部署配置文件

配置>覆盖和安全>部署配置文件

您可以创建各种部署配置文件并通过应用所需的配置文件来提供设备。例如，您可以为分支机构创建标准格式。

小费：对于柔滑的工作流，请完成DHCP服务器默认选项卡（配置>网络> DHCP服务器默认）在创建部署配置文件之前。

您可以使用部署配置文件来简化配置，无论您选择创建和使用业务意图叠加。

笔记：您不能编辑IP/面具字段是因为它们特定于设备。

地图标签到界面

• 在局域网侧面，标签是可选的。它们可以用作业务意图覆盖ACL的匹配标准，例如数据，，，，voip， 或者复制。

• 在Wan侧面，标签标识链接类型，例如Mpls或者互联网。这些标签是强制性的。它们被编排用来建立业务意图覆盖政策。

• 要么创建或管理全球标签池，要么：

  • 导航配置>覆盖和安全>部署配置文件， 点击编辑标签旁边的图标，进行适当的更改，或

  • 导航配置>覆盖层和安全>接口标签）并进行适当的更改。

• 您对标签的更改会自动传播。例如，它重命名使用标记为接口的隧道。

局域网配置：段和防火墙区域

EDGECONNECT细分（VRF）提供了精心策划的第3层分割，基于区域的防火墙和ID（跨SD-WAN织物的端到端）。细分市场和区域政策在范围内是全球性的。他们在配置>网络>路由>路由分割（VRF）标签。

然后使用“部署”对话框将段和区域分配给每个设备的LAN侧接口。默认情况下，LAN接口上的段和FW区域字段设置为系统生成的默认段。您可以从下拉列表中选择其他段和防火墙区域。这些列表反映了在路由分割（VRF）选项卡上设置的段和区域。

笔记：WAN接口的段无法更改。

LAN - 侧配置：DHCP

• 默认，每个LAN IP充当DHCP服务器当设备处于（默认）路由器模式时。

• 全局默认设置为配置>网络> DHCP服务器默认并预先填充此页面。其他选择是没有DHCP并将设备作为一个DHCP/bootp继电器。

• 从下拉下输入LAN接口。点击+IP添加特定的IP地址。

• 输入上方特定LAN接口的IP地址没有DHCP关联。

• 要在“部署配置文件”选项卡上自定义单个接口，请单击IP/Mask字段下的DHCP相关链接。DHCP设置对话框打开。

  以下表描述了您可以配置的各种DHCP设置。

  DHCP服务器

  场地	描述
  子网掩码	指定为任何子网保留的IP地址的默认编号。例如，输入24储备金256个IP地址。
  排除第一n个地址	指定子网范围开始时没有多少个IP地址。
  排除最后n个地址	指定子网范围末尾没有多少IP地址。
  默认租赁，最大租赁	在数小时内指定接口可以保留DHCP分配的IP地址的时间。
  默认网关	指示是否正在使用默认网关。
  DNS服务器（S）	指定关联的域名系统服务器。
  NTP服务器	指定关联的网络时间协议服务器。
  NetBios名称服务器	用于Windows（SMB）类型共享和消息传递。当您映射驱动器或连接到打印机时，它可以解析名称。
  NetBios节点类型	网络计算机的NetBios节点类型与将NETBIOS名称解析为IP地址有关。有四种节点类型： b- 节点 - 0x01广播 p- 节点 - 0x02对等（仅赢） m- 节点 - 0x04混合（广播，然后获胜） H- 节点 - 0x08混合动力车（获胜，然后广播）
  DHCP故障转移	启用DHCP故障转移。要设置它，请单击故障转移设置关联。

  DHCP/bootp继电器

  场地	描述
  目标DHCP/BOOTP服务器	DHCP服务器分配IP地址的IP地址。此设置仅适用于本地接口。
  启用选项82	选择后，将其他信息插入到数据包标题中，以识别客户的附件点。此设置适用于该设备上的所有局域网端接口。 重要的：更改此设置将修改所有LAN端接口上的选项82设置，该设置为DHCP继电器。
  选项82政策	告诉继电器如何处理收到的十六进制字符串。选择是附加，，，，代替，，，，向前， 和丢弃。此设置适用于该设备上的所有局域网端接口。 重要的：更改此设置将修改所有LAN端接口上的选项82设置，该设置为DHCP继电器。

WAN - 侧配置

选择要应用于此部署的WAN侧标签。单击编辑图标以添加新接口或删除先前配置的接口。

防火墙区域：基于区域的防火墙策略是在整个编目上配置的。一个区域应用于界面。默认情况下，允许在用同一区域标记的接口之间进行流量。与不同区域的接口之间的任何流量都被删除。您可以创建异常规则（安全策略），以允许与不同区域的接口之间的流量。您已经配置的防火墙区域将在列表中FW区域。选择要应用于要部署的WAN的防火墙区域。

防火墙模式：每个WAN界面都可以使用四个选项：

• 允许全部允许无限制的沟通。使用此选项非常谨慎，只有当接口在Wan Edge防火墙后面。

• 陈述只要允许从LAN侧到Wan侧的通信。

  如果接口在WAN边缘路由器后面，请使用此功能。

• 与snat说明将源NAT应用于传出流量。

  如果接口直接连接到Internet，则使用此功能，并且您想启用本地Internet突破。

• 硬化

  • 对于来自WAN的流量，设备接受只要IPSEC隧道数据包终止于EdgeConnect设备。

  • 对于通往WAN的流量出口只要允许在EdgeConnect设备上终止的IPSEC隧道数据包和管理流量。

NAT设置：要更改NAT设置，请单击WAN侧下一个跃点字段下的NAT相关链接。NAT设置对话框打开。

选择以下选项之一：

• 如果设备在NAT-ED接口后面，请选择纳特。

• 如果设备不在NAT-ED接口后面，请选择不在纳特后面。

• 输入IP地址为了为从网络构建的隧道分配目标IP到此WAN接口。

成型：您可以在每个WAN接口上选择性地限制带宽。

• 总出站带宽由模型许可。它与最大系统带宽相同。

• 要输入成型入口流量的值（建议），您必须首先选择形状入站流量。

EdgeConnect许可：仅在edgeconnect设备上可见。

• 对于其他带宽，您可以购买加，然后在此处选择此配置文件。

• 如果您购买了一个池促进对于您的网络，您可以在部署配置文件中分配其中的一部分。您还可以将分配给业务意图覆盖中的特定流量类型。

• 查看您的分发方式加和促进，导航到配置>覆盖和安全>许可>许可证标签。

• 从菜单中选择已应用于EdgeConnect设备的适当许可。许可证仅根据您对该特定帐户的许可而显示。您可以选择以下许可选项：

  • 小型的

  • 根据

  • base + plus

  • 50 Mbps

  • 200 Mbps

  • 500 Mbps

  • 1 Gbps

  • 2 Gbps

  • 无限

  笔记：您必须具有正确的硬件来支持所选许可证。

结合

• EdgeConnect支持同一媒体类型的多个物理接口的EtherChannel键合成单个虚拟接口。例如，WAN0加wan1键形成BWAN0。这增加了非常高端设备和/或提供接口级冗余的吞吐量。

• 对于虚拟设备上的键合，您需要配置主机而不是设备。例如，在VMware ESXI主机上，您将配置NIC组合以获得相当于EtherChannel键合的。

• 无论您使用物理设备还是虚拟设备，还必须在直接连接的开关/路由器上配置EtherChannel。请参阅Aruba SD-WAN用户文档。

基本部署的更全面指南

本节讨论了三种部署模式的基础：桥，，，，路由器， 和服务器模式。

它描述了常见的方案，选择部署时的注意事项，重定向问题和一些适应。

有关详细的部署示例，请参阅Aruba EdgeConnect SD-WAN边缘平台文档网站部署指南。

在桥模式和路由器模式下，您可以通过硬化界面。这表示：

• 对于来自WAN的流量，设备接受只要IPSEC隧道包。

• 对于通往WAN的流量出口只要允许IPSEC隧道数据包和管理流量。

桥接模式

单个侧路由器

在此部署中，该设备在单个WAN路由器和单个LAN侧开关之间进行列为线。

双WAN侧路由器

这是最常见的4端口桥配置。

• 2 WAN出口路由器 / 1或2个子网 / 1个设备

• 2个单独的服务提供商或WAN服务（MPLS，IPSEC VPN，Metroethernet等）

桥梁模式部署的注意事项

• 您有物理设备或虚拟设备吗？

• 虚拟设备没有失败线，因此，如果设备失败，您将需要冗余网络路径来保持连接。

• 如果您的LAN目的地在路由器或L3开关后面，则需要添加LAN侧路线（下一个LAN跳跃）。

• 如果设备在VLAN中继线上，则需要在EdgeConnect设备上配置VLAN，以便设备可以使用适当的VLAN标签标记流量。

路由器模式

有四个选择要考虑：

1. 单个LAN接口和单个WAN接口

2. 双LAN接口和双WAN接口

3. 单个WAN接口共享LAN和WAN流量

4. 双WAN接口共享LAN和WAN流量

为了获得最佳性能，可见性和控制，建议选择＃1和＃2，因为它们使用了单独的LAN和WAN接口。当使用NAT时，请使用选项＃1或＃2来确保地址正常工作。

＃1-单LAN接口和单个WAN接口

对于此部署，您有两个选择：

1. 您可以放置​​EdgeConnect在路径。在这种情况下，如果发生故障，则需要其他冗余路径才能获得高可用性。

2. 您可以放置​​EdgeConnect路边。您可以使用WCCP或PBR（基于策略的路由）将路由器或L3开关的LAN侧流量和WAN侧流量重定向到相应的接口。

要与只有一个接口的单个​​路由器一起使用此部署，您可以使用多个VLAN。

＃2-双LAN接口和双WAN接口

此部署将流量从两个LAN接口重定向到单个EdgeConnect设备上的两个WAN接口。

• 2 WAN NEXT-HOP / 2子网 / 1个设备

• 2个单独的服务提供商或WAN服务（MPLS，IPSEC VPN，Metroethernet等）

  路径外双LAN和双WAN接口

  

对于此部署，您有两个选择：

1. 您可以放置​​EdgeConnect在路径。在这种情况下，如果发生故障，则需要其他冗余路径才能获得高可用性。

2. 您可以放置​​EdgeConnect路边。您可以使用WCCP或PBR（基于策略的路由）将路由器或L3开关的LAN侧流量和WAN侧流量重定向到相应的接口。

＃3-单个WAN接口共享LAN和WAN流量

此部署将流量从单个路由器（或L3开关）重定向到EdgeConnect设备上的单个子网。

• 此模式仅支持路边。

• 当在同一站点使用两个EdgeConnect时，这也是最常见的高可用性（冗余）和负载平衡的部署。

• 为了获得更好的性能，控制和可见性，路由器模式选项1建议使用此选项。

＃4-双WAN接口共享LAN和WAN流量

该部署将流量从两个路由器重定向到单个EdgeConnect设备上的两个接口。

这也称为双共路由器模式。

• 2 WAN Next-hop / 2子网 / 1个设备。

• 2个单独的服务提供商或WAN服务（MPLS，IPSEC VPN，Metroethernet等）。

• 此模式仅支持路边。

• 为了获得更好的性能，控制和可见性，路由器模式选项＃2建议使用此选项。

路由器模式部署的注意事项

• 你想让你的流量在路径或者路边？此模式支持两个部署。内部部署提供了更简单的配置。

• 您的路由器是否支持VRRP，WCCP或PBR？如果是这样，您可能需要考虑路由路由器模式的部署。您可以设置更复杂的配置，这些配置可提供负载平衡和高可用性。

• 您是否打算在服务器/终点站上使用主机路线？

• 在极少数情况下，当您需要将入站WAN流量发送到WAN Next Router以外的其他路由器时，请使用LAN侧路线。

检查交通重定向的需求

每当您放置设备外，都必须将流量从客户端重定向到设备。

有三种方法将出站数据包从客户端重定向到设备（被称为LAN侧重定向， 或者出站重定向）：

• PBR（基于策略的路由） - 在路由器上配置。设备上无需其他特殊配置。这也称为fbr（基于过滤器的转发）。

  如果要在网站上部署两个EDGECONNECT以进行冗余或负载平衡，则还需要使用VRRP（虚拟路由器冗余协议）。

• WCCP（Web缓存通信协议） - 在路由器和EDGECONNECT设备上配置。您也可以使用WCCP进行冗余和负载平衡。

• 主机路由- 服务器/End Station具有基于默认的或子网的静态路由，该路由指向EDGECONNECT设备作为其下一个跳跃。当虚拟设备使用单个接口时，主机路由是首选方法MGMT0，对于DataPath流量（也称为服务器模式）。

  为了确保在设备故障的情况下确保端到端连接，请考虑使用设备和路由器之间的VRRP，或设备和另一个冗余EdgeConnect。

您计划如何优化流量也会影响您是否还需要WAN路由器的入站重定向（被称为WAN侧重定向）：

• 如果您使用子网共享（依赖于edgeConnect设备之间的本地子网广告）或路线政策（哪个指定目标IP地址），您只需要LAN侧重定向。

• 相反，您依靠基于TCP或者基于IP自动优化（依赖于初始握手外部隧道），您还必须设置入站和WAN路由器上的出站重定向。

• 为了优化TCP流，两个方向都必须通过同一客户端和服务器设备传播。如果TCP流不对称，则需要在本地设备之间配置流动重定向。

在进行自动优化之前，必须存在隧道。创建隧道有三个选择：

• 如果您启用汽车隧道， 最初的基于TCP或者基于IP握手创造了隧道。这意味着必须进行适当的局面和WAN侧重定向。

• 你可以允许初始配置向导为远程设备创建隧道。

• 您可以在配置>网络>隧道>隧道页。

服务器模式

此模式使用MGMT0用于管理和数据管流量的接口。

添加数据接口

• 您可以创建其他数据平面层3接口，以用作隧道端点。

• 要添加新的逻辑接口，请单击+IP。

---