原則指派給每個應用程式的 DSCP 標籤。
- 頻寬 (Bandwidth):此類別可用的介面傳輸/上傳頻寬百分比,由保證的公用或私人網路 QoS 類別頻寬所決定。
- 監控 (Policing):此選項會監控服務類別中的流量所使用的頻寬,當流量超過頻寬時,就會對流量進行速率限制。
- 預設類別 (Default Class):如果流量不屬於任何已定義的類別,該流量將會與預設 CoS 相關聯。
備註: 動態頻寬調整 (Dynamic Bandwidth Adjustment) 組態不支援搭配公用連結 CoS。如需如何設定 CoS 的詳細資訊,請參閱設定服務類別。
嚴格 IP 優先順序 (Strict IP precedence) 當您選取設定服務類別 (Configure Class of Service) 核取方塊時,即可使用此核取方塊。
當您啟用此選項時,會建立與 8 個 IP 優先順序位元對應的 8 個 VCMP 子路徑。當您要將服務類別合併到服務提供者網路中的較少類別數目時,請使用此選項。
依預設,會停用此選項,並針對已設定服務類別的確切數目建立 VCMP 子路徑。未套用分組。
表 6. 公用覆疊的進階設定 (Advanced Settings for Public Overlay) 選項 說明 UDP 打孔 (UDP Hole Punching) 如果需要分支到分支 SD-WAN 覆疊,且分支 Edge 部署在 NAT 裝置後方,即 NAT 裝置是 Edge 的 WAN 端,則在 NAT 裝置並未設定為允許來自其他 Edge 之 UDP 連接埠 2426 上傳入的 VCMP 通道時,UDP/2426 上的直接 VCMP 通道將不可能出現。
使用分支到分支 VPN (Branch to Branch VPN),以啟用分支到分支的通道。請參閱設定分支與分支 VPN 之間的通道和為 Edge 設定雲端 VPN 和通道參數。
使用
,以檢查一個 Edge 是否已建置至另一個 Edge 通道。UDP 打孔會嘗試解決封鎖傳入連線的 NAT 裝置。但是,此技術不適用於所有案例或所有類型的 NAT,因為 NAT 作業特性並非標準化。
在 Edge 覆疊介面上啟用 UDP 打孔時,系統會指示所有遠端 Edge 使用探索到的 NAT 公用 IP 以及透過 SD-WAN 閘道 探索到的 NAT 動態來源連接埠作為目的地 IP 和目的地連接埠,以建立此 Edge 覆疊介面的 VCMP 通道。
備註: 啟用 UDP 打孔之前,請先將分支 NAT 裝置設定為允許透過連接埠轉送的 UDP/2426 輸入至 Edge 私人 IP 位址,或將 NAT 裝置 (通常是路由器或數據機) 置於橋接器模式。僅使用 UDP 打孔作為最後一個手段,因為它無法搭配使用防火牆、對稱 NAT 裝置、4G/LTE 網路 (由於 CGNAT) 以及最新式的 NAT 裝置。當遠端站台嘗試將新的 UDP 動態連接埠用於 VCMP 通道時,UDP 打孔功能可能會導致其他連線問題。
類型 (Type) 設定 Edge 的商務原則時,您可以選擇連結操控 (Link Steering),以偏好傳輸群組 (Transport Group) 為:公用有線、公用無線或私人有線。請參閱設定連結操控模式。
選擇有線 (Wired) 或無線 (Wireless),將覆疊置於公用有線或無線傳輸群組。
下圖顯示公用覆疊的進階設定:表 7. 私人覆疊的進階設定 (Advanced Settings for Private Overlay) 選項 說明 私人網路名稱 (Private Network Name) 如果您有多個私人網路且想要區分這些私人網路,以確保 Edge 僅嘗試通道連線至相同私人網路上的 Edge,請定義私人網路名稱 (Private Network Name),並將其連結至覆疊。這可防止通道連線至不同私人網路上無法連線的 Edge。此外,請設定此私人網路上其他位置中的 Edge,以使用相同的私人網路名稱。
例如:
Edge1 GE1 會連結至私人網路 A。對連結至 GE1 的私人覆疊使用私人網路 A。
Edge1 GE2 會連結至私人網路 B。對連結至 GE2 的私人覆疊使用私人網路 B。
針對 Edge2 重複相同的連結和命名。
當您啟用分支到分支或當 Edge2 為中樞站台時:- Edge1 GE1 會嘗試連線至 Edge2 GE1,而非 GE2。
- Edge1 GE2 會嘗試連線至 Edge2 GE2,而非 GE1。
設定靜態 SLA (Configure Static SLA) 強制覆疊假設所設定的 SLA 參數是路徑的實際 SLA 值。此覆疊上不會執行封包遺失、延遲或抖動的動態測量。QoE 報告會根據臨界值將這些值著色為綠色/黃色/紅色。 備註:自版本 3.4 起不支援靜態 SLA 組態。建議不要使用此選項,因為封包遺失、延遲和抖動的動態測量將提供更佳的結果。
下圖顯示私人覆疊的進階設定:
- 按一下新增連結 (Add Link),以儲存組態。
支援按使用者定義的覆疊套用 DSCP 值標籤
在 5.0.0 版中,網路管理員能夠將 DSCP 標籤新增到特定的覆疊連結。將在透過此覆疊連結傳輸的 VCMP 封包的外部標頭中套用 DSCP 標籤,且該標籤將利用私人網路底層 DSCP 標籤,透過 WAN 底層網路上定義的 QoS 設定來唯一處理每個覆疊。
[啟用每個連結 DSCP (Enable Per link DSCP)] 核取方塊
選取此核取方塊,可將 DSCP 標籤新增至特定的覆疊連結。將在透過此覆疊連結傳輸的 VCMP 封包的外部標頭中套用 DSCP 標籤。透過該標籤,將可以利用私人網路底層 DSCP 標籤機制,透過在上游路由器上定義的 QoS 設定來唯一處理每個覆疊。
使用案例:按每個使用者定義的覆疊套用的 DSCP 值
在此使用案例中,對於通道起始 Edge,要求將在 WAN 連結設定的 WAN 覆疊 DSCP 標籤值套用於所有從此連結輸出的流量。設定的 DSCP 值應套用於 VCMP 外部標頭,以便 MPLS 網路可以讀取 DSCP 值並將差異化服務套用於 VCMP 封裝的封包。來自 Edge 網路 LAN 端的內部 DSCP 標籤值應保持不變。通道目的地端的要求:接收通道建立要求的中樞或對等 Edge 必須使用 VCMP 外部標頭上的通道建立者傳送的相同 DSCP 覆疊標籤值進行回應。終止覆疊通道的中樞或對等 Edge 不應修改送往 LAN 的內部 DSCP 標籤。
在下面的影像中,企業在其底層網路上使用 DSCP 值,以根據來源 WAN 覆疊連結/通道提供差異化服務。