Sie können die Eigenschaften und anderen Details eines Gateways im Partner-Portal konfigurieren.
Beim Erstellen eines neuen Gateways werden Sie automatisch zur Seite Gateways konfigurieren (Configure Gateways) weitergeleitet.
So konfigurieren Sie ein vorhandenes Gateway:
Prozedur
- Klicken Sie im Partnerportal auf Gateways.
- Auf der Seite Gateways wird die Liste der verfügbaren Gateways angezeigt. Klicken Sie auf den Link zu einem Gateway. Die Details des ausgewählten Gateways werden auf der Seite Gateways konfigurieren (Configure Gateways) angezeigt.
- Konfigurieren Sie Folgendes auf der Registerkarte Übersicht (Overview).
Eigenschaften (Properties) – In diesem Abschnitt werden der vorhandene Name und die Beschreibung des ausgewählten Gateways angezeigt. Bei Bedarf können Sie die Informationen ändern.Sie können auch die folgenden zusätzlichen Details konfigurieren:
Option Beschreibung Gateway-Rollen (Gateway Roles) Aktivieren Sie die folgenden Kontrollkästchen, falls erforderlich: - Control Plane: Aktiviert den Betrieb des Gateways in der Control Plane und ist standardmäßig ausgewählt.
- CDE: Ermöglicht den Betrieb des Gateways im CDE-Modus (Cardholder Data Environment). Wählen Sie diese Option aus, um das Gateway für Kunden zuzuweisen, die PCI-Datenverkehr übertragen möchten.
- Cloud Web Security: Aktiviert einen Partnerbenutzer mit einer Superuser- oder Standardrolle, um ein SD-WAN Gateway für eine Cloud Web Security-Rolle (CWS) zu konfigurieren. Weitere Informationen finden Sie im VMware SD-WAN Cloud Web Security-Konfigurationshandbuch, veröffentlicht unter https://docs.vmware.com/de/VMware-Cloud-Web-Security/index.html.
- Datenebene (Data Plane): Aktiviert den Betrieb des Gateways in der Datenebene und ist standardmäßig ausgewählt.
- Partner-Gateway (Partner Gateway): Aktivieren Sie das Kontrollkästchen, damit das Gateway als Partner-Gateway für Edges zugewiesen werden kann. Wenn Sie diese Option auswählen, konfigurieren Sie die zusätzlichen Einstellungen im Abschnitt Details für Partner-Gateway (Erweiterte Übergabe) (Partner Gateway (Advanced Handoff) Details).
- Sicheres VPN-Gateway (Secure VPN Gateway): Klicken Sie auf die Option, um das Gateway für die Einrichtung eines IPSec-Tunnels zu einer Nicht-SD-WAN-Ziel zu verwenden.
Dienststatus (Service State) Wählen Sie den Dienststatus des Gateways aus den folgenden verfügbaren Optionen aus: - Im Dienst (In Service) : Das Gateway ist verbunden und verfügbar.
- Nicht in Betrieb (Out of Service): Das Gateway ist nicht verbunden.
- Stillgelegt (Quiesced): Der Gateway-Dienst ist stillgelegt oder angehalten. Wählen Sie diesen Status für Sicherungs- oder Wartungszwecke aus.
Status Zeigt den Status des Gateways an, der den Erfolg oder Fehler periodischer Taktsignale widerspiegelt, die an den Orchestrator gesendet werden. Im Folgenden finden Sie die verfügbaren Status: - Verbunden (Connected): Gateway sendet Taktsignale erfolgreich an den Orchestrator.
- Beeinträchtigt (Degraded): Der Orchestrator hat seit mindestens einer Minute nichts mehr vom Gateway gehört.
- Offline: Der Orchestrator hat seit mindestens zwei Minuten nichts mehr vom Gateway gehört.
Verbundene Edges Zeigt die Anzahl der mit dem Gateway verbundenen Edges an. Diese Option wird nur angezeigt, wenn das Gateway aktiviert ist. IP-Adresse (IP Address) Zeigt die öffentliche IP-Adresse an, die öffentliche WAN-Links eines Edge für die Verbindung mit dem Gateway verwenden. Diese IP-Adresse wird verwendet, um das Gateway eindeutig zu identifizieren. Wenn Sie das Gateway sowohl mit IPv4- als auch mit IPv6-Adressen konfiguriert haben, werden in diesem Feld beide IP-Adressen angezeigt.
Wenn Sie nur ein IPv4-Gateway erstellt haben oder wenn ein vorhandenes IPv4-Gateway von früheren Versionen aktualisiert wurde, können Sie die IPv6-Adresse eingeben, um den Dual-Stack zu unterstützen. Nachdem Sie die Änderungen gespeichert haben, wird die IPv6-Adresse nicht sofort an die Edges gesendet. Sie können den Neuverteilungsvorgang auslösen, um die IPv6-Adresse manuell an den Kunden und die zugehörigen Edges zu übertragen, oder die IPv6-Adresse wird während der nächsten Aktualisierung der Steuerungsebene an die Edges gesendet.
Hinweis: Das Hinzufügen einer IPv6-Adresse ist eine einmalige Aktivität. Sobald Sie die Änderungen gespeichert haben, können Sie die IP-Adressen nicht mehr ändern.Vorsicht: Eine falsch konfigurierte IPv6-Adresse kann, wenn sie an Edges weitergegeben wird, zu einem Ausfall des IPv6-Tunnels zum IPv6-Gateway führen. In solchen Fällen müssen Sie das Gateway deaktivieren und ein neues erstellen, um sowohl die IPv4- als auch die IPv6-Adresse zu aktivieren.Gateway-Authentifizierungsmodus (Gateway Authentication Mode) Wählen Sie den Authentifizierungsmodus des Gateways aus den folgenden verfügbaren Optionen aus: - Zertifikat deaktiviert (Certificate Deactivated): Das Gateway verwendet einen Authentifizierungsmodus mit vorinstalliertem Schlüssel.
- Zertifikat erwerben (Certificate Acquire): Diese Option ist standardmäßig aktiviert. Das Gateway wird angewiesen, ein Zertifikat von der Zertifizierungsstelle des SD-WAN Orchestrator zu erwerben, indem ein Schlüsselpaar generiert und eine Zertifikatsignieranforderung an den Orchestrator gesendet wird. Nach dem Erwerb verwendet das Gateway das Zertifikat für die Authentifizierung beim SD-WAN Orchestrator und für die Einrichtung der VCMP-Tunnel.
Hinweis: Nach dem Erwerb des Zertifikats kann die Option auf Zertifikat erforderlich (Certificate Required) aktualisiert werden.
- Zertifikat erforderlich (Certificate Required): Das Gateway verwendet das PKI-Zertifikat. Operatoren können das Zeitfenster für die Verlängerung von Zertifikaten für Gateways anhand der Systemeigenschaft
gateway.certificate.renewal.window
ändern.
Hinweis: Wenn das Gateway-Zertifikat widerrufen wird, empfängt das Gateway keine Zertifikatswiderrufsliste (Certificate Revocation List, CRL), da die TLS-Verbindung sofort unterbrochen wird. Das Gateway ist trotzdem weiterhin betriebsbereit.Hinweis: Im aktuellen QuickSec-Entwurf wird die Gültigkeitsdauer der Zertifikatswiderrufsliste überprüft. Die Gültigkeitsdauer der Zertifikatswiderrufsliste muss mit der aktuellen Uhrzeit der Edges übereinstimmen, damit die Zertifikatswiderrufsliste Auswirkungen auf die neu eingerichtete Verbindung hat. Stellen Sie zur Implementierung sicher, dass die Orchestrator-Zeit ordnungsgemäß aktualisiert wird und mit dem Datum und der Uhrzeit der Edges übereinstimmt.Details für Partner-Gateway (Erweiterte Übergabe) (Partner Gateway (Advanced Handoff) Details) – Dieser Abschnitt ist verfügbar, wenn Sie das Kontrollkästchen Partner-Gateway (Partner Gateway) aktivieren, und Sie können die folgenden Einstellungen konfigurieren:Option Beschreibung Statische Routen (Static Routes): Geben Sie die Subnetze oder Routen an, die das SD-WAN Gateway dem SD-WAN Edge annoncieren soll. Dies ist global pro SD-WAN Gateway und gilt für ALLE Kunden. Bei BGP wird dieser Abschnitt nur verwendet, wenn es ein gemeinsames Subnetz gibt, auf das alle Kunden zugreifen müssen, und wenn eine NAT-Übergabe erforderlich ist. Entfernen Sie die nicht verwendeten Subnetze aus der Liste der statischen Route, wenn Sie keine Subnetze haben, die Sie für den SD-WAN Edge annoncieren müssen, und die Übergabe den Typ NAT aufweist.
Sie können auf die Registerkarte IPv4 oder IPv6 klicken, um den entsprechenden Adresstyp für die Subnetze zu konfigurieren.
Subnetze (Subnets) Geben Sie die IPv4 IPv6-Adresse des Subnetzes der statischen Route ein, das vom Gateway beim Edge annonciert werden soll. Kosten (Cost) Geben Sie die Kosten ein, um Gewichtung auf die Routen anzuwenden. Der Bereich liegt zwischen 0 und 255. Verschlüsseln (Encrypt) Aktivieren Sie das Kontrollkästchen, um den Datenverkehr zwischen Edge und Gateway zu verschlüsseln. Übergabe (Hand off) Wählen Sie „VLAN“ oder „NAT“ als Übergabetyp aus. Beschreibung (Description) Geben Sie optional beschreibenden Text für die statische Route ein. ICMP-Failover-Test (ICMP Failover Probe): Das SD-WAN Gateway verwendet ICMP-Test zur Überprüfung der Erreichbarkeit einer bestimmten IP-Adresse und benachrichtigt den SD-WAN Edge, um ein Failover auf das sekundäre Gateway durchzuführen, wenn die IP-Adresse nicht erreichbar ist. Diese Option unterstützt nur IPv4-Adressen. VLAN-Tagging (VLAN Tagging) Wählen Sie das VLAN-Tag aus der Dropdown-Liste aus, um es auf die ICMP-Testpakete anzuwenden. Die folgenden Optionen sind verfügbar: - Keine (None) – Nicht gekennzeichnet.
- 802.1q – Einzelnes VLAN-Tag
- 802.1ad / QinQ(0x8100) / QinQ(0x9100) – Doppeltes VLAN-Tag
Ziel-IP-Adresse (Destination IP address) Geben Sie die IP-Adresse ein, die angepingt werden soll. Häufigkeit (Frequency) Geben Sie das Zeitintervall in Sekunden ein, um die Ping-Anforderung zu senden. Der Bereich liegt zwischen 1 und 60 Sekunden. Schwellenwert (Threshold) Geben Sie ein, wie oft die Ping-Antworten ausbleiben dürfen, um die Routen als unerreichbar zu markieren. Der Bereich liegt zwischen 1 und 10. ICMP-Responder aktiviert (ICMP Responder Enabled): Dies ermöglicht es dem SD-WAN Gateway, auf den ICMP-Test des Routers für nächsten Hop zu reagieren, wenn dessen Tunnel in Betrieb sind. Diese Option unterstützt nur IPv4-Adressen. IP-Adresse (IP address) Geben Sie die virtuelle IP-Adresse ein, die auf die Ping-Anforderungen reagiert. Modus (Mode) Wählen Sie in der Dropdown-Liste einen der folgenden Modi aus: - Bedingt (Conditional): Das SD-WAN Gateway reagiert nur dann auf die ICMP-Anforderung, wenn der Dienst aktiv und mindestens ein Tunnel in Betrieb ist.
- Immer (Always): SD-WAN Gateway antwortet immer auf die ICMP-Anforderung vom Peer.
Hinweis: Die ICMP-Testparameter sind optional und werden nur empfohlen, wenn Sie ICMP zur Überprüfung der SD-WAN Gateway-Integrität verwenden möchten. Mit der BGP-Unterstützung auf dem Partner-Gateway ist die Verwendung des ICMP-Tests für Failover und Routenkonvergenz nicht mehr erforderlich. Weitere Informationen zum Konfigurieren der Unterstützung für BGP und der Übergabeeinstellungen für ein Partner-Gateway finden Sie unter Konfigurieren der Partnerübergabe .Kontakt und Standort (Contact & Location): Die vorhandenen Kontaktdetails werden in diesem Abschnitt angezeigt. Bei Bedarf können Sie die Informationen ändern.Syslog-Einstellungen (Syslog Settings) – Ab Version 4.5 können Gateways NAT-Informationen über einen Remote-Syslog-Server oder über Telegraf zum gewünschten Ziel exportieren. Weitere Informationen finden Sie im Abschnitt Konfigurieren des NAT-Eintrags Syslog für Gateways im VMware SD-WAN Operator-Handbuch, das unter https://docs.vmware.com/de/VMware-SD-WAN/index.html veröffentlicht wurde.Cloud Web Security – In diesem Abschnitt können Sie die IP-Adresse und den PoP-Namen (Points-of-Presence) des Geneve-Endpoints (Generic Network Virtualization Encapsulation) für Cloud Web Security konfigurieren, wenn die Cloud Web Security-Gateway-Rolle aktiviert ist.Kundennutzung (Customer Usage): In diesem Abschnitt werden die Nutzungsdetails verschiedener Typen von Gateways angezeigt, die den Kunden zugewiesen sind.Poolmitgliedschaft (Pool Membership): In diesem Abschnitt werden die Details zu den Gateway-Pools angezeigt, denen das aktuelle Gateway zugewiesen ist. - Klicken Sie nach dem Konfigurieren der erforderlichen Einstellungen auf Änderungen speichern (Save Changes).