Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

添加 SD-WAN 分支机构站点

本地分支(或分支机构)代表一个端点,如位于物理位置(如分支办事处)的客户现场设备 (CPE)。通常,这些站点使用叠加连接连接到中心站点。从 CSO 6.0.0 版开始,在 SD-WAN 部署中,使用中心连接站点是可选的。

注意:

添加 SD-WAN 分支机构站点之前,请检查电缆连接,查看 NAT 和防火墙端口和协议,并检查 SD-WAN CPE 设备的 Junos OS 版本。有关详细信息,请参阅 SD-WAN 支持的设备,以及要开放的端口和协议

要添加具有 SD-WAN 功能的分支机构站点:

  1. 单击 资源>站点管理

    将显示站点页面。

  2. 单击 Add,然后选择分支机构站点(手动)

    将显示 Add Branch Site 向导,显示要配置的常规设置。

    注意:

    标有星号 (*) 的字段是必填字段。

  3. 按照表 1 中的说明配置常规设置,然后单击 Next

    您将被带到工作流程的 WAN 部分。

  4. 按照表 2 中的说明配置 WAN 设置,然后单击 Next
    注意:

    在版本 6.1.0 中,当至少有一个 WAN 链路获取 IP 地址并激活时,CSO 会将站点移至 PROVISIONED 状态。

    您将被带到工作流程的 LAN 部分。

  5. 添加站点时或调配站点之后,您可以添加 LAN 分段。要在站点添加工作流程期间添加 LAN 分段:
    1. 单击 add (+) 图标。

      显示“创建 LAN 分段”页面。

    2. 配置表 4 中说明的 LAN 分段设置。
    3. 单击 OK

      您将返回到工作流程的 LAN 部分,您添加的 LAN 分段将显示。

  6. 单击 Next

    您将被带到工作流程的摘要部分。

  7. 查看 Summary 部分中的配置,必要时修改设置。
  8. 单击 Finish
    • 如果在激活期间输入序列号并启用自动激活,将显示站点激活进度页面。站点激活进程通过 表 4 中说明的任务进行。

      单击 OK 以关闭站点激活进度页面。

      注意:

      如果您不想等待站点激活完成,则可以关闭站点激活进度页面,并从 Jobs 页面监控站点激活的状态(监控> Jobs)。

      站点激活所需时间因 CSO 正在激活的设备而异。

    • 如果不输入序列号或禁用自动激活,则会将您返回到 Sites 页面。CSO 会触发工作,并显示包含工作链接的确认消息。单击此链接可查看工作的状态。

      工作完成后,CSO 会显示一条包含工作链接的确认消息。站点的状态将更改为 CREATED,激活站点链路将显示。您必须手动激活站点才能完成此过程。有关详细信息,请参阅 手动激活站点

提示:

添加站点后,可以修改(具体取决于站点状态)站点的某些参数。有关更多信息,请参阅 CSO 客户门户用户指南中的编辑站点概述CSO 文档页面上提供)。

表 1:常规信息(添加 [SD-WAN] 分支机构)

领域

指引

站点信息

 

站点名称

输入站点的独特名称。该名称可包含字母数字字符和连字符 (-),并且不能超过 32 个字符。

站点组

如果您希望站点是站点组的一部分,请选择站点组。默认情况下, 不会选择任何 站点,这意味着站点不属于任何站点组。

站点功能

 

WAN 功能

注意:

默认启用的设备管理允许您创建只有设备管理功能(没有任何服务)的站点,并稍后添加服务。

要为此站点添加 SD-WAN 功能,请选择以下 SD-WAN 服务类型之一:

  • 安全 SD-WAN 基础知识(适用于具有 SD-WAN 基础知识或高级服务级别的租户)提供基本 SD-WAN 服务。此服务非常适合寻求使用基于链路的应用程序定向在分支机构站点使用全面 NGFW 安全服务管理简单 WAN 连接的小型企业。此服务支持基于意图的防火墙策略、WAN 链路管理和控制,以及通过 MPLS 或互联网链路进行站点到站点通信等功能。SD-WAN 基础服务不支持多宿主、动态网状隧道、云分支配置文件、基于 SLA 的转向配置文件、基于池的源 NAT 规则、IPv6、MAP-E 或底层 BGP。

  • 安全 SD-WAN 高级服务(适用于具有 SD-WAN 高级服务级别的租户)提供完整的 SD-WAN 服务。此服务非常适合拥有一个或多个数据中心的企业,需要灵活的拓扑结构和动态应用程序定向。您可以使用中心辐射型拓扑中的中枢或静态或动态全网状 VPN 隧道来建立站点到站点连接。基于企业范围意图的 SD-WAN 策略和服务级别协议 (SLA) 测量允许为不同应用程序区分流量并动态路由流量。

地址和联系信息

输入分支机构站点地址和所提供字段中的联系信息。虽然并非必填项,但提供地址可让您可视化监控概述页面上地理地图上的站点位置。

高级配置

对于 DNS 和 NTP 服务器,可以使用默认或指定 DNS 和 NTP 服务器。

域名服务器

指定一个或多个 IPv4 或 IPv6,或者 DNS 服务器的 IPv4 和 IPv6 地址。要指定多个 DNS 服务器地址,请键入地址、按 Enter,然后键入下一个地址等。

NTP 服务器

如有必要,指定一个或多个 NTP 服务器的 IP 地址。

选择时区

为站点选择时区。

表 2:设备(添加分支机构站点)

领域

指引

设备系列

选择 CPE 设备的设备系列;例如 SRX

根据您选择的设备系列,支持的设备模板将显示。

确保从轮播广告中选择正确的设备模板。

例如,对于 SRX300 设备,选择 SRX 作为 SD-WAN CPE (或该模板的修改版本)作为设备模板。

设备信息

注意:

如果您选择了双 CPE 模板,将显示其他字段。有关更多信息,请参阅 CSO 客户门户用户指南CSO 文档页面上提供)中创建内部站点

序列号

如果您希望 CSO 在完成站点添加工作流程后立即进行站点激活,请输入序列号。如果您输入的序列号已存在于系统中,则 CSO 会显示错误消息。如果没有序列号,CSO 将显示绿色复选标记。

如果您希望 CSO 仅对站点进行建模,请将此字段留空。如果不输入序列号,则稍后必须手动激活站点。

设备 root 密码

默认 root 密码从设备模板的 ENC _ROOT_PASSWORD字段获取。您可以保留密码或通过以纯文本格式输入密码来更改密码。密码加密并存储在设备上

全自动部署

单击 切换按钮以启用或禁用全自动部署 (ZTP)。默认情况下,此选项已启用。

注意:

默认情况下,vSRX 禁用此按钮。如果在 vSRX 上运行的 Junos OS 版本支持致电回家客户端,您可以启用此按钮。

如果禁用 ZTP,则必须手动将阶段-1 配置(由 CSO 自动生成)复制到设备,并在设备上提交配置。

如果启用了 ZTP,将显示 Boot Image 字段,并且您必须选择支持 Phone-Home 客户端的映像。在 ZTP 期间,设备上的映像升级为为 Boot Image 选择的映像。

群集是否已形成?

注意:

此字段仅适用于 SRX 双 CPE 设备。

单击切换按钮,指定 SRX 群集是否已手动形成(是)(否)。

群集 ID

注意:

此字段仅适用于 SRX 双 CPE 设备。

如果 SRX 群集尚未手动形成,请为集群指定唯一 ID。

范围:1 到 15

如果已为站点启用 ZTP,则集群会在站点被激活时自动形成。如果已禁用 ZTP,则站点激活进度页面上将显示以下进程(在添加分支机构站点之后显示):

  1. 在 CSO 对站点进行建模后(即,在模型站点进程成功完成之后),单击 可复制前脚本链接,此链接显示在 Pre Script 进程旁边。

  2. 按照定向执行命令。

    前脚本进程成功完成后,SRX 群集将形成,并在集群上保存 恢复.conf 文件。如果您希望稍后删除该站点,则需要此文件来删除 CSO 推送至设备的阶段-1 配置和其他配置。

  3. 将阶段-1 配置(由 CSO 自动生成)手动配置到集群中的主设备,然后在设备上提交配置。

检测到群集后,CSO 将执行自举和调配流程,并完成群集配置。

自动激活

单击切换按钮,指定站点激活是否需要激活代码:

  • 启用 — 站点将自动激活,无需激活代码。这是默认设置。

  • 禁用 — 站点激活仅在输入激活代码后才会进行。如果选择此设置,请输入必须输入以激活设备的激活代码(在 激活代码 字段中)。

启动图像

如果您想使用最新支持的 Junos OS 版本升级分支机构设备,请从列表中选择启动映像。当 CSO 开始 ZTP 进程时,启动映像用于升级设备。

如果不指定启动映像(即列表中的默认选择(在设备上使用映像),则 CSO 会跳过在 ZTP 期间升级设备的过程。

中心配置

注意:

对于 SD-WAN 高级站点和基础站点,可选择中心。SD-WAN 基础站点不支持多宿主,也就是说,您不能为 SD-WAN 基础服务分支机构站点选择辅助中心。

对于具有 SD-WAN 高级服务的站点,您必须至少指定一个分支机构站点必须连接的中心(在 主要提供商中心二级提供商中心主要企业中心二级企业中心 字段)。表 3 列出了支持的组合。

使用网状标记连接 EHub

默认情况下,此切换按钮已启用。如果启用此按钮,CSO 将使用网状标记自动在站点和企业中心之间形成叠加隧道。

如果您想在分支机构站点和企业中心之间手动创建静态隧道(按 WAN 链路),请禁用此切换按钮。如果禁用此选项,则必须手动启用至少一个 WAN 链路才能连接到企业中心,方法是使用 “连接到企业中心” 在 WAN 链路的 高级设置 中切换按钮。

WAN 链路

您最多可以配置四个 WAN 链路,并且必须至少配置一个 WAN 链路。

WAN_0 (WAN-Interface-Name

默认情况下,第一个 WAN 链路已启用。

注意:

必须配置标有星号 (*) 的字段才能继续。

链路类型

为 WAN 链路选择链路类型(MPLS互联网)。

对于第一个 WAN 链路,建议您使用底层网络类型的默认 (Internet), 以确保可访问重定向服务器。

访问类型

为底层链路选择访问类型:

您只能为一个 WAN 链路选择 LTE 访问类型。

只能为两个 WAN 链路选择 ADSL 或 VDSL 访问类型。

注意:
  • 您只能为一个 WAN 链路选择 LTE、ADSL 或 VDSL 访问类型。

  • 如果您使用双 SRX 和双 NFX 设备模板,则不能将 LTE、ADSL 或 VDSL 配置为接入类型;以太网配置为底层链路的访问类型。

  • SRX300 不支持 LTE 和 ADSL 接入类型。

  • 在 SRX300 系列设备(SRX300 设备除外)和 NFX150 设备上,通过插入小型物理接口模块 (Mini-PIM) SIM 插槽中的 SIM 卡支持 LTE WAN 链路。

    在 NFX250 设备上,通过插入 CPE 设备 USB 端口的 USB 加密程序 (Vodafone K5160 加密程序) 支持 LTE WAN 链路。

CSO 支持分支机构设备的 MPLS 隧道(带有 ADSL 或 VDSL 接入类型)的以下组合:

  • 从分支机构站点(带 ADSL 或 VDSL 访问类型)到企业中心、提供商中心或分支机构站点(带以太网链路)。

  • 从分支机构站点(带 ADSL 或 VDSL 访问类型)到其他分支机构站点(带 ADSL 或 VDSL 链路)。

PPPoE/PPP

此字段仅显示为具有以太网、ADSL 或 VDSL 接入类型的互联网链路,以及带以太网或 LTE 接入类型的 MPLS 链路。

单击切换按钮,使用 PPPoE(以太网对点协议 [PPP]) 或 PPP,为 WAN 链路启用经认证的地址分配。默认情况下,此切换按钮已禁用。

PPPoE 与以太网、ADSL 和 VDSL 接入类型配合使用,而 PPP 与 LTE 访问类型配合使用。

如果已启用此切换按钮,则必须在页面的 PPPoE/PPP 设置部分中指定认证参数。您可以为每个 WAN 链路启用 PPPoE 或 PPP。

ADSL/VDSL SFP 附件

仅适用于带有 ADSL 或 VDSL 接入类型的 MPLS 或互联网链路。

单击切换按钮,通过 DSL SFP 模块启用 xAnnex J 支持。Annex J 在 ITU-T 建议 G.992.3 和 G.992.5 中指定。

如果禁用此选项,则必须使用 Mini-PIM 模块进行连接。

您只能在添加至站点的新 WAN 链路上启用或禁用此选项。您无法使用站点编辑工作流程为现有 WAN 链路启用或禁用此选项。

您可以将此选项与其他参数一起启用,例如 PPoE、静态 IP 地址 (IPv4/IPv6)、DHCP 和 VLAN ID。

出口带宽

将 LTE 配置为访问类型时,此字段不可用。

输入 WAN 链路允许的最大出口带宽(单位 Mbps)。

底层地址系列

IPv4

单击切换按钮,为 WAN 链路启用或禁用 IPv4 地址分配。默认情况下,WAN 链路启用 IPv4 地址分配。

WAN 链路需要 IPv4 地址才能连接到 IPv4 网络。

地址分配方法

如果您启用了 PPPoE/PPP,则此字段不可用。对于 LTE 访问类型,只有 DHCP 作为地址分配方法可用。

选择将 IPv4 地址分配给 WAN 链路的方法 — DHCP(动态主机配置协议)或 STATIC。

  • 如果选择 DHCP,则 IP 地址是通过使用 WAN 链路服务提供商的 DHCP 服务器提供的。

  • 如果选择 STATIC,则必须提供 WAN 链路的 IPv4 地址前缀和网关 IPv4 地址。

静态 IP 前缀

如果已将地址分配方法配置为静态,请输入 WAN 链路的 IPv4 地址前缀。

网关 IP 地址

如果已将地址分配方法配置为静态,请输入 WAN 服务提供商网关的 IPv4 地址。

MTU

仅适用于 IPv4 地址。

输入介质或协议的最大传输单元 (MTU) 大小。支持的 MTU 范围可能因设备、接口类型、网络拓扑和其他个别要求而异。另请参阅: MTU 默认值和最大值 以及 LTE 小型物理接口模块 (LTE Mini-PIM)

同时编辑站点所有支持 OAM 的 WAN 链路的 MTU 值可能会导致隧道翻动。您必须确保站点至少有一个支持 OAM 的 WAN 链路始终不受中断。例如,如果您的站点有四个 WAN 链路(包括两个支持 OAM 流量的链路),则可以同时编辑除一个支持 OAM 的链路以外的所有 WAN 链路的 MTU 值。完成编辑并保存更改后,可以再次编辑站点并更新剩余的 WAN 链路。

注意:

如果在 WAN 链路下启用 PPPoE/PPP 选项,则 MTU 选项显示在该链路的 PPPoE/PPP 设置部分下。

IPv6

单击切换按钮,为 WAN 链路启用或禁用 IPv6 地址分配。默认情况下,WAN 链路禁用 IPv6 地址分配。

WAN 链路需要 IPv6 地址才能连接到 IPv6 网络。

注意:
  • 只有具有安全 SD-WAN 高级服务的站点才支持 IPv6 地址分配。

  • 不能为 NFX250 设备启用 IPv6 地址分配。

地址分配方法

选择将 IPv6 地址分配给 WAN 链路的方法 — DHCP(动态主机配置协议)、静态或 SLAAC(无状态地址自动配置)。

如果选择 STATIC,则必须提供 WAN 链路的 IPv6 地址前缀和网关 IPv6 地址。

静态 IP 前缀

如果已将地址分配方法配置为静态,请输入 WAN 链路的 IPv6 地址前缀。

网关 IP 地址

如果已将地址分配方法配置为静态,请输入 WAN 服务提供商网关的 IPv6 地址。

接入点名称 (APN)

此字段只能配置为具有 LTE 访问类型且启用了 PPPoE/PPP 的 MPLS 链路。对于以 LTE 为接入类型和禁用 PPPoE/PPP 的 MPLS 链路,CSO 使用 CPE 设备随附的默认 APN 设置。

接入点名称 (APN) 决定了 CPE 设备必须用于连接到数据包数据网络 (PDN)(如互联网)的数据包数据网络网关 (P-GW)。所有 CPE 设备均随附默认 APN 设置。但是,如果您选择与当前 LTE 服务提供商使用专用 APN 或使用不同的 LTE 服务提供商,请输入此字段中的 CPE 设备(由服务提供商指定)的 APN。

高级设置

 

地址族(隧道创建)

选择用于建立叠加隧道的底层地址族(IPv4 或 IPv6)。列表中的选项根据您为底层(IPv4 或 IPv6 或两者兼有)配置的地址族填充。

供应商

输入 WAN 链路服务提供商的名称。

成本/月

将此保留为默认字段,因为当前 CSO 中未使用此字段。

启用本地分支

单击切换按钮,启用 WAN 链路以用于本地分支。默认情况下禁用切换按钮,这意味着 WAN 链路不能用于本地分支。

本地分支是一项 SD-WAN 功能,允许互联网链路直接从站点分出流量。例如,如果您想为访问企业的访客提供互联网访问权限,您可以使用本地分支在本地将访客流量从网站直接扩展到互联网。

注意:
  • 如果启用本地分支,这仅意味着 WAN 链路 可用于 本地分支。要使流量从站点中断,还必须配置分支配置文件,参考 SD-WAN 策略意图中的配置文件,以及部署 SD-WAN 策略。

  • 如果不在单个 CPE 站点的至少一个 WAN 链路上启用本地分支,并且为双 CPE 站点至少启用两个 WAN 链路,则该站点将禁用本地分支。

如果启用本地分支,将显示其他字段。

分支选项

只有当为 WAN 链路启用了本地分支时,才会显示此字段。

选择是要将 WAN 链路用于分支和 WAN 流量(默认),还是仅用于分支流量。

MAP-E

单击切换按钮,在 IPv6 WAN 链路中使用封装 (MAP-E) 功能启用或禁用地址和端口映射。默认情况下,将禁用 MAP-E。

MAP-E 支持使用 IPv4-in-IPv6 封装跨 IPv6 网络传输 IPv4 数据包。

有关 MAP-E 的详细信息,请参阅 在 NFX 系列设备上封装地址和端口的映射

注意:
  • MAP-E 仅符合日本网络技术 (JPNE) 标准。

  • CSO 仅在分支机构站点的一个 WAN 链路(仅支持安全 SD-WAN 高级服务)上支持 MAP-E,其中 NFX150 用作 CPE。必须为 WAN 链路启用 IPV6 地址分配和本地分支。

自动创建源 NAT 规则

注意:

具有安全 SD-WAN 基础服务的站点仅支持基于接口的源 NAT 规则。如果您为 SD-WAN 基础站点启用此选项,将自动应用基于接口的源 NAT 规则。如果为 SD-WAN 高级站点启用此选项,则必须从 转换 字段中选择源 NAT 规则。

只有当 WAN 链路启用了 IPv4 地址分配和本地分支时,此字段才会显示。

当您在链路上启用本地分支时,默认情况下,此设置将启用,从而触发对站点的源 NAT 规则的自动创建。

您可以单击切换按钮以禁用源 NAT 规则的自动创建。如果禁用此字段,则必须手动为本地分支添加源 NAT 规则,并在站点上部署 NAT 策略。

注意:

如果网络中的单独设备(例如互联网网关防火墙)未实施 NAT,我们建议您启用此设置,因为它允许 CSO 自动为站点创建 NAT 策略。

翻译

只有为 WAN 链路启用了源 NAT 规则的自动创建,并且使用的 SD-WAN 服务为高级,才会显示此字段。具有安全 SD-WAN 基础服务的站点仅支持基于接口的源 NAT 规则。

选择要用于 WAN 链路流量的 NAT 类型:

  • 接口— 使用基于接口的 NAT,这是默认设置。

  • — 使用基于池的 NAT。如果选择此选项,则必须指定要用于 NAT 池的 IP 地址。

IP 地址

对于基于池的 NAT,请输入一个或多个 IP 地址、子网或 IP 地址范围。使用逗号并使用连字符表示范围,从而分离多个 IP 地址;例如 192.0.2.1-192.0.2.50。

注意:

不会为租户拥有的公共 IP 地址执行 NAT,这些地址是在租户添加工作流程期间添加的。

首选分支链路

如果为本地分支启用了 WAN 链路,请单击切换按钮以启用 WAN 链路作为首选分支链路。

如果禁用此选项,则使用可用分支链路中的 ECMP(等价多路径)选择分支链路。

BGP 底层选项

注意:

不适用于使用 SD-WAN 基础服务的站点。

注意:

BGP 底层路由通常由服务提供商使用,只有在为 WAN 链路启用 IPv4 地址分配(以静态为地址分配方法)和本地分支时才能配置。

单击切换按钮以启用 BGP 底层路由。

启用 BGP 底层路由时,将通告路由到主提供商边缘 (PE) 节点,如果配置,辅助 PE 节点将如下所示:

  • CSO 通告 WAN 接口子网。

  • 如果配置了基于池的转换,CSO 将通告 NAT 地址池。

注意:

如果为 WAN 链路启用了底层 BGP,则从 BGP 学习的路由将安装为本地分支:CSO 不会生成静态默认路由。

主要邻接方

显示为 WAN 链路网关输入的 IP 地址。

次要邻接方

如果您想要提供 PE 弹性,则可以配置辅助 PE 节点。

输入辅助 PE 节点的 IP 地址。

注意:

如果主 PE 节点下降,则将辅助 PE 用作下一跳跃。当主 PE 恢复后,路由下一跳跃将更改为主 PE。

eBGP Peer-AS 编号

输入外部 (EBGP) 对等方的自治系统 (AS) 编号。

注意:

如果未配置对等 AS 编号或配置的对等方 AS 编号与 CPE 站点相同,则 BGP 类型假定为内部 BGP (IBGP)。

本地 AS 编号

输入 WAN 链路的本地 AS 编号。配置此参数时,本地 AS 编号用于 eBGP 对等,而不是为设备配置的全局 AS 编号。

认证

选择要使用的 BGP 路由身份验证方法:

  • — 表示不应使用任何身份验证。这是默认值。

  • 使用 MD5 — 指示要将 MD5 用于认证。如果选择此选项,则必须指定认证密钥。

Auth 密钥

如果指定 MD5 应用于身份验证,请指定 MD5 认证密钥(密码),该密钥用于验证 BGP 数据包的真实性。

播发公共 LAN 前缀

单击切换按钮以启用公共 LAN 前缀的通告。此字段默认禁用。

如果租户配置了公共 IP 地址池,并且您启用公共 LAN 前缀的通告,则对于使用租户公共 IP 地址池下方的子网创建的 LAN 分段,CSO 会将 LAN 子网播发至 BGP 底层。

注意:

为 WAN 链路启用公共 LAN 通告时,公共 LAN 前缀将通过 BGP 底层通告至 MPLS 或互联网。

用于 Fullmesh

单击切换按钮,使 WAN 链路成为全网状拓扑的一部分。

注意:

使用 SD-WAN 基础服务的站点不支持根据用户定义的两个分支机构站点之间关闭的会话数阈值创建或删除动态网状隧道。但是,OpCo 管理员或租户管理员可以在源站点和目标站点之间使用客户门户中的 CSO GUI 创建静态隧道。

配置出现的另外两个字段:

网状叠加链路类型

如果已启用 WAN 链路以实现全网状,请选择用于全网状拓扑结构中的叠加隧道的封装类型:

注意:

对于公共 IP 地址链接,建议将 IPsec 上的 GRE 用作网状叠加链路类型。

  • GRE_IPSEC — 在 IPsec 上使用 GRE。

  • GRE —使用 GRE。此选项仅适用于 MPLS 链路。

注意:

如果您已为 WAN 链路启用 IPv6 地址分配,则只能选择 GRE-IPSEC 作为网状叠加链路的类型。

网状标记

如果已启用 WAN 链路以实现全网状,请为 WAN 链路选择网状标记。

注意:

根据匹配的网状标记添加了两个分支机构站点或一个分支机构站点与企业中心站点之间的隧道。因此,如果您希望在此类站点之间进行网格标记,则两个站点的网状标记必须相同。

有关网状标记的详细信息,请参阅 CSO 客户门户用户指南中的网状标记概述CSO 文档页面上提供)。

连接到企业中心

只有当已启用“使用网状标记连接中心配置”部分中的 EHub 字段时,才会显示此字段。

如果您希望在不使用网状标记的情况下将站点手动连接到企业中心,请启用此切换按钮。

主要 EHub 隧道类型

只有当您启用了 连接到 Enterprise Hubs 字段时,才会显示此字段。

选择要用于分支站点与主要企业中心之间连接的通道类型。

主要 EHub 对等设备

只有当您启用了 连接到 Enterprise Hubs 字段时,才会显示此字段。

显示您选择的主要企业中心名称。

主 Ehub 对等接口

只有当您启用了 连接到 Enterprise Hubs 字段时,才会显示此字段。

选择需要成为隧道一部分的主要企业中心 WAN 链路。您可以选择多个 WAN 链路。

辅助 EHub 隧道类型

只有当您启用了 连接到 Enterprise Hubs 字段时,才会显示此字段。

选择要用于分支站点与第二企业中心之间连接的通道类型。

辅助 EHub 对等设备

只有当您启用了 连接到 Enterprise Hubs 字段时,才会显示此字段。

显示您选择的二级企业中心名称。

辅助 Ehub 对等接口

只有当您启用了 连接到 Enterprise Hubs 字段时,才会显示此字段。

选择需要成为隧道一部分的次要企业中心 WAN 链路。您可以选择多个 WAN 链路。

用于 OAM 流量

注意:

只有当您选择了提供商中心时,才提供 连接至 Hubs 字段。

单击切换按钮,启用 OAM 流量的 WAN 链路。然后,WAN 链路用于建立 OAM 隧道,以便在企业中心站点和 CSO 之间进行通信。

您必须至少配置一个要用于 OAM 流量的 WAN 链路。为了确保冗余,建议至少配置两个可用于 OAM 流量的 WAN 链路。此外,为了增加管理冗余,请使用具有不同传输路径的两个链路。

备份链路

选择备用链路,当主(其他)链路不可用时,可通过该链路路由流量。您可以选择除默认链路或仅为本地分支信息流配置的链路之外的任何链路。

当主链路恢复联机后,CSO 会监控主链路上的性能,而当主链路满足 SLA 要求时,流量将切换回主链路。但是,不会监控备份链路的 SLA 数据。

默认链路

在没有匹配 SD-WAN 策略意图的情况下,选择一个或多个用于路由流量的链路。站点可以有多个到中心站点的默认链路。

默认链路主要用于叠加信息流,但也可用于本地分支信息流。但是,默认链路不能仅用于本地分支信息流。如果未指定默认链路,则使用 ECMP 选择路由信息流的链路。

数据 VLAN ID

输入 WAN 链路的 VLAN ID。

范围:0 到 4049(CSO 保留 4050 至 4094)。

注意:
  • 如果在同一物理接口上配置多个 WAN 链路,则只能未标记一个 WAN 链路;对于其余 WAN 链路,您必须配置 VLAN ID。

  • 仅对单个 CPE 设备支持在同一物理接口上进行标记和未标记的组合。

WAN_1 (WAN-Interface-Name

单击切换按钮以启用或禁用(默认)WAN 链路。

启用 WAN 链路时,将显示与 WAN 链路相关的字段。必须配置标有星号 (*) 的字段才能继续。

请参阅WAN_0 (WAN-Interface-Name) 说明的字段,了解有关字段的说明

WAN_2 (WAN-Interface-Name

单击切换按钮以启用或禁用(默认)WAN 链路。

启用 WAN 链路时,将显示与 WAN 链路相关的字段。必须配置标有星号 (*) 的字段才能继续。

请参阅WAN_0 (WAN-Interface-Name) 说明的字段,了解有关字段的说明

WAN_3 (WAN-Interface-Name

单击切换按钮以启用或禁用(默认)WAN 链路。

启用 WAN 链路时,将显示与 WAN 链路相关的字段。必须配置标有星号 (*) 的字段才能继续。

请参阅WAN_0 (WAN-Interface-Name) 说明的字段,了解有关字段的说明

高级配置

注意:

使用 SD-WAN 基础服务的站点不支持根据用户定义的两个分支机构站点之间关闭的会话数阈值创建或删除动态网状隧道。但是,OpCo 管理员或租户管理员可在源站点和目标站点之间使用客户门户中的 CSO GUI 创建静态隧道。

OAM IP 前缀

我们建议您 不要 配置此设置(将 IP 前缀字段留空),因为管理连接由 CSO 自动处理。

DVPN 隧道创建阈值

指定分支机构站点与目标站点之间关闭的会话数(在两分钟内)的阈值。当关闭的会话数超过指定阈值时,在分支站点和目标站点之间创建隧道。

例如,如果指定阈值为 7,则在分支站点和目标站点之间关闭的会话数(两分钟内)超过 7 时,将创建动态网状隧道。

删除隧道的 DVPN 阈值

指定分支机构站点与目标站点之间关闭的会话数(持续时间为 15 分钟)的阈值。如果关闭的会话数低于指定阈值,分支站点与目标站点之间的隧道将被删除。

例如,如果将关闭的会话数指定为 5,如果关闭的会话数小于或等于 5,则分支站点与目标站点之间的动态网状隧道将被删除。

配置模板(可选)

如果您想在 ZTP 过程中部署其他配置,则可以选择一个或多个配置模板并设置每个模板的参数。

配置模板列表

对于您选择的每个配置模板

  1. 从要在 ZTP 期间部署在设备上的列表中选择一个或多个配置模板。

  2. 单击 Set 参数

    将显示设备配置页面。您选择的配置模板的名称和配置参数显示在 Configure 选项卡中。

  3. 对于每个配置模板,输入参数的值。

  4. (可选)单击 Summary 选项卡可查看将部署在设备上的不同配置模板上的 Junos OS 配置命令。

  5. 单击 保存

    您将返回到 WAN 选项卡。Junos OS 配置命令将在 ZTP 过程中部署在设备上。

表 3:支持的提供商和企业中心组合

指定的提供商中心

指定的企业中心

主要

没有

主要

主要

主要

主要和次要

主要和次要

没有

主要和次要

主要

主要和次要

主要和次要

没有

主要

没有

主要和次要

表 4:Add LAN 分段页面上的字段(添加分支分支)

领域

描述

用于叠加 VPN

用叠加 VPN 字段,以便将 LAN 分段与选定部门 (VRF + ZONE) 关联,以便将流量叠加到其他站点。

禁用 叠加 VPN 字段,以便将 LAN 分段与安全区域关联以实现底层分支。您必须定义基于区域的安全策略。

注意:

添加新站点时,此字段默认启用,无法修改。但是,从站点名称页面的 LAN 选项卡将新 LAN 分段添加至调配站点时,您可以启用或禁用此选项。

名字

输入 LAN 分段的名称。

LAN 分段的名称应该是一串独特的字母数字字符和一些特殊字符 (. -)。不允许空格,允许的最大长度为 15 个字符。

CPE 端口

注意:

适用于 SRX 系列设备。

选择要在 LAN 分段中添加的 CPE 端口。

从页面的 Site-Name LAN 选项卡将新 LAN 分段添加至调配站点时,可以选择(或创建)LAG 接口或冗余以太网 (reth) 接口(用于双 CPE 群集),以便将 SRX 系列 CPE 设备连接到 EX 系列交换机。

要在 SRX4600 设备上使用 et 接口,必须创建 LAG 接口,并将 et 接口配置为 LAG(聚合以太网或 ae) 接口的成员。请参阅 创建 LAG 接口

对于 SRX4600 双 CPE 群集,如果配置为冗余以太网 (reth) 接口的成员,则可以使用 et 接口。

添加 LAG 接口

注意:

从页面的 LAN 选项卡 Site-Name 将新 LAN 分段添加至调配站点时,可使用此选项。

如果要使用链路将 SRX 系列 CPE 连接到 EX 系列交换机,请单击该链路以创建 LAG 接口 (ae 接口)。有关详细信息,请参阅 创建 LAG 接口

创建 RETH 接口

注意:

从页面的 LAN 选项卡 Site-Name 将新 LAN 分段添加至调配站点时,可使用此选项。

单击链路,为带有双 CPE 群集的 SD-WAN 站点创建 reth 接口。请参阅 创建 RETH 接口 以了解详细信息。

类型

注意:

此字段仅显示给与企业中心站点关联的 LAN 分段。

选择 LAN 分段的类型:

  • 直接连接(默认)— 指示 LAN 分段直接连接到站点。

  • 动态路由 — 表示 LAN 分段未直接连接到站点,可通过使用动态路由到达。如果选择此选项,则必须指定动态路由信息。

VLAN ID

输入 LAN 分段的 VLAN ID。默认情况下,VLAN ID 设置为 1,并且为未标记的流量启用本机 VLAN。

范围:1 到 4049。

用于本机 VLAN

允许此选项使用上述 VLAN ID 用于未标记的信息流。CPE 接口配置了本机 vlan ID,其值与 VLAN ID 相同。

部门

注意:

只有启用了 叠加 VPN 字段的使用,此字段才可用。

选择分配给 LAN 分段的部门。

或者,单击 Create Department 链接创建新部门并分配 LAN 分段。请参阅 添加部门 了解详细信息。

您可以将 LAN 分段分组为易于管理的部门,并在部门一级应用策略。对于动态路由的 LAN 分段,您只能分配一个数据中心部门。

网关地址/掩码

输入 LAN 分段的有效网关 IP 地址和掩码。此地址将成为此 LAN 分段中端点的默认网关。

例如:192.0.2.8/24。

注意:

只有当禁用 叠加 VPN 字段时,此字段才可用。

选择与此 LAN 分段相关联的安全区域。或者单击 创建区域 以创建新安全区段并将此 LAN 分段分配给该区域。有关详细信息,请参阅 添加安全区域

DHCP

对于直接连接的 LAN 分段,单击切换按钮以启用 DHCP。

如果您想使用 DHCP 服务器分配 IP 地址,或者如果要将静态 IP 地址分配给 LAN 分段,则可以启用 DHCP 或禁用 DHCP。

注意:

如果启用 DHCP,页面上将显示其他字段。

有关 DHCP 的其他字段

地址范围低

在 DHCP 服务器可分配给 LAN 分段的 IP 地址范围内输入起始 IP 地址。

地址范围高

在 DHCP 服务器可分配给 LAN 分段的 IP 地址范围内输入最终 IP 地址。

最大租赁时间

指定客户可要求并在 DHCP 服务器上租赁的最大持续时间(以秒为单位)。

默认值:1440

范围:0 到 4,294,967,295 秒。

名称 服务器

指定 DNS 服务器的一个或多个 IPv4 地址。

要输入多个 DNS 服务器地址,请键入地址,按 Enter,然后键入下一个地址。

注意:

DNS 服务器用于将主机名解析到 IP 地址中。

CPE 端口

注意:

适用于 NFX150 和 NFX250 设备。

对于具有 SD-WAN 功能的站点,禁用 CPE 端口字段,并列出了可包含在 LAN 分段中的 CPE 端口。

“可用 ”列中选择端口,然后单击右箭头将端口移动到 “选择 ”列。

静态路由

使用本节在 LAN 分段上配置静态路由。提供连接到 CPE 设备的所有 LAN 路由器的 IP 地址以及这些路由器后面的静态子网。

添加 LAN 路由器 IP 前缀

LAN 路由器 IP

输入连接到 CPE 设备的 LAN 路由器的 IP 地址。

前缀

输入连接到 LAN 路由器的子网。

BFD

支持双向转发检测 (BFD) 以检测静态路由上的任何故障。

动态路由

路由协议

启用此切换按钮,以便使用 BGP 或 OSPF 协议配置动态路由。

BFD

支持双向转发检测 (BFD) 以检测 LAN 分段中的任何故障。

协议

选择 BGP 或 OSPF。

BGP 配置

注意:

从版本 6.1.0 开始,CSO 明确禁用与提供商边缘 (PE) 和数据中心或 LAN 路由器进行 BGP 对等会话的长期平滑重启 (LLGR) 功能。禁用 LLGR 可确保 CPE 不会因为对等路由器的 LLGR 功能而区分对等路由器的路由通告。

在 CSO 版本 6.1.0 之前,在 CPE 上为与 IP VPN 部署中的 PE 路由器对等的 BGP 以及数据中心部署中的数据中心或 LAN 路由器提供默认启用的 LLGR 帮助模式(Junos OS 的隐含行为)。

认证

选择要使用的 BGP 路由身份验证方法:

  • 无 — 表示不应使用任何身份验证。这是默认值。

  • 使用 MD5 — 指示要将 MD5 用于认证。如果选择此选项,则必须指定认证密钥。

Auth 密钥

如果指定 MD5 应用于身份验证,请指定 MD5 认证密钥(密码),该密钥用于验证 BGP 数据包的真实性。

BGP 选项

您可以根据自己的要求选择以下选项:

  • AS 覆盖:在向对等方播发路由之前,使用自己的 AS 编号替换 AS 路径中的所有对等 AS 编号事件。

  • AS-PATH-PREPEND:在 AS 路径的开头前置一个或多个自治系统 (AS) 编号。前置 AS 路径会使较短的 AS 路径看起来更长,因此与 BGP 更不可取。

  • AS-LOOP:允许在接收的 AS 路径中添加本地设备的 AS 编号。您可以指定在 AS 路径中允许检测本地 AS 的次数。

环路计数

只有当您选择 AS-LOOP 时,才会显示此字段。

输入 AS 路径中允许检测到本地 AS 的最大次数。

对等 IP 地址

输入 LAN BGP 对等方的 IP 地址。

对等 AS 编号

输入 LAN BGP 对等方的自治系统 (AS) 编号。默认情况下,CSO 使用 AS 编号 64512。您可以输入不同的 AS 编号。

本地 AS 编号

输入本地 AS 编号。配置此参数时,本地 AS 编号用于 BGP 对等,而不是为 CPE 配置的全局 AS 编号。

OSPF 配置

OSPF 区域 ID

指定要用于动态路由的 OSPF 区域标识符。

认证

选择要使用的 OSPF 路由身份验证方法:

  • 密码 — 指示应使用基于密码的身份验证。如果选择此选项,则必须指定密码。(这是默认设置)。

  • 使用 MD5 — 指示要将 MD5 用于认证。如果选择此选项,则必须指定认证密钥。

  • 无 — 表示不应使用任何身份验证。

密码

输入密码以验证 OSPF 数据包的真实性。

确认密码

重新输入密码以用于确认目的。

MD5 Auth 密钥 ID

如果指定 MD5 应用于认证,请输入 OSPF MD5 认证密钥 ID。

范围:1 到 255。

Auth 密钥

如果指定 MD5 应用于认证,请输入 MD5 认证密钥,该密钥用于验证 OSPF 数据包的真实性。

路由通告控制

LAN 路由到叠加

启用此选项时,LAN 路由将通告至远程 CPE。默认情况下,此选项已启用。

从 CSO 6.2.0 版开始,您可以将导出策略与 LAN 路由一起配置到叠加 选项,以便对通告至叠加网络的路由进行更精细的控制。例如,启用 LAN 路由到叠加 选项时,您可以配置策略以防止播发特定路由。同样,当禁用 LAN 路由到叠加 选项时,您可配置策略以仅允许通告特定路由。

叠加路由到 LAN

只有当您启用路由协议切换按钮时,才会显示此选项。默认情况下,此选项禁用。

允许此选项将部门接收的远程 CPE 路由通告 LAN 路由器。

注意:

在 CSO 版本 6.0.0 和早期版本中,此选项称为“播发 LAN 前缀”,仅适用于数据中心部门。

从 CSO 6.2.0 版开始,您可以使用以下策略对路由通告进行细粒度控制:
  • 导入策略以对 CPE 设备接受的路由从 LAN 路由器播发的路由列表进行细粒度控制。
  • 导出策略以对 CPE 设备通告至 LAN 路由器的路由进行细粒度控制。

静态/聚合路由到叠加

启用此选项以允许向叠加网络发布静态或聚合路由的通告。

  • 如果存在大量 LAN 路由,则可以禁用 LAN 路由到叠加 选项,然后使用此选项通告聚合路由。

  • 如果您想通告其他路由,则可以启用 LAN 路由到叠加 选项,然后使用此选项播发其他静态路由。