业务发布

为了简化运维管理，HSM系统支持业务发布功能，即集中快速的下发HSM端配置至被管理设备，以解决多次下发导致的效率问题。业务成功下发后，被管理设备将增加源NAT、策略路由、安全策略等配置。

HSM可以下发业务至已加入HSM VPN组网的被管理设备，也可以下发业务至没有被HSM纳管的设备。只要满足以下组网情况，就可以使用“业务发布”功能。

• 二级网络结构：在该组网中，被管理设备分别与业务服务器或客户端相连。与业务服务器相连的设备，称为业务设备；与客户端相连的设备，称为分支设备。
  • 分支设备通过隧道链路，与部署在企业总部的业务设备相连，以实现分支到总部的业务访问。这种组网通常被称为星型组网。
  • 业务设备通过隧道链路，与分散在企业各分支机构的业务设备相连，以实现对其他分支的业务访问。这种组网通常被称为网状组网。
  
• 三级网络结构：与二级网络结构相比，三级网络结构增加一级“中心设备”端。中心设备和分支设备之间通常采用星型组网结构，中心设备和总部业务设备之间通常采用网状组网结构，以此来实现分支到总部的业务访问。
  例如：某企业北京办公室部署一台防火墙，与其内部的业务服务器相连。苏州、成都办公室分别作为分部，各部署一台防火墙（中心设备），北京、苏州、成都三地通过隧道链路形成如上所说的网状组网，苏州分部可访问北京的业务系统。同时，苏州分部下形成3个分支机构：苏州高新区分部、苏州姑苏区分部、苏州园区分部，各部署一台防火墙（分支设备）。苏州分部作为总部，与下属3个分部形成如上所说的星型组网，各分部均可通过隧道链路，对北京的业务服务器进行访问。
  

系统支持下发3种业务，分别是：

• 上网业务：允许被管理设备访问外网服务。
• 总部内网业务：允许被管理设备访问总部业务。
• 分支内网业务：允许被管理设备访问分支业务。

配置业务下发

业务下发配置包括：

• 新建内网业务
• 新建上网业务
• 发布业务
• 回收业务
• 查看业务详情
• 编辑业务
• 删除业务
• 查看业务设备和中心设备详情

新建内网业务

内网业务包括总部内网业务和分支内网业务，用户可根据实际业务场景，选择下发相应的内网业务。

新建内网业务，请按照以下步骤进行：

1. 选择“SD-WAN管理器 > SD-WAN策略 > 业务发布”，进入业务发布页面。
2. 点击“新增”按钮，打开<新建业务>的基本信息配置页面。
   

   在<基本信息>页面，配置相关信息。

   选项	说明
   名称	指定业务的名称，取值范围0-48个字符。业务名称不允许重复。
   描述	添加业务的描述信息。

3. 点击“下一步”按钮，进入<业务配置>页面。
   

   在<业务配置>页面，配置相关信息。

   选项	说明
   业务类型	指定内网业务类型，可以为总部内网业务或分支内网业务。
   网络结构	指定业务所属的网络结构，可以为二级网络和三级网络，默认为二级网络。
   业务地址	指定业务所在服务器的地址，点击“添加选项”按钮，打开<选择业务地址>页面，将指定地址添加到下方，可以为Any、地址簿、IP/掩码、IP范围以及主机名称。默认为Any，表示所有IPv4地址，对应的IP地址为0.0.0.0/0。 系统最多支持添加8个业务地址条目。如需删除已经添加的业务地址，点击对应地址条目后的“×”按钮，或者在<选择业务地址>页面点击“清空选项”按钮。
   服务	选择需要下发的服务或服务组。点击“选择服务”按钮，打开<选择服务>页面，指定需要开通的服务/服务组，默认为Any。
   应用	选择需要下发的应用或应用组。点击“选择应用”按钮，打开<选择应用>页面，指定需要开通的应用/应用组。
   二级网络结构的业务网络配置：在“二级网络”结构中，点击“业务网络配置”后的“新增”按钮，打开<新增业务设备配置>页面，进行如下配置。如需指定多个业务设备，重复该步骤即可。最多支持新增5个业务设备。
   业务设备	指定直接与业务服务器相连的VPN组网中的被管理设备。 当“业务类型”为总部内网业务时，业务设备一般为星型组网中的HUB设备或者网状组网中的设备。 当“业务类型”为分支内网业务时，业务设备一般为分支设备。
   内网业务区域	指定业务设备所在的安全域。选择业务设备后，系统自动获取该设备已配置的所有安全域，从下拉菜单中指定安全域。系统默认为trust安全域。
   隧道网络	指定业务设备所在的隧道地址池网段。当业务下发给被管理设备后，可以根据隧道网络中的优先级和隧道地址信息，来确定设备的下一跳路由。系统最多允许配置8条隧道网络。若未勾选“高级选项”中的“路由方式”，则不下发该配置。 选择业务设备后，系统自动填充隧道网络信息，即业务设备已关联的SD-WAN隧道地址池；点击“新增”按钮，用户可以添加自建的隧道网络信息，即非SD-WAN隧道网络信息。
   操作	新增业务设备配置后，用户还可以执行如下操作： 修改隧道网络的优先级：在“业务网络配置”区域，点击指定隧道网络“优先级”列的文本框，修改指定隧道网络的优先级。取值范围为1~255，数值越小，隧道网络的优先级越高。 编辑业务设备配置：在“业务网络配置”区域，选中指定业务设备的任一隧道网络，点击“操作”列的按钮，打开<编辑业务设备配置>页面，修改指定业务设备的内网业务区域和隧道网络信息。 删除隧道网络：在“业务网络配置”区域，点击指定隧道网络“操作”列的按钮，删除指定隧道网络；或者点击列表上方的“删除”按钮，删除所有选中的隧道网络。
   三级网络结构的业务网络配置
   业务设备	指定直接与业务服务器相连的VPN组网中的被管理设备。 当“业务类型”为总部内网业务时，业务设备一般为星型组网中的HUB设备或者网状组网中的设备。 当“业务类型”为分支内网业务时，业务设备一般为分支设备。
   内网业务区域	指定业务设备所在的安全域。选择业务设备后，系统自动获取该设备已配置的所有安全域，从下拉菜单中指定安全域。系统默认为trust安全域。
   业务设备和中心设备的隧道网络	指定业务设备所在的隧道地址池网段。当业务下发给被管理设备后，可以根据隧道网络中的优先级和隧道地址信息，来确定设备的下一跳路由。系统最多允许配置8条隧道网络。若未勾选“高级选项”中的“路由方式”，则不下发该配置。 选择业务设备后，系统自动填充隧道网络信息，即业务设备已关联的SD-WAN隧道地址池；点击“新增”按钮，用户可以添加自建的隧道网络信息，即非SD-WAN隧道网络信息。
   中心设备	指定与业务设备相连的VPN组网中的中心设备。 选择业务设备后，系统会根据业务设备、业务设备和中心设备的隧道网络自动筛选出可以作为中心设备的HUB设备。用户可以点击“选择设备”按钮，从右侧设备列表勾选指定设备复选框，然后点击“确定”按钮。
   中心设备和分支设备的隧道网络	指定业务设备所在的隧道地址池网段。当业务下发给被管理设备后，可以根据隧道网络中的优先级和隧道地址信息，来确定设备的下一跳路由。系统最多允许配置8条隧道网络。若未勾选“高级选项”中的“路由方式”，则不下发该配置。 选择中心设备后，系统自动填充隧道网络信息，即中心设备已关联的SD-WAN隧道地址池；点击“新增”按钮，用户可以添加自建的隧道网络信息，即非SD-WAN隧道网络信息。
   高级配置：用户可以根据需要，选择是否根据该业务生成相应设备的源NAT规则、路由和安全策略。
   源NAT	勾选复选框，开启下发源NAT规则功能，并指定将符合条件的流量转为出接口IP或不转换。默认关闭。 出接口IP：将符合条件的流量的源IP地址转换为相应设备的出接口IP地址。 不转换：对符合条件的流量不做NAT转换。
   路由方式	勾选复选框后，选择指定路由方式，开启下发指定路由功能，包括下发策略路由和静态路由。默认开启下发静态路由功能。下发指定路由的数量是由隧道网络的优先级来决定。相同优先级的隧道网络会下发同一条路由，并为该路由配置LLB规则做负载均衡；不同优先级的隧道网络会下发多条路由，如隧道网络配置了2个不同的优先级，则下发两条路由。 提示: 当业务所在服务器的地址为“IP/掩码”时，支持开启下发静态路由功能。
   安全策略	勾选复选框，开启下发安全策略规则功能，默认开启。

4. 点击“下一步”，进入<关联设备>页面。
   

   在<关联设备>页面，配置相关信息。

   选项	说明
   关联设备	指定需要访问该内网业务的被管理设备。点击“选择设备”按钮，系统将自动筛选出满足条件的设备，然后从右侧设备列表中勾选指定设备复选框，点击“确定”按钮。

5. 点击“确定”按钮，系统将自动下发配置给相应的被管理设备。内网业务的下发配置详情，可以在任务中心查询。

新建上网业务

新建上网业务，请按照以下步骤进行：

1. 选择“SD-WAN管理器 > SD-WAN策略 > 业务发布”，进入业务发布页面。
2. 点击“新增”，打开<新建业务>页面。
   

   在<新建业务>页面，配置相关信息。

   选项	说明
   名称	指定业务的名称，范围是1到95个字符。业务名称不允许重复。
   描述	添加业务的描述信息。

3. 点击“下一步”，进入<业务配置>页面。
   

   在<业务配置>页面，配置相关信息。

   选项	说明
   业务类型	指定业务类型为上网业务。
   高级配置	指定下发的源NAT规则。发布上网业务时默认会为关联的设备下发源NAT规则，源NAT规则会将符合条件的流量的源IP地址转换为相应设备的出接口IP地址。 点击按钮，展开高级配置选项。用户可以根据需要，选择IP地址的映射方式以及是否启用NAT日志功能。 如果启用了Sticky功能，每一个源IP产生的所有会话将被映射到同一个固定的IP地址。启用Sticky功能，点击Sticky后的“启用”按钮。 如果启用了Round-robin功能，每一个源IP产生的会话将以轮询的方式进行IP地址映射。启用Round-robin功能，点击Round-robin后“启用”按钮。 如果不启用Sticky功能和Round-robin功能，地址条目中的第一个地址将会首先被使用，当第一个地址的端口资源被用尽，第二个地址将会被使用。 注意：Sticky功能和Round-robin功能是互斥的，二者不能同时配置。 NAT日志：点击“启用” 按钮，开启NAT日志功能。当有流量匹配该地址转换规则时产生日志信息。

4. 点击“下一步”，进入<关联设备>页面。
   

   在<关联设备>页面，配置相关信息。

   选项	说明
   关联设备	指定需要访问外网服务的被管理设备。点击“选择设备”按钮，从右侧设备列表中勾选指定设备复选框，然后点击“确定”按钮。 注意：需提前配置好需要访问外网服务的被管理设备的“WAN口”配置内容。

5. 点击“确定”，系统将自动下发业务生成的相关配置给相应的被管理设备。上网业务的下发配置详情，可以在任务中心查询。

发布业务

系统支持将已创建的业务发布给更多的被管理设备。添加业务的关联设备，请按照以下步骤进行操作：

1. 选择“SD-WAN管理器 > SD-WAN策略 > 业务发布”，进入业务发布页面。
2. 点击“关联设备”列的数值，打开<关联设备>页面。
3. 点击“添加设备”，在打开的<选择设备>页面中，选择需要访问该业务的设备。
4. 点击“确定”，系统将自动发布该业务给指定的设备。

在关联设备页面，用户还可执行以下操作：

• 点击“一键重试”，将业务重新下发给列表中“下发失败”或“回收失败”的设备。
• 点击“操作”列的 按钮，删除该设备；点击列表上方的按钮，批量删除选中的设备。
• 点击列表上方的按钮，用户可以按照设备名称和配置状态对业务的已关联设备进行过滤，快速查找需要的设备信息。点击按钮，取消筛选条件的配置。

回收业务

回收已下发至被管理设备的业务，请按照以下步骤进行操作：

1. 选择“SD-WAN管理器 > SD-WAN策略 > 业务发布”，进入业务发布页面。
2. 点击“关联设备”列的数值，打开<关联设备>页面。
3. 点击“操作”列的 按钮，从指定设备上回收业务；或者，点击列表上方的按钮，从选中的设备上批量回收业务。

查看业务详情

查看业务详情，请按照以下步骤进行操作：

1. 选择“SD-WAN管理器 > SD-WAN策略 > 业务发布”，进入业务发布页面。
2. 点击列表中的业务名称，打开<业务详情>页面，查看该业务的基础信息、业务配置和关联设备。

编辑业务

编辑业务，请按照以下步骤进行操作：

1. 选择“SD-WAN管理器 > SD-WAN策略 > 业务发布”，进入业务发布页面。
2. 点击“操作”列的 按钮，编辑指定业务。若业务有关联设备，编辑完成后将重新下发业务至关联设备。

删除业务

删除业务，请按照以下步骤进行：

1. 选择“SD-WAN管理器 > SD-WAN策略 > 业务发布”，进入业务发布页面。
2. 点击“操作”列的 按钮，删除指定业务；点击列表上方的按钮，批量删除选中的业务。

查看业务设备和中心设备详情

查看业务设备和中心设备详情，请按照以下步骤进行：

1. 选择“SD-WAN管理器 > SD-WAN策略 > 业务发布”，进入业务发布页面。
2. 点击“业务设备/中心设备”列的数值，打开<业务设备/中心设备>页面，查看业务设备和中心设备的名称、所属设备组以及配置下发状态。

在<业务设备/中心设备>页面，用户还可以执行以下操作：

• 选中“状态”为“配置下发失败”的业务设备/中心设备，点击“配置下发失败”后的按钮，将业务重新下发给指定的业务设备/中心设备。
• 点击“一键重试”，将业务重新下发给列表中“配置下发失败”的业务设备和中心设备。