深信服SD-WAN產品使用說明書

1、 PAGE 13深信服SD-WAN產品使用手冊目 錄 HYPERLINK l _bookmark2 前言11 HYPERLINK l _bookmark3 手冊內容11 HYPERLINK l _bookmark4 本書約定12 HYPERLINK l _bookmark5 技術支持13 HYPERLINK l _bookmark6 致謝13 HYPERLINK l _bookmark7 第 1 章 SDWAN 的安裝15 HYPERLINK l _bookmark8 1.1. 環(huán)境要求15 HYPERLINK l _bookmark9 1.2. 電源15 HYPERLINK l _bookm

2、ark10 產品形態(tài)15 HYPERLINK l _bookmark11 SD-WAN-MIG 一體化網關16 HYPERLINK l _bookmark12 SD-WAN-WOC16 HYPERLINK l _bookmark13 SDWAN 虛擬網元16 HYPERLINK l _bookmark14 管控平臺 X-Central17 HYPERLINK l _bookmark15 硬件性能參數(shù)18 HYPERLINK l _bookmark16 配置與管理19 HYPERLINK l _bookmark17 設備接線方式19 HYPERLINK l _bookmark18 設備開機方式2

3、0 HYPERLINK l _bookmark19 第 2 章 SDWAN 組網方式21 HYPERLINK l _bookmark20 hub-spoken 組網21 HYPERLINK l _bookmark21 full mesh 組網21 HYPERLINK l _bookmark22 partial mesh 組網22 HYPERLINK l _bookmark23 第 3 章 SDWAN 的部署24 HYPERLINK l _bookmark24 網關模式部署24 HYPERLINK l _bookmark25 網橋模式部署24 HYPERLINK l _bookmark26 網橋

4、 VPN 模式部署25 HYPERLINK l _bookmark27 網橋多線路模式部署26 HYPERLINK l _bookmark28 雙網橋模式部署27 HYPERLINK l _bookmark29 單臂模式的部署28 HYPERLINK l _bookmark30 雙單臂模式部署30 HYPERLINK l _bookmark31 第 4 章 SD-WAN 易部署和應用選路32 HYPERLINK l _bookmark32 分支郵件易部署32 HYPERLINK l _bookmark33 AutoVPN33 HYPERLINK l _bookmark34 SD-WAN 應用選

5、路34 HYPERLINK l _bookmark35 指定線路34 HYPERLINK l _bookmark36 高質量選路選路34 HYPERLINK l _bookmark37 按剩余帶寬負載35 HYPERLINK l _bookmark38 帶寬疊加35 HYPERLINK l _bookmark39 線路質量探測原理與淘汰機制36 HYPERLINK l _bookmark40 第 5 章 SDWAN 終端設備38 HYPERLINK l _bookmark41 ssh 登錄38 HYPERLINK l _bookmark42 登錄 WebUI 配置界面38 HYPERLINK

6、l _bookmark43 5.3. 狀態(tài)39 HYPERLINK l _bookmark44 廣域網優(yōu)化狀態(tài)39 HYPERLINK l _bookmark45 流量監(jiān)控42 HYPERLINK l _bookmark46 DHCP 狀態(tài)48 HYPERLINK l _bookmark47 設備運行狀態(tài)48 HYPERLINK l _bookmark48 EoIP 狀態(tài)48 HYPERLINK l _bookmark49 路由設置49 HYPERLINK l _bookmark50 系統(tǒng)設置50 HYPERLINK l _bookmark51 部署設置54 HYPERLINK l _book

7、mark52 路由設置85 HYPERLINK l _bookmark53 用戶管理93 HYPERLINK l _bookmark54 網絡對象97 HYPERLINK l _bookmark55 DHCPv4 設置105 HYPERLINK l _bookmark56 DHCPv6 設置108 HYPERLINK l _bookmark57 Syslog & SNMP109 HYPERLINK l _bookmark58 SC 設置113 HYPERLINK l _bookmark59 SD-WAN VPN114 HYPERLINK l _bookmark60 SDWAN 選路114 HY

8、PERLINK l _bookmark61 5.5.2. 服務端115 HYPERLINK l _bookmark62 5.5.3. 客戶端134 HYPERLINK l _bookmark63 5.5.4. 多線路137 HYPERLINK l _bookmark64 第三方認證140 HYPERLINK l _bookmark65 高級設置144 HYPERLINK l _bookmark66 SD-WAN VPN153 HYPERLINK l _bookmark67 第一階段153 HYPERLINK l _bookmark68 第二階段156 HYPERLINK l _bookmark

9、69 安全選項159 HYPERLINK l _bookmark71 EoIP 設置160 HYPERLINK l _bookmark72 流量管理164 HYPERLINK l _bookmark73 對象設置164 HYPERLINK l _bookmark74 策略設置177 HYPERLINK l _bookmark75 流控設置186 HYPERLINK l _bookmark76 策略故障排除206 HYPERLINK l _bookmark77 高級設置207 HYPERLINK l _bookmark78 應用識別210 HYPERLINK l _bookmark79 識別是管

10、理的基礎210 HYPERLINK l _bookmark80 應用庫說明211 HYPERLINK l _bookmark81 NAT 設置212 HYPERLINK l _bookmark82 代理上網網段212 HYPERLINK l _bookmark83 端口映射214 HYPERLINK l _bookmark84 安全防護能力216 HYPERLINK l _bookmark85 端對端傳輸加密216 HYPERLINK l _bookmark86 過濾規(guī)則217 HYPERLINK l _bookmark87 防 DoS 攻擊219 HYPERLINK l _bookmark8

11、8 ARP 欺騙防護221 HYPERLINK l _bookmark89 涉及產品222 HYPERLINK l _bookmark90 僵木蠕一次清理，保障終端安全223 HYPERLINK l _bookmark91 已知威脅223 HYPERLINK l _bookmark92 未知威脅224 HYPERLINK l _bookmark93 高可用冗余保護225 HYPERLINK l _bookmark94 雙機部署方式226 HYPERLINK l _bookmark95 雙機維護227 HYPERLINK l _bookmark96 5.13. 維護229 HYPERLINK l

12、 _bookmark97 5.13.1. 日志230 HYPERLINK l _bookmark98 5.13.2. 序列號231 HYPERLINK l _bookmark99 5.13.3. 自動升級232 HYPERLINK l _bookmark100 5.13.4. 備份/恢復233 HYPERLINK l _bookmark101 5.13.5. 關機236 HYPERLINK l _bookmark102 頁面控制臺236 HYPERLINK l _bookmark103 遠程技術支持238 HYPERLINK l _bookmark104 第 6 章 方案整體設計240 HYP

13、ERLINK l _bookmark105 6.1. 總部端240 HYPERLINK l _bookmark106 241 HYPERLINK l _bookmark106 241 HYPERLINK l _bookmark106 241 HYPERLINK l _bookmark106 6.2. 數(shù)據(jù)中心互聯(lián)241 HYPERLINK l _bookmark107 6.3. 分支端242 HYPERLINK l _bookmark108 大中型分支243 HYPERLINK l _bookmark109 跨國分支244 HYPERLINK l _bookmark110 智能應用選路245

14、HYPERLINK l _bookmark111 第 7 章 廣域網優(yōu)化（SD-WAN 接入網元）251 HYPERLINK l _bookmark112 分鐘級上線251 HYPERLINK l _bookmark113 AUTO VPN252 HYPERLINK l _bookmark114 廣域網數(shù)據(jù)傳輸優(yōu)化253 HYPERLINK l _bookmark115 廣域網傳輸安全加固262 HYPERLINK l _bookmark116 廣域網立體安全防護263 HYPERLINK l _bookmark117 應用及流量可視化，打造一張可管理的廣域網267 HYPERLINK l _

15、bookmark118 應用識別功能267 HYPERLINK l _bookmark119 對象設置270 HYPERLINK l _bookmark120 策略設置283 HYPERLINK l _bookmark121 流控設置292 HYPERLINK l _bookmark122 HTP 高速傳輸協(xié)議解決高延遲高丟包312 HYPERLINK l _bookmark123 改進型 TCP 實現(xiàn)快速 TCP 傳輸314 HYPERLINK l _bookmark124 冗余數(shù)據(jù)削減技術，提高帶寬吞吐314 HYPERLINK l _bookmark125 基于碼流特征的數(shù)據(jù)優(yōu)化314

16、HYPERLINK l _bookmark126 高效的數(shù)據(jù)流壓縮算法316 HYPERLINK l _bookmark127 全局 IP 流量壓縮，降低 TCP 和 UDP 流量占用316 HYPERLINK l _bookmark128 應用加速，提升核心業(yè)務系統(tǒng)訪問速度，提升工作效率317 HYPERLINK l _bookmark129 傳輸協(xié)議優(yōu)化317 HYPERLINK l _bookmark130 應用協(xié)議優(yōu)化318 HYPERLINK l _bookmark131 CIFS 協(xié)議優(yōu)化技術318 HYPERLINK l _bookmark132 HTTP 和 FTP 協(xié)議優(yōu)化技

17、術319 HYPERLINK l _bookmark133 Exchange MAPI 協(xié)議優(yōu)化技術320 HYPERLINK l _bookmark134 RDP 與 Citrix ICA 協(xié)議優(yōu)化技術320 HYPERLINK l _bookmark135 OracleTNS 協(xié)議優(yōu)化技術320 HYPERLINK l _bookmark136 常見應用系統(tǒng)加速效果321 HYPERLINK l _bookmark137 廣域網流量管理，實現(xiàn)流量整形和基于應用的帶寬保障322 HYPERLINK l _bookmark138 基于應用和內容的流量管理技術322 HYPERLINK l _b

18、ookmark139 帶寬通道實現(xiàn)智能帶寬保證322 HYPERLINK l _bookmark140 虛擬線路技術有效保障視頻會議帶寬，提升訪問體驗323 HYPERLINK l _bookmark141 視頻會議優(yōu)化，零距離協(xié)同辦公323 HYPERLINK l _bookmark142 智能帶寬保障323 HYPERLINK l _bookmark143 丟包補償（UDP 代理+FEC 前向校驗）324 HYPERLINK l _bookmark144 業(yè)務數(shù)據(jù)壓縮325 HYPERLINK l _bookmark145 SD-WAN 廣域網優(yōu)化其他亮點技術326 HYPERLINK l

19、 _bookmark146 移動客戶端的廣域網優(yōu)化326 HYPERLINK l _bookmark147 多線路復用327 HYPERLINK l _bookmark148 HTTP 和 FTP 文件預取功能327 HYPERLINK l _bookmark149 數(shù)據(jù)中心智能報表，幫助用戶智慧決策328 HYPERLINK l _bookmark150 策略路由329 HYPERLINK l _bookmark151 SD-WAN 廣域網優(yōu)化能為您解決的問題329 HYPERLINK l _bookmark152 服務配置說明331 HYPERLINK l _bookmark153 應用設

20、置332 HYPERLINK l _bookmark154 流緩存設置339 HYPERLINK l _bookmark155 視頻優(yōu)化設置339 HYPERLINK l _bookmark156 7.14.4. 服務端340 HYPERLINK l _bookmark157 7.14.5. 客戶端346 HYPERLINK l _bookmark158 數(shù)字證書352 HYPERLINK l _bookmark159 高級設置359 HYPERLINK l _bookmark160 LDAP 服務器362 HYPERLINK l _bookmark161 高級設置364 HYPERLINK

21、l _bookmark162 第 8 章 灰白盒化交付369 HYPERLINK l _bookmark163 產品介紹369 HYPERLINK l _bookmark164 集中可視可控運營管理371 HYPERLINK l _bookmark165 第 9 章 虛擬化 SD-WAN377 HYPERLINK l _bookmark166 性能部署要求377 HYPERLINK l _bookmark167 場景描述377 HYPERLINK l _bookmark168 性能相關要求377 HYPERLINK l _bookmark169 檢測性能參數(shù)377 HYPERLINK l _b

22、ookmark170 場景拓撲378 HYPERLINK l _bookmark171 前期準備378 HYPERLINK l _bookmark172 共享鏡像378 HYPERLINK l _bookmark173 部署操作378 HYPERLINK l _bookmark174 9.3.1. 云部署378 HYPERLINK l _bookmark175 WOC 基礎配置398 HYPERLINK l _bookmark176 VPN 配置402 HYPERLINK l _bookmark177 配置引流策略405 HYPERLINK l _bookmark178 驗證 VPN 業(yè)務40

23、5 HYPERLINK l _bookmark179 業(yè)務配置406 HYPERLINK l _bookmark180 加速配置406 HYPERLINK l _bookmark181 流量管理406 HYPERLINK l _bookmark182 SDWAN 智能選路406 HYPERLINK l _bookmark183 9.5. FAQ407 HYPERLINK l _bookmark184 第 10 章 SDWAN 管控平臺使用說明408 HYPERLINK l _bookmark185 平臺性能參數(shù)408 HYPERLINK l _bookmark186 首頁地圖408 HYPER

24、LINK l _bookmark187 智能監(jiān)控410 HYPERLINK l _bookmark188 智能告警410 HYPERLINK l _bookmark189 設備配置管理411 HYPERLINK l _bookmark190 Restful API412 HYPERLINK l _bookmark191 協(xié)議規(guī)范說明412 HYPERLINK l _bookmark192 用戶管理接口格式413 HYPERLINK l _bookmark193 設備管理接口格式414 HYPERLINK l _bookmark194 虛擬網元管理網絡編排接口格式414 HYPERLINK l

25、_bookmark195 設備功能調用接口格式415 HYPERLINK l _bookmark196 平臺管理接口格式415 HYPERLINK l _bookmark197 數(shù)據(jù)分析輸出接口格式415 HYPERLINK l _bookmark198 第 11 章 數(shù)據(jù)中心的使用417 HYPERLINK l _bookmark199 11.1. 首頁417 HYPERLINK l _bookmark200 流量分析418 HYPERLINK l _bookmark201 流量排名418 HYPERLINK l _bookmark202 帶寬分布421 HYPERLINK l _bookm

26、ark203 帶寬優(yōu)化423 HYPERLINK l _bookmark204 11.4. 報表425 HYPERLINK l _bookmark205 11.5. 日志430 HYPERLINK l _bookmark206 管理日志430 HYPERLINK l _bookmark207 防火墻日志431 HYPERLINK l _bookmark208 系統(tǒng)設置433 HYPERLINK l _bookmark209 數(shù)據(jù)庫清理433 HYPERLINK l _bookmark210 11.6.2. 設置434 HYPERLINK l _bookmark211 11.6.3. 子網435

27、 HYPERLINK l _bookmark212 第 12 章 案例集438 HYPERLINK l _bookmark213 雙單臂模式部署配置案例438 HYPERLINK l _bookmark214 VLAN 環(huán)境下的單網橋部署配置案例439 HYPERLINK l _bookmark215 網橋 VPN 部署配置案例442 HYPERLINK l _bookmark216 網橋多線路部署配置案例443 HYPERLINK l _bookmark217 WCCP 的應用場景及配置案例445 HYPERLINK l _bookmark218 MAC 跟蹤的應用場景及配置案例447 HY

28、PERLINK l _bookmark219 加速本地子網和靜態(tài)路由的配置案例450 HYPERLINK l _bookmark220 網關 VPN 模式 EoIP 部署案例452 HYPERLINK l _bookmark221 添加加速用戶的案例460 HYPERLINK l _bookmark222 Sangfor VPN 的配置案例462 HYPERLINK l _bookmark223 隧道內 NAT 案例462 HYPERLINK l _bookmark224 移動 PDLAN 用戶接入 WOC 設備的案例466 HYPERLINK l _bookmark225 VPN 內網權限的

29、設置案例472 HYPERLINK l _bookmark226 VPN 多線路配置案例476 HYPERLINK l _bookmark227 移動用戶使用 LDAP 認證接入案例481 HYPERLINK l _bookmark228 VPN 多子網配置案例484 HYPERLINK l _bookmark229 通過隧道間路由實現(xiàn)分支間互訪的案例487 HYPERLINK l _bookmark230 通過目的路由用戶上網的配置案例489 HYPERLINK l _bookmark231 和 CISCO PIX 標準 IPSEC VPN 互連的案例492 HYPERLINK l _boo

30、kmark232 WOC 加速互連的案例500 HYPERLINK l _bookmark233 為分支 WOC 設備創(chuàng)建用戶并關聯(lián)策略的案例500 HYPERLINK l _bookmark234 加速 HTTP 或 HTTPS 訪問的 Oracle EBS 案例501 HYPERLINK l _bookmark235 加速訪問 Citrix 服務器的案例504 HYPERLINK l _bookmark236 加速訪問 RDP 服務器的案例507 HYPERLINK l _bookmark237 跟總部建立加速連接的配置案例510 HYPERLINK l _bookmark238 加速 O

31、utlook Anywhere 訪問 Exchange 服務器的案例511 HYPERLINK l _bookmark239 使用透明傳輸模式的案例516 HYPERLINK l _bookmark240 使用反向加速建立雙向加速連接的案例517 HYPERLINK l _bookmark241 對 FTP 服務器的預取案例524 HYPERLINK l _bookmark242 通過排除規(guī)則對指定網段進行加速的案例525 HYPERLINK l _bookmark243 UDP 優(yōu)化配置案例527 HYPERLINK l _bookmark244 委派的配置案例532 HYPERLINK l

32、 _bookmark245 策略路由配置案例540 HYPERLINK l _bookmark246 綜合案例546 HYPERLINK l _bookmark247 客戶環(huán)境與需求546 HYPERLINK l _bookmark248 配置思路546 HYPERLINK l _bookmark249 總部 WOC 設備配置步驟547 HYPERLINK l _bookmark250 分支 WOC 設備配置步驟553 HYPERLINK l _bookmark251 附錄 A：SANGFOR 設備升級系統(tǒng)的使用556 HYPERLINK l _bookmark252 附錄 B：通過 USB

33、口恢復默認配置559 HYPERLINK l _bookmark253 功能 1：使用 U 盤查看網口配置559 HYPERLINK l _bookmark254 功能 2：使用 U 盤恢復控制臺密碼559 HYPERLINK l _bookmark255 注意事項560前言手冊內容第 1 部分 SANGFOR SDWAN 產品介紹和安裝。該部分主要介紹 SDWAN 的外觀特點、配置方式以及連接前的準備和注意事項。第 2 部分 SANGFOR SDWAN 的部署。該部分主要介紹 SDWAN 設備的各種部署方式。第 3 部分 SANGFOR SDWAN 設備控制臺的使用。該部分主要介紹 SDWA

34、N 設備控制臺界面的使用及功能說明。第 4 部分 SANGFOR SDWAN 數(shù)據(jù)中心的使用。該部分主要介紹 SDWAN 設備內置數(shù)據(jù)中心的使用及功能說明。第 5 部分 案例集。該部分主要是一些 SDWAN 的典型案例及其配置方式。附錄 A 升級系統(tǒng)的使用。附錄 B 通過 USB 恢復默認配置。本手冊以深信服 SDWAN-1000-D400 型號為例進行配置。不同型號產品硬件規(guī)格存在一定差異，但功能及配置方式沒有區(qū)別。本書約定1、圖形界面格式約定文字描述代替符號舉例按鈕邊框+陰影+底紋“確定”按鈕可簡化為確定菜單項 菜單項“系統(tǒng)設置”可簡化為系統(tǒng)設置連續(xù)選擇菜單項及子菜單項選擇系統(tǒng)設置接口配置

35、下拉框、單選框、復選框選項 復選框選項“啟用用戶”可簡化為啟用用戶窗口名【 】如點擊彈出【新增用戶】窗口提示信息“ ”如提示框中顯示“保存配置成功，配置已修改,需要重啟服務才能生效，是否立即重啟該服務?”2、CLI 約定當出現(xiàn)命令行界面(CLI)命令的語法時，使用以下約定：在中括號 中的任何內容都是可選的。在大括號 中的任何內容都是必需的。如果選項不止一個，則使用管道( | )分隔每個選項。例如：ip wccp 60 redirect in | out CLI 命令以加粗方式出現(xiàn)。例如：configure terminal變量以斜體方式出現(xiàn)。例如： interface e0/13、標志約定本書

36、還采用各種醒目標志來表示在操作過程中應該特別注意的地方，這些標志的意義如下：小心、注意：提醒操作中應注意的事項，不當?shù)牟僮骺赡軙е略O置無法生效、數(shù)據(jù) 丟失或者設備損壞。警告：該標志后的注釋需給予格外的關注，不當?shù)牟僮骺赡軙o人身造成傷害。說明、提示、竅門：對操作內容的描述進行必要的補充和說明。第 1 章 SDWAN 的安裝本部分主要介紹了 SANGFOR SDWAN 系列產品的硬件安裝。硬件安裝正確之后，您才可以進行配置和調試。環(huán)境要求SDWAN 設備可在如下的環(huán)境下使用： 工作電壓：應能夠工作在 100240V/47-63Hz 環(huán)境溫度：-555 攝氏度 相對濕度：5%95%RH（非凝結）

37、 抗雷擊：應符合YD/T993-2006電信終端設備防雷技術要求及試驗方法標準要求。為保證系統(tǒng)能長期穩(wěn)定地運行，應保證電源有良好的接地措施、防塵措施，保持使用環(huán) 境的空氣通暢和室溫穩(wěn)定。本產品符合關于環(huán)境保護方面的設計要求，產品的安放、使用和 報廢應遵照相關法律、法規(guī)要求進行。電源SANGFOR SDWAN 系列產品使用交流 120V 到 240V 電源。在您接通電源之前，請保證您的電源有良好的接地措施。SDWAN 設備需工作在穩(wěn)定電壓情況下，當電壓波動頻率較大時需額外添加穩(wěn)壓器。產品形態(tài)深信服 SD-WAN 產品形態(tài)分為物理網元和虛擬化網元兩種形態(tài)。物理網元支持基于機框插槽式硬件路由器平臺設

38、備。虛擬化網元應支持基于虛擬機的云化部署方式，并可基于容 器的部署方式。SD-WAN-MIG 一體化網關設備正面板圖產品外觀以實物為準，圖片僅供參考。SD-WAN-WOC設備正面板圖產品外觀以實物為準，圖片僅供參考。SDWAN 虛擬網元16虛擬網元云化部署管控平臺X-Central管理平臺云化部署產品外觀以實物為準，圖片僅供參考。硬件性能參數(shù)常用局端網元和平臺參數(shù)：配置與管理在配置網關之前，您需要配備一臺電腦，配置之前請確定該電腦的網頁瀏覽器（只支持IE 內核的瀏覽器，比如 Internet Explorer、Maxthon 等，Opera、Firefox、Safari、Chrome 等瀏覽器

39、無法正常配置）能正常使用，然后把電腦與 SANGFOR SDWAN 設備 LAN 口連接在同一個局域網內，通過網絡對設備進行配置。設備接線方式請依據(jù)不同設備型號，使用標準的 RJ-45 以太網線或光纖將 LAN 口與內部局域網連接， 對 SDWAN 設備進行配置。請依據(jù)不同設備型號，使用標準的 RJ-45 以太網線或光纖將 WAN1 口與 Internet 接入設備相連接，如路由器、光纖收發(fā)器或 ADSL Modem 等。請依據(jù)不同設備型號，使用標準 RJ-45 以太網線或光纖將 DMZ 口與 DMZ 區(qū)的網絡連接，一般而言，DMZ 區(qū)放置對外提供服務的 WEB 服務器、EMAIL 服務器等。

40、SDWAN 可以為這些服務器提供安全保護。WAN 口連接路由器應使用交叉線；LAN 口連接交換機應使用直連線、直接連接電腦網口應使用交叉線。當指示燈顯示正常，但不能正常連接的時候，請檢查連接線是否使用 錯誤。直連網線與交叉網線的區(qū)別在于網線兩端的線序不同，如下圖:設備開機方式在設備背板連接電源線，依據(jù)不同型號，SDWAN 設備使用不同的開機方式。部分設備使用的是彈性開關，此開關按下之后會自動彈回，使用此開關的設備開機時需 要先按住開關幾秒鐘，待設備正常通電之后再松開即可。部分低端設備無開關按鍵，直接連接電源線即可。打開電源開關后，此時前面板 Power 燈(綠色，電源指示燈)和 Alarm 燈

41、(紅色，告警燈) 會點亮，大約 1-2 分鐘后 Alarm 燈熄滅，說明設備正常工作。SDWAN 正常工作時 ALARM 燈不亮，WAN 口和 LAN 口 LINK 燈長亮，ACT 燈在有數(shù)據(jù)流量時會不停閃爍。ALARM 紅色指示燈只在設備啟動時因系統(tǒng)加載會長亮（約一分鐘），正常工作時熄滅。如果在安裝時此紅燈長亮，請將設備斷電重啟，重啟之后若紅燈一直長亮不能熄滅，請與我們聯(lián)系。第 2 章 SDWAN 組網方式根據(jù)用戶使用環(huán)境的不同，SDWAN 設備支持以下三種組網方式。hub-spoken 組網SDWAN Hub-spoken 組網：full mesh 組網SDWAN full mesh 組網

42、：partial mesh 組網SDWAN partial mesh 組網：第 3 章 SDWAN 的部署根據(jù)用戶使用環(huán)境的不同，SDWAN 設備支持以下七種部署模式：網關模式、網橋模式、網橋 VPN 模式、網橋多線路模式、雙網橋模式、單臂模式和雙單臂模式。網關模式部署SDWAN 設備網關模式部署，示例拓撲如下：配置步驟：第一步：配置設備 WAN、LAN 接口 IP 地址、DNS 地址以及安全防護能力規(guī)則。第二步：配置 VPN。第三步：配置廣域網優(yōu)化。網橋模式部署SDWAN 設備網橋模式部署，主要在 Internet 或者專線環(huán)境下，不想改變原有網絡結構時部署，示例拓撲如下：配置步驟：第一步：

43、在系統(tǒng)部署設置網絡接口里選擇部署方式為只啟用廣域網優(yōu) 化的網橋模式。第二步：配置邏輯接口 IP 地址、網關 IP 地址、管理 IP 地址以及 DNS 地址。第三步：配置廣域網優(yōu)化。網橋模式下，連接雙方必須已經通過其他 VPN 設備建立好了 VPN 連接或者通過專線連接，且保證 2 個廣域網優(yōu)化設備互相能正常訪問。網橋 VPN 模式部署SDWAN 設備網橋 VPN 模式部署，主要用于 Internet 或者專線環(huán)境下，網橋模式時還需要對數(shù)據(jù)進行加密傳輸，示例拓撲如下：配置步驟：第一步：在系統(tǒng)部署設置網絡接口里選擇部署方式為啟用 VPN 和廣域網優(yōu)化的網橋模式。第二步：配置邏輯接口 IP 地址、網

44、關 IP 地址、管理 IP 地址以及 DNS 地址。第三步：配置 SANGFOR VPN。第四步：配置廣域網優(yōu)化。網橋多線路模式部署SDWAN 設備網橋線路備份模式部署，主要用于專線環(huán)境網橋模式下，需要通過另外一個 WAN 口連接 Internet 來建立 SANGFOR VPN 備份鏈路，當網橋線路故障時能自動切換到VPN 線路進行數(shù)據(jù)傳輸，示例拓撲如下：配置步驟：第一步：在系統(tǒng)部署設置網絡接口里選擇部署方式為啟用 VPN 和廣域網優(yōu)化的網橋多線路模式。第二步：配置邏輯接口 IP 地址、網關 IP 地址、VPN 備份接口信息、管理 IP 地址以及DNS 地址。第三步：配置 SANGFOR V

45、PN。第四步：配置廣域網優(yōu)化。雙網橋模式部署SDWAN 設備雙網橋模式部署，主要在內網有雙路由或者雙交換情況下，示例拓撲如下：配置步驟：第一步：在系統(tǒng)部署設置網絡接口里選擇部署方式為只啟用廣域網優(yōu) 化的雙網橋模式。第二步：分別配置 Br0 和 Br1 的接口 IP 地址、外網網關 IP 地址、內網網關 IP 地址、工作 IP 地址以及 DNS。第三步：配置廣域網優(yōu)化。雙網橋模式下，連接雙方必須已經通過其他 VPN 設備建立好了 VPN 連接或者通過專線連接，且保證 2 個廣域網優(yōu)化設備能正?；ハ嘣L問。注意：雙網橋模式下，VPN 功能無效，所以必須切換到純廣域網優(yōu)化狀態(tài)才能啟用雙網橋模式。單臂模

46、式的部署在只啟用廣域網優(yōu)化模式和啟用VPN 和廣域網優(yōu)化模式下均可以選擇單臂模式部署，同時根據(jù)用戶需求及環(huán)境的不同又可分為Internet 環(huán)境下單臂模式部署和專線環(huán)境下單臂模式部署兩種。兩種環(huán)境下的配置稍有不同，下面分別介紹它們的拓撲及配置步驟。在 Internet 環(huán)境 SDWAN 設備單臂模式部署，示例拓撲如下：配置步驟：第一步：在系統(tǒng)部署設置網絡接口里選擇部署方式為啟用 VPN 和廣域網優(yōu)化的單臂模式。第二步：配置 LAN 接口 IP 地址、網關 IP 地址及 DNS 地址。第三步：配置 SANGFOR VPN。第四步：配置廣域網優(yōu)化。第五步：將內網其他電腦網關指向 SDWAN 設備

47、LAN 接口，或者在前置交換機/路由器上配置靜態(tài)路由，將去往對端內網的數(shù)據(jù)轉發(fā)給 SANGFOR SDWAN 設備。在專線環(huán)境下 SDWAN 設備單臂模式部署，示例拓撲如下：配置步驟：第一步：在系統(tǒng)部署設置網絡接口里選擇部署方式為只啟用廣域網優(yōu) 化的單臂模式。第二步：配置 LAN 接口 IP 地址、網關 IP 地址及 DNS 地址。第三步：配置廣域網優(yōu)化。第四步：將內網其他電腦網關指向 SDWAN 設備 LAN 接口，或者在前置交換機/路由器上啟用策略路由或者 WCCP 功能。1、專線環(huán)境下單臂部署廣域網優(yōu)化設備可以采用如下四種方式來避免形成路由環(huán)路：二層環(huán)境下將內網 PC 網關指向廣域網優(yōu)化

48、設備；二層環(huán)境下在內網每臺 PC 上都添加去往對端的路由指向單臂設備；與 SDWAN 相連接設備（交換機/路由器/安全防護能力）啟用策略路由（PBR）+CDP；與 SDWAN 相連接設備（交換機/路由器/安全防護能力）啟用 WCCP/NQA 功能。雙單臂模式部署SDWAN 設備雙單臂模式部署，用來在內網有雙路由雙交換環(huán)境又不想改變網絡結構的情況下使用，示例拓撲如下：配置步驟：第一步：在系統(tǒng)部署設置網絡接口里選擇部署方式為只啟用廣域網優(yōu) 化的雙單臂模式。第二步：配置好 arm1 和 arm2 的接口 IP 地址、掩碼、默認網關、工作 IP 地址及 DNS。第三步：配置廣域網優(yōu)化。1、總部端為雙單

49、臂部署的情況下，分支端必須勾選“客戶端網關先抓取連接”選項。2、雙單臂模式下，VPN 功能無效，所以必須切換到只啟用廣域網優(yōu)化狀態(tài)才能啟用雙單臂模式。3、與雙單臂 SDWAN 相連接設備（交換機/路由器/安全防護能力）啟用策略路由（PBR）+CDP/WCCP/NQA 功能。第 4 章 SD-WAN 易部署和應用選路分支郵件易部署深信服 SD-WAN 易部署采用了郵件開局方式，支持在總部端提前配置好分支基礎網絡、總部接入等信息，將配置加密存儲在 URL 鏈接中發(fā)送給分支管理員。通過分支管理員手動點擊該鏈接，配置將自動完成，實施的分支管理員即使沒有任何 IT 經驗，也可在郵件內容的指導下輕松完成上

50、架部署。總部對分支設備進行預配置通過以上預配置，可自動生成包含配置向導、易部署郵件 URL 的郵件，基本 URL鏈接形式如下：深信服 SD-WAN 易部署郵件鏈接鏈接內容采用 AES 加密，保證了良好的安全性，且 URL 鏈接僅在分支端從未初始化或 admin 管理員密碼正確時才會生效。分支設備在接入控制平臺，可自動從控制平臺端獲取其他策略、AutoVPN 等配置，完成整個設備的部署上架。即通過易部署郵件只需要完成設備接入控制平臺的最簡配置，其他配置項則在接入完成后再次自動獲取，避免了易部署郵 件鏈接過于復雜。AutoVPNAutoVPN 基于 BBC 對總部與分支設備的配置下發(fā)實現(xiàn)分支與總部

51、的 VPN 自動連接組網，目前僅支持 sangfor VPN（因標準 SD-WAN VPN 配置復雜，而 sangfor VPN 經過大量優(yōu)化，配置簡單）。其實現(xiàn)步驟如下：BBC 端創(chuàng)建 VPN 拓撲，完成總部與分支的各項配置?？偛颗c分支設備分別接入 BBC，并從 BBC 端獲取 VPN 配置。（首次接入將會上報本地的 VPN 配置到 BBC 端，并在 BBC 端完成配置合并后再下發(fā)）總部與分支設備根據(jù) BBC 端下發(fā)的配置完成 VPN 組網。BBC 端根據(jù) VPN 拓撲配置自動繪制 VPN 拓撲圖形界面，并根據(jù)總部、分支上報的 VPN 狀態(tài)顯示整網的 VPN 拓撲實時信息匯總。以上方案能極大

52、降低配置交互的復雜性，并能良好兼容老 VPN 客戶升級和接入到 BBC， 實現(xiàn) AutoVPN 的統(tǒng)一配置管理。SD-WAN 應用選路深信服 SD-WAN 應用選路和流控是核心功能之一，能實現(xiàn)帶寬的最大化利用，以及在不增加帶寬成本的同時提升應用傳輸質量。指定線路最核心的應用一般會期望能在質量最好的線路上進行傳輸（例如對體驗性要求高的視頻 會議默認跑在 MPLS 線路上）。因此指定線路功能就是指定應用（服務）優(yōu)先轉發(fā)的分支線路，同時能調整指定線路的優(yōu)先級順序。在進行數(shù) 據(jù)轉發(fā)時，優(yōu)先使用排序靠前的線路進行轉發(fā)，當前面線路故障時，切換到下一順位的線路轉發(fā)數(shù)據(jù)。使用選定的線路進行數(shù)據(jù)包轉發(fā)時，會優(yōu)先

53、選擇對端相同的運營商線路作為接收端，如 果沒有 在 BBC 中配置運營商信息，則默認選擇相同編號的線路作為接收端。當選定的線路都故障時，從未選中運營商線路和跨運營商線路中按照高質量選路方法選擇 一條最優(yōu)線路進行數(shù)據(jù)轉發(fā)。高質量選路選路在多線路負載場景，還可以選擇“優(yōu)先使用質量最好線路”的負載模式，此時進行數(shù)據(jù)包轉發(fā) 時，會根據(jù)各個線路的實時質量狀況（丟包、延時、抖動），選擇最優(yōu)的可轉發(fā)線路進行 數(shù)據(jù)轉發(fā)。根據(jù)實時的線路質量狀況，可以把不同的質量狀況做一個轉換，轉換成同一標準， 此時就可以對不同線路進行質量排序（權值越小，質量越優(yōu)）。權值算法為：權值 = 抖動（ms） * x + 丟包率 * y

54、 + 延時（ms）高質量選路除了考慮線路權值之外，同時也將線路對當前服務優(yōu)先級的剩余帶寬作為選路依據(jù)，當線路無法承載當前優(yōu)先級的應用時，該線路不會被選中。因此高質量選路會 選擇對當前服務優(yōu)先級有可用帶寬，同時權值最小的線路作為轉發(fā)線路。另外，當選定線路 都無法承載當前服務優(yōu)先級的數(shù)據(jù)時，會從未選中運營商和跨運營商線路中選 擇質量最優(yōu)線路對該連接進行數(shù)據(jù)轉發(fā)。通過多重選擇來保證被選中的傳輸線路質量穩(wěn)定可靠。按剩余帶寬負載按剩余帶寬負載可以更公平的使用所有外網線路。當連接建立時，獲取所有選定線 路對于當前應用的可用帶寬大小，再生成一個小于總可用 帶寬大小的隨機數(shù)，判斷該隨機數(shù)落在哪條線路區(qū)間，確定

55、從哪條線路進行發(fā)包。例如：線路 1 剩余 1M 帶寬，線路 2 剩余 1M 帶寬，線路 3 剩余 2M 帶寬，此時生成一個 4M 以內的隨機數(shù)，如果隨機數(shù)小于 1M，此時選擇線路 1 進行發(fā)包，如果隨機數(shù)大于 1M 小于 2M，此時從線路 2 進行發(fā)包，其他的選擇線路 3 進行發(fā)包，通過隨機分配的發(fā)包比例為測試最優(yōu)值。同高質量選路一樣，當選定的線路無法承載當前服務優(yōu)先級流量時，該線路不會被 選中。 當所有選定的線路都無法承載當前服務優(yōu)先級流量時，將從未選中運營商線路和跨運營商線路中按照高質量選路方法選擇一條線路進行數(shù)據(jù)包轉發(fā)。通過以上邏輯，每次選路都會按照當前剩余帶寬來計算和分配，帶寬利用比例

56、均衡。 而且還會考慮帶寬質量，選路質量穩(wěn)定可靠。帶寬疊加當客戶期望最大化利用現(xiàn)有所有線路帶寬時，可以選擇帶寬疊加負載模式，將一條連接的流量負載到多條線路中，達到單連接的最大帶寬利用率。此時客戶需配置可用于負載的線路的質量閾值，只有在閾值內的線路才可以做為負 載線路 。如果沒有線路符合條件時，會從未選中運營商和跨運營商線路中選擇質量最優(yōu)線路對該 連接進行數(shù)據(jù)轉發(fā)。包負載當前有兩種負載模式，當設置了片段長度時，每線路發(fā)送一個片段后會切換 到下一 線路進行數(shù)據(jù)轉發(fā)。當沒有設置片段長度時，每線路會發(fā)送到該線路開始擁塞后才切換到 下一條線路進行數(shù)據(jù)轉發(fā)。當所有線路都擁塞時，不管是否設置片段長度，此時都會

57、將數(shù) 據(jù)包分配到最不擁塞的線路上，減少丟包的數(shù)量。線路質量探測原理與淘汰機制常見網絡傳輸質量指標如下：丟包率統(tǒng)計通過向分支與總部數(shù)據(jù)流插入序號來檢測丟包率，為了降低傳輸過程中數(shù)據(jù)包亂序對序 號的影響，這個序號的插入帶一定的時間間隔：圖：丟包率探測原理傳輸時延VPN 通過向數(shù)據(jù)流插入時間信息來探測時延，由于是被動探測（VPN 不發(fā)額外的數(shù)據(jù)包來探測），探測過程被分為兩步：分支向總部發(fā)送探測開始標記，且記錄當前時間 T0?？偛渴盏介_始標記，記錄當前時間 T1（僅記錄，無法回復數(shù)據(jù)包）。由總部-分支數(shù)據(jù)包觸發(fā)，當前發(fā)包時間 T2，總部將 T3 = T2 - T1 的值插入至數(shù)據(jù)包中，隨數(shù)據(jù)包發(fā)送到分

58、支。分支收到數(shù)據(jù)包，當前時間 T4 - T0 - T3 即為數(shù)據(jù)包時延。傳輸抖動抖動表示傳輸穩(wěn)定性，是線路質量的一個重要衡量標準，統(tǒng)計方法是根據(jù)最近 8 次探測到的結果計算方差得來，結果變化越小，說明網絡傳輸越穩(wěn)定。線路淘汰通過前述線路質量探測機制，當線路故障或不符合設定條件時，該線路會暫時從備選線路中淘汰。五分鐘內當前線路發(fā) 生故障時，只會從備選線路中選擇一條合適線路進行轉發(fā)， 只有超過五分鐘后，被淘汰的線路才會被重新加入備選線路，并被再次選中。第 5 章 SDWAN 終端設備ssh 登錄此種登錄方式，現(xiàn)場的網絡管理員需要準備一根網線和登錄的管理工具（CRT）。具體操作步驟如下：ssh 連接

59、終端 IP，輸入默認用戶名和密碼。用戶名：admin ， 密碼：admin實現(xiàn)登錄。登錄 WebUI 配置界面按照前面所示方法接好線后，通過 Web 界面來配置 SANGFOR SDWAN 廣域網優(yōu)化設備。方法如下：首先為 PC 機配置一個 10.254.254.X 網段的 IP（如配置 00），掩碼配置為 ，然后在 IE 瀏覽器中輸入 SDWAN 設備的默認登錄 IP（https 方式），默認的登錄地址為：54，如下圖：在登錄框輸入用戶名和密碼，點擊登錄按鈕即可登錄到 SDWAN 設備進行配置，默認情況下的用戶名和密碼均為：“admin”（不包含引號）。如果需要查看當前設備的版本號，可點擊查

60、看版本，即顯示當前硬件的版本信息。注意：IE8、IE9 請以兼容模式打開此頁面，否則某些情況下可能會出現(xiàn)頁面顯示不正常，如顯示不出用戶名和密碼輸入框等。狀態(tài)狀態(tài)包括了廣域網優(yōu)化狀態(tài)、流量監(jiān)控、遠程應用狀態(tài)、VPN 狀態(tài)、DHCP 狀態(tài)、設備運行狀態(tài)、EoIP 狀態(tài)以及SC 運行狀態(tài)（需打對應 SC 補丁包，否則不會顯示該狀態(tài)）七部分，如下圖：廣域網優(yōu)化狀態(tài)廣域網優(yōu)化狀態(tài)包括廣域網優(yōu)化狀態(tài)、廣域網優(yōu)化連接以及應用連接三 個標簽頁，如下圖：廣域網優(yōu)化狀態(tài)廣域網優(yōu)化狀態(tài)用來查看 SDWAN 設備當前的流量削減率、CPU 利用率、內存利用率、系統(tǒng)運行時間、磁盤利用率等參數(shù)，在下面的分欄頁中還可以分別查