如何配置SonicWALL SD-WAN

SonicWALL SD-WAN配置指南

版本1.0

Question/Topic

如何配置SonicWALL SD-WAN功能

Answer/Article

本文適用於：

涉及到的 Sonicwall 防火牆（Gen6以上的設備）

Gen6 NSA 系列：NSA 2600、NSA 3600、NSA 4600、NSA 5600、NSA 6600

Gen6 TZ系列：TZ 300、TZ 400、TZ 500

Gen6.5系列：NSA 2650、NSA 3650、NSA 4650、NSA 5650

固件/軟件版本: SonicOS 6.5.3或者以上版本

服務: SD-WAN

本文根據廠家官方說明翻譯編寫

功能與應用：

SD-WAN（(Software-Defined Wide Area Network軟件定義的廣域網）提供基於軟件的廣域網控制（WAN）連接。 SonicOS SD-WAN提供以下功能：

• 應用感知路由

• 基於以下屬性的動態路徑選擇：

• 延遲，抖動和/或丟包

• 用戶定義的質量評估閾值

• SD-WAN接口組

• WAN和VPN

• 可從一個界面擴展到N個界面

• 路徑性能探測指標

• 基於連接的流量分配

• VPN上的自動連接故障轉移

• 配置和管理（GMS和捕獲安全中心）

SD-WAN最適用於需要動態選擇最佳的特定流量類型和/或應用目標接口取決於網絡路徑的行爲方式。
爲了穩定運行，每個應用程序都有來自網絡路徑的特定要求。
例如，VoIP運行良好的網絡質量要求最佳延遲爲100毫秒或更短，而150毫秒或更高的延遲會導致VOIP呼叫存在問題。
SD-WAN功能就是爲了解決類似的問題，首先，配置動態測量各種網絡性能指標，例如延遲，抖動和多個網絡路徑上的丟包。
然後SD-WAN將這些指標與性能進行比較特定流量的閾值，最終選定滿足條件的最佳網絡。

SonicWALL從SonicOS 6.5.3開始支持SD-WAN，該功能主要有以下菜單：

MANAGE I System Setup > SD-WAN

INVESTIGATE | Logs >SD WAN Connection logs

Monitor→SD WAN Monitor

一、SD-WAN 組

SD-WAN組是接口的邏輯組，可用於負載平衡和動態路徑基於每個接口路徑的性能標準進行選擇。
可以創建自己的自定義組。

SD-WAN Groups頁面顯示用於優化和彈性流量的自定義接口池。

您可以創建多個SD-WAN組以滿足您的要求。

要添加SD-WAN組：

1、打開管理|系統設置> SD-WAN> SD-WAN組。

提示：對於VPN配置，匹配的SD-WAN組配置必須在對等VPN上完成SonicWall運行與當前防火牆相同的版本固件。

2、單擊“添加”圖標。 將顯示“添加SD-WAN組”對話框。

3、在“Name”字段中輸入描述性名稱。

4、從“Group Members Select here”列中選擇一個或多個接口。
成員接口可以僅WAN或編號的隧道接口。

注意：每個接口只能用於一個SD-WAN組。

5、單擊向右箭頭將所選接口移動到“Selected Interface Ordering”列。

6、要更改所選組成員的優先級：

• a選擇接口。

• b單擊向上箭頭或向下箭頭

7、對每個接口重複步驟6以確定優先級。

8、單擊“確定”。

二、性能探測器

網絡路徑性能指標是使用SD-WAN性能探測器確定的，類似於網絡監視器探測器。
SonicOS支持ICMP和TCP探測類型。 多路徑選擇配置文件可以使用SD-WAN探測器。

提示：對於VPN通道接口SD-WAN組，將自動創建內部系統創建的性能探測以探測遠程端點，並且不允許創建自定義性能探測。

“管理|系統設置”>“SD-WAN”>“性能探測”頁面顯示SD-WAN組中的每個路徑（接口）的動態性能數據（延遲/抖動/數據包丟失）和探測狀態，包括表格和圖形顯示。
顯示屏可顯示最後一分鐘（默認），最後一天，上週或上個月的數據。

添加性能探針：

1導航至管理|系統設置> SD-WAN>性能探測器。

2單擊“添加”圖標。 將顯示“添加SD-WAN性能探測”對話框。

3、在“名稱”字段中輸入自定義名稱。

4、從SD-WAN組中選擇SD-WAN組。

5、從“探針目標”中選擇一個地址對象。

6、從“探頭類型”中，選擇：

• Ping（ICMP） - 指定路由（默認）; 轉到第8步

• TCP - 指定路由; 可以指定端口。

7、在“端口”字段中輸入指定路由的端口號。

8、在Probe every … seconds字段中輸入探針之間的間隔。 最小值爲1秒，最大值爲3600秒，默認值爲5秒。

提示：探測間隔必須大於回覆超時。

9、在“答覆超時…秒”字段中輸入響應的最大延遲。
最小值爲1秒，最大值爲60秒，默認值爲1秒。

10、輸入探頭設置爲DOWN狀態之前的最大丟失間隔數，在Probe state設置爲DOWN after… missing interval字段之後。 最小數量爲1，最大值爲100，默認值爲3

11、輸入探測器設置爲UP狀態之前的最大成功間隔數，探測狀態在…成功間隔字段後設置爲UP。最小數量爲1，最大值爲100，默認值爲3。

12、如果爲探測類型選擇了TCP - 顯式路由，則RST響應計數爲錯過選項變爲可用。
選擇將RST響應計爲錯過的時間間隔的選項。 默認情況下不選擇此選項。

13、（可選）在“註釋”字段中輸入註釋。

14、單擊“添加”。

15、重複步驟3到步驟14以添加更多探針。

16、單擊“關閉”。

三、配置性能類別對象

性能等級指定用於選擇最佳路徑的性能標準。 它可能是：

• 現有路徑中的最佳延遲/抖動/數據包丟失。
• 性能類對象，定義延遲，抖動和數據包丟失的度量標準閾值。

可以使用SD-WAN性能類對象爲應用程序/流量類別配置所需的性能特徵。
路徑選擇配置文件中使用這些對象，以根據這些指標自動選擇路徑。

這些是默認的性能類對象：

• 最低抖動

• 最低延遲

• 最低丟包率

注意：無法編輯或刪除這些默認的性能類對象。

您可以使用Performance Class
Objects配置最符合應用程序/流量類別需求的自定義性能閾值。

添加性能類對象：

1、導航至管理|系統設置> SD-WAN>性能類對象。

2、單擊“添加”圖標。 將顯示“添加性能類對象”對話框。

3、在“名稱”字段中輸入自定義名稱。

4、在Latency（ms）字段中輸入可接受的延遲（以毫秒爲單位）。
最小值爲0毫秒，最大值爲1000，默認值爲0。

5、在Jitter（ms）字段中輸入可接受的抖動（以毫秒爲單位）。
最小值爲0毫秒，最大值爲100毫秒，默認值爲0毫秒。

6、在數據包丟失（％）字段中輸入可接受的數據包丟失百分比。
最小值爲0，最大值爲100，默認值爲0。

7、（可選）在“註釋”字段中輸入註釋。

8、單擊“確定”。

四、配置路徑選擇策略

路徑選擇配置文件（PSP）是從可用網絡路徑池中確定滿足特定網絡性能標準的網絡路徑的設置。
當其與基於策略的路由（PBR）相關聯時，使用PSP設置來實現動態路徑選擇機制。
如果不止一個網絡路徑符合標準（根據PSP中的性能等級來判斷），流量會在網絡路徑之間進行負載平衡。
當其與基於策略的路由策略相關聯時，路徑選擇配置文件可以在應用/服務的SD-WAN接口之間選擇最佳路徑。

、

提示：對於VPN配置，匹配的PSP配置必須在運行與當前防火牆相同的版本固件的對等VPN SonicWall上完成。

要添加性能類對象：

1、導航至管理|系統設置> SD-WAN>路徑選擇配置文件。

2、單擊“添加”圖標。 顯示添加路徑選擇配置文件對話框。

3、在“名稱”字段中添加自定義名稱。

4、從SD-WAN組中，選擇配置文件適用的組。

5、從“性能探針”中，選擇要在配置文件中使用的探針。

6、從Performance Class中，選擇Performance Class Object以動態選擇最佳值網絡路徑：

• 最低延遲
• 最低抖動
• 最低丟包率
• 自定義性能類對象

7、從“備份接口”中，選擇當任何接口都不符合性能標準時使用的接口（根據性能等級;即，當所有SD-WAN組成員都無法滿足性能標準或所有接口都關閉時）：

• 無（默認）
• 其他接口
• Drop_TunnelIf

8、要指定是否應將性能探針的默認狀態視爲Up，請選擇Performance Probe默認狀態爲UP。如果未選擇此選項，則性能探測將被視爲DOWN。默認情況下選擇此選項。

9、對於具有非VPN SD-WAN組的路徑選擇配置文件，如果路徑上的現有連接應在路徑不再滿足性能標準時休息，請選擇“如果路徑不符合性能標準則重置條件”。默認情況下不選擇此選項。

10、單擊“添加”。

11要添加更多路徑選擇配置文件，請對每個其他配置文件重複步驟3到步驟10。

12單擊“關閉”。

五、SD-WAN路由

特定流量的動態路徑選擇使用基於策略的路由。
基於SD-WAN策略的路由用於配置特定源/目標服務/應用程序組合的路由策略，以及相應的路徑選擇配置文件，該路徑選擇配置文件根據路徑選擇配置文件動態確定傳出路徑。
如果路徑選擇配置文件限定了多個路徑，則流量將在限定路徑之間自動進行負載平衡。
如果路徑選擇配置文件未對任何路徑進行限定，並且配置文件中的備份接口未配置或已關閉，則禁用該路由。

可以從MANAGE I系統設置>網絡>路由頁面或MANAGE I系統設置>
SD-WAN>路由頁面配置SD-WAN路由。
SD-WAN>路由頁面僅顯示SD-WAN路由，僅允許配置SD-WAN類型路由。

提示：對於VPN配置，匹配的SD-WAN路由配置必須在運行與當前防火牆相同的版本固件的Site2Site VPN > SonicWall上完成。

要添加SD-WAN路由策略：

1導航至管理|系統設置> SD-WAN> SD-WAN路由。

2單擊“添加”圖標。 將顯示“添加SD-WAN路由策略”對話框。

3、 像配置常規路由一樣配置其他項目

注意：接口連接時的接口和禁用路由選項將變暗，因爲無法在SD-WAN策略中編輯這些選項。
Interface選項在相關的路徑選擇配置文件（PSP）中填充SD-WAN組名稱，並且無法更改。
SD-WAN路由的接口選自SD-WAN組，該SD-WAN組是與SD-WAN路由關聯的PSP的一部分，因此無法配置。

4、 單擊高級

5、像配置常規路由一樣配置選項。

6、單擊“確定”。

六、查看SD-WAN路由策略連接

可以在INVESTIGATE | Log> SD-WAN連接日誌頁面上查看與SD-WAN路由策略關聯的連接。

在Monitor→SD WAN Monitor頁面可以查看各個探測的延遲、抖動和丟包情況。