Při vytváření nové brány budete automaticky přesměrováni na stránku Konfigurace bran (Configure Gateways), kde můžete nakonfigurovat vlastnosti a další nastavení brány.
Konfigurace existující brány:
Procedura
- Na portálu partnera SASE Orchestrator klikněte na kartu Správa brány (Gateway Management) a přejděte do nabídky Brány (Gateways) v levém navigačním podokně.
Stránka Brány (Gateways) obsahuje seznam dostupných bran.
- Pro další nastavení klikněte na odkaz na bránu, kterou je třeba nakonfigurovat. Detaily vybrané brány naleznete na stránce Konfigurace (Configure) > Brány (Gateways).
- Na kartě Přehled (Overview) můžete konfigurovat následující údaje:
Pole Popis Vlastnosti (Properties) Zobrazuje stávající název a popis vybrané brány. Je-li třeba, můžete tyto informace modifikovat. Role brány můžete rovněž nakonfigurovat podle potřeby:- Datová rovina (Data Plane) – pole je ve výchozím nastavení označeno a umožňuje bráně pracovat na datové rovině.
- Řídicí rovina (Control Plane) – pole je ve výchozím nastavení označeno a umožňuje bráně pracovat na řídicí rovině.
- Zabezpečená brána VPN (Secure VPN Gateway) – tuto možnost použijte v případě, že chcete vytvořit tunel IPsec k Cíl jiný než SD-WAN.
- Brána partnera (Partner Gateway) – označením pole povolíte přiřazení brány jako brány partnera pro zařízení Edge. Pokud vyberete tuto možnost, je nutné nakonfigurovat dodatečná nastavení v části Detaily brány partnera (rozšířené předávání) (Partner Gateway (Advanced Hand Off) Details).
- CDE – umožňuje, aby brána fungovala v režimu CDE (Cardholder Data Environment). Tuto možnost vyberte v případě, že chcete bránu přiřadit zákazníkům, kteří vyžadují možnost přenášet data PCI.
- Propojení mezi cloudy – Tuto možnost vyberte, chcete-li povolit tunely CCI (cloud-to-cloud-interconnect) na branách SD-WAN.
Poznámka: Tato role brány se zobrazuje, pokud je systémová vlastnost
session.options.enableZscalerCci
nastavena na hodnotuTrue
. - Cloud Web Security – Povoluje uživateli partnera s rolí primárního uživatele nebo standardní rolí konfigurovat roli Brána SD-WAN Gateway pro Cloud Web Security (CWS). Další informace naleznete v části Průvodce konfigurací webového zabezpečení cloudu VMware SD-WAN publikované v https://docs.vmware.com/cz/VMware-Cloud-Web-Security/index.html.
Stav (Status) Můžete konfigurovat následující údaje: - Stav (Status) – informuje o stavu brány, který odráží úspěšné nebo neúspěšné periodické přijetí prezenčních signálů, které byly odeslány do systému Orchestrator. K dispozici jsou následující stavy:
- Připojeno (Connected) – brána úspěšně odesílá prezenční signály do systému Orchestrator.
- Sníženo (Degraded) – systém Orchestrator neobdržel z brány alespoň jednu minutu žádný prezenční signál.
- Offline – systém Orchestrator neobdržel z brány alespoň dvě minuty žádný prezenční signál.
- Stav služby (Service State) – z následujících dostupných možností zvolte provozní stav služby brány:
- V provozu (In Service): brána je připojená a dostupná pro přiřazení primárního a sekundárního tunelového propojení. Když se stav služby brány přepne ze stavu Mimo provoz do stavu V provozu, primární nebo sekundární přiřazení, směry super brány a Edge-Edge se přepočítají pro každý podnik používající bránu.
- Nevyřízená služba (Pending Service) – brána je připojena a čeká na přiřazení tunelového propojení.
- Mimo provoz (Out of Service) – brána není připojena nebo není dostupná pro žádná přiřazení. Všechna existující přiřazení jsou odstraněna.
- Ztišeno (Quiesced) – provoz brány byl pozastaven nebo je brána ztišena. Do brány nelze přidat žádné nové tunely ani lokality NSD. Stávající přiřazení však stále zůstanou v bráně. Tento stav vyberte pro účely zálohování nebo údržby.
Když je stav služby Ztišeno (Quiesced), poskytuje systému Orchestrator samoobslužnou funkci migrace, která vám umožňuje migrovat z vaší stávající brány na novou bránu bez podpory vašeho operátora.
Další informace naleznete v tématu Migrace nečinných bran.
Poznámka: Na branách partnera není samoobslužná migrace podporována.
- Připojené Edge (Connected Edges) – zobrazuje počet Edge, které jsou připojeny k bráně. Tato možnost se zobrazuje pouze v případě, že je brána aktivována.
- Režim autentizace brány (Gateway Authentication Mode) – z následujících dostupných možností zvolte režim autentizace brány:
- Certifikát deaktivován (Certificate Deactivated) – brána využívá režim autentizace předem sdíleného klíče.
- Získání certifikátu (Certificate Acquire) – tato možnost je vybrána ve výchozím nastavení a uděluje bráně pokyn získat certifikát od certifikační autority SASE Orchestrator vygenerováním páru klíčů a odesláním žádosti o podepsání certifikátu do systému Orchestrator. Jakmile je získán, brána certifikát použije pro autentizaci SASE Orchestrator a pro vytvoření tunelových propojení VCMP.
Poznámka: Po získání certifikátu lze tuto volbu aktualizovat na Certifikát je povinný (Certificate Required).
- Certifikát je povinný (Certificate Required) – brána používá certifikát PKI. Operátoři mohou změnit časové okno pro obnovení certifikátu pro brány prostřednictvím systémové vlastnosti
gateway.certificate.renewal.window
.
Poznámka: Pokud byl certifikát brány odvolán, brána (Gateway) neobdrží seznam odvolaných certifikátů (CRL), protože okamžitě ztratí připojení k TLS. Brána (Gateway) nicméně zůstává funkční.Poznámka: Aktuální návrh QuickSec ověří časové razítko na seznamu CRL. Časové razítko CRL musí odpovídat aktuálnímu času u zařízení Edge. Jinak seznam CRL nebude mít vliv na nově navázaná připojení. Při implementaci tohoto systému se ujistěte, že byl čas v aplikaci Orchestrator správně aktualizován a odpovídá datu a času v zařízení Edge. - IP adresa (IP Address) – zobrazení veřejné IP adresy, kterou veřejné linky WAN zařízení Edge používají k připojení k bráně. Tato adresa IP se používá k jedinečné identifikaci brány. Pokud jste nakonfigurovali bránu s adresami IPv4 i IPv6, zobrazí se v tomto poli obě adresy IP.
Jestliže jste vytvořili pouze bránu IPv4 nebo pokud je upgradována existující brána IPv4 z předchozích verzí, můžete zadat adresu IPv6 a podpořit duální režim. Po uložení změn se adresa IPv6 neodesílá do zařízení Edge okamžitě. Můžete spustit operaci vyrovnání a poslat adresu IPv6 zákazníkovi a přidruženým zařízením Edge ručně, případně se adresa IPv6 odešle do zařízení Edge během další aktualizace řídicí roviny.
Poznámka: Přidání adresy IPv6 je jednorázová aktivita, a jakmile změny uložíte, nelze IP adresy modifikovat.Varování: Nesprávně nakonfigurovaná adresa IPv6 (při poslání do zařízení Edge) může vést k selhání tunelu IPv6 do brány IPv6. V takových případech je nutné bránu deaktivovat a pro aktivaci adres IPv4 i IPv6 vytvořit novou.
Kontakt a umístění (Contact & Location) Zobrazí existující kontaktní údaje. Je-li třeba, můžete tyto informace modifikovat. Nastavení Syslogu (Syslog Settings) Od verze 4.5 mohou brány exportovat informace NAT prostřednictvím vzdáleného serveru syslog nebo přes telegraf do požadovaného cíle. Další informace naleznete v tématu Konfigurace syslogu položek NAT pro brány v příručce operátora VMware SD-WAN na adrese https://docs.vmware.com/cz/VMware-SD-WAN/index.html. Spotřeba zákazníka (Customer Usage) Zobrazuje údaje o využití různých druhů bran přiřazených zákazníkům. Členství ve fondu zdrojů (Pool Membership) Zobrazuje údaje o fondech bran, ke kterým je současná brána přiřazena. Údaje o bráně partnera (pokročilé předávání) (Partner Gateway (Advanced Handoff) Details) Tato část je k dispozici pouze v případě, že zaškrtnete políčko Brána partnera (Partner Gateway). Můžete nakonfigurovat rozšířená nastavení předání pro bránu partnera. Další informace naleznete v části Údaje o bráně partnera (pokročilé předávání) (Partner Gateway (Advanced Handoff) Details) níže. Cloud Web Security V této části můžete nakonfigurovat IP adresu koncového bodu (Geneve) zapouzdření virtualizace obecné sítě a název PoP pro Cloud Web Security, pokud je aktivována role brány Cloud Web Security. Údaje o bráně partnera (pokročilé předávání) (Partner Gateway (Advanced Handoff) Details)Můžete nakonfigurovat následující rozšířená nastavení předávání pro bránu partnera:
Možnost Popis Statické směry (Static Routes) | Podsítě (Subnets): definice podsítí nebo směrů, které by měl Brána SD-WAN Gateway oznamovat do Zařízení SD-WAN Edge. Toto nastavení je pro Brána SD-WAN Gateway globální a platí pro VŠECHNY zákazníky. S protokolem BGP se tato část používá pouze v případě, že existuje sdílená podsíť, ke které mají mít přístup všichni zákazníci, a je požadován překlad adres NAT. Ze seznamu statických směrů odeberte nepoužívané podsítě, pokud nemáte žádné podsítě, které potřebujete oznamovat do systému Zařízení SD-WAN Edge, a používáte překlad síťových adres NAT.
Můžete kliknout na kartu IPv4 nebo IPv6 a nakonfigurovat odpovídající typ adresy pro podsítě.
Podsítě (Subnets) Zadejte IP adresu IPv4 nebo IPv6 podsítě statické směru, kterou má brána oznamovat pro zařízení Edge. Vytížení (Cost) Definujte vytížení jednotlivých směrů. Povolený rozsah je od 0 do 255. Šifrování (Encrypt) Označením pole zašifrujte přenášená data mezi zařízením Edge a bránou. Předání (Hand off) Vyberte typ předání VLAN nebo NAT. Popis (Description) Volitelně zadejte popisný text statické směru. Nastavení ICMP sond a odpovídačů na příkaz ping (ICMP Probes and Ping Responders Settings) Zjišťování převzetí služeb při selhání ICMP (ICMP Failover Probe) – Brána SD-WAN Gateway používá sondu ICMP pro kontrolu dostupnosti konkrétní IP adresy a upozorní Zařízení SD-WAN Edge na převzetí služeb sekundární bránou v případě, že IP adresa není dosažitelná. Tato možnost podporuje pouze adresy IPv4. Značkování VLAN (VLAN Tagging) Z rozevíracího seznamu vyberte značku VLAN, kterou chcete použít pro pakety ICMP sondy. K dispozici jsou následující možnosti: - Žádný (None) – bez přiřazené značky.
- 802.1q – jedna značka VLAN
- 802.1ad / QinQ(0x8100) / QinQ(0x9100) – duální značky VLAN
Cílová IP adresa (Destination IP address) Zadejte IP adresu, na kterou chcete odeslat požadavek ping. Frekvence (Frequency) Zadejte časový interval (v sekundách) pro odeslání požadavku ping. Povolený rozsah je od 1 do 60 sekund. Práh (Threshold) Zadejte počet neúspěšných odpovědí na požadavek ping, které způsobí označení směrů jako nedosažitelných. Povolený rozsah je od 1 do 10. Odpovídač ICMP (ICMP Responder) – umožní, aby Brána SD-WAN Gateway reagovala na sondu ICMP ze směrovače na dalším skoku, jsou-li jejich tunelová propojení aktivní. Tato možnost podporuje pouze adresy IPv4. IP adresa (IP address) Zadejte virtuální IP adresu, která bude odpovídat na požadavky ping. Režim (Mode) Z rozevírací nabídky zvolte jeden z následujících režimů: - Podmíněný (Conditional) – Brána SD-WAN Gateway odpoví na požadavek ICMP pouze v případě, že je její služba aktivní a je aktivní alespoň jedno tunelové propojení.
- Vždy (Always) – Brána SD-WAN Gateway vždy odpoví na požadavek ICMP z uzlu druhé strany.
Poznámka: Parametry ICMP sondy jsou volitelné a doporučují se pouze v případě, že chcete použít protokol ICMP ke kontrole stavu brány Brána SD-WAN Gateway. S podporou protokolu BGP na partnerské bráně již není použití ICMP sondy pro převzetí služeb při selhání a konvergenci směru vyžadováno. Další informace o konfiguraci podpory protokolu BGP a nastavení předání do brány partnera naleznete v tématu Konfigurace předání partnera. - Po nakonfigurování potřebného nastavení klikněte na tlačítko Uložit změny (Save Changes).