Nova网关

NOVA网关连接

『租户』→『配置』→『网络服务』→『Nova网关』→『Nova网关连接』→【新建】

Nova网关端口需要选择Nova网关后才可选择，并且选择的Nova网关需要有NNI端口

info

对端类型：通用主要为站点、数据中心等，星连为南凌科技的零信任接入网关

BGP路由

【新建Nova网关连接配置】→【新建】

• 本端AS不填则使用默认值4290000006
• 路由发布策略：与对端使用BGP交换路由时，控制本网关发布的路由信息。
• 路由接收策略：与对端使用BGP交换路由时，控制本网关接收的路由信息。

路由发布/接收策略

路由发布策略表单与路由接收策略表单基本一致，此处示意图以新建路由发布策略为例

严格匹配勾选后，将严格匹配IP前缀的网段

Nova网关流量引导

配置规则，将流量引导到云安全服务

新建流量引导配置

info

需设置好数据中心并选择数据中心后才可配置引流规则

新建引流规则

info

选择的Nova网关需要含有引流的端口

目标安全服务：选择多个服务实例时，排在第一个安全实例的为主，其余为备

引流规则的安全服务提供商选择第三方时需要提供以下子接口IP：

• Nova网关与安全服务对接的子接口IP

• 安全实例与网关对接的子接口IP（若填写多个，则第安全实例一个为主，其余为备）

info

若不设置匹配条件则将所有流量引导到安全服务，建立匹配条件后，则将满足条件的流量引导至安全服务

新建匹配条件

选择TCP或UDP协议时需要设置源端口以及目的端口，可不填

Nova网关高级配置

配置更多路由、业务策略、防火墙、NAT、DNS等

Nova网关高级配置流程如下：

1. 点击新建
2. 选择一个Nova网关，点击确定，创建空的网关配置，如图1

   需匹配相关网络模版

3. 对该空网关配置进行编辑，如图2

图1 新建Nova网关配置图

图2 Nova网关高级编辑图

下面将从上到下依次介绍各功能

路由

可选择配置静态路由与策略路由，同时还可发布管理口路由。

静态路由

新建静态路由界面如图4

图4 新建静态路由图

下一跳可选择以下选项：

• IP，需填入下一跳IP
• 其他VRF，需创建VRF
• WAN
• 远端站点
• Black Hole 勾选是否发布后可以将该静态路由发布到其他站点

策略路由

新建策略路由界面如图5

图5 新建策略路由图

可设置编辑匹配条件，新建匹配条件如图6。

图6 新建匹配条件图

可选匹配源的类型。
点击匹配条件后可直接匹配IP，也可设置地址组。
地址组位于『租户』→『配置』→『网络服务』→『网络对象』→『地址组』 此处可对地址组进行新建或者编辑。
协议若选择TCP或UDP可选择填写端口。

管理口路由

发布管理口路由后，该IP可以作为网关的DNS服务器IP或用于测速。作为DNS服务器IP时，与该网关相连的CPE或星连接入网关可以将其DNS解析请求交由该网关处理。

Internet出口

启用Internet出口后，与该网关相连的CPE将使用该网关作为其Internet的出口。

业务策略

新建业务策略时需注意以下问题：

• 源、目的不支持选择"Internet-Internet"或"远端站点-远端站点"
• 源、目的任一为ANY时，对"Internet-Internet"和"远端站点-远端站点"的流量不生效
• 源为本站点时支持配置源主机限速
• 目的为本站点时支持配置目的主机限速

新建业务策略

新建业务策略表如图7

图7 新建业务策略表

• 打开优先级，优先级的可选择默认、金、银、铜
• 打开策略限速，可选择对带宽进行限速，最大为1000000Mbps
• 源为主机本站点时支持配置源主机限速
• 目的主机为本站点时支持配置目的主机限速

防火墙

新建防火墙规则时需注意以下问题：

• 源、目的不支持选择"Internet-Internet"或"远端站点-远端站点"
• 源、目的任一为ANY时，对"Internet-Internet"和"远端站点-远端站点"的流量不生效

新建防火墙规则

新建防火墙规则表单如图8

图8 新建防火墙规则表单图

NAT

此项可配置DNAT与SNAT。

DNAT：用于配置DNAT功能，可将 [ 转换前IP/网段，协议，端口 ] 映射成 [ 转换后IP/网段，协议，端口 ]，外部网络可以通过映射后地址访问内部网络，从而使内部网络可对外提供服务。

SNAT：用于配置SNAT功能，可将 [ 转换前IP/网段 ] 映射成 [ 转换后IP/网段 ]，内部网络可以通过映射后地址访问外部网络，但外部网络不能通过映射后地址主动发起对内部网络的访问

DNAT

新建DNAT规则表单如图9

图9 新建DNAT规则表单图

info

• 若进行IP端口转换，转换前IP与转换后IP一对多或一对一。
• 若进行IP网段转换，转换前IP网段与转换后IP网段一对一。若固定不变。不转换端口
• DNAT地址池在『租户』→『配置』→『站点』→『配置』→『全局』→『WAN』→『IP地址池』中的IP地址池添加

SNAT

新建SNAT规则表单如图10

图10 新建SNAT规则表单

info

• 源支持匹配站点
• 若进行IP端口转换，转换前IP与转换后IP一对多或一对一。
• 若进行IP网段转换，转换前IP网段与转换后IP网段一对一。若固定不变。不转换端口。
• 若选择共享地址池，则从地址池中随机选择一个作为转换后地址。
• 若选择VRF独享地址池，则需要填写一个转换后地址，该地址需在选定的地址池范围内。
• 若不转换，则不对转换前IP转换
• 目的为Internet时，转换前地址统一在Provider->Nova网关->IP地址池/IP端口池进行管理，若发现无可用地址池，请先添加

TCP优化

info

当SDWAN链路端到端延时大(>20ms)且链路质量不佳时，单个TCP Flow带宽上不去（尤其是Windows终端）可以为指定的服务配置TCP优化功能，提高传输速率。 配置TCP优化的设备应该尽可能的接近数据发送方，比如：

1. 从应用加速出口下载大文件，应该配置在NSS设备；
2. 上传大文件，应该配置在接入侧的CPE；

本地上网

本地上网如图11

图11 本地上网图

由于目的IP较多，不清楚新IP是否已在目的IP中。故可点击验证IP，验证新添加的IP是否已在目的IP表中。

通过策略路由，强制流量从本地WAN口出去。此处可以选择配置匹配目的IP的方式将流量从本地WAN口出去

DNS

DNS配置如图12，可选择强制代理

图12 DNS配置图