Puede configurar las propiedades y otros detalles de una puerta de enlace en el portal de operadores.

Al crear una nueva puerta de enlace, se le redirigirá automáticamente a la página Configurar puertas de enlace (Configure Gateways).

Para configurar una puerta de enlace existente:

Procedimiento

  1. En el portal de operadores, haga clic en Puertas de enlace (Gateways).
  2. La página Puertas de enlace (Gateways) muestra la lista de puertas de enlace disponibles. Haga clic en el vínculo a una puerta de enlace. Los detalles de la puerta de enlace seleccionada se muestran en la página Configurar puertas de enlace (Configure Gateways).
  3. Configure las siguientes opciones en la pestaña Descripción general (Overview).
    Propiedades (Properties): en esta sección, se muestran el nombre y la descripción existentes de la puerta de enlace seleccionada. Si es necesario, puede modificar la información.
    También puede configurar los siguientes detalles adicionales:
    Opción Descripción
    Funciones de puerta de enlace (Gateway Roles) Seleccione las siguientes casillas de verificación, según sea necesario:
    • Plano de control (Control Plane): permite que la puerta de enlace funcione en el plano de control y está seleccionada de forma predeterminada.
    • CDE: permite que la puerta de enlace funcione en modo CDE (Entorno de datos del titular de la tarjeta). Seleccione esta opción para asignar la puerta de enlace para los clientes que necesiten transmitir tráfico PCI.
    • Cloud Web Security: habilita a un usuario operador con una función de superusuario o estándar para configurar una instancia de SD-WAN Gateway para una función de Cloud Web Security (CWS). Para obtener más información, consulte la Guía de configuración de VMware SD-WAN Cloud Web Security publicada en https://docs.vmware.com/es/VMware-Cloud-Web-Security/index.html.
    • Plano de datos (Data Plane): permite que la puerta de enlace funcione en el plano de datos y está seleccionada de forma predeterminada.
    • Puertas de enlace de socio (Partner Gateway): seleccione la casilla de verificación para permitir que la puerta de enlace se asigne como puerta de enlace de socios para las instancias de Edge. Si selecciona esta opción, configure las opciones adicionales en la sección Detalles de Puerta de enlace de socio (Entrega avanzada) (Partner Gateway (Advanced Handoff) Details) .
    • Puerta de enlace de VPN segura (Secure VPN Gateway): seleccione la opción para utilizar la puerta de enlace para establecer un túnel IPSec con una instancia de Destino que no es de SD-WAN.
    Estado del servicio (Service State) Seleccione el estado de servicio de la puerta de enlace entre las siguientes opciones disponibles:
    • En servicio (In Service): la puerta de enlace está conectada y disponible.
    • Fuera de servicio (Out of Service): la puerta de enlace no está conectada.
    • Modo inactivo (Quiesced): el servicio de puerta de enlace está en modo inactivo o en pausa. Seleccione este estado para fines de copia de seguridad o mantenimiento.
    Estado (Status) Muestra el estado de la puerta de enlace que refleja el éxito o el error de los latidos periódicos enviados a Orchestrator. A continuación se muestran los estados posibles:
    • Conectado (Connected): latidos correctos de la puerta de enlace con Orchestrator.
    • Degradado (Degraded): la puerta de enlace no ha enviado latidos a Orchestrator durante al menos un minuto.
    • Sin conexión (Offline): la puerta de enlace no ha enviado latidos a Orchestrator durante al menos dos minutos.
    Instancias de Edge conectadas Muestra el número de instancias de Edge conectadas a la puerta de enlace. Esta opción solo se muestra cuando Puerta de enlace (Gateway) está activada.
    Dirección IP (IP Address)

    Muestra la dirección IP pública que los vínculos WAN públicos de una instancia de Edge usan para conectarse a la puerta de enlace. Esta dirección IP se utiliza para identificar de manera exclusiva la puerta de enlace. Si configuró la puerta de enlace con direcciones IPv4 e IPv6, este campo muestra ambas direcciones IP.

    Si ha creado solo una puerta de enlace IPv4 o si hay una puerta de enlace IPv4 actualizada de versiones anteriores, puede introducir la dirección IPv6 para admitir la pila dual. Después de guardar los cambios, la dirección IPv6 no se envía inmediatamente a las instancias de Edge. Puede activar la operación de reequilibrio para insertar la dirección IPv6 en el cliente y las instancias de Edge asociadas de forma manual o la dirección IPv6 se envía a las instancias de Edge durante la siguiente actualización del plano de control.

    Nota: Agregar una dirección IPv6 es una actividad única y, una vez guardados los cambios, no se pueden modificar las direcciones IP.
    Precaución: Cuando una dirección IPv6 configurada de forma incorrecta se inserta en las instancias de Edge, puede producir un error en la tunelización de IPv6 hacia la puerta de enlace IPv6. En estos casos, debe desactivar la puerta de enlace y crear una nueva para activar las direcciones IPv4 e IPv6.
    Modo de autenticación de puerta de enlace (Gateway Authentication Mode) Seleccione el modo de autenticación de la puerta de enlace entre las siguientes opciones disponibles:
    • Certificado desactivado (Certificate Deactivated): la puerta de enlace utiliza un modo de autenticación con una clave previamente compartida.
    • Adquirir certificado (Certificate Acquire): esta opción está seleccionada de forma predeterminada y le indica a la puerta de enlace que adquiera un certificado de la entidad de certificación de SD-WAN Orchestrator; para ello debe generar un par de claves y enviar una solicitud de firma del certificado a Orchestrator. Una vez adquirido el certificado, la puerta de enlace lo utiliza para autenticarse en SD-WAN Orchestrator y para establecer túneles VCMP.
      Nota: Después de adquirir el certificado, la opción se puede actualizar a Certificado requerido (Certificate Required).
    • Certificado requerido (Certificate Required): la puerta de enlace utiliza el certificado de PKI. Los operadores pueden cambiar la ventana de tiempo de renovación de certificados para instancias de puerta de enlace mediante la propiedad del sistema gateway.certificate.renewal.window.
    Nota: Cuando el certificado de puerta de enlace se revoca, la puerta de enlace no recibe la lista de revocación de certificados (CRL), ya que pierde la conexión TLS inmediatamente. De todos modos, la puerta de enlace sigue estando operativa.
    Nota: El diseño de QuickSec actual comprueba la validez de la hora de la CRL. Para que la CRL tenga impacto en la nueva conexión establecida, la validez de la hora de la CRL debe coincidir con la hora actual de las instancias de Edge. Para implementar esto, asegúrese de actualizar la hora de Orchestrator correctamente para que coincida con la fecha y la hora de las instancias de Edge.
    Detalles de Puerta de enlace de socio (Entrega avanzada) (Partner Gateway (Advanced Handoff) Details): esta sección está disponible si selecciona la casilla de verificación Puerta de enlace de socio (Partner Gateway) y permite configurar los siguientes ajustes:
    Precaución: Se recomienda no insertar configuraciones de IPv6 en las puertas de enlace de socio que se ejecuten con una versión de software anterior a 5.0.
    Opción Descripción
    Rutas estáticas (Static Routes): especifique las subredes o las rutas que SD-WAN Gateway debe anunciar a SD-WAN Edge. Esto es global por instancia de SD-WAN Gateway y se aplica a todos los clientes. Con BGP, esta sección se utiliza solo si hay una subred compartida a la que todos los clientes necesitan acceder y si se requiere la entrega de NAT.

    Elimine las subredes no utilizadas de la lista de rutas estáticas si no tiene ninguna subred que deba anunciarse a SD-WAN Edge y tenga la entrega de tipo NAT.

    Puede hacer clic en la pestaña IPv4 o IPv6 para configurar el tipo de dirección correspondiente para las subredes.

    Subredes (Subnets) Introduzca la dirección IPv4 o IPv6 de la subred de ruta estática que la puerta de enlace debería anunciar a la instancia de Edge.
    Coste (Cost) Introduzca el coste de aplicar la ponderación en las rutas. El rango oscila entre 0 y 255.
    Cifrar (Encrypt) Seleccione esta casilla de verificación para cifrar el tráfico entre la instancia de Edge y la puerta de enlace.
    Entrega (Hand off) Seleccione el tipo de entrega VLAN o NAT.
    Descripción (Description) De forma opcional, puede introducir un texto descriptivo para la ruta estática.
    Sondas de conmutación por error de ICMP (ICMP Failover Probes): SD-WAN Gateway utiliza la sonda ICMP para comprobar la disponibilidad de una dirección IP en particular y notifica a SD-WAN Edge que debe realizar una conmutación por error en la puerta de enlace secundaria si no se puede acceder a la dirección IP. Esta opción solo admite direcciones IPv4.
    Etiquetado de VLAN (VLAN Tagging) Seleccione la etiqueta de VLAN de la lista desplegable que se aplicará a los paquetes de sonda ICMP. A continuación se muestran las opciones disponibles:
    • Ninguna (None): sin etiquetar
    • 802.1q: etiqueta de VLAN única
    • 802.1ad/QinQ(0x8100)/QinQ(0x9100): etiqueta de VLAN doble
    Dirección IP de destino (Destination IP address) Introduzca la dirección IP a la que se va a hacer ping.
    Frecuencia (Frequency) Introduzca el intervalo de tiempo, en segundos, para enviar la solicitud de ping. El rango es de 1 a 60 segundos.
    Umbral (Threshold) Introduzca el número de veces que se pueden omitir las respuestas de ping para marcar las rutas como inaccesibles. El rango oscila entre 1 y 10.
    Respondedor de ICMP habilitado (ICMP Responder Enabled): permite que SD-WAN Gateway responda a la sonda ICMP desde el enrutador de próximo salto cuando los túneles estén activos. Esta opción solo admite direcciones IPv4.
    Dirección IP (IP address) Introduzca la dirección IP virtual que responderá a las solicitudes de ping.
    Modo (Mode) En la lista desplegable, seleccione uno de los modos siguientes:
    • Condicional (Conditional): SD-WAN Gateway responde a la solicitud de ICMP solo cuando el servicio esté activo y cuando haya al menos un túnel activo.
    • Siempre (Always): SD-WAN Gateway siempre responde a la solicitud de ICMP desde el elemento del mismo nivel.
    Nota: Los parámetros de sonda ICMP son opcionales y se recomiendan solo si desea utilizar ICMP para comprobar el estado de SD-WAN Gateway. Con la compatibilidad de BGP en la puerta de enlace de socio, ya no es necesario usar la sonda ICMP para la conmutación por error y la convergencia de rutas. Para obtener más información sobre cómo configurar la compatibilidad de BGP y la configuración de entrega de una puerta de enlace de socio, consulte Configurar la entrega de socio .
    Contacto y ubicación (Contact & Location): en esta sección se muestran los detalles de contacto existentes. Si es necesario, puede modificar la información.
    Configuración de Syslog (Configuración de Syslog): a partir de la versión 4.5, las puertas de enlace pueden exportar información de NAT a través de un servidor syslog remoto o a través de Telegraf al destino deseado. Si desea obtener más información, consulte la sección Configurar Syslog de entrada de NAT para puertas de enlace de la Guía del operador de VMware SD-WAN, publicada en https://docs.vmware.com/es/VMware-SD-WAN/index.html.
    Cloud Web Security: esta sección permite configurar la dirección IP del endpoint de encapsulación de virtualización de red genérica (Geneve) y el nombre de los puntos de presencia (PoP) para Cloud Web Security, si la función de puerta de enlace de Cloud Web Security está habilitada.
    Uso del cliente (Customer Usage): en esta sección se muestran los detalles de uso de los diferentes tipos de puertas de enlace asignadas a los clientes.
    Pertenencia a grupo (Pool Membership): en esta sección se muestran los detalles de los grupos de puertas de enlace a los que está asignada la puerta de enlace actual.
  4. Después de configurar los detalles necesarios, haga clic en Guardar cambios (Save Changes).