本文目录导读:
SD-WAN(软件定义广域网)的配置与传统路由器的配置有显著区别,其核心思想是通过集中控制(控制器)和抽象化(Overlay隧道)来管理复杂的广域网链路。
由于不同厂商(如 Cisco Viptela、VMware Velocloud、Fortinet、华为、H3C等)的配置界面和术语差异较大,以下是通用的、逻辑上的配置步骤和核心概念,你需要根据具体设备厂商的文档进行微调。
核心配置步骤概览
- 环境与规划
- 控制器(Controller/Orchestrator)的部署与配置
- 分支机构设备(CPE/Edge)的初始配置
- WAN传输链路(Underlay)的绑定
- Overlay隧道(IPsec/DTLS)的建立
- 业务策略(Routing, VPN, QoS, 链路选路)的配置
- 验证与监控
详细配置流程
第一步:环境规划(最重要的基础)
在动手之前,必须完成以下规划:
- 选址:确定数据中心(Hub)、分支机构(Spoke)和公有云(如果适用)的位置。
- 控制器位置:确定控制器(Orchestrator, vSmart/vManage等)是部署在云端还是本地。
- WAN链路清单:
- 列出每个站点可用的所有WAN链路(如MPLS、宽带、4G/5G LTE)。
- 记录每个链路的公网/私网IP、网关、带宽、延迟、MTU。
- IP地址规划:规划Overlay隧道的内部IP地址(Loopback或Tunnel接口IP)、LAN侧子网。
- 安全策略:规划IPsec预共享密钥或证书,以及防火墙规则。
第二步:部署控制器(管理平面)
SD-WAN的大脑,通常是虚拟化或物理设备。
- 安装:在服务器或云端部署控制器软件(如 Cisco vManage, VMware Orchestrator, FortiManager)。
- 初始化:配置管理员账号、网络参数、时区。
- 证书管理:
- 如果是企业根证书,上传根证书。
- 生成或导入设备证书(用于设备与控制器的安全通信)。
- 模板创建:这是核心步骤,创建配置模板,定义设备型号、接口、WAN链路、策略等,模板化可以批量部署数百个站点。
第三步:配置分支站点设备(CPE)的Underlay网络
每个站点需要一台支持SD-WAN的CPE(如 Cisco ISR/ASR, VMware Edge, FortiGate-SDWAN, 华为AR系列等)。
配置目标:确保CPE设备能够通过物理链路连接到互联网或运营商网络,并能与控制器建立连接。
-
命令行(CLI)示例(类似Cisco Viptela风格):
# 进入全局配置 config t # 1. 配置系统信息(站点ID、系统IP等) system host-name branch-site-1 system-ip 10.10.1.1 site-id 100 domain-id 1 ! 控制器地址 vbond 控制器公网IP或域名 port 12346 # 2. 配置物理接口(绑定WAN链路) interface ge0/0 ip-address 192.168.1.2/24 no shutdown ! 标记为WAN传输链路 tunnel-interface encapsulation ipsec color public-internet allow-service all ! interface ge0/1 ip-address 10.50.50.2/30 no shutdown tunnel-interface encapsulation ipsec color mpls allow-service all ! # 3. 配置LAN接口 interface ge0/2 ip-address 172.16.100.1/24 no shutdown # 4. 配置OMP(Overlay Management Protocol,负责路由) vpn 0 interface ge0/0 interface ge0/1 ! vpn 512 interface ge0/2 ip route 0.0.0.0/0 vpn 0
-
GUI方式(如VMware Velocloud):
- 登录Orchestrator。
- 选择“配置” -> “Edge” -> “新建Edge”。
- 输入名称、序列号(激活码)。
- “WAN重叠”选项卡:添加WAN链路,选择类型(如“企业-有线-WAN”),输入IP、网关、公网IP(如果NAT)。
- “LAN”选项卡:添加LAN接口(如VLAN 100),输入IP和DHCP范围(可选)。
第四步:配置Overlay隧道(数据平面)
控制器会协调所有CPE设备自动建立全网状或Hub-Spoke的IPsec/DTLS隧道。
- 关键参数:
- 控制连接:CPE -> 控制器 (使用DTLS协议,通常UDP 12346)。
- 数据连接:CPE <-> CPE (使用IPsec或DTLS,通常UDP 12446/4500)。
- 配置:
- 通常只需要在控制器上定义隧道网关(如VPN 0)和加密策略(AES256, SHA256, DH group)。
- 控制器会自动分配IP地址给每个CPE的隧道接口(Loopback),并建立BGP-EVPN或OMP邻居关系。
第五步:配置业务策略(核心价值)
SD-WAN之所以强大,在于它通过策略来控制流量路径。
-
应用识别:
- 配置应用列表(如Microsoft 365, Zoom, SAP)。
- 可以通过DPI(深度包检测)或基于目的IP的应用数据库识别。
-
流量工程:
- 策略类型:
- 直接路径:优先级最高,不检查链路质量。
- 最佳路径:根据实时延迟、抖动、丢包率选择最佳链路。
- 负载均衡:在两条链路间按比例分发流量(如30% MPLS, 70% Internet)。
- 配置实例(Cisco vManage CLI策略):
# 定义应用列表 app-list crit-apps app "zoom" app "teams" ! data-policy dw-policy-high-priority vpn-list all sequence 10 match app-list crit-apps action set ! 优先使用MPLS链路,如果不可用才走Internet preferred-color mpls, public-internet ! 要求满足低延迟 sla-class strict-loss(<2%) strict-latency(<50ms) ! 如果MPLS链路不满足SLA,则切换到Internet fallback-to-best-path
- 策略类型:
-
QoS(服务质量):
- 设置队列:实时语音队列(优先级最高),视频队列,尽力而为队列。
- 配置整形和限速:限制每个分支的最大带宽。
第六步:验证与排错
部署后需要确认:
- 控制平面:CPE是否与控制器成功握手?
show control-connections。 - 数据平面:CPE之间的IPsec隧道是否建立?
show ipsec tunnels。 - 路由:是否学到了远端站点的路由?
show omp routes或show ip route vpn <id>。 - 应用体验:模拟跨站点视频流量,查看延迟和丢包。
ping、traceroute(在隧道内部)。
使用不同厂商时的常见差异
| 厂商 | 核心概念 | 配置入口 | 常见故障点 |
|---|---|---|---|
| Cisco SD-WAN (Viptela) | vManage (UI), vSmart (控制), vBond (授权) | 通过vManage的GUI或CLI(推送模板) | 证书安装错误、OMP邻居未建立、NAT穿透问题 |
| VMware SD-WAN (Velocloud) | Orchestrator (SaaS/自建), Edge, Gateway | 完全通过Orchestrator的Web GUI | 公网IP配置错误、网关选择策略冲突 |
| Fortinet SD-WAN | FortiManager (集中), FortiGate (本地) | FortiGate CLI或FortiManager策略包 | SD-WAN规则匹配顺序(从上到下)、SLA探测目标不可达 |
| 华为SD-WAN (iMaster NCE) | iMaster NCE-Campus (控制器), AR系列CPE | 通过iMaster NCE的GUI网络拓扑 | 模板导入错误、Overlay IP地址冲突 |
重要提示
- 不要手动在每台设备上配置:SD-WAN的精髓是模板化和自动化,手动逐台配置会失去其核心价值(降低运维成本)。
- NAT是最大的敌人:如果分支机构的WAN链路处于对称NAT之后,确保控制器或使用STUN(NAT会话穿越应用程序)帮助设备发现自己的公网映射地址,如果不行,可能需要中继网关。
- 带宽和延迟:正确配置SLA(服务等级协议)策略的阈值(如延迟<100ms,丢包<1%),否则策略可能无法正确触发链路切换。
- 升级顺序:先升级控制器,再升级CPE。
如果你能提供具体的设备厂商和型号(Cisco ISR 4431, VMware Edge 680 或 FortiGate 60F),我可以提供更精确的命令或截图级别的指导。
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
