服务定义
交付通道大致分为服务定义和带宽分配。
交付服务是Citrix SD-WAN上可用的交付机制,可以根据业务意图使用正确的交付方法来引导不同的应用程序或流量配置文件。可以配置Internet、Intranet、Virtual Paths、Cloud Direct、IPsec、Zscaler、LAN GRE等交付业务。交付服务是全局定义的,并在适用的情况下应用于各个站点的WAN链路。
每个WAN链路可以应用所有相关服务或相关服务的一个子集,并在所有交付服务之间设置相对的带宽份额(%)。
默认情况下,所有链路上都提供虚拟路径服务。其他服务可以根据需要添加。要在客户级别配置交付服务,请导航到配置>交付渠道>服务定义。
派递服务大致可分为以下几类:
虚拟路径业务:双端覆盖SD-WAN隧道,在托管SD-WAN设备或虚拟实例的两个站点之间提供安全、可靠和高质量的连接。设置每个虚拟路径的最小预留带宽,单位为Kbps。此设置应用于网络中所有站点的所有WAN链路。
- 互联网服务: SD-WAN站点与公共互联网之间的直接通道,不涉及SD-WAN封装。思杰SD-WAN支持跨多个Internet链路的Internet绑定流量的会话负载均衡功能。
- 思杰安全互联网接入:思杰安全互联网接入(CSIA)提供了一个完整的云交付安全堆栈,在不影响员工体验的情况下保护用户、应用程序和数据免受所有威胁。
- 云直接服务:一种云服务,无论主机环境如何,都可以为所有互联网绑定流量提供SD-WAN功能。
- 内联网服务:从SD-WAN站点到任何非SD-WAN站点的基于底层链路的连接。不封装流量,也可以采用IPsec、GRE等非虚路径封装。可以设置多个内网服务。
思杰安全互联网接入
Citrix Secure Internet Access (CSIA)服务是Citrix自有的服务。思杰安全互联网接入提供了一个完整的云交付安全堆栈,以保护用户、应用程序和数据免受所有威胁,而不会影响员工的体验。任何思杰SD-WAN设备都可以通过隧道将流量传输到CSIA服务。
CSIA服务可在配置>交付渠道>服务定义(在客户层面)。你可以找到思杰安全互联网接入瓷砖下面安全访问服务部分。
请注意
只有当您是SD-WAN Orchestrator客户并且拥有CSIA权限时,CSIA服务链接才可见。
先决条件
在Citrix SD-WAN上启用CSIA服务之前,需要满足以下前提条件:
已经部署了SD-WAN覆盖,至少有两个站点正在运行。
将部署限制为单个路由域(默认路由域)。
在Citrix SD-WAN路由表中,识别当前网络中的缺省路由(0.0.0.0/0)及其关联的开销(确保这些路由的开销不低于CSIA路由,CSIA路由的缺省开销为45)。
创建思杰安全互联网接入服务
创建CSIA业务时,首先需要在全局层面调整CSIA业务的发放方式,为internet链路类型启用带宽百分比,然后从虚拟路径业务重新调整整体的internet链路发放方式。点击保存。
请注意
在全局级别上,如果没有CSIA服务的配置值,SIA站点将自动进行IPsec配置失败。
要将站点映射到CSIA服务,请单击思杰安全互联网接入瓷砖。的安全上网进入页面。
请注意
在内部创建SIA服务将创建一个自动INTRANET服务,该服务使用CSIA站点配置时选择的路由域和自动忽略WAN链路状态旋钮“保留到INTRANET服务的路由”。
单击添加网站连结为CSIA服务添加网站。
![安全的互联网接入服务网站]()
隧道式:缺省为IPsec。稍后会添加其他类型。目前支持的隧道类型为IPsec和GRE。
地区:在下拉列表中选择。最多可以选择两个区域。区域是具有CSIA服务的存在点(pop)。
您可以根据需要选择所有地区/组或默认选项以及站点。点击审查然后保存配置。默认情况下,区域是自动选择的,可以手动覆盖。选择汽车为IPsec隧道选择最近的2个pop(基于在Citrix SD-WAN Orchestrator中创建的站点的地理位置)。最多选择2个pop来创建到两个不同的pop的冗余ACTIVE-STANDBY隧道。
请注意
确保在站点级别配置中配置分支的正确站点地址,以便可以自动选择最接近的PoP。
选择必须从Citrix SD-WAN站点自动配置到CSIA云PoP的站点。
![为SIA选择区域]()
选择使ECMP复选框中选择所需的站点。选中该选项后,在后端启用基于会话的ECMP负载均衡。验证您的设置并单击保存。
![SIA审核和保存]()
请注意
对于IPsec隧道,当存在多个可用的pop时,会在最近的两个pop之间创建主、从隧道。如果局点有多条公网链路,则IPsec隧道配置主备公网链路。
如果隧道类型为GRE,则需要提供GRE隧道IP地址/前缀输入并保存配置。
请注意
对于GRE隧道,即使有多个可用的PoP,它也总是只连接最近的一个SIA PoP。如果部署的站点有多条internet WAN链路,则只使用其中一条internet WAN链路进行连接。
添加站点后,如果服务供应在服务定义,则表示站点发放成功(状态显示“站点发放成功”)。
在部署配置之前,您还可以配置应用程序路由直连流量这个服务。
添加站点成功后,需要验证、阶段和激活配置,使Citrix SD-WAN与CSIA云PoP之间能够建立IPsec隧道。在客户级别,导航到配置>网络家园。在右上角,单击更多的并选择*部署配置/软件。你会被重定向到部署页面。或者,您可以导航到配置>部署为了去部署页面。
点击阶段和激活并确保部署的站点指示的状态激活完成。
配置激活成功后,IPsec隧道部署完成。如果连接CSIA网络/添加站点失败或隧道状态不佳,请单击刷新重新配置或重试连接。
一旦隧道配置成功并UP,则信息图标提供CSIA隧道配置和状态的详细信息。可以通过本端和远端端点验证隧道状态。同时,还可以查看隧道的状态,包括入方向和出方向的统计信息。
还可以选择IPsec隧道的具体的网站从报表>实时>统计信息> IPSec隧道>点击检索最新数据。
你可以编辑或删除的特定于站点的CSIA配置行动列。单击,一次删除所有CSIA配置的站点删除所有。
流量重定向
配置隧道后,需要引导流量进入这些隧道。流量重定向可以通过为某个服务分配路由(应用程序路由)来实现。通过包含相应的应用程序来创建应用程序路由,这些应用程序必须通过CSIA服务进行引导。
对于CSIA,您可以选择默认的应用组,也可以创建应用组并分配给CSIA服务。请根据需要执行以下操作:
单击默认SIA组链接,您可以选择所有应用程序复选框下的默认CSIA组。
下应用组匹配标准节中,选择应用程序类型和应用程序从下拉列表中单击添加。
点击保存配置所选的匹配条件,根据您的选择,将流量隧道到CSIA。
请注意
为交通转向缺省情况下,路由开销值为45。如果在此环境中配置了Internet Service或回程路由,则需要将这些路由配置更高的路由开销,以便优先使用CSIA重定向。例如,如果使能了“Internet服务”,则可以通过更新配置项来设置更高的路由开销成本字段。
请注意
你必须再表演一次阶段和激活从网络家园如果您在CSIA服务的初始设置过程中没有配置此页面,则可以使用此页面。
在这个SD-WAN网络中部署了Cloud Connector软件代理的任何用户设备也必须进行相应的引导。
SIA连接器互联网断开
如果分支上的客户机安装了云连接器代理,那么无论分支是否已隧道化,流量都已隧道化。为了避免双重重定向(通过云连接器代理和SD-WAN隧道),创建了一个自定义应用程序来过滤任何流向CSIA网关和报告节点的流量,以及云连接器预期使用的其他已知TCP端口,并绕过隧道使用它们。这允许使用云连接器管理设备的用户自由访问SD-WAN站点。被管理的设备使用云连接器可以利用Internet服务,而非被管理的设备使用隧道进行重定向。
的启用SIA采集器Internet直通功能该选项默认为启用状态。要在网络级别禁用,请导航到交付渠道>服务定义>思杰安全互联网接入>默认SIA组。
点击刷新。
自定义应用程序Default_SIA_Connector_App来过滤云连接器流量是自动创建的。
为与CSIA网关关联的公共IP地址的端口创建一个允许列表匹配条件。
还会自动创建应用程序路由,将自定义应用程序流量引导到目标站点的Internet服务。
云直接服务
Cloud Direct服务将SD-WAN功能作为一种云服务,通过可靠和安全的方式交付所有与互联网绑定的流量,而不受主机环境(数据中心、云和互联网)的影响。
云直接服务:
- 改善网络可见性和管理。
- 使合作伙伴能够为其最终客户提供关键业务SaaS应用程序的托管SD-WAN服务。
好处
云直连服务提供以下优势:
- 冗余:使用多个internet WAN链路,提供无缝故障切换。
- 链路聚合:同时使用所有internet广域网链路。
- 跨不同提供商的WAN连接的智能负载平衡:
- 测量丢包、抖动和吞吐量。
- 自定义应用程序标识。
- 应用需求与电路性能匹配(适应实时网络条件)。
- 互联网电路的sla级动态QoS能力:
- 动态适应不同的电路吞吐量。
- 通过入口和出口端点的隧道进行适应。
- 在不掉线的情况下在电路之间重新路由VOIP呼叫。
- 端到端监控和可见性。
为以下内容配置站点云直接服务,从客户层面,导航到配置>交付渠道>服务定义然后点击云直接服务SaaS瓦下SaaS和云入站服务。
您还可以配置云直接服务“配置> SaaS和云入站服务>云直连”。
以下是一些支持的设置:
添加云直连站点
当你点击添加云直连站点链接时,站点选择器进入页面。您可以浏览或搜索下面的站点、地区和组列表。您可以添加/删除整个区域和组,或者单击它们并选择其成员的子集。完成后,单击保存。
默认的Cloud Direct应用组
要通过云直接引导特定的应用程序,您可以从默认的Cloud Direct应用组链接。
- 所有应用程序:启用此复选框将通过云直连服务重定向所有与互联网绑定的流量。以下选定的应用程序都不会被考虑用于流量转向路由策略。
- 范围:
- 全球的路线:当选择此选项时,作为此默认组的一部分添加的应用程序路由适用于部署Cloud Direct Service的所有站点。
- 站点/组特定路由:当这个选项被选中时,可以在站点级别或全局路由部分中引导应用程序的路由,将其绑定到特定的站点。
- 交通转向:
- 送货服务:这表示云直接服务。
- 成本:反映各路由的相对优先级。成本越低,优先级越高。
- 下应用组匹配标准节中,选择应用程序类型和应用程序从下拉列表中单击添加。
- 点击保存配置所选的匹配条件。
你可以选择地区并选择相应的站点。
选中所有站点后单击“保存”,将显示站点名称、平台、订阅带宽、计费模式等信息。您可以选择修改订阅带宽和计费模型。
可以看到站点已创建成功,详细信息如下:
- 网站的地位:显示局点是否部署状态。如果已部署,该状态将提示Cloud Direct站点是否在线。
- 网站的名字:显示部署Cloud Direct特性的站点名称。
- 平台:对于选定的站点,相应的设备模型名称将自动填充并显示在这里,例如- 210-SE。
- 计费状态:显示计费状态。
- 授权云直连带宽(Mbps):显示Cloud Direct订阅带宽信息。订阅带宽与Cloud Direct服务的许可相关联。
- 已启用链路数:显示该服务使能的WAN链路数。
- 行动:您可以选择删除为此SD-WAN设备创建的Cloud Direct站点配置,或者以只读模式查看Cloud Direct站点配置和WAN链路详细信息。
单击站点条目,您可以编辑订阅带宽并对为此服务选择的WAN链接进行更改。此外,您还可以在每个选定的WAN链路上编辑Cloud Direct服务的入口(上传)和出口(下载)速度。
请注意
- 默认情况下,它会选择前四条internet WAN链路。
- “Cloud Direct”上传下载速度不能大于“订阅带宽”值。
可以为基于应用的路由创建应用对象。通过包含相应的应用程序来创建应用程序路由,这些应用程序必须通过Cloud Direct服务进行引导。有关更多信息,请参见路由策略。
互联网服务
互联网服务默认情况下作为交付服务的一部分可用。要配置Internet服务,从客户级别导航到配置>交付渠道>服务定义。在SD-WAN服务节中,选择直接接驳互联网平铺,然后点击添加。
您可以配置以下互联网服务:
- 即使所有相关的路径都已关闭,也可以从链接保留到Internet的路由:可配置Internet业务相对于其他投递业务的路由开销。使用此服务,即使所有相关的路径都关闭,您也可以保留从链接到Internet的路由。如果与WAN链路关联的所有路径都失效,则SD-WAN设备使用此路由发送/接收Internet流量。
- 使用ICMP探测确定链路的Internet可达性:指定公网链路到外网的显式服务器,开启ICMP探测功能。通过设置ICMP探测,当链路的成员路径启动或从服务器接收到ICMP探测响应时,SD-WAN设备将Internet链路视为已启动。
- IPv4 ICMP端点地址:目的IPv4地址或服务器地址。
- 探测间隔(秒): SD-WAN设备在Internet配置的WAN链路上发送探测的时间间隔。缺省情况下,SD-WAN设备每5秒在配置的WAN链路上发送一次探测。
- 重试:在确定WAN链路是否正常之前可以尝试的重试次数。在连续3次探测失败后,广域网链路被认为是死的。最大重试次数为10次。
内联网服务
可以创建多个内网服务。若要添加内部网服务,请从客户级别导航到配置>交付渠道>服务定义。在内联网服务部分中,点击添加。
一旦在全局级创建了内网服务,就可以在WAN Link级引用它。提供一个服务名称,选择所需的路由域和防火墙区。在整个网络中添加所有内网IP地址,以便网络中的其他站点可以进行交互。您还可以保留从该链路到内网的路由,即使所有相关的路径都关闭了。
GRE考试服务
可以配置SD-WAN设备来终止局域网内的GRE隧道。
若要添加GRE服务,请从客户级别导航到配置>交付渠道>服务定义。您还可以导航到GRE考试服务配置页面“配置>安全”。
在IPsec和GRE节,导航到IPsec服务并点击添加。
GRE的细节:
- 服务类型:选择GRE隧道使用的服务。
- 名字: LAN GRE服务名称。
- 路由域: GRE隧道的路由域。
- 防火墙区:隧道选择的防火墙区域。缺省情况下,将隧道置于Default_LAN_Zone中。
- MTU:最大传输单位——可以通过特定链路传输的最大IP数据报的大小。取值范围是576到1500。缺省值是1500。
- 让......活着:发送保持连接消息的间隔时间。如果配置为0,则不发送keep alive报文,但隧道保持up状态。
- Keep alive重试:在关闭隧道之前,Citrix SD-WAN设备发送keep alive数据包而没有响应的次数。
- 校验和:开启或关闭隧道GRE报文头校验和功能。
网站绑定:
- 网站的名字: GRE隧道映射的站点。
- 源IP:隧道的源IP地址。这是在该站点上配置的虚拟接口之一。选择的路由域决定可用的源IP地址。
- 公共资源IP:当隧道流量经过NAT转换时,为源IP。
- 目的地IP:隧道目的IP地址。
- 隧道IP /前缀: GRE隧道的IP地址和前缀。
- 隧道网关IP:隧道流量的下一跳地址。
- 局域网网关IP: LAN流量的下一跳地址。
Zscaler服务
Zscaler云安全平台在全球100多个数据中心提供了一系列的安全检查点。通过简单地将互联网流量重定向到Zscaler服务,您可以立即保护您的商店、分支机构和远程位置。
Citrix SD-WAN Orchestrator服务为Zscaler Cloud提供合作伙伴身份验证。要进行身份验证,请单击设置下的Zscaler旁边的图标云安全服务部分。
要从客户级别进行身份验证,请导航到配置>交付渠道>服务定义。在云安全服务节,单击Zscaler瓷砖。的Zscaler设置进入页面。
您还可以导航到Zscaler配置页面“配置>安全”。
在Zscaler设置页,单击身份验证链接。的Zscaler认证信息进入页面。
在Zscaler认证信息页,输入你的用户名和密码。
云的名字:管理员用于登录Zscaler服务的URL中可用的云名称。下面以help.zscaler.com为URL, Zscaler.com为云名称为例。
![云的名字]()
为了最大限度地提高运营效率,Zscaler构建了具有高可扩展性的全球多云基础架构。为组织提供对特定Zscaler云的访问权限,以登录到其管理门户。同样的Zscaler云负责处理从该组织发起的流量。
API密匙:合作伙伴集成思杰SD-WAN密钥。
在Zscaler设置页面,点击添加网站为Zscaler服务添加站点。的编辑Zscaler设置进入页面。
SD-WAN站点与Zscaler云网络中的Zscaler强制节点之间建立IPsec隧道。zen对流量进行双向检查,并执行安全和遵从性策略。
使ECMP:当……使ECMP复选框,则为Zscaler服务启用ECMP负载均衡。
自动弹出选择当选择时,Citrix SD-WAN Orchestrator服务会根据对WAN链接的IP地址的地理位置查找,自动选择离您的站点最近的主ZEN和从ZEN。清除后,手动选择zen。
主Zscaler区域:主ZEN所在的区域。
主Zscaler Pop:初级禅宗。
二级Zscaler区域:备用ZEN所在的区域。
二级Zscaler Pop:次ZEN。
选择地区和网站。
成功添加站点后,验证、执行并激活配置。激活配置成功后,IPsec隧道部署完成。的信息图标提供了Zscaler隧道配置和状态的详细信息。如果连接Zscaler网络失败/添加站点失败,请单击刷新在Zscaler设置页面上重试连接。
为Zscaler服务分配带宽。Zscaler服务的特定于链路的wan链路配置允许您指定不同的带宽分配,而不是全局分配。
你可以编辑或删除的特定于站点的Zscaler配置行动列。单击,一次删除所有配置了Zscaler的站点删除所有。
IPsec服务
思杰SD-WAN设备可以与LAN或WAN端的第三方对等体协商固定的IPsec隧道。您可以定义隧道端点,并将站点映射到隧道端点。
您还可以选择并应用定义安全协议和IPsec设置的IPsec安全配置文件。
配置IPsec隧道,从客户端进入到配置>交付渠道>服务定义。您还可以导航到IPsec服务页面从“配置>安全”。
在IPsec和GRE>IPsec服务部分中,点击添加。的编辑IPsec服务进入页面。
指定服务详细信息。
- 服务名称: IPsec服务的名称。
- 服务类型:选择IPsec隧道使用的业务。
- 路由域:对于局域网内的IPsec隧道,选择路由域。当IPsec隧道使用内网服务时,路由域由内网服务决定。
- 防火墙区:隧道所属的防火墙区域。缺省情况下,Tunnel被放置在Default_LAN_Zone中。
- 使ECMP:当……使ECMP选中,则IPsec隧道启用ECMP负载分担。
- ECMP类型:根据需要选择ECMP负载均衡机制的类型。有关ECMP类型的详细信息,请参见ECMP负载均衡。
添加隧道端点。
- 名字:当服务类型选择“内网”,选择隧道保护的“内网服务”。否则,请输入服务名称。
- 同行的IP:远端对等体IP地址。
- IPsec配置文件: IPsec安全配置文件,定义安全协议和IPsec设置。
- 预共享密钥: IKE认证时使用的预共享密钥。
- 对端预共享密钥: IKEv2认证时使用的预共享密钥。
- 身份数据:当使用手动标识或用户FQDN类型时,用作本地标识的数据。
- 对等体身份数据:当使用手动身份或用户FQDN类型时,用作对等体身份的数据。
- 证书:如果选择“证书”作为IKE认证方式,请在已配置的证书中进行选择。
将站点映射到隧道端点。
- 选择端点:需要映射到站点的端点。
- 网站的名字:待映射到端点的站点。
- 虚拟接口名称:终端所在局点的虚拟接口。
- 当地的知识:作为本端隧道端点的本端虚拟IP地址。
- 网关IP:下一跳地址。
创建受保护网络。
- 源网络IP/前缀: IPsec隧道保护的网络流量的源IP地址和前缀。
- 目的网络IP/前缀: IPsec隧道保护的网络流量的目的IP地址和前缀。
确保IPsec配置镜像到对等设备上。
![IPsec服务]()
有关更多信息,请参见如何配置虚拟路径和动态路径的IPsec隧道。
请注意
Citrix SD-WAN Orchestrator服务支持通过IPsec连接Oracle Cloud Infrastructure (OCI)。
IPsec加密配置文件
要在客户级别添加IPsec加密配置文件,请导航到配置>交付渠道>服务定义。您还可以导航到IPsec加密配置文件配置页面“配置>安全”。
在IPsec和GRE部分中,选择管理加密IPSec配置文件。
IPsec提供安全的隧道。思杰SD-WAN支持IPsec虚拟路径,允许第三方设备在思杰SD-WAN设备的LAN端或WAN端终止IPsec VPN隧道。您可以通过使用140-2 Level 1 FIPS认证的IPsec加密二进制来保护在SD-WAN设备上终止的点到点IPsec隧道。
Citrix SD-WAN还支持弹性IPsec隧道,采用差异化的虚拟路径隧道机制。
IPsec安全框架用于配置IPsec服务作为交付服务集。在IPsec安全配置文件页面中,输入以下所需的值IPsec加密配置文件、IKE设置、和IPsec的设置。
点击验证配置验证任何审计错误。
IPsec加密配置文件信息:
- 配置文件名称:提供配置文件名称。
- MTU: IKE或IPsec最大报文大小,单位为字节。
- 让......活着:选中复选框,使隧道处于激活状态,使能路由资格。
艾克版本:在下拉列表中选择IKE协议版本。
![IPsec profitencryption信息]()
艾克设置
- 模式:在下拉列表中选择IKE阶段1的协商模式为“主模式”或“野蛮模式”。
- 主要:在协商过程中不向潜在攻击者暴露任何信息,但速度比野蛮模式慢。主要模式是FIPS兼容的。
- 咄咄逼人的:一些信息(如协商对等体的身份)在协商过程中暴露给潜在的攻击者,但速度比Main模式快。咄咄逼人的mode为Non-FIPS compliant。
- 身份验证:在下拉菜单中选择认证类型为证书或预共享密钥。
- 对等的身份验证:在下拉列表中选择对端认证类型。
- 身份:在下拉列表中选择标识方式。
- 对等的身份:在下拉列表中选择对端标识方式。
- DH组:选择可用于生成IKE密钥的DH组。
- DPD超时(秒):输入VPN连接的死亡对等体检测超时时间(秒)。
- 散列算法:在下拉列表中选择对IKE消息进行认证的哈希算法。
- 完整性算法:选择HMAC验证时使用的IKEv2哈希算法。
- 加密模式:在下拉列表中选择IKE消息的“加密模式”。
- 安全关联生存期(s):输入IKE安全关联存在的时间,单位为秒。
- Security Association Lifetime (s)最大值:允许IKE安全关联存在的最大时间,单位为秒。
IPsec的设置
隧道式:选择ESP,ESP +身份验证,ESP +零,或啊从下拉列表中选择隧道的封装类型。它们被分组在FIPS兼容和非FIPS兼容的类别下。
- ESP:对用户数据进行加密
- ESP +身份验证:对用户数据进行加密,包含HMAC
- ESP +零:报文只认证不加密
- 啊:只包含HMAC
- PFS集团:从下拉菜单中选择用于完美前向保密密钥生成的Diffie-Hellman组。
- 加密模式:在下拉菜单中选择IPsec消息的加密模式。
- 散列算法: HMAC验证有MD5、SHA1和SHA-256三种哈希算法。
- 网络不匹配:在下拉菜单中选择报文不匹配IPsec隧道的“受保护网络”时的处理方式。
- 安全关联生存期(s):输入IPsec安全联盟存在的时间,单位为秒。
- Security Association Lifetime (s)最大值:输入允许IPsec安全关联存在的最大时间,单位为秒。
- 安全关联生存期(KB):输入IPsec安全关联的存在数据量,单位为千字节。
- Security Association Lifetime (KB)最大值:输入允许IPsec安全关联存在的最大数据量,单位为千字节。
静态虚拟路径
虚拟路径设置继承自全局广域网链路自动路径设置。您可以覆盖这些配置,并添加或删除成员路径。您还可以根据站点和应用的QoS配置文件对虚拟路径进行过滤。为WAN链路指定一个可以ping通的跟踪IP地址,以确定WAN链路的状态。您还可以为反向路径指定一个反向跟踪IP,以便能够ping通反向路径,以确定反向路径的状态。
要配置静态虚拟路径,请从客户级别导航到配置>交付渠道,并按静态虚拟路径瓷砖。
以下是一些支持的设置:
- 按需带宽列表:
- 覆盖全局按需带宽限制:启用后,全局带宽限制值将替换为局点带宽限制值。
- WAN到lan的最大总带宽,占虚拟路径中非备用WAN链路提供的带宽的百分比(%):更新最大带宽限制,单位为%。
- Global Default per Link:跨虚拟路径的相对带宽分配:
- 开启跨虚拟路径带宽自动发放功能:启用后,根据远端站点占用带宽的大小,自动计算并应用所有业务的带宽。
- 每条虚拟路径的最小预留带宽(Kbps):每条广域网链路上为每个业务预留的最大带宽。
动态虚拟路径设置
全局动态虚拟路径设置允许管理员配置跨网络的动态虚拟路径默认值。
动态虚拟路径在两个站点之间动态实例化,以实现直接通信,而无需任何中间SD-WAN节点跳转。类似地,动态虚拟路径连接也会被动态删除。动态虚拟路径的创建和删除都是基于带宽阈值和时间设置触发的。
要配置动态虚拟路径,请从客户级别导航到配置>交付渠道>服务定义,并按动态虚拟路径瓷砖。
以下是一些支持的设置:
- 配置以启用或禁用网络中的动态虚拟路径
- 动态虚拟路径的路由开销
- 要使用的QoS配置文件标准默认情况下。
动态虚拟路径创建标准:
- 测量间隔(秒):测量数据包计数和带宽以确定是否必须在两个站点之间创建动态虚拟路径的时间量-在本例中,在给定分支和控制节点之间。
- 吞吐量阈值(kbps):两个站点之间的总吞吐量的阈值,通过测量时间间隔,触发动态虚拟路径。在这种情况下,阈值适用于控制节点。
- 吞吐量阈值(pps)—两个站点之间的总吞吐量的阈值,通过测量时间间隔,触发动态虚拟路径。
动态虚拟路径移除标准:
- 测量间隔(分钟):测量数据包计数和带宽以确定是否必须在两个站点之间(在本例中是给定分支和控制节点之间)移除动态虚拟路径的时间。
- 吞吐量阈值(kbps)—两个站点之间的总吞吐量的阈值,通过测量时间间隔,此时动态虚拟路径将被移除。
- 吞吐量阈值(pps)—两个站点之间的总吞吐量的阈值,通过测量时间间隔,此时动态虚拟路径将被移除。
计时器
- 清除失效虚拟路径的等待时间(m): DEAD动态虚拟路径被移除的时间。
- 失效虚拟路径重建前的保持时间(m):被移除为DEAD状态的动态虚拟路径可以重新创建的时间。
- 按需带宽列表
- 覆盖全局按需带宽限制:启用后,全局带宽限制值将替换为局点带宽限制值。
- WAN到lan的最大总带宽,占虚拟路径中非备用WAN链路提供的带宽的百分比(%):更新最大带宽限制,单位为%。
点击验证配置验证任何审计错误。