您可以在操作员门户中配置网关的属性和其他详细信息。
在创建新的网关时,您将自动重定向到配置网关 (Configure Gateways) 页面。
要配置现有的网关,请执行以下操作:
过程
- 在概览 (Overview) 选项卡中配置以下内容。
属性 (Properties) - 在该部分中,将显示选定网关的现有“名称”(Name) 和“描述”(Description)。如果需要,您可以修改该信息。您还可以配置以下其他详细信息:选项 描述 网关角色 (Gateway Roles) 根据需要,选中以下复选框: - 控制平面 (Control Plane):允许网关在控制平面中运行,默认选中该复选框。
- CDE:允许网关在持卡人数据环境 (Cardholder Data Environment, CDE) 模式下运行。可以选择该选项为需要传输 PCI 流量的客户分配网关。
- Cloud Web Security - 允许具有超级用户或标准角色的操作员用户为 Cloud Web Security (CWS) 角色配置 SD-WAN 网关。有关更多信息,请参阅 https://docs.vmware.com/cn/VMware-Cloud-Web-Security/index.html 上发布的《VMware SD-WAN Cloud Web Security 配置指南》。
- 数据平面 (Data Plane):允许网关在数据平面中运行,默认选中该复选框。
- 合作伙伴网关 (Partner Gateway):选中该复选框以允许将网关分配为 Edge 的合作伙伴网关。如果选择该选项,请在合作伙伴网关 (高级切换) 详细信息 (Partner Gateway (Advanced Handoff) Details) 部分中配置其他设置。
- 安全 VPN 网关 (Secure VPN Gateway):选择该选项以使用网关建立到 非 SD-WAN 目标 的 IPSec 隧道。
服务状态 (Service State) 从以下可用选项中选择网关的服务状态: - 服务中 (In Service):已连接网关并且网关可用。
- 服务中断 (Out of Service):未连接网关。
- 静默 (Quiesced):已静默或暂停网关服务。可以选择该状态以进行备份或维护。
状态 (Status) 显示网关的状态,该状态反映发送到 Orchestrator 的定期检测信号成功或失败。以下是可用状态: - 已连接 (Connected):网关成功向 Orchestrator 发送检测信号。
- 已降级 (Degraded):Orchestrator 在至少一分钟内未从网关收到检测信号。
- 脱机 (Offline):Orchestrator 在至少两分钟内未从网关收到检测信号。
连接的 Edge (Connected Edges) 显示连接到网关的 Edge 数。只有在激活了网关时,才会显示该选项。 IP 地址 (IP Address) 显示 Edge 的公用 WAN 链路在连接到网关时使用的公用 IP 地址。该 IP 地址用于唯一地标识网关。如果为网关同时配置了 IPv4 和 IPv6 地址,该字段将显示两个 IP 地址。
如果创建了仅 IPv4 网关,或者从先前版本升级了现有 IPv4 网关,则可以输入 IPv6 地址以支持双栈。保存更改后,不会立即将 IPv6 地址发送到 Edge。您可以触发重新均衡操作以将 IPv6 地址手动推送到客户和关联的 Edge,否则,IPv6 地址将会在下次控制平面更新期间发送到 Edge。
注: 添加 IPv6 地址是一次性活动,保存更改后,将无法修改 IP 地址。小心: 如果将配置错误的 IPv6 地址推送到 Edge,可能会导致到 IPv6 网关的 IPv6 隧道发生故障。在这种情况下,您需要停用网关并创建一个新网关,以便同时激活 IPv4 和 IPv6 地址。网关身份验证模式 (Gateway Authentication Mode) 从以下可用选项中选择网关的身份验证模式: - 不需要证书 (Certificate Not Required):网关使用预共享密钥模式进行身份验证。
- 获取证书 (Certificate Acquire):默认情况下,将选择该选项,并指示网关从 SD-WAN Orchestrator 的证书颁发机构中获取证书,方法是生成一个密钥对并向 Orchestrator 发送证书签名请求。在获取后,网关使用该证书在 SD-WAN Orchestrator 中进行身份验证并建立 VCMP 隧道。
注: 在获取证书后,可以将该选项更新为 需要证书 (Certificate Required)。
- 需要证书 (Certificate Required):网关使用 PKI 证书。操作员可以使用系统属性
gateway.certificate.renewal.window更改网关的证书续订时间段。
合作伙伴网关 (高级切换) 详细信息 (Partner Gateway (Advanced Handoff) Details) - 如果选中 合作伙伴网关 (Partner Gateway) 复选框,则可以使用该部分,您可以在其中配置以下设置:选项 描述 静态路由 (Static Routes) - 指定 SD-WAN 网关 应向 SD-WAN Edge 通告的子网或路由。这是每个 SD-WAN 网关 的全局配置,适用于所有客户。对于 BGP,只有在所有客户需要访问共享子网并且需要进行 NAT 切换时,才会使用该部分。 如果您没有需要向 SD-WAN Edge 通告的任何子网,并且切换类型为 NAT,请从静态路由列表中移除未使用的子网。
子网 (Subnets) 输入网关应向 Edge 通告的静态路由子网的 IP 地址。 成本 输入在路由上应用权重的成本。范围是 0 到 255。 加密 (Encrypt) 选中该复选框以对 Edge 和网关之间的流量进行加密。 切换 (Hand off) 选择 VLAN 或 NAT 以作为切换类型。 描述 (可选)输入静态路由的描述性文本。 ICMP 故障切换探测 (ICMP Failover Probe) - SD-WAN 网关 使用 ICMP 探测检查特定 IP 地址的可访问性;如果无法访问该 IP 地址,则通知 SD-WAN Edge 故障切换到辅助网关。 VLAN 标记 (VLAN Tagging) 从下拉列表中选择 VLAN 标记以应用于 ICMP 探测数据包。以下是可用选项: - 无 (None) - 未标记
- 802.1q - 单 VLAN 标记
- 802.1ad/QinQ(0x8100)/QinQ(0x9100) - 双 VLAN 标记
目标 IP 地址 (Destination IP address) 输入要执行 ping 操作的 IP 地址。 频率 (Frequency) 输入发送 ping 请求的时间间隔(以秒为单位)。范围是 1 到 60 秒。 阈值 (Threshold) 输入将路由标记为无法访问之前未收到 ping 回复的次数。范围是 1 到 10。 已启用 ICMP 响应程序 (ICMP Responder Enabled):允许 SD-WAN 网关 在隧道启动时响应来自下一跃点路由器的 ICMP 探测。 IP 地址 (IP address) 输入将响应 ping 请求的虚拟 IP 地址。 模式 (Mode) 从下拉列表中选择以下模式之一: - 条件 (Conditional) - 只有在启动了 SD-WAN 网关 服务并且启动了至少一个隧道时,该网关才会响应 ICMP 请求。
- 始终 (Always) - SD-WAN 网关 始终响应来自对等体的 ICMP 请求。
注: ICMP 探测参数是可选的;只有在您希望使用 ICMP 检查 SD-WAN 网关 的运行状况时,才建议使用这些参数。通过合作伙伴网关上的 BGP 支持功能,不再需要使用 ICMP 探测来进行故障切换和路由聚合。有关为合作伙伴网关配置 BGP 支持和切换设置的更多信息, 请参阅配置合作伙伴切换 。联系人和位置 (Contact & Location) - 在该部分中显示现有的联系人详细信息。如果需要,您可以修改该信息。Syslog 设置 (Syslog Settings) - 从 4.5 版本开始,网关可以通过远程 syslog 服务器或 Telegraf 将 NAT 信息导出到所需的目标。有关更多信息,请参阅 为网关配置 NAT 条目 syslog。Cloud Web Security - 如果启用了 Cloud Web Security 网关角色,则可以在此部分为 Cloud Web Security 配置通用网络虚拟化封装 (Geneve) 端点 IP 地址和接入点 (Points-of-Presence, PoP) 名称。客户使用情况 (Customer Usage) - 该部分显示分配给客户的不同类型的网关的使用情况详细信息。池成员资格 (Pool Membership) - 该部分显示将当前网关分配到的网关池的详细信息。
