SD-WAN CPE通过互联网建立管理通道完成上线后，想要把管理通道切换到overlay

第一步：前提条件检查

1. Overlay隧道已正常建立：CPE之间或CPE与网关之间的Overlay隧道（如IPSec/GRE）状态为Up。
2. 控制器可达：确保控制器（或其公网IP/域名）的地址，能够通过CPE的Overlay隧道路由到达。通常这需要在控制器侧或核心站点配置相应的路由发布。
3. 选择业务低峰期进行操作，避免配置中断影响业务。

第二步：在SD-WAN控制器上操作（核心步骤）

1. 登录控制器：进入SD-WAN控制台。
2. 定位设备或站点策略：
   • 通常可以在 “设备管理”​ 或 “站点管理”​ 中找到已上线的CPE设备。
   • 更常见的配置位置是在 “策略模板”​ 或 “设备模板”​ 中，该模板已关联到您的站点或CPE。
3. 修改管理通道配置：
   • 在设备或模板的编辑/配置界面中，找到 “管理通道”、“系统设置”​ 或 “控制器连接”​ 相关选项。
   • 将 “管理通道类型”​ 或 “控制器连接方式”​ 从 “带外管理”（Out-of-Band, 直接互联网）​ 修改为 “带内管理”（In-Band, 通过Overlay隧道）。
   • 关键配置项：可能需要指定用于连接控制器的 “Overlay隧道接口”（如Tunnel接口）或 “VPN实例”。
4. 下发配置：
   • 保存修改后的模板或设备配置。
   • 执行 “配置下发”​ 或 “应用策略”​ 操作，将新配置推送到目标CPE设备。
5. 等待CPE重新连接：
   • CPE收到配置后，会重启管理进程或重新建立到控制器的连接。
   • 此时，CPE将尝试通过指定的Overlay隧道接口（而非物理互联网接口）向控制器发起新的管理连接。

第三步：验证切换结果

1. 在控制器上查看：
   • 在设备列表中，观察该CPE的状态。短暂中断后，如果状态恢复为 “在线”，则表明新的带内管理通道已成功建立。
   • 查看设备的详细属性，其“管理IP”或“连接接口”应显示为Overlay隧道接口的地址（如Tunnel接口的IP）。
2. 在CPE上验证（可选）：
   • 如果仍能通过Console或原有带外方式登录设备，可以执行命令查看与控制器的连接状态。
   • 使用 display sdwan controller connect-status或 display sdwan tunnel等命令，确认管理流量的出口路径。

重要注意事项与风险提示

• 操作风险：切换过程中，CPE与控制器之间的连接会短暂中断。务必确保Overlay隧道稳定且控制器地址可通过隧道路由可达，否则切换失败将导致设备脱管（控制器无法管理设备）。
• 回退方案：在操作前，建议保留或确认设备的带外管理方式（如互联网接口的IP和端口）仍然可用。万一切换失败，可通过带外方式重新登录设备或联系控制器恢复。
• 配置依赖：带内管理通常依赖于已成功建立的Overlay隧道和正确的路由策略。请先确保网络业务Overlay本身工作正常。
• 版本差异：不同版本的控制器界面和术语可能不同，请以您使用的官方文档或界面为准。

参考这个配置案例看看01-SD-WAN WAN业务配置指导-新华三集团-H3C