如何配置SonicWALL SD-WAN

SonicWALL SD-WAN配置指南

版本1.0

Question/Topic

如何配置SonicWALL SD-WAN功能

Answer/Article

本文适用于：

涉及到的 Sonicwall 防火墙（Gen6以上的设备）

Gen6 NSA 系列：NSA 2600、NSA 3600、NSA 4600、NSA 5600、NSA 6600

Gen6 TZ系列：TZ 300、TZ 400、TZ 500

Gen6.5系列：NSA 2650、NSA 3650、NSA 4650、NSA 5650

固件/软件版本: SonicOS 6.5.3或者以上版本

服务: SD-WAN

本文根据厂家官方说明翻译编写

功能与应用：

SD-WAN（(Software-Defined Wide Area Network软件定义的广域网）提供基于软件的广域网控制（WAN）连接。 SonicOS SD-WAN提供以下功能：

• 应用感知路由

• 基于以下属性的动态路径选择：

• 延迟，抖动和/或丢包

• 用户定义的质量评估阈值

• SD-WAN接口组

• WAN和VPN

• 可从一个界面扩展到N个界面

• 路径性能探测指标

• 基于连接的流量分配

• VPN上的自动连接故障转移

• 配置和管理（GMS和捕获安全中心）

SD-WAN最适用于需要动态选择最佳的特定流量类型和/或应用目标接口取决于网络路径的行为方式。
为了稳定运行，每个应用程序都有来自网络路径的特定要求。
例如，VoIP运行良好的网络质量要求最佳延迟为100毫秒或更短，而150毫秒或更高的延迟会导致VOIP呼叫存在问题。
SD-WAN功能就是为了解决类似的问题，首先，配置动态测量各种网络性能指标，例如延迟，抖动和多个网络路径上的丢包。
然后SD-WAN将这些指标与性能进行比较特定流量的阈值，最终选定满足条件的最佳网络。

SonicWALL从SonicOS 6.5.3开始支持SD-WAN，该功能主要有以下菜单：

MANAGE I System Setup > SD-WAN

INVESTIGATE | Logs >SD WAN Connection logs

Monitor→SD WAN Monitor

一、SD-WAN 组

SD-WAN组是接口的逻辑组，可用于负载平衡和动态路径基于每个接口路径的性能标准进行选择。
可以创建自己的自定义组。

SD-WAN Groups页面显示用于优化和弹性流量的自定义接口池。

您可以创建多个SD-WAN组以满足您的要求。

要添加SD-WAN组：

1、打开管理|系统设置> SD-WAN> SD-WAN组。

提示：对于VPN配置，匹配的SD-WAN组配置必须在对等VPN上完成SonicWall运行与当前防火墙相同的版本固件。

2、单击“添加”图标。 将显示“添加SD-WAN组”对话框。

3、在“Name”字段中输入描述性名称。

4、从“Group Members Select here”列中选择一个或多个接口。
成员接口可以仅WAN或编号的隧道接口。

注意：每个接口只能用于一个SD-WAN组。

5、单击向右箭头将所选接口移动到“Selected Interface Ordering”列。

6、要更改所选组成员的优先级：

• a选择接口。

• b单击向上箭头或向下箭头

7、对每个接口重复步骤6以确定优先级。

8、单击“确定”。

二、性能探测器

网络路径性能指标是使用SD-WAN性能探测器确定的，类似于网络监视器探测器。
SonicOS支持ICMP和TCP探测类型。 多路径选择配置文件可以使用SD-WAN探测器。

提示：对于VPN通道接口SD-WAN组，将自动创建内部系统创建的性能探测以探测远程端点，并且不允许创建自定义性能探测。

“管理|系统设置”>“SD-WAN”>“性能探测”页面显示SD-WAN组中的每个路径（接口）的动态性能数据（延迟/抖动/数据包丢失）和探测状态，包括表格和图形显示。
显示屏可显示最后一分钟（默认），最后一天，上周或上个月的数据。

添加性能探针：

1导航至管理|系统设置> SD-WAN>性能探测器。

2单击“添加”图标。 将显示“添加SD-WAN性能探测”对话框。

3、在“名称”字段中输入自定义名称。

4、从SD-WAN组中选择SD-WAN组。

5、从“探针目标”中选择一个地址对象。

6、从“探头类型”中，选择：

• Ping（ICMP） - 指定路由（默认）; 转到第8步

• TCP - 指定路由; 可以指定端口。

7、在“端口”字段中输入指定路由的端口号。

8、在Probe every … seconds字段中输入探针之间的间隔。 最小值为1秒，最大值为3600秒，默认值为5秒。

提示：探测间隔必须大于回复超时。

9、在“答复超时…秒”字段中输入响应的最大延迟。
最小值为1秒，最大值为60秒，默认值为1秒。

10、输入探头设置为DOWN状态之前的最大丢失间隔数，在Probe state设置为DOWN after… missing interval字段之后。 最小数量为1，最大值为100，默认值为3

11、输入探测器设置为UP状态之前的最大成功间隔数，探测状态在…成功间隔字段后设置为UP。最小数量为1，最大值为100，默认值为3。

12、如果为探测类型选择了TCP - 显式路由，则RST响应计数为错过选项变为可用。
选择将RST响应计为错过的时间间隔的选项。 默认情况下不选择此选项。

13、（可选）在“注释”字段中输入注释。

14、单击“添加”。

15、重复步骤3到步骤14以添加更多探针。

16、单击“关闭”。

三、配置性能类别对象

性能等级指定用于选择最佳路径的性能标准。 它可能是：

• 现有路径中的最佳延迟/抖动/数据包丢失。
• 性能类对象，定义延迟，抖动和数据包丢失的度量标准阈值。

可以使用SD-WAN性能类对象为应用程序/流量类别配置所需的性能特征。
路径选择配置文件中使用这些对象，以根据这些指标自动选择路径。

这些是默认的性能类对象：

• 最低抖动

• 最低延迟

• 最低丢包率

注意：无法编辑或删除这些默认的性能类对象。

您可以使用Performance Class
Objects配置最符合应用程序/流量类别需求的自定义性能阈值。

添加性能类对象：

1、导航至管理|系统设置> SD-WAN>性能类对象。

2、单击“添加”图标。 将显示“添加性能类对象”对话框。

3、在“名称”字段中输入自定义名称。

4、在Latency（ms）字段中输入可接受的延迟（以毫秒为单位）。
最小值为0毫秒，最大值为1000，默认值为0。

5、在Jitter（ms）字段中输入可接受的抖动（以毫秒为单位）。
最小值为0毫秒，最大值为100毫秒，默认值为0毫秒。

6、在数据包丢失（％）字段中输入可接受的数据包丢失百分比。
最小值为0，最大值为100，默认值为0。

7、（可选）在“注释”字段中输入注释。

8、单击“确定”。

四、配置路径选择策略

路径选择配置文件（PSP）是从可用网络路径池中确定满足特定网络性能标准的网络路径的设置。
当其与基于策略的路由（PBR）相关联时，使用PSP设置来实现动态路径选择机制。
如果不止一个网络路径符合标准（根据PSP中的性能等级来判断），流量会在网络路径之间进行负载平衡。
当其与基于策略的路由策略相关联时，路径选择配置文件可以在应用/服务的SD-WAN接口之间选择最佳路径。

、

提示：对于VPN配置，匹配的PSP配置必须在运行与当前防火墙相同的版本固件的对等VPN SonicWall上完成。

要添加性能类对象：

1、导航至管理|系统设置> SD-WAN>路径选择配置文件。

2、单击“添加”图标。 显示添加路径选择配置文件对话框。

3、在“名称”字段中添加自定义名称。

4、从SD-WAN组中，选择配置文件适用的组。

5、从“性能探针”中，选择要在配置文件中使用的探针。

6、从Performance Class中，选择Performance Class Object以动态选择最佳值网络路径：

• 最低延迟
• 最低抖动
• 最低丢包率
• 自定义性能类对象

7、从“备份接口”中，选择当任何接口都不符合性能标准时使用的接口（根据性能等级;即，当所有SD-WAN组成员都无法满足性能标准或所有接口都关闭时）：

• 无（默认）
• 其他接口
• Drop_TunnelIf

8、要指定是否应将性能探针的默认状态视为Up，请选择Performance Probe默认状态为UP。如果未选择此选项，则性能探测将被视为DOWN。默认情况下选择此选项。

9、对于具有非VPN SD-WAN组的路径选择配置文件，如果路径上的现有连接应在路径不再满足性能标准时休息，请选择“如果路径不符合性能标准则重置条件”。默认情况下不选择此选项。

10、单击“添加”。

11要添加更多路径选择配置文件，请对每个其他配置文件重复步骤3到步骤10。

12单击“关闭”。

五、SD-WAN路由

特定流量的动态路径选择使用基于策略的路由。
基于SD-WAN策略的路由用于配置特定源/目标服务/应用程序组合的路由策略，以及相应的路径选择配置文件，该路径选择配置文件根据路径选择配置文件动态确定传出路径。
如果路径选择配置文件限定了多个路径，则流量将在限定路径之间自动进行负载平衡。
如果路径选择配置文件未对任何路径进行限定，并且配置文件中的备份接口未配置或已关闭，则禁用该路由。

可以从MANAGE I系统设置>网络>路由页面或MANAGE I系统设置>
SD-WAN>路由页面配置SD-WAN路由。
SD-WAN>路由页面仅显示SD-WAN路由，仅允许配置SD-WAN类型路由。

提示：对于VPN配置，匹配的SD-WAN路由配置必须在运行与当前防火墙相同的版本固件的Site2Site VPN > SonicWall上完成。

要添加SD-WAN路由策略：

1导航至管理|系统设置> SD-WAN> SD-WAN路由。

2单击“添加”图标。 将显示“添加SD-WAN路由策略”对话框。

3、 像配置常规路由一样配置其他项目

注意：接口连接时的接口和禁用路由选项将变暗，因为无法在SD-WAN策略中编辑这些选项。
Interface选项在相关的路径选择配置文件（PSP）中填充SD-WAN组名称，并且无法更改。
SD-WAN路由的接口选自SD-WAN组，该SD-WAN组是与SD-WAN路由关联的PSP的一部分，因此无法配置。

4、 单击高级

5、像配置常规路由一样配置选项。

6、单击“确定”。

六、查看SD-WAN路由策略连接

可以在INVESTIGATE | Log> SD-WAN连接日志页面上查看与SD-WAN路由策略关联的连接。

在Monitor→SD WAN Monitor页面可以查看各个探测的延迟、抖动和丢包情况。