站点

编辑站点

『租户』→『配置』→『站点』→『编辑』

配置模板：通用配置可以配置到模板中，然后与站点关联，把配置批量下发到相应的CPE；

规格模板：不同硬件有不同的规格模板，该模板定义了接口数量和类型；

此类配置推荐使用『模板』统一配置批量下发。

站点区域配置

info

确保在管理员界面开启站点区域管理，否则无法出现左侧的站点区域管理

初次开启站点区域管理时可双击建立根站点区域，需输入区域ID以及区域名称

info

• 区域ID（以字母、数字、下划线、中划线组成，4-32个字符）不可更改，不可重复
• 区域名称（1-20位中文、字母、数字、下划线、中划线组成的字符串）
• 中文字符6个就缩略，鼠标悬浮可以看到完整
• 双击可以重命名该区域

info

站点在有权限标签时，才会在站点区域被看到

鼠标悬浮于建立的“站点区域”右侧可出现更多操作

• 添加子站点区域与建立根站点区域相同;
• 可通过点击此处重命名进行名称的更改，也可以双击该站点区域对其进行重命名，在进行编辑后按回车或者点击空白处即可保存;

info

删除站点区域

• 若该站点区域下有子站点区域，则不可删除该站点区域
• 删除无子站点区域的站点区域时，若有站点绑定该站点区域，依然可删除该站点区域，同时站点自动绑定为其父站点区域

• 编辑站点时，通过权限标签与建立的站点区域进行绑定，绑定后，选择对应的站点区域时即可查看到该站点区域以及其子站点区域下所有的站点。
• 选择站点区域后，界面的监控只能看到该站点区域下的站点。
  info

  可分配给租户运维管理员站点区域并管理对应的区域

更多操作

关联VRF

可将租户下创建的VRF与选中的站点进行关联

删除

danger

删除站点后无法恢复。

锁定站点

info

锁定站点后无法对站点进行编辑，配置，删除等操作。

info

锁定站点后需在更多中点击解锁站点进行解锁

生成激活URL

生成激活URL用于『NSE的安装与初始化』中激活NSE。

设备替换

点击『设备替换』→ 勾选需要替换的设备，输入新设备的SN号，可以选择是否替换规格模板。

授权许可

info

• 如果Nova专线带宽为空，则限制为1K
• 对于Hub-Spoke Internet或Hub-Spoke专线，如果带宽为空，则不对带宽进行限制
• 当同时存在Nova Internet和Nova 专线时，Nova Internet可以共享专线的带宽

配置站点

『租户』→『配置』→『站点』→『配置』

进入站点配置页面，站点的配置还可以通过模板来统一配置和批量下发，所以通用的配置建议通过模板来完成。

全局配置

WAN

WAN配置

可配置WAN所属的传输网络、连接类型、WAN探测、接入IP、QoS、带宽拥塞阈值及带宽告警；

[传输网络] 用于与远端建立隧道，决定了该WAN用什么样的链路进行组网，传输网络有四种类型：Nova专线、Nova Internet、Hub-Spoke专线、Hub-Spoke Internet；

[优先级] 决定了南北向流量从哪个WAN出，数值越低越优先，数值相同则负载分担；

[权重] 决定了当优先级相同的情况下WAN的流量分担比，优先级不同时[权重]则无效；

[禁用Internet能力] 决定了该WAN是否有访问的Internet能力；

[允许使用该接口与控制器连接] 决定了在配置了禁用Internet能力后，该WAN是否有连接到控制器的能力；

[隧道标签] 拥有相同标签的WAN会建立隧道，不填则匹配任意建立隧道；

[公网IP] HUB设备宣告用哪个IP来建立隧道，Hub-Spoke拓扑的Hub必须提前配置公网IP；

[带宽拥塞阈值] 配置带宽拥塞的上限和下限，当大于上限时，链路会进入拥塞状态；当小于下限时，链路会进入非拥塞状态。结合业务策略和业务保障使用

info

• 对于没有overlay隧道的设备，提供WAN连通性监控的功能。
• 选择一个监测地址组，定期通过WAN对此地址组进行ping测试。当所有IP地址都不可达时，将产生事件“WAN连通性异常”。

WAN优化

增加传输网络时可通过FEC技术对WAN进行优化

info

在音视频传输场景，对丢包非常敏感，出现丢包后会导致视频花屏、声音视频卡顿等问题。FEC（Forward Error Correction）技术可以根据链路状态和应用需求，动态调整FEC冗余度和校验方式，高效解决实时视音频的网络丢包问题。

在Internet连接质量好的情况下，建议关闭；不好的情况下建议使能自动；特别差的情况再使能开启。

WAN路由

info

• 可以配置WAN的静态路由
• WAN路由不会被发布
• 下一跳VRF的路由是WAN到LAN的路由，一般配置了NO-NAT的场景使用

• 可以配置对静态路由的探测 在告警管理中，配置静态路由探测相关告警。当探测的路由出现异常或恢复正常时，可提示其告警信息。

IP地址池

定义公网IP的地址池，用于NAT策略。可以配置共享地址池（所有VRF都可以使用）/VRF独享地址池（指定VRF可以使用），同时也可以对此地址池开启ARP代理。

IP端口池

定义IP端口池，需要先配置共享地址池并引用，支持从地址池分配一个或一段IP。

Host限速策略

Host限速策略：支持全局IP地址池QoS限速。

传输网络优先级

值调整WAN在各个传输网络中的优先级；

不同WAN配置了相同的[传输网络]，可输入优先级值，调整WAN在各个传输网络中的优先级，决定了东西向流量优先从哪个WAN出；

优先级值越小，优先级越高；优先级相同时负载均衡。当修改WAN所属的传输网络时，会重新调整WAN在各个传输网络中的优先级；

此处配置的是各个传输网络内不同WAN口的优先级，包括业务保障优先级和路由优先级；传输网络间的业务保障优先级请到 [VRF配置 > 保障级别行为] 进行配置；传输网络间的路由优先级请到 [VRF配置 > Overlay路由策略] 进行配置。

端口定义

VLAN子接口

info

• 创建了子接口的物理接口将不能被使用
• bond口支持配置VLAN子接口
• bond被HB选用后，不支持再配置VLAN子接口
• bond配置子接口后，只有bond子接口可以选做lan口

端口聚合

info

• 详细配置说明📖

HA高可用功能

info

• 支持指定bond端口为HA心跳口

WI-FI

只有具备WI-FI能力NSE才可以打开此配置项，配置完WI-FI后在LAN定义中调用。

单频设备

双频设备

管理口

具有WLAN的管理口可以隐藏SSID

HA口管理

caution

修改HA接口ip, 流量可能会有中断且主备设备修改的指定端口IP需连续，请谨慎操作

IPSec

info

此处需点击覆盖模版配置后才可选择加密算法，建议在模板的全局配置中配置。

• 加密算法：支持国密，AES256, AES128, NULL算法。
• 配置端口：
  • IKE发起端源端口默认为500
  • 服务端口默认为1443
  • NAT-T发起端源端口默认为4500
  • 服务端口默认为1444。可修改配置为其他端口。

SNMP

SNMP：支持SNMPv1/v2和SNMPv3

设备时区管理

设备时区管理：配置时间服务器和时间偏移量

DNS

配置WAN的域名代理解析与本地域名解析

info

默认DNS服务器为空时，将使用WAN口的DNS服务器。此处配置的两台DNS服务器将同时请求，采用先收到应答包的结果。 勾选强制代理后，所有网络上的DNS查询都会被强制重定向到本设备的DNS服务器进行解析

Underlay DSCP

运营商向用户提供4种服务协约（SLA）：金，银，铜，默认。

• 对于这4种服务，可以指定配置不通的DSCP标签
  • EF 加速转发
  • AF 确保转发
    • 01 低丢弃优先级
    • 10 中丢弃优先级
    • 11 高丢弃优先级
  • CS 类别选择

防火墙

info

可防止来自WAN侧的扫描

---

VRF网络配置

推荐采用模版统一配置，部分需要个性化定制的部分再覆盖模板进行配置

LAN

LAN定义

配置LAN名称、LAN接口，支持多个LAN，支持Vlan子接口

LAN配置

配置LAN IP，配置DHCP。

只有定义LAN后，才会出现LAN配置项

• DHCP-BOOT配置

• 导入导出DHCP静态绑定

LAN路由

配置策略路由、静态路由、WAN侧静态路由探测。

配置BGP和OSPF。

静态路由下一跳WAN表示要从本地WAN出去不走东西向隧道；

静态路由下一跳BLACK HOLE表示Null0路由；

策略路由和静态路由支持配置目的为国家/区域的路由条目；

设备对区域所配置的条目有一定的限制（10w条）, 例如：亚太地区 + 北美 不可保存（条目过多）

LAN路由发布优先级，用于发布相同路由条目的站点，主站点优先级高，备站点优先级低；

BGP[隐藏AS]可以过滤LAN侧BGP路由中的AS-Path号，但不能过滤路由条目；

BGP[AS Path Prepend长度]可以向LAN侧发出的路由增加AS-Path跳数；

BGP[发布策略]和[接收策略]中勾选[严格匹配]则掩码必须精确匹配，不勾选[严格匹配]则掩码为模糊匹配。

（勾选：ip prefix-list vrf1_out_w198.20.0.13 seq 5 permit 199.255.0.0/24；不勾选：ip prefix-list vrf1_out_w198.20.0.13 seq 10 permit 199.255.1.0/24 le 32）

HA高可用

caution

HA高可用功能开启会导致传输网络优先级发生变化。若确定开启，请及时调整传输网络优先级。

配置步骤如下：

• 启用HA，选择VRRP主设备：『租户』→『配置』→『站点』→『配置』→『全局配置』

• 配置NSE的备用IP：『租户』→『配置』→『站点』→『配置』→『VRF配置』

默认将最后一个LAN口作为HA口连接心跳线，背靠背连接，不要过交换机；

Lan配置中填写的LAN IP为VRRP的VIP，备用IP为NSE的实际IP；

MulitVRF下，主备NSE保持一致；

主备NSE通过心跳线可共享WAN，每个Transport除了有通过本地WAN建立的overlay隧道，还能通过HA PEER建立一条等价的overlay隧道，当本地WAN口故障，可通过心跳线切换至HA PEER的WAN口出局；

PFR选路或者故障切换时，会优先考虑HA PEER，HA PEER也不满足则切换到其他Transport的overlay隧道。

认证策略

可开启/关闭站点的身份认证功能，并设置认证的相关参数

认证策略

可开启/关闭站点的认证功能，设置认证范围，设置白名单

参数说明：

• “开启本地认证”：开启/关闭站点的身份认证功能
• “认证方式”：目前支持“WEB认证”
• “认证范围”：指定需要认证的IP地址/IP网段
• “白名单”：在认证范围内，指定免认证的IP地址/IP网段

静态绑定

将指定的IP地址与用户进行绑定，静态绑定的用户免认证

注意事项：

• 同一ip只能绑定1个用户

业务策略

业务策略支持基于IP五元组、基于应用组、基于DSCP进行流量分类等，支持对流量进行队列优先级调度、流量整形等QoS策略，支持通过DSCP重标记等QoS功能。 为了满足不同的配置场景，提供了两种QoS配置策略，一种是Overlay网络的QoS，一种是Underlay配置的QoS称。两种QoS的实现原理相同，只是策略应用的范围不同。

当拥塞的情况下有最小的带宽保证

当发生拥塞时如满足所有类保证带宽后，还有多余带宽，各个类class会按着优先级来占用多余带宽；

流量策略分Internet流量、站点间流量和应用加速流量，可以设置Qos金银铜、带宽限速和选路策略，推荐使用模板配置；

基于DSCP进行流量分类时，因为业务保障与QOS优先级设置是基于流的，而限速是基于数据包的，所以对于业务保障和QOS优先级设置需要对老流进行清流，才能匹配新的DSCP值。

业务策略

保障级别行为

针对不同的业务，提供不同的保障模式

• 指定传输网路
• 质量优先
• 故障切换

传输网络QoS

[带宽拥塞阈值] 配置带宽拥塞的上限和下限，当大于上限时，链路会进入拥塞状态；当小于下限时，链路会进入非拥塞状态。结合业务策略和业务保障使用。

注:

• 由于传输链路的隧道包头导致带宽值应该设定为wan口带宽的95%
• 当前qos带宽的力度是基于transport, 如果同一个transport有两个不同带宽的wan，需要可以同时基于wan来设置

设置每一个传输组的带宽、带宽告警阈值、告警持续时间还有速率保障的百分比；

QoS优先级映射

默认情况下，Overlay的所有流量(包括优先级为默认、金、银、铜)都映射为Underlay的金流量。

防火墙

防火墙分为普通防火墙和应用防火墙，应用防火墙在普通防火墙的基础上支持应用识别。推荐使用模板配置，如有个别站点有特殊配置，可以用站点配置来覆盖模板配置。

防火墙所有的匹配条件都是and的关系，必须全部匹配才能匹配上相应流量；

调用站点区域可以直接匹配站点名称，表示该站点发出的所有流量；

调用安全组可以定义一段或多个IP网段：『租户』→『配置』→『VRF』→『安全组』；

防火墙从上往下匹配，匹配之后则不再匹配；

普通防火墙优先于应用防火墙；

入方向防火墙可防止来自WAN侧的扫描

NAT

DNAT的IP映射支持Internet方向；

DNAT的IP映射不能被MulitVRF复用；

SNAT可以关掉Internet方向的NAT，WAN出去不转换源地址。

DNAT

用于配置DNAT功能，可将 [ 转换前IP/网段，协议，端口 ] 映射成 [ 转换后IP端口池/IP地址池，协议，端口 ]，外部网络可以通过映射后地址访问内部网络，从而使内部网络可对外提供服务。

SNAT

用于配置SNAT功能，可将 [ 转换前IP/网段 ] 映射成 [ IP地址池/VRF独享地址池/不转换 ]，内部网络可以通过映射后地址访问外部网络，但外部网络不能通过映射后地址主动发起对内部网络的访问

TCP优化

info

当SDWAN链路端到端延时大(>20ms)且链路质量不佳时，单个TCP Flow带宽上不去（尤其是Windows终端）可以为指定的服务配置TCP优化功能，提高传输速率。 配置TCP优化的设备应该尽可能的接近数据发送方，比如：

1. 从应用加速出口下载大文件，应该配置在NSS设备；
2. 上传大文件，应该配置在接入侧的CPE；

info

1. 源或目的中，匹配条件只能选择IP地址或地址组中的一类，不可同时选择
2. 服务与服务端口只能选一个类型，当前服务只支持FTP服务
3. 建立的优化规则是按照顺序依次匹配的

各型号设备默认会话数和CPS记录

	NE006	NE106	NE206(4G)-SWG	NE206	NE600	NE800	NE900
最大会话数	1000	1000	5000	10000	64510	64510	10000
新建会话速率	100 160	200 285	300 400	400 600	1000 1500	1000 1500	200

caution

当超过最大会话数和新建会话速率的TCP流量将不代理，正常转发

NE206开启TCP优化前后性能对比

型号	丢包率	抖动	延迟	协议	方向	无TCP优化	有TCP优化
NE206(8G)	0.1%	2ms	80ms	SMB	下载	1Mb/s	210Mb/s

本地上网

通过策略路由，强制流量从本地WAN口出去。可以选择配置匹配目的IP/区域的方式

• 指定业务流量本地上网：通过策略路由，强制流量从本地WAN口出去。可以选择配置匹配目的IP的方式
• 集中上网：开启后，本站点将成为集中上网网关，其他站点的上网流量将转发至上网网关进行出局

集中上网的IP可通过提供的CIDR工具进行合并去重，检验是否有效

CIDR验证是否有效

DNS

默认DNS服务器：可以覆盖WAN的DNS配置；

代理DNS服务器：指定域名转发到指定DNS解析；

本地域名解析：配置本地A记录。

OverLay路由策略

传输网络默认优先级：NOVA_专线→NOVA_INTERNET→HS_专线→HS_INTERNET；

Per Prefix收发路由设置优先级，优先级可根据需求自定义；

Per Prefix设置站点路由优先级，通常由于不同Site但有相同路由的场景；

收发路由黑白名单，发布只能通过IP前缀过滤，接收可以基于站点、网关、IP前缀三种方式来过滤。

注：当前加速实现,是在加速网关侧配置ip或者domain，通过路由协议将该vrf的流量吸到加速网关。

基于策略路由和cpe内部acl：

• 可以提供一种新的加速场景
• 可以在站点配置匹配ip和domain的将流量导入隧道上
• 加速网关只发布0.0.0.1和128.0.0.0/1的default路由

VRF安全配置

推荐采用模版统一配置，部分需要个性化定制的部分再覆盖模板进行配置

安全服务

安全服务策略

info

对流量进行转发控制和高级安全功能检测

• 国家区域详细配置说明📖

tip

• 记录日志若打开，则将匹配的规则以日志的形式记录下来

URL过滤配置文件

用于对Web访问的策略控制、内容保护和合规性要求的场景

文件过滤配置文件

info

对使用特定应用传输的文件进行文件类型识别，控制文件传输行为

• 应用范围：默认支持FTP、HTTP、 SMTP、POP3、IMAP、SMB协议，以及多种论坛、博客、网盘和网页邮箱。
• 最大解压文件大小：最大支持解压文件大小为2MB，超过最大解压文件大小的文件将直接放行，不进行文件过滤。

内容过滤配置文件

info

对使用特定应用传输、且含有关键字信息的数据，进行有效识别及行为管控

• 应用范围：默认支持FTP、HTTP、 SMTP、POP3、IMAP、SMB协议，以及多种论坛、博客、网盘和网页邮箱。
• 文件类型：默认支持HTML、TXT、DOC、DOCX、XLS、XLSX、PPT、PPTX、PDF、RTF、XML、TEX
• 最大解压文件大小：最大支持解压文件大小为2MB，超过最大解压文件大小的文件将直接放行，不进行内容过滤。

邮件过滤配置文件

info

基于收发件人的邮件过滤和反垃圾邮件过滤

反病毒配置文件

info

通过反病毒引擎对传输的文件或邮件进行缓存后，对整个文件或邮件内容进行病毒检测

• 应用解码：通过对 HTTP、SMB 和 FTP 方式上传、下载文件，或 SMTP、POP3、IMAP 协议发送的电子 邮件及其附件等进行病毒扫描，并可以根据扫描结果进行相应的处理
• 自定义病毒：对 AV 病毒库的补充。自定义病毒的优先级高于病毒库中的优先级。进行 AV 检测时，先匹配自定义病毒
• 最大支持解压文件大小为2MB，超过最大解压文件大小的文件将直接放行，不进行病毒检测。

漏洞防护配置文件

info

对常见的系统漏洞进行防护 例外规则：仅支持128条例外规则

防间谍软件配置文件

info

对常见的间谍软件进行防护

安全防护

攻击防护

info

对Flood、恶意扫描、异常包攻击、ICM管控等进行攻击防护。加入攻击防护白名单的地址，流量不进行攻击防护检测，直接放行。

警戒值：0-50000包/秒，0表示不开启

会话限制

info

限制并发连接数或新建连接数，0-3000000，0不表示限制，默认不限制

黑白名单

地址白名单

info

加入白名单的 IP 地址，将免于文件过滤、内容过滤、邮件过滤、反病毒、漏洞防护、防间谍软件、会话限制、威胁情报、处置中心等功能的检测。地址白名单仅对流量的源 IP 生效，且优先级高于黑名单。

地址黑名单

地址黑名单是拒绝某些非法的 IP 地址流量的有效手段。地址黑名单仅对流量的源 IP 生效，其优先级高于安全策略等功能的优先级。

域名白名单

info

当用户访问加入白名单的域名时，将免于反病毒、漏洞防护、防间谍软件、威胁情报等功能的检测。域名白名单的优先级高于域名黑名单。

域名黑名单

info

当用户访问加入黑名单的域名时，直接拒绝流量通过。

批量黑IP封堵

info

禁止来自外网的大量黑 IP 攻击内网主机。

自定义内网地址

info

• 站点安全策略支持自定义内网地址, 安全模板不支持自定义内网地址
• 输入后可以定义公网IP为内网地址，从而避免地址库错误的识别流量的地址信息

• 自定义内网详细配置说明📖

高级参数

• 允许非对称路径：默认情况下，不允许非对称路径。勾选后，将允许非对称路径
• 私有IP地址进行URL过滤：默认情况下，URL对应的IP地址为私有地址时，不进行URL过滤。勾选后，将进行URL过滤。