SD-WAN

从R81.10.10版本开始，SD-WAN功能可在本地管理的Quantum Spark设备中使用。

SD-WAN将特定应用的流量通过指定的接口进行路由。它使用预先配置的推荐通用设置，无需手动配置。特定应用的流量使用不同的链路，以优化所有可用链路的性能和利用率。没有SD-WAN时，流量会根据目标IP地址自动路由。

SD-WAN配置为将大部分流量通过主要ISP路由，并在主链路故障时使用备用ISP（例如LTE 长期演进 - 基于GSM/EDGE和UMTS/HSPA技术的移动设备和数据终端无线宽带通信标准。它使用不同的无线电界面以及核心网络改进来增加容量和速度。）作为备份。

在访问策略>防火墙部分 > SD-WAN页面上，你可以配置SD-WAN规则并监控流量。

说明- 从R81.10.05开始，可以使用适用于集中管理设备的SD-WAN。更多信息，请参阅Quantum SD-WAN Administration Guide。

网关先决条件

配置了多个互联网连接。
连接到互联网。

SD-WAN已知限制

Smart SD-WAN不支持VTI。

有4种可能的解决方法：

禁用SD-WAN刀片。
禁用智能SD-WAN，并使用互联网对象配置手动SD-WAN策略规则规则库中的一组流量参数和其他条件，用于对通信会话采取指定的操作。。
为VTI路由配置手动SD-WAN策略规则。

向不以“任何”作为源或目标的路由表添加新的特定规则。

说明- 在路线配置中，不要选择vpnt接口，配置VTI对等体的IP地址。

SD-WAN策略不支持自定义应用程序。
SD-WAN不支持Bond、Bridge和Alias接口。
SD-WAN不支持配置了IPv6地址的互联网连接。

SD-WAN入门

配置至少两个互联网连接

连接到设备WebUI。
在左侧树中，单击设备。
在中间窗格中，展开网络部分并单击互联网。

配置至少两个互联网连接 - 每个ISP一个：

点击“新建”。

新的互联网连接窗口打开。
在配置选项卡上：
1. 在连接名称字段中，输入此连接的适用名称。
2. 在接口字段中，选择适用的接口。
3. 在连接类型字段中，选择适用的类型。
在连接监控选项卡上：

选择自动检测与默认网关的连接丢失。
在高级选项卡上：
1. 单击SD-WAN设置以展开该部分。
2. 在上传速度（Mbps）字段中，配置ISP提供的互联网连接上传速度值。例如，Bezeq的上传速度为100 MB。
3. 在下载速度（Mbps）字段中，配置ISP提供的互联网连接下载速度的值。例如，Bezeq的下载速度为1000 MB。
  
  SD-WAN使用所有满足阈值的链接，并根据配置的上传/下载速度按比例分配权重。
4. 选中复选框此互联网连接将成为SD-WAN的一部分。
5. 复选框此互联网连接将在 SD-WAN 中设置为备份仅针对费用较高或质量较差的链路。例如，蜂窝网络通常有流量套餐，若超出限额可能会产生较高费用。在MPLS网络中，费用通常按使用量计费。
点击保存。

更多信息，请参阅配置互联网连接。

注意事项：

你还可以在访问策略> SD-WAN 页面上配置新的SD-WAN连接。
要从SD-WAN页面直接导航到设备> 互联网页面，请单击管理和监控链接。

配置全局SD-WAN探测设置

说明- SD-WAN接口向指定目的地发送ICMP回显请求。根据收到的ICMP回显响应，设备决定使用哪个ISP链接（SD-WAN接口）。

在SD-WAN模式行（已启用SD-WAN刀片）中，单击配置。
在第一个主机字段中，输入第一个探测目标的IPv4地址或主机名。

默认值是dns.google.com
在第二个主机字段中，输入第一个探测目标的IPv4地址或主机名。

默认值是dns.cloudflare.com
在第三个主机字段中，输入第一个探测目标的IPv4地址或主机名。

默认值是dns.opendns.com
在探测间隔字段中，输入探测数据包之间的时间（以毫秒为单位）。

默认值为1000毫秒（1 秒）。

在探测模式字段中，选择适用的值。

默认值是Best。

解释

此字段根据探测模式控制设备在每个转向对象中选择哪个互联网连接：

最佳- 选择具有最佳探测模式的互联网连接（数据包丢失、延迟和抖动的探测特性值最低）。此为默认设置。
平均- 选择具有平均探测模式的互联网连接。
最差- 选择具有最差探测模式的互联网连接（数据包丢失、延迟和抖动的探测特性的最高值）。

示例：

这两个互联网连接针对SD-WAN配置 - “WAN”和“DMZ”。

有三个探测主机（目的地）——“主机 1”、“主机 2”和“主机 3”。

配置探测间隔内的探测模式为：

	WAN			DMZ
探测特征	主机 1	主机 2	主机 3	主机 1	主机 2	主机 3
数据包丢失（％）	1	1	4	2	3	7
延迟（毫秒）	1	1	4	2	3	7
抖动（毫秒）	1	1	4	2	3	7

位置：

最佳探测模式是：
- “WAN”：数据包丢失 = 1，延迟 = 1，抖动 = 1
- “DMZ”：数据包丢失 = 2、延迟 = 2、抖动 = 2
平均探测模式为：
- “WAN”：数据包丢失 = (1+1+4)/3 = 2，延迟 = (1+1+4)/3 = 2，抖动 = (1+1+4)/3 = 2
- “DMZ”：数据包丢失 = (2+3+7)/3 = 4，延迟 = (2+3+7)/3 = 4，抖动 = (2+3+7)/3 = 4
最差探测模式是：
- “WAN”：数据包丢失 = 4，延迟 = 4，抖动 = 4
- “DMZ”：数据包丢失 = 7，延迟 = 7，抖动 = 7

所以：

如果选择“最佳”，设备将选择互联网连接“WAN”。
如果选择“平均”，设备将选择相应的互联网连接。
如果选择“最差”，设备将选择互联网连接“DMZ”。

说明- 如果互联网连接之间存在关联，设备将根据配置的链路利用率选择互联网连接（见下文）：

如果你选择了链路聚合选项，设备将使用所有状态良好的接口。
如果你选择了优先选项，设备会在多个互联网连接之间进行故障切换和恢复切换。

在数据包丢失率字段中，输入探测数据包中可接受的最大数据包丢失率（以 % 为单位）。

默认值为30%。
在延迟上限字段中，输入探测数据包中可接受的最大延迟（以毫秒为单位）。

默认值为200毫秒。
在抖动上限字段中，输入探测数据包中可接受的最大抖动（以毫秒为单位）。

默认值为80毫秒。
点击保存。

配置ISP链路的智能SD-WAN优先级

说明- 配置多个连接后，你只能在高可用性模式下工作。

从左侧树中单击访问策略。
在中间窗格中，展开防火墙部分并单击SD-WAN。
向下滚动直到看到性能和策略选项卡。
在自定义规则部分下方，将智能SD-WAN使用优先级滑块向右移动以启用此选项。
在此滑块的右侧，单击配置。

打开智能SD-WAN设置窗口。
在链路利用率部分中，选择智能SD-WAN的链路利用率方法：
- 链路聚合 - 默认选择。该设备使用所有符合阈值标准的SD-WAN接口。
- 优先排序- 设备根据配置的优先级顺序使用互联网连接。
  
  要更改连接的优先顺序：
  1. 单击并按住适用的表格行。
  2. 将表格行向上或向下拖动到所需位置。
  3. 松开鼠标按钮。
  4. 点击保存。

如有必要，配置自定义SD-WAN规则

这些规则为特定的应用程序流量配置转向行为。转向行为决定了设备如何将流量发送到互联网。默认行为是本地突破。参见预定义转向行为对象和配置用户定义的转向行为对象。

设备按照你在策略中输入的顺序应用规则。

点击“新建”。

备注：

如果你单击新建按钮，设备就会在此部分的底部创建一个规则。你可以将其移动到所需位置。

你可以点击新建按钮右侧的向下箭头，提前选择适用的规则位置（顶部规则、底部规则、所选上方、所选下方）。
创建规则后，你可以编辑、禁用和启用该规则。

在新建SD-WAN规则窗口中，选择以下列中的适用对象：

重要提示- 要选择用户定义的对象，你必须在创建新规则之前创建它们。

这适用于：

主机和网络的网络对象代表公司拓扑结构不同部分的逻辑对象 - 电脑、IP地址、流量协议等。管理员在安全策略中使用这些对象。（用户和对象视图 >网络资源>网络对象）
网络对象组（用户和对象视图 >网络资源>网络对象组）
应用程序（用户和对象视图 >网络资源>应用程序和 URL ）
服务（用户和对象视图 >网络资源>服务）
服务组（用户和对象视图 >网络资源>服务组）
服务器（用户和对象视图 >网络资源>服务器）
转向行为（访问策略视图 >防火墙> SD-WAN ）

参见配置用户定义的转向行为对象

源
1. 单击+图标。
2. 单击适用的选项卡 -网络或可更新对象。
3. 选择适用的对象。
  
  要选择可更新对象代表外部服务的网络对象，例如Microsoft 365、AWS、地理位置等。，请单击导入> 选择对象 > 单击保存。
4. 单击选择。
目的地
1. 单击+图标。
2. 单击适用的选项卡 -网络或可更新对象。
3. 选择适用的对象。
  
  要选择可更新对象，请单击导入> 选择对象 > 单击保存。
4. 单击选择。
应用程序/服务
1. 单击+图标。
2. 单击适用的选项卡 -常用、服务或应用程序。
3. 选择适用的对象。
4. 单击选择。
行为
1. 单击默认分组讨论对象。
2. 选择适用的转向行为对象。

点击保存。
要更改自定义规则的优先顺序：
1. 单击并按住适用的表格行。
2. 将表格行向上或向下拖动到所需位置。
3. 松开鼠标按钮。

监控SD-WAN
页面中间部分显示所有SD-WAN互联网连接的图表。

将鼠标悬停在图表顶部并单击适用的类别：
- 吞吐量
- 数据包速率
- 连接
- 全部（仅针对吞吐量和数据包速率出现）
- 入站（仅针对吞吐量和数据包速率出现）
- 出站（仅针对吞吐量和数据包速率出现）
- 即时
- 趋势- 特定时间段内的流量
在实时视图中，将鼠标悬停在每个互联网连接上即可查看包含其他数据（延迟、抖动和数据包丢失）的工具提示。

预定义转向行为对象

该设备有几个预定义的转向行为对象：

从左侧树中单击访问策略。
在中间窗格中，展开防火墙部分并单击SD-WAN。
向下滚动直到看到性能和策略选项卡。
单击性能选项卡。此选项卡显示预定义的转向对象及其执行方式。
单击预定义对象即可查看其完整设置。
- 此对象使用的应用程序的图标。
- 此对象使用的互联网SD-WAN链接。
- 显示每个SD-WAN链接状态的图标。
- 当你将鼠标悬停在每个SD-WAN链接上时，工具提示会显示其质量（抖动、延迟、数据包丢失）。
你不能更改预定义对象的设置。

配置用户定义的转向行为对象

该设备有几个预定义的转向行为对象：

从左侧树中单击访问策略。
在中间窗格中，展开防火墙部分并单击SD-WAN。
向下滚动直到看到性能和策略选项卡。
单击策略选项卡。
从顶部工具栏中，单击管理行为。
在顶部工具栏中，单击新建。
在名称字段中，输入描述性名称。
可选：在注释字段中输入适用的文本。
在阈值部分，配置转向行为所需的标准。
可用选项
- 选择预定义，然后从列表中选择适用的类别（每个类别都有预定义的阈值）。
- 选择自定义，并配置所需的阈值：
  - 抖动上限
  - 延迟上限
  - 数据包丢失上限
在Steering Candidates部分中，选择所需的SD-WAN接口：
可用选项
- 选择所有相关链接以使用所有SD-WAN接口。
- 选择特定链接并选择所需的SD-WAN接口（如果有三个或更多SD-WAN接口）。
在链接利用率部分中，配置所需的设置：
可用选项
- 选择链路聚合并选择如何使用所有SD-WAN接口的算法：
  - 连接哈希- 根据属性的哈希将连接分配给链接，确保连接的所有数据包都遵循相同的路径。
  - 循环- 以循环方式将连接分配到可用链路，旨在实现平衡但不一定是带宽优化的分配。
  - 按上传带宽比例- 根据链接的上传带宽比例将连接分配给链接，从而优化带宽利用率。
  - 按比例下载带宽- 根据下载容量为链接分配连接，旨在优化入站带宽使用率。
- 选择“优先排序”并配置SD-WAN接口的优先级顺序（拖放即可更改顺序）。当你配置两个或更多SD-WAN接口时，此选项可用。
在探测部分，你可以覆盖全局探测设置。

该设备并行向所有配置的主机发送ping，并根据抖动、延迟和数据包丢失测量ISP链路质量。
1. 为第一台主机、第二台主机、第三台主机输入适用的目标IP地址或主机名。
2. 在探测模式字段中，从以下选项中选择适用的结果：最佳、平均、最差。
点击保存。

静态路由和SD-WAN

解释

当设备上启用SD-WAN时，SD-WAN路由决策优先于所有静态路由（在设备视图 > 高级路由部分 > 路由表页面中配置的静态路由），这些静态路由将流量发送通过互联网连接。

这是默认的SD-WAN配置：

SD-WAN刀片已启用。
每个互联网连接均启用SD-WAN。

如果您不想使用SD-WAN，则可以按照以下任一选项通过已配置的静态路由将流量发送通过互联网连接：

禁用SD-WAN刀片：

说明- 这会完全禁用设备上的SD-WAN。

单击访问策略视图 > 在防火墙部分中，单击SD-WAN页面。
在页面顶部，将滑块移动到左侧位置（靠近SD-WANblade已启用文本）。

在每个特定的Internet连接中，清除选项此Internet连接将成为SD-WAN的一部分：

说明- 使用此选项仅在特定接口中禁用SD-WAN，并继续在其他接口中使用SD-WAN。

单击设备视图 > 在网络部分中，单击互联网页面。
选择互联网连接并单击编辑。
转到右侧选项卡“高级” 。
展开最后一部分SD-WAN设置。
清除选项此互联网连接将成为SD-WAN的一部分。