Un dispositif Edge dispose de différents types d'interfaces. Par défaut, les paramètres de configuration de l'interface d'un dispositif Edge sont hérités du profil associé. Vous pouvez modifier et configurer d'autres paramètres pour chaque dispositif Edge.
Les options des Paramètres de l'interface (Interface Settings) varient selon le modèle d'Edge. Pour plus d'informations sur les différents modèles d'Edge et leur déploiement, reportez-vous à la section Configurer les paramètres de l'interface.
Pour configurer les paramètres de l'interface pour un dispositif Edge spécifique, procédez comme suit :
- Dans le service SD-WAN du portail d'entreprise, cliquez sur . La page Dispositifs Edge (Edges) affiche les dispositifs Edge existants.
- Cliquez sur le lien d'accès à un dispositif Edge ou sur le lien Afficher (View) dans la colonne Périphérique (Device) du dispositif Edge. Les options de configuration du dispositif Edge sélectionné s'affichent dans l'onglet Périphérique (Device).
- Dans la catégorie Connectivité (Connectivity), développez l'option Interfaces.
- Les différents types d'interfaces disponibles pour le dispositif Edge sélectionné s'affichent. Cliquez sur le lien d'accès à une interface pour modifier les paramètres. L'écran Paramètres de l'interface (Interface settings) s'affiche comme indiqué ci-dessous.
Vous pouvez modifier les paramètres des types d'interfaces suivants en fonction du modèle d'Edge :
- Port de commutateur (Switch Port)
- Interface routée (Routed Interface)
- Interface WLAN (WLAN Interface)
Vous pouvez également ajouter une sous-interface, une adresse IP secondaire et un SSID Wi-Fi basé sur le modèle d'Edge.
- Vous pouvez configurer les paramètres suivants pour une interface routée d'un dispositif Edge.
Option Description Description Entrez une description. Ce champ est facultatif. Interface activée (Interface Enabled) Cette option est activée par défaut. Si nécessaire, vous pouvez désactiver l'interface. Lorsqu'elle est désactivée, l'interface n'est pas disponible pour les communications. Capacité (Capability) Pour un port de commutateur, l'option Commutée (Switched) est sélectionnée par défaut. Pour convertir le port en interface routée, sélectionnez l'option Routée (Routed) dans le menu déroulant. Segments Par défaut, les paramètres de configuration s'appliquent à tous les segments. Authentification RADIUS (Radius Authentication) Décochez la case Activer l'overlay WAN (Enable WAN Overlay) pour configurer Authentification RADIUS (Radius Authentication). Cochez la case Authentification RADIUS (Radius Authentication) et ajoutez les adresses MAC des périphériques authentifiés au préalable. Réponse ECHO ICMP (ICMP Echo Response) Cette case est cochée par défaut. Cela permet à l'interface de répondre aux messages ECHO ICMP. Vous pouvez désactiver cette option pour des raisons de sécurité. Underlay Accounting Cette case est cochée par défaut. Si un overlay WAN privé est défini sur l'interface, tout le trafic d'underlay traversant l'interface est comptabilisé dans le débit mesuré du lien WAN pour éviter un surabonnement. Désactivez cette option pour éviter ce comportement. Note : L'option Underlay Accounting est prise en charge pour les adresses IPv4 et IPv6.Activer l'overlay WAN (Enable WAN Overlay) Cochez cette case pour activer l'overlay WAN pour l'interface. Proxy DNS (DNS Proxy) La fonctionnalité Proxy DNS (DNS Proxy) fournit une prise en charge supplémentaire des entrées DNS locales sur le dispositif Edge afin de pointer le trafic de certains périphériques vers des domaines spécifiques. Vous pouvez activer ou désactiver cette option, sans tenir compte du paramètre Serveur DHCP IPv4 (IPv4 DHCP Server) ou Serveur DHCP IPv6 (IPv6 DHCP Server). Note : Cette case est disponible uniquement pour une interface routée et une sous-interface routée.VLAN Pour un port d'accès, sélectionnez un VLAN existant dans le menu déroulant. Pour un port trunk, vous pouvez sélectionner plusieurs réseaux VLAN et sélectionner un VLAN non balisé. Modem EVDSL attaché (EVDSL Modem Attached) Cochez cette case pour activer un modem EVDSL connecté à l'un des ports Ethernet du dispositif Edge. Paramètres IPv4 (IPv4 Settings) Cochez la case Activer (Enable) et configurez les paramètres IPv4. Pour plus d'informations, reportez-vous à la section Paramètres IPv4 (IPv4 Settings) ci-dessous. Paramètres IPv6 (IPv6 Settings) Cochez la case Activer (Enable) et configurez les paramètres IPv6. Pour plus d'informations, reportez-vous à la section Paramètres IPv6 (IPv6 Settings) ci-dessous. Paramètres de couche 2 (L2 Settings) Négociation automatique (Autonegotiate) Cette option est sélectionnée par défaut. Lorsque cette option est sélectionnée, la négociation automatique permet au port de communiquer avec le périphérique à l'autre extrémité du lien pour déterminer le mode duplex optimal et la vitesse de la connexion. Vitesse (Speed) Cette option n'est disponible que lorsque l'option Négociation automatique (Autonegotiate) n'est pas sélectionnée. Sélectionnez la vitesse à laquelle le port doit communiquer avec d'autres liens. Par défaut, l'option 100 Mbits/s (100 Mbps) est sélectionnée. Duplex Cette option n'est disponible que lorsque l'option Négociation automatique (Autonegotiate) n'est pas sélectionnée. Sélectionnez Duplex intégral (Full duplex) ou Semi-duplex (Half duplex) comme mode de connexion. Par défaut, l'option Duplex intégral (Full duplex) est sélectionnée. MTU La taille de la MTU par défaut pour les trames reçues et envoyées sur toutes les interfaces routées est de 1 500 octets. Vous pouvez modifier la taille de la MTU d'une interface. Détection de LOS (LOS Detection) Cette option n'est disponible que pour une interface routée d'un dispositif Edge. Cochez cette case pour activer la détection de la perte de signal (Loss of Signal, LoS) à l'aide de la surveillance ARP. Pour plus d'informations, reportez-vous à la section Détection LoS pour HA sur les interfaces routées. Note : Vous ne pouvez cocher cette case que lorsque vous avez activé Haute disponibilité (High Availability) sur le dispositif Edge.
Paramètres IPv4 (IPv4 Settings)
Cochez la case Activé (Enabled) pour configurer les Paramètres IPv4 (IPv4 Settings) suivants :
Option | Description |
---|---|
Type d'adressage (Addressing Type) | Sélectionnez un type d'adressage :
Note : Les préfixes 31 bits sont pris en charge pour IPv4, conformément à RFC 3021.
|
OSPF | Cette option n'est disponible que lorsque vous avez configuré OSPF pour le Segment sélectionné. Cochez cette case et choisissez un protocole OSPF dans le menu déroulant. Cliquez sur Basculer les paramètres OSPF avancés (Toggle advance ospf settings) pour configurer les paramètres de l'interface pour le protocole OSPF sélectionné.
Note : OSPF n'est pas pris en charge sur les sous-interfaces ni sur les segments non globaux.
La configuration OSPFv2 prend uniquement en charge IPv4. La configuration OSPFv3 prend uniquement en charge IPv6.
Pour plus d'informations sur les paramètres OSPF et OSPFv3, reportez-vous à la section Activer OSPF pour les profils.
Note : OSFPv3 est uniquement disponible dans la version 5.2.
|
Multicast | Cette option n'est disponible que lorsque vous avez configuré les paramètres multicast pour le Segment sélectionné. Vous pouvez configurer les paramètres de multicast suivants pour l'interface sélectionnée.
Cliquez sur
Basculer les paramètres de multicast avancés (Toggle advanced multicast settings) pour configurer les temporisateurs suivants :
Note : Actuellement, le protocole MLD (Multicast Listener Discovery) est désactivé. Par conséquent, le dispositif Edge n'envoie pas de rapport d'écouteur multicast lorsque l'adresse IPv6 est attribuée à l'interface. S'il existe un commutateur de surveillance du trafic dans le réseau, le dispositif Edge peut ne pas recevoir les paquets multicast utilisés dans la détection des doublons d'adresses (DAD, Duplicate Address Detection) si le rapport MLD n'est pas envoyé. Cela entraîne la réussite de DAD, même avec une adresse en double.
|
Insertion de la VNF (VNF Insertion) | Vous devez désactiver l'option Overlay WAN (WAN Overlay) et cocher la case Source approuvée (Trusted Source) pour activer Insertion de la VNF (VNF Insertion). Lorsque vous insérez la VNF dans des interfaces de couche 3 ou des sous-interfaces, le système redirige le trafic de ces dernières vers la VNF. |
Annoncer (Advertise) | Cochez cette case pour annoncer l'interface à d'autres sites distants du réseau. |
Trafic direct NAT (NAT Direct Traffic) | Cochez cette case pour appliquer la NAT d'IPv4 au trafic réseau envoyé depuis l'interface.
Attention :
Il est possible qu'une version antérieure de SASE Orchestrator ait configuré NAT Direct par inadvertance sur une interface principale avec un VLAN ou une sous-interface configuré(e). Si cette interface envoie le trafic direct d'un ou de plusieurs tronçons, le client n'observe aucun problème, car le paramètre NAT Direct n'a pas été appliqué. Toutefois, lorsqu'un dispositif Edge est mis à niveau vers la version 5.2.0 ou une version ultérieure, la build d'Edge inclut un correctif pour le problème (Ticket n° 92142) avec le trafic direct NAT qui n'est pas correctement appliqué, ce qui entraîne une modification du comportement de routage, car ce cas d'utilisation spécifique n'a pas été mis en œuvre dans les versions antérieures. En d'autres termes, étant donné qu'un dispositif Edge de version 5.2.0 ou une version ultérieure met en œuvre désormais NAT Direct comme prévu pour tous les cas d'utilisation, le trafic qui fonctionnait auparavant (car NAT Direct n'était pas appliqué en raison de l'anomalie) peut désormais tomber en panne, car le client n'a jamais constaté que l'interface de NAT Direct a été vérifiée avec un VLAN ou une sous-interface configuré(e). Par conséquent, un client mettant à niveau son dispositif Edge vers la version 5.2.0 ou une version ultérieure doit d'abord vérifier ses paramètres de profils et de l'interface Edge pour s'assurer que NAT Direct est configuré uniquement en cas de besoin explicite et désactiver ce paramètre s'il n'est pas nécessaire, en particulier si un VLAN ou une sous-interface est configuré(e) pour cette interface. |
Source approuvée (Trusted Source) | Cochez la case pour définir l'interface comme source approuvée. |
Reverse Path Forwarding | Vous pouvez choisir une option pour Reverse Path Forwarding (RPF) uniquement lorsque vous avez coché la case Source approuvée (Trusted Source). Cette option autorise le trafic sur l'interface uniquement si le trafic de retour peut être transféré sur la même interface. Cela permet d'empêcher le trafic provenant de sources inconnues telles qu'un trafic malveillant sur un réseau d'entreprise. Si la source entrante est inconnue, le paquet est abandonné à l'entrée sans créer de flux. Sélectionnez l'une des options suivantes dans le menu déroulant :
|
- Activé (Activated) : active DHCP avec le dispositif Edge comme serveur DHCP. Si vous choisissez cette option, configurez les détails suivants :
- Début DHCP (DHCP Start) : entrez une adresse IP valide disponible dans le sous-réseau.
- Nombre d'adresses (Num Addresses) : entrez le nombre d'adresses IP disponibles sur un sous-réseau du serveur DHCP.
- Durée de bail (Lease Time) : sélectionnez la période dans le menu déroulant. Il s'agit de la durée pendant laquelle le VLAN est autorisé à utiliser une adresse IP attribuée dynamiquement par le serveur DHCP.
- Options : cliquez sur Ajouter (Add) pour ajouter des options DHCP prédéfinies ou personnalisées dans le menu déroulant. L'option DHCP est un service réseau transmis aux clients depuis le serveur DHCP. Choisissez une option personnalisée et entrez le code, le type de données et la valeur.
- Relais (Relay) : permet l'échange de messages DHCPv4 entre le client et le serveur. Si vous choisissez cette option, configurez les éléments suivants :
- Adresse(s) IP de l'agent relais [Relay Agent IP(s)] : spécifiez l'adresse IP de l'agent relais. Cliquez sur Ajouter (Add) pour ajouter d'autres adresses IP.
- Désactivé (Deactivated) : désactive le serveur DHCP.
Paramètres IPv6 (IPv6 Settings)
Option | Description |
---|---|
Type d'adressage (Addressing Type) | Sélectionnez un type d'adressage :
|
OSPF | Cette option n'est disponible que lorsque vous avez configuré OSPF pour le Segment sélectionné. Cochez cette case et choisissez un protocole OSPF dans le menu déroulant. Cliquez sur Basculer les paramètres OSPF avancés (Toggle advance ospf settings) pour configurer les paramètres de l'interface pour le protocole OSPF sélectionné.
Note : OSPF n'est pas pris en charge sur les sous-interfaces ni sur les segments non globaux.
La configuration OSPFv2 prend uniquement en charge IPv4. La configuration OSPFv3 prend uniquement en charge IPv6, qui est uniquement disponible dans la version 5.2.
Pour plus d'informations sur les paramètres OSPF et OSPFv3, reportez-vous à la section Activer OSPF pour les profils.
Note : OSFPv3 est uniquement disponible dans la version 5.2.
|
Annoncer (Advertise) | Cochez cette case pour annoncer l'interface à d'autres sites distants du réseau. |
Trafic direct NAT (NAT Direct Traffic) | Cochez cette case pour appliquer la NAT d'IPv6 au trafic réseau envoyé depuis l'interface.
Attention :
Il est possible qu'une version antérieure de SASE Orchestrator ait configuré NAT Direct par inadvertance sur une interface principale avec un VLAN ou une sous-interface configuré(e). Si cette interface envoie le trafic direct d'un ou de plusieurs tronçons, le client n'observe aucun problème, car le paramètre NAT Direct n'a pas été appliqué. Toutefois, lorsqu'un dispositif Edge est mis à niveau vers la version 5.2.0 ou une version ultérieure, la build d'Edge inclut un correctif pour le problème (Ticket n° 92142) avec le trafic direct NAT qui n'est pas correctement appliqué, ce qui entraîne une modification du comportement de routage, car ce cas d'utilisation spécifique n'a pas été mis en œuvre dans les versions antérieures. En d'autres termes, étant donné qu'un dispositif Edge de version 5.2.0 ou une version ultérieure met en œuvre désormais NAT Direct comme prévu pour tous les cas d'utilisation, le trafic qui fonctionnait auparavant (car NAT Direct n'était pas appliqué en raison de l'anomalie) peut désormais tomber en panne, car le client n'a jamais constaté que l'interface de NAT Direct a été vérifiée avec un VLAN ou une sous-interface configuré(e). Par conséquent, un client mettant à niveau son dispositif Edge vers la version 5.2.0 ou une version ultérieure doit d'abord vérifier ses paramètres de profils et de l'interface Edge pour s'assurer que NAT Direct est configuré uniquement en cas de besoin explicite et désactiver ce paramètre s'il n'est pas nécessaire, en particulier si un VLAN ou une sous-interface est configuré(e) pour cette interface. |
Source approuvée (Trusted Source) | Cochez la case pour définir l'interface comme source approuvée. |
Reverse Path Forwarding | Vous pouvez choisir une option pour Reverse Path Forwarding (RPF) uniquement lorsque vous avez coché la case Source approuvée (Trusted Source). Cette option autorise le trafic sur l'interface uniquement si le trafic de retour peut être transféré sur la même interface. Cela permet d'empêcher le trafic provenant de sources inconnues telles qu'un trafic malveillant sur un réseau d'entreprise. Si la source entrante est inconnue, le paquet est abandonné à l'entrée sans créer de flux. Sélectionnez l'une des options suivantes dans le menu déroulant :
|
- Activé (Activated) : active DHCPv6 avec le dispositif Edge comme serveur DHCPv6. Si vous choisissez cette option, configurez les détails suivants :
- Début DHCP (DHCP Start) : entrez une adresse IPv6 valide disponible dans le sous-réseau.
- Nombre d'adresses (Num. Addresses) : entrez le nombre d'adresses IP disponibles sur un sous-réseau du serveur DHCPv6.
- Durée de bail (Lease Time) : sélectionnez la période dans la liste déroulante. Il s'agit de la durée pendant laquelle le VLAN est autorisé à utiliser une adresse IPv6 affectée dynamiquement par le serveur DHCPv6.
- Délégation de préfixe DHCPv6 (DHCPv6 Prefix Delegation) : cliquez sur Ajouter (Add) pour attribuer des préfixes choisis à partir d'un pool global aux clients DHCP. Entrez le nom du pool de préfixes, ainsi que les détails de début et de fin du préfixe.
- Options : cliquez sur Ajouter (Add) pour ajouter des options DHCP prédéfinies ou personnalisées dans le menu déroulant. L'option DHCP est un service réseau transmis aux clients depuis le serveur DHCP. Choisissez une option personnalisée et entrez le code, le type de données et la valeur.
- Relais (Relay) : permet l'échange de messages DHCPv6 entre le client et le serveur. Si vous choisissez cette option, configurez les éléments suivants :
- Adresse(s) IP de l'agent relais [Relay Agent IP(s)] : spécifiez l'adresse IP de l'agent relais. Cliquez sur Ajouter (Add) pour ajouter d'autres adresses IP.
À partir de la version 5.2.0, VMware SD-WAN Edge prend en charge la fonctionnalité Relais DHCPv6 (DHCPv6 Relay). Cela permet aux clients DHCPv6 de communiquer avec un serveur DHCPv6 distant. Il est principalement semblable à la fonctionnalité Relais DHCPv4 (DHCPv4 Relay), sauf que DHCPv6 utilise des types de messages distincts pour permettre aux agents relais d'insérer leurs propres options ou d'identifier l'interface sortante pour le paquet de réponse. Pour activer cette fonctionnalité sur un dispositif Edge, vous devez activer IPv6 sur l'interface LAN de ce dispositif Edge.
Note :- Vous devez fournir l'adresse IP du serveur en tant qu'Adresse IP de l'agent relais (Relay Agent IP) sur l'interface orientée client.
- Si cette interface appartient à un segment non global, le serveur doit être atteint via le même segment non global.
- Adresse(s) IP de l'agent relais [Relay Agent IP(s)] : spécifiez l'adresse IP de l'agent relais. Cliquez sur Ajouter (Add) pour ajouter d'autres adresses IP.
- Désactivé (Deactivated) : désactive le serveur DHCP.
Paramètres de l'hôte d'annonce du routeur (Router Advertisement Host Settings) : les paramètres d'annonce du routeur (RA, Router Advertisement) sont disponibles uniquement lorsque vous activez Paramètres IPv6 (IPv6 Settings), puis que vous choisissez le Type d'adressage (Addressing Type) DHCP sans état (DHCP Stateless) ou DHCP avec état (DHCP Stateful).
Option | Description |
---|---|
MTU | Accepte la valeur MTU reçue via l'option Annonce de route (Route Advertisement). Si vous désactivez cette option, la configuration MTU de l'interface est prise en compte. |
Routes par défaut (Default Routes) | Installe les routes par défaut lorsque l'option Annonce de route (Route Advertisement) est reçue sur l'interface. Si vous désactivez cette option, aucune route par défaut n'est disponible pour l'interface. |
Routes spécifiques (Specific Route) | Installe des routes spécifiques lorsque l'option Annonce de route (Route Advertisement) reçoit des informations de route sur l'interface. Si vous désactivez cette option, l'interface n'installe pas les informations de route. |
Temporisateurs ND6 (ND6 Timers) | Accepte les temporisateurs ND6 reçus via l'option Annonce de route (Route Advertisement). Si vous désactivez cette option, les ND6 Timers par défaut sont pris en compte. La valeur par défaut pour le temporisateur de retransmission NDP est de 1 seconde et le délai d'expiration accessible de NDP est de 30 secondes. |
Contrôle d'accès Wi-Fi basé sur l'adresse MAC
Le contrôle d'accès Wi-Fi peut être utilisé comme couche supplémentaire de sécurité pour les réseaux sans fil. Lorsque cette option est activée, seules les adresses MAC connues et approuvées sont autorisées à être associées à la station de base.
- Dans le service SD-WAN du portail d'entreprise, cliquez sur et choisissez une interface WLAN existante pour configurer les paramètres suivants.
Option | Description |
---|---|
Interface activée (Interface Enabled) | Cochez la case pour activer l'interface. |
VLAN | Choisissez l'ID de VLAN dans le menu déroulant. |
SSID | Entrez le SSID. |
Sécurité (Security) | Sélectionnez WPA2/Entreprise (WPA2/Enterprise) ou WPA2/Personnel (WPA2/Personal) comme option Sécurité (Security). |
Liste autorisée d'adresses MAC statiques (Static MAC Allow List) | Cochez cette case pour autoriser uniquement les adresses MAC répertoriées à associer au point d'accès. Lorsque l'option Liste autorisée d'adresses MAC statiques (Static MAC Allow List) est configurée, seules les adresses Mac spécifiées dans la liste sont autorisées à être associées au point d'accès. . |
Vérification de la liste ACL RADIUS (Radius ACL Check) | Cochez la case pour associer l'adresse MAC à un serveur RADIUS. Si une acceptation d'accès est reçue, l'adresse MAC est autorisée à être associée au point d'accès.
Note : Les vérifications de la liste ACL RADIUS sont limitées au mode de sécurité
WPA2/Entreprise (WPA2/Enterprise).
|
Ajouter (Add) | Cliquez pour entrer une nouvelle adresse MAC. |
Supprimer (Delete) | Cliquez ici pour supprimer une adresse MAC existante. |
Filtrage MAC pour les sondes du point d'accès (MAC filtering for AP Probes) | L'activation du filtrage MAC pour les sondes du point d'accès empêche les sondes d'adresses MAC non approuvées de détecter activement les paramètres du point d'accès. Lorsque le SSID n'est pas diffusé, cela peut permettre d'empêcher des stations inconnues de se connecter au réseau. Certains périphériques sont connus pour utiliser des adresses MAC aléatoires pour le sondage, quels que soient les paramètres du point d'accès, et le filtrage de sonde peut empêcher ces périphériques de détecter le réseau ou de se connecter à ce dernier, même si l'adresse MAC de leur périphérique a été approuvée. |
Les options Filtrage MAC pour les sondes du point d'accès (MAC filtering for AP Probes) et Vérification de la liste ACL RADIUS (Radius ACL Check) ne peuvent pas se produire simultanément.