直连部署

拓扑图

Pasted image 20250409180711.png

连通性配置

LAN口配置

接口IP配置
- WAN1 口作为HA的心跳口，手动配置接口IP，Master为 X.X.X.1 、Backup为 X.X.X.2
- LAN口的互联网段由优海工程师提供，需要注意的是Master的IP为 X.X.X.6 ，Backup的IP为 X.X.X.7
线路探测地址：检测出口情况（连通性、延迟、丢包率）；设备所属地为国外则 223.5.5.5 ，设备所属地为国内为 8.8.8.8

静态路由

作为业务的回程路由，一般有四个业务网段，由优海工程师提供
配置静态路由时，可汇总这四个网段（如10.42.16.0/21），下一跳为 X.X.X.2
由于LAN口IP无法本地现场配置，所以需要知道 EC 和 CORE 的互联网段，以及 CORE 的接口IP

1、线路探测地址配置时选择立即重启，配置才会生效；若没有生效则更新下 obc-pm 程序

2、配置静态路由时，若配置没有生效，则更新下 obc-console 程序

HA

采用主备方式、WAN口心跳，选择心跳口为 WAN1
开启主备抢占功能，忽略心跳网口失效，虚拟IP为 LAN X.X.X.8

出口配置

NAT配置

WAN0 口的SNAT规则不修改、为默认值

网桥均衡

配置修改为 WAN0 100% WAN1 0% lte 0%
WAN0 口 down 后，可以通过 WAN 1 口进行业务互访

链路检测、服务安全

链路检测

用于网桥均衡的线路切换，根据设备所属地选择当地DNS
国内/国外设备请求国内/国外的IP、域名

服务安全

开启SSH，允许LAN、WAN侧SSH登录，添加白名单（私网网段）

配置SSH登录时，要添加私网网段的白名单，否则无法登录

安全策略配置

应用模板

应用 分支禁止互访 以及 禁止访问172.16.0.0/12：445端口 两个模板， 分支禁止互访 使用覆盖方式， 禁止访问172.16.0.0/12：445端口 使用追加方式
应用后，同时添加一个安全策略 SIP/DIP:本地业务网段 协议：any allow （本地业务允许互访），并放置在第三位

组网配置

绑定license、入PoP

license的带宽选择50M
使用模板绑定入PoP，还需手动添加备用PoP，可选BJ/SH，顺序为 有线主用 > 有线备用 > 4G

组网配置

在overlay组网中手动添加主设备（备设备无需手动，会自动添加），以建立邻居
在设备上通告业务网段（汇总路由/明细路由）；通告后需要查看 ali-bj-CaterZone 是否通告了相同路由，有则删除路由

LTE 配置

新 LTE 需要导入设备
关闭 WIFI 功能
使用 IMEI 号，在红茶平台上查看 LTE 状态是否正常（正常状态为 eSIM在用 、在线）
若状态为 种子卡在用 ，则需要更换资源，在红茶群里反馈种子卡在用，需要更换资源；更换后还是不行试下重启设备
若访问延迟大，则更换信号好的ISP资源（联通、电信、移动）

CPE设备修改为商用状态

Pasted image 20250327170405.png

检测

业务连通性

配置静态路由是否下发成功
HA状态是否正常
测试 oa.haidilao.com 是否能访问，访问前还需要现场工程师进行切换路由才能访问业务

4G连通性

查看4G网卡状态
查看 DNS Server 是否可以访问
若延迟大则修改TCP MSS值为 1200