更新时间:2024-09-03 GMT+08:00
分享

配置站点上网策略

用户希望分支站点的一些应用流量(例如淘宝、Youtube等)进行本地上网,可以通过在分支站点配置基于应用的本地上网策略来实现该需求。其余应用业务通过SD-WAN Overlay先集中到总部、再通过总部进行本地上网,可以将总部站点设置为集中网关、并配置总部站点的本地上网的策略来实现该需求。

前提条件

已规划好相关数据,并与客户达成一致,具体信息请参考站点上网数据规划

配置步骤

  1. 单击页面左上角按钮,选择“策略 > WAN策略 > 应用管理 > 应用管理”,再单击“SAC配置”页签,开启“应用识别”的配置开关。
  2. 创建本地上网的应用组test_app_local。

    1. 单击“应用组”页签,单击“创建”,创建应用组。
    2. 根据数据规划表,输入应用组名称,选择对应SA功能库,在SA页面中单击“添加预定义应用”
    3. “编辑预定义应用”选择相对应的应用。
      图1 编辑预定义应用

    4. 单击“确定”,完成预定义应用组“test_app_local”的创建。
      图2 创建预定义应用组

  3. 配置流分类模板。

    1. 单击页面左上角按钮,选择“策略 > WAN策略 > WAN策略 > 策略模板管理”。
    2. 单击“流分类模板”页签,再单击“创建”,根据数据规划表,创建流分类模板绑定应用组。
      图3 创建流分类模版

  4. 配置分支站点基于应用的本地上网策略。

    1. 单击页面左上角按钮,选择“策略 > WAN策略 > WAN策略 > 流量策略”。
    2. 单击“Overlay”页签,在“VN/VN QoS组”中,选择需要上网的VN。
    3. 单击“站点上网”,在“本地网关页面,创建本地网关策略。选择上网策略类型为“应用流量”,选择分支站点(Site1/Site2/Site3)为本地上网模式,单击“下一步”
      图4 创建本地网关策略

    4. “上网配置列表”中,上网方式选择“本地上网”,单击“配置模板”,添加流分类模板名称,单击“确定”,最后单击“下一步”
      图5 创建本地网关策略

      图6 创建本地网关策略

    5. “链路配置列表”中,勾选需要配置的站点名称,单击“操作”一列的
      图7 链路配置

    6. 在弹出的“链路配置”窗口中打开NAT,配置不同的链路优先级,使能链路,单击“确定”,完成链路配置。
      图8 配置链路优先级

  5. 将总部站点设置为集中网关、并配置总部站点的本地上网的策略。

    1. 单击页面左上角按钮,选择“策略 > WAN策略 > WAN策略 > 流量策略”。
    2. 单击“Overlay”页签,在“VN/VN QoS组”中,选择需要上网的VN。
    3. 单击“站点上网”页签,在“集中网关页面,创建集中网关策略。配置Hub1的优先级为“1”,配置Hub2的优先级为“2”,单击“确定”
      图9 创建集中网关策略

    4. “本地网关页面,创建本地网关策略。选择上网策略类型为“全部流量”选择Hub站点为本地上网模式,单击“下一步”
      图10 配置上网策略类型

      图11 配置上网方式

    5. “链路配置列表”中,勾选需要配置的站点名称,单击“操作”一列的
      图12 链路配置

    6. 在弹出的“链路配置”窗口中打开NAT,配置不同的链路优先级,使能链路,单击“确定”,完成链路配置。
      图13 配置链路优先级

  6. 检查配置下发状态。

    1. 在界面上方的菜单中,单击“配置结果”页签,选择站点。
    2. “设备配置状态”列显示为“成功”,则表示策略部署成功。

确认业务部署成功

  1. 在界面上方,选择资源中心 > 设备管理,选择要检测的设备,单击设备名称进入该设备的管理界面,单击“表项查询”页签。
  2. 基于应用的本地上网通过traffic-policy进行实现,查询设备配置,检查LAN接口下是否有策略下发。

    #接口下配置

    interface GigabitEthernet0/0/6
    ip binding vpn-instance vpn1
    tcp adjust-mss 1200
    ip address 20.1.1.1 255.255.255.0
    traffic-policy mqcin1 inbound
    sa application-statistic enable

    #流量策略配置

    traffic policy mqcin1_inner
     classifier pbr_1_1a_3_inner behavior pbr_1_1a_3_inner precedence 5001
    traffic policy mqcin1
     classifier pbr_1_1a_3 behavior pbr_1_1a_3 precedence 5001
    traffic behavior pbr_1_1a_3
     redirect ip-nexthop 10.67.0.20 vpn-instance vpn1 track interface GigabitEthernet0/0/0 post-nat
     redirect backup-nexthop 10.67.0.2 vpn-instance vpn1
    traffic behavior pbr_1_1a_3_inner
     redirect ip-nexthop 10.67.0.20 vpn-instance vpn1 track interface GigabitEthernet0/0/0 post-nat
    traffic classifier pbr_1_1a_3 operator and
     if-match app-group test_app_local 
    traffic classifier pbr_1_1a_3_inner operator and
     if-match app-group test_app_local 

  3. 实际上网验证。

    相应的应用流量通过Wan接口进行本地出局上网,其余应用通过SD-WAN Overlay上网或被禁止访问公网。

相关文档