Edge 具有不同類型的介面。依預設,Edge 的介面組態設定是從相關聯的設定檔中繼承的。您可以修改和設定每個 Edge 的更多設定。
介面設定選項會根據 Edge 型號而有所不同。如需關於不同 Edge 型號和部署的詳細資訊,請參閱進行介面設定。
若要為特定 Edge 進行介面設定,請執行以下步驟:
- 在企業入口網站的 SD-WAN 服務中,按一下 。Edge 頁面即會顯示現有的 Edge。
- 按一下 Edge 的連結,或按一下 Edge 的裝置 (Device) 資料行中的檢視 (View) 連結。所選 Edge 的組態選項會顯示在裝置 (Device) 索引標籤中。
- 在連線 (Connectivity) 類別中,展開介面 (Interfaces)。
- 適用於所選 Edge 的不同類型介面隨即顯示。按一下介面的連結以編輯設定。時將顯示如下所示的介面設定畫面。
您可以根據 Edge 型號,來編輯下列類型的介面的設定:
- 交換器連接埠
- 路由介面
- WLAN 介面
您還可以根據 Edge 型號新增子介面、次要 IP 位址和 Wi-Fi SSID。
- 您可以為 Edge 的路由介面進行以下設定。
選項 說明 說明 (Description) 輸入說明。這是選用欄位。 已啟用介面 (Interface Enabled) 依預設,會啟用此選項。如有需要,您可以停用介面。停用時,將無法使用介面進行任何通訊。 功能 (Capability) 對於 [交換器連接埠 (Switch Port)],依預設會選取二層交換式 (Switched) 選項。您可以從下拉式功能表中選取路由式 (Routed) 選項,以選擇將連接埠轉換為路由介面。 區段 (Segments) 依預設會將組態設定套用至所有區段。 RADIUS 驗證 (Radius Authentication) 停用啟用 WAN 覆疊 (Enable WAN Overlay) 核取方塊,以設定 RADIUS 驗證 (Radius Authentication)。選取 RADIUS 驗證 (Radius Authentication) 核取方塊,並新增已預先驗證之裝置的 MAC 位址。 ICMP 回應回覆 (ICMP Echo Response) 依預設,會選取這個核取方塊。這有助於介面回應 ICMP 回顯訊息。基於安全目的,您可以停用這個選項。 底層計量 (Underlay Accounting) 依預設,會選取這個核取方塊。如果在介面上定義了私人 WAN 覆疊,則周遊介面的所有底層流量都將根據 WAN 連結的測量速率計數,以防止過度訂閱。可以停用此選項,來避免這種行為。 備註: IPv4 和 IPv6 位址都支援底層計量。啟用 WAN 覆疊 (Enable WAN Overlay) 選取此核取方塊,可啟用介面的 WAN 覆疊。 DNS Proxy DNS Proxy 功能可為 Edge 上的本機 DNS 項目提供額外支援,以將某些裝置流量指向特定的網域。無論 IPv4 或 IPv6 DHCP 伺服器的設定如何,您都可以啟用或停用此選項。 備註: 此核取方塊僅適用於路由介面和路由子介面。VLAN 針對存取連接埠,請從下拉式功能表中選取現有的 VLAN。針對主幹連接埠,您可以選取多個 VLAN,然後選取未標記的 VLAN。 EVDSL 數據機已連結 (EVDSL Modem Attached) 選取此核取方塊,可啟用連線至 Edge 上的其中一個乙太網連接埠的 EVDSL 數據機。 IPv4 設定 (IPv4 Settings) 選取啟用 (Enable) 核取方塊,然後設定 IPv4 設定。如需詳細資訊,請參閱以下的 IPv4 設定一節。 IPv6 設定 (IPv6 Settings) 選取啟用 (Enable) 核取方塊,然後進行 IPv6 設定。如需詳細資訊,請參閱以下的 IPv6 設定一節。 L2 設定 (L2 Settings) 自動交涉 (Autonegotiate) 依預設,會選取此選項。當選取此選項時,自動交涉可讓連接埠與連結另一端的裝置進行通訊,以判斷連線的最佳雙工模式和速度。 速度 (Speed) 只有在未選取自動交涉 (Autonegotiate) 時,才能使用此選項。選取連接埠與其他連結通訊時所需的速度。依預設,會選取 100 Mbps。 雙工 (Duplex) 只有在未選取自動交涉 (Autonegotiate) 時,才能使用此選項。選取全雙工 (Full duplex) 或半雙工 (Half duplex),以作為連線模式。依預設,會選取全雙工 (Full duplex)。 MTU 在所有路由介面上接收和傳送之框架的預設 MTU 大小為 1500 個位元組。您可以變更介面的 MTU 大小。 LOS 偵測 (LOS Detection) 此選項僅適用於 Edge 的路由介面。選取此核取方塊時,會使用 ARP 監控來啟用訊號遺失 (LoS) 偵測。如需詳細資訊,請參閱路由介面上的 HA LoS 偵測。 備註: 只有已在 Edge 上啟用高可用性時,才能選取此核取方塊。
IPv4 設定
選取已啟用 (Enabled) 核取方塊,以設定以下 IPv4 設定 (IPv4 Settings):
選項 | 說明 |
---|---|
定址類型 (Addressing Type) | 選取定址類型:
備註: 根據 RFC 3021,IPv4 支援 31 位元首碼。
|
OSPF | 只有在已為選取的區段 (Segment) 設定 OSPF 時,才會啟用此選項。選取此核取方塊,然後從下拉式功能表中選擇 OSPF。按一下切換進階 OSPF 設定 (toggle advance ospf settings),以設定所選 OSPF 的介面設定。
備註: 子介面不支援 OSPF,非全域區段也不支援 OSPF。
OSPFv2 組態僅支援 IPv4。OSPFv3 組態僅支援 IPv6。
如需 OSPF 設定和 OSPFv3 的詳細資訊,請參閱為設定檔啟用 OSPF。
備註: OSFPv3 只有在 5.2 版本中才能使用。
|
多點傳播 (Multicast) | 只有在已為選取的區段 (Segment) 進行多點傳播設定時,才會啟用此選項。您可以為選取的介面進行下列多點傳播設定。
按一下
切換進階多點傳播設定 (toggle advanced multicast settings) 以設定下列計時器:
備註: 目前,多點傳播接聽程式探索 (MLD) 已停用。因此,在指派 IPv6 位址給介面時,Edge 不會傳送多點傳播接聽程式報告。如果網路中存在窺探交換器,若不傳送 MLD 報告,可能導致 Edge 無法接收在重複位址偵測 (DAD) 中使用的多點傳播套件。即使位址重複,也會導致 DAD 成功。
|
VNF 插入 (VNF Insertion) | 您必須停用 WAN 覆疊 (WAN Overlay),然後選取信任的來源 (Trusted Source) 核取方塊,以啟用 VNF 插入 (VNF Insertion)。當您將 VNF 插入第 3 層介面或子介面時,系統會將來自第 3 層介面或子介面的流量重新導向至 VNF。 |
通告 (Advertise) | 選取此核取方塊,可將介面通告至網路中的其他分支。 |
NAT 直接流量 (NAT Direct Traffic) | 選取此核取方塊,可將 IPv4 的 NAT 套用至從介面傳送的網路流量。
注意:
在設定了 VLAN 或子介面的主介面上,舊版 SASE Orchestrator 可能會無意中設定了「NAT 直接」。如果該介面將直接流量傳送至一或多個躍點之外,客戶不會觀察到任何問題,因為系統不會套用「NAT 直接」設定。但是,如果將 Edge 升級到 5.2.0 或更新版本,Edge 組建會修正未正確套用「NAT 直接流量」的問題 (申請單 #92142),且由於在之前的版本中未實作此特定使用案例,而會導致路由行為發生變更。 換句話說,由於 5.2.0 或更新版本的 Edge 現在會針對所有使用案例,以預期的方式實作「NAT 直接」,之前能正常運作的流量 (因為沒有根據瑕疵而套用「NAT 直接」) 現在可能會失敗,因為客戶從未意識到系統會針對設定了 VLAN 或子介面的介面進行「NAT 直接」檢查。 因此,將 Edge 升級至 5.2.0 版或更新版本之前,客戶應先檢查其設定檔和 Edge 介面設定,以確保僅在明確需要之處設定「NAT 直接」,並在不需要之處停用此設定,尤其是在該介面設定了 VLAN 或子介面的情況下。 |
信任的來源 (Trusted Source) | 選取此核取方塊,可將介面設定為信任的來源。 |
反向路徑轉送 (Reverse Path Forwarding) | 只有在選取信任的來源 (Trusted Source) 核取方塊時,您才能選擇反向路徑轉送 (RPF) 的選項。只有在可於相同的介面上轉送傳回流量時,此選項才會允許介面上的流量。這有助於防止企業網路上來自不明來源的流量 (如惡意流量)。如果傳入來源不明,則會在入口捨棄封包,而不會建立流量。從下拉式功能表中選取下列其中一個選項:
|
- 已啟用 (Activated):使用 Edge 來啟用 DHCP,以作為 DHCP 伺服器。如果您選擇此選項,請設定下列詳細資料:
- DHCP 啟動 (DHCP Start):輸入子網路內可用的有效 IP 位址。
- 位址數目 (Num. Addresses):輸入 DHCP 伺服器子網路上可用的 IP 位址數目。
- 租用時間 (Lease Time):從下拉式功能表中選取時段。這是允許 VLAN 使用 DHCP 伺服器動態指派的 IP 位址的持續時間。
- 選項 (Options):按一下新增 (Add),從下拉式功能表中新增預先定義或自訂的 DHCP 選項。DHCP 選項是從 DHCP 伺服器傳遞至用戶端的網路服務。選擇自訂選項,並輸入代碼、資料類型和值。
- 轉送 (Relay):允許在用戶端和伺服器之間交換 DHCPv4 訊息。如果您選擇此選項,請設定下列項目:
- 轉送代理程式 IP (Relay Agent IP(s)):指定轉送代理程式的 IP 位址。按一下新增 (Add) 以新增更多 IP 位址。
- 已停用 (Deactivated):停用 DHCP 伺服器。
IPv6 設定
選項 | 說明 |
---|---|
定址類型 (Addressing Type) | 選取定址類型:
|
OSPF | 只有在已為選取的區段 (Segment) 設定 OSPF 時,才會啟用此選項。選取此核取方塊,然後從下拉式功能表中選擇 OSPF。按一下切換進階 OSPF 設定 (toggle advance ospf settings),以設定所選 OSPF 的介面設定。
備註: 子介面不支援 OSPF,非全域區段也不支援 OSPF。
OSPFv2 組態僅支援 IPv4。OSPFv3 組態僅支援 IPv6,且只有在 5.2 版本中才能使用。
如需 OSPF 設定和 OSPFv3 的詳細資訊,請參閱為設定檔啟用 OSPF。
備註: OSFPv3 只有在 5.2 版本中才能使用。
|
通告 (Advertise) | 選取此核取方塊,可將介面通告至網路中的其他分支。 |
NAT 直接流量 (NAT Direct Traffic) | 選取此核取方塊,可將 IPv6 的 NAT 套用至從介面傳送的網路流量。
注意:
在設定了 VLAN 或子介面的主介面上,舊版 SASE Orchestrator 可能會無意中設定了「NAT 直接」。如果該介面將直接流量傳送至一或多個躍點之外,客戶不會觀察到任何問題,因為系統不會套用「NAT 直接」設定。但是,如果將 Edge 升級到 5.2.0 或更新版本,Edge 組建會修正未正確套用「NAT 直接流量」的問題 (申請單 #92142),且由於在之前的版本中未實作此特定使用案例,而會導致路由行為發生變更。 換句話說,由於 5.2.0 或更新版本的 Edge 現在會針對所有使用案例,以預期的方式實作「NAT 直接」,之前能正常運作的流量 (因為沒有根據瑕疵而套用「NAT 直接」) 現在可能會失敗,因為客戶從未意識到系統會針對設定了 VLAN 或子介面的介面進行「NAT 直接」檢查。 因此,將 Edge 升級至 5.2.0 版或更新版本之前,客戶應先檢查其設定檔和 Edge 介面設定,以確保僅在明確需要之處設定「NAT 直接」,並在不需要之處停用此設定,尤其是在該介面設定了 VLAN 或子介面的情況下。 |
信任的來源 (Trusted Source) | 選取此核取方塊,可將介面設定為信任的來源。 |
反向路徑轉送 (Reverse Path Forwarding) | 只有在選取信任的來源 (Trusted Source) 核取方塊時,您才能選擇反向路徑轉送 (RPF) 的選項。只有在可於相同的介面上轉送傳回流量時,此選項才會允許介面上的流量。這有助於防止企業網路上來自不明來源的流量 (如惡意流量)。如果傳入來源不明,則會在入口捨棄封包,而不會建立流量。從下拉式功能表中選取下列其中一個選項:
|
- 已啟用 (Activated):使用 Edge 將 DHCPv6 啟用為 DHCPv6 伺服器。如果您選擇此選項,請設定下列詳細資料:
- DHCP 啟動 (DHCP Start):輸入子網路內可用的有效 IPv6 位址。
- 位址數目 (Num. Addresses):輸入 DHCPv6 伺服器子網路上可用的 IP 位址數目。
- 租用時間 (Lease Time):從下拉式清單選取時段。這是允許 VLAN 使用 DHCPv6 伺服器動態指派的 IPv6 位址的持續時間。
- DHCPv6 首碼委派 (DHCPv6 Prefix Delegation):按一下新增 (Add),將從全域集區中選擇的首碼指派給 DHCP 用戶端。輸入首碼集區名稱以及首碼開始和結束詳細資料。
- 選項 (Options) - 按一下新增 (Add),從下拉式功能表中新增預先定義或自訂的 DHCP 選項。DHCP 選項是從 DHCP 伺服器傳遞至用戶端的網路服務。選擇自訂選項,並輸入代碼、資料類型和值。
- 轉送 (Relay) - 允許在用戶端和伺服器之間交換 DHCPv6 訊息。如果您選擇此選項,請設定下列項目:
- 轉送代理程式 IP (Relay Agent IP(s)):指定轉送代理程式的 IP 位址。按一下新增 (Add) 以新增更多 IP 位址。
從 5.2.0 版開始,VMware SD-WAN Edge 支援 DHCPv6 轉送 (DHCPv6 Relay) 功能。此功能允許 DHCPv6 用戶端與遠端 DHCPv6 伺服器進行通訊。該功能與 DHCPv4 轉送 (DHCPv4 Relay) 功能非常相似,不同之處在於 DHCPv6 會使用不同的訊息類型來允許轉送代理程式插入自己的選項或識別回覆封包的傳出介面。若要在某個 Edge 上啟用此功能,必須在此 Edge 的 LAN 介面上啟用 IPv6。
備註:- 在面向客戶的介面上,必須提供伺服器 IP 位址作為轉送代理程式 IP (Relay Agent IP) 位址。
- 如果此介面屬於某個非全域區段,則必須透過該相同的非全域區段來連線至伺服器。
- 轉送代理程式 IP (Relay Agent IP(s)):指定轉送代理程式的 IP 位址。按一下新增 (Add) 以新增更多 IP 位址。
- 已停用 (Deactivated):停用 DHCP 伺服器。
路由器通告主機設定 (Router Advertisement Host Settings):只有在您啟用 IPv6 設定 (IPv6 Settings),然後選擇無狀態 DHCP (DHCP Stateless) 或可設定狀態 DHCP (DHCP Stateful),來作為定址類型 (Addressing Type) 時,才能使用路由器通告 (RA) 參數。
選項 | 說明 |
---|---|
MTU | 接受透過路由通告接收的 MTU 值。如果關閉此選項,則會考慮介面的 MTU 組態。 |
預設路由 (Default Routes) | 在介面上接收路由通告時,會安裝預設路由。如果關閉此選項,則介面沒有可用的預設路由。 |
特定路由 (Specific Routes) | 當路由通告在介面上接收路由資訊時,會安裝特定的路由。如果關閉此選項,介面不會安裝路由資訊。 |
ND6 計時器 (ND6 Timers) | 接受透過路由通告接收的 ND6 計時器。如果關閉此選項,則會考慮預設 ND6 計時器。NDP 重新傳輸計時器的預設值為 1 秒,NDP 可連線逾時為 30 秒。 |
基於 MAC 位址的 Wi-Fi 存取控制
Wi-Fi 存取控制可作為無線網路的額外安全保護層。啟用時,則僅允許已知和已核准的 MAC 位址與基地台建立關聯。
- 在企業入口網站的 SD-WAN 服務中,按一下 ,然後選擇現有 WLAN 介面,以設定以下參數。
選項 | 說明 |
---|---|
已啟用介面 (Interface Enabled) | 選取此核取方塊,可啟用介面。 |
VLAN | 從下拉式功能表中選擇 VLAN 識別碼。 |
SSID | 輸入 SSID。 |
安全性 (Security) | 選取 WPA2/企業 (WPA2/Enterprise) 或 WPA2/個人 (WPA2/Personal) 作為 [安全性 (Security)] 選項。 |
靜態 MAC 允許清單 (Static MAC Allow List) | 選取此核取方塊時,則僅允許將所列出的 MAC 與存取點建立關聯。 設定靜態 MAC 允許清單 (Static MAC Allow List) 時,則僅允許將清單中指定的 Mac 位址與存取點建立關聯 。 |
RADIUS ACL 檢查 (Radius ACL Check) | 選取此核取方塊時,會將 MAC 位址與 RADIUS 伺服器建立關聯。如果收到 access-accept,則允許將 MAC 與存取點建立關聯。
備註: RADIUS ACL 檢查僅限於
WPA2/企業 (WPA2/Enterprise) 安全模式。
|
新增 (Add) | 按一下以輸入新的 MAC 位址。 |
刪除 (Delete) | 按一下以移除現有的 MAC 位址。 |
適用於 AP 探查的 MAC 篩選 (MAC filtering for AP Probes) | 啟用 [適用於 AP 探查的 MAC 篩選 (MAC filtering for AP Probes)] 時,會阻止來自未獲核准的 MAC 位址的探查主動探索 AP 參數。在未廣播 SSID 時,這有助於阻止未知基地台連線至網路。已知有些裝置會使用隨機 MAC 位址進行探查,而不考慮 AP 設定,且探查篩選可能導致這些裝置無法探索或連線至網路,即使已核准這些裝置的 MAC 也是如此。 |
適用於 AP 探查的 MAC 篩選 (MAC filtering for AP Probes) 和 RADIUS ACL 檢查 (RADIUS ACL Check) 不能同時進行。