睿智通SDWAN产品使用手册

SD-WAN

（软件定义广域网）

或»«样授本与伸况:5烫4M效贼台.

口在ift过以片❷大JM开发并打网T01WI.

嫌先使用救塞.

继喻企亚网络的3L

睿智通SDWAN产品使用手册

:百银遮信

目录

....................................................................................................................................................1

睿智通SDWAN产品使用手册.......................................................1

1关于本手册.....................................................................2

L1适用软件版本................................................................2

1,2目标读者....................................................................3

1,3文档反馈....................................................................3

2名词解释.......................................................................3

3系统安装和基础配置............................................................3

3.1FlexVNF介绍................................................................3

32创建用户组织................................................................4

3.3创建模板...................................................................9

3.4创建设备.................................................................12

4设备注册上线..................................................................14

4.1设备面板展示（以睿智通110-NW为例）....................................14

4,2上线准备..................................................................15

4.3设备上线..................................................................15

5服务配置......................................................................18

51配置SDWAN策略（转发流表）..............................................18

52配置自适应整形............................................................32

5.3配置基于策略的转发(PolicyBasedForwarding)...........................................................33

5.4配置安全规则.............................................................39

5.5配置QoS(Classofservice)--基于APPQoS..................................................................43

6运维监控......................................................................51

7分析模块和报表...............................................................53

8账号权限管理..................................................................55

1关于本手册

本手册介绍如何使用及配置Infoquick的睿智通SDWAN产品，使用该手册的前提是容

智通Head-End已经正确安装上线(包括Director,Controller,Analytics三个部件),并且

服务已经正常运行。本手册内容包括系统安装和基础配置，设备注册上线，服务配置，运维

监控，报表生成以及账号权限管理。

L1适用软件版本

本手册使用以下Head-End以及终端CPE版本：

Director：16.1R2S6.1

Controller：16.1R2S6.1

Analytics：16.1R2S6.1

CPE：16.1R2S6.1

1.2目标读者

本手册面向业务开通人员，运维工程师“使用本手册之前，用户需要对于睿智通SDWAN

方案有一定了解，对Ubuntu有过接触，并具备一定的的网络基础能力。

1.3文档反馈

Infoquick欢迎您提出宝贵的建议，以便改进我们的文档。如有改进的建议，请将反馈发

送至。

2名词解释

专有名词英文说明

头端Head-EndSDWAN控制平台，包含（Director,Controller,

Analytics三大组冲）

业务编排器Director业务编排引擎，可视化平台，用户及业务管理

控制器Controller和CPE设备建立控制隧道，负责配置下发，

路由推送

分析器Analytics数据分析模块，生成日志报表

用户终端软件FlexVNF用户侧设备安装的软件系统.提供多项网

络服务。

3系统安装和基础配置

3.1FlexVNF介绍

FlexVNF作为高分布式和可扩展的网络服务功能，可以安装在裸机，KVM.ESXI.AWS.

Azure,ALLTencent,Openstack,Hyper-V,VMwareVcloud等基础架构上。提供以下网

络服务:

■NextGenerationFirewall下一代防火墙

■SoftwareDefinedWAN软件定义广域网

■AddressTranslation地址转换

■SitetoSiteVPNConnectivity站点到站点的VPN连接

■ApplicationDeliveryController应用交付控制器

■AccessControl访问控制

■Load-balaicing

下图显示了数据中心内的FlexVNF,以及已经部署的睿智通虚拟服务。Director能够在云或

者无理网络中创建和部署FlexVNF网络服务，Analytics提供由FlexVNF运营并由Director

管理的各种服务的实时安全和网络报告。

SD-WANSecurity

VNF-basedManagedServices

Routing/CGNAT/DHCPNG-FW/URL-FItrrDPInIVPNAV'AntiMWADC

Fabric(servicechaining,elasticity)

■VersaOS■

AnalyticsDirector

VersaFlexVNF™

3.2创建用户组织

a)进入Director视图，转至ijWorkflows-infrastructure->Oranizations；

b)单击田创建用户组织；

CreateOrganizationX

Field描述

名称组织名称

仝局组织ID分配给组织的一个IDo系统会自动分配，用户也可以更

改为1-31之间的未使用的值

父类组织关连该组织的上级组织

IKE认证身份验证类型，预共享密钥

SCP共享控制面板，启用：不会单独为该组织创建单独的控制

tunnel,组织将会共享父组织的控制tunnel；不启用：单

独创建控制tunnel,父类tunnel也会存在。

在“控制器”里面，选择需要与该组织关联的控制器

在CMS连接器中，为该组织选择并添加可用的CMS组织

Cancel■Save■Deploy

单击"AnalyticsCluster",添加Analytics群集

单击"RoutingInstances"定义用户的虚拟路由实例

ControllersCMSConnectorsAnalyticsClusterRoutingInstancesSupportedUserRoles

RoutingInstancesn

-NameSDescriptionIDVPN

28□

Blest-LAN-VR

27D

1Deploy|

CanedSave

Field描述

Name路由实例名称

描述创建该实例的描述

ID路由实例ID值

VPN启用或者禁用VPN

单击“支持的用户角色”，选择该组织支持的用户权限（权限列表如下）

ControllersCMSConnectorsAnalyticsClusterRoutingInstancesSupportedUserRoles

AvailableAddAllSelected

SearchSearch

TerwntDotaCollectionOperatorX

TenantADCAdmlnX

TenantSuperAdminX

TenantSecurityAdmlnX

TenantoperatorX

TenantDashboardOperatorX

Redeploy

role描述

adcadmin可以查看/修改ADC配置

cgnatadmin可以查看/修改CGNAT配置

sdwanadmin可以查看/修改SDWAN配置

securityadmin可以查看/修改Security配置

tenantadmin可以查看/修改租户配置

oper可以查看租户配置

c）单击“保存

CreateOrganizationX

d）单击“部署”，完成配置。

CreateOrganizationX

3.3创建模板

a)进入Director视图，转至i]Workflows->Template->Templates

b)单击日创建模板，在基本选项中，输入所需信息

Field描述

名称模板的名称

类型模板的类型

组织模板的所属组织

设备类型组网类型，全互联，还是Hub-Spoke

冗余配置设备冗余

子组织模板属于的子组织

控制器为该模板添加控制器

解决方案类型选择该模板支持的功能

分析器集群选择该模板的分析器

最低版本支持应用的最低软件版本，最多兼容前两个

c）在“接口"选项中，配置接口

选择配置的端口数；

选择接口类型（WAN,LAN,PPPOE,WAN/LAN）；

填充具体的接口配罟（所属网络，获取地址方式等）

d）在“路由"选项中，配置路由信息（BGP,OSPF,Static,和用户内网建立）

e)在“分离隧道”选项分配置DIA(DirectInternetAccess)

在"入站NAT”选项中，配置DestinationNAT（内网应用发布到公网，非必须配

置）

g）在“服务”选项中,配置DHCP,QoS等服务（非必须配置）

h）在"管理服务器”选项中，配置NTP,Syslog,AAA,SNMP配置（非必须）

i）点击“创建"，激活模板

3.4创建设备

a）进入Director视图，Workflows->Devices->Devises

b）单击田创建设备,在基本选项中，输入所需信息

AddDevKe

NameGlobalDcvkeIDOrpntutton

Field描述

名称设备的名称

全局设备ID默认自动创建，用户可以自己定义

设备部署类型硬件还是云部署

序列号设备序列号，认证使用

设备组设备组

管理员信息管理员信息

C）进入"位置信息”选项中，配置设备地理位置

AddDr^ceX

0Carx<M■Save

d）在“绑定数据”选项中，配置用户IP等信息

AddCHvtctGM-IDC-2X

[BaxIlocxkxHMorztioc]MdDas

UserInputAutcxGenerated

PostSUgingTemplate-GMOC*T«mpate

05PFmttrfaceswithMask

DeviceNAme

GMLANVR_otpHtouteddLAN_IPv4_su(l^ddres$WAN1lncemet_IPv4_sUt)C3ddre

心77532。GM-iDC-210.116.201.WC114.113,6322^8

ServiceTemplateVariableTempiMe:GM-lX-Temp4MeOevkeGroup:GM-IDC-OG

ServiceTempUtes:GMOauStoie

Userlnp<xAutoOneratedAutoWIOonegf

e）单击"Deploy"完成配置

AddDevkeX

IBasicIlocationInformatkxiI0ndData

UserInputAutoXjenerated

PottSUglngTttnpUU-Aldoud*SZ*HM1TtcnpUe

InterfaceswithMask

SerialDeviceName

LANJM_SUU3kess

IPv4AddressAAd$k

S«rvktT«npUttVarUbleTemphte:AliOoud-SZHubOITemptoteDevkeGroup:AJOoud-SZHubO1

SefvkeTemplates:Infoquick-DMaStore

UserInputAutcbGeneracedOw

|。*皿OevkeName

V>bdateTempUte

4设备注册上线

4.1设备面板展示（以睿智通110・NW为例）

Console接口WAN1接口

电源键电源插口WANO接口交换接口MGT接口

4.2上线准备

a）网线或者Console（后台可以Console或者MGT接口登录）

b）终端软件（SecureCRT、Putty.Xshell等）

c）电脑

4.3设备上线

a）设备加电

b）通过网线讲电脑和设备连接，电脑配置10Q0.0/8网段的IP（使用Console连接则

跳过h、c两步，直接使用终端连接,波特率

c)Ping0测试连通性

HC:\Windows\system32\cmdexe=回区

方权麻有<c>2009MicrosoftCorporation0保留所有权利o

C：XUscrsMues?

C：\Users\Ives>

C：Misers\Ives>ping10.10.10.10

在

Ping10.10.1R.1H

自

d10.10.10.10的回-1nsTTL-64

H

l10.10.10.10的回TTL-64

W10.10.10.10坊回TTL-64

10.10.10.10的回TTL-64

C：MJsersXlves>

d)打开终端软件，SSH连接设备(Username：admin,Password:versa123)

锻PuTTYConfiguration【汉J

e）将公网线路接入设定的公网接口，内网互联线路接入设定的LAN接口

f）运行组测脚本，完成上线（相关ID信息，noc团队会提供）

cd/opt/versa/scripts/

sudo./-I本地ID-r对端控制器ID-c控制器IP-w注册网卡-s静态IP地址-

g网关（如果是非固定公网IP,-s和-g参数不用，直接使用-d即可）

(admin0ZY-BJ:*J♦cc/opt/versa/scripts/

(admineZY--BJ:scripts)tsudo./staging.py-1SDWAN-BranchgMxao.com-rContrll-

maging@Miao.com-c163.S3.240.211-w0-s202.101.12.2/24-g202.101.12.11

g）设备和控制器建立隧道，拉取配置，重启，完成上线

h）进入Director,点击Administration->Appliances,查看设备上线情况

0

TtT*CrMMdiun-3w»*«MT

WM.227—MI4Q-U

一

三mg:

rnwroir.rvtMflfOIZ.b

MJ”g•

m*wo»2.MMW82-KQ3

三

三ll':

Mj3LH82_g

m-TNlHb«7.3，Q”，IM.

3。

g-gm.H3X，.三

三

二

t»voan.ZOab../，・)，，g

nuOCTM.'N

。

三=g

SjQ.1M

gOnH.US，F=

nuoa»-0

lOa明1M3

二0

三

modi」9,4Q3E0一

MOnDl--

g

ZJOT-

三

IMm三g

5MlM_SMMIO.*yqg

1Mmg

ns

5服务配置

5.1配置SDWAN策略（转发流表）

a）配置SLA配置文件

当分支站点具有多个WAN线路时，FlexVNF使用服务水平协议（SLA）参数来定义

哪些参数来选择最佳的链路来转发流量（包括延迟，丢包，抖动，负载等属性）。

•在Director视图中,转到Configration-ATemplates-ADeviceTemplates（该配

置在模板或者设备中均能修改，更改模板下发配置后,所有使用该模板的都将

继承该配置，针对于设备配置，则只对于设备有改动）

•进入一个新的视图，转至ijSevices->SDWAN->SLAprofiles（注意看清配置的所

属组织，一定要是你需要配置的组织，而不是父类组织）

•单击+,创建新的SLAprofile

AddSLAProfileX

Field描述

名称SLA配置的名称

描述创建该SLA的描述

数据包延时抖动可以接受的数据包延时量，毫秒单位

线路传输利用率线路传输负载

线路接收利用率线路接收负载

最大丢包最大可接受的丢包百分比

最大数据包转发丢失转发数据包时可以接受的最大丢包量

最大反向数据包丢失数据包反转期间可以接受的最大丢包量

最大延迟最大可接受的延时

MOS得分可接受的MOS得分，更具算法结合各个参数

生成的得分值，范围为0-5,5为最优的。使用

该选线必须开启MOS评分机制

如果LOWLatency四个单选框选用，则当多条链路符合设置的SLA,也只会选

择最优的那条，而不是负载均衡。

•点击Ok,完成SLAProfiles配置

b）配置转发配置文件

转发配置文件用于定义在链路上发生SLA违规时应发生的情况。典型的转发配置

文件包括：

•根据WAN链路和电路的实时SLA性能评估确定是否应转发，丢弃或限制流量

的选项

•不同链接的网络优先级

・重新计算计时器，用于评估在SLA违规清除后何时可以将流星移回链路

•其他特定于流程的选项

•转发配置文件与SLA配置文件相关联，以确定以给定优先级顺序选择WAN电

路0

配置步骤

•在Director视图中，转到Configration->Templates->DeviceTemplates（该配

置在模板或者设备中均能修改，更改模板下发配置后，所有使用该模板的都将

继承该配置，针对于设备配置，则只对于设备有改动）

•进入一个新的视图，转至〔JSevices->SDWAN->Forwordingprofiles（注意看清

配置的所属组织，一定要是你需要配置的组织，而不是父类组织）

•单击+添加配置文件

AddForwardk>gFronie

GeneH]QrcuttPrwX

Field描述

名称转发配置文件的名称

描述创建该SLA的描述

标签转发配置文件的标签

SLAProfile要与转发配置文件关联的SLA配置文件的名

称。选择SLA配置文件以创建和激活转发配

置文件不是必需的。

加密通过SD-WAN隧道发送的流量是否应加密。

有三种加密模式：

可选。指示是否应该应月加密，具体取决于

用作SD-WAN隧道传输的WAN链接是否已启

用加密

永远。表示应始终加密流量

从不。用于在端到端流量已加密（例如，安

全RTP或SSL流量）时避免加密开销

连接选择方法指定用于平衡流量的模式。选项是：

高可用带宽。表示必须使用具有最高可用带

宽的电路。

加权循环法。基于相应访问链路上的可用带

宽为各种路径分配权重。系统定期测量每个

接入链路的当前带宽消耗。如果配置了电路

的上行链路和下行链路带宽，系统将确定每

个链路上的可用带宽并分配权重。例如，如

果WAN1是10Mbps链路并且当前报告的利

用率为8Mbps,则其剩余容量为2Mbps。如

果WAN2是5-Mbps链路，并且当前报告的

利用率为1Mbps,则其剩余容量为4Mbpso

WAN1和WAN2将按比例2：4（即1：2）分

配负载均衡信用。每个会话消耗一个学分。

重新计算计时器当在链路上上发生SLA违规时，在切换到不

同链路之前应经过多长时间。在每次重新计

算间隔后，将重新评估转发配置文件的所有

路径的SLA合规性状态,

SLA违规行为当反生SLA违规时，采取的措施

负载均衡选项基于包和流的负载均衡

数据包复制启动设置数据包复制启用条件和停止条件，以及复

制包数量（注意：如果数量选择了3,但是实

际只有两条链路，只会发送一个复制包）

持续评估建议搭配渐进式迁移，避免流量流出该链路后

反复切换

重新排序允许按原始顺序转发无序数据包

转发重定向

对称转发发出流量和返回流量使月同一条链路，但是如

果需要选择最佳链路转发，不建议开启

・单击“链路优先级”设置配置和远端的链路属性

•单击+定义链路属性，配置优先级，本侧和对端链路

AddCircuitPriorities

•单击“避免连接”配置不选择作为转发的链路

・单击FEC选项配置前向纠错功能

E*ForwardingProfile

GeneralJOrcucPnorcteiJAvoidConnectiom匚［AdvancedS<ep

S^xkr

•enableDupkMe«C

MaMmum收PjdetSizetimberofP«cloecsperF€CSortWhen

•Setect-

Orcu«UttliMtton

■ScopWhen

ReceMr

■Recovery.l>rwefveOrder

Field描述

启用开启FEC功能

复制FEC校验包默认启用，可以再备用路径上关闭

最大校验包大小最大FEC校验包的大小

每几个包生成校验包默认4,建议4,包越少线路占用越大

开始停止条件可以关联SLA

恢复收到FEC报文后启动报文恢复功能（默认启

用）

Preserveorder重新排序无序数据包并按原始顺序转发（默

认启用）

•高级设置，配置SLA平滑迁移，以及SLA平滑迁移时间，渐进迁移等

•点击确定

0配置应用检测（默认启用）

d）酉己置SDWANPolicies

在Director视图中，转至UConfigration->Templates->DeviceTemplates（该配

置在模板或者设备中均能修改，更改模板下发配置后,所有使用该模板的都将

继承该配置，针对于设备配置，则只对于设备有改动）

进入一个新的视图，转至ijSevices->SDWAN->Paicies注意看清配置的所属组

织，一定要是你需要配置的组织，而不是父类组织）

InfoQuick

.vwprf

33c

XC«^*rC**i

•单击+添加policies名字

AddPoliciesX

e）配置规则

•在Director视图中，转到Configration->Templates->DeviceTemplates（该配

置在模板或者设备中均能修改，更改模板下发配置后，所有使用该模板的都将

继承该配置，针对于设备配置，则只对于设备有改动）

•进入一个新的视图，转到Sevices->SDWAN->Policies->Rules注意看清配置的

所属组织，一定要是你需要配置的组织，而不是父类组织）

•点击+添加规则

Dttcnptton

Field描述

名称规则名称

描述规则描述

•配置流量捕获条件

配置IP包头匹配（如果需要的话，不建议，建议基于APP去匹配）和计划（可

以根据计划时间该策略生效）

AddRulM

IPHQ空

OSCP

Conomoo

tlwn<xeauaiu

■■

根据应用和URL匹配流量（可以使用预定于库，也可以用户自己定影）

基于用户和用户组匹配流量（一般情况下不使用:

X

配置执行策略

Addftules

GtZf.[$ourcaDftt2tmJHZoWcXXi.12PHpm/VRl[UurVGrouptJEMore

IfFProM

AJiowFtow.De^SProme

♦FocwirdingProfit♦LEFProH#

NexthopIPaddressORouttnglrvunceOEventfUtelMt

■a

Field描述

转发

行动对流量采取的措施：

允许流量

拒绝流量

转发文件关联前面配置的转发文件

下一跳地址配置转发下一跳地址

路由实例配置要使用的路由实例

启动返回流量对称转返回数据包从进入端口流出

发

启动返回流量的对称返回数据包从进入端口流出，并且返回到接

二层转发收前向流量的MAC地址

监控

地址Ping路由实例的地址

行动采取的行动：

等待恢复

故障转移

下一个规则

间隔ICMP间隔时间，

事件ICMP失败次数

记录

LEF文件选用LEFProfile

事件记录活动类型：

从不

SLA违背

线路优先权变更

记录限制记录限制的值

单击确定

5.2配置自适应整形

自适应整形是指集线器动态地向连接到集线器的分支发送新的业务传输速率的过程。

根据新的传输速率，分支机构调整发送到集线器的流量,