您可以在合作伙伴门户中配置网关的属性和其他详细信息。

在创建新的网关时,您将自动重定向到配置网关 (Configure Gateways) 页面。

要配置现有的网关,请执行以下操作:

注: 您只能配置由合作伙伴用户创建的网关或由操作员创建的合作伙伴管理的网关。

过程

  1. 在合作伙伴门户中,单击网关 (Gateways)
  2. 网关 (Gateways) 页面显示可用的网关列表。单击一个网关的链接。将在配置网关 (Configure Gateways) 页面中显示选定网关的详细信息。
  3. 概览 (Overview) 选项卡中配置以下内容。
    属性 (Properties) - 在该部分中,将显示选定网关的现有“名称”(Name) 和“描述”(Description)。如果需要,您可以修改该信息。
    您还可以配置以下其他详细信息:
    选项 描述
    网关角色 (Gateway Roles) 根据需要,选中以下复选框:
    • 控制平面 (Control Plane):允许网关在控制平面中运行,默认选中该复选框。
    • CDE:允许网关在持卡人数据环境 (Cardholder Data Environment, CDE) 模式下运行。可以选择该选项为需要传输 PCI 流量的客户分配网关。
    • Cloud Web Security - 允许具有超级用户或标准角色的合作伙伴用户为 Cloud Web Security (CWS) 角色配置 SD-WAN 网关。有关更多信息,请参阅 https://docs.vmware.com/cn/VMware-Cloud-Web-Security/index.html 上发布的《VMware SD-WAN Cloud Web Security 配置指南》
    • 数据平面 (Data Plane):允许网关在数据平面中运行,默认选中该复选框。
    • 合作伙伴网关 (Partner Gateway):选中该复选框以允许将网关分配为 Edge 的合作伙伴网关。如果选择该选项,请在合作伙伴网关 (高级切换) 详细信息 (Partner Gateway (Advanced Handoff) Details) 部分中配置其他设置。
    • 安全 VPN 网关 (Secure VPN Gateway):选择该选项以使用网关建立到 非 SD-WAN 目标 的 IPSec 隧道。
    服务状态 (Service State) 从以下可用选项中选择网关的服务状态:
    • 服务中 (In Service):已连接网关并且网关可用。
    • 服务中断 (Out of Service):未连接网关。
    • 静默 (Quiesced):已静默或暂停网关服务。可以选择该状态以进行备份或维护。
    状态 (Status) 显示网关的状态,该状态反映发送到 Orchestrator 的定期检测信号成功或失败。以下是可用状态:
    • 已连接 (Connected):网关成功向 Orchestrator 发送检测信号。
    • 已降级 (Degraded):Orchestrator 在至少一分钟内未从网关收到检测信号。
    • 脱机 (Offline):Orchestrator 在至少两分钟内未从网关收到检测信号。
    连接的 Edge (Connected Edges) 显示连接到网关的 Edge 数。只有在激活了网关时,才会显示该选项。
    IP 地址 (IP Address)

    显示 Edge 的公用 WAN 链路在连接到网关时使用的公用 IP 地址。该 IP 地址用于唯一地标识网关。如果为网关同时配置了 IPv4 和 IPv6 地址,该字段将显示两个 IP 地址。

    如果创建了仅 IPv4 网关,或者从先前版本升级了现有 IPv4 网关,则可以输入 IPv6 地址以支持双栈。保存更改后,不会立即将 IPv6 地址发送到 Edge。您可以触发重新均衡操作以将 IPv6 地址手动推送到客户和关联的 Edge,否则,IPv6 地址将会在下次控制平面更新期间发送到 Edge。

    注: 添加 IPv6 地址是一次性活动,保存更改后,将无法修改 IP 地址。
    小心: 如果将配置错误的 IPv6 地址推送到 Edge,可能会导致到 IPv6 网关的 IPv6 隧道发生故障。在这种情况下,您需要停用网关并创建一个新网关,以便同时激活 IPv4 和 IPv6 地址。
    网关身份验证模式 (Gateway Authentication Mode) 从以下可用选项中选择网关的身份验证模式:
    • 已停用证书 (Certificate Deactivated):网关使用预共享密钥模式进行身份验证。
    • 获取证书 (Certificate Acquire):默认情况下,将选择该选项,并指示网关从 SD-WAN Orchestrator 的证书颁发机构中获取证书,方法是生成一个密钥对并向 Orchestrator 发送证书签名请求。在获取后,网关使用该证书在 SD-WAN Orchestrator 中进行身份验证并建立 VCMP 隧道。
      注: 在获取证书后,可以将该选项更新为 需要证书 (Certificate Required)
    • 需要证书 (Certificate Required):网关使用 PKI 证书。操作员可以使用系统属性 gateway.certificate.renewal.window 更改网关的证书续订时间段。
    注: 吊销网关证书后,网关不会收到证书吊销列表 (Certificate Revocation List, CRL),因为它会立即断开 TLS 连接。无论如何,网关仍可运行。
    注: 当前的 QuickSec 设计会检查 CRL 时间有效性。CRL 时间有效性必须与 Edge 的当前时间匹配,这样 CRL 才能对新建立的连接产生影响。要实施此操作,请确保正确更新 Orchestrator 时间,使其与 Edge 的日期和时间相匹配。
    合作伙伴网关 (高级切换) 详细信息 (Partner Gateway (Advanced Handoff) Details) - 如果选中 合作伙伴网关 (Partner Gateway) 复选框,则可以使用该部分,您可以在其中配置以下设置:
    选项 描述
    静态路由 (Static Routes) - 指定 SD-WAN 网关 应向 SD-WAN Edge 通告的子网或路由。这是每个 SD-WAN 网关 的全局配置,适用于所有客户。对于 BGP,只有在所有客户需要访问共享子网并且需要进行 NAT 切换时,才会使用该部分。

    如果您没有需要向 SD-WAN Edge 通告的任何子网,并且切换类型为 NAT,请从静态路由列表中移除未使用的子网。

    您可以单击 IPv4IPv6 选项卡,为“子网”(Subnets) 配置相应的地址类型。

    子网 (Subnets) 输入网关应向 Edge 通告的静态路由子网的 IPv4 或 IPv6 地址。
    成本 (Cost) 输入在路由上应用权重的成本。范围是 0 到 255。
    加密 (Encrypt) 选中该复选框以对 Edge 和网关之间的流量进行加密。
    切换 (Hand off) 选择 VLAN 或 NAT 以作为切换类型。
    描述 (Description) (可选)输入静态路由的描述性文本。
    ICMP 故障切换探测 (ICMP Failover Probe) - SD-WAN 网关 使用 ICMP 探测检查特定 IP 地址的可访问性;如果无法访问该 IP 地址,则通知 SD-WAN Edge 故障切换到辅助网关。此选项仅支持 IPv4 地址。
    VLAN 标记 (VLAN Tagging) 从下拉列表中选择 VLAN 标记以应用于 ICMP 探测数据包。以下是可用选项:
    • 无 (None) - 未标记
    • 802.1q - 单 VLAN 标记
    • 802.1ad/QinQ(0x8100)/QinQ(0x9100) - 双 VLAN 标记
    目标 IP 地址 (Destination IP address) 输入要执行 ping 操作的 IP 地址。
    频率 (Frequency) 输入发送 ping 请求的时间间隔(以秒为单位)。范围是 1 到 60 秒。
    阈值 (Threshold) 输入将路由标记为无法访问之前未收到 ping 回复的次数。范围是 1 到 10。
    已启用 ICMP 响应程序 (ICMP Responder Enabled):允许 SD-WAN 网关 在隧道启动时响应来自下一跃点路由器的 ICMP 探测。此选项仅支持 IPv4 地址。
    IP 地址 (IP address) 输入将响应 ping 请求的虚拟 IP 地址。
    模式 (Mode) 从下拉列表中选择以下模式之一:
    • 条件 (Conditional) - 只有在启动了 SD-WAN 网关 服务并且启动了至少一个隧道时,该网关才会响应 ICMP 请求。
    • 始终 (Always) - SD-WAN 网关 始终响应来自对等体的 ICMP 请求。
    注: ICMP 探测参数是可选的;只有在您希望使用 ICMP 检查 SD-WAN 网关 的运行状况时,才建议使用这些参数。通过合作伙伴网关上的 BGP 支持功能,不再需要使用 ICMP 探测来进行故障切换和路由聚合。有关为合作伙伴网关配置 BGP 支持和切换设置的更多信息, 请参阅配置合作伙伴切换
    联系人和位置 (Contact & Location) - 在该部分中显示现有的联系人详细信息。如果需要,您可以修改该信息。
    Syslog 设置 (Syslog Settings) - 从 4.5 版本开始,网关可以通过远程 Syslog 服务器或 Telegraf 将 NAT 信息导出到所需的目标。有关更多信息,请参阅在 https://docs.vmware.com/cn/VMware-SD-WAN/index.html 发布的 《VMware SD-WAN 操作员指南》中的 “为网关配置 NAT 条目 Syslog”一节。
    Cloud Web Security - 如果启用了 Cloud Web Security 网关角色,则可以在此部分为 Cloud Web Security 配置通用网络虚拟化封装 (Geneve) 端点 IP 地址和接入点 (Points-of-Presence, PoP) 名称。
    客户使用情况 (Customer Usage) - 该部分显示分配给客户的不同类型的网关的使用情况详细信息。
    池成员资格 (Pool Membership) - 该部分显示将当前网关分配到的网关池的详细信息。
  4. 在配置所需的详细信息后,单击保存更改 (Save Changes)