Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为 SD-WAN 部署添加云分支站点

云分支表示在 Amazon Web Services (AWS) 虚拟私有云 (VPC) 中运行瞻博网络 vSRX 虚拟防火墙映像的自动化端点(虚拟机 (VM) 或 EC2 实例)。云分支站点使用叠加连接连接到中心站点。从 “站点 ”页面创建云辐射站点。本主题介绍如何为租户添加云辐射站点。

注意:

  • 只能在中心辐射型拓扑中添加云辐射站点。

  • 为确保仅创建中心辐射型拓扑,建议在添加租户时禁用 DVPN 配置。

  • 不能在全网状拓扑中添加云辐射站点。

  • 只有具有 SD-WAN 高级服务级别的租户才能创建云辐射站点。

要添加云辐射站点,请执行以下操作:

  1. 选择 “资源”>“网站管理”。

    此时将显示“站点”页面。

  2. 单击 添加 并选择 云辐射

    此时将显示“ 添加云分支站点 ”页面。

  3. 根据 表 1 中提供的指南完成配置设置。
    注意:

    标有星号 (*) 的字段为必填项。
  4. 查看配置,并根据需要从 摘要 选项卡修改设置。
  5. 单击 “确定”。

    新添加的云辐射站点将显示在 “站点 ”页面上。

表 1:添加云分支站点页面上的字段

描述
常规

网站信息

站点名称

输入站点的唯一名称。输入字母数字字符和特殊字符 (-) 的唯一字符串。最大长度为 32 个字符。

示例:AWS 云辐射型

设备主机名

设备主机名是自动生成的,其格式 tenant-name.host-name为 。您无法更改 tenant-name 设备主机名中的部分。使用字母数字字符和连字符 (-);允许的最大长度为 32 个字符。

站点组

(可选)选择要向其分配网站的网站组。

示例:云辐射

站点功能
注意:

只有具有 SD-WAN 高级服务级别的租户才能创建云辐射站点。

系统会自动选择安全 SD-WAN 高级选项。

地址和联系信息

街道地址

输入站点的街道地址。

城市

输入站点所在城市的名称。

省/市/自治区

选择站点所在的州或省。

邮政编码

输入站点的邮政编码。

国家

选择站点所在的国家/地区。

您可以单击 “验证 ”按钮来验证您指定的地址:

  • 如果可以验证地址,则会显示 “站点地址验证成功 ”消息。您可以单击 在地图上查看位置 链接以查看地址位置。

  • 如果无法验证地址,则会显示“ 无法验证站点地址 ”消息。

联系人姓名

输入站点联系人的姓名。

电子邮件

输入站点联系人的电子邮件地址。

电话

输入站点联系人的电话号码。

高级配置

  

域名服务器 (DNS)

输入 DNS 服务器的一个或多个 IPv4 地址。若要输入多个 DNS 服务器地址,请键入地址,按 Enter,然后键入下一个地址,依此类推。DNS 服务器用于将主机名解析为 IP 地址。

NTP 服务器

输入一个或多个 NTP 服务器的完全限定域名 (FQDN) 或 IP 地址。示例:ntp.example.net 站点必须具有 DNS 可访问性才能在站点配置期间解析 FQDN。

选择时区

选择站点的时区。

单击 下一步 继续。
装置  

激活码

如果禁用了设备的自动激活,请输入激活码以手动激活设备。激活码由添加站点的管理员提供。

设备 root 密码

默认 root 密码从设备模板的 ENC_ROOT_PASSWORD 字段中获取。您可以保留密码,也可以通过输入纯文本格式的密码来更改密码。密码已加密并存储在设备上。

管理接口系列

选择 IPv4 或 IPv6。

设备模板

单击设备模板以选择 WAN 连接计划。

设备模板包含设备系列、支持的 SD-WAN 功能列表和支持的链接数等信息。

注意:

作为 AWS 模板中 SD-WAN 分支的 vSRX 虚拟防火墙支持 AWS VPC 的云分支站点。

集线器配置

主要提供商中心

选择分支站点必须连接到的中心站点。

二级提供商中心

选择辅助中心站点。

云信息

地区

选择站点所属的区域。CSO 中的区域将映射到 AWS 账户中的区域。

示例:俄亥俄州

专有网络编号

输入 AWS 账户中的 VPC ID。

要获取 VPC ID,请执行以下操作:

  1. 登录到您的 AWS 账户。

  2. 搜索 VPC 服务。

  3. 单击 VPC 控制面板。

  4. 选择一个专有网络 ID。

确保 VPC 已连接到互联网网关。

要检查是否已连接 VPC,请执行以下操作:

  1. 登录到您的 AWS 账户。

  2. 搜索 VPC 服务。

  3. 单击互联网网关仪表板。

  4. 检查VPC状态是否 挂载

示例:vpc-6d810314

管理子网

指定 CSO 是必须创建新子网还是必须使用 AWS 账户中的现有子网。vSRX 虚拟防火墙的管理子网用于推送初始第 1 阶段配置。以下选项可用:

  • 使用 AWS 账户中的现有子网

  • 新建

IP 前缀

输入管理 IP 前缀。子网中的前四个 IP 地址由 AWS 保留。例如,IP 地址 x.x.x.0/x 到 x.x.x.3/x 始终由 AWS 保留。因此,请提供保留的 IP 地址前缀以外的 IP 地址前缀。

示例:105.0.1.5/24

WAN 链路

WAN_0 (ge-0/0/0)

WAN_1 (ge-0/0/1)

选中复选框以配置 WAN 链接。每个站点最多可以配置两个支持 SD-WAN 的 WAN 链路。

链路类型

显示 WAN 底层网络的连接类型。仅支持互联网链接。

出口带宽

输入特定 WAN 链路允许的最大带宽(以 Mbps 为单位)。

地址分配方法

选择为 WAN 链路分配 IP 地址的方法:DHCP 或静态。

  • 如果选择 DHCP,则使用 WAN 链路服务提供商的 DHCP 服务器提供 IP 地址。

  • 如果选择静态,则必须提供 WAN 链路的 IP 地址前缀和网关地址。

静态 IP 前缀

如果将地址分配方法配置为静态,请输入子网中 WAN 链路的专用 IPv4 地址。例如,如果 AWS 账户中 WAN 接口的 IPv4 CIDR 地址为 105.0.2.0/24,请输入子网中的任何 IP 地址。子网中的前四个 IP 地址由 AWS 保留。因此,请提供保留 IP 前缀以外的 IP 前缀。

示例:105.0.2.12/24

网关 IP 地址

如果将地址分配方法配置为静态,请输入 WAN 服务提供商网关的 IPv4 地址。通常,为网关 IP 地址选择子网中的第一个 IP 地址。

示例:105.0.2.1
MTU

仅适用于 IPv4 地址。

输入介质或协议的最大传输单元 (MTU) 大小。支持的 MTU 范围可能因设备、接口类型、网络拓扑和其他个别要求而异。另请参阅:MTU 默认值和最大值以及 LTE 微型物理接口模块 (LTE Mini-PIM)。

同时编辑站点上所有启用 OAM 的 WAN 链路的 MTU 值可能会导致隧道抖动。您必须确保站点至少有一个启用了 OAM 的 WAN 链路始终不会中断。例如,如果您的站点有四个 WAN 链路(包括两个支持 OAM 流量的链接),则可以同时编辑除一个启用 OAM 的链路之外的所有 WAN 链路的 MTU 值。完成编辑并保存更改后,您可以再次编辑站点并更新剩余的 WAN 链接。

注意:

如果在 WAN 链路下启用 PPPoE/PPP 选项,则 MTU 选项将显示在该链路的“PPPoE/PPP 设置”部分下。

弹性 IP

弹性 IP 地址是专为动态云计算而设计的公共静态 IPv4 地址。公有 IP 地址使用一对一 NAT 映射到私有子网 IP。您必须根据启用的 WAN 链路数量分配 IP 地址。例如,如果启用了两个 WAN 链路,则必须分配两个弹性 IP 地址。

示例:34.213.255.184

高级设置

根据连接要求,将填充以下字段:

供应商

输入服务提供商 (SP) 的名称。

成本/月

以指定货币输入订阅带宽的每月成本。在带宽优化型 SD-WAN 中,此信息用于确定当多个 WAN 链路满足 SLA 配置文件参数时路由流量的成本最低的链路。

链路优先级

输入 1-255 范围内的值。值越低表示首选链接越好。值 1 表示最高优先级,值 255 表示最低优先级。如果未输入值,则链接优先级将被视为 255。

启用本地分组讨论

单击切换按钮以启用或禁用 WAN 链路上的(默认)本地分支。

  • 如果启用此选项,WAN 链路可用于本地分支。流量是否从站点本地分支的决定取决于 SD-WAN 策略意图中引用的分支配置文件。

  • 如果未在单个 CPE 连接计划的至少一个 WAN 链路上启用本地分支,而对于双 CPE 连接计划未在至少两个 WAN 链路上启用本地分支,则会禁用该站点的本地分支。

分组讨论选项

选择是要将 WAN 链路同时用于分支和 WAN 流量(默认),还是仅用于分支流量。

自动创建源 NAT 规则

如果为本地分支启用了 WAN 链路,则可以单击切换按钮在 WAN 链路上自动创建基于接口的源 NAT 规则。自动创建的源 NAT 规则是隐式定义并应用于站点的,在“NAT 策略”页面上不可见。

默认情况下,此字段处于禁用状态。

注意:

如果在站点添加工作流期间为 WAN 接口 W1 启用此选项,则会自动创建一系列 NAT 源规则。每个自动创建的 NAT 规则都是从一个区域到 WAN 接口,并带有类型转换接口。每对 [区域 - 接口] 代表一个规则集。

例如,可能会创建以下区域到 W1 接口规则集:

Zone1 --> W1: Translation=Interface
Zone2 --> W1: Translation=Interface
Zone3 --> W1: Translation=Interface

要手动覆盖其中任何规则,您可以在特定规则集中创建 NAT 规则。例如,要使用源 NAT 池而不是接口进行转换,请在此特定规则集中创建一个 NAT 规则,其中包括作为源和目标的相关区域和 WAN 接口。例如:

Zone1 --> W1 : Translation=Pool-2

手动创建的 NAT 规则的优先级高于相应的自动创建的 NAT 规则。

您还可以将其他字段(如地址、端口、协议等)添加为源终端节点或目标终端节点的一部分。例如:

Zone1, Port 56578 --> W1: Translation=Pool-2

首选分线链路

单击切换按钮以启用 WAN 链路作为首选分支链路。

如果禁用此选项,则使用 ECMP 从可用的分支链接中选择分支链接。

BGP 底层选项
注意:

仅当为 WAN 链路启用了 IPv4 地址分配(以 STATIC 作为地址分配方法)和本地分支时,才能配置此设置。

单击切换按钮以启用 BGP 底层网络路由。

启用 BGP 底层网络路由时,将播发路由到主 PE 节点,辅助 PE 节点(如果已配置),则按如下方式进行:

  • CSO 播发 WAN 接口子网。

  • 如果配置了基于池的转换,CSO 将播发 NAT 地址池。

注意:

如果为 WAN 链路启用了底层网络 BGP,则会安装从 BGP 获知的路由以进行本地分支;CSO 不会生成静态默认路由。

主要邻居

显示您为 WAN 链路网关输入的 IP 地址。

辅助邻居

如果要提供 PE 复原能力,可以配置辅助 PE 节点。

输入辅助 PE 节点的 IP 地址。

注意:

如果主 PE 节点出现故障,则辅助 PE 将用作下一跃点。当主 PE 重新启动时,路由下一跃点将更改为主 PE。

eBGP 对等 AS 编号

输入外部 (EBGP) 对等方的自治系统 (AS) 编号。

注意:

如果未配置对等 AS 编号或配置的对等 AS 编号与 CPE 站点的对等 AS 编号相同,则假定 BGP 类型为内部 BGP (IBGP)。

认证

选择要使用的 BGP 路由身份验证方法:

  • - 指示不应使用任何身份验证。这是默认设置。

  • 使用 MD5 — 指示 MD5 将用于身份验证。如果选择此选项,则必须指定身份验证密钥。

身份验证密钥

如果指定应使用 MD5 进行身份验证,请指定用于验证 BGP 数据包真实性的 MD5 身份验证密钥(密码)。

播发公共 LAN 前缀

单击切换按钮以启用公共 LAN 前缀的通告。默认情况下,此字段处于禁用状态。

如果租户配置了公共 IP 地址池,并且你启用了公共 LAN 前缀的播发,则对于使用租户公共 IP 地址池下的子网创建的 LAN 分段,CSO 会将 LAN 子网播发到 BGP 底层。

注意:

为 WAN 链路启用公共 LAN 通告后,公共 LAN 前缀将通过 BGP 底层向 MPLS 或互联网播发。如果站点在叠加层和底层中为同一 LAN 前缀安装了两个版本的路由,则叠加路由始终优先于底层。

用于 OAM 流量

如果已指定 WAN 链路已连接到集线器,请单击切换按钮以启用通过 WAN 链路发送 OAM 流量。

然后,此 WAN 链路将用于建立 OAM 隧道。

叠加隧道类型

选择网状叠加隧道类型 - GRE 和 GRE_IPSEC。

MPLS 链路可以将 GRE 和 GRE_IPSEC 作为叠加链路类型,而互联网链路只能将 GRE_IPSEC 作为叠加链路类型。

叠加对等设备

显示站点连接到的对等中枢设备。

叠加对等接口

选择站点的 WAN 链接所连接的集线器设备的接口名称。

备份链路

选择一个备份链路,当主链路不可用时,可通过该链路路由流量。不能选择默认链接作为备份链接。请注意,您无法为独占分支流量分配备份链路( 仅用于分支流量 选项)。如果为站点启用了本地分支,则当分支链路不可用时,分支流量也会通过备份链路路由。

当主链路重新联机时,CSO 会监控主链路上的性能,当主链路满足 SLA 要求时,流量将切换回主链路。但是,请注意,不会监控备份链路的 SLA 数据。

默认链接

选择必须用于路由流量的默认链路。站点可以有多个指向中心站点以及 Internet 的默认链接。

默认链路主要用于叠加流量,但也可用于本地分支流量。默认链路不能专门用于本地分支流量。默认链路是可选的,如果未选择,则通过等价多路径 (ECMP) 使用所有链路。

管理连接

  

OAM IP 前缀

为 CPE 设备上的环路接口输入 IPv4 地址前缀(例如 10.100.100.11/32)。IP 地址前缀应为 /32 IP 地址前缀,并且在整个管理网络中必须是唯一的。

注意:

我们建议您不要配置此设置(将 IP 前缀字段留空),因为管理连接由 CSO 自动处理。

用于创建隧道的 DVPN 阈值

输入在两分钟内在连接的站点之间关闭的最大会话数,在该持续时间内,将在两个站点之间创建完整网格。

默认值为 5。

例如,如果将会话数指定为 5,则当 2 分钟内两个分支站点之间关闭的会话数超过 5 时,将创建动态网状隧道。

用于删除隧道的 DVPN 阈值

输入在 15 分钟内在连接的站点之间关闭的会话数,低于此时间将在两个站点之间删除完整的网格。

默认值为 8。

例如,如果将关闭的会话数指定为 8,则当关闭的会话数小于或等于 8 时,将删除动态网格隧道。
局域网

添加至少一个 LAN 分段。

局域网分段

显示您在交换机上配置的 LAN 分段。

要添加 LAN 分段,请单击 LAN 表右上角的 + 图标。此时将显示“添加 LAN 分段”页面。参见 表 2
表 2: 添加 LAN 分段页面上的字段

描述

添加 LAN 分段

名字

输入 LAN 分段的名称。

LAN 网段的名称应是唯一的字母数字字符字符串。不允许使用空格,最大长度为 15 个字符。

部门

选择要向其分配 LAN 分段的部门。

或者,单击 创建部门 链接以创建新部门并为其分配 LAN 分段。有关详细信息,请参阅 添加部门

您可以将 LAN 网段分组为部门,以便于管理并在部门级别应用策略。

网关地址/掩码

输入 LAN 分段的有效网关 IP 地址和掩码;例如,192.0.2.8/24。

CPE 端口

单击切换按钮以在 LAN 网段中包含或排除 CPE。在 LAN 网段中包含 CPE 时:

  • 将列出可包含在 LAN 网段中的 CPE 端口。

    “可用 ”列中选择端口,然后单击向右箭头将端口移动到 “已选择 ”列。

注意:

如果 CPE 是 SRX 系列防火墙,则只能选择一个端口。

相关文档