Vlastnosti a další údaje brány můžete nakonfigurovat na portálu operátora.
Při vytváření nové brány budete automaticky přesměrováni na stránku Konfigurace bran (Configure Gateways).
Konfigurace existující brány:
Procedura
- Na portálu operátora klikněte na možnost Brány (Gateways).
- Otevře se stránka Brány (Gateways) se seznamem dostupných bran. Klikněte na odkaz na bránu. Detaily vybrané brány naleznete na stránce Konfigurace bran (Configure Gateways).
- Následující vlastnosti můžete konfigurovat na kartě Přehled (Overview).
Vlastnosti (Properties) – v této části najdete současný název a popis vybrané brány. Je-li třeba, můžete tyto informace modifikovat.Můžete měnit také následující doplňující údaje:
Možnost Popis (Description) Role brány (Gateway Roles) Podle potřeby označte následující pole: - Řídicí rovina (Control Plane): pole je ve výchozím nastavení označeno a umožňuje bráně pracovat na řídicí rovině.
- CDE: umožňuje, aby brána fungovala v režimu CDE (Cardholder Data Environment). Tuto možnost vyberte v případě, že chcete bránu přiřadit zákazníkům, kteří vyžadují možnost přenášet data PCI.
- Cloud Web Security – Povoluje uživateli operátora s rolí primárního uživatele nebo standardní rolí konfigurovat roli Brána SD-WAN Gateway pro Cloud Web Security (CWS). Další informace naleznete v části Průvodce konfigurací webového zabezpečení cloudu VMware SD-WAN publikované v https://docs.vmware.com/cz/VMware-Cloud-Web-Security/index.html.
- Datová rovina (Data Plane): pole je ve výchozím nastavení označeno a umožňuje bráně pracovat na datové rovině.
- Brána partnera (Partner Gateway): označením pole povolíte přiřazení brány jako brány partnera pro zařízení Edge. Pokud vyberete tuto možnost, je nutné nakonfigurovat dodatečná nastavení v části Detaily brány partnera (rozšířené předávání) (Partner Gateway (Advanced Hand Off) Details).
- Zabezpečená brána VPN (Secure VPN Gateway): tuto možnost použijte v případě, že chcete vytvořit tunel IPsec k Cíl jiný než SD-WAN.
Stav služby (Service State) Z následujících dostupných možností zvolte provozní stav služby brány: - V provozu (In Service): brána je připojená a dostupná.
- Mimo provoz (Out of Service): brána není připojena.
- Ztišeno (Quiesced): provoz brány byl pozastaven nebo je brána ztišena. Tento stav vyberte pro účely zálohování nebo údržby.
Stav (Status) Informuje o stavu brány, který odráží úspěšné nebo neúspěšné periodické přijetí prezenčních signálů, které byly odeslány do nástroje Orchestrator. K dispozici jsou následující stavy: - Připojeno (Connected): brána úspěšně odesílá prezenční signály do nástroje Orchestrator.
- Sníženo (Degraded): nástroj Orchestrator neobdržel z brány alespoň jednu minutu žádný prezenční signál.
- Offline: nástroj Orchestrator neobdržel z brány alespoň dvě minuty žádný prezenční signál.
Připojené Edge Zobrazuje počet zařízení Edge připojených k bráně. Tato možnost se zobrazuje pouze v případě, že je brána aktivována. IP adresa (IP Address) Zobrazení veřejné IP adresy, kterou veřejné linky WAN zařízení Edge používají k připojení k bráně. Tato adresa IP se používá k jedinečné identifikaci brány. Pokud jste nakonfigurovali bránu s adresami IPv4 i IPv6, zobrazí se v tomto poli obě adresy IP.
Jestliže jste vytvořili pouze bránu IPv4 nebo pokud je upgradována existující brána IPv4 z předchozích verzí, můžete zadat adresu IPv6 a podpořit duální režim. Po uložení změn se adresa IPv6 neodesílá do zařízení Edge okamžitě. Můžete spustit operaci vyrovnání a poslat adresu IPv6 zákazníkovi a přidruženým zařízením Edge ručně, případně se adresa IPv6 odešle do zařízení Edge během další aktualizace řídicí roviny.
Poznámka: Přidání adresy IPv6 je jednorázová aktivita, a jakmile změny uložíte, nelze IP adresy modifikovat.Varování: Nesprávně nakonfigurovaná adresa IPv6 (při poslání do zařízení Edge) může vést k selhání tunelu IPv6 do brány IPv6. V takových případech je nutné bránu deaktivovat a pro aktivaci adres IPv4 i IPv6 vytvořit novou.Režim autentizace brány (Gateway Authentication Mode) Z následujících dostupných možností zvolte režim autentizace brány: - Certifikát není vyžadován (Certificate Not Required): Brána využívá režim autentizace předem sdíleného klíče.
- Získání certifikátu (Certificate Acquire): Tato možnost je vybrána ve výchozím nastavení a uděluje bráně pokyn získat certifikát od certifikační autority SD-WAN Orchestrator vygenerováním páru klíčů a odesláním žádosti o podepsání certifikátu do systému Orchestrator. Jakmile je získán, brána certifikát použije pro autentizaci SD-WAN Orchestrator a pro vytvoření tunelových propojení VCMP.
Poznámka: Po získání certifikátu lze tuto volbu aktualizovat na Certifikát je povinný (Certificate Required).
- Certifikát je povinný (Certificate Required): Brána používá certifikát PKI. Operátoři mohou změnit časové okno pro obnovení certifikátu pro brány prostřednictvím systémové vlastnosti
gateway.certificate.renewal.window
.
Detaily brány partnera (rozšířené předávání) (Partner Gateway (Advanced Hand Off) Details): tato část bude k dispozici v případě, že označíte pole Brána partnera (Partner Gateway), a umožňuje konfiguraci následujícího nastavení:Možnost Popis (Description) Statické směru (Static Routes): definice podsítí nebo směrů, které by měl Brána SD-WAN Gateway oznamovat do Zařízení SD-WAN Edge. Toto nastavení je pro Brána SD-WAN Gateway globální a platí pro VŠECHNY zákazníky. S protokolem BGP se tato část používá pouze v případě, že existuje sdílená podsíť, ke které mají mít přístup všichni zákazníci, a je požadován překlad adres NAT. Ze seznamu statických směrů odeberte nepoužívané podsítě, pokud nemáte žádné podsítě, které potřebujete oznamovat do systému Zařízení SD-WAN Edge, a používáte překlad síťových adres NAT.
Podsítě (Subnets) Zadejte IP adresu podsítě statické směru, kterou má brána oznamovat pro zařízení Edge. Vytížení (Cost) Definujte vytížení jednotlivých směrů. Povolený rozsah je od 0 do 255. Šifrování (Encrypt) Označením pole zašifrujte přenášená data mezi zařízením Edge a bránou. Předání (Hand off) Vyberte typ předání VLAN nebo NAT. Popis (Description) Volitelně zadejte popisný text statické směru. Zjišťování převzetí služeb při selhání ICMP (ICMP Failover Probe) – Brána SD-WAN Gateway používá sondu ICMP pro kontrolu dostupnosti konkrétní IP adresy a upozorní Zařízení SD-WAN Edge na převzetí služeb sekundární bránou v případě, že IP adresa není dosažitelná. Značkování VLAN (VLAN Tagging) Z rozevíracího seznamu vyberte značku VLAN, kterou chcete použít pro pakety ICMP sondy. K dispozici jsou následující možnosti: - Žádný (None) – bez přiřazené značky.
- 802.1q – jedna značka VLAN
- 802.1ad / QinQ(0x8100) / QinQ(0x9100) – duální značky VLAN
Cílová IP adresa (Destination IP address) Zadejte IP adresu, na kterou chcete odeslat požadavek ping. Frekvence (Frequency) Zadejte časový interval (v sekundách) pro odeslání požadavku ping. Povolený rozsah je od 1 do 60 sekund. Práh (Threshold) Zadejte počet neúspěšných odpovědí na požadavek ping, které způsobí označení směrů jako nedosažitelných. Povolený rozsah je od 1 do 10. Je aktivován odpovídač ICMP (ICMP Responder Enabled): umožní, aby Brána SD-WAN Gateway reagovala na sondu ICMP z dalšího směrovače na mezikroku, jsou-li jejich tunelová propojení aktivní. IP adresa (IP address) Zadejte virtuální IP adresu, která bude odpovídat na požadavky ping. Režim (Mode) Z rozevírací nabídky zvolte jeden z následujících režimů: - Podmíněný (Conditional) – Brána SD-WAN Gateway odpoví na požadavek ICMP pouze v případě, že je její služba aktivní a je aktivní alespoň jedno tunelové propojení.
- Vždy (Always) – Brána SD-WAN Gateway vždy odpoví na požadavek ICMP z uzlu druhé strany.
Poznámka: Parametry ICMP sondy jsou volitelné a doporučují se pouze v případě, že chcete použít protokol ICMP ke kontrole stavu brány Brána SD-WAN Gateway. S podporou protokolu BGP na partnerské bráně již není použití ICMP sondy pro převzetí služeb při selhání a konvergenci směru vyžadováno. Další informace o konfiguraci podpory protokolu BGP a nastavení předání do brány partnera naleznete v tématu Konfigurace předání partnera .Kontakt a umístění (Contact & Location) – v této části najdete stávající kontaktní údaje. Je-li třeba, můžete tyto informace modifikovat.Nastavení syslogu (Syslog Settings) – od verze 4.5 mohou brány exportovat informace NAT prostřednictvím vzdáleného serveru syslog nebo přes telegraf do požadovaného cíle. Další informace naleznete v tématu Konfigurace syslogu položek NAT pro brány.Cloud Web Security – V této části můžete nakonfigurovat IP adresu koncového bodu (Geneve) zapouzdření virtualizace obecné sítě a název PoP pro Cloud Web Security, pokud je aktivována role brány Cloud Web Security.Spotřeba zákazníka (Customer Usage) – v této části najdete detaily využití různých druhů bran přiřazených zákazníkům.Členství ve fondu zdrojů (Pool Membership) – v této části najdete detaily o fondech bran, ke kterým je současná brána přiřazena. - Po nakonfigurování potřebného nastavení klikněte na tlačítko Uložit změny (Save Changes).