本部分的实验室以动手实验室交互式模拟的形式呈现。这样，您便可以在实验室环境中实际体验需要消耗大量时间或资源的步骤。在此模拟中，您可以像与实际环境进行交互一样使用软件界面。

橙色框显示单击位置，您也可以使用向左和向右箭头键在模拟时左右移动。

本演示将讲解示范 VMware NSX SD-WAN 解决方案的各种功能特性。

在整个演示过程中，我们将使用 VMware NSX SD-WAN Orchestrator，它是整个解决方案的重要组成部分，企业管理员可以在其中配置和监控部署。

当用户登录 Orchestrator 的企业门户时，将显示所有分支机构的全局概况；在该视图中，设备状态显示为连接的传输链路的数量。这让管理员能够一目了然地掌握网络状态。

在地图上，您可以放大到某个区域，以更清楚地了解所有边缘网关的位置：

• 单击地图并放大到美国
• 再次单击地图放大到加利福尼亚州
• 再次单击地图放大到圣何塞
• 再次单击地图可进一步放大

现在，让我们查看一个位置，了解 SD-WAN 解决方案提供的详细信息：

• 单击选择“Chennai BO”边缘网关

查看边缘网关的详细信息时，首先突出显示的项目之一是传输链路的清单。您在“Link Status”（链路状态）部分看到的所有信息都是由系统在边缘网关激活时自动填充。系统将会发现服务提供商以及链路带宽，包括该容量连接到的边缘网关设备上的物理端口。

此外，还提供了实时衡量，用于确定链路的延迟、抖动和丢包行为的特征。

• 单击链路状态详细信息图标，了解实时链路统计信息

通过这个至关重要的组成部分您可以了解链路的传输能力以及这些情况对应用的影响。

在“Edge Overview”（边缘网关概述）页面上，系统还会指示边缘网关将实时吞吐量数据流式传输到 Orchestrator，以便管理员更好地了解 Edge 的利用率。

确定链路质量的另一种方式是查看体验质量 (QoE) 评分

• 单击“QoE”选项卡

屏幕上将显示每个链路的 VeloCloud 质量得分 (VQS)，并针对链路在承载特定类型的流量时的表现，按从 0 到 10 的级别进行评级打分（默认情况下为语音）

它将显示应用 SD-WAN 服务之前的得分，而顶栏将显示应用 SD-WAN 服务后终端用户看到的质量。

至少，该解决方案可绕开单条链路上的局部暂时限制用电情况。此外，该解决方案还能够启用数据包复制，以减轻丢包对所有可用链路的影响。此外，去抖动缓冲可以使抖动对 VOIP 通话的影响正常化。所有的引导和缓解技术都会在每个应用上动态启用。流量引导将按数据包进行，从而确保保留会话，同时保护面向终端用户的会话质量。

当您将鼠标悬停在时间表上的各个部分时，您可以看到系统检测到的内容，以及采用了哪些技术来保护应用流量。

让我们来看看另一种流量类型的不同之处，并了解一下对网络损伤更敏感的应用会遇到怎样的质量评分变化。

• 单击“Traffic Type”（流量类型）
• 单击选择“Video”（视频）

接下来我们转到传输可见性部分，管理员可以在此更好地了解各个链路的利用率

• 单击“Transport”（传输）选项卡

管理员可以将 Edge 置于在线模式，在该模式下，Edge 会将实时更新流式传输到 Orchestrator。这是一个有助于进行故障排除和确定网络利用率模式分组的工具。

• 单击“Start Live Monitoring”（开始实时监控）按钮，获取关于链路利用率的实时（每秒）更新
• 单击选择“Show TCP/UDP Details”（显示 TCP/UDP 详细信息），了解各个链路以及协议的使用情况
• 单击指标下拉菜单
• 单击选择“Average Throughput”（平均吞吐量）
• 单击“Stop Live Monitoring”（停止实时监控）暂停实时流量更新

此外，Edge 还负责检测正在使用的应用，并了解每个应用的网络连接要求。嵌入式深度应用识别 (DAR) 引擎可以检测大约 3,000 个应用。

• 单击“Applications”（应用）选项卡
• 单击滚动条，导航至页面底部
• 单击向下箭头，展开显示 10 个额外应用
• 单击滚动条，再次导航至页面顶部
  
  

我们来研究一下为何分支机构网络上有大量优酷流量并侵蚀着带宽。

• 单击选择“Youtube traffic”（优酷流量）

“热门应用”信息图将显示哪些设备正在使用优酷以及流量发送至哪些域。

• 单击关闭

让我们将注意力转移到 SD-WAN 解决方案的配置上，该解决方案旨在将复杂内容抽象化，更多地关注成效。

• 单击“Configure | Profiles”（配置 | 配置文件）

该解决方案使用配置文件的概念，这些配置文件提供关于分支机构在更大规模企业网络部署中应如何表现的蓝图。

• 单击“Branch Profile”（分支机构配置文件）

配置文件包含设备、业务策略和防火墙规则的常见设置。我们首先来了解一下可通过“Device”（设备）设置控制的方面。

• 单击“Device”（设备）选项卡

管理员可以在这里控制各种网络设置，包括但不限于 DNS、VPN、路由和寻址。

首先，应注意这些设置中的有一些设置在一个分段中运行。分段是网络中严格划分的部分，可以使用一组独立的策略甚至拓扑来运行，以便将流量传输到最终目标。它们通常用于确保遵循监管框架，如 PCI DSS，其中要求将销售点 (POS) 终端与网络的其余部分隔开。

• 单击“Configure Segments”（配置分段）
• 单击选择“Guest Segment”（客户机分段）
• 单击选择“Global Segment”（全局分段）

“全局分段”是默认分段，其中设置了所有配置和资源。

SD-WAN 解决方案的一项重要功能是，能够通过叠加 VPN 连接各个分支机构，并提供与远程资源的无缝连接。NSX SD-WAN 解决方案提供三个主要 VPN 控件：

管理员可以控制分支机构之间的连接方式。默认情况下，NSX SD-WAN Gateway 用作分支机构交换流量的点。分支机构还可以设置为直接构建彼此之间的安全加密链路，而无需使用 Gateway。这是延迟敏感型应用的首选方式。

分支机构之间的连接也可以通过能够指定为中心站点的现有分支机构站点来实现。中心站点既可以促进这种互连，也可以作为对 Internet 的集中分组。这通常用于将额外的安全措施链接到企业数据中心（托管在中心站点）内托管的流量中。当指定站点作为中心站点时，配置文件中的所有边缘网关将构建指向中心站点的直接叠加安全加密链路，以便以可靠的方式访问中心站点下游的资源。

最后，Gateway 还有助于构建通往已安装现有 VPN 路由器但不支持 SD-WAN 的站点的标准 IPSec 安全加密链路。通常情况下，这些可以是企业数据中心或虚拟私有云提供商，如 Amazon Web Services、Azure、SoftLayer 等

• 单击选择一个 NVS（非 VeloCloud 站点）站点
• 单击选择创建一个新的非 VeloCloud 站点
• 单击键入“DataCenter”
• 单击选择 Cisco ISR 作为不支持 SD-WAN 的数据中心 VPN 路由器
• 单击输入数据中心 VPN 路由器的主要 IP 地址
• 键入 IP 地址“25.48.5.9”
• 单击“Next”（下一步）按钮继续
• 单击“Next”（下一步）按钮完成 NVS 站点的创建

这样，现有数据中心内的资源便可供所有支持 SD-WAN 的分支机构使用，而无需在数据中心内进行基础架构更改。只需在数据中心内配置一个新的安全加密链路。

输入数据中心 LAN 上连接的子网，可通过 NVS（非 VeloCloud 站点）安全加密链路连接到其他 SD-WAN 分支机构。

• 单击子网框，键入 IP 地址“172.27.1.0/24”
• 单击描述框，键入“server farm”
• 单击“View IKE/IPSec Template”（查看 IKE/IPSec 模板）
• 单击“OK to show template”（确定显示模板）。
• 单击以在模板中向下滚动
• 单击以关闭配置模板对话框
• 单击“Save Changes”（保存更改）按钮
• 单击“Close“（关闭）按钮退出对话框

接下来，我们简单了解一下分支机构的路由功能。该解决方案允许在每个分支机构配置 OSPF 和 BGP，以便 Edge 可以在连接 MPLS 链路时充当 CE 路由器，或是从下游第 3 层设备（如 L3 交换机）接收路由。这样便可在升级或扩容部署中灵活插入边缘网关。

• 单击启用 OSPF
• 单击禁用 OSPF
• 单击启用 BGP
• 单击禁用 BGP

SD-WAN 解决方案的另一个关键构造块是业务策略框架，管理员可用它来直观地定义如何在网络上处理应用。实质上，管理员只需表明哪些应用是业务关键型应用，该解决方案会调整资源和修复机制的优先级，以提供最高品质的终端用户体验。

将业务策略的复杂性抽象化并关注成效。管理员不需要知道哪些 IP 地址和端口应用处于活动状态，也无需担心排队机制和 CoS 设置。所有这些均由解决方案自动设置。

让我们添加一个低优先级的业务策略。假设 Box 存储不是企业使用的应用，这样一来便需要在网络上取消优先级

• 单击“Business Policy”（业务策略）选项卡
• 单击“New Rule”（新规则）以添加一个低优先级规则，并将其命名为“box.net”。
• 键入“box.net”
• 单击“Define Application”（定义应用）按钮并搜索应用
• 键入“box”
• 单击在目录中选择应用
• 单击“Low”（低）优先级，以在发生拥塞时取消应用交付的优先级
• 单击“Direct”（直接）网络服务以避免使用修复和引导技术。应用流量将从其中一个连接的链路直接发送到 Internet
• 单击“Transport Group”（传输组）链路引导，以控制可以将流量分散到 Internet 的链路类型
• 单击以显示选项，确保我们仅在“公共有线”链路上发送此类流量，这是在链路首次连接到 Edge 时关联的分类
• 单击“public wired”（公共有线）链路。
• 单击滚动条
• 单击“OK”（确定）使规则生效
• 单击“Save Changes”（保存更改）以对 Edge 进行更改。Edge 将在 30 秒内收到更新。

VeloCloud Edge 具有可识别嵌入式有状态应用的防火墙，该防火墙可以禁用，以支持现有的外部硬件防火墙或托管在边缘网关硬件上的基于 VNF 的防火墙。

• 单击“Firewall”（防火墙）选项卡。请注意，所有规则同样位于分段环境中
• 单击“New Rule”（新规则）按钮以添加一个新规则。默认情况下，系统允许所有出站流量并阻止所有入站流量。出站流量会创建一个入站针孔，以允许流量反向传输。
• 键入“facebook”（微信）作为规则名称
• 单击“Define”（定义）按钮
• 键入“facebook”（微信），然后
• 单击选择“Facebook Mail”（邮件服务），以阻止非受认可且被视为有数据泄露安全风险的微信子应用。微信的其他部分将继续正常运行。
• 单击“Deny”（拒绝）防火墙操作以阻止网络上的应用。
• 单击“OK”（确定）使规则生效
• 单击“Save Changes”（保存更改）按钮

叠加流量控制 (OFC) 是一个可提供企业级洞察信息的集中式路由表，其中子网（每个网段）可连接到 Edge 位置。此外，它还将深入了解 SD-WAN 解决方案如何学习路由，无论从规划角度还是审核角度来看，这都很有价值。

• 单击“Configure | Overlay Flow Control”（配置 | 叠加流量控制）
• 单击滚动条以浏览路由表
• 单击“Monitor”（监控）部分以结束演示。

要返回实验室，请单击右上角的链接或关闭此浏览器标签页。