我们前面已经通过Panabit的iWAN实现了异地分支组网场景的模拟(零成本自建企业级SD-WAN!用Panabit手搓iWAN实战),发现性能还不错,对iWAN的加密方式和性能也做了简要测评(iWAN隧道实测:一次握手跑满2.3Gbps,白嫖的SD-WAN真能吊打专线?),还测试了IPsec的加密性能(企业组网选iWAN还是IPsec?实测结果颠覆认知)。
现在,我们已经有专业版的授权(派网专业版VS标准版:8500并发+威胁监控,升级真有必要?实测揭秘),可以继续测试【iWAN交换】来实现二层转发了。我们前面提到了iWAN隧道为点对点封装,中间路径不可见,这一点在三层转发时会显得有点突兀,但如果搭配二层转发来使用应该就理所应当了。
查看官方介绍,iWAN二层转发的核心机制是在服务端建立并维护接入客户端的ARP表项,将服务端的本地物理端口与iWAN客户端组成虚拟二层局域网。今天我们来简单操作一下。
按照官方说法,iWAN交换还支持VLAN标签,所以我打算本次同样将Panabit1配置为服务端,将Panabit2配置为客户端,并且给每台Panabit设备下面分别挂两台终端,配置到不同VLAN,如下图所示。
但是,我忽略了授权的问题,申请授权的时候没有绑定多余的网卡,所以只能按照下图来配置了。
首先,我们还是将两台Panabit设备以网关模式上线(从崩溃到3G带宽!Panabit三种部署模式性能实测,这个坑千万别踩),服务端Panabit1的网络配置如下:
客户端Panabit2的网络配置如下:
客户端需要能够访问到服务端的WAN口IP地址,在客户端侧使用系统自带的网络检测工具探测一下服务端是否可达。
在配置iWAN服务端之前,我们首先要完成地址池配置。在【对象管理】下的【账号管理】模块,切换到【组织架构】页签,点击【添加用户组组】,我们创建一个给iWAN服务用的用户组iWAN,指定IPv4地址范围和DNS。
对应本地认证的认证方式,我们再点击【添加本地账号】来创建一个iWAN客户端账号,并绑定IP地址。
配置完地址池和本地账号之后,回到【iWAN服务】页面,完成服务端的创建。
然后切换到【服务映射】页签,点一下iWAN服务后面对应的【添加】按钮,就可以将WAN口的8000端口映射到了刚创建的iWAN服务上了。
在【虚拟专网】下的【iWAN交换】页面,先修改右上角的【参数配置】,启动设备的iWAN二层转发功能。
然后,再点击后面的【添加】按钮,添加iWAN交换端口。这里的端口模式分为Tag模式和Untag模式,区别应该是网卡是否转发携带有VLAN Tag的数据包。如果内网有交换机,且配置了Trunk或Hybrid模式,则会有携带VLAN Tag的数据包;像我这种主机直连的,不会携带VLAN Tag,应该配置为Untag模式。但是有个问题,VLAN不能设置为0,那就先设置为1。逻辑上讲,现在这个端口应该是类似Access类型,对收到的报文打上VLAN 1的标签。
到这里,iWAN服务端就搭建好了,我们继续配置iWAN客户端。
在客户端Panabit2的WEB页面,在【虚拟专网】下的【iWAN客户端】模块,点击【添加】来创建一个iWAN客户端。
跟上次相比,除了填入跟服务端匹配的服务器IP、服务器端口、iWAN账号和密码之外,二层转发选择【开启】,按照服务端iWAN交换的理解,这里加入二层转发的本地网卡应该选择为eth2,本地VLAN和转发VLAN都配置为1;虽然不涉及转发,单使用默认的0就表示不开启二层转发,肯定不行。
提交之后,iWAN客户端上线成功,并且获取到了指定的IP地址10.13.1.3;但是,VLAN这里怎么显示是0/0?
接下来,我们先验证一下iWAN客户端到iWAN服务端的可达性。
iWAN隧道正常,我们回到iWAN服务端。此时,【iWAN交换】页面中,自动添加了一个端口,端口名称显示为iWAN3/10.13.1.3,端口类型为远端端口,端口模式是Tag,难道这个Tag对应的是客户端的本地VLAN配置?
我们从客户端侧的内网主机测试一下。
到服务端不通,难道是客户端本地VLAN配置为1导致报文带了VLAN 1的标签?修改成0试一下。
再次测试,到服务端的内网主机通了,但是到服务端的内网网关还是不通。
不过,转念一想,这也算正常,正常只有在三层转发时才会找请求网关,此时明显需要走本地网关更合理。比如本地主机访问互联网的流量,肯定走本地网关路径更优。如此看来,iWAN二层转发跟VxLAN的集中式网关或者分布式网关还不一样(交换机集中式VXLAN IP网关配置实验)。
最后简单测试一下iWAN二层转发的性能。
在未启用加密的情况下,测得最高转发带宽1.57 Gbps,平均转发带宽1.37 Gbps,相比iWAN的三层转发,性能只有74 %。
即使启用了加密,最高转发带宽也能达到1.44 Gbps,平均转发带宽1.28 Gbps,相比iWAN的三层转发,性能达到了84 %;即使相比于iWAN交换的不加密场景,性能也有93 %,满足千兆以内的业务场景妥妥的。
总结一下,iWAN交换的二层转发很重视VLAN的配置,今天莫名其妙还把VLAN配置复习了一遍。如此看来,后面可以把Panabit下挂的设备换成交换机试一下VLAN的相关配置。