SDWAN BOSS管理系统V1.1.0
X86开局手册
2020-8
第一章 X86版本开局操作
- 接口图示
管理口默认IP:192.168.0.1
管理地址:https://192.168.0.1:4433 帐号:admin 密码:sxzros
- 接口管理
进入WEB管理后台,【网络设置】-【接口管理】
默认ETH1对应XS1、ETH2对应XS2、ETH3对应XS3。
接入位置:内网为给用户内网网关使用,外网为外网线路使用。
网卡操作配置解析:
应用模式:流控/镜像模式,不需要更改,流控模式即可。
对接端口:用于网桥模式使用。
- 线路管理
内网管理:
进入WEB管理后台,【网络设置】-【内网管理】,新增内网线路
线路名称:自定义
所在网卡:选择接口管理定义好的网卡
VLAN:可支持802.11Q VLAN和QinQ模式
协议栈:选择IPV4即可
IP地址:配置内网IP和子网掩码,其他参数默认,确定
外网管理:
进入WEB管理后台,【网络设置】-【外网管理】,新增外网线路
线路名称:自定义
所在网卡:选择接口管理定义好的网卡
VLAN:可支持802.11Q VLAN和QinQ模式
协议栈:选择IPV4即可
线路类型:静态IP、PPPOE、DHCP。
静态IP配置:配置外网IP、子网掩码、网关、DNS,其他参数默认,确定
PPPOE配置:配置PPPOE帐号、密码,其他参数默认,确定
DHCP:选择DHCP线路模式,其他参数默认,直接确定
- DHCP配置
进入WEB管理后台,【DHCP设置】-【DHCP服务】
线路名称:选择1.3新增的内网线路
IP地址范围:填写网段内地址范围
DNS:填写首选和备用DNS
其他参数可默认,点击确认,配置成功后点击【DHCP服务】右上角【应用】按钮。
- Lincense管理
进入WEB管理后台,【系统管理】-【认证信息】,在序列号认证框填入授权提交。
- 系统版本更新
进入【系统管理】-【系统升级】,查看当前版本,如果和POP点版本差距甚远需要更新,更新包像代理商或者供应商索取或联系供应商在线升级。
- 常规策略添加SDWAN组网配置
新增一条组网策略
服务器地址:输入主控服务器域名
服务器端口:1413
WAN线路:选择1.3新建的外网线路
MTU:一般配置成POP点MTU,自适应POP点MTU,特殊情况可调小
加密:打开为支持国密SM4,关闭为明文
UDID:记住该场所UDID,用于设备上线开通时搜索
- sxzapp远程管理策略(可不做添加,注意备注)
进入【路由策略】-【策略路由】,新增一条sxzapp的策略(需要Lincense认证成功后才能操作)。
策略名称:可自定义
优先级:100-1000,优先级设置最高(数字越小优先级最高)
应用协议:【选择协议】-【常用协议】-【其它常用协议】勾选【sxzapp】
执行动作:NAT
出口线路:选择1.3配置的外网线路,确定即可
Tips:此配置为CPE设备远程管理使用,配置此步骤的目的是为了防坑,部分场景可能有多个线路,或者全局流量走POP点,为了防止CPE远程不上,所以配置一个该策略保险。
操作完以上操作,一台X86 CPE的开局基本上完成,其他见具体场景操作。
第二章 X86版本云平台开通
- 设备新增
进入云平台【SDWAN管理】-【CPE管理】直接新增CPE,输入UDID,归属相应企业,输入别名(场所名称)。
选择企业和修改CPE名称,输入X86授权码,(ARM/MIPS自动生成)和节点类型。
- 设备开通
点击开通弹出链路开通窗口。
QOS质量选择专线,选择开通时间和带宽开通
第三章 X86版本组网教程
- 路由模式组网
X86组网遵循以下开通流程
云平台新建企业--企业分配POP点--设备开局(配置LAN/WAN)--设备开通--云平台设备新增各分支内网网段--CPE配置SDWAN策略路由
- 路由模式组网拓扑
- 路由模式X86 CPE策略路由
X86策略路由配置大致流程
新版X86路由模式组网,无需配置任何策略路由即可。
IP群组添加:【群组管理】-【IP群组】,切换到IP群组标签添加群组,名称可根据自己需求填写。
然后切换到IP列表标签,选择新建的群组,添加组网目标网段。
- 单臂旁挂组网
X86单臂旁挂组网遵循以下开通流程
云平台新建企业--企业分配POP点--设备开局(只需要配置WAN线路,建议配置为客户内网固定IP)--设备开通--云平台设备新增各分支内网网段--CPE配置SDWAN策略路由
- 单臂旁挂拓扑
- 单臂旁挂模式策略路由
X86策略路由配置大致流程
配置一条默认路由即可。
添加默认路由
源地址、目标地址任意、执行动作路由至WAN口,单臂旁路,仅一条默认WAN,备用出口可不管。
- 三层旁挂组网
X86三层旁挂组网遵循以下开通流程
云平台新建企业--企业分配POP点--设备开局(需要配置LAN/WAN)--设备开通--云平台设备新增各分支内网网段--CPE配置SDWAN策略路由
- 三层旁挂拓扑
- 三层旁挂模式策略路由
X86策略路由配置大致流程
新建IP群组-添加对端互联网段-新建回程策略-新建目标策略
添加回程路由
回程路由选择目标地址为本地内网网段(多网段可使用IP群组),执行动作路由至LAN口,下一跳填写三层交换机互联IP。
- 网桥模式组网
网桥模式属于透明网桥,一般用于串接入用户内网,不需要对网络设备进行策略调整,改动较小,但是有一定风险,设备故障,会造成断网(目前设备不带bypass功能),一般串接在防火墙与三层交换机之间或三层交换机和汇聚交换机之间。
- 网桥配置方法
XS1内网、XS2外网(内网接用户接入侧,外网接三层交换机侧)
- 网桥模式组网,只支持SAAS加速和单向往外访问,对端往回访问不支持。
- X86新增邻居查看
主控地址:控制器地址
规则类型:组网、尚云
网段:邻居CPE内网网段
连接类型:转发(中转)、直连、转发+直连
邻居名称:同企业其他CPE名称
设备类型:CPE、POP
第四章 X86版本SAAS加速教程
- 目标路由加速
参考3.1.2 IP群组添加和目标策略路由配置,大致和组网教程一致。
- DNS管控教程
位于【策略路由】-【DNS管控】,适用于被FW封杀的URL,需要进行DNS管控,需要配合目标路由加速策略使用(注意策略路由优先级范围)。
新建管控域名群组:进入DNS群组标签,新建群组,名称可自定义。
添加管控域名:进入DNS列表标签,选择添加的群组,输入加速域名,选择部分匹配方式。
添加管控策略:进入DNS策略标签,新建一条管控策略,访问域名选择之前新建的群组,执行动作选择XWAN隧道NAT至8.8.8.8和8.8.4.4出网线路选择组网-1。
批量域名导入:如果域名非常多,也可以使用批量导入功能,DNS列表页右边批量按钮。
导入格式:nGid为DNS群组
- 自定义协议教程
位于【群组管理】-【自定义协议】,用于非目标IP加速,基于url加速的方式(注意策略路由优先级范围),该功能可根据URL自动学习目标域名解析的IP地址,并记录到路由内部缓存。
新建自定义协议:名称可自定义,节点生存期可设置不超时。
新建好后,选择右边操作按钮,进入详细配置界面。
然后选择域名关联标签,输入需要加速的域名。
可批量导入或导出自定义协议:自定义协议列表页面,右上角导入导出功能。
- 批量导入域名教程
- 新增一条自定义协议规则
- 选择自定义协议导入,文件选择域名关联,协议名称选择刚才新建的。
- 最后选择文件导入,文件为utf-8格式文本文档,一个域名一行。
整理的常用SAAS应用:
策略路由添加:新建规则里面应用协议选择新建的自定义协议,选择XWAN隧道路由即可,若遇到FW封杀域名,需要配合DNS管控使用。
- 目标域名拦截
使用自定义协议,先将需要拦截的域名添加好,在策略路由,新增丢弃规则,优先级最高。
路由、旁路模式均有效(DNS不过CPE能拦截)
第五章 X86版本须知
- 目前存在的问题
不支持:云平台下发策略路由、云平台下发DNS管控、不支持SDWAN动态路由
支持:一般防火墙功能、组网、SAAS加速、VRRP主备、7层DPI、DNS管控、自定义协议。
- 策略路由优先级须知
参考下图,策略路由优先级有范围限制,不按范围填写优先级可能导致策略不生效。
策略路由优先级范围为数字ID,范围100-65535,策略间隔为1。如下图所示
- 100以前为内部路由,不可修改和创建。
- 101-1000为XWAN云平台跟三方云对接策略预留。
- 1001-20000,可作为常规策略路由优先级。若需要配置XWAN组网、DNS管控和PPPOE代播、PPPOE代播DNS管控等策略,需要将策略优先级设置在该范围内。
- 20001-30000,可作为常规策略路由优先级。若需要配置XWAN VBR上云策略、动态路由、DNS选路等策略,需要将策略优先级设置在该范围内。
- 30001-40000,可作为常规策略路由优先级。若需要配置PPPOE代播用户指定某条线路出网,需要将策略优先级设置在该范围内。
- 40001-65535,常规策略路由优先级,没有特殊定义。
注意:若使用某些特定功能,策略和优先级不在归属范围,策略不会生效。
- CPE抓包教程
位于【监控中心】-【连接快照】,可根据地址、端口、协议进行实时抓包分析。
路由功能相当丰富,其它功能请参考路由使用手册。
附件一
SDWAN参数
序号 | 功能要求 |
1 | ★支持路由、网关、网桥、旁路多线路等部署模式 |
2 | 支持静态IPV4、IPV6、ADSL、DHCP等多种接入方式 X86支持VLAN/QinQ/PPPoE/DHCP |
3 | 支持MIPS、ARM、X86构架 |
4 | 集加速、流控、XWAN(SDWAN)、远程管理一体化设备 |
5 | ★国密办SM3、SM4等加密算法 |
6 | 支持PPPOE、WEB portal、Radius、短信等多种动态身份认证方式 |
7 | X86版支持BGP、OSPF、RIP动态路由 |
8 | |
9 | 客户端支持即插即用,最小化配置 |
10 | 支持7层DPI分流技术,可按应用分流至隧道 |
11 | 支持多分支组网、SAAS加速、一键上云 |
12 | 支持65535个namespace,允许不同企业有相同网段出现,互不干扰 |
13 | 可实现基于多线路的应用选路,指定部分应用走某一线路,实现流量的分担和负载功能,同时线路自动检查机制,实现某一链路故障时的业务切换,确保业务的连续性和稳定 |
14 | MIPS、ARM支持DMZ、UPNP、DDNS |
15 | 支持隧道直连、隧道中转技术 |
16 | 支持IP加速技术(Saas应用加速) |
17 | X86支持移动终端检测,流量、行为、身份、地理位置等 |
18 | VRRP热备、多WAN热备,支持策略路由、ACL防火墙控制 |
19 | 支持DNS管控(DNS分流) 、支持DNS重定向 |
20 | 支持端口映射 |
21 | X86版内置不少于9500条的应用识别规则列表,基于应用数据特征码而非简单的端口识别,可精准定位应用,便于通过对应用的智能识别匹配相应加速策略,大大简化管理员配置工作量;支持手动添加应用识别规则 |
22 | 支持上网行为管理与审计 |
23 | 线路连接数控制、支持高级流控等指定类型的文件下载带宽,提供流控机制和手段 |
24 | 支持多级子通道划分技术,实现带宽有效划分利用;支持对限制通道线路空闲时,允许突破限制,提高带宽利用率,已满足现有及后续应用的智能分配 |
25 | 支持基于用户、应用、时间设置带宽保障通道,可自定义上行/下行保证带宽、上行/下行最大带宽;并可针对同一通道内的用户进行单用户最高带宽限制,整体保障用户使用效果;支持根据通道优先级进行带宽借用策略的智能调度,避免带宽闲置浪费 |
26 | ★可针对在包含迅雷等P2P应用、在线流媒体,或某一类别的URL(如求职网站)对用户的访问行为进行阻断,有效的规范网络行为 |
27 | 要求设备通过Web图形化配置界面管理,并支持页面上配置对设备进行重启、关机、恢复出厂配置、配置备份及恢复等操作,便于管理 |
28 | 支持在线查看各隧道连接状态、连接名称、用户名、实时流量、Internet IP、内网IP、接入时间、传输类型 |
29 | 支持连接快照查看,支持IP流量排行和应用流量排行报表查看,并支持基于IP、应用、加速用户、设备进行加速削减报表查看;为方便管理员定期查看,要求支持周期性生成PDF报表 |
30 | 具备基于状态监测技术的防火墙功能,可基于服务、源IP、目的IP、时间自定义防火墙规则,可防范来自外网、内网的DOS攻击,支持ARP欺骗防护功能 |
31 | 支持设备集中管理、集中运维 |
32 | 支持组网拓扑在线图形化显示,并在拓扑中显示SDWAN网络连接、CPE设备运行的实时健康状态 |
33 | 支持通过SDWAN云平台查看设备实时查看全网设备状态,包括CPU、内存、带宽、并发,以及外网接口发送/接收流量、隧道发送/接收流量;支持查看全网设备异常信息;支持查看全网设备版本信息、版本更新情况 |
34 | 具备可视化界面,以地图方式通过不同颜色展示全网分支机构健康、离线、告警状态。 |
35 | ★支持可视化展示某个应用的实时传输的总流速及TOP10 IP占用流速详情 |
36 | ★支持可视化展示两台SD-WAN设备间所有隧道的连 接状态、时延、丢包、抖动、流速等信息 |
37 | ★支持可视化展示某台SD-WAN设备所有隧道带宽利用率及总带宽利用率 |
38 | ★支持展示分支资源利用率排行TOPN、分支带宽利用率TOP排行、分支告警问题总数趋势、分支告警排行TOP5、分支告警数量分布、分支离线时长TOP5等报表。(提供设备界面截图证明,加盖厂商公章) |
33 | 支持通过单点登录方式远程接入分支进行配置和管理。 |
34 | ★支持按不同权限来指定不同的管理员,实现细化管理的同时防止管理员越权管理产生的混乱。 |
35 | 支持自定义CPE告警(CPU、内存、带宽等),多种告警接收方式(钉钉、企业微信、邮件、短信) |