Al crear una nueva puerta de enlace, se le redirigirá automáticamente a la página Configurar puertas de enlace (Configure Gateways), donde puede configurar las propiedades y otras opciones adicionales para la puerta de enlace.

Nota: Solo puede configurar una puerta de enlace creada por un usuario de socio o un grupo de puertas de enlace administrado por un socio creado por su operador.

Para configurar una puerta de enlace existente:

Procedimiento

  1. En el portal de socios de SASE Orchestrator, haga clic en la pestaña Administración de puertas de enlace (Gateway Management) y vaya a Puertas de enlace (Gateways) en el panel de navegación de la izquierda.
    La página Puertas de enlace (Gateways) muestra la lista de puertas de enlace disponibles.
  2. Haga clic en el vínculo a una puerta de enlace que deba configurarse para obtener opciones adicionales. Los detalles de la puerta de enlace seleccionada se muestran en la página Configurar (Configure) > Puertas de enlace (Gateways).
  3. En la pestaña Información general (Overview), puede configurar los siguientes detalles:
    Campo Descripción
    Propiedades (Properties) Muestra el nombre y la descripción existentes de la puerta de enlace seleccionada. Si es necesario, puede modificar la información.
    También puede configurar las funciones de puerta de enlace, según sea necesario:
    • Plano de datos (Data Plane): permite que la puerta de enlace funcione en el plano de datos y está seleccionada de forma predeterminada.
    • Plano de control (Control Plane): permite que la puerta de enlace funcione en el plano de control y está seleccionada de forma predeterminada.
    • Puerta de enlace de VPN segura (Secure VPN Gateway): seleccione la opción para utilizar la puerta de enlace para establecer un túnel IPSec con una instancia de Destino que no es de SD-WAN.
    • Puertas de enlace de socio (Partner Gateway): seleccione la casilla de verificación para permitir que la puerta de enlace se asigne como puerta de enlace de socios para las instancias de Edge. Si selecciona esta opción, configure las opciones adicionales en la sección Detalles de Puerta de enlace de socio (Entrega avanzada) (Partner Gateway (Advanced Handoff) Details) .
    • CDE: permite que la puerta de enlace funcione en modo CDE (Entorno de datos del titular de la tarjeta). Seleccione esta opción para asignar la puerta de enlace para los clientes que necesiten transmitir tráfico PCI.
    • Interconexión de nube a nube (Cloud-to-Cloud Interconnect): seleccione la opción para habilitar túneles de interconexión de nube a nube (CCI) en las instancias de SD-WAN Gateway.
      Nota: Esta opción Función de puerta de enlace (Gateway Role) se muestra si la propiedad del sistema session.options.enableZscalerCci está establecida en True.
    • Cloud Web Security: habilita a un usuario de socio con una función de superusuario o estándar para configurar una instancia de SD-WAN Gateway para una función de Cloud Web Security (CWS). Para obtener más información, consulte la Guía de configuración de VMware SD-WAN Cloud Web Security publicada en https://docs.vmware.com/es/VMware-Cloud-Web-Security/index.html.
    Estado (Status) Puede configurar los siguientes detalles:
    • Estado (Status): muestra el estado de la puerta de enlace que refleja el éxito o el error de los latidos periódicos enviados a Orchestrator. A continuación se muestran los estados posibles:
      • Conectado (Connected): latidos correctos de la puerta de enlace con Orchestrator.
      • Degradado (Degraded): la puerta de enlace no ha enviado latidos a Orchestrator durante al menos un minuto.
      • Sin conexión (Offline): la puerta de enlace no ha enviado latidos a Orchestrator durante al menos dos minutos.
    • Estado del servicio (Service State): seleccione el estado de servicio de la puerta de enlace entre las siguientes opciones disponibles:
      • En Servicio (In Service): La puerta enlace está conectada y disponible para asignaciones de túneles principales o secundarios. Cuando el estado de servicio de la puerta de enlace cambia del estado "Fuera de servicio" (Out of Service) al estado "En servicio" (In Service), las asignaciones principales o secundarias, las superpuertas de enlace y las rutas de Edge a Edge se vuelven a calcular para cada empresa que utiliza la puerta de enlace.
      • Servicio pendiente (Pending Service): la puerta de enlace está conectada y está pendiente para las asignaciones de túneles.
      • Fuera de servicio (Out of Service): la puerta de enlace no está conectada o no está disponible para ninguna asignación. Se eliminarán todas las asignaciones existentes.
      • Modo inactivo (Quiesced): el servicio de puerta de enlace está en modo inactivo o en pausa. No pueden agregarse más túneles o sitios NSD a la puerta de enlace. Sin embargo, las asignaciones existentes seguirían estando en la puerta de enlace. Seleccione este estado para fines de copia de seguridad o mantenimiento.

        Cuando el estado del servicio es Modo inactivo (Quiesced), Orchestrator proporciona una funcionalidad de migración de autoservicio, que le permite migrar desde una puerta de enlace existente a una nueva sin la asistencia del operador.

        Para obtener más información, consulte Migrar puertas de enlace en modo inactivo.

        Nota: La migración de autoservicio no es compatible en las puertas de enlace de socio.
    • Instancias de Edge conectadas (Connected Edges): muestra el número de instancias de Edge conectadas a la puerta de enlace. Esta opción solo se muestra cuando Puerta de enlace (Gateway) está activada.
    • Modo de autenticación de puerta de enlace (Gateway Authentication Mode): seleccione el modo de autenticación de la puerta de enlace entre las siguientes opciones disponibles:
      • Certificado desactivado (Certificate Deactivated): la puerta de enlace utiliza un modo de autenticación con una clave previamente compartida.
      • Adquirir certificado (Certificate Acquire): esta opción está seleccionada de forma predeterminada y le indica a la puerta de enlace que adquiera un certificado de la entidad de certificación de SASE Orchestrator; para ello debe generar un par de claves y enviar una solicitud de firma del certificado a Orchestrator. Una vez adquirido el certificado, la puerta de enlace lo utiliza para autenticarse en SASE Orchestrator y para establecer túneles VCMP.
        Nota: Después de adquirir el certificado, la opción se puede actualizar a Certificado requerido (Certificate Required).
      • Certificado requerido (Certificate Required): la puerta de enlace utiliza el certificado de PKI. Los operadores pueden cambiar la ventana de tiempo de renovación de certificados para instancias de puerta de enlace mediante la propiedad del sistema gateway.certificate.renewal.window.
      Nota: Cuando el certificado de puerta de enlace se revoca, la puerta de enlace no recibe la lista de revocación de certificados (CRL), ya que pierde la conexión TLS inmediatamente. De todos modos, la puerta de enlace sigue estando operativa.
      Nota: El diseño de QuickSec actual comprueba la validez de la hora de la CRL. Para que la CRL tenga impacto en la nueva conexión establecida, la validez de la hora de la CRL debe coincidir con la hora actual de las instancias de Edge. Para implementar esto, asegúrese de actualizar la hora de Orchestrator correctamente para que coincida con la fecha y la hora de las instancias de Edge.
    • Dirección IP (IP Address): muestra la dirección IP pública que los vínculos WAN públicos de una instancia de Edge usan para conectarse a la puerta de enlace. Esta dirección IP se utiliza para identificar de manera exclusiva la puerta de enlace. Si configuró la puerta de enlace con direcciones IPv4 e IPv6, este campo muestra ambas direcciones IP.

      Si ha creado solo una puerta de enlace IPv4 o si hay una puerta de enlace IPv4 actualizada de versiones anteriores, puede introducir la dirección IPv6 para admitir la pila dual. Después de guardar los cambios, la dirección IPv6 no se envía inmediatamente a las instancias de Edge. Puede activar la operación de reequilibrio para insertar la dirección IPv6 en el cliente y las instancias de Edge asociadas de forma manual o la dirección IPv6 se envía a las instancias de Edge durante la siguiente actualización del plano de control.

      Nota: Agregar una dirección IPv6 es una actividad única y, una vez guardados los cambios, no se pueden modificar las direcciones IP.
      Precaución: Cuando una dirección IPv6 configurada de forma incorrecta se inserta en las instancias de Edge, puede producir un error en la tunelización de IPv6 hacia la puerta de enlace IPv6. En estos casos, debe desactivar la puerta de enlace y crear una nueva para activar las direcciones IPv4 e IPv6.
    Contacto y ubicación (Contact & Location) Muestra los detalles de contacto existentes. Si es necesario, puede modificar la información.
    Configuración de Syslog (Syslog Settings) A partir de la versión 4.5, las puertas de enlace pueden exportar información de NAT a través de un servidor syslog remoto o a través de Telegraf al destino deseado. Si desea obtener más información, consulte la sección Configurar Syslog de entrada de NAT para puertas de enlace de la Guía del operador de VMware SD-WAN, publicada en https://docs.vmware.com/es/VMware-SD-WAN/index.html.
    Uso del cliente (Customer Usage) Muestra los detalles de uso de los diferentes tipos de puertas de enlace asignadas a los clientes.
    Pertenencia a grupo (Pool Membership) Muestra los detalles de los grupos de puertas de enlace a los que está asignada la puerta de enlace actual.
    Detalles de Puerta de enlace de socio (Entrega avanzada) (Partner Gateway (Advanced Handoff) Details) Esta sección solo está disponible si selecciona la casilla de verificación Puerta de enlace de socio (Partner Gateway). Puede configurar opciones avanzadas de entrega para la puerta de enlace de socio. Para obtener más información, consulte la sección Detalles de Puerta de enlace de socio (Entrega avanzada) (Partner Gateway [Advanced Handoff] Details) a continuación.
    Cloud Web Security Esta sección permite configurar la dirección IP del endpoint de encapsulación de virtualización de red genérica (Geneve) y el nombre de los puntos de presencia (PoP) para Cloud Web Security, si la función de puerta de enlace de Cloud Web Security está habilitada.
    Detalles de Puerta de enlace de socio (Entrega avanzada) (Partner Gateway [Advanced Handoff] Details)

    Puede configurar las siguientes opciones avanzadas de entrega para la puerta de enlace de socio:

    Opción Descripción
    Rutas estáticas (Static Routes) | Subredes (Subnets): especifique las subredes o las rutas que SD-WAN Gateway debe anunciar a SD-WAN Edge. Esto es global por instancia de SD-WAN Gateway y se aplica a todos los clientes. Con BGP, esta sección se utiliza solo si hay una subred compartida a la que todos los clientes necesitan acceder y si se requiere la entrega de NAT.

    Elimine las subredes no utilizadas de la lista de rutas estáticas si no tiene ninguna subred que deba anunciarse a SD-WAN Edge y tenga la entrega de tipo NAT.

    Puede hacer clic en la pestaña IPv4 o IPv6 para configurar el tipo de dirección correspondiente para las subredes.

    Subredes (Subnets) Introduzca la dirección IPv4 o IPv6 de la subred de ruta estática que la puerta de enlace debería anunciar a la instancia de Edge.
    Coste (Cost) Introduzca el coste de aplicar la ponderación en las rutas. El rango oscila entre 0 y 255.
    Cifrar (Encrypt) Seleccione esta casilla de verificación para cifrar el tráfico entre la instancia de Edge y la puerta de enlace.
    Entrega (Hand off) Seleccione el tipo de entrega VLAN o NAT.
    Descripción De forma opcional, puede introducir un texto descriptivo para la ruta estática.
    Configuración de respondedores de ping y sondeos de ICMP (ICMP Probes and Ping Responders Settings)
    Sondas de conmutación por error de ICMP (ICMP Failover Probes): SD-WAN Gateway utiliza la sonda ICMP para comprobar la disponibilidad de una dirección IP en particular y notifica a SD-WAN Edge que debe realizar una conmutación por error en la puerta de enlace secundaria si no se puede acceder a la dirección IP. Esta opción solo admite direcciones IPv4.
    Etiquetado de VLAN (VLAN Tagging) Seleccione la etiqueta de VLAN de la lista desplegable que se aplicará a los paquetes de sonda ICMP. A continuación se muestran las opciones disponibles:
    • Ninguna (None): sin etiquetar
    • 802.1q: etiqueta de VLAN única
    • 802.1ad/QinQ(0x8100)/QinQ(0x9100): etiqueta de VLAN doble
    Dirección IP de destino (Destination IP address) Introduzca la dirección IP a la que se va a hacer ping.
    Frecuencia (Frequency) Introduzca el intervalo de tiempo, en segundos, para enviar la solicitud de ping. El rango es de 1 a 60 segundos.
    Umbral (Threshold) Introduzca el número de veces que se pueden omitir las respuestas de ping para marcar las rutas como inaccesibles. El rango oscila entre 1 y 10.
    Respondedores ICMP (ICMP Responder): permite que SD-WAN Gateway responda a la sonda ICMP desde el enrutador de próximo salto cuando los túneles estén activos. Esta opción solo admite direcciones IPv4.
    Dirección IP (IP address) Introduzca la dirección IP virtual que responderá a las solicitudes de ping.
    Modo (Mode) En la lista desplegable, seleccione uno de los modos siguientes:
    • Condicional (Conditional): SD-WAN Gateway responde a la solicitud de ICMP solo cuando el servicio esté activo y cuando haya al menos un túnel activo.
    • Siempre (Always): SD-WAN Gateway siempre responde a la solicitud de ICMP desde el elemento del mismo nivel.
    Nota: Los parámetros de sonda ICMP son opcionales y se recomiendan solo si desea utilizar ICMP para comprobar el estado de SD-WAN Gateway. Con la compatibilidad de BGP en la puerta de enlace de socio, ya no es necesario usar la sonda ICMP para la conmutación por error y la convergencia de rutas. Para obtener más información sobre cómo configurar la compatibilidad de BGP y la configuración de entrega de una puerta de enlace de socio, consulte Configurar la entrega de socio.
  4. Después de configurar los detalles necesarios, haga clic en Guardar cambios (Save Changes).