跳到主要内容

HA统一WAN管理

功能概述

HA 站点统一 WAN 管理用于在双 CPE HA 组网下统一管理两台设备的 WAN 资源,并让南北向 NAT 可以按业务需要选择 WAN 或共享 WAN 出口。

在传统单设备出口场景中,SNAT 通常只需要选择单台设备的 WAN 或地址池。HA 站点中,如果客户有多条 WAN 资源分布在两台 CPE 上,例如 wan1wan2wan3wan4 同时作为南北向出口,就需要进一步指定不同源网段使用不同 SNAT 地址、地址池和 WAN 出口。当指定出口不可用时,也需要结合路由、Track 或保底策略决定流量继续走其他出口、回退到默认路由,或不再放行。

该能力适用于以下场景:

  • HA 站点的两台 CPE 同时承载南北向 Internet 出口。
  • 不同内网网段需要分别绑定不同 SNAT 地址或地址池。
  • 多个 WAN 出口需要按优先级或权重承载南北向流量。
  • SNAT 需要选择 WAN 或共享 WAN 作为出接口。
  • DNAT 源选择其他 VRF,通过映射地址和端口发布指定内部服务。
  • 优先出口异常时,通过 Track 监测网络状态,确保流量及时切换到保底策略或另一台设备的出口。

关键概念

  • WAN:只属于单台设备的 WAN。绑定该 WAN 的地址池或 NAT 出口通常只作用于该 WAN 所属设备。
  • 共享 WAN:共享一个出口资源的 WAN。共享 WAN 的基础配置、传输网络、QoS、告警等在共享 WAN 配置窗口中统一维护。

配置入口

共享 WAN 配置

『租户』→『配置』→『站点』→『配置』→『全局配置』→『WAN』→『共享 WAN』 🔗

在共享 WAN 配置窗口中维护共享 WAN 的基础配置、传输网络、QoS 和告警等配置。

全局 Track

『租户』→『配置』→『站点』→『配置』→『全局配置』→『WAN』→『路由探测』 🔗

全局 Track 可用于检查指定探测 IP 的连通性,并可被需要全局探测结果的配置引用。

VRF Track

『租户』→『配置』→『站点』→『配置』→『VRF网络配置』→『LAN』→『路由探测』 🔗

VRF Track 可被本 VRF 下的 SNAT 引用,用于控制规则是否生效。Track 异常时,引用该 Track 的 SNAT 规则不再匹配,流量会继续匹配保底策略。

查看 Track 状态

『租户』→『监控』→『站点』→『站点详情』→『网络对象』 🔗

在 网络对象 中,可查看 Track 的当前状态和历史状态。页面支持根据设备筛选对应 Track,支持搜索 Track 名称;点击探测名称可跳转到对应配置。

全局 Track 如果绑定共享 WAN,会在两台设备下展示;如果绑定 WAN,仅在对应设备下展示。

Track状态

配置场景举例

场景1:4 WAN HA 站点按源网段指定 SNAT 出口

客户站点有HA站点,WAN 资源分布在两台设备上,例如 wan1wan2wan3wan4 分别位于不同设备或承担不同出口。不同内网网段需要使用不同出口和不同 SNAT 地址访问 Internet。

可按以下方式配置:

1. 规划 WAN 类型

先在全局配置的 WAN 中确认每条线路的类型:

  • 单台设备独立使用的线路,保留为 WAN。
  • 两台设备共同承载的同一类出口,可配置为共享 WAN。

2. 配置地址池

在地址池中创建 IPv4 地址池,并根据地址资源归属选择绑定对象:

  • 绑定共享 WAN:适合两台 HA 设备共同使用同一类公网地址池。
  • 绑定 WAN:适合地址只属于某一台设备出口的场景。

3. 配置 SNAT 规则

在 VRF 的 NAT 中新建 SNAT 规则,根据业务网段分别配置:

  • :选择需要指定出口的内网网段或网络对象。
  • 目的:通常选择 Internet
  • 转换模式:按需要选择动态 NAT、静态 NAT 或不转换。
  • 转换目标:选择 出接口IP地址池
  • WAN出口:选择 WAN 或共享 WAN。

如果需要控制出口故障后的行为,可结合路由优先级、默认路由、Track 和保底策略进行规划。指定 WAN 不可用时,最终是否切到其他出口或不再转发,取决于当前路由和 NAT 规则的组合配置。

场景2:南北向多 WAN 出口按优先级或权重承载流量

当 HA 站点有多个 WAN 可用于访问 Internet 时,可通过南北向路由优先级控制默认出局路径。该配置适合以下场景:

  • 希望业务优先从某个共享 WAN 或 WAN 出局。
  • 多个 WAN 出口能力相近,希望按权重分担南北向流量。
  • HA 站点中同时存在 A设备和 B设备出口,需要避免两台设备的 Metric 交叉配置导致路径不符合预期。

配置方式如下:

1. 配置 Metric

为每个 WAN 配置 Metric。Metric 数值越小,优先级越高。

例如:

  • shared-wan1:Metric 配置为 10,作为优先出口。
  • shared-wan2:Metric 配置为 20,作为次优出口。

2. 配置 Weight

当多个 WAN 使用相同 Metric 时,需要配置 Weight。Weight 用于在相同优先级的 WAN 之间分担流量,数值越大,分担比例越高。

例如:

  • shared-wan1:Metric 配置为 10,Weight 配置为 70
  • shared-wan2:Metric 配置为 10,Weight 配置为 30

此时两个 WAN 都是同一优先级出口,流量按权重比例分担。

备注
  • HA 站点共享 WAN 在 A设备、B设备上的 Metric 不支持交叉配置;若多个共享 WAN 使用相同 Metric,需要配置 Weight。

场景3:SNAT 选择共享 WAN 或 WAN

HA 站点的 SNAT 不再局限于当前设备的 WAN。根据业务诉求,可以选择不同类型的出口。

使用共享 WAN 出口

适合两台 HA 设备共同承载同一出口的场景。共享 WAN 配置保存后会面向 HA 站点统一生效,引用共享 WAN 的 SNAT 规则可随共享 WAN 当前状态工作。

常见配置方式:

  • 转换目标选择 出接口,WAN 出口选择共享 WAN。
  • 转换目标选择 IP地址池,地址池绑定共享 WAN。

使用 WAN 出口

适合某个业务网段固定从某台设备的指定 WAN 出口出局。例如办公网段固定走 A设备的 wan1,访客网段固定走 B设备的 wan2

常见配置方式:

  • 转换目标选择 出接口,WAN 出口选择对应 WAN。
  • 转换目标选择 IP地址池,地址池绑定对应 WAN。

当 A设备收到业务流量,但期望该业务从 B设备的 wan2 出口访问 Internet 时,可在 SNAT 中选择 B设备对应的 WAN 出口。该场景会增加跨设备转发路径,配置时需要确认 HA 心跳链路和 B设备 WAN 状态满足业务要求。

补充:使用出接口地址或不转换

SNAT 规则除地址池转换外,也可用于更轻量的出口控制。

转换为出接口地址

转换为出接口地址适合不想单独维护地址池、希望直接使用实际出接口地址作为源地址的场景。配置时可将转换目标选择为 出接口。如果需要让某类业务固定从指定 WAN 或共享 WAN 出口出局,可同时指定 WAN 出口;如果只需要跟随当前路由、WAN 优先级和接口状态选择实际出口,则可以不指定 WAN 出口,设备会将源地址转换为实际出接口地址。该方式适用于多 WAN 优先、备用出口,动态地址 WAN,或出口选择由路由策略统一控制的场景。

不转换

不转换适合只希望控制流量出口、不希望改写源地址的场景。此时 SNAT 规则仍可匹配源、目的、协议、互联网服务等条件,并选择指定 WAN 出口;设备转发时保留原始源地址。

备注

不转换只是不做源地址转换,不等同于放弃出口控制。实际转发仍受 NAT 规则、路由和 WAN 状态共同影响。

场景4:SNAT 结合路由探测切换到另一台设备的 WAN

当业务需要“优先出口正常时走 A设备 WAN,异常后走 B设备 WAN”时,可使用 Track 控制 SNAT 规则是否生效。

配置方式如下:

1. 创建路由探测

在 VRF 的路由探测中配置探测目标、源 IP、源接口、检查间隔、正常次数和异常次数。

2. 配置优先 SNAT 规则

创建第一条 SNAT 规则,匹配业务流量,选择优先出口,并引用上一步创建的路由探测。

3. 配置保底策略

创建保底 SNAT 规则,匹配同一类业务流量,选择次优出口。

当 Track 正常时,流量命中优先 SNAT 规则;当 Track 异常时,优先 SNAT 规则不再生效,流量继续匹配保底策略,从次优出口出局。Track 恢复后,优先 SNAT 规则可重新生效。

信息
  • SNAT 已引用的 Track 不允许直接删除。
  • VRF 下的 SNAT 规则只能引用本 VRF 下的 Track。
  • Track 只控制引用它的规则是否参与匹配,不会自动修改其他 SNAT 规则。

场景5:DNAT 源选择其他 VRF 发布内部服务

当服务需要被其他 VRF 中的业务访问时,可在 DNAT 中将源选择为 其他VRF,通过映射地址和端口将访问流量转换到目标服务地址。该方式适用于不同 VRF 之间只开放指定服务,而不是开放整段网络互通的场景。

例如办公 VRF 需要访问服务 VRF 中的 DNS、认证服务器、堡垒机或业务系统,可通过 DNAT 配置一个映射地址和端口,仅开放该服务的访问入口。

配置方式如下:

1. 创建 IPv4 地址池和 IP 端口池

在地址池中创建 IPv4 地址池,并基于该地址池创建 IPv4 IP 端口池。IP 端口池用于配置其他 VRF 访问时使用的映射地址和端口。

2. 配置 DNAT 规则

在 NAT 的 DNAT 中配置:

  • :选择 其他VRF,并选择允许访问该服务的来源 VRF。
  • 目的:选择 IP 端口池。
  • 协议/端口:选择需要开放给其他 VRF 访问的服务协议和端口。
  • 转换后地址/端口:填写目标服务所在 VRF 内的服务器地址和服务端口。

3. 控制开放范围

仅将需要访问该服务的 VRF 作为来源,并按实际服务配置协议和端口。若多个 VRF 需要访问不同服务,建议分别配置 DNAT 规则,避免将服务访问范围放大。

备注

源选择 其他VRF 表示通过 DNAT 发布指定服务访问入口,不表示两个 VRF 之间全量互通。

迁移与兼容说明

  • 非 HA 站点可迁移到新的统一 WAN 管理界面。
  • HA 站点如果仍配置了旧模型下的 SNAT、DNAT、WAN Weight、地址池或 IP 端口池,可能无法自动迁移到新模型,需要先处理相关引用关系。
  • 迁移前建议先检查 NAT 规则、地址池、IP 端口池和 WAN 引用,避免迁移后出现地址池无法删除、WAN 类型无法切换或 NAT 规则引用丢失。

注意事项

  • 统一 WAN 管理场景中,请保持 WAN 和共享 WAN 的概念一致。
  • IPv4 地址池支持绑定 WAN 或共享 WAN;IPv6 地址池只能绑定 WAN。
  • 已被 IPv6 地址池引用的 WAN,不允许修改为共享 WAN。
  • 站点级共享地址池和独享地址池不能配置相同地址。
  • SNAT 或 DNAT 已引用的地址池、IP 端口池、WAN、VRF 或 Track,删除或修改时会受到引用校验限制。
  • 南北向路由优先级中,Metric 唯一时不应配置 Weight;Metric 相同时必须配置 Weight,且 WAN 条目不能缺失。
  • 跨设备出口会经过 HA 转发路径,请结合 HA 心跳链路、MTU 和带宽规划评估业务流量。