Wenn Sie ein neues Gateway erstellen, werden Sie automatisch zur Seite Gateways konfigurieren (Configure Gateways) weitergeleitet, auf der Sie die Eigenschaften und andere zusätzliche Einstellungen für das Gateway konfigurieren können.
So konfigurieren Sie ein vorhandenes Gateway:
Prozedur
- Klicken Sie im Partnerportal von SASE Orchestrator auf die Registerkarte Gateway-Verwaltung (Gateway Management) und wechseln Sie im linken Navigationsbereich zu Gateways.
Auf der Seite Gateways wird die Liste der verfügbaren Gateways angezeigt.
- Klicken Sie auf den Link zu einem Gateway, das für zusätzliche Einstellungen konfiguriert werden muss. Die Details des ausgewählten Gateways werden auf der Seite Gateways > konfigurieren (Configure Gateways) angezeigt.
- Auf der Registerkarte Übersicht (Overview) können Sie die folgenden Details konfigurieren:
Bereich Beschreibung Eigenschaften (Properties) Zeigt den vorhandenen Namen und die Beschreibung des ausgewählten Gateways an. Bei Bedarf können Sie die Informationen ändern. Sie können auch die Gateway-Rollen nach Bedarf konfigurieren:- Data Plane: Aktiviert den Betrieb des Gateways in der Datenebene und ist standardmäßig ausgewählt.
- Control Plane: Aktiviert den Betrieb des Gateways in der Control Plane und ist standardmäßig ausgewählt.
- Sicheres VPN-Gateway (Secure VPN Gateway): Klicken Sie auf die Option, um das Gateway für die Einrichtung eines IPsec-Tunnels zu einer Nicht-SD-WAN-Ziel zu verwenden.
- Partner-Gateway (Partner Gateway): Aktivieren Sie das Kontrollkästchen, damit das Gateway als Partner-Gateway für Edges zugewiesen werden kann. Wenn Sie diese Option auswählen, konfigurieren Sie die zusätzlichen Einstellungen im Abschnitt Details für Partner-Gateway (Erweiterte Übergabe) (Partner Gateway (Advanced Handoff) Details).
- CDE: Ermöglicht den Betrieb des Gateways im CDE-Modus (Cardholder Data Environment). Wählen Sie diese Option aus, um das Gateway für Kunden zuzuweisen, die PCI-Datenverkehr übertragen möchten.
- Cloud-to-Cloud Interconnect: Wählen Sie die Option, um Cloud-to-Cloud-Interconnect-Tunnel (CCI) auf den SD-WAN-Gateways zu aktivieren.
Hinweis: Diese Option „Gateway-Rolle (Gateway Role)“ wird angezeigt, wenn die
session.options.enableZscalerCci
-Systemeigenschaft aufTrue
festgelegt ist. - Cloud Web Security: Aktiviert einen Partnerbenutzer mit einer Superuser- oder Standardrolle, um ein SD-WAN Gateway für eine Cloud Web Security-Rolle (CWS) zu konfigurieren. Weitere Informationen finden Sie im VMware SD-WAN Cloud Web Security-Konfigurationshandbuch, veröffentlicht unter https://docs.vmware.com/de/VMware-Cloud-Web-Security/index.html.
Status Sie können die folgenden Details konfigurieren: - Status: Zeigt den Status des Gateways an, der den Erfolg oder Fehler periodischer Taktsignale widerspiegelt, die an den Orchestrator gesendet werden. Im Folgenden finden Sie die verfügbaren Status:
- Verbunden (Connected): Gateway sendet Taktsignale erfolgreich an den Orchestrator.
- Beeinträchtigt (Degraded): Der Orchestrator hat seit mindestens einer Minute nichts mehr vom Gateway gehört.
- Offline: Der Orchestrator hat seit mindestens zwei Minuten nichts mehr vom Gateway gehört.
- Dienststatus (Service State): Wählen Sie den Dienststatus des Gateways aus den folgenden verfügbaren Optionen aus:
- Aktiv (In Service): Das Gateway ist verbunden und für primäre oder sekundäre Tunnelzuweisungen verfügbar. Wenn der Dienststatus des Gateways von „Nicht in Betrieb“ zu „In Betrieb“ wechselt, werden die primären und sekundären Zuweisungen, Super-Gateways und Edge-zu-Edge-Routen für jedes Unternehmen, das das Gateway verwendet, neu berechnet.
- Ausstehender Dienst (Pending Service): Das Gateway ist verbunden und wartet auf Tunnelzuweisungen.
- Nicht in Betrieb (Out of Service): Das Gateway ist nicht verbunden oder für keine Zuweisungen verfügbar. Alle vorhandenen Zuweisungen werden entfernt.
- Stillgelegt (Quiesced): Der Gateway-Dienst ist stillgelegt oder angehalten. Dem Gateway können keine neuen Tunnel oder NSD-Standorte hinzugefügt werden. Die vorhandenen Zuweisungen verbleiben jedoch weiterhin im Gateway. Wählen Sie diesen Status für Sicherungs- oder Wartungszwecke aus.
Hinweis: Die Statusangaben Stillgelegt (Quiesced) und Nicht in Betrieb (Out of Service) gelten nur für die Cloud-Gateway-Bereitstellung.
Wenn es sich bei dem Dienststatus um Stillgelegt (Quiesced) handelt, bietet Orchestrator eine Self-Service-Migrationsfunktion, mit der Sie ohne Unterstützung Ihres Operators von Ihrem vorhandenen Gateway zu einem neuen Gateway migrieren können.
Weitere Informationen finden Sie unter Migrieren von stillgelegten Gateways.
Hinweis: Self-Service-Migration wird auf Partner-Gateways nicht unterstützt.
- Verbundene Edges (Connected Edges): Zeigt die Anzahl der mit dem Gateway verbundenen Edges an. Diese Option wird nur angezeigt, wenn das Gateway aktiviert ist.
- Gateway-Authentifizierungsmodus (Gateway Authentication Mode): Wählen Sie den Authentifizierungsmodus des Gateways aus den folgenden verfügbaren Optionen aus:
- Zertifikat deaktiviert (Certificate Deactivated): Das Gateway verwendet einen Authentifizierungsmodus mit vorinstalliertem Schlüssel.
- Zertifikat erwerben (Certificate Acquire): Diese Option ist standardmäßig aktiviert. Das Gateway wird angewiesen, ein Zertifikat von der Zertifizierungsstelle des SASE Orchestrator zu erwerben, indem ein Schlüsselpaar generiert und eine Zertifikatsignieranforderung an den Orchestrator gesendet wird. Nach dem Erwerb verwendet das Gateway das Zertifikat für die Authentifizierung beim SASE Orchestrator und für die Einrichtung der VCMP-Tunnel.
Hinweis: Nach dem Erwerb des Zertifikats kann die Option auf Zertifikat erforderlich (Certificate Required) aktualisiert werden.
- Zertifikat erforderlich (Certificate Required): Das Gateway verwendet das PKI-Zertifikat. Operatoren können das Zeitfenster für die Verlängerung von Zertifikaten für Gateways anhand der Systemeigenschaft
gateway.certificate.renewal.window
ändern.
Hinweis: Wenn das Gateway-Zertifikat widerrufen wird, empfängt das Gateway keine Zertifikatswiderrufsliste (Certificate Revocation List, CRL), da die TLS-Verbindung sofort unterbrochen wird. Das Gateway ist trotzdem weiterhin betriebsbereit.Hinweis: Im aktuellen QuickSec-Entwurf wird die Gültigkeitsdauer der Zertifikatswiderrufsliste überprüft. Die Gültigkeitsdauer der Zertifikatswiderrufsliste muss mit der aktuellen Uhrzeit der Edges übereinstimmen, damit die Zertifikatswiderrufsliste Auswirkungen auf die neu eingerichtete Verbindung hat. Stellen Sie zur Implementierung sicher, dass die Orchestrator-Zeit ordnungsgemäß aktualisiert wird und mit dem Datum und der Uhrzeit der Edges übereinstimmt. - IP-Adresse (IP Address): Zeigt die öffentliche IP-Adresse an, die öffentliche WAN-Links eines Edge für die Verbindung mit dem Gateway verwenden. Diese IP-Adresse wird verwendet, um das Gateway eindeutig zu identifizieren. Wenn Sie das Gateway sowohl mit IPv4- als auch mit IPv6-Adressen konfiguriert haben, werden in diesem Feld beide IP-Adressen angezeigt.
Wenn Sie nur ein IPv4-Gateway erstellt haben oder wenn ein vorhandenes IPv4-Gateway von früheren Versionen aktualisiert wurde, können Sie die IPv6-Adresse eingeben, um den Dual-Stack zu unterstützen. Nachdem Sie die Änderungen gespeichert haben, wird die IPv6-Adresse nicht sofort an die Edges gesendet. Sie können den Neuverteilungsvorgang auslösen, um die IPv6-Adresse manuell an den Kunden und die zugehörigen Edges zu übertragen, oder die IPv6-Adresse wird während der nächsten Aktualisierung der Steuerungsebene an die Edges gesendet.
Hinweis: Das Hinzufügen einer IPv6-Adresse ist eine einmalige Aktivität. Sobald Sie die Änderungen gespeichert haben, können Sie die IP-Adressen nicht mehr ändern.Vorsicht: Eine falsch konfigurierte IPv6-Adresse kann, wenn sie an Edges weitergegeben wird, zu einem Ausfall des IPv6-Tunnels zum IPv6-Gateway führen. In solchen Fällen müssen Sie das Gateway deaktivieren und ein neues erstellen, um sowohl die IPv4- als auch die IPv6-Adresse zu aktivieren.
Kontakt und Standort (Contact & Location) Zeigt die vorhandenen Kontaktdetails an. Bei Bedarf können Sie die Informationen ändern. Syslog-Einstellungen (Syslog Settings) Ab Version 4.5 können Gateways NAT-Informationen über einen Remote-Syslog-Server oder über Telegraf an das gewünschte Ziel exportieren. Weitere Informationen finden Sie im Abschnitt Konfigurieren des NAT-Eintrags Syslog für Gateways im VMware SD-WAN Operator-Handbuch, das unter https://docs.vmware.com/de/VMware-SD-WAN/index.html veröffentlicht wurde. Kundennutzung (Customer Usage) Zeigt die Nutzungsdetails verschiedener Typen von Gateways an, die den Kunden zugewiesen sind. Poolmitgliedschaft (Pool Membership) Zeigt die Details zu den Gateway-Pools an, denen das aktuelle Gateway zugewiesen ist. Details des Partner-Gateways (Erweiterte Übergabe) (Partner Gateway (Advanced Handoff) Details) Dieser Abschnitt ist nur verfügbar, wenn Sie das Kontrollkästchen Partner-Gateway (Partner Gateway) aktivieren. Sie können erweiterte Übergabeeinstellungen für das Partner-Gateway konfigurieren. Weitere Informationen finden Sie im Abschnitt Details des Partner-Gateways (Erweiterte Übergabe) (Partner Gateway (Advanced Handoff) Details) weiter unten. Cloud Web Security In diesem Abschnitt können Sie die IP-Adresse und den PoP-Namen (Points-of-Presence) des Geneve-Endpoints (Generic Network Virtualization Encapsulation) für Cloud Web Security konfigurieren, wenn die Cloud Web Security-Gateway-Rolle aktiviert ist. Details des Partner-Gateways (Erweiterte Übergabe) (Partner Gateway (Advanced Handoff) Details)Sie können die folgenden erweiterten Übergabeeinstellungen für das Partner-Gateway konfigurieren.
Option Beschreibung Statische Routen (Static Routes) | Subnetze (Subnets): Geben Sie die Subnetze oder Routen an, die das SD-WAN Gateway dem SD-WAN Edge annoncieren soll. Dies ist global pro SD-WAN Gateway und gilt für ALLE Kunden. Bei BGP wird dieser Abschnitt nur verwendet, wenn es ein gemeinsames Subnetz gibt, auf das alle Kunden zugreifen müssen, und wenn eine NAT-Übergabe erforderlich ist. Entfernen Sie die nicht verwendeten Subnetze aus der Liste der statischen Route, wenn Sie keine Subnetze haben, die Sie für den SD-WAN Edge annoncieren müssen, und die Übergabe den Typ NAT aufweist.
Sie können auf die Registerkarte IPv4 oder IPv6 klicken, um den entsprechenden Adresstyp für die Subnetze zu konfigurieren.
Subnetze (Subnets) Geben Sie die IPv4 IPv6-Adresse des Subnetzes der statischen Route ein, das vom Gateway beim Edge annonciert werden soll. Kosten (Cost) Geben Sie die Kosten ein, um Gewichtung auf die Routen anzuwenden. Der Bereich liegt zwischen 0 und 255. Verschlüsseln (Encrypt) Aktivieren Sie das Kontrollkästchen, um den Datenverkehr zwischen Edge und Gateway zu verschlüsseln. Übergabe (Hand off) Wählen Sie „VLAN“ oder „NAT“ als Übergabetyp aus. Beschreibung Geben Sie optional beschreibenden Text für die statische Route ein. Einstellungen für ICMP-Tests und Ping-Responder (ICMP Probes and Ping Responders Settings) ICMP-Failover-Test (ICMP Failover Probe): Das SD-WAN Gateway verwendet ICMP-Test zur Überprüfung der Erreichbarkeit einer bestimmten IP-Adresse und benachrichtigt den SD-WAN Edge, um ein Failover auf das sekundäre Gateway durchzuführen, wenn die IP-Adresse nicht erreichbar ist. Diese Option unterstützt nur IPv4-Adressen. VLAN-Tagging (VLAN Tagging) Wählen Sie das VLAN-Tag aus der Dropdown-Liste aus, um es auf die ICMP-Testpakete anzuwenden. Die folgenden Optionen sind verfügbar: - Keine (None) – Nicht gekennzeichnet.
- 802.1q – Einzelnes VLAN-Tag
- 802.1ad / QinQ(0x8100) / QinQ(0x9100) – Doppeltes VLAN-Tag
Ziel-IP-Adresse (Destination IP address) Geben Sie die IP-Adresse ein, die angepingt werden soll. Häufigkeit (Frequency) Geben Sie das Zeitintervall in Sekunden ein, um die Ping-Anforderung zu senden. Der Bereich liegt zwischen 1 und 60 Sekunden. Schwellenwert (Threshold) Geben Sie ein, wie oft die Ping-Antworten ausbleiben dürfen, um die Routen als unerreichbar zu markieren. Der Bereich liegt zwischen 1 und 10. ICMP-Responder (ICMP Responder): Dies ermöglicht es dem SD-WAN Gateway, auf den ICMP-Test des nächsten Hop-Routers zu reagieren, wenn dessen Tunnel in Betrieb sind. Diese Option unterstützt nur IPv4-Adressen. IP-Adresse (IP address) Geben Sie die virtuelle IP-Adresse ein, die auf die Ping-Anforderungen reagiert. Modus (Mode) Wählen Sie in der Dropdown-Liste einen der folgenden Modi aus: - Bedingt (Conditional): Das SD-WAN Gateway reagiert nur dann auf die ICMP-Anforderung, wenn der Dienst aktiv und mindestens ein Tunnel in Betrieb ist.
- Immer (Always): SD-WAN Gateway antwortet immer auf die ICMP-Anforderung vom Peer.
Hinweis: Die ICMP-Testparameter sind optional und werden nur empfohlen, wenn Sie ICMP zur Überprüfung der SD-WAN Gateway-Integrität verwenden möchten. Mit der BGP-Unterstützung auf dem Partner-Gateway ist die Verwendung des ICMP-Tests für Failover und Routenkonvergenz nicht mehr erforderlich. Weitere Informationen zum Konfigurieren der Unterstützung für BGP und den Übergabeeinstellungen für ein Partner-Gateway finden Sie unter Konfigurieren der Partnerübergabe. - Klicken Sie nach dem Konfigurieren der erforderlichen Einstellungen auf Änderungen speichern (Save Changes).