配置 MCN
第一步是打开新的配置包,并将 MCN 站点添加到新配置。
注意
配置编辑器 仅在 MCN 控制台 模式下可用。如果 配置编辑器 选项在导航树的 Virtual WAN 分支中不可用,请参阅部分 “将 管理 Web 界面切换到 MCN 控制台模式”,以获取有关更改控制台模式的说明。
建议您经常或在配置的关键点保存配置包。 命名、保存和备份 MCN 站点配置部分提供了相关说明。
警告
如果控制台会话超时或您在保存配置之前注销管理 Web 界面,则所有未保存的配置更改都将丢失。然后,您必须重新登录到系统,并从头开始重复配置过程。因此,建议您在创建或修改配置包或执行其他复杂任务时,将控制台会话 超时 间隔设置为较高值。默认值为 60 分钟。最长时间为 9,999 分钟。出于安全原因,您必须在完成这些任务后将其重置为较低的阈值。有关说明,请参阅设 置控制台会话超时间隔部分(可选)
要添加和开始配置 MCN 设备站点,请执行以下操作:
-
在导航树中,导航到 虚拟 WAN > 配置编辑器。这将显示 配置编辑器 主页(中间窗格)。
-
单击 新建 开始定义新配置。这将显示 新建 配置设置 页面。
-
单击站点栏中的 + 站点以开始添加和配置 MCN 站点。此操作将显示 添加站点 对话框。
-
输入站点信息。
请执行以下操作:
- 输入 站点名称 和 安全密钥。
- 选择设备 型号。
- 选择 模式。
- 选择 主 MCN 作为模式。
注意
模 型 选项菜单列出了受支持装置型号的通用型号名称。通用名称不包含标准版型号后缀,但与等效的 SD-WAN 设备型号相对应。为此 SD-WAN 设备型号选择相应的型号。(例如,如果这是 SD-WAN 4000-SE 设备,请选择 4000。)
条目不能包含空格,且必须采用 Linux 格式。
要添加站点:
-
单击 添加 以添加站点。这会将新站点添加到 站点 树中,并显示新站点的 基本设 置配置窗体。
单击 “ 应用” 后,将出现审计警告,指示需要进一步的操作。红点或金色增量图标表示它出现的部分中出现错误。您可以使用这些警告来识别错误或缺失的配置信息。将光标滚到审核警告图标上,以显示该部分中错误的简短描述。您还可以单击深灰色 审 核状态栏(页面底部)以显示所有未解决审核警告的完整列表。配置过程中,在站点级别添加可配置主机 ARP 计时器 (ms)。当前默认值为 1,000 毫秒。可配置的范围从 1000 毫秒到 18 万毫秒。主机 ARP 定时器配置不适用于管理端口。
-
输入新站点的基本设置,或接受默认设置。在 Citrix SD-WAN 部署(如网关和单臂)中,当频繁收到 ARP 请求时,访问点会变得过载,影响流量。您现在可以将 ARP 定时器配置为发送具有特定间隔时间的 ARP 请求。时间间隔配置为秒。在 Citrix SD-WAN 设备 GUI 的 “ 基本设 置” 选项卡下配置数据中心站点时,可以配置 ARP 时间间隔。
-
(可选,推荐)保存正在进行的配置。
如果您无法在一个会话中完成配置,则可以随时保存配置,以便稍后返回完成配置。配置将保存到本地设备上的 Workspace。要恢复在保存的配置中工作,请单击 配置编辑器 菜单栏(页面顶部区域)中的 打开 。这将显示一个用于选择要修改的配置的对话框。
注意
作为额外的预防措施,建议您使用 “ 另存为” 而不是 “ 保存”,以避免覆盖错误的配置包。
要保存当前配置包,请执行以下操作:
-
单击 另存为 (位于 配置编辑器 中间窗格顶部)。这将打开 另存为 对话框。
-
输入配置包名称。如果要将配置保存到现有软件包中,请务必在保存之前选择 允许覆盖 。
-
单击保存。
如何为 MCN 配置接口组
添加新 MCN 站点后,下一步是为站点创建和配置虚拟接口组。
以下是配置虚拟接口组的一些准则:
-
使用最能描述组的逻辑名称。
-
受信任的网络是在防火墙后面受到保护的网络。
-
虚拟接口将接口关联到无法连接 (FTW) 对。
-
单个 WAN 接口不能位于 FTW 对中。
-
IPv6 地址在 11.1.0 版本中引入,仅支持不受信任的接口。不受信任的接口是不可路由的,用于虚拟路径流量。
注意
有关配置虚拟接口组的更多准则和信息,请参阅 虚拟路由和转发 部分。
要将虚拟接口组添加到新 MCN 站点,请执行以下操作:
-
继续在 配置编辑器 的 “ 站点” 视图中,从 “ 查看站点” 下拉菜单中选择站点 。这将打开所选站点的配置视图。
-
单击 + 以添加虚拟接口组。这将向表中添加一个新的空白虚拟接口组条目,并将其打开以进行编辑。
-
单击虚拟接口右侧的 +。这将向表中添加一个新的空白组条目,并将其打开以进行编辑。
-
选择要包含在组中的以太网接口。在 以太网接口下,单击一个接口以包括/排除该接口。您可以选择要包含在组中的任意数量的接口。
-
从下拉菜单中选择旁路模式 (无默认值)。 绕过模式 指定虚拟接口组中桥接配对接口在设备或服务出现故障或重新启动时的行为。这些选项包括: 故障到线 或 故障到阻塞。
-
从下拉菜单中选择 安全级别 。这指定了虚拟接口组的网络段的安全级别。选项包括:“ 信任 ” 或 “ 不受信任”。受信任的区段受防火墙保护(默认为 受信任)。
-
单击添加的虚拟接口左边缘的 + 。这将显示 虚拟接口 表。
-
单击虚拟接口右侧的 +。这将显示 名称、防火墙区域、VLAN ID、定向广播、客户端模式 和 无状态地址自动配置 (SLAAC)。
-
输入此虚拟接口组的 名称 和 VLAN ID。
- 名称 — 这是引用此虚拟接口的名称。
- 防火墙区域 -从下拉菜单中选择防火墙区域。
- VLAN ID — 这是用于识别和标记进出虚拟接口的流量的 ID。对原生/未标记的流量使用 0(零)的 ID。
- 客户端模式 — 从下拉菜单中选择客户端模式。
- 定向广播 -在虚拟接口上,可通过启用复选框将定向广播数据包转发给虚拟 IP 子网。
-
SLAAC — 虚拟接口上的启用 无状态地址自动配置 (SLAAC) 复选框允许虚拟接口自动从连接的路由器获取全局 IPv6 地址。打开 SLAAC 的虚拟接口不需要配置的虚拟 IP 地址。
注意 只能在不受信任接口的分支站点上启用 SLAAC。
您可以释放或续订 SLAAC 的 IP 地址。
-
单击 桥对 右侧的 +。这将添加一个新的 Bridge Pairs 条目并将其打开进行编辑。
-
从下拉菜单中选择要配对的以太网接口。要添加更多对,请再次点击 桥接对 旁边的 + 。
-
单击应用。这将应用您的设置并将新的虚拟接口组添加到表中。在此阶段,您将看到一个黄色的增量审核警报图标,位于新的虚拟接口组条目右侧。这是因为您尚未为站点配置任何虚拟 IP 地址 (VIP)。现在,您可以忽略此警报,因为当您为站点正确配置了 Virtual IP 时,它会自动解决。
-
要添加更多虚拟接口组,请单击接 口组 分支右侧的 + ,然后按如上所示继续操作。
如何为 MCN 配置虚拟 IP 地址
下一步是为站点配置虚拟 IP 地址,并将其分配给相应的组。
-
继续在新 MCN 站 点的 “站点” 视图中,单击 “ 虚拟 IP 地址 ” 左侧的 +。这将显示新站点的 “ 虚拟 IP 地址 ” 表。
-
单击 虚拟 IP 地址 右侧的 + 以添加地址。这将打开用于添加和配置新虚拟 IP 地址的窗体。
-
输入 IP 地址 / 前缀 信息,然后选择与该地址关联的 虚拟接口 。虚拟 IP 地址必须包含完整的主机地址和网络掩码。
-
为虚拟 IP 地址选择所需的设置,例如防火墙区域、标识、私有和安全。
-
选择 带内管理 以允许虚拟 IP 地址连接到 Web UI 和 SSH 等管理服务。
注意:
该接口的安全类型应为 “ 信任 ” 和 “已启用 身份 ”。
-
选择虚拟 IP 作为 备份管理网络。如果管理端口未配置默认 Gateway,则可以使用虚拟 IP 地址进行管理。
-
单击应用。这会将地址信息添加到站点中,并将其包含在站点 虚拟 IP 地址 表中。
-
要添加更多虚拟 IP 地址,请单击 虚拟 IP 地址 右侧的 +,然后按照上述步骤继续操作。
从 11.1.0 版本开始, 虚拟 IP 地址 下有两个子部分: IPv4 和 IPv6 地址。
限制
- 如果在同一 WAN 链路上配置 IPv4 和 IPv6 接入接口,则只会创建一对路径。
- 如果 IPv6 路径出现故障,则同一 WAN 链路的 IPv4 不会发生回退。
- 11.1.0 版本不支持跟踪 IPv6 地址。
- IPv6 仅支持 SD-WAN 设备之间通过虚拟路径进行通信。不支持互联网和内联网服务。在 11.1.0 版本中不支持管理平面。
- 在 11.1.0 版本中,210 台设备上的 LTE 链路将不支持 IPv6。
- IPv6 不支持 DHCPv6 客户端和服务器。您可以将 SLAAC 配置为自动寻址。
您需要为新创建的不受信任接口添加虚拟 IP 地址,或者如果 SLAAC 是分支站点,则可以启用 SLAAC。添加虚拟 IP 地址:
- 从“节”下拉菜单中选择 IPv6。
- 定义以下字段:
- IP 地址/前缀 — 提供完整的主机地址和子网掩码。
- 虚拟接口 — 从下拉菜单中选择一个关联的虚拟接口。
- 防火墙区域 — 虚拟接口的防火墙区域。
-
本地链路(可选)-如果启用了“链接本地”复选框,则此 IPv6 虚拟 IP 地址可用作虚拟接口的链路本地地址。
注意: 如果未启用链接本地复选框,装置将自动生成并分配链路本地地址。
注意 IPv6 支持邻居发现协议 (NDP)。
如果 IPv4 和 IPv6 访问接口都是在本地站点和远程站点上定义的,则只使用 IPv6 地址形成路径。
如何为 MCN 配置 WAN 链接
下一步是为站点配置 WAN 链接。
-
继续在新 MCN 站点的站 点 视图中,单击 WAN 链接 标签。
-
单击 WAN链接右侧的添加链 接以添加新的 WAN 链接。这将打开 添加 对话框。
-
(可选)如果您不想使用默认值,则输入 WAN 链接的名称。默认值为站点名称,附加以下后缀:WL-<number>,其<number>中是此站点的 WAN 链接数,以 1 为增量。
-
从下拉菜单中选择 访问类型 。选项包括 公共互联网、专用内 联网或 专用 MPLS。
-
单击添加。这将显示 WAN 链 接基本设置 配置页面,并将新的未配置的 WAN 链接添加到该页面。
当为同一 WAN 链路配置 IPv4 和 IPv6 接入接口时,只有两个站点之间才会形成 IPv6 路径。
-
从 设置 下拉菜单中选择 访问接口 (IPv6) 。
-
定义以下字段:
- 名称 — 提供访问接口名称。
- 虚拟接口 — 选择路由域后,从下拉菜单中选择一个关联的虚拟接口。
- IP 地址 — 为 SD-WAN 上的访问接口终端节点提供静态 IP 地址。
-
网关 IP 地址 — 提供网关路由器的 IP 地址。
注意 如果虚拟设备配置为使用 SLAAC 模式,则无法配置 IP 地址和网关 IP 地址。
-
虚拟路径模式 -从下拉菜单中选择虚拟路径模式,以确定此 WAN 链路上虚拟路径流量的优先级。
-
网关 MAC 地址绑定 — 如果启用了 “ 网关 MAC 地址绑定 ” 复选框,则 Internet 或 Intranet 服务收到的数据包的源 MAC 地址必须与网关 MAC 地址匹配。
为 WAN 链路创建 IPv6 接口后,即可使用此接口与互联网服务提供商 (ISP) 进行通信。
注意 由于初始 IPv6 产品仅提供虚拟路径连接,因此我们无法发送 LAN 端 IPv6 数据包。
自动学习带宽消耗
自动学习在系统启动时运行,并每五分钟重复一次,直到观察到成功的结果。通过配置编辑器进行任何 WAN 链接配置更改后,自动学习也会运行。
您可以手动执行测试或在 SD-WAN GUI 中安排测试。当测试成功并启用自动学习时,这些测试的结果也应适用于允许的速率。
在大型网络上使用自动学习时,如果配置更改重新启动,则所有站点在 MCN 上同时运行测试,从而导致高带宽使用率导致结果不准确。建议您每天安排一次或两次带宽测试,通常在流量较低的情况下。
注意
WAN 链路带宽的自动检测,仅适用于分支机构,不适用于 MCN/RCN。
- 输入新 WAN 链接的链接详细信息。配置局域网到 WAN、WAN 到 LAN 设置。一些准则如下:
- 有些互联网链接可能是不对称的。
- 错误配置允许的速度可能会对该链接的性能产生不利影响
- 避免使用超过承诺率的突发速度。
- 对于 Internet WAN 链接,请务必添加公有 IP 地址。
-
单击灰色的 “ 高级设置 ” 部分栏。这将打开链接的 高级设置 窗体。
- 输入链接的 高级设置 :
- 提供商 ID —(可选)输入唯一 ID 号 1—100 以指定连接到同一服务提供商的 WAN 链接。在发送重复数据包时,虚拟 WAN 使用提供程序 ID 区分路径。
- 帧 成本(字节) — 输入添加到每个数据包的报头/尾部的大小(以字节为单位)。例如,添加以太网 IPG 或 AAL5 拖车的大小(以字节为单位)。
- 拥塞 阈值 — 输入拥塞阈值(以微秒为单位),之后 WAN 链路将限制数据包传输以避免进一步拥塞。
- MTU 大 小(字节) — 输入最大的原始数据包大小(以字节为单位),不包括帧成本。
-
单击灰色的 “ 资格 ” 部分栏。这将打开链接的 资格 设置窗体。
-
选择链接的 资格 设置。
-
单击灰色 计量链接 部分栏。这将打开链接的 按流量计费的链 接设置窗体。
-
(可选)选择 启用计数 以启用此链接的计数。这将显示 启用计量 设置 字段。
- 配置链接的计量设置。输入以下命令:
-
数据 上限 (MB) — 输入链接的数据上限分配,以兆字节为单位。
-
账单 周期 — 从下拉菜单中选择每 月或每周 。
-
起始 日 期 — 输入账单周期的开始日期。
-
设置 最后手段 — 选择此选项可在所有其他可用链接出现故障时将此链接作为最后使用的链接启用。在正常 WAN 条件下,Virtual WAN 仅通过计费链接发送最小流量,用于检查链接状态。但是,如果发生故障,SD-WAN 可以使用活动按计费链接作为转发生产流量的最后手段。
单击应用。这会将您指定的设置应用到新的 WAN 链接。
下一步是为新的 WAN 链接配置访问接口。访问接口由虚拟接口、WAN 端点 IP 地址、网关 IP 地址和虚拟路径模式组成,共同定义为特定 WAN 链接的接口。每个 WAN 链接必须至少有一个访问接口。
如何配置访问接口:
-
在链 接的 WAN 链接配置页面中选择访问接口。这将打开站点的访问接口视图。
-
单击 + 以添加界面。这会向表格中添加一个空条目,并将其打开以进行编辑。输入链 接的访问接口 设置。每个 WAN 链接必须至少有一个访问接口。
-
输入以下命令:
- 名称 — 这是引用此访问接口的名称。输入新访问接口的名称,或接受默认值。默认值使用以下命名约定: WAN_link_name-AI-number:其中 WAN_LINK_NAME 是与此接口关联的 WAN 链接的名称,编号是当前为此链接配置的访问接口数,以 1 为增量。
注意
如果名称显示为截断,您可以将光标放在字段中,然后单击并按住鼠标向右或向左滚动以查看截断部分。
-
虚拟接口 — 这是此访问接口使用的虚拟接口。从为此分支站点配置的虚拟接口下拉菜单中选择一个条目。
-
路由域 -要为访问接口选择的路由域。
-
IP 地址 — 这是从设备到 WAN 的访问接口端点的 IP 地址。
-
网关 IP 地址 — 这是网关路由器的 IP 地址。
-
虚拟路径模式 — 这指定此 WAN 链接上虚拟路径流量的优先级。选项包括:主要、次要或排除。如果设置为 排除,则此访问接口仅用于 Internet 和 Intranet 流量。
-
代理 ARP — 选中要启用的复选框。如果启用,则当 Gateway 关无法访问时,虚拟 WAN 设备会回复针对网关 IP 地址的 ARP 请求。
- 单击应用。
您现在已完成配置新的 WAN 链接。重复这些步骤以添加和配置站点的更多 WAN 链接。
下一步是添加和配置站点的路由。
如何为 MCN 配置路由
要添加和配置站点的路由,请执行以下操作:
- 单击新 MCN 站点的 “ 连接 ” 视图,然后选择 “ 路由”。这将显示站点的 “ 路线 ” 视图。
-
单击路线右侧的 + 以添加 路 线。这将打开 路由 对话框进行编辑。
- 输入新路径的路径配置信息。输入以下命令:
- 网络 IP 地址 — 输入 网络 IP 地址。
- 成本 — 输入 1 到 15 之间的权重,以确定此路径的路径优先级。成本较低的路径优先于成本较高的路径。默认值为 5。
-
服务类型 — 从此字段的下拉菜单中选择路径的服务类型。
- 虚拟路径 — 此服务管理跨虚拟路径的流量。虚拟路径是两个 WAN 链接之间的逻辑链接。它由一组 WAN 路径组成,可在两个 SD-WAN 节点之间提供高服务级别的通信。这是通过不断测量和适应不断变化的应用需求和广域网条件来实现的。SD-WAN 设备根据每个路径测量网络。虚拟路径可以是静态的(始终存在)或动态的(仅当两个 SD-WAN 设备之间的流量达到配置的阈值时才存在)。
- 互联网 — 此服务管理企业站点与公共 Internet 上的站点之间的流量。此类型的流量未封装。在拥堵期间,SD-WAN 通过相对于虚拟路径的速率限制互联网流量,主动管理带宽,并根据管理员建立的 SD-WAN 配置管理 Intranet 流量。
- Intranet — 此服务管理尚未定义为通过虚拟路径进行传输的企业内部网流量。与互联网流量一样,它仍然是未封装的,SD-WAN 通过在拥塞期间限制此流量相对于其他服务类型的速率来管理带宽。在某些情况下,如果为虚拟路径上的 Intranet 回退配置,则通常由虚拟路径传输的流量可能会被视为 Intranet 通信,以保持网络可靠性。
- 直通 — 此服务管理要通过虚拟 WAN 传递的流量。定向到直通服务的流量包括广播、ARP 和其他非 IPv4 流量,以及虚拟 WAN 设备本地子网、配置的子网或网络管理员应用的规则上的流量。SD-WAN 不会延迟、形状或修改此流量。因此,必须确保直通流量不会消耗 SD-WAN 设备配置为用于其他服务的 WAN 链接上的大量资源。
- 本地 — 此服务管理与其他服务不匹配的站点本地 IP 流量。SD-WAN 忽略来源和发往本地路由的流量。
- GRE 通道 — 此服务管理发往 GRE 通道的 IP 流量,并与在站点配置的 LAN GRE 通道相匹配。GRE 隧道功能允许您配置 SD-WAN 设备以终止局域网上的 GRE 隧道。对于具有服务类型 GRE 隧道的路由,Gateway 必须位于本地 GRE 隧道的隧道子网之一。
- 局域网 IPsec 隧道 — 此服务管理发往 IPsec 隧道的 IP 流量。
- 国际路由 -此服务允许站点内的路由域之间或不同站点之间的路由泄漏。这样就不需要边缘路由器来处理路由泄漏。
- 网关 IP 地址 — 输入此路由的 网关 IP 地址。
- 资格 -基于路径(复选框)-(可选)如果启用,则选定路径关闭时路由不会接收流量。
- 路径 — 指定用于确定路径资格的路径。
根据 服务类型,将显示以下设置:
服务类型 | 服务类型设置 |
---|---|
虚拟路径 | 下一跳站点 — 这表示虚拟路径数据包定向到的远程站点。 |
Internet | 导出路径:启用/禁用以将路径导出到其他连接的站点,基于路径的资格 |
内联网 | 导出路线、Intranet 服务、基于路径的资格、基于隧道的资格 |
直通 | 基于路径的资格 |
本地 | 出口路线、汇总路线、基于路径的资格 |
GRE 隧道 | 出口路线、基于路径的资格、基于网关的资格 |
IPsec 隧道 | 导出路线、基于路径的资格、IPsec 隧道、基于隧道的资格 |
丢弃 | 出口路线、汇总路线 |
国际路由 | 国际路由域服务 |
- 单击应用。
注意
单击 “ 应用” 后,可能会出现审计警告,指示需要进一步的操作。红点或金色增量图标表示它出现的部分中出现错误。您可以使用这些警告来识别错误或缺失的配置信息。将光标滚到审核警告图标上,以显示该部分中错误的简短描述。您还可以单击深灰色 审 核状态栏(页面底部)以显示所有审核警告的完整列表。
您还可以编辑配置的路由,如下所示。
要为网站添加更多路线,请单击 路线 分支右侧的 + ,然后按上述操作。
您现在已完成输入新 MCN 站点的主要配置信息。以下两部分提供了有关更多可选步骤的说明:
如果您现在不想配置这些功能,可以直接进入 命名、保存和备份 MCN 站点配置部分。