Site Magic SD-WAN 简化了 UniFi Gateways 之间站点到站点 VPN 隧道的配置,实现多站点间的资源和应用无缝共享。

拓扑结构对比

Site Magic 支持“星型(Hub-and-Spoke)”和“全互联(Mesh)”两种拓扑。下表对比了这两种配置的主要区别。

星型

spoke.png
全互联

mesh.png
说明 集中式架构,所有分支站点都通过一个或多个中心节点连接。 去中心化架构,所有分支站点彼此直接相连。
最佳应用场景 适合需要中心化数据中心或资源,及需要基于 IP 白名单方式访问云服务的组织。 适合资源分布较广、各站点需直接共享的组织。
可扩展性 支持 最多 1000 条隧道 支持 最多 20 个站点
安全性 可在中心节点集中管理流量并具备隔离选项。 站点之间直接通信,需要在每个站点单独配置防火墙规则。
冗余性 每个分支最多可与中心节点建立 4 条活动 VPN 隧道;可以添加备用中心节点提升冗余。 每个站点每条连接 仅有一条活动隧道,发生网络中断时,故障切换隧道需重新建立。
灵活性 高度可定制,支持如覆盖子网的 NAT、自定义路由发布、多中心负载均衡等功能。 定制性有限;不支持 NAT,因此 Site Magic 组内禁止子网重叠。

星型

要求

  • 中心节点:至少一台设备需具备公网 IP:
    • 云网关:EFG、UDM Pro Max、UDM SE、UDM Pro、UDW。
    • 独立网关:UXG-Enterprise 或通过 CloudKey/官方 UniFi Hosting 管理的 UXG-Pro。
  • 分支节点大多数云网关(不含 Express 版)或通过 CloudKey/官方 UniFi Hosting 管理的独立网关
  • 所有中心节点和分支需归同一 UI 账户所有者。
  • UniFi Network 应用需为 9.0.108 或更新版本。
  • UniFi(云)网关需为 4.1.3 或更新版本。

星型模式配置

  1. UniFi 站点管理器 进入 Site Magic
  2. 选择 星型作为部署类型并命名 SD-WAN 组。
  3. 选择 中心 节点拓扑
    • Single:所有分支均连接到同一中心节点。
    • Failover:所有分支默认连接一个中心节点,故障时切换至备用中心节点。
    • Distributed:手动指定每个分支连接的中心节点。
  4. 选择分支到中心 VPN 架构
    • 最大弹性:每个分支与各中心/WAN 可建立最多 4 条独立 VPN 隧道,发生故障时不会中断。
    • 冗余型:支持每个分支最多 2 条 VPN 隧道(分支主/备 WAN 各连接中心主/备 WAN)。发生故障切换不会中断服务。
    • 可扩展型:每个分支仅有 1 条隧道。发生故障切换时会短暂中断。
  5. 为每个中心节点添加 网络 和/或 路由
    • 网络:自动为所选网络生成路由。
    • 路由:共享非本地子网(如其他站点到站点 VPN)或手动指定汇总路由。
  6. 指定每个中心节点的 主 VPN WAN 及(可选)WAN 备选线路
  7. 配置分支网络和 WAN:
    • 自动扩展与 NAT 分支 VPN:当分支有重叠子网时启用。系统会自动为分支源地址创建 NAT 规则,将其转换为唯一 /24 段后转发到中心节点。启用后会话 仅能由分支发起。详见下文“重叠子网与 NAT”。
      • 如禁用此项,请手动选择需与中心节点共享的网络。
    • 分支隔离:中心节点自动生成防火墙规则阻断分支间通信。如需分支互通请关闭此项与自动扩展。
      • 注:此项要求网关支持基于区域的防火墙。查看更多详情。
    • WAN 设置标准化:使所有分支使用同一 WAN 作为主/备 VPN 接口。
    • 为每个中心节点指定 主 VPN WANWAN 备选线路

重叠子网与 NAT 配置

重叠子网下通常无法通信,因为无法区分流量来源或目的。自动扩展与 NAT 分支 VPN 可通过 源地址转换 将发往中心的数据改写为唯一且无重叠的子网。默认下仅支持单向(分支至中心)通信,允许分支访问中心资源、下载文件或代理云资源;如需让中心访问分支资源,须在分支端手动配置目标 NAT 规则。

举例:若某分支 启用自动扩展与 NAT 分配了 172.16.1.0/24 路由,本地有服务器 192.168.50.5,可如下 配置 DNAT 规则使其可访问

  • 名称:DNAT from Hub-and-Spoke to LAN
  • 协议:全部
  • 接口:Site Magic VPN 隧道
  • 目标地址:172.16.1.5
  • 映射地址:192.168.50.5

每个需暴露的本地资源都需单独创建类似规则。如需暴露大量资源,建议规划不重叠的子网。点此查看相关配置说明。

如需了解更多 NAT 规则内容,请参阅网络地址转换

中心节点 VPN 隧道容量

  1. 点击查看不同型号网关 VPN 隧道容量。
    型号 Site Magic VPN 隧道数
    Enterprise Fortress Gateway (EFG) 1,000
    Gateway Enterprise (UXG Enterprise) 1,000
    Dream Machine Pro Max (UDM Pro Max) 200
    Dream Machine Special Edition (UDM SE) 100
    Dream Machine Pro (UDM Pro) 100
    Dream Wall (UDW) 100
    Gateway Pro (UXG Pro) 100

全互联(Mesh)

要求

全互联模式配置

  1. UniFi 站点管理器 进入 Site Magic
  2. 选择 Mesh 作为部署类型并命名 SD-WAN 组。
  3. 最多 选择 20 个站点纳入全互联连接。
  4. 选择各站点需共享的网络。
  5. 点击 连接

常见问题解答

  1. Site Magic 可以用于连接第三方网关或云服务提供商(如 AWS、Azure、GCP)吗?
    虽然 Site Magic 专为连接 UniFi 网关而设计,但我们也支持 OpenVPNIPsec,以便与其他第三方网关或云服务实现互通。
  1. 可以添加更多管理员来管理 Site Magic 设置吗?
    不可以,Site Magic 只能由 所有者 进行管理。
  1. Site Magic 支持 IPv6 吗?
    暂时不支持。我们计划在未来的版本中增加 IPv6 支持。
  1. Site Magic 支持 USG 系列产品吗?
    不支持,传统的 USG(UniFi Security Gateway)型号不受支持。
  1. 如何让 Mesh 部署获得最佳性能?
    如果有更多网关拥有公网 IP,网络将更加稳定可靠,网关之间额外的路由连接也有助于提升性能。
  1. Mesh 部署有站点数量限制吗?
    有,Mesh 拓扑模式最多支持 20 个站点。
  1. 发生云端问题时,Site Magic 连接会中断吗?
    Site Magic 不会因云端问题而断开连接。但如果需要更新配置(如 WAN/LAN 改变),则必须云端可用才可操作。
  1. 如果网关的 WAN IP 地址发生变化,Site Magic VPN 会受到影响吗?
    不会。如果某个网关的 WAN IP 地址发生变化,新地址会自动同步到其他网关,Site Magic 会持续保持连接。无论是公网 IP 还是 NAT 后的网关都适用。
  1. 如果发生所有权转移会怎样?
    所有参与的控制台必须有相同管理员。如果某个已加入 Site Magic 组的控制台发起所有权转移,该站点的连接将自动断开,但其他站点连接不会受到影响,依然正常运行。