简称 Orch，是 SD-WAN 控制器，是整个 LightWAN 网络的大脑，实现了对一个运营网络内 Pop、Customer、CPE、带宽链路等资源的集中管控。

PoP是LightWAN的网络服务提供点，LightWAN系统通过PoP搭建基于互联网、移动网络、及部分专线资源之上的Overlay网络。

IPoP

接入PoP

落地PoP

Access Unit 是一些域名/IP的集合，在 Orch 中全局定义，并根据尽量服务于同地域和同运营商原则配置在 PoP 和 CPE 上，PoP 和 CPE 上的 Policy 会用到 Access Unit 来管控用户数据的流向；

CPE 是 Customer 接入 LightWAN 的终端设备，是 LightWAN 与用户网络的分界线，也是 LightWAN 网络入口。针对用户流量的主要功能都是在 CPE 上实现。

LAN/WAN

Link 表示 LightWAN 网络上节点 WAN 口之间组成的邻居关系。 Link 分主动端（Initiator）和被动端(Responder)，主动端会自动发送探测报文，并根据被动端的反馈报文计算当前网络连接（Link）质量（丢包、延时、抖动），并上报给Orch，作为隧道路径选择的基础数据；

UDP 封装(普通模式)

无封装(RAW模式)

Connectivity

Connection

LTT

Policy

Flow

LAN Action / WAN Action

利用隧道技术将用户组网业务组织形成的拓扑，包括点到点（C2C 或 Point to Point）、全连接（Full Mesh）、星型（Spoker-Hub）、双星型（Dual Hub）

建立网络服务提供点（PoP注册）

建立用户接入点（CPE 注册）

建立邻居关系（建立 Link）

建立用户数据传输路径（建立 LWConn 隧道）

导入用户流量（给隧道两端下发 Policy）

用户流量开始传输

用户终端UE-1和UE-2通过CONNECTION进行连接

Q.CPE 在 ZTP 之后在 orch 上不能 active 可能存在的原因？ 1. 外网线路不通，导致 CPE 无法上网 2. 设备到 Commserver 不通 3. Cpeagent 文件中 ZTP 未变为 0 4. 设备激活后未重启 CPE 服务，导致设备配置未更新

Q. 如何判断设备到 Corserver 不通？ 1. 使用命令 cat /etc/cpeagent/cpeagent.conf 找到 commaddr 域名及端口，ping域名，tcping 15623 端口检查连通性。如果 ping 不通，让容户检查是否存在出口的限制策咯。如果能 ping 通但丢包严重，找运维更换 commserver ip 观察效果。 2. 使用 netstat -apn l grep 15623 命令检查 commserver 和 cpeagent 文件中的是否一致 3. WAN 口的 DNS 问题导致 commserver 域名解析错误（commserver 域名解析使用CPE的 WAN 口 DNS，检查WAN 口 DNS 是否正确解析 commserver 城名将域名更换为ip测试） 4. 运维 commserver 出问题

Q. LightWAN CPE 有哪些系列，包含的型号有哪些？ 1. 硬件系列： LW1000：迷你型，LW1×05 LW2000：桌面型，包括三个子型号系列 LW2X02, LW2X08, LW2X09 LW3000：1U机架型，包括四个子型号系列.LW3001v2、LW3002v2、LW3001v3、LW3007v3 LW7000：2U机架型，包括两个子型号系列，LW7007, LW7009 2.LWV系列：通过 LightWAN 软件镜像，可以在虚拟机或公有云中部署 SD-WAN。 3.移动客户端系列：支持 Windows, Android, MacOS and iOS.

Q.影响设各选型的因素有哪此 1. 互联网流量（考虑多个 WAN 的总和） 2. LightWAN 订阅流量 3. IP 包长（测试数据平均为500B包长） 4. 接口的类型光口或电口，以及接口的数量；是否需要 Wifi、4G 和 5G 功能模块

Q. 客户环境使用 LightWAN 后是否会对链路进行保障？ 1. 对于不使用 LightWAN 骨千网的客产用广的业务流量还是走的用户本地线路或本地互联网，LightWAN 不会对链路进行保障： 2. 对于使用骨干网的客户，用户业务进入 LightWAN的 LTT 隧道进行传输，实现用户业务的高质量可靠传输。

Q. LTT 实时隧道技木 LTT (Light TCP Tunnel）作为 LightWAN 的核心关键技术，是业务传送的基础技术通过在 CPE 之间建立 LTT 隧道，最终用户的报文在 LTT 隧道中传输，实现用广业务的高质量可靠传输。(LTT包含两大核心技术：路由选择和传输加速）

Q. Orch 管理干合目前划分了哪几类权限的账号，分別作用是什么？ 账号现在分三类： 超级用户：拥有 Orch 控制合用户的监控和配置管理权限： 普通用户：拥有 Orch 控制台用户的监控权限： 只读用户：仅支特对 Orch 控制台用户进行信息查看。

Q.CPE 激活成功，但是不能上线可能的原因有？ CPE 服务没有立新启动： CPE 的 WAN 口 DNS 无法解析到 Commserver 域名; CPE 无法和 Orch 地址以及对应 TCP 15623 端口进行通信。

Q. SD-WAN 骨干网络是纯专网？还是部分需要走公网？ CloudWAN 骨千网络是基于专线和互联网资源的混合组网，全网链路资源通过控制台Orch 统调度，永久为用户提供符合预期 SLA 的链路进行业务传输。

Q.通过4G模块上线设备注意事项 1. SIM 卡不支持热插拔，切记插拔卡后断电重启； 2. 确保SIM卡有足够的话费及流量，最好每月督促客户进行余额查询，如果欠费停机，需要再次断电重启才可以进行拨号； 3. 由于 4G 卡的保活机制，需要与 Commserver 通信，每月的通信流量在 1G 左右，请提前与客户沟通； 4. 在有线和4G双WAN的情景下，如果有线故障，但设备接口仍然为Active状态，设备是不会自动切换至4G网络，此时可以通过让客户拔掉网线或调整Policy解决。

Q.MAC OS 客户端使用中注意事项有哪些？ 1. MAC OS 客户端支持 MAC OS 10.12 及其以上版本； 2. MAC OS 在内网环境中采用 Native 模式连接之后，会无法访问内网域名； 3. MAC OS 采用 Tunnel 模式 (Ipsec）连接后，不支持分流； 4. MAC OS 在内网中采用 Tunnel 模式连接。

Q.IOS客户端使用注意事项有哪些？ 1.客户端支持 IOS 11.0 及其以上版本； 2.客户端只支持 Tunnel 模式 (IP sec） 连接，不支持分流； 3.在内网环境中，使用 IOS 连接客户端之后，无法访问内网域名和 IP； 4.IOS 系统无法清除DNS缓存，需要等10-15s之后能正常访问加速域名或者 IP。

Q.SD-WAN 骨干网络是纯专网？还是部分需要走公网? LightWAN 骨千网络是基于专线和互联网资源的混合组网，全网链路资源通过 Orch 控制器统一调度为用户提供符合预期 SLA 的链路进行业务传输。

Q.通过 4G 模块上线设备注意事项？ 1. SIM卡不支持热插拔，切记插拔卡后断电重启 CPE 设备； 2. 确保 SIM 卡有足够的话费及流量，建议每月督促客户进行余额查询，如果欠费停机，需要再次断电重启才可以进行拨号； 3. 由于 4G 卡的保活机制，需要与 Commserver 通信，每月的消耗通信流量在 1G 左右，请提前与客户沟通； 4. 在有线和 4G 双 WAN 的情景下，如果有线故障，但设备接口仍然为 Active 状态，设备不会自动切换至4G网络，此时可以通过让客户拔掉网线或调整 Policy 解决。

Q:PoP节点的含义 POP， Point of Presence 的缩写，意为 “入网点”。在 LightWAN 系统中，PoP 节点分布于不同区域，POP 间按规划通过互联网专线等链路进行互联，便形成了LightWAN骨干网。

Q:Pop节点功能 1) iPoP Intermedia PoP的缩写，即 “中转PoP” 或 “途径PoP” 的意思，主要起到对 LightWAN Connection 流量进行中转的作用。当一个 PoP 被某个 LightWAN Connection 用作iPoP 时，该隧道流经该 PoP 时不做加解密（及内层解封装）操作。一个或多个 PoP 组合在一起便形成了一条 Overlay 的网络路径，我们日常所说的 LightWAN 智能选路功能，其中一部分工作便是为一对源目地址间的 LightWVAN Connection 选出一个符合SLA 质量要求的 iPoP 路径组合。 2) Proxy Gateway Proxy Gateway 主要用于 "SaaS/互联网” 访问优化。当一个 PoP 被用作 Proxy Gateway 时，会有 CPE 与其创建 C2P Connection 隧道。C2P Connection 在 Proxy Gateway 上面存在加解密操作，解密后的用户数据由 Proxy Gateway 的某个互联网接口流出并去往最终目标网站。从技术角度来说。一个 PoP 节点可同时被用作 iPoP 和Proxy Gateway.

Q: LightWAV CPE设备支持几种加密算法？分别是？ LightWAN CPE设备支持常见的各类加密算法。 主要有：商密算法：SW2（对应于RSA） 、SW3 （对应于SHA256）、SW4（对应子AES/DES)国际标准算法：AES128/AES192/AES256/DES/3DES/ SHA256/SHA1

Q: 商用密码算法的几类主要加密算法以及使用场景是什么？ A：商密算法，全称国家商用密码算法，原先简称国密算法。LightWAN支持商密算法和进行商密相关认证，主要目的是为 客户提供符合，“等保2.0"要求的安全网络系统。 主要算法有： SM1对称密码算法： 一种分组密码算法，算法不公开，仅通过国家认证的芯片来支持； S2-对称密码算法：一种怕圆曲线公钥密码算法，常用于密钥交换、数宇签名，主要用于替代国际算法RSA等； SM3杂湊算法：一种密码杂凑算法，常用于消息摘要、数字签名，主要用于替代国际算法SHA256等； SM4对称密码算法：一种分组算法，常用于数据加密，主要用于替代国际算法AES/DES等。

Q:某一个客户购买了通过软件客户端加速访问内网的服务，用户出差去海外时，是否可以实现在账户名及加速效果不变的情况下访问国内内网服务？ 需要客户根据相应地理位置购买对应的订阅带宽客户软件客户端账户密码不变的情况下，可以根据客户所在海外的地理位置，Orch控制器会自动调整，根据不同的Region匹配不同的site label 为用户选择LightWAN就近的接入节点，同时满足相应国家地区的SLA

Q:LightWAN移动客户端支持操作系统有哪些？ Windows、mac OS、Android、iOS、Linux（含信创）五大操作系统 Linux支持架构包含：鲲鹏920、飞腾FT-2000 飞腾腾税D2000、兆芯Zx-C、Zx-C+、KX-5000、KX-6000、海光3000龙芯、海思麒麟

Q：5.0.1版本IPv6功能支持介绍？ LightWAN 支持 IPv6 功能，CPE 支持 IPv4 1Pv6 双栈接入，支持 1Pv6 配置三步曲，支持“Gover4”及“4over6”隧道；暂不支持IPv4和IPv6间的NAT地址转换。

Q：5.0.1版本SNAT/DNAT禁用功能介绍 目前支持禁用SNAT/DNAT策略配置方法：Orch控制台点击CPE Advanced-Firewall， 找到SNAT Rules和 DNAT Rules， 开关打开为启用，关闭为禁用

Q.CPE现阶段支持在那些虛拟化架构上部署？ 现阶段我司 CPE 支持在 vMware、KVM、Xen、Hyper-v 这几类虛拟化架构进行部署使用。

Q.一台 CPE 设备是否可以同时实现组网和 SaaS 加速？ 可以实现。通过配置不同的 Policy 策略来实现组网以及加速，流量匹配到不同的策略实现不同的访问效果。

Q. LightWan 客户端使用中用到哪些端口？这些端口的作用分别是什么？ TCP: 80、443 用于客户端和认证服务器建立连接通信； TCP: 15623、15624 用于客户端与 Commserver 之间连接通信； UDP: 49152、1705、3801, 6118 用于 NATIVE 模式 Link 建立； UDP: 1701 用于 Windows 的 Tunnel 模式 Link 建立； UDP: 500、4500 用于 MacOS 的 Tunnel 模式 Link 建立；

Q.LightWAN 客户端是否支持用户和终端绑定？ 终端绑定的目的在于让用户使用企业指定的合法终端接入网络，避免外来终端给企网络引入潜在危险。截止目前版本暂不支持，后续版本会支持。

Q:HA双机热备简介？ 客户网络中，如果CPE发生故障会影响到整网业务，为提升网络的可靠性，需要部署两台CPE并组成双机热备。 双机热备需要两台硬件型号和软件版本均相同的CPE。两台CPE之间通过独立的链路连接，这条链路通常被称之为“心跳线”两台CPE通过心跳线了解对端的健康状况当一台CPE出现故障时，业务流量能平滑地切换到另一台设备上处理，使业务不中断。

Q:硬件CPE哪些接口可以规划为心跳接口？ 双机热备组网中，心跳线两端的接口通常被称之为“心跳接口”，任意物理口均可作为心跳接口。 建议规划专门的接口作为心跳接口，该接口只用来发送心跳报文等双机热备功能相关的报文，支持业务口与心跳口复用。

Q:CPE哪些型号支持双机部署？ LW2000系列、LW3000系列、LW5000系列和LW7000系列目前均支持双机部署。

Q:CPE双机热备心跳线断了是否会影响业务？ 两台CFE间心跳线断开或者心跳接口异常等，即心跳链路出现故障，则双机热备状态异常（出现双主状态）、业务异常。 建议多条心跳线备份，如出现故障可临时关闭备机恢复业务。

Q: SD-WAN 客户端是否支持 ARM 版本的 windows11? 截止目前最新版本，暂不支持 ARM 版本的 windows11，只支持 x86 版本的 Windows11

Q: 截止目前版本，LightWAN系统支持哪些审计功能？ DNS 审计、NAT 审计、流量审计 注：审计日志存储于 ORCH 控制器，目前审计仅支持对硬件 CPE 进行配置

Q: 硬件 CPE 使用中忘记设备 IP 地址如何登陆到设备？ 1. 如果设备管理口 IP 地址末修改可以直接使用管理口 IP 地址 SSH 登陆（管理口：不同的设备型号管理口不同.一般为 ETH3/ETH5 口；管理口 IP 地址：169.254.200.1/24 端口：20022） 2. 如果设备管理口地址已经修改且注册到 ORCH 控制器，可以通过 ORCH 控制器查看对应的 IP 地址。 3. 如果设备管理口 IP 地址已修改且没有注册到 ORCH 控制器，可以使用 Console 口登陆设备查看 IP 地址。 4. 如果设备管理口 IP 地址已经修改没有注册到 ORCH 控制器，且没有Console口，可以尝试 Reset (非所有设备都存在 Reset 按键）按键恢复出厂后使用默认管理 IP 地址登陆。

Q. 设备 Console 登陆波特率？ 我们设备的常用波特率： LW2X02、LW2X08 等 arm 平台设备正常系统访问系统的波特率为 115200 LW2X09、LW3001、LW3002、LW3003、LW3007、LW5007、LW5003、LW7007、LW7009 等 x86 设备正常系统访问系统的波特率是 38400，进入 Bios 的波特率是 115200

Q. CPE 突然 Pending 可能是什么原因导致的？ CPE 突然 Pending 原因一般有：硬件设备断电、WAN 口断网、网络丢包/延迟/抖动、WAN口地址冲突、CPE的CPU、内存、磁盘等使用率过高都可能会导致CPE Crash并致使 CPE Pending

Q. orch 管理平台目前划分了那几类权限的账号，分别作用是什么？ 账号现在分三类: 超级用户: 拥有 orch 控制台用户的监控和配置管理杈限 普通用户: 拥有 orch 控制台用户的监控权限 只读用户: 仅支持对 orch 控制台用户进行信息查看

Q. CPE激活成功，但是不能上线可能的原因有？ cpe 服务没有启动， wan 口 ip 配置有问题，无法访问互联网 客广给的 dns 无法解析到 Commserver 导致与 orch 进行通信失败 与 orch 通信的相关端口被封禁

Q.Windows 容户端使用中注意事项有哪些 ？ 1. Windows 容户端支持 win7 及其以上操作系统，不支持 arm 架构的 Win10 系统 2. Win7 不支持 Native 模式连接。对于本身 L2tp 有问题的操作系统可能会出现报错提示 3. 在内网环境下，windows 采用 Tunnel 模式 (L2tp）连接后，不支持访问内网域名

Q. 客户端 Native 模式和 Tunnel 有什么区别（实现方式）？ 1. Tunnel 模式主要是调用 windows 本身的 L2TP API，在连接成功之后，会在本地新增一个 PPP 网卡 2. Native 模式主要是利用 WFP + DataPath 来实现，在安装时，会将这些模块进行安装

Q. CPE 设备支持几种升级方式？分别是那几种？ 我们设备支持两类升级方式分别为： 1. 在 Orch 上添加升级任务，在对应的 Orch 控制器 Upgrade schedule 处可以进行用产定时升级，操作分两部分： Upgrade：可以在此处选择具体的升级时问、填写所要升级版本、CPE 包存放链接、MD5 值验证、升级系统类型以及所要升级的用户 Configuration：选择具体所要升级的 site、以及升级的时长、CPE 的数量 2. HA 模式需要登录到设备后台进行命令行升级

Q. 安卓容广端使用中注意事项有哪些？ 1. 安卓容户端支持 Andriod 7 及其以上版本 2. 在内网环境下连接安卓客户端，无法访问内网域名

Q. MAC 客广端使用中注意事项有哪些？ 1. MAC 客户端支持 MAC OS 10.12 及其以上版本 2. MAC 系统在内网环境中采用 Native 模式连接之后，会无法访问内网域名 3. MAC 系统采用 Tunnel 模式（lpsec）连接后，不支持分流 4. MAC 系统在内网中采用 Tunnel 模式连接

Q. IOS 容户端使用注意事项有哪些？ 1. 容广端支持10S 11.0及其以上版本 2. 容户湍只支持 tunne l 模式 (lpsec）连接，不支持分流 3. 在内网环境中，使用 IOS 连接客户端之后，无法访问内网域名和IP 4. IOS 系统无法清除 DNS 缓存，可能会需要等待 10-15s 之后才能正常访问加速域名或者IP

Q. SD-WAN 骨千网络是纯专网？还是部分需要走公网？ CloudWAN 骨千网络是基于专线和互联网资源的混合组网，全网链路资源通过控制台Orch 统一调度，永久为用户提供符合预期SLA的链路进行业务传翰

Q. 通过 4G 模块上线设各注意事项 1. SIM 卡不支持热插拔，切记插拔卡后断电重启 2. 确保 SIM 卡有足够的话费及流量，最好每月督促容户进行余额查询，如果欠费停机，需要再次断电重启才可以进行拔号。 3. 由于 4G 卡的保活机制，需要与 Commserver 通信，每月的通信流量在1G左右，请提前与容户沟通。 4. 在有线和 4G 双 WAN 的情景下，如果有线故障，但设备接口仍然为 Active 状态，设备是不会自动切换至 4G 网络，此时可以通过让客产拔掉网线或调整 Policy 解决。

Q. SD-WAN骨干路由是如何进行选路的。 SD-WAN 默认是通过 SLA 进行智能选路，所选链路均为控制台自动下发。如当前链路不能满足 SLA，我们可以合理的调整 SLA 的数值。让 Orch 自动选路，如果还是无法满足可以协调运维调整 SLA 或者找资源（合理范围内）

Q. 如果客户是海外访问国内，可以提供海外人员分布和无法提供海外人员分布，我们应该分别怎么做？ 1. 我们提供的账号在海外也可以就近接入，如果客户可以提供他们海外的人员的分布，我们可以做更加精准的配置 2. 如果客户不能提供海外人员分布，按照我们已有配置来做，把主要的几个方向配置上，杳港是最后备选，客户不用浪费时间统计海外人员分布

Q. SD-WAN 设备如何实现备份机制从而保障用广业务？ 1. 两台设备之间进行主备机制，保证在主机异常时（如设备掉电，网口掉线，设备硬件故障等）备机能接替主机工作，起到冗余备份的作用，并且主机所有配置能实时同步至备机 2. 设备同时接入有线带宽与4G网络，保证当分支运营商线路故障后，4G网络启用，代替原有的有线网络保障数据的正常传输，起到多链路冗余备份 3. 在分子公司存放备件，保证设备故障后可快速换新恢复业务

Q. 如何提升在访问国外资源的链路质量？ 可以通过 POP 节点骨干网资源以及 RTT 遂道丢包重传等优化技术提升链路质量

Q. POP 节点的舍义以及分类？ 含义：POP 是 LightWAN 的网络服务提供点 LightWAN 系统通过 POP 搭建基于互联网、移动网络、及部分专线资源之上的 Overlay 网络 分类： 1. iPOP: 作为流量中转节点，非隧道的起点和终点； 2. 接入 POP: 用户流量接入点，一般指 CPE 连接的第一跳 POP: 3. 落地 POP: 访问 SaaS 的流量隧道终结于此，用产流量从这里进入 lnternet 访问

Q. SD-WAN设备支持几种加密方式？分别是？ 支持两种加密方式国密和商密分别为： 1. 国密：SM4 2. 商密：AES256/AES192/AES192/DES/3DES

Q: 客户实际环境使用 LightWan 后是否会对链路进行保障？ 1. 对于不使用 LightWAN 骨千网的客产用户的业务流量还是走的用户本地线路或本地互联网， LightWAN 不会对链路进行保障 2. 对于使用骨干网的客户，用户业务进入 LightWAN 的 LTT 隧道进行传输，实现用户业务的高质量可靠传输。

Q. 什么是 LTT 实时隧道技木？ LTT (Light TCP Tunne l）作为 LightWAN 的核心关键技术，是业务传送的基础技术通过在 CPE 之间建立 LTT 隧道，最终用户的报文在 LTT 隧道中传输，实现用户业务的高质量可靠传输。(LTT 包含两大核心技术：路由选择和传输加速。）

Q. 如果某一个客户购买了通过软件容产端加速访问内网的服务，用户出差去海外时，是否可以实現在账广名及加速效果不变的情况下访问国内内网服务？ 支持。用户软件客户端账户密码不变的情况下，可以根据用户所在海外的物理位置，通过 SD-WAN 后台配置，为用户选择 SD-WAN 就近的接入节点，同时满足相应国家地区的 SLA，最大程度的帮助用户提升体验。

Q. SD-WAN 是否支持软件客户端接入？ 支持，SD-WAN 支持 Windows、MAC、Android、IOS 多个操作系统。

Q. 客户反馈某个网站打不开，如何处理？ 1. 客户网络出口线路质量和出口带宽跑满等因素 2. 需要去确认这个网站的性质，它是被 Block 的还是正常可以打开的网站，确认在那可以正常访问。 3. 确认该网站是否已经加入到优化集合内 4. 在后台进行抓包，查看对该域名的解析是否经过我们的隧道 5. 登陆后台，查看访问该网站的流量是否进入优化隧道 6. 在浏览器访问该网站，按 F12 查看该网站是否有调用其他外链。如果存在其它外链，确认该外链是否加入到优化集合内。 7. 联系运维人员在落地 POP 上对该网站进行访问，验证是否访问限制或 POP 地址封堵

Q.一台设备是否可以实现组网同时实现SaaS加速？ 可以。通过配置不同的 Policy 策略来实现组网以及加速

Q. 旁路部署如何判断 CPE 接入用户网络带宽已跑满？ 1. 在控制台查看全部接入 Link，如果所有接入 Link 的延时、丢包、抖动均变大，且不同时问段接入 Link 区别明显（比如夜间接入 Link正常，白天接入 Link 异常），可初步怀疑是用产网络带宽跑满。 2. 请用户协助查看网络出口设备的流量图，判断互联网流量是否已经跑满。 3. 利用测速工具（如 SpeedTest）进行测试．进行测试前，必须提前告知用户测试会影响到用广正常业务访问，用广同意的情况下再进行测试。如果测速工具的测试带宽也跑不上去.说明容产带宽己经跑满。

Q. 纳管 MSTP 专线时，如何检查 MSTP 专线的健康状态？ CPE 上配置通过专线建立 Connectivity，通过这个 Connectivity 来检查专线的健康状态

Q.订阅 1-6 星有什么区别？ 三星以下数据不会通过 SD-WAN 的骨千网络三星以上分别对应 SLA，三星以上只有 SLA 的区别

Q. CPE 支持在那此虛拟化架构部署？ VMware、KVM、 Xen 、Hyper-V

Q.用户在内网使用容户端需要放通的端口？ TCP : 80, 443, 15623, 15624 UDP : 49152, 1705, 3801, 611, 1701, 500, 4500

Q. Bypass 功能介绍以及常用场景有哪些？ 1. 在特定的触发状态（断电/关机/宕机等）下，让两个 PNIC Port（物理网卡端口）不通过中间系统(e.g． 操作系统），而直接在 PNIC 自身的物理层面进行导通。 2. 使用场景：桥楧式

Q. 常见 Bypass 功能分类有哪些？ 1. 非 Runtime Bypass （硬件）: 通过硬件（电对硬件设备监控一日设备关机/掉电自动切换到 Bypass 工作模式，保证网络连通性。 2. Runtime Bypass （软件）：通过软件（看门狗）程序，对应用系统监控，一旦应用程序运行不正常后，自动切换到 Bypass 工作模式，保证网络连通性。

Q. 可信准入功能、作用以及应用场景？ 1. 设置可信设备 MAC 地址列表，然后对 CPE 本端的 LAN/WAN 设备进行 MAC 地址匹配；匹配上为可信设备，否则为不可信设各；可信设备允许接入 CloudWAN 网络，业务可通；不可信设备不允许接入CloudWAN网络，业务不通 2. 对 CPE 本端的 LAN/WAN 设备要求做可信设备准入判断

Q.准入存在的问题与冲突/注意事项？ 1. Mips 的 Lan 桥成员口互通、网桥成员口的互通不属于可信准入的范围，不支持 2. 网桥以及网桥的成员接口不支持可信准入，大二层 Hub 节点 Vswitch 接口也是网桥，不支持可信准入，大二层 Spoke 节点支持可信准入 3. 可信设备是指与 CPE 的 LAN/WAN 三层直连的设各本端 CPE 尝试去命中对端 CPE 的 LAN 设备的 MAC，无效 4. 不支持的 CPE 版本，忽略可信设备准入配置；升级到支持的 CPE 版本后，可信设备准入配置生效

Q. 组网场景下用用户希望域名在本地解析，不使用外部的DNS进行解析，DNS是如何进行解析的？ 1. 需要把 DNS Server 设置 为 CPE 的LAN口 IP，DNS 请求到达 LAN 口．检查域名是否存在于 LAN DNS 列表，如存在则直接返回 LAN DNS 配置的域名对应的 IP 2. DNS 请求来到 CPE 后：先匹配 DNS Proxy，再匹配 LAN DNS，再匹配 DNS Policy

Q. 组网场景下用户 PC 没有配置对端内网 DNS，但是布望有一些特定的域名通过对端内网的 DNS进行解析，DNS是如何进行解析的？ DNS 流量作为普通的组网流量处理，配置的 DNS Proxy 的域名通过此处的 Server 进行解析

Q. Saas 场景下域名解析通过用户本地设置的 DNS 解析，域名解析流量不经过LightWAN，DNS 是如何进行解析的？ Datapath 检查 DNS 请求的 DNS 服务器的 IP 地址是否包含在 DNS Policy 的 lpset 中。如果包含该 DNS 服务器的 IP，DNS 流量匹配包含该域名的DNS Policy, DNS 流量被通过WAN 口送出后返回结果。用户获得 DNS 解析结果后按照相应的 Policy 访问该域名。

Q. 组网场景下用户 PC 配置的 DNS 是对端内网 DNS，DNS 是如何进行解析的？ DNS 流量作为普通的组网流量处理，配置的组网 Policy 的 Destination 包含 DNS 的 IP 即可

Q. SaaS 场景下域名通过指定的 region 的落地 POP 解析，DNS 解析的 resion 和实际访问 Access list 的 resion 不同，DNS 是如何进行解析的？ Datapath 检查 DNS 请求的 DNS 服务器的 IP 地址是否包含在 DNS Policy 的 lpset中。如果包含该 DNS 服务器的 IP，DNS 流量匹配该域名的 DNS Policy，DNS 流量被送到相应的落地 POP，由落地 POP 配置的 DNS 解析域名后返回结果。用产获得 DNS 解析结果后按照相应的 Policy 访问该域名

Q. SaaS 场景下域名通过 Access List 的落地 POP 解析，配置包含 Access List 域名的 Policy，不需要配置 DNS Policy，DNS 解析过程是咋样的？ Datapath 检查 DNS 请求的域名是否包含在 Access List 域名中。如果包含该域名， DNS 流量匹配包含该域名的 Policy，DNS 流量被送到相应的落地 POP，由落地 POP 配置的 DNS 解析域名后返回结果。

Q. 什么是带宽保障？ 带宽保障用于保证低优先级的数据流不被饿死，以 WAN 的进出带宽作为基本值以基础值的百分比的形式配置，并且仅在同一个 Engine 内部生效。带宽保障无法在多个Engine 间进行同步，当争抢带宽的数据流在同一个Engine，或者争抢带宽的数据流在多个 Engine 上分布比较均衡时，常宽保障能生效；若争抢带宽的数据流分布在不同的engine时，带宽保障无法

Q. Keepalive lnterface 心跳接口的作用 Keepalive lnterface 心跳接口用于主备机进行通信，master 设备会向 slave 设备发送vrrp 报文，宣告自己的 vrid、prio 及 ip 地址

Q. HA 模式下的 Preempt Mode 抢占模式默认是否开启？作用是什么？ 默认不开启，为非抢占模式 作用：Master 和 Slave 的权重默认都是 200；开启后为抢占模式，Master 初始权重251，Slave 初始权重200，抢占延时30（秒）权重值【1， 255】;Master/Slave设各的选举，优先看权重值的大小，大权重为Master;如果权重值一样，会去看心跳口地址的大小，IP地址大的为Master

Q. HA 模式下的 Track lnterface 跟踪接口作用是？ Track 接口物理状态 UP，对应的设备增加设置的权重: Track 接口物理状态 down，对应的设备减少设置的权重，权重值(1，255)

Q. NAT 审计的功能介绍、作用以及应用场景？ NAT 审计主要记录内部网络地址与互联网网络地址转换信息，可以为用广提供接入服务记录，可以使用在用户需要记录并留存使用的互联网网络地址和内部网络地址对应关系的环境中

Q.NAT 审计开启注意事项？ 1. 客户端现暂不支持 NAT 审计 2. 现在只支持按天导出 NAT 审计日志 3. 一条 Nat Audit Report 消息最多包含 200 个 Nat Audit Stats，若上报间隔时问内数量超过 200（硬编码），则拆分为多条 Nat Audit Report 上报，防止 Proto buf 溢出。

Q. NAT审计日志的保持时间是多久？ 设备支持 NAT 审计日志保存记录 180 天，满足基本的日志保存以及日志安全需求期

Q. DNAT功能介绍、作用以及应用场景 功能介绍：用于配置规则，进行日的地址转换 作用：对于受限访问的设备，通过配置 DNAT 规则，允许匹配规则的 WAN 侧流量访问指定的受限访问的设备应用场景：允许 WAN 侧流量受限访问局域网的设备

Q.SD-WAN是否有他TOP N流量分析功能？如何开启？ 1. SD-WAN 有基于五元组的 TOP N 流量分析功能 2. 需要在 Customer 级别配置开启 Site Flow Statistic， 开启此功能之后才可以将流量统计进去，在 Site 下 chart 页面点击 FlowStats 可查看流量排行，TOP N 数据只有在打开按钮之后，数据才会被存储

Q. Topology 报表的作用有哪些？ 1. 展示链路上行及下行带宽使用率、站点相关信息 2. 查看链路延时、抖动、丢包 3. 支持基于时间轴选择、站点选择、星级选择进行查找

Q. SD-WAN Mobile 主要由哪几种模块组成？分别作用是什么？ 1. SD-WAN Mobile 主要由两个模块组成，分别是 Filtering 模块和 Policy Engine 模块，对出向与入向流量进行处理。 2. 作用： Filtering 模块负责过滤客户网終流量将符合要求的流量送入 Policy Engine 模块，将其他流量直接送给终端系统处理。 Polioy Engine 模块对流量进行分类，提供组网和 SaaS 访问优化等服务。

Q. 在 Orch 上开启 DNS 审计后，DNS 日志是存储什么位置？ 存储在 Orch 上，在Orch 的 Operation Log 上查看

Q. SD-WAN 设备支持哪几种 Topology 模式？分别是什么？ SD-WAN 设备支持 3 种 Topology 模式: 全互联: 网状拓扑结构，所有站点之间两两互联 星状: 需填写中心站点星状拓扑结构: 所有 Spoke 节点与 Hub 节点建立连接 点对点: 需填写起始沽点，结束沽，两,点之间建立组网

Q.Poliy的作用是？ Policy 是指当流量经过 CPE 时所匹配的转发規则，用于用户自定义多 site 组网及访问Internet 流量转发的高级配置，同时规定相应流量转发接口（本地转发或 SD-WAN 转发）

Q. SD-WAN Mobile DNS 处理逻辑？ 客户端会把所有的 DNS 流量进行截取，然后去匹配 Policy Engine 模块，如果能够匹配上 Policy 的 DNS 流量，会将流量转发到对应的落地 POP/CPE 去解析；如果匹配不上 Policy 的 DNS 流量，除了 Win10 Native 会重新转发到物理口解析外，其余的会直接转发到接入 link 的 WAN/Shadow POP 的 Wan 去解析

Q. SD-WAN 如何解决企业访问 Saas 效率低的问题？ 在企业用户网络中部署专用接入设备SD-WAN CPE，将用广访问 Saas 的业务流量接入SD-WAN 运营专属网络中。解决企业在使用 SaaS 服务时，受互联网质量的影响尤其是跨境互联网质量的影响（链路延时、 丢包率高），访问效率低，数据传输效率低甚至失败的问题。

Q.通过基于 SLA 的智能选路．带来的好处有哪些？ 1. 节省骨干网带宽资源，区别于传统的 TE 技术，不用每条隧道都预留指定的带宽资源 2. 具备 TE 的基本能力，实时刷新链路的可用带宽资源，确保链路能满足新建连接的带宽资源需求，避免传统基于最短路径算法带来的局部拥塞 3. 实时检测连接的质量，永远满足 SLA 的要求，一旦出现质量下降，即刻启动新的路径计算，寻找新的路径，满足用户的业务质量需求 4. 整个过程用户无感知，自动化智能处理，可以极大减轻用户运维的压力，用户只需要定义好带宽需求和 SLA 需求，其他交给 SD-WAN

Q. SD-WAN 整个网络由多个 CPE 和多个 POP 通过链路（Link）来组成，Link 的主要类型包括哪些？ C2P 连接 CPE 和 POP 的 Link 称之为 C2P Link P2P 连接 POP 和 POP 的 Link 称之为 P2P Link C2C 连接 CPE 和 CPE 的 Link 称之为 C2C Link

Q. SD-WAN 解决企业组网的优势是什么？ 总部/分支组网：CPE 设备连接总部分支、数据中心，保障企业内部应用、视频会议、 移动办公访问速度和使用体验，并削减企业购买专线和广域网优化广品的成本。还可提供可视化管理，支持快速部署、智能扩建及迁移

Q. SD-WAN 如何解决云访问云互联问题？ 云访问、云互联：通过在云中部署 VCPE (Virtual CPE) 并接入SD-WAN POP后，通过SD-WAN 的连接，可实现云访问和云互联，异构云之问数据的高效同步，提升用产体验

Q. Probe Task 的功能介绍、作用以及应用场景？ 功能介绍与作用：通过 TCP 探测功能，监控客户服务端口情况，相关时延抖动丢包出现异常能及时告警通知 应用场景： 1. 用户想了解本地 WAN 的基础网络状况 2. 设备 Pending 时，需要知到本地WAN的基础网络状况和到 Commserver 的网络状况 3.用户关心某个应用的连通性（如OA）希望可以监控； 4. 专线落地 POP 的互联网状況需要监测

Q. Probe Task 現在所支持的探測功能是什么？ 目前探测任务支持 Ping 探测与 TCPing 探测，后续计划支持 HTTP 探测

Q. 双因子认证分类以及作用是什么？ 双因子认证包括 Orch 和 Mobile 双因子认证。 作用：双因子认证开关相关功能配置在 Setting 页，当我们打开这个开关可以理解为在登录账号时，会多一步操作，需要输入手机号和短信验证码。

Q. 双因子认证开启时的注忘事项 A：此功能默认关闭，Orch 级别配置只有 admin 权限的账户可以修改，如果客户有开启双因子认证的需求，我们可以找对应权限的账产进行修改。Customer 级别也有此功能（路径：Customer 侧边栏配置）开启之后只针对于该 Customer 下的User账户

Q. LightWAN 内部木语的解释 UE：用户节点 ENGINE：加速引擎。 LTT: Lightwan Tcp Tunnel. POP: LightWAN 网络上的节点。 CPE：用户接入网络的客户端前置设各 LINK: LightWAN 网络上的节点问的逻辑链路。 CONNECTION：端到端的虛拟 Tunnel，用来承载 ENG INE LTT 流量。

Q. LightWAN的基本特征 集中控制网络可编程（开放API） 数据面与控制面分离

Q. Link 的基本概念 Link 表示 LightWAN 网络上节点 WAN 口之间组成的邻居关系 Link 分主动端 (Initiator）和被动端 (Responder)，主动端会自动发送探测报文（去包、延时、抖动），并上报给 Orch，作为并根据被动端的反馈报文计算当前网络连接(Link）质量隧道路径选择的基础数据

Q.Link 的封装类型有哪几种？ RAW 模式该模式下 Link 没有封装外层包头 UDP（普通模式）Link 本身指定了一个 UDP 五元组，也即数据包最外层的 IP/UDP 封装用到的五元组

Q. Engine 的基本含义以及作用 TCP 加速引擎，实现 LTT 封装和 zetaTCP 加速 算法的核心组件： 为实现高效处理，Engine 与 CPU 鄉定，双向的数据流需要进入同一个 Engine 处理

Q.LTT (Light Tcp Tunnel）的基本概念以及分类 指加速引擎内部创建的高速传输隧道： 分类： TCP-RTT 用于承载“丢包敏感”型业务.通过丢包补偿算法最大限度的保障隧道内 无丢包的环境 Non-TCP-RTT 则用于承载“延时敏感”型业务，通过预设的最大延时闵值确保隧道在进行丢包补偿时不会出现太大的延时增加当延时增长超过设定网值时，允许出现可 控的丢包以缓解延时增长的幅度