站点配置

您可以从 网络主 页或 “配置 文件和模板 ” 部分添加新站点来配置您的 SD-WAN 网络。

要创建站点，请单击 “网络控制面板” 上的 “ + 新建站点 ”。提供站点的名称和位置。

您可以从头开始创建站点，也可以使用 站点配置文件 快速配置站点。

屏幕右侧的图形显示屏在您继续配置时提供动态拓扑图。

要查看站点配置，请选择站点并导航到 配置 > 站点配置。

网站详情

第一步是输入站点、设备、高级设置和站点联系人详细信息。

使用站点模板配置站点时，将显示以下屏幕。

站点/模板信息

• 选择 站点配置文件 将根据站点配置文件配置自动填充站点、接口和 WAN 链接参数。
• 站点地址 和 站点名称 是根据上一步中提供的详细信息自动填充的。
• 启用 L at/L ng 复选框以获取站点的纬度和经度。
• 从下拉列表中选择 区域 。
• 可以根据给定站点使用的硬件型号或虚拟设备来选择设备型号和子型号。

• 设备版本 会根据所选设备型号自动反映。目前支持高级版 (PE)、高级版 (AE) 和标准版 (SE)。PE 型号仅在 1100、2100、5100 和 6100 平台上受支持。AE 模型在 210 和 1100 平台上受支持。

  注意

  Citrix SD-WAN Orchestrator 服务不支持高级版和高级版平台。

• 站点角色 定义了设备的角色。您可以为站点分配以下角色之一：

  • MCN：主控制节点 (MCN) 充当网络的控制器，网络中只能将一台活动设备指定为 MCN。
  • 分支机构：分支站点上接收来自 MCN 的配置并参与为分支机构建立虚拟 WAN 功能的设备。可以有多个分支站点。
  • RCN：区域控制节点 (RCN) 支持分层网络架构，支持多区域网络部署。MCN 控制多个 RCN，而每个 RCN 依次控制多个分支站点。
  • 地理冗余 MCN：位于不同位置的站点，在 MCN 不可用时接管 MCN 的管理功能，确保灾难恢复。地理冗余 MCN 不为 MCN 提供高可用性或故障转移功能。
  • 地理冗余 RCN：位于不同位置的站点，在 RCN 不可用时接管 RCN 的管理功能，确保灾难恢复。地理冗余 RCN 不为 RCN 提供高可用性或故障转移功能。
• 带宽层 是您可以在任何设备上配置的计费带宽容量，具体取决于设备型号。例如，SD-WAN 410 标准版 (SE) 设备支持 20、50、100、150 和 200 Mbps 的带宽层。根据给定站点的带宽需求，您可以选择所需的等级。每个站点都按配置的带宽层计费。

路由域

路由域 部分允许您为站点选择默认路由域。路由域 设置可以是全局的，也可以是特定于站点的。如果选择 “ 全局默认值”，则会自动选择全局适用的默认路由域。如果选择 “ 特定站点”，则可以从 “路由域” 下拉列表中选择默认 路由域 。

局域网分段路由支持

SD-WAN 标准版和企业版 (SE/PE) 设备在部署任一设备的不同站点上实现局域网分段。这些设备识别并保留可用局域网端 VLAN 的记录，并围绕其他局域网分段 (VLAN) 可以在远程位置与另一台 SD-WAN SE/PE 设备连接的规则进行配置。

上述功能是通过使用 SD-WAN SE/PE 设备中维护的虚拟路由和转发 (VRF) 表实现的，该表跟踪本地局域网段可访问的远程 IP 地址范围。此 VLAN 到 VLAN 的流量仍然会通过两个设备之间的相同预先建立的虚拟路径遍历 WAN（无需创建新路径）。

此功能的一个用例示例是，WAN 管理员可能能够通过 VLAN 对本地分支网络环境进行分段，并将其中一些分段 (VLAN) 提供给可以访问互联网的 DC 端 LAN 分段，而其他分段 (VLAN) 则可能无法获得此类访问权限。VLAN 到 VLAN 关联的配置是通过 Citrix SD-WAN Orchestrator 服务 Web 界面实现的。

高级设置

• 启用源 MAC 学习：存储收到的数据包的源 MAC 地址，以便发往相同目的地的传出数据包可以发送到同一个端口。

• 即使所有关联路径均处于关闭状态，仍保留从链接到互联网的路由：启用后，即使互联网服务的所有 WAN 链接都不可用，发往互联网服务的数据包仍会继续选择互联网服务。

• 即使所有关联路径均处于关闭状态，仍保留从链接到内联网的路由：启用后，即使内联网服务的所有 WAN 链接都不可用，发往 Intranet 服务的数据包仍会继续选择内网服务。

• 管理员的联系方式可在网站上找到。

配置面板右侧的动态网络图可在您完成配置过程中持续提供可视化反馈。

设备详细信息

设备详细信息部分允许您在站点配置和启用高可用性 (HA)。使用 HA，可以将两个设备作为主动主设备和被动辅助设备部署在站点上。主设备出现故障时，辅助设备将接管。有关更多信息，请参阅 高可用性。

注意

无法使用站点模板配置序列号。

设备信息

启用 HA，然后输入主设备和辅助设备的序列号和短名称。单击 “ 添加 ” 并提供序列号和站点简称。

单击添加。

• 序列号：可以从 VPX Web 控制台访问虚拟 SD-WAN 实例 (VPX) 的 序列号 ，如以下屏幕截图所示。硬件设备的序列号也可以在设备标签上找到。

  

• 短名称： 短名称 字段用于为站点指定易于识别的短名称或根据需要标记站点。

如果要 删除 序列号，请单击 “删除” 选项。

注意 更新序列号需要删除现有序列号并读取新的序列号。

单击 “ 删除 ” 选项后，会出现一个弹出窗口，确认您是否要删除序列号。

高级 HA 设置

• 故障转移时间 (ms)：丢失与主设备联系后、备用设备处于活动状态之前的等待时间。
• 共享基本 MAC：高可用性对设备的共享 MAC 地址。发生故障转移时，辅助设备具有与发生故障的主设备相同的虚拟 MAC 地址。
• 禁用 Shared Base MAC：此选项仅在虚拟机管理程序和基于云的平台上可用。选择此选项可禁用共享虚拟 MAC 地址。
• 主回收：指定的主设备在故障转移事件发生后重新启动时恢复控制权。
• HA 故障到线模式：HA 故障到线模式已启用。有关更多详细信息，请参阅 HA 部署模式。
• 启用 Y 型电缆支持：小型封装可插拔 (SFP) 端口可与光纤 Y 型电缆一起使用，以实现边缘模式部署的高可用性功能。此选项仅适用于 Citrix SD-WAN 1100 SE/PE 设备。有关详细信息，请参阅 使用光纤 Y 型电缆启用边缘模式高可用性。

无线网络详情

您可以配置支持 Wi-Fi 作为 Wi-Fi 接入点的 Citrix SD-WAN 设备。

Citrix SD-WAN 110 平台的以下两个变体支持 Wi-Fi，可以配置为 Wi-Fi 接入点：

• Citrix SD-WAN 110-wifi-SE
• Citrix SD-WAN 110-lte-WiFi

有关 Wi-Fi 配置的更多详细信息，请参阅 Wi-Fi 接入点

接口

下一步是添加和配置接口。单击 + 接口 开始配置接口。单击 + HA 接口 开始配置 HA 接口。只有在配置了辅助设备以实现高可用性时， + HA 接口 选项才可用。

接口配置包括选择部署模式和设置接口级别的属性。此配置适用于 LAN 和 WAN 链路。

带内管理

带内管理允许您使用 SD-WAN 数据端口进行管理。它同时承载数据流量和管理流量，而无需配置额外的管理路径。带内管理允许虚拟 IP 地址连接到管理服务，如 Web UI 和 SSH。您可以使用管理 IP 和带内虚拟 IP 访问 Web UI 和 SSH。

要启用带内管理，请从 “带 内管理 IP” 下拉列表中选择 IPv4 地址，或从 “带内管理 IPv6” 下拉列表中选择 IPv6地址。从 “带内管理DNS” 或 “带内管理 DNS V6” 下拉列表中选择 DNS 代理，通过带内和备用管理平面将所有 DNS 请求转发到该代理。

有关带内管理的更多信息，请参阅 带内管理。

为接口配置的 IP 地址列在 带内管理 IP 下拉列表下。在 “高级设置” > “DNS” 下配置的 DNS 代理服务将列在 “ 带内管理 DNS ” 下拉列表中。

接口属性

支持以下部署模式：

1. 边缘（网关）
2. 内联 — 故障到线、故障到块和虚拟内联。

• 部署模式：选择以下部署模式之一。

  • 边缘（网关）：

    

    网关模式意味着 SD-WAN 充当所有 LAN 流量的 WAN 的 “网关”。 网关模式 是默认模式。您可以将设备部署为局域网端或广域网端的网关。

  • 内联：

    当 SD-WAN 在 LAN 交换机和广域网路由器之间串联部署时，SD-WAN 应该 “桥接” 局域网和广域网。

    所有 Citrix SD-WAN 设备都有预定义的桥接配对接口。启用 Bridge 选项后，选择 LAN 端的任何接口都会自动突出显示为网桥 WAN 端保留的配对接口。例如，物理接口 1 和 2 是桥接对。

    • Fail-to-Wire：启用桥接对接口之间的物理连接，允许流量绕过 SD-WAN，在设备重启或出现故障时直接流经网桥。

    此前，DHCP 客户端仅在故障到块端口上受支持。在 Citrix SD-WAN 11.2.0 版本中，通过串行高可用性 (HA) 部署扩展了分支站点的故障连线端口上的 DHCP 客户端功能。此增强功能：

    • 允许在具有故障到线网桥对和串行 HA 部署的不受信任接口组上进行 DHCP 客户端配置。
    • 允许选择 DHCP 接口作为 专用内联网 WAN 链接的一部分。

    备注

    • 内联（故障到线）选项仅在硬件设备上可用，在虚拟设备 (VPX/VPXL) 上不可用。
    • 专用内部网链接现在支持 DHCP 客户端。
    • LAN 接口不得连接到故障到线路对，因为数据包可能在接口之间桥接。

    

    • Fail-to-Block：此选项禁用硬件设备上桥接对接口之间的物理连接，从而在设备重启或出现故障时防止流量流过网桥。

    注意

    内联（故障阻止）是虚拟设备（VPX/VPXL）上唯一可用的桥接模式选项。

    

    • 虚拟内联（单臂）：

    

    在此模式下部署 SD-WAN 时，它会使用 单臂 将其连接到 WAN 路由器、LAN 和 WAN，在 SD-WAN 上共享相同接口。因此，接口设置在 LAN 和 WAN 链路之间共享。

• 接口类型： 从下拉列表中选择接口类型。
• 安全（可信/不可信）：指定接口的安全级别。受信任的区段受防火墙的保护。
• 接口名称： 根据所选的部署模式，自动填充 “ 接口名称 ” 字段。

物理接口

• 选择接口： 选择设备上可用的可配置以太网端口。

虚拟接口

• VLAN ID：用于识别和标记进出接口的流量的 ID。
• 虚拟接口名称： 根据所选的部署模式，自动填充 “ 虚拟接口名称 ” 字段。
• 启用 HA 心跳信号：启用通过此接口同步 HA 心跳信号。如果您已为 HA 配置了辅助设备，则启用此选项。选择此选项可允许主设备和辅助设备通过此接口同步 HA 检测信号。指定主要和辅助设备的 IP 地址。
• 路由域：为分支机构网络或数据中心网络提供单点管理的路由域。
• 防火墙区域： 接口所属的防火墙区域。防火墙区域保护和控制逻辑区域中的接口。

• 客户端模式： 从下拉列表中选择 客户端模式 。选择 PPPoE 静态时会显示更多设置。

  注意

  当 “站点” 模式（在 “站点详细信息” 选项卡下）被选为 “ 分支 ” 且 “ 安全” 字段 （在 “ 接口 ” 选项卡下）被选为 “ 不可信” 时， PPPoE 动态 选项在 “ 客户端模式” 下可用。

  Citrix SD-WAN 充当 PPPoE 客户端。对于 IPv4，SD-WAN 获取动态 IPv4 地址或使用静态 IPv4 地址。对于 IPv6，它从 PPPoE 服务器获取链路本地地址。对于 IPv6 单播地址，可以使用静态 IP、DHCP 或 SLAAC。

• DHCP 客户端：在虚拟接口上启用后，DHCP 服务器将动态分配 IPv4 地址给连接的客户端。
• DHCP IPv6 客户端：在虚拟接口上启用后，DHCP 服务器将动态分配 IPv6 地址给连接的客户端。
• SLAAC：此选项仅适用于 IPv6 地址。选中后，接口将通过无状态地址自动配置 (SLAAC) 获取 IPv6 地址。
• 定向广播：选中 “定 向广播 ” 复选框后，定向广播将发送到虚拟接口上的虚拟 IP 子网。

• 启用：默认情况下，所有虚拟接口的 “ 启用 ” 复选框均处于选中状态。如果要禁用虚拟接口，请清除 “ 启用 ” 复选框。

  注意

  • “ 启用 ” 复选框仅在 Citrix SD-WAN 版本 11.3.1 之后可用。
  • 仅当 WAN 链接访问接口未使用虚拟接口时，禁用虚拟接口的选项才可用。如果 WAN 链接访问接口使用虚拟接口，则该复选框为只读且默认处于选中状态。
  • 在配置其他功能以及已启用的虚拟接口时，禁用的虚拟接口也会列出，但 WAN 链接的访问接口下除外。即使选择禁用的虚拟接口，也不考虑虚拟接口，也不会影响网络配置。

• + IPv4 地址：接口的虚拟 IPv4 地址和网络掩码。
• + IPv6 地址：接口的虚拟 IPv6 地址和前缀。
• 身份：选择用于 IP 服务的身份。例如， 身份 被用作与 BGP 邻居通信的源 IP 地址。
• 私有：启用后，虚拟 IP 地址只能在本地设备上路由。

注意

• LTE 端口不支持静态 IP 地址（IPv4 和 IPv6）。
• LTE 端口支持 DHCP 和 SLAAC。配置 DHCPv4 或 DHCPv6 是强制性的。SLAAC 是可选的。
• 在 LTE 端口中，可以为 IPv6 或 SLAAC 配置链路本地地址。

PPPoE 凭证

以太网点对点协议 (PPPoE) 通过常用客户场所设备（例如 Citrix SD-WAN）将以太网 LAN 上的多个计算机用户连接到远程站点。PPPoE 允许用户共享通用的数字用户线 (DSL)、电缆调制解调器或无线连接到Internet 。PPPoE 将通常用于拨号连接的点对点协议 (PPP) 与支持局域网中多个用户的以太网协议相结合。PPP 协议信息封装在以太网框架内。

与拨号连接不同，Citrix SD-WAN 设备使用 PPPoE 支持 ISP 实现持续持续的 DSL 和有线调制解调器连接。PPPoE 提供每个用户远程站点会话，通过称为 发现 的初始交换来学习彼此的网络地址。在单个用户和远程站点（例如 ISP 提供程序）之间建立会话后，可以监视该会话。公司使用以太网和 PPPoE 通过 DSL 线路使用共享Internet 接入。

Citrix SD-WAN 充当 PPPoE 客户端。对于 IPv4，SD-WAN 获取动态 IPv4 地址或使用静态 IPv4 地址。对于 IPv6，它从 PPPoE 服务器获取链路本地地址。对于 IPv6 单播地址，可以使用静态 IP、DHCP 或 SLAAC。

要建立成功的 PPPoE 会话，需要以下内容：

• 配置虚拟网络接口 (VNI)。
• 用于创建 PPPoE 会话的唯一凭据。
• 配置 WAN 链接。每个 VNI 只能配置一个 WAN 链接。
• 配置虚拟 IP 地址。每个会话都会根据提供的配置获得一个唯一的 IP 地址（动态或静态）。
• 在桥接模式下部署设备以使用具有静态 IP 地址的 PPPoE，并将接口配置为 “可信”。“
• 静态 IP 最好使用配置来强制使用服务器建议的 IP；如果与配置的静态 IP 不同，则可能会出现错误。
• 将设备部署为 Edge 设备以使用具有动态 IP 的 PPPoE 并将接口配置为 “不可信”。“
• 支持的身份验证协议有：PAP、CHAP、EA-MD5、EAP-SRP。
• 多个会话的最大数量取决于配置的 VNI 数量。
• 创建多个 VNI 以支持每个接口组的多个 PPPoE 会话。

注意

允许使用相同的 802.1Q VLAN 标记创建多个 VNI。

PPPoE 配置的限制：

• 不支持 802.1q VLAN 标记。
• 不支持 EAP-TLS 身份验证。
• 地址/控制压缩。
• 放气压缩。
• 协议字段压缩协商。
• 压缩控制协议。
• BSD 压缩压缩。
• IPX 协议。
• 购买力平价多链接。
• 范雅各布森风格 TCP/IP 头压缩.
• Van Jacobson 风格的 Connection-ID 压缩选项 TCP/IP 标头压缩。
• LTE 接口不支持 PPPoE。

从 Citrix SD-WAN 11.3.1 版本中，需要考虑额外的 8 字节 PPPoE 标头来调整 TCP 最大分段大小 (MSS)。额外的 8 个字节 PPPoE 报头根据 MTU 调整同步数据包中的 MSS。支持的 MTU 范围从 1280 字节到 1492 字节不等。

PPPoE 配置

在 MCN 上，您只能配置 PPPoE 静态。在分支机构上，您可以配置 PPPoE 静态或 PPPoE 动态。

要配置 PPPoE，请在站点级别配置中导航到 配置 > 站点配置 > 接口 选项卡。在 “ 虚拟接口 ” 部分中，从 “ 客户端模式 ” 下拉列表中选择相应的 PPPoE 选项。

注意

• 配置了多个接口的 VNI 只能有一个接口用于 PPPoE 连接。
• 如果配置了多个接口和 PPPoE 连接的 VNI 更改为其他接口，则可以使用 报告 > 实时 > PPPoE 页面来停止现有会话并启动新会话。然后可以在新接口上建立新会话。
• 如果选择 PPPoE 动态，则 VNI 必须为“不受信任”。

• AC 名称： 提供 PPPoE 配置的接入集中器 (AC) 名称。
• 服务名称： 输入服务名称。
• 重新连接暂停： 输入重新连接尝试暂停时间。
• 用户名： 输入 PPPoE 配置的用户名。
• 密码： 输入 PPPoE 配置的密码。
• 身份验证： 从下拉列表中选择授权协议。
  • 当 Auth 选项设置为 “自动” 时，SD-WAN 设备将接受从服务器收到的支持的身份验证协议请求。
  • 当 “身份 验证 ” 选项设置为 PAP/CHAP/EAP 时，则仅支持特定的身份验证协议。如果 PAP 在配置中，并且服务器使用 CHAP 发送身份验证请求，则连接请求将被拒绝。如果服务器不与 PAP 协商，则会发生身份验证失败。

每个 PPPoE 静态或动态 VNI 只允许创建一个 WAN 链接。WAN 链接配置因客户端模式的 VNI 选择而异。

如果 VNI 配置为 PPPoE 动态客户端模式：

• IP 地址和网关 IP 地址字段变为非活动状态。
• 虚拟路径模式设置为“主”。
• 无法配置代理 ARP。

默认情况下，选择网关 MAC 地址绑定。

如果 VNI 配置为 PPPoE 静态客户端模式，则配置 IP 地址。

注意

如果服务器不支持配置的静态 IP 地址并提供不同的 IP 地址，则会出现错误。PPPoE 会话尝试定期重新建立连接，直到服务器接受配置的 IP 地址。

PPPoE 监控和故障排除

在站点级别，导航 “ 报告” > “实时” > “PPPoE ” 部分，查看有关使用 PPPoE 静态或动态客户端模式配置的 VNI 的信息。它允许您手动启动或停止会话以进行故障排除。

在建立 PPPoE 会话时出现问题时：

• 将鼠标悬停在失败状态上可显示最近失败的原因。
• 要建立新的会话或对活动的 PPPoE 会话进行故障排除，请重新启动该会话。
• 如果手动停止 PPPoE 会话，则在手动启动并激活配置更改或重新启动服务之前，该会话无法启动。

PPPoE 会话可能会因以下原因而失败：

• 当 SD-WAN 由于配置中的用户名/密码不正确而无法向对等体进行身份验证时。
• PPP 协商失败-协商没有达到至少一个网络协议正在运行的地步。
• 系统内存或系统资源问题。
• 配置无效/错误（错误的 AC 名称或服务名称）。
• 由于操作系统错误，无法打开串行端口。
• echo 数据包没有收到任何响应（链路不好或服务器没有响应）。
• 有几个连续不成功的拨号会话在一分钟内。

在连续 10 次失败后，观察到失败的原因。

• 如果故障正常，它将立即重新启动。
• 如果失败是错误，则重新启动将恢复 10 秒。
• 如果失败是致命的，则重新启动将恢复 30 秒，然后重新启动。

LCP Echo 请求数据包每 60 秒从 SD-WAN 生成一次，未能接收 5 个回显响应被视为链路失败，并重新建立会话。

• 如果 VNI 已启动并准备就绪， IP 和网关 IP 列将显示会话中的当前值。它表示这些是最近接收的值。
• 如果 VNI 已停止或处于故障状态，则这些值是最后收到的值。
• 将鼠标悬停在 Gateway IP 列上会显示 PPPoE 接入集中器的 MAC 地址，从中接收会话和 IP。
• 将鼠标悬停在 “状态” 值上方会显示一条消息，这对 “失败” 状态更有用。

SDWAN_ip_learned.log 文件包含与 PPPoE 相关的日志。导航到 故障排除 > 设备日志 以查看或下载 SDWAN_ip_learned.log 文件。

有线 802.1X 配置

Wired 802.1X 是一种身份验证机制，它要求客户端先进行身份验证，然后才能访问 LAN 资源。Citrix SD-WAN Orchestrator 服务支持在局域网接口上配置有线 802.1X 身份验证。

在 Citrix SD-WAN 网络中，客户端向 Citrix SD-WAN 设备发送身份验证请求以访问 LAN 资源。Citrix SD-WAN 设备充当身份验证器并将身份验证请求发送到身份验证服务器。Citrix SD-WAN Orchestrator 服务仅支持将 RADIUS 服务器配置为身份验证服务器。

首次进行身份验证时，只能处理 EAPOL 数据包或可以从默认虚拟 LAN 初始化 802.1X 身份验证的 DHCP 数据包。新连接的客户端必须在 90 秒内进行身份验证。如果身份验证成功，它就可以访问局域网资源。

如果身份验证失败，则不向客户端授予网络访问权限，所有数据包都将被丢弃。直接连接到 Citrix SD-WAN 设备的客户端可以通过拔下以太网电缆并将其重新插入来重试身份验证。或者，您可以定义特定的虚拟 LAN，为失败的身份验证请求授予对有限局域网资源的访问权限。在这种情况下，失败的身份验证请求可以访问指定的虚拟 LAN。在创建虚拟局域网时，您可以使用不同的路由域或防火墙区域限制对经过身份验证的流量的访问。

注意

• 默认虚拟 LAN 必须始终启用 802.1X。
• 不支持动态虚拟 LAN。

Citrix SD-WAN 设备期望接收没有 802.1Q 标签的数据包（未标记的数据包）。如果 Citrix SD-WAN 设备收到的数据包，其中 802.1Q 标签设置为分配的虚拟局域网，则必须标记所有来自 MAC 的数据包。如果收到的数据包报头中没有 802.1Q 标记，或者其标签不是 MAC 地址所属的虚拟 LAN，则该数据包将被丢弃。

当连接到交换机的多台客户机尝试通过单个端口同时进行身份验证时，每台客户端都要经过单独身份验证，然后才能访问局域网资源。未能通过身份验证的客户端可以通过拔掉以太网电缆，等待 3 分钟，然后重新插入以太网电缆来重试身份验证。Citrix SD-WAN 110、210 和 410 平台最多支持 32 个客户端（包括经过身份验证和未经身份验证）。所有其他平台最多支持 64 个客户端（包括经过身份验证和未经身份验证）。

要配置 802.1X 身份验证，请导航到 “ 站点配置” > “接口 ”，然后打开 “ 启用 802.1x ” 切换按钮。选择现有 RADIUS 配置文件或单击 “ 创建 RADIUS 配置文件 ” 创建 RADIUS 配置文件有关创建 RADIUS 配置文件的详细信息，请参阅 RADIUS 服务器配置文件。只要您的设备支持无线 WPA2-Enterprise，则可以使用相同的 RADIUS 配置文件进行有线 802.1x 和无线 WPA2-Enterprise 身份验证。

从 经过身份验证的 VIF 下拉列表中选择一个虚拟接口。选定的虚拟接口授予对 LAN 资源的访问权限，以成功进行身份验证请求。

或者，您可以从 未经身份验证的 VIF 下拉列表中选择一个接口。选定的虚拟接口为失败的经过身份验证的请求授予对特定 LAN 资源的访问权限。

您可以添加绕过身份验证过程的 MAC 地址列表。来自这些 MAC 地址的流量将被隐式视为经过身份验证。这些 MAC 地址容易受到恶意攻击。因此，只能在物理安全的环境中以及不支持有线 802.1x 身份验证的传统硬件中使用此功能。

您可以在 报告 > 警报下查看与有线 802.1x 身份验证请求相关的警报。有关更多信息，请参阅 警报。

WAN 链接

下一步是配置 WAN 链接。单击 + WAN 链接 开始配置 WAN 链接。

WAN 链接配置包括设置 WAN 链接访问类型和访问接口属性。

您可以从头开始配置 WAN 链接 属性，也可以使用 WAN 链接模板 快速配置 WAN 链接属性。如果您已经使用了站点配置文件，则会自动填充 WAN 链接 属性。

WAN 链接属性

• 模板名称：用于创建 WAN 链接的 WAN 链接模板的名称。创建 WAN 链接后，无法修改 WAN 链接模板名称。使用 WAN 链接模板创建 WAN 链接后，您就无法编辑访问类型、ISP 名称或互联网类别。
• 访问类型：指定链接的 WAN 连接类型。
  • 公共互联网：表示该链路通过 ISP 连接到互联网。
  • 私有内联网：表示该链接已连接到 SD-WAN 网络中的一个或多个站点，无法连接到 SD-WAN 网络之外的位置。
  • MPLS：专用内联网的专用变体。表示该链接使用一个或多个 DSCP 标签来控制 Intranet 上两个或多个点之间的服务质量，并且无法连接到 SD-WAN 网络以外的位置。
• ISP 名称：服务提供商的名称。
• 互联网类别：在 WAN 链路上启用的 WAN 链路互联网接入技术服务（宽带、卫星、光纤、LTE 等）的类型。
• 链接名称：根据之前的输入自动填充。
• 跟踪 IP 地址：虚拟路径上的虚拟 IP 地址，可通过 ping 来确定路径的状态。
• 公有 IPv4 地址 和 公有 IPv6 地址：NAT 或 DNS 服务器的 IP 地址。仅当串行 HA 部署中的 WAN 链接访问类型为公共互联网或专用 Intranet 时，此地址才适用并公开。公有 IP 可以手动配置，也可以使用 “自动学习” 选项自动学习。
• 自动检测：启用后，SD-WAN 设备会自动检测公有 IP 地址。仅当设备角色是 分支 而不是 主控制节点 (MCN)时，此选项才可用。
• 出口速度：广域网到局域网的速度。
  • 速度：广域网到局域网流量的可用或允许速度，以 Kbps 或 Mbps 为单位。
  • 允许速率：如果 SD-WAN 设备不应使用整个 WAN 链接容量，请相应地更改允许的速率。
  • 自动学习：当您不确定带宽并且链路不可靠时，可以启用自动学习功能。自动学习 功能仅学习底层链路容量，并在将来使用相同的值。
  • 物理速率：WAN 链路的实际带宽容量。
• 入口速度：局域网到广域网的速度。
  • 速度：局域网到广域网流量的可用或允许速度，以 Kbps 或 Mbps 为单位。
  • 允许速率：如果 SD-WAN 设备不应使用整个 LAN 链路容量，请相应地更改允许的速率。
  • 自动学习：当您不确定带宽并且链路不可靠时，可以启用自动学习功能。自动学习 功能仅学习底层链路容量，并在将来使用相同的值。
  • 物理速率：局域网链路的实际带宽容量。

MPLS 队列

MPLS 队列 设置仅适用于 WAN 链路访问类型 MPLS。此选项旨在在 MPLS WAN Link 上启用与服务提供商 MPLS 队列对应的队列的定义。有关添加 MPLS 队列的信息，请参阅 MPLS 队列。

访问界面

访问接口定义 WAN 链路的 IP 地址和网关 IP 地址。每个 WAN 链路至少需要一个接入接口。以下是访问接口参数：

• 访问接口名称：引用访问接口的名称。默认使用以下命名约定：WAN_link_Name-编号：其中 W AN_link_Name 是要与此接口关联的 WAN 链路的名称，编号是当前为此链接配置的接入接口数，递增 1。
• 虚拟接口：访问接口使用的虚拟接口。从为当前分支站点配置的虚拟接口的下拉菜单中选择一个条目。
• 虚拟路径模式：指定当前 WAN 链接上虚拟路径流量的优先级。选项包括：主要、次要或排除。如果设置为“排除”，则访问接口仅用于互联网和内联网流量。
• IP 地址：从设备到广域网的访问接口端点的 IP 地址。根据需要选择 V4 (IPv4) 或 V6 (IPv6)。
• 网关 IP 地址：网关路由器的 IP 地址。
• 将访问接口绑定到网关 MAC：如果启用，则在互联网或内联网服务上接收的数据包的源 MAC 地址必须与网关 MAC AddressWank 链接 > 高级广域网选项相匹配。
• 启用代理 ARP：如果启用，则在无法访问网关时，虚拟 WAN 设备会回复网关 IP 地址的 ARP 请求。
• 在路由域上启用 Internet 访问：在相应路由域的所有路由表中自动创建默认路由 (0.0.0.0/0)。您可以为所有路由域启用，也可以启用 NONE。如果需要互联网访问，它避免了在所有路由域中创建独占静态路由的需要。

服务

“ 服务 ” 部分允许您添加服务类型并分配用于每种服务类型的带宽百分比。您可以从 “ 交付 服务” 部分定义服务类型并为其配置属性。您可以选择使用这些全局默认设置，也可以从 “服务带宽设置” 下拉列表中配置链路特定的 服务带宽设置 。如果选择链接特定，请输入以下详细信息：

• 服务名称：WAN 链接服务的名称。
• 分配百分比：从链路总容量中分配给服务的带宽的保证公平份额。
• 模式：基于所选服务的 WAN Link 的运行模式。对于 Internet，有 “主”、“辅助” 和 “余额” 三种；对于内联网，有 “小学” 和 “辅助”。
• 隧道标头大小：隧道标头的大小，以字节为单位。
• 局域网到广域网标签：应用于服务上局域网到广域网数据包的 DHCP 标签。
• LAN 到 WAN 延迟：超过 WAN 链路带宽时缓冲数据包的最大时间。
• LAN 到 WAN Min Kbps：为服务保留的最小上载带宽值。“ 最低 Kbps ” 是必填字段。
• LAN 到 WAN 最大千位数：为服务保留的最大上传带宽值。 Max Kbps 字段是可选的，该值不能小于配置的最小上传带宽值。该值必须大于或等于最小上传带宽值。
• WAN to LAN 标签：应用于服务上的 WAN to LAN 数据包的 DHCP 标签。
• WAN to LAN 匹配：分配给服务的互联网广域网与局域网数据包的匹配标准。
• WAN to LAN 最小 Kbps：为服务保留的最小下载带宽值。“ 最低 Kbps ” 是必填字段。
• WAN to LAN Max Kbps：为服务保留的最大下载带宽值。 Max Kbps 字段是可选的，该值不能小于配置的最小下载带宽值。该值必须大于或等于最小下载带宽值。
• WAN 到 LAN 整理：如果启用，则会随机丢弃数据包，以防止 WAN 到 LAN 的流量超出服务配置的带宽。

注意

最小和最大 Kbps 字段不适用于虚拟路径。

链接的虚拟路径设置

根据需要将虚拟路径上的相对带宽配置选择为 “ 全局默认 ” 或 “ 特定链接 ”。选择 LinkSpecific 后，当您启用自动带宽配置时，将自动计算虚拟路径服务的带宽份额，并根据远程站点可能消耗的带宽量进行相应应用。

• 链路的最大和最小 虚拟路径带宽比：您可以设置可应用于所选 WAN 链接的最大和最小虚拟路径比率。

• 每条虚拟路径的最小预留带宽 (Kbps)：您可以设置每个虚拟路径的最小预留带宽值（以 Kbps 为单位）。

要自定义与 WAN 链接关联的虚拟路径的带宽，请执行以下操作：

1. 清除 “在与 链接关联的所有虚拟路径上启用自动带宽Pro visioning” 复选框。

2. 在 “ 虚拟路径的自定义带宽分配 ” 部分中，选择一个远程站点。您可以为通往远程站点的虚拟路径配置带宽。

   • 最小带宽 (Kbps)：为虚拟路径保留的最小带宽。可以为虚拟路径设置的最小带宽为 80 Kbps。

   • 最大带宽 (Kbps)：虚拟路径可以从 WAN 链路使用的最大带宽。如果未设置最大带宽，则站点将使用所有可用带宽。

   • 带宽分配（相对测量）：从虚拟路径组的合格带宽中分配给虚拟路径的带宽份额。例如，如果一个包含 3 个虚拟路径的 WAN 链接组有资格获得 30 Mbps 的带宽，并且您想为每个虚拟路径分配相等的带宽，则将 10 更新为远程站点上的带宽分配。

   

3. 单击完成。

注意

即使在两个站点之间禁用了先前配置的动态虚拟路径之后，Citrix SD-WAN Orchestrator 服务仍会保留先前配置的自定义带宽设置。重新配置动态虚拟路径时，请务必手动更新自定义带宽设置。

带宽配置需要考虑的几点

• 默认情况下，所有分支机构和广域网服务（虚拟路径/互联网/内联网）的权重各为 1。

• 当带宽要求存在很大差异时，需要自定义带宽。

• 在可用站点之间启用动态虚拟路径时，WAN 链路容量将在数据中心的静态虚拟路径和动态虚拟路径之间共享。

高级 WAN 选项

WAN 链路高级设置允许配置 ISP 的特定 属性。

• 拥塞阈值：拥塞量过后 WAN 链路会限制数据包传输以避免进一步拥塞。
• 提供商 ID：提供商在发送重复数据包时区分路径的唯一标识符。
• 帧成本（字节）：向每个数据包添加额外的报头/尾部字节，例如以太网 IPG 或 AAL5 预告片。
• MTU（字节）：以字节为单位的最大原始数据包大小，不包括帧成本。

• 待机模式：待机链路不用于传输用户流量，除非它变为活动状态。默认情况下，WAN 链接的待机模式处于禁用状态。有关待机模式的更多信息，请参阅 待机模式。

  

• 启用计量：跟踪 WAN 链接的使用情况，并在链接使用量超过配置的数据上限时提醒用户。有关计量的详细信息，请参阅 计量和备用 WAN 链接。

  

• 自适应带宽检测：检测到丢失时，以较低的带宽速率使用 WAN 链路。当可用带宽低于配置 的最低可接受带宽时，将路径标记为 BAD。使用路径或自适应带宽检测组下的自定义坏损失敏感度。

  注意

  自适应带宽检测仅适用于客户端，而不适用于 MCN。

  • 可接受的最小带宽：当带宽速率不同时，WAN 到 LAN 允许速率的百分比，低于该百分比的路径将被标记为 BAD。虚拟路径两侧的最小 kbps 不同。该值可以在 10％-50％ 之间，默认值为 30％。

有关更多信息，请参阅 自适应带宽检测

路由

站点配置工作流中的下一步是创建路由。您可以根据自己的站点要求创建应用程序和 IP 路由。

注意

在引入 “ 应用程序路由” 和 “IP 路由 ” 选项卡之前添加的 路由列在 “IP路由” 选项卡下，“传送服务 ” 为 Internet。

在网络级别创建的全局路由和特定站点的路由会自动列在 “路由” > “ 应用程序路由和路由” “ IP 路由 ” 选项卡下。您只能在站点级别查看全球路线。要编辑或删除全局路由，请导航到网络级别的配置。

您还可以在站点级别创建、编辑或删除路线。

申请路线

单击 + 应用程序路由 ，创建应用程序路由。

• 自定义应用程序匹配标准：
  • 匹配类型：从下拉列表中选择匹配类型为 应用程序/自定义应用程序/应用程序组 。
  • 应用程序：从下拉列表中选择一个应用程序。
  • 路由域：选择路由域。
• 交通指导
  • 配送服务：从列表中选择一项配送服务。
  • 成本：反映每条路径的相对优先级。成本降低，优先级越高。
• 基于路径的资格：
  • 添加路径：选择站点和 WAN 链接，包括目标和来源。如果添加的路径出现故障，则应用程序路由不会接收任何流量。

如果添加了新的应用程序路由，则路由成本必须在以下范围内：

• 自定义应用程序：1—20
• 应用程序：21—40
• 应用程序组：41—60

IP 路线

转到 IP 路由 选项卡，然后单击 + IP 路由 以创建 IP 路由策略来引导流量。

• IP 协议匹配标准：
  • 目标网络：添加有助于转发数据包的目标网络。
  • 使用 IP 组：您可以添加目标网络或启用 “使用 IP 组” 复选框以从下拉列表中选择任何 IP 组。
  • 路由域：从下拉列表中选择一个路由域。
• 交通指导
  • 配送服务：从下拉列表中选择一项配送服务。
  • 成本：反映每条路径的相对优先级。成本降低，优先级越高。
• 资格标准：
  • 导出路径：如果选中 “导出路径” 复选框并且该路径是本地路径，则默认情况下该路径符合导出条件。如果路由是基于 INTRANET/INTERNET 的路由，则必须启用 WAN 到 WAN 转发才能导出。如果清除了 导出路由 复选框，则本地路由不符合导出到其他 SD-WAN 的条件，并且具有本地意义。
• 基于路径的资格：
  • 添加路径：选择站点和 WAN 链接，包括目标和来源。如果添加的路径出现故障，则 IP 路由不会接收任何流量。

如果添加了新的 IP 路由，则路由开销必须在 1—20 范围内。

摘要

本部分提供站点配置摘要，以便在提交相同配置之前进行快速审阅。

使用 “ 另存为模板 ” 选项将站点配置另存为模板，以便在其他站点中重复使用。单击 “ 完成 ” 标志着站点配置完成，并带您进入 网络配置-主 页以查看所有已配置的站点。有关更多信息，请参阅 网络配置。