Una instancia de Edge tiene diferentes tipos de interfaces. De forma predeterminada, las opciones de configuración de la interfaz de una instancia de Edge se heredan del perfil asociado. Puede modificar y configurar más opciones para cada instancia de Edge.
Los ajustes de configuración de la interfaz varían según el modelo de Edge. Para obtener más información sobre los diferentes modelos y las implementaciones de Edge, consulte Configurar los ajustes de la interfaz.
Haga lo siguiente para configurar las opciones de interfaz de una instancia de Edge específica:
- En el servicio SD-WAN del portal de empresas, haga clic en . La página Instancias de Edge (Edges) muestra las instancias de Edge existentes.
- Haga clic en el vínculo a una instancia de Edge o haga clic en el vínculo Ver (View) en la columna Dispositivo (Device) de la instancia de Edge. Las opciones de configuración de la instancia de Edge seleccionada se muestran en la pestaña Dispositivo (Device).
- En la categoría Conectividad (Connectivity), expanda Interfaces.
- Se muestran los distintos tipos de interfaces disponibles para la instancia de Edge seleccionada. Haga clic en el vínculo a una interfaz para editar la configuración. Se mostrará la pantalla Configuración de interfaz (Interface Settings) como se muestra a continuación.
Puede editar la configuración para los siguientes tipos de interfaces en función del modelo de Edge:
- Puerto de conmutador
- Interfaz enrutada
- Interfaz de WLAN
También puede agregar la subinterfaz, la dirección IP secundaria y el SSID de Wi-Fi en función del modelo de Edge.
- Puede configurar los siguientes ajustes para una interfaz enrutada de una instancia de Edge.
Opción Descripción Descripción (Description) Introduzca una descripción. Este campo es opcional. Interfaz habilitada (Interface Enabled) Esta opción está activada de forma predeterminada. Si es necesario, puede desactivar la interfaz. Cuando esta opción está desactivada, la interfaz no está disponible para ninguna comunicación. Capacidad (Capability) Para un puerto de conmutador, la opción Conmutado (Switched) está seleccionada de forma predeterminada. Puede optar por convertir el puerto en una interfaz enrutada mediante la opción Enrutada (Routed) en el menú desplegable. Segmentos (Segments) De forma predeterminada, los ajustes de configuración pueden aplicarse a todos los segmentos. Autenticación RADIUS (Radius Authentication) Desactive la casilla de verificación Habilitar superposición de WAN (Enable WAN Overlay) para configurar la Autenticación RADIUS (Radius Authentication). Seleccione la casilla de verificación Autenticación RADIUS (Radius Authentication) y agregue las direcciones MAC de los dispositivos autenticados previamente. Respuesta de eco ICMP (ICMP Echo Response) Esta casilla de verificación está seleccionada de forma predeterminada. Esto ayuda a la interfaz a responder a los mensajes de eco ICMP. Puede desactivar esta opción por motivos de seguridad. Contabilización de subyacente (Underlay Accounting) Esta casilla de verificación está seleccionada de forma predeterminada. Si se define una superposición de WAN privada en la interfaz, todo el tráfico subyacente que atraviesa la interfaz se computa según la velocidad medida del vínculo WAN, para evitar la sobresuscripción. Desactive esta opción para evitar este comportamiento. Nota: La contabilización de subyacente es compatible tanto con las direcciones IPv4 como con las IPv6.Habilitar superposición de WAN (Enable WAN Overlay) Seleccione la casilla de verificación para activar la superposición de WAN para la interfaz. Proxy DNS (DNS Proxy) La función Proxy DNS (DNS Proxy) proporciona compatibilidad adicional con entradas de DNS locales en la instancia de Edge, para dirigir el tráfico del dispositivo a dominios específicos. Puede activar o desactivar esta opción independientemente de la configuración del servidor DHCP IPv4 o IPv6. Nota: Esta casilla de verificación solo está disponible para una interfaz enrutada y una subinterfaz enrutada.VLAN Para un puerto de acceso, seleccione una VLAN existente en el menú desplegable. Para un puerto troncal, puede seleccionar varias VLAN y seleccionar una VLAN sin etiquetar. Módem EVDSL conectado (EVDSL Modem Attached) Seleccione esta casilla de verificación para activar un módem EVDSL que esté conectado a uno de los puertos Ethernet en la instancia de Edge. Configuración de IPv4 (IPv4 Settings) Seleccione la casilla de verificación Habilitar (Enable) y configure los ajustes de IPv4. Para obtener más información, consulte la sección Configuración de IPv4 (IPv4 Settings) a continuación. Configuración de IPv6 (IPv6 Settings) Seleccione la casilla de verificación Habilitar (Enable) y configure los ajustes de IPv6. Para obtener más información, consulte la sección Configuración de IPv6 (IPv6 Settings) a continuación. Configuración de capa 2 Autonegociación (Autonegotiate) Esta opción está seleccionada de forma predeterminada. Cuando se selecciona, la autonegociación permite que el puerto se comunique con el dispositivo en el otro extremo del vínculo a fin de determinar la velocidad y el modo dúplex óptimos para la conexión. Velocidad (Speed) Esta opción solo está disponible cuando no se selecciona Autonegociación (Autonegotiate). Seleccione la velocidad con la que el puerto debe comunicarse con otros vínculos. De forma predeterminada, se seleccionan 100 Mbps. Dúplex (Duplex) Esta opción solo está disponible cuando no se selecciona Autonegociación (Autonegotiate). Seleccione el modo de la conexión como Dúplex completo (Full duplex) o Dúplex medio (Half duplex). De forma predeterminada, se selecciona Dúplex completo (Full duplex). MTU El tamaño de MTU predeterminado para las tramas recibidas y enviadas en todas las interfaces enrutadas es de 1500 bytes. Puede cambiar el tamaño de MTU de una interfaz. Detección de LOS (LOS Detection) Esta opción solo está disponible para una interfaz enrutada de una instancia de Edge. Seleccione la casilla de verificación para activar la detección de pérdida de señal (Loss of Signal, LoS) mediante la supervisión de ARP. Para obtener más información, consulte Detección de LoS de alta disponibilidad en interfaces enrutadas. Nota: Puede seleccionar la casilla de verificación solo si activó la alta disponibilidad en la instancia de Edge.
Configuración de IPv4 (IPv4 Settings)
Seleccione la casilla de verificación Habilitar (Enable) para configurar los siguientes ajustes de IPv4:
Opción | Descripción |
---|---|
Tipo de direccionamiento (Addressing Type) | Seleccione un tipo de direccionamiento:
Nota: Según RFC 3021, se admiten prefijos de 31 bits para IPv4.
|
OSPF | Esta opción solo está disponible cuando se configura OSPF para el segmento seleccionado. Seleccione la casilla de verificación y elija un OSPF en el menú desplegable. Haga clic en Alternar configuración avanzada de OSPF (Toggle Advance OSPF Settings) para establecer la configuración de la interfaz de OSPF seleccionada.
Nota: OSPF no se admite en subinterfaces y en segmentos no globales.
La configuración de OSPFv2 solo admite IPv4. La configuración de OSPFv3 solo admite IPv6.
Para obtener más información sobre la configuración de OSPF y OSPFv3, consulte Activar OSPF para perfiles.
Nota: OSFPv3 solo está disponible en la versión 5.2.
|
Multidifusión (Multicast) | Esta opción solo está disponible si se establece la configuración de multidifusión para el segmento seleccionado. Puede establecer la siguiente configuración de multidifusión para la interfaz seleccionada.
Haga clic en
alternar configuración de multidifusión avanzada (alternar configuración de multidifusión avanzada) para configurar estos temporizadores:
Nota: Actualmente, la detección de escucha de multidifusión (MLD) está desactivada. En consecuencia, Edge no envía un informe de escucha de multidifusión cuando se asigna una dirección IPv6 a la interfaz. En caso de que haya un conmutador de intromisión en la red, si no se envía un informe de MLD, puede suceder que Edge no reciba los paquetes de multidifusión que se utilizan en la detección de direcciones duplicadas (DAD). Esto genera un proceso DAD correcto incluso con direcciones duplicadas.
|
Inserción de VNF (VNF Insertion) | Debe desactivar la Superposición de WAN (WAN Overlay) y seleccionar la casilla de verificación Origen de confianza (Trusted Source) para activar la Inserción de VNF (VNF Insertion). Cuando se insertan VNF en interfaces o subinterfaces de capa 3, el sistema redirecciona el tráfico de las interfaces o subinterfaces de capa 3 a las VNF. |
Anunciar (Advertise) | Seleccione la casilla de verificación para anunciar la interfaz a otras sucursales de la red. |
Tráfico directo de NAT (NAT Direct Traffic) | Seleccione la casilla de verificación para aplicar NAT para IPv4 al tráfico de red que se envía desde la interfaz.
Precaución:
Es posible que una versión anterior de SASE Orchestrator haya configurado de forma involuntaria NAT Direct en una interfaz principal con una VLAN o una subinterfaz configurada. Si esa interfaz envía tráfico directo a uno o varios saltos de distancia, el cliente no observará ningún problema porque no se aplica la configuración de NAT Direct. Sin embargo, cuando se actualiza una instancia de Edge a la versión 5.2.0 o una versión posterior, la compilación de Edge incluye una solución para el problema (ticket n.º 92142) con el tráfico directo de NAT que no se aplica correctamente, y se produce un cambio en el comportamiento de enrutamiento, ya que este caso práctico específico no se implementó en versiones anteriores. En otras palabras, debido a que una instancia de Edge 5.2.0 o posterior ahora implementa NAT Direct de la manera esperada para todos los casos prácticos, el tráfico que antes funcionaba (debido a que no se aplicaba NAT Direct por el defecto) ahora puede fallar porque el cliente nunca se dio cuenta de que NAT Direct se comprobó para una interfaz con una VLAN o una subinterfaz configurada. Como resultado, un cliente que actualice su instancia de Edge a la versión 5.2.0 o posterior debe comprobar primero la configuración de la interfaz de Edge y los perfiles para asegurarse de que NAT Direct está configurado sólo donde se requiere explícitamente y desactivar esta configuración donde no lo está, especialmente si esa interfaz tiene una VLAN o subinterfaz configurada. |
Origen de confianza (Trusted Source) | Seleccione la casilla de verificación para establecer la interfaz como origen de confianza. |
Reenvío de ruta inversa (Reverse Path Forwarding) | Puede elegir una opción de reenvío de ruta inversa (RPF) solo si ha seleccionado la casilla de verificación Origen de confianza (Trusted Source). Esta opción permite el tráfico en la interfaz solo si el tráfico de retorno puede reenviarse en la misma interfaz. Esto ayuda a evitar el tráfico de orígenes desconocidos, como el tráfico malintencionado, en una red empresarial. Si el origen entrante es desconocido, el paquete se descartará al ingreso sin crear flujos. Seleccione una de las siguientes opciones en el menú desplegable:
|
- Activado (Activated): activa DHCP con la instancia de Edge como servidor DHCP. Si selecciona esta opción, configure los siguientes detalles:
- Inicio DHCP (DHCP Start): introduzca una dirección IP válida que esté disponible dentro de la subred.
- Número de direcciones (Num. Addresses): introduzca el número de direcciones IP disponibles en una subred del servidor DHCP.
- Tiempo de concesión (Lease Time): seleccione el periodo de tiempo del menú desplegable. Esta es la duración que se permite que la VLAN use una dirección IP asignada dinámicamente por el servidor DHCP.
- Opciones (Options): haga clic en Agregar (Add) para agregar opciones de DHCP predefinidas o personalizadas en el menú desplegable. La opción DHCP es un servicio de red que se envía a los clientes desde el servidor DHCP. Elija una opción personalizada e introduzca el código, el tipo de datos y el valor.
- Retransmisión (Relay): permite el intercambio de mensajes DHCPv4 entre el cliente y el servidor. Si elige esta opción, configure los siguientes elementos:
- IP de agente de retransmisión (Relay Agent IP(s)): especifique la dirección IP del agente de retransmisión. Haga clic en Agregar (Add) para agregar más direcciones IP.
- Desactivado (Deactivated): desactiva el servidor DHCP.
Configuración de IPv6 (IPv6 Settings)
Opción | Descripción |
---|---|
Tipo de direccionamiento (Addressing Type) | Seleccione un tipo de direccionamiento:
|
OSPF | Esta opción solo está disponible cuando se configura OSPF para el segmento seleccionado. Seleccione la casilla de verificación y elija un OSPF en el menú desplegable. Haga clic en Alternar configuración avanzada de OSPF (Toggle Advance OSPF Settings) para establecer la configuración de la interfaz de OSPF seleccionada.
Nota: OSPF no se admite en subinterfaces y en segmentos no globales.
La configuración de OSPFv2 solo admite IPv4. La configuración de OSPFv3 solo admite IPv6, que únicamente está disponible en la versión 5.2.
Para obtener más información sobre la configuración de OSPF y OSPFv3, consulte Activar OSPF para perfiles.
Nota: OSFPv3 solo está disponible en la versión 5.2.
|
Anunciar (Advertise) | Seleccione la casilla de verificación para anunciar la interfaz a otras sucursales de la red. |
Tráfico directo de NAT (NAT Direct Traffic) | Seleccione la casilla de verificación para aplicar NAT para IPv6 al tráfico de red que se envía desde la interfaz.
Precaución:
Es posible que una versión anterior de SASE Orchestrator haya configurado de forma involuntaria NAT Direct en una interfaz principal con una VLAN o una subinterfaz configurada. Si esa interfaz envía tráfico directo a uno o varios saltos de distancia, el cliente no observará ningún problema porque no se aplica la configuración de NAT Direct. Sin embargo, cuando se actualiza una instancia de Edge a la versión 5.2.0 o una versión posterior, la compilación de Edge incluye una solución para el problema (ticket n.º 92142) con el tráfico directo de NAT que no se aplica correctamente, y se produce un cambio en el comportamiento de enrutamiento, ya que este caso práctico específico no se implementó en versiones anteriores. En otras palabras, debido a que una instancia de Edge 5.2.0 o posterior ahora implementa NAT Direct de la manera esperada para todos los casos prácticos, el tráfico que antes funcionaba (debido a que no se aplicaba NAT Direct por el defecto) ahora puede fallar porque el cliente nunca se dio cuenta de que NAT Direct se comprobó para una interfaz con una VLAN o una subinterfaz configurada. Como resultado, un cliente que actualice su instancia de Edge a la versión 5.2.0 o posterior debe comprobar primero la configuración de la interfaz de Edge y los perfiles para asegurarse de que NAT Direct está configurado sólo donde se requiere explícitamente y desactivar esta configuración donde no lo está, especialmente si esa interfaz tiene una VLAN o subinterfaz configurada. |
Origen de confianza (Trusted Source) | Seleccione la casilla de verificación para establecer la interfaz como origen de confianza. |
Reenvío de ruta inversa (Reverse Path Forwarding) | Puede elegir una opción de reenvío de ruta inversa (RPF) solo si ha seleccionado la casilla de verificación Origen de confianza (Trusted Source). Esta opción permite el tráfico en la interfaz solo si el tráfico de retorno puede reenviarse en la misma interfaz. Esto ayuda a evitar el tráfico de orígenes desconocidos, como el tráfico malintencionado, en una red empresarial. Si el origen entrante es desconocido, el paquete se descartará al ingreso sin crear flujos. Seleccione una de las siguientes opciones en el menú desplegable:
|
- Activado (Activated): activa DHCPv6 con la instancia de Edge como servidor DHCPv6. Si selecciona esta opción, configure los siguientes detalles:
- Inicio DHCP (DHCP Start): introduzca una dirección IPv6 válida que esté disponible dentro de la subred.
- Número de direcciones (Num. Addresses): introduzca el número de direcciones IP disponibles en una subred del servidor DHCPv6.
- Tiempo de concesión (Lease Time): seleccione el periodo de tiempo de la lista desplegable. Esta es la duración que se permite que la VLAN use una dirección IPv6 asignada dinámicamente por el servidor DHCPv6.
- Delegación de prefijo DHCPv6 (DHCPv6 Prefix Delegation): haga clic en Agregar (Add) para asignar prefijos elegidos en un grupo global para clientes DHCP. Introduzca el nombre del grupo de prefijos junto con los detalles de inicio y finalización del prefijo.
- Opciones (Options)– haga clic en Agregar (Add) para agregar opciones de DHCP predefinidas o personalizadas en el menú desplegable. La opción DHCP es un servicio de red que se envía a los clientes desde el servidor DHCP. Elija una opción personalizada e introduzca el código, el tipo de datos y el valor.
- Retransmisión (Relay): permite el intercambio de mensajes DHCPv6 entre el cliente y el servidor. Si elige esta opción, configure los siguientes elementos:
- IP de agente de retransmisión (Relay Agent IP(s)): especifique la dirección IP del agente de retransmisión. Haga clic en Agregar (Add) para agregar más direcciones IP.
A partir de la versión 5.2.0, VMware SD-WAN Edge admite la función Retransmisión de DHCPv6 (DHCPv6 Relay). Esto permite que los clientes DHCPv6 se comuniquen con un servidor DHCPv6 remoto. Es muy similar a la función Retransmisión de DHCPv4 (DHCPv4 Relay), excepto que DHCPv6 utiliza tipos de mensaje separados para permitir a los agentes de retransmisión insertar sus propias opciones o identificar la interfaz saliente para el paquete de respuesta. Para activar esta función en una instancia de Edge, debe activar IPv6 en la interfaz de LAN de esa instancia de Edge.
Nota:- Debe proporcionar la dirección IP del servidor (Server IP) como la Dirección de IP del agente de retransmisión (Relay Agent IP) en la interfaz orientada al cliente.
- Si esta interfaz pertenece a un segmento no global, se debe acceder al servidor a través de dicho segmento.
- IP de agente de retransmisión (Relay Agent IP(s)): especifique la dirección IP del agente de retransmisión. Haga clic en Agregar (Add) para agregar más direcciones IP.
- Desactivado (Deactivated): desactiva el servidor DHCP.
Configuración del host de anuncio de enrutador (Router Advertisement Host Settings): los parámetros del anuncio de rutas (Router Advertisement: RA) solo están disponibles cuando activa Configuración de IPv6 (IPv6 Settings) , y elige Tipo de direccionamiento (Addressing Type) como DHCP sin estado (DHCP Stateless) o DHCP con estado (DHCP Stateful).
Opción | Descripción |
---|---|
MTU | Acepta el valor de MTU recibido a través del anuncio de rutas. Si desactiva esta opción, se tendrá en cuenta la configuración de MTU de la interfaz. |
Rutas predeterminadas (Default Routes) | Instala las rutas predeterminadas cuando se recibe el anuncio de rutas en la interfaz. Si desactiva esta opción, no habrá rutas predeterminadas disponibles para la interfaz. |
Rutas específicas (Specific Routes) | Instala rutas específicas cuando el anuncio de rutas recibe información de rutas en la interfaz. Si desactiva esta opción, la interfaz no instala la información de ruta. |
Temporizadores ND6 (ND6 Timers) | Acepta los temporizadores ND6 recibidos a través del anuncio de rutas. Si desactiva esta opción, se tendrán en cuenta los temporizadores ND6 predeterminados. El valor predeterminado para el temporizador de retransmisión de NDP es 1 segundo y el tiempo de espera accesible de NDP es 30 segundos. |
Control de acceso a Wi-Fi basado en la dirección MAC (Wi-Fi Access Control based on MAC Address)
El control de acceso a Wi-Fi se puede utilizar como una capa adicional de seguridad para redes inalámbricas. Cuando se activa, solo se permiten direcciones MAC conocidas y aprobadas para asociarse con la estación base.
- En el servicio SD-WAN del portal de empresas, haga clic en y seleccione una interfaz de WLAN existente para configurar los siguientes parámetros.
Opción | Descripción |
---|---|
Interfaz habilitada (Interface Enabled) | Seleccione la casilla de verificación para activar la interfaz. |
VLAN | Seleccione el identificador de VLAN en el menú desplegable. |
SSID | Introduzca el SSID. |
Seguridad (Security) | Seleccione WPA2/Empresarial (WPA2/Enterprise) o WPA2/Personal (WPA2/Personal) como la opción de seguridad. |
Lista de direcciones MAC estáticas permitidas (Static MAC Allow List) | Seleccione la casilla de verificación para permitir que solo las MAC enumeradas se asocien con el punto de acceso. Cuando se configura Lista de direcciones MAC estáticas permitidas (Static MAC Allow List), solo las direcciones MAC especificadas en la lista pueden asociarse con el punto de acceso. . |
Comprobación de ACL de Radius (Radius ACL Check) | Seleccione la casilla de verificación para asociar la dirección MAC con un servidor RADIUS. Si se acepta el acceso, la dirección MAC puede asociarse con el punto de acceso.
Nota: Las comprobaciones de ACL de RADIUS se limitan al modo de seguridad
WPA2/Empresarial (WPA2/Enterprise).
|
Agregar (Add) | Haga clic para introducir una nueva dirección MAC. |
Eliminar (Delete) | Haga clic para eliminar una dirección MAC existente. |
Filtrado de MAC para sondeos de AP (MAC filtering for AP Probes) | Habilitar el filtrado de MAC para sondeos de AP evita que los sondeos de direcciones MAC no aprobadas detecten parámetros de AP de manera activa. Cuando el SSID no se transmite, esto puede ayudar a evitar que las estaciones desconocidas se conecten a la red. Algunos dispositivos utilizan direcciones MAC aleatorias para el sondeo independientemente de la configuración de AP y es posible que el filtrado de sondeos genere que estos dispositivos no puedan detectar la red o conectarse, incluso si se aprobó la dirección MAC del dispositivo. |
El Filtrado de MAC para sondeos de AP (MAC filtering for AP Probes) y la Comprobación de ACL de RADIUS (RADIUS ACL Check) no se pueden ejecutar al mismo tiempo.