x86 CPE开局手册

SDWAN BOSS管理系统V1.1.0

X86开局手册

2020-8

第一章  X86版本开局操作

  1. 接口图示

管理口默认IP:192.168.0.1

管理地址:https://192.168.0.1:4433 帐号:admin 密码:sxzros

  1. 接口管理

进入WEB管理后台,【网络设置】-【接口管理】

默认ETH1对应XS1、ETH2对应XS2、ETH3对应XS3。

接入位置:内网为给用户内网网关使用,外网为外网线路使用。

网卡操作配置解析

应用模式:流控/镜像模式,不需要更改,流控模式即可。

对接端口:用于网桥模式使用。

  1. 线路管理

内网管理:

进入WEB管理后台,【网络设置】-【内网管理】,新增内网线路

线路名称:自定义   

所在网卡:选择接口管理定义好的网卡

VLAN:可支持802.11Q VLAN和QinQ模式

协议栈:选择IPV4即可

IP地址:配置内网IP和子网掩码,其他参数默认,确定

外网管理:

进入WEB管理后台,【网络设置】-【外网管理】,新增外网线路

线路名称:自定义   

所在网卡:选择接口管理定义好的网卡

VLAN:可支持802.11Q VLAN和QinQ模式

协议栈:选择IPV4即可

线路类型:静态IP、PPPOE、DHCP。

静态IP配置:配置外网IP、子网掩码、网关、DNS,其他参数默认,确定

PPPOE配置:配置PPPOE帐号、密码,其他参数默认,确定

DHCP:选择DHCP线路模式,其他参数默认,直接确定

  1. DHCP配置

进入WEB管理后台,【DHCP设置】-【DHCP服务】

线路名称:选择1.3新增的内网线路

IP地址范围:填写网段内地址范围

DNS:填写首选和备用DNS

其他参数可默认,点击确认,配置成功后点击【DHCP服务】右上角【应用】按钮。

  1. Lincense管理

进入WEB管理后台,【系统管理】-【认证信息】,在序列号认证框填入授权提交。

  1. 系统版本更新

进入【系统管理】-【系统升级】,查看当前版本,如果和POP点版本差距甚远需要更新,更新包像代理商或者供应商索取或联系供应商在线升级。

  1. 常规策略添加SDWAN组网配置

新增一条组网策略

服务器地址:输入主控服务器域名

服务器端口:1413

WAN线路:选择1.3新建的外网线路

MTU:一般配置成POP点MTU,自适应POP点MTU,特殊情况可调小

加密:打开为支持国密SM4,关闭为明文

UDID:记住该场所UDID,用于设备上线开通时搜索

  • sxzapp远程管理策略(可不做添加,注意备注)

进入【路由策略】-【策略路由】,新增一条sxzapp的策略(需要Lincense认证成功后才能操作)。

策略名称:可自定义

优先级:100-1000,优先级设置最高(数字越小优先级最高)

应用协议:【选择协议】-【常用协议】-【其它常用协议】勾选【sxzapp】

执行动作:NAT

出口线路:选择1.3配置的外网线路,确定即可

Tips:此配置为CPE设备远程管理使用,配置此步骤的目的是为了防坑,部分场景可能有多个线路,或者全局流量走POP点,为了防止CPE远程不上,所以配置一个该策略保险。

操作完以上操作,一台X86 CPE的开局基本上完成,其他见具体场景操作。

第二章  X86版本云平台开通

  • 设备新增

进入云平台【SDWAN管理】-【CPE管理】直接新增CPE,输入UDID,归属相应企业,输入别名(场所名称)。

选择企业和修改CPE名称,输入X86授权码,(ARM/MIPS自动生成)和节点类型。

  • 设备开通

点击开通弹出链路开通窗口。

QOS质量选择专线,选择开通时间和带宽开通

第三章  X86版本组网教程

  • 路由模式组网

X86组网遵循以下开通流程

云平台新建企业--企业分配POP点--设备开局(配置LAN/WAN)--设备开通--云平台设备新增各分支内网网段--CPE配置SDWAN策略路由

  • 路由模式组网拓扑
  • 路由模式X86 CPE策略路由

X86策略路由配置大致流程

新版X86路由模式组网,无需配置任何策略路由即可。

IP群组添加:【群组管理】-【IP群组】,切换到IP群组标签添加群组,名称可根据自己需求填写。

然后切换到IP列表标签,选择新建的群组,添加组网目标网段。

  • 单臂旁挂组网

X86单臂旁挂组网遵循以下开通流程

云平台新建企业--企业分配POP点--设备开局(只需要配置WAN线路,建议配置为客户内网固定IP)--设备开通--云平台设备新增各分支内网网段--CPE配置SDWAN策略路由

  • 单臂旁挂拓扑
  • 单臂旁挂模式策略路由

X86策略路由配置大致流程

配置一条默认路由即可。

添加默认路由

源地址、目标地址任意、执行动作路由至WAN口,单臂旁路,仅一条默认WAN,备用出口可不管。

  • 三层旁挂组网

X86三层旁挂组网遵循以下开通流程

云平台新建企业--企业分配POP点--设备开局(需要配置LAN/WAN)--设备开通--云平台设备新增各分支内网网段--CPE配置SDWAN策略路由

  • 三层旁挂拓扑
  • 三层旁挂模式策略路由

X86策略路由配置大致流程

新建IP群组-添加对端互联网段-新建回程策略-新建目标策略

添加回程路由

回程路由选择目标地址为本地内网网段(多网段可使用IP群组),执行动作路由至LAN口,下一跳填写三层交换机互联IP。

  • 网桥模式组网

网桥模式属于透明网桥,一般用于串接入用户内网,不需要对网络设备进行策略调整,改动较小,但是有一定风险,设备故障,会造成断网(目前设备不带bypass功能),一般串接在防火墙与三层交换机之间三层交换机和汇聚交换机之间

  • 网桥配置方法

XS1内网、XS2外网(内网接用户接入侧,外网接三层交换机侧)

  • 网桥模式组网,只支持SAAS加速和单向往外访问,对端往回访问不支持。
    • X86新增邻居查看

主控地址:控制器地址

规则类型:组网、尚云

网段:邻居CPE内网网段

连接类型:转发(中转)、直连、转发+直连

邻居名称:同企业其他CPE名称

设备类型:CPE、POP

第四章  X86版本SAAS加速教程

  • 目标路由加速

参考3.1.2 IP群组添加和目标策略路由配置,大致和组网教程一致。

  • DNS管控教程

位于【策略路由】-【DNS管控】,适用于被FW封杀的URL,需要进行DNS管控,需要配合目标路由加速策略使用(注意策略路由优先级范围)。

新建管控域名群组:进入DNS群组标签,新建群组,名称可自定义。

添加管控域名:进入DNS列表标签,选择添加的群组,输入加速域名,选择部分匹配方式。

添加管控策略:进入DNS策略标签,新建一条管控策略,访问域名选择之前新建的群组,执行动作选择XWAN隧道NAT至8.8.8.8和8.8.4.4出网线路选择组网-1。

批量域名导入:如果域名非常多,也可以使用批量导入功能,DNS列表页右边批量按钮。

导入格式:nGid为DNS群组

  • 自定义协议教程

位于【群组管理】-【自定义协议】,用于非目标IP加速,基于url加速的方式(注意策略路由优先级范围),该功能可根据URL自动学习目标域名解析的IP地址,并记录到路由内部缓存。

新建自定义协议:名称可自定义,节点生存期可设置不超时。

新建好后,选择右边操作按钮,进入详细配置界面。

然后选择域名关联标签,输入需要加速的域名。

可批量导入或导出自定义协议:自定义协议列表页面,右上角导入导出功能。

  • 批量导入域名教程
  • 新增一条自定义协议规则
  • 选择自定义协议导入,文件选择域名关联,协议名称选择刚才新建的。
  • 最后选择文件导入,文件为utf-8格式文本文档,一个域名一行。

整理的常用SAAS应用:

策略路由添加:新建规则里面应用协议选择新建的自定义协议,选择XWAN隧道路由即可,若遇到FW封杀域名,需要配合DNS管控使用。

  • 目标域名拦截

使用自定义协议,先将需要拦截的域名添加好,在策略路由,新增丢弃规则,优先级最高。

路由、旁路模式均有效(DNS不过CPE能拦截)

第五章  X86版本须知

  • 目前存在的问题

不支持:云平台下发策略路由、云平台下发DNS管控、不支持SDWAN动态路由

支持:一般防火墙功能、组网、SAAS加速、VRRP主备、7层DPI、DNS管控、自定义协议。

  • 策略路由优先级须知

参考下图,策略路由优先级有范围限制,不按范围填写优先级可能导致策略不生效。

策略路由优先级范围为数字ID,范围100-65535,策略间隔为1。如下图所示

  • 100以前为内部路由,不可修改和创建。
  • 101-1000为XWAN云平台跟三方云对接策略预留。
  • 1001-20000,可作为常规策略路由优先级。若需要配置XWAN组网、DNS管控和PPPOE代播、PPPOE代播DNS管控等策略,需要将策略优先级设置在该范围内。
  • 20001-30000,可作为常规策略路由优先级。若需要配置XWAN VBR上云策略、动态路由、DNS选路等策略,需要将策略优先级设置在该范围内。
  • 30001-40000,可作为常规策略路由优先级。若需要配置PPPOE代播用户指定某条线路出网,需要将策略优先级设置在该范围内。
  • 40001-65535,常规策略路由优先级,没有特殊定义。

注意:若使用某些特定功能,策略和优先级不在归属范围,策略不会生效。

  • CPE抓包教程

位于【监控中心】-【连接快照】,可根据地址、端口、协议进行实时抓包分析。

路由功能相当丰富,其它功能请参考路由使用手册。

附件一

SDWAN参数

序号功能要求
1★支持路由、网关、网桥、旁路多线路等部署模式
2支持静态IPV4、IPV6、ADSL、DHCP等多种接入方式 X86支持VLAN/QinQ/PPPoE/DHCP
3支持MIPS、ARM、X86构架
4集加速、流控、XWAN(SDWAN)、远程管理一体化设备
5★国密办SM3、SM4等加密算法
6支持PPPOE、WEB portal、Radius、短信等多种动态身份认证方式
7X86版支持BGP、OSPF、RIP动态路由
8 
9客户端支持即插即用,最小化配置
10支持7层DPI分流技术,可按应用分流至隧道
11支持多分支组网、SAAS加速、一键上云
12支持65535个namespace,允许不同企业有相同网段出现,互不干扰
13可实现基于多线路的应用选路,指定部分应用走某一线路,实现流量的分担和负载功能,同时线路自动检查机制,实现某一链路故障时的业务切换,确保业务的连续性和稳定
14MIPS、ARM支持DMZ、UPNP、DDNS
15支持隧道直连、隧道中转技术
16支持IP加速技术(Saas应用加速)
17X86支持移动终端检测,流量、行为、身份、地理位置等  
18VRRP热备、多WAN热备,支持策略路由、ACL防火墙控制
19支持DNS管控(DNS分流) 、支持DNS重定向
20支持端口映射
21X86版内置不少于9500条的应用识别规则列表,基于应用数据特征码而非简单的端口识别,可精准定位应用,便于通过对应用的智能识别匹配相应加速策略,大大简化管理员配置工作量;支持手动添加应用识别规则
22支持上网行为管理与审计
23线路连接数控制、支持高级流控等指定类型的文件下载带宽,提供流控机制和手段
24支持多级子通道划分技术,实现带宽有效划分利用;支持对限制通道线路空闲时,允许突破限制,提高带宽利用率,已满足现有及后续应用的智能分配
25支持基于用户、应用、时间设置带宽保障通道,可自定义上行/下行保证带宽、上行/下行最大带宽;并可针对同一通道内的用户进行单用户最高带宽限制,整体保障用户使用效果;支持根据通道优先级进行带宽借用策略的智能调度,避免带宽闲置浪费
26★可针对在包含迅雷等P2P应用、在线流媒体,或某一类别的URL(如求职网站)对用户的访问行为进行阻断,有效的规范网络行为
27要求设备通过Web图形化配置界面管理,并支持页面上配置对设备进行重启、关机、恢复出厂配置、配置备份及恢复等操作,便于管理
28支持在线查看各隧道连接状态、连接名称、用户名、实时流量、Internet IP、内网IP、接入时间、传输类型
29支持连接快照查看,支持IP流量排行和应用流量排行报表查看,并支持基于IP、应用、加速用户、设备进行加速削减报表查看;为方便管理员定期查看,要求支持周期性生成PDF报表
30具备基于状态监测技术的防火墙功能,可基于服务、源IP、目的IP、时间自定义防火墙规则,可防范来自外网、内网的DOS攻击,支持ARP欺骗防护功能
31支持设备集中管理、集中运维
32支持组网拓扑在线图形化显示,并在拓扑中显示SDWAN网络连接、CPE设备运行的实时健康状态
33支持通过SDWAN云平台查看设备实时查看全网设备状态,包括CPU、内存、带宽、并发,以及外网接口发送/接收流量、隧道发送/接收流量;支持查看全网设备异常信息;支持查看全网设备版本信息、版本更新情况
34具备可视化界面,以地图方式通过不同颜色展示全网分支机构健康、离线、告警状态。
35★支持可视化展示某个应用的实时传输的总流速及TOP10 IP占用流速详情
36★支持可视化展示两台SD-WAN设备间所有隧道的连 接状态、时延、丢包、抖动、流速等信息
37★支持可视化展示某台SD-WAN设备所有隧道带宽利用率及总带宽利用率
38★支持展示分支资源利用率排行TOPN、分支带宽利用率TOP排行、分支告警问题总数趋势、分支告警排行TOP5、分支告警数量分布、分支离线时长TOP5等报表。(提供设备界面截图证明,加盖厂商公章)
33支持通过单点登录方式远程接入分支进行配置和管理。
34★支持按不同权限来指定不同的管理员,实现细化管理的同时防止管理员越权管理产生的混乱。
35支持自定义CPE告警(CPU、内存、带宽等),多种告警接收方式(钉钉、企业微信、邮件、短信)

No Comments Yet.

Leave a comment