组网配置
本文介绍组网配置的具体功能和用法。
POP网路实例的组网配置
配置入口:SD-WAN → 智能组网 → “POP网络实例"页签 → 网络实例的"组网配置”
网络名称
自定义的描述,用于区分多个异地组网网络。
组网网段
Hub站点用于组网互联的网段,通常为VPC网段或其内网网卡网段。
隧道网段
自动分配的内部保留网段,如果与您的站点组网网段或内网网段冲突,可手动更改。
加密算法
站点间流量的加密方式,具体解释如下:
| 加密算法 | IKE加密 | IKE认证 | IPSec加密 | IPSec认证 | DH分组 | 说明 |
|---|---|---|---|---|---|---|
| AES128-SHA1-MODP1024 | aes128 | sha1 | aes128 | sha1 | g2(modp1024) | 国际标准商用密码算法 |
| AES128-SHA256-MODP1024 | aes128 | sha256 | aes128 | sha256 | g2(modp1024) | 国际标准商用密码算法 |
| AES256-SHA256-MODP2048 | aes256 | sha256 | aes256 | sha256 | g14(modp2048) | 国际标准商用密码算法 |
| AES128GCM16-SHA1-CURVE25519 | aes128 gcm mode | sha1 | aes128 gcm mode | sha1 | g31(curve25519) | 国际标准商用密码算法 |
| AES256GCM16-SHA256-CURVE25519 | aes256 gcm mode | sha256 | aes256 gcm mode | sha256 | g31(curve25519) | 国际标准商用密码算法 |
| SM4CBC-SM3-SM2DH | sm4 cbc | sm3 | sm4 cbc | sm3 | sm2 | 中国国产商用密码算法,需要站点宿主机系统支持 |
| 不加密 | aes128 | sha1 | 无 | 无 | g2(modp1024) | 不建议在公网环境下使用 |
IP地址转换
异地组网后,站点下的终端默认使用原始IP互访。开启此功能后,流量将被伪装为从组网站点发出,适用于分支不方便添加回程路由的场景:
以分支机构1下面的PC1(IP为172.18.199.10)访问Edge侧服务器(IP为:10.40.0.20)为例:
- 开启此功能前:从PC1访问服务器,服务器侧看到的流量是:172.18.199.10 → 10.40.0.20;
- 开启此功能后,从PC1访问服务器,服务器侧看到的流量是:10.40.0.10 → 10.40.0.20;(10.40.0.10是Edge站点的IP地址)
Spoke站点的组网配置
配置入口:SD-WAN → 智能组网 → “组网站点列表"页签 → Edge/设备站点的"组网配置”
组网方式
| 组网方式 | 说明 |
|---|---|
| Spoke-Hub-Only | 仅Hub模式。分支机构仅可与Hub互访,不允许相互访问。 |
| Spoke-Hub-Spoke | 中转互访模式。分支机构将通过Hub中转流量,实现互访。 |
| Spoke-Hub-Spoke(Isolate) | 中转互访+隔离模式。同为此模式的分支机构无法互访,但可以与Spoke-Hub-Spoke、Full-Mesh模式的分支机构互访。 |
| Full-Mesh | 全互联模式。分支机构将尽可能建立直连来实现互访,对于未建立直连的站点将回退为通过Hub中转来互访。 |
组网CIDRs
Spoke站点用于组网互联的网段,通常为VPC网段或其内网网卡网段,对于路由器站点来说,通常是其LAN网段。
POP站点负载均衡配置
此配置项仅在Spoke站点组网后可用。
在集群组网场景下,设置站点接入各个Hub的优先级,用于防止中转流量集中在单个Hub上。
BFD探测参数配置
此配置项仅在Spoke站点组网后可用。
设置链路中断检测报文的发送频率和故障阈值,较小的检测值将对链路故障更加敏感。
路由泄露/跨网络实例互访
此配置项仅在Spoke站点组网后可用。
在多网络实例场景下,设置Spoke站点的组网网段可跨网络实例互访。
组网网段的直连/中转策略
此配置项仅Spoke站点加入组网,且组网方式为
Full-Mesh时可用。此选项在您需要精细化设置特定网段的直连/中转策略时使用,如:
- 大网段
172.18.0.0/16是分公司A的组网网段,需要流量审查,走Hub中转; - 小网段
172.18.100.0/24是分公司A的视频监控网段,流量较大,走直连;
配置方法:
最后更新于