隧道设置选项卡
编排>编排服务器> Tools > Tunnels Settings
Use this tab to manage the properties for tunnels created by Orchestrator. It provides tunnel settings for General, IKE, IPsec for MPLS, Internet, and LTE WAN Interface labels.
常规选项卡
访问“常规”选项卡上的以下字段。
一般的
| Field | 描述 |
|---|---|
| 模式 | 指示隧道协议是否为ipsec,IPSEC UDP,UDP, 或者GRE。如果选择IPSEC,则可以在IKE选项卡上指定IKE版本。 |
| 启用自动最大BW | 允许设备自动划分最大隧道带宽。 |
| 自动发现MTU启用 | 允许设备自动划分最大隧道带宽。 |
| mtu | 最大传输单元(MTU)是可以在给定的物理介质上发送的最大数据单元。例如,以太网的MTU为1500字节。支持高达9000个字节的mTU。 汽车allows the tunnel MTU to be discovered automatically, and it overrides the MTU setting. |
| UDP目标端口 | 在UDP模式下使用。接受默认值,除非端口被防火墙阻止。 |
| UDP流动 | 在UDP模式下使用。Indicates the number of flows over which to distribute tunnel data. Accept the default. |
包
| Field | 描述 |
|---|---|
| 重新订购等待 | Maximum time the appliance holds an out-of-order packet when attempting to reorder. The packets can come from the same or a different path, or from the FEC correction engine.100ms是默认值,在大多数情况下应足够。如果重新订购时间超过100ms(或设定值),则数据包将不订单。 |
| FEC | Forward Error Correction (FEC) can be set to使能够,禁用, 或者汽车。 |
| FEC比率 | 当FEC设置为汽车,这指定最大比率。选项是1:2,1:5,1:10, 或者1:20。 |
隧道健康
| Field | 描述 |
|---|---|
| 重试计数 | 在设备将隧道倒下之前允许的静止消息数量。 |
| DSCP | Determines the DSCP marking that the keep-alive messages should use. |
FastFail Thresholds
| Field | 描述 |
|---|---|
| Fastfail enabled | Fastfail thresholds determine how quickly to disqualify a tunnel from carrying data when multiple tunnels carry data between two appliances. The Fastfail connectivity detection algorithm for the wait time from receipt of last packet before declaring a brownout is: twait = base + n * rttavg在哪里 根据是毫秒的价值,N是过去一分钟平均往返时间的乘数。例如,如果: 根据= 200mSn = 2然后, RTTavg = 50mS如果设备在接收最新数据包的300ms内看不到遥控端的回复数据包,则该设备将在BrownOut中宣布。 在隧道高级选项中, 根据表示为FastFail等待时间基础偏移(ms), 和N表示为Fastfail RTT multiplication factor。TheFastfail enabled当隧道的保持阳光信号未收到答复时,会触发选项。选项是禁用,使能够, 和连续的。如果不合格的隧道随后收到远离答复,则其恢复是瞬时的。 如果设置为禁用,在故障转移前每秒发送每秒的饲养物每秒和30秒。在那个时候,所有传输数据都丢失了。 如果设置为使能够,每秒发送一次保留的词,而错过的答复将保留物从每秒发送到每秒十的速度。一秒钟后发生故障转移。 设置为连续的, keep-alives are continuously sent at ten per second. Therefore, failover occurs after one-tenth of a second. |
| Latency | Amount of latency measure in MS. Thresholds forLatency,失利, 或者抖动are checked once every second. Receiving three successive measurements in a row that exceed the threshold puts the tunnel into a brownout situation and flows will attempt to fail over to another tunnel within the next 100mS. 连续连续的测量值下降到阈值以下,将使隧道从布朗特掉下来。 |
| 失利 | 丢失的数据量以百分比为单位。 |
| 抖动 | Amount of jitter measured in MS. |
| FastFail等待时间基础偏移 | 根据time used when calculating the fastfail timeout. |
| Fastfail RTT multiplication factor | 用于计算FastFail超时的公式中的乘数。 |
IKE Tab
仅当“常规”选项卡上的模式字段设置为ipsec。The tab contains the following elements:
| Field | 描述 |
|---|---|
| Authentication algorithm | 设置隧道身份验证。选择SHA-1,SHA2-256,SHA2-384, 或者SHA2-512。 |
| 加密演算法 | 指定用于1阶段谈判的加密算法。选择AES-256,AES-128, 或者汽车。 |
| Diffie-Hellman Group | Diffie-Hellman Groupused for IKE SA negotiation. |
| Rekey interval/lifetime | Lifetime of IKE SA. |
| 死去的同伴检测 | 延迟时间:几秒钟内等待目的地IKE PEER的流量的时间。 重试计数:在确定连接死亡之前重试连接的次数。 笔记:Dead Peer Detection is supported only on EdgeConnect appliances running VXOA software version 8.2.1 and higher. |
| 阶段1模式 | 定义第1阶段的交换模式主要的或者挑衅的。If IKEv2 is selected, the default mode is aggressive. |
| ike版本 | ike主要版本。选择ikev1或者ikev2。 |
IPSEC选项卡
仅当“常规”选项卡上的模式字段设置为ipsec或者IPSEC UDP。The tab contains the following elements:
| Field | 描述 |
|---|---|
| Authentication algorithm | IPSEC SA使用的身份验证算法。选择SHA-1,SHA2-256,SHA2-384, 或者SHA2-512。 |
| 加密演算法 | 指定用于1阶段谈判的加密算法。选择AES-256,AES-128, 或者汽车。 |
| IPSEC反复制窗口 | 选择if you want to enable the IPsec anti-replay window. If selected, protection is provided against an attacker duplicating encrypted packets by assigning a unique sequence number to each encrypted packet. The default window size is64packets. |
| 继电器间隔/寿命 | Lifetime of IPsec SA. |
| 完美的前锋保密小组 | 指定用于IPSEC SA谈判的Diffie-Hellman组指数。 |