深信服SD-WAN产品使用说明书

1、 PAGE 13深信服SD-WAN产品使用手册目 录 HYPERLINK l _bookmark2 前言11 HYPERLINK l _bookmark3 手册内容11 HYPERLINK l _bookmark4 本书约定12 HYPERLINK l _bookmark5 技术支持13 HYPERLINK l _bookmark6 致谢13 HYPERLINK l _bookmark7 第 1 章 SDWAN 的安装15 HYPERLINK l _bookmark8 1.1. 环境要求15 HYPERLINK l _bookmark9 1.2. 电源15 HYPERLINK l _bookm

2、ark10 产品形态15 HYPERLINK l _bookmark11 SD-WAN-MIG 一体化网关16 HYPERLINK l _bookmark12 SD-WAN-WOC16 HYPERLINK l _bookmark13 SDWAN 虚拟网元16 HYPERLINK l _bookmark14 管控平台 X-Central17 HYPERLINK l _bookmark15 硬件性能参数18 HYPERLINK l _bookmark16 配置与管理19 HYPERLINK l _bookmark17 设备接线方式19 HYPERLINK l _bookmark18 设备开机方式2

3、0 HYPERLINK l _bookmark19 第 2 章 SDWAN 组网方式21 HYPERLINK l _bookmark20 hub-spoken 组网21 HYPERLINK l _bookmark21 full mesh 组网21 HYPERLINK l _bookmark22 partial mesh 组网22 HYPERLINK l _bookmark23 第 3 章 SDWAN 的部署24 HYPERLINK l _bookmark24 网关模式部署24 HYPERLINK l _bookmark25 网桥模式部署24 HYPERLINK l _bookmark26 网桥

4、 VPN 模式部署25 HYPERLINK l _bookmark27 网桥多线路模式部署26 HYPERLINK l _bookmark28 双网桥模式部署27 HYPERLINK l _bookmark29 单臂模式的部署28 HYPERLINK l _bookmark30 双单臂模式部署30 HYPERLINK l _bookmark31 第 4 章 SD-WAN 易部署和应用选路32 HYPERLINK l _bookmark32 分支邮件易部署32 HYPERLINK l _bookmark33 AutoVPN33 HYPERLINK l _bookmark34 SD-WAN 应用选

5、路34 HYPERLINK l _bookmark35 指定线路34 HYPERLINK l _bookmark36 高质量选路选路34 HYPERLINK l _bookmark37 按剩余带宽负载35 HYPERLINK l _bookmark38 带宽叠加35 HYPERLINK l _bookmark39 线路质量探测原理与淘汰机制36 HYPERLINK l _bookmark40 第 5 章 SDWAN 终端设备38 HYPERLINK l _bookmark41 ssh 登录38 HYPERLINK l _bookmark42 登录 WebUI 配置界面38 HYPERLINK

6、l _bookmark43 5.3. 状态39 HYPERLINK l _bookmark44 广域网优化状态39 HYPERLINK l _bookmark45 流量监控42 HYPERLINK l _bookmark46 DHCP 状态48 HYPERLINK l _bookmark47 设备运行状态48 HYPERLINK l _bookmark48 EoIP 状态48 HYPERLINK l _bookmark49 路由设置49 HYPERLINK l _bookmark50 系统设置50 HYPERLINK l _bookmark51 部署设置54 HYPERLINK l _book

7、mark52 路由设置85 HYPERLINK l _bookmark53 用户管理93 HYPERLINK l _bookmark54 网络对象97 HYPERLINK l _bookmark55 DHCPv4 设置105 HYPERLINK l _bookmark56 DHCPv6 设置108 HYPERLINK l _bookmark57 Syslog & SNMP109 HYPERLINK l _bookmark58 SC 设置113 HYPERLINK l _bookmark59 SD-WAN VPN114 HYPERLINK l _bookmark60 SDWAN 选路114 HY

8、PERLINK l _bookmark61 5.5.2. 服务端115 HYPERLINK l _bookmark62 5.5.3. 客户端134 HYPERLINK l _bookmark63 5.5.4. 多线路137 HYPERLINK l _bookmark64 第三方认证140 HYPERLINK l _bookmark65 高级设置144 HYPERLINK l _bookmark66 SD-WAN VPN153 HYPERLINK l _bookmark67 第一阶段153 HYPERLINK l _bookmark68 第二阶段156 HYPERLINK l _bookmark

9、69 安全选项159 HYPERLINK l _bookmark71 EoIP 设置160 HYPERLINK l _bookmark72 流量管理164 HYPERLINK l _bookmark73 对象设置164 HYPERLINK l _bookmark74 策略设置177 HYPERLINK l _bookmark75 流控设置186 HYPERLINK l _bookmark76 策略故障排除206 HYPERLINK l _bookmark77 高级设置207 HYPERLINK l _bookmark78 应用识别210 HYPERLINK l _bookmark79 识别是管

10、理的基础210 HYPERLINK l _bookmark80 应用库说明211 HYPERLINK l _bookmark81 NAT 设置212 HYPERLINK l _bookmark82 代理上网网段212 HYPERLINK l _bookmark83 端口映射214 HYPERLINK l _bookmark84 安全防护能力216 HYPERLINK l _bookmark85 端对端传输加密216 HYPERLINK l _bookmark86 过滤规则217 HYPERLINK l _bookmark87 防 DoS 攻击219 HYPERLINK l _bookmark8

11、8 ARP 欺骗防护221 HYPERLINK l _bookmark89 涉及产品222 HYPERLINK l _bookmark90 僵木蠕一次清理，保障终端安全223 HYPERLINK l _bookmark91 已知威胁223 HYPERLINK l _bookmark92 未知威胁224 HYPERLINK l _bookmark93 高可用冗余保护225 HYPERLINK l _bookmark94 双机部署方式226 HYPERLINK l _bookmark95 双机维护227 HYPERLINK l _bookmark96 5.13. 维护229 HYPERLINK l

12、 _bookmark97 5.13.1. 日志230 HYPERLINK l _bookmark98 5.13.2. 序列号231 HYPERLINK l _bookmark99 5.13.3. 自动升级232 HYPERLINK l _bookmark100 5.13.4. 备份/恢复233 HYPERLINK l _bookmark101 5.13.5. 关机236 HYPERLINK l _bookmark102 页面控制台236 HYPERLINK l _bookmark103 远程技术支持238 HYPERLINK l _bookmark104 第 6 章 方案整体设计240 HYP

13、ERLINK l _bookmark105 6.1. 总部端240 HYPERLINK l _bookmark106 241 HYPERLINK l _bookmark106 241 HYPERLINK l _bookmark106 241 HYPERLINK l _bookmark106 6.2. 数据中心互联241 HYPERLINK l _bookmark107 6.3. 分支端242 HYPERLINK l _bookmark108 大中型分支243 HYPERLINK l _bookmark109 跨国分支244 HYPERLINK l _bookmark110 智能应用选路245

14、HYPERLINK l _bookmark111 第 7 章 广域网优化（SD-WAN 接入网元）251 HYPERLINK l _bookmark112 分钟级上线251 HYPERLINK l _bookmark113 AUTO VPN252 HYPERLINK l _bookmark114 广域网数据传输优化253 HYPERLINK l _bookmark115 广域网传输安全加固262 HYPERLINK l _bookmark116 广域网立体安全防护263 HYPERLINK l _bookmark117 应用及流量可视化，打造一张可管理的广域网267 HYPERLINK l _

15、bookmark118 应用识别功能267 HYPERLINK l _bookmark119 对象设置270 HYPERLINK l _bookmark120 策略设置283 HYPERLINK l _bookmark121 流控设置292 HYPERLINK l _bookmark122 HTP 高速传输协议解决高延迟高丢包312 HYPERLINK l _bookmark123 改进型 TCP 实现快速 TCP 传输314 HYPERLINK l _bookmark124 冗余数据削减技术，提高带宽吞吐314 HYPERLINK l _bookmark125 基于码流特征的数据优化314

16、HYPERLINK l _bookmark126 高效的数据流压缩算法316 HYPERLINK l _bookmark127 全局 IP 流量压缩，降低 TCP 和 UDP 流量占用316 HYPERLINK l _bookmark128 应用加速，提升核心业务系统访问速度，提升工作效率317 HYPERLINK l _bookmark129 传输协议优化317 HYPERLINK l _bookmark130 应用协议优化318 HYPERLINK l _bookmark131 CIFS 协议优化技术318 HYPERLINK l _bookmark132 HTTP 和 FTP 协议优化技

17、术319 HYPERLINK l _bookmark133 Exchange MAPI 协议优化技术320 HYPERLINK l _bookmark134 RDP 与 Citrix ICA 协议优化技术320 HYPERLINK l _bookmark135 OracleTNS 协议优化技术320 HYPERLINK l _bookmark136 常见应用系统加速效果321 HYPERLINK l _bookmark137 广域网流量管理，实现流量整形和基于应用的带宽保障322 HYPERLINK l _bookmark138 基于应用和内容的流量管理技术322 HYPERLINK l _b

18、ookmark139 带宽通道实现智能带宽保证322 HYPERLINK l _bookmark140 虚拟线路技术有效保障视频会议带宽，提升访问体验323 HYPERLINK l _bookmark141 视频会议优化，零距离协同办公323 HYPERLINK l _bookmark142 智能带宽保障323 HYPERLINK l _bookmark143 丢包补偿（UDP 代理+FEC 前向校验）324 HYPERLINK l _bookmark144 业务数据压缩325 HYPERLINK l _bookmark145 SD-WAN 广域网优化其他亮点技术326 HYPERLINK l

19、 _bookmark146 移动客户端的广域网优化326 HYPERLINK l _bookmark147 多线路复用327 HYPERLINK l _bookmark148 HTTP 和 FTP 文件预取功能327 HYPERLINK l _bookmark149 数据中心智能报表，帮助用户智慧决策328 HYPERLINK l _bookmark150 策略路由329 HYPERLINK l _bookmark151 SD-WAN 广域网优化能为您解决的问题329 HYPERLINK l _bookmark152 服务配置说明331 HYPERLINK l _bookmark153 应用设

20、置332 HYPERLINK l _bookmark154 流缓存设置339 HYPERLINK l _bookmark155 视频优化设置339 HYPERLINK l _bookmark156 7.14.4. 服务端340 HYPERLINK l _bookmark157 7.14.5. 客户端346 HYPERLINK l _bookmark158 数字证书352 HYPERLINK l _bookmark159 高级设置359 HYPERLINK l _bookmark160 LDAP 服务器362 HYPERLINK l _bookmark161 高级设置364 HYPERLINK

21、l _bookmark162 第 8 章 灰白盒化交付369 HYPERLINK l _bookmark163 产品介绍369 HYPERLINK l _bookmark164 集中可视可控运营管理371 HYPERLINK l _bookmark165 第 9 章 虚拟化 SD-WAN377 HYPERLINK l _bookmark166 性能部署要求377 HYPERLINK l _bookmark167 场景描述377 HYPERLINK l _bookmark168 性能相关要求377 HYPERLINK l _bookmark169 检测性能参数377 HYPERLINK l _b

22、ookmark170 场景拓扑378 HYPERLINK l _bookmark171 前期准备378 HYPERLINK l _bookmark172 共享镜像378 HYPERLINK l _bookmark173 部署操作378 HYPERLINK l _bookmark174 9.3.1. 云部署378 HYPERLINK l _bookmark175 WOC 基础配置398 HYPERLINK l _bookmark176 VPN 配置402 HYPERLINK l _bookmark177 配置引流策略405 HYPERLINK l _bookmark178 验证 VPN 业务40

23、5 HYPERLINK l _bookmark179 业务配置406 HYPERLINK l _bookmark180 加速配置406 HYPERLINK l _bookmark181 流量管理406 HYPERLINK l _bookmark182 SDWAN 智能选路406 HYPERLINK l _bookmark183 9.5. FAQ407 HYPERLINK l _bookmark184 第 10 章 SDWAN 管控平台使用说明408 HYPERLINK l _bookmark185 平台性能参数408 HYPERLINK l _bookmark186 首页地图408 HYPER

24、LINK l _bookmark187 智能监控410 HYPERLINK l _bookmark188 智能告警410 HYPERLINK l _bookmark189 设备配置管理411 HYPERLINK l _bookmark190 Restful API412 HYPERLINK l _bookmark191 协议规范说明412 HYPERLINK l _bookmark192 用户管理接口格式413 HYPERLINK l _bookmark193 设备管理接口格式414 HYPERLINK l _bookmark194 虚拟网元管理网络编排接口格式414 HYPERLINK l

25、_bookmark195 设备功能调用接口格式415 HYPERLINK l _bookmark196 平台管理接口格式415 HYPERLINK l _bookmark197 数据分析输出接口格式415 HYPERLINK l _bookmark198 第 11 章 数据中心的使用417 HYPERLINK l _bookmark199 11.1. 首页417 HYPERLINK l _bookmark200 流量分析418 HYPERLINK l _bookmark201 流量排名418 HYPERLINK l _bookmark202 带宽分布421 HYPERLINK l _bookm

26、ark203 带宽优化423 HYPERLINK l _bookmark204 11.4. 报表425 HYPERLINK l _bookmark205 11.5. 日志430 HYPERLINK l _bookmark206 管理日志430 HYPERLINK l _bookmark207 防火墙日志431 HYPERLINK l _bookmark208 系统设置433 HYPERLINK l _bookmark209 数据库清理433 HYPERLINK l _bookmark210 11.6.2. 设置434 HYPERLINK l _bookmark211 11.6.3. 子网435

27、 HYPERLINK l _bookmark212 第 12 章 案例集438 HYPERLINK l _bookmark213 双单臂模式部署配置案例438 HYPERLINK l _bookmark214 VLAN 环境下的单网桥部署配置案例439 HYPERLINK l _bookmark215 网桥 VPN 部署配置案例442 HYPERLINK l _bookmark216 网桥多线路部署配置案例443 HYPERLINK l _bookmark217 WCCP 的应用场景及配置案例445 HYPERLINK l _bookmark218 MAC 跟踪的应用场景及配置案例447 HY

28、PERLINK l _bookmark219 加速本地子网和静态路由的配置案例450 HYPERLINK l _bookmark220 网关 VPN 模式 EoIP 部署案例452 HYPERLINK l _bookmark221 添加加速用户的案例460 HYPERLINK l _bookmark222 Sangfor VPN 的配置案例462 HYPERLINK l _bookmark223 隧道内 NAT 案例462 HYPERLINK l _bookmark224 移动 PDLAN 用户接入 WOC 设备的案例466 HYPERLINK l _bookmark225 VPN 内网权限的

29、设置案例472 HYPERLINK l _bookmark226 VPN 多线路配置案例476 HYPERLINK l _bookmark227 移动用户使用 LDAP 认证接入案例481 HYPERLINK l _bookmark228 VPN 多子网配置案例484 HYPERLINK l _bookmark229 通过隧道间路由实现分支间互访的案例487 HYPERLINK l _bookmark230 通过目的路由用户上网的配置案例489 HYPERLINK l _bookmark231 和 CISCO PIX 标准 IPSEC VPN 互连的案例492 HYPERLINK l _boo

30、kmark232 WOC 加速互连的案例500 HYPERLINK l _bookmark233 为分支 WOC 设备创建用户并关联策略的案例500 HYPERLINK l _bookmark234 加速 HTTP 或 HTTPS 访问的 Oracle EBS 案例501 HYPERLINK l _bookmark235 加速访问 Citrix 服务器的案例504 HYPERLINK l _bookmark236 加速访问 RDP 服务器的案例507 HYPERLINK l _bookmark237 跟总部建立加速连接的配置案例510 HYPERLINK l _bookmark238 加速 O

31、utlook Anywhere 访问 Exchange 服务器的案例511 HYPERLINK l _bookmark239 使用透明传输模式的案例516 HYPERLINK l _bookmark240 使用反向加速建立双向加速连接的案例517 HYPERLINK l _bookmark241 对 FTP 服务器的预取案例524 HYPERLINK l _bookmark242 通过排除规则对指定网段进行加速的案例525 HYPERLINK l _bookmark243 UDP 优化配置案例527 HYPERLINK l _bookmark244 委派的配置案例532 HYPERLINK l

32、 _bookmark245 策略路由配置案例540 HYPERLINK l _bookmark246 综合案例546 HYPERLINK l _bookmark247 客户环境与需求546 HYPERLINK l _bookmark248 配置思路546 HYPERLINK l _bookmark249 总部 WOC 设备配置步骤547 HYPERLINK l _bookmark250 分支 WOC 设备配置步骤553 HYPERLINK l _bookmark251 附录 A：SANGFOR 设备升级系统的使用556 HYPERLINK l _bookmark252 附录 B：通过 USB

33、口恢复默认配置559 HYPERLINK l _bookmark253 功能 1：使用 U 盘查看网口配置559 HYPERLINK l _bookmark254 功能 2：使用 U 盘恢复控制台密码559 HYPERLINK l _bookmark255 注意事项560前言手册内容第 1 部分 SANGFOR SDWAN 产品介绍和安装。该部分主要介绍 SDWAN 的外观特点、配置方式以及连接前的准备和注意事项。第 2 部分 SANGFOR SDWAN 的部署。该部分主要介绍 SDWAN 设备的各种部署方式。第 3 部分 SANGFOR SDWAN 设备控制台的使用。该部分主要介绍 SDWA

34、N 设备控制台界面的使用及功能说明。第 4 部分 SANGFOR SDWAN 数据中心的使用。该部分主要介绍 SDWAN 设备内置数据中心的使用及功能说明。第 5 部分 案例集。该部分主要是一些 SDWAN 的典型案例及其配置方式。附录 A 升级系统的使用。附录 B 通过 USB 恢复默认配置。本手册以深信服 SDWAN-1000-D400 型号为例进行配置。不同型号产品硬件规格存在一定差异，但功能及配置方式没有区别。本书约定1、图形界面格式约定文字描述代替符号举例按钮边框+阴影+底纹“确定”按钮可简化为确定菜单项 菜单项“系统设置”可简化为系统设置连续选择菜单项及子菜单项选择系统设置接口配置

35、下拉框、单选框、复选框选项 复选框选项“启用用户”可简化为启用用户窗口名【 】如点击弹出【新增用户】窗口提示信息“ ”如提示框中显示“保存配置成功，配置已修改,需要重启服务才能生效，是否立即重启该服务?”2、CLI 约定当出现命令行界面(CLI)命令的语法时，使用以下约定：在中括号 中的任何内容都是可选的。在大括号 中的任何内容都是必需的。如果选项不止一个，则使用管道( | )分隔每个选项。例如：ip wccp 60 redirect in | out CLI 命令以加粗方式出现。例如：configure terminal变量以斜体方式出现。例如： interface e0/13、标志约定本书

36、还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：小心、注意：提醒操作中应注意的事项，不当的操作可能会导致设置无法生效、数据 丢失或者设备损坏。警告：该标志后的注释需给予格外的关注，不当的操作可能会给人身造成伤害。说明、提示、窍门：对操作内容的描述进行必要的补充和说明。第 1 章 SDWAN 的安装本部分主要介绍了 SANGFOR SDWAN 系列产品的硬件安装。硬件安装正确之后，您才可以进行配置和调试。环境要求SDWAN 设备可在如下的环境下使用： 工作电压：应能够工作在 100240V/47-63Hz 环境温度：-555 摄氏度 相对湿度：5%95%RH（非凝结）

37、 抗雷击：应符合YD/T993-2006电信终端设备防雷技术要求及试验方法标准要求。为保证系统能长期稳定地运行，应保证电源有良好的接地措施、防尘措施，保持使用环 境的空气通畅和室温稳定。本产品符合关于环境保护方面的设计要求，产品的安放、使用和 报废应遵照相关法律、法规要求进行。电源SANGFOR SDWAN 系列产品使用交流 120V 到 240V 电源。在您接通电源之前，请保证您的电源有良好的接地措施。SDWAN 设备需工作在稳定电压情况下，当电压波动频率较大时需额外添加稳压器。产品形态深信服 SD-WAN 产品形态分为物理网元和虚拟化网元两种形态。物理网元支持基于机框插槽式硬件路由器平台设

38、备。虚拟化网元应支持基于虚拟机的云化部署方式，并可基于容 器的部署方式。SD-WAN-MIG 一体化网关设备正面板图产品外观以实物为准，图片仅供参考。SD-WAN-WOC设备正面板图产品外观以实物为准，图片仅供参考。SDWAN 虚拟网元16虚拟网元云化部署管控平台X-Central管理平台云化部署产品外观以实物为准，图片仅供参考。硬件性能参数常用局端网元和平台参数：配置与管理在配置网关之前，您需要配备一台电脑，配置之前请确定该电脑的网页浏览器（只支持IE 内核的浏览器，比如 Internet Explorer、Maxthon 等，Opera、Firefox、Safari、Chrome 等浏览器

39、无法正常配置）能正常使用，然后把电脑与 SANGFOR SDWAN 设备 LAN 口连接在同一个局域网内，通过网络对设备进行配置。设备接线方式请依据不同设备型号，使用标准的 RJ-45 以太网线或光纤将 LAN 口与内部局域网连接， 对 SDWAN 设备进行配置。请依据不同设备型号，使用标准的 RJ-45 以太网线或光纤将 WAN1 口与 Internet 接入设备相连接，如路由器、光纤收发器或 ADSL Modem 等。请依据不同设备型号，使用标准 RJ-45 以太网线或光纤将 DMZ 口与 DMZ 区的网络连接，一般而言，DMZ 区放置对外提供服务的 WEB 服务器、EMAIL 服务器等。

40、SDWAN 可以为这些服务器提供安全保护。WAN 口连接路由器应使用交叉线；LAN 口连接交换机应使用直连线、直接连接电脑网口应使用交叉线。当指示灯显示正常，但不能正常连接的时候，请检查连接线是否使用 错误。直连网线与交叉网线的区别在于网线两端的线序不同，如下图:设备开机方式在设备背板连接电源线，依据不同型号，SDWAN 设备使用不同的开机方式。部分设备使用的是弹性开关，此开关按下之后会自动弹回，使用此开关的设备开机时需 要先按住开关几秒钟，待设备正常通电之后再松开即可。部分低端设备无开关按键，直接连接电源线即可。打开电源开关后，此时前面板 Power 灯(绿色，电源指示灯)和 Alarm 灯

41、(红色，告警灯) 会点亮，大约 1-2 分钟后 Alarm 灯熄灭，说明设备正常工作。SDWAN 正常工作时 ALARM 灯不亮，WAN 口和 LAN 口 LINK 灯长亮，ACT 灯在有数据流量时会不停闪烁。ALARM 红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在安装时此红灯长亮，请将设备断电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。第 2 章 SDWAN 组网方式根据用户使用环境的不同，SDWAN 设备支持以下三种组网方式。hub-spoken 组网SDWAN Hub-spoken 组网：full mesh 组网SDWAN full mesh 组网

42、：partial mesh 组网SDWAN partial mesh 组网：第 3 章 SDWAN 的部署根据用户使用环境的不同，SDWAN 设备支持以下七种部署模式：网关模式、网桥模式、网桥 VPN 模式、网桥多线路模式、双网桥模式、单臂模式和双单臂模式。网关模式部署SDWAN 设备网关模式部署，示例拓扑如下：配置步骤：第一步：配置设备 WAN、LAN 接口 IP 地址、DNS 地址以及安全防护能力规则。第二步：配置 VPN。第三步：配置广域网优化。网桥模式部署SDWAN 设备网桥模式部署，主要在 Internet 或者专线环境下，不想改变原有网络结构时部署，示例拓扑如下：配置步骤：第一步：

43、在系统部署设置网络接口里选择部署方式为只启用广域网优 化的网桥模式。第二步：配置逻辑接口 IP 地址、网关 IP 地址、管理 IP 地址以及 DNS 地址。第三步：配置广域网优化。网桥模式下，连接双方必须已经通过其他 VPN 设备建立好了 VPN 连接或者通过专线连接，且保证 2 个广域网优化设备互相能正常访问。网桥 VPN 模式部署SDWAN 设备网桥 VPN 模式部署，主要用于 Internet 或者专线环境下，网桥模式时还需要对数据进行加密传输，示例拓扑如下：配置步骤：第一步：在系统部署设置网络接口里选择部署方式为启用 VPN 和广域网优化的网桥模式。第二步：配置逻辑接口 IP 地址、网

44、关 IP 地址、管理 IP 地址以及 DNS 地址。第三步：配置 SANGFOR VPN。第四步：配置广域网优化。网桥多线路模式部署SDWAN 设备网桥线路备份模式部署，主要用于专线环境网桥模式下，需要通过另外一个 WAN 口连接 Internet 来建立 SANGFOR VPN 备份链路，当网桥线路故障时能自动切换到VPN 线路进行数据传输，示例拓扑如下：配置步骤：第一步：在系统部署设置网络接口里选择部署方式为启用 VPN 和广域网优化的网桥多线路模式。第二步：配置逻辑接口 IP 地址、网关 IP 地址、VPN 备份接口信息、管理 IP 地址以及DNS 地址。第三步：配置 SANGFOR V

45、PN。第四步：配置广域网优化。双网桥模式部署SDWAN 设备双网桥模式部署，主要在内网有双路由或者双交换情况下，示例拓扑如下：配置步骤：第一步：在系统部署设置网络接口里选择部署方式为只启用广域网优 化的双网桥模式。第二步：分别配置 Br0 和 Br1 的接口 IP 地址、外网网关 IP 地址、内网网关 IP 地址、工作 IP 地址以及 DNS。第三步：配置广域网优化。双网桥模式下，连接双方必须已经通过其他 VPN 设备建立好了 VPN 连接或者通过专线连接，且保证 2 个广域网优化设备能正常互相访问。注意：双网桥模式下，VPN 功能无效，所以必须切换到纯广域网优化状态才能启用双网桥模式。单臂模

46、式的部署在只启用广域网优化模式和启用VPN 和广域网优化模式下均可以选择单臂模式部署，同时根据用户需求及环境的不同又可分为Internet 环境下单臂模式部署和专线环境下单臂模式部署两种。两种环境下的配置稍有不同，下面分别介绍它们的拓扑及配置步骤。在 Internet 环境 SDWAN 设备单臂模式部署，示例拓扑如下：配置步骤：第一步：在系统部署设置网络接口里选择部署方式为启用 VPN 和广域网优化的单臂模式。第二步：配置 LAN 接口 IP 地址、网关 IP 地址及 DNS 地址。第三步：配置 SANGFOR VPN。第四步：配置广域网优化。第五步：将内网其他电脑网关指向 SDWAN 设备

47、LAN 接口，或者在前置交换机/路由器上配置静态路由，将去往对端内网的数据转发给 SANGFOR SDWAN 设备。在专线环境下 SDWAN 设备单臂模式部署，示例拓扑如下：配置步骤：第一步：在系统部署设置网络接口里选择部署方式为只启用广域网优 化的单臂模式。第二步：配置 LAN 接口 IP 地址、网关 IP 地址及 DNS 地址。第三步：配置广域网优化。第四步：将内网其他电脑网关指向 SDWAN 设备 LAN 接口，或者在前置交换机/路由器上启用策略路由或者 WCCP 功能。1、专线环境下单臂部署广域网优化设备可以采用如下四种方式来避免形成路由环路：二层环境下将内网 PC 网关指向广域网优化

48、设备；二层环境下在内网每台 PC 上都添加去往对端的路由指向单臂设备；与 SDWAN 相连接设备（交换机/路由器/安全防护能力）启用策略路由（PBR）+CDP；与 SDWAN 相连接设备（交换机/路由器/安全防护能力）启用 WCCP/NQA 功能。双单臂模式部署SDWAN 设备双单臂模式部署，用来在内网有双路由双交换环境又不想改变网络结构的情况下使用，示例拓扑如下：配置步骤：第一步：在系统部署设置网络接口里选择部署方式为只启用广域网优 化的双单臂模式。第二步：配置好 arm1 和 arm2 的接口 IP 地址、掩码、默认网关、工作 IP 地址及 DNS。第三步：配置广域网优化。1、总部端为双单

49、臂部署的情况下，分支端必须勾选“客户端网关先抓取连接”选项。2、双单臂模式下，VPN 功能无效，所以必须切换到只启用广域网优化状态才能启用双单臂模式。3、与双单臂 SDWAN 相连接设备（交换机/路由器/安全防护能力）启用策略路由（PBR）+CDP/WCCP/NQA 功能。第 4 章 SD-WAN 易部署和应用选路分支邮件易部署深信服 SD-WAN 易部署采用了邮件开局方式，支持在总部端提前配置好分支基础网络、总部接入等信息，将配置加密存储在 URL 链接中发送给分支管理员。通过分支管理员手动点击该链接，配置将自动完成，实施的分支管理员即使没有任何 IT 经验，也可在邮件内容的指导下轻松完成上

50、架部署。总部对分支设备进行预配置通过以上预配置，可自动生成包含配置向导、易部署邮件 URL 的邮件，基本 URL链接形式如下：深信服 SD-WAN 易部署邮件链接链接内容采用 AES 加密，保证了良好的安全性，且 URL 链接仅在分支端从未初始化或 admin 管理员密码正确时才会生效。分支设备在接入控制平台，可自动从控制平台端获取其他策略、AutoVPN 等配置，完成整个设备的部署上架。即通过易部署邮件只需要完成设备接入控制平台的最简配置，其他配置项则在接入完成后再次自动获取，避免了易部署邮 件链接过于复杂。AutoVPNAutoVPN 基于 BBC 对总部与分支设备的配置下发实现分支与总部

51、的 VPN 自动连接组网，目前仅支持 sangfor VPN（因标准 SD-WAN VPN 配置复杂，而 sangfor VPN 经过大量优化，配置简单）。其实现步骤如下：BBC 端创建 VPN 拓扑，完成总部与分支的各项配置。总部与分支设备分别接入 BBC，并从 BBC 端获取 VPN 配置。（首次接入将会上报本地的 VPN 配置到 BBC 端，并在 BBC 端完成配置合并后再下发）总部与分支设备根据 BBC 端下发的配置完成 VPN 组网。BBC 端根据 VPN 拓扑配置自动绘制 VPN 拓扑图形界面，并根据总部、分支上报的 VPN 状态显示整网的 VPN 拓扑实时信息汇总。以上方案能极大

52、降低配置交互的复杂性，并能良好兼容老 VPN 客户升级和接入到 BBC， 实现 AutoVPN 的统一配置管理。SD-WAN 应用选路深信服 SD-WAN 应用选路和流控是核心功能之一，能实现带宽的最大化利用，以及在不增加带宽成本的同时提升应用传输质量。指定线路最核心的应用一般会期望能在质量最好的线路上进行传输（例如对体验性要求高的视频 会议默认跑在 MPLS 线路上）。因此指定线路功能就是指定应用（服务）优先转发的分支线路，同时能调整指定线路的优先级顺序。在进行数 据转发时，优先使用排序靠前的线路进行转发，当前面线路故障时，切换到下一顺位的线路转发数据。使用选定的线路进行数据包转发时，会优先

53、选择对端相同的运营商线路作为接收端，如 果没有 在 BBC 中配置运营商信息，则默认选择相同编号的线路作为接收端。当选定的线路都故障时，从未选中运营商线路和跨运营商线路中按照高质量选路方法选择 一条最优线路进行数据转发。高质量选路选路在多线路负载场景，还可以选择“优先使用质量最好线路”的负载模式，此时进行数据包转发 时，会根据各个线路的实时质量状况（丢包、延时、抖动），选择最优的可转发线路进行 数据转发。根据实时的线路质量状况，可以把不同的质量状况做一个转换，转换成同一标准， 此时就可以对不同线路进行质量排序（权值越小，质量越优）。权值算法为：权值 = 抖动（ms） * x + 丢包率 * y

54、 + 延时（ms）高质量选路除了考虑线路权值之外，同时也将线路对当前服务优先级的剩余带宽作为选路依据，当线路无法承载当前优先级的应用时，该线路不会被选中。因此高质量选路会 选择对当前服务优先级有可用带宽，同时权值最小的线路作为转发线路。另外，当选定线路 都无法承载当前服务优先级的数据时，会从未选中运营商和跨运营商线路中选 择质量最优线路对该连接进行数据转发。通过多重选择来保证被选中的传输线路质量稳定可靠。按剩余带宽负载按剩余带宽负载可以更公平的使用所有外网线路。当连接建立时，获取所有选定线 路对于当前应用的可用带宽大小，再生成一个小于总可用 带宽大小的随机数，判断该随机数落在哪条线路区间，确定

55、从哪条线路进行发包。例如：线路 1 剩余 1M 带宽，线路 2 剩余 1M 带宽，线路 3 剩余 2M 带宽，此时生成一个 4M 以内的随机数，如果随机数小于 1M，此时选择线路 1 进行发包，如果随机数大于 1M 小于 2M，此时从线路 2 进行发包，其他的选择线路 3 进行发包，通过随机分配的发包比例为测试最优值。同高质量选路一样，当选定的线路无法承载当前服务优先级流量时，该线路不会被 选中。 当所有选定的线路都无法承载当前服务优先级流量时，将从未选中运营商线路和跨运营商线路中按照高质量选路方法选择一条线路进行数据包转发。通过以上逻辑，每次选路都会按照当前剩余带宽来计算和分配，带宽利用比例

56、均衡。 而且还会考虑带宽质量，选路质量稳定可靠。带宽叠加当客户期望最大化利用现有所有线路带宽时，可以选择带宽叠加负载模式，将一条连接的流量负载到多条线路中，达到单连接的最大带宽利用率。此时客户需配置可用于负载的线路的质量阈值，只有在阈值内的线路才可以做为负 载线路 。如果没有线路符合条件时，会从未选中运营商和跨运营商线路中选择质量最优线路对该 连接进行数据转发。包负载当前有两种负载模式，当设置了片段长度时，每线路发送一个片段后会切换 到下一 线路进行数据转发。当没有设置片段长度时，每线路会发送到该线路开始拥塞后才切换到 下一条线路进行数据转发。当所有线路都拥塞时，不管是否设置片段长度，此时都会

57、将数 据包分配到最不拥塞的线路上，减少丢包的数量。线路质量探测原理与淘汰机制常见网络传输质量指标如下：丢包率统计通过向分支与总部数据流插入序号来检测丢包率，为了降低传输过程中数据包乱序对序 号的影响，这个序号的插入带一定的时间间隔：图：丢包率探测原理传输时延VPN 通过向数据流插入时间信息来探测时延，由于是被动探测（VPN 不发额外的数据包来探测），探测过程被分为两步：分支向总部发送探测开始标记，且记录当前时间 T0。总部收到开始标记，记录当前时间 T1（仅记录，无法回复数据包）。由总部-分支数据包触发，当前发包时间 T2，总部将 T3 = T2 – T1 的值插入至数据包中，随数据包发送到分

58、支。分支收到数据包，当前时间 T4 – T0 – T3 即为数据包时延。传输抖动抖动表示传输稳定性，是线路质量的一个重要衡量标准，统计方法是根据最近 8 次探测到的结果计算方差得来，结果变化越小，说明网络传输越稳定。线路淘汰通过前述线路质量探测机制，当线路故障或不符合设定条件时，该线路会暂时从备选线路中淘汰。五分钟内当前线路发 生故障时，只会从备选线路中选择一条合适线路进行转发， 只有超过五分钟后，被淘汰的线路才会被重新加入备选线路，并被再次选中。第 5 章 SDWAN 终端设备ssh 登录此种登录方式，现场的网络管理员需要准备一根网线和登录的管理工具（CRT）。具体操作步骤如下：ssh 连接

59、终端 IP，输入默认用户名和密码。用户名：admin ， 密码：admin实现登录。登录 WebUI 配置界面按照前面所示方法接好线后，通过 Web 界面来配置 SANGFOR SDWAN 广域网优化设备。方法如下：首先为 PC 机配置一个 10.254.254.X 网段的 IP（如配置 00），掩码配置为 ，然后在 IE 浏览器中输入 SDWAN 设备的默认登录 IP（https 方式），默认的登录地址为：54，如下图：在登录框输入用户名和密码，点击登录按钮即可登录到 SDWAN 设备进行配置，默认情况下的用户名和密码均为：“admin”（不包含引号）。如果需要查看当前设备的版本号，可点击查

60、看版本，即显示当前硬件的版本信息。注意：IE8、IE9 请以兼容模式打开此页面，否则某些情况下可能会出现页面显示不正常，如显示不出用户名和密码输入框等。状态状态包括了广域网优化状态、流量监控、远程应用状态、VPN 状态、DHCP 状态、设备运行状态、EoIP 状态以及SC 运行状态（需打对应 SC 补丁包，否则不会显示该状态）七部分，如下图：广域网优化状态广域网优化状态包括广域网优化状态、广域网优化连接以及应用连接三 个标签页，如下图：广域网优化状态广域网优化状态用来查看 SDWAN 设备当前的流量削减率、CPU 利用率、内存利用率、系统运行时间、磁盘利用率等参数，在下面的分栏页中还可以分别查