Μπορείτε να διαμορφώσετε τις ιδιότητες και άλλες λεπτομέρειες μιας πύλης στην πύλη Χειριστή.
Όταν δημιουργείτε μια νέα πύλη, ανακατευθύνεστε αυτόματα στη σελίδα Διαμόρφωση πυλών (Configure Gateways).
Για να διαμορφώσετε μια υπάρχουσα πύλη:
Διαδικασία
- Στην πύλη Χειριστής (Operator), κάντε κλικ στην επιλογή Πύλες (Gateways).
- Η σελίδα Πύλες (Gateways) εμφανίζει τη λίστα των διαθέσιμων πυλών. Κάντε κλικ στη σύνδεση προς μια πύλη. Οι λεπτομέρειες της επιλεγμένης πύλης εμφανίζονται στη σελίδα Διαμόρφωση πυλών (Configure Gateways).
- Διαμορφώστε τα ακόλουθα, στην καρτέλα Επισκόπηση (Overview).
Ιδιότητες (Properties) – Σε αυτήν την ενότητα, εμφανίζονται το υπάρχον όνομα και η περιγραφή της επιλεγμένης πύλης. Εάν απαιτείται, μπορείτε να τροποποιήσετε τις πληροφορίες.Μπορείτε επίσης να διαμορφώσετε τα ακόλουθα πρόσθετα στοιχεία:
Επιλογή Περιγραφή Ρόλοι πύλης (Gateway Roles) Επιλέξτε τα ακόλουθα πλαίσια ελέγχου, εάν απαιτείται: - Επίπεδο ελέγχου (Control Plane): Επιτρέπει στην πύλη να λειτουργεί στο επίπεδο ελέγχου και είναι ενεργοποιημένο από προεπιλογή.
- CDE: Επιτρέπει στην πύλη να λειτουργεί σε λειτουργία περιβάλλοντος δεδομένων κατόχου κάρτας (CDE). Ενεργοποιήστε αυτήν την επιλογή για να αντιστοιχίσετε την πύλη για πελάτες που επιθυμούν τη μετάδοση κυκλοφορίας PCI.
- Cloud Web Security (Cloud Web Security) - Ενεργοποιεί έναν χρήστη χειριστή με ρόλο υπερχρήστη ή τυπικό ρόλο για να διαμορφώσετε μια Πύλη SD-WAN για έναν ρόλο Cloud Web Security (CWS). Για περισσότερες πληροφορίες, δείτε Οδηγός διαμόρφωσης Cloud Web Security VMware SD-WAN που διατίθεται στο https://docs.vmware.com/gr/VMware-Cloud-Web-Security/index.html.
- Επίπεδο δεδομένων (Data Plane): Επιτρέπει στην πύλη να λειτουργεί στο επίπεδο δεδομένων και είναι επιλεγμένο από προεπιλογή.
- Πύλη συνεργατών(Partner Gateway): Επιλέξτε το πλαίσιο ελέγχου για να επιτρέψετε την αντιστοίχιση της πύλης ως πύλης συνεργατών για Edge. Εάν ενεργοποιήσετε αυτήν την επιλογή, διαμορφώστε τις πρόσθετες ρυθμίσεις στην ενότητα Λεπτομέρειες πύλης συνεργατών (παράδοση για προχωρημένους) (Partner Gateway (Advanced Handoff) Details).
- Ασφαλής πύλη VPN (Secure VPN Gateway): Ενεργοποιήστε την επιλογή για να χρησιμοποιήσετε την πύλη ώστε να δημιουργήσετε μια διοχέτευση IPSec σε έναν Προορισμός μη SD-WAN.
Κατάσταση υπηρεσίας (Service State) Επιλέξτε την κατάσταση υπηρεσίας της πύλης από τις ακόλουθες διαθέσιμες επιλογές: - Σε υπηρεσία (In Service): Η πύλη είναι συνδεδεμένη και διαθέσιμη.
- Εκτός υπηρεσίας (Out of Service): Η πύλη δεν είναι συνδεδεμένη.
- Αδρανοποιημένη (Quiesced): Η υπηρεσία πύλης είναι αδρανοποιημένη ή έχει τεθεί σε παύση. Επιλέξτε αυτήν την κατάσταση για λόγους δημιουργίας αντιγράφων ασφαλείας ή συντήρησης.
Κατάσταση (Status) Εμφανίζει την κατάσταση της πύλης που αντικατοπτρίζει την επιτυχία ή την αποτυχία των περιοδικών παλμών που αποστέλλονται στο Orchestrator. Ακολουθούν οι διαθέσιμες καταστάσεις: - Συνδεδεμένη (Connected): Η πύλη αποστέλλει με επιτυχία σήματα παλμών στον Orchestrator.
- Υποβαθμισμένη (Degraded): Ο Orchestrator δεν έχει λάβει τίποτα από την πύλη εδώ και τουλάχιστον ένα λεπτό.
- Εκτός σύνδεσης (Offline): Ο Orchestrator δεν έχει λάβει τίποτα από την πύλη εδώ και τουλάχιστον δύο λεπτά.
Συνδεδεμένα Edge (Connected Edges) Εμφανίζει τον αριθμό των Edge που είναι συνδεδεμένα στην πύλη. Αυτή η επιλογή εμφανίζεται μόνον όταν είναι ενεργοποιημένη η πύλη. Διεύθυνση IP (IP Address) Εμφανίζει τη δημόσια διεύθυνση IP που χρησιμοποιούν οι δημόσιες συνδέσεις WAN ενός Edge, για να συνδεθούν στην πύλη. Αυτή η διεύθυνση IP χρησιμοποιείται για τη μοναδική αναγνώριση της πύλης. Εάν έχετε διαμορφώσει την πύλη, τόσο με διευθύνσεις IPv4, όσο και με διευθύνσεις IPv6, τότε σε αυτό το πεδίο εμφανίζονται και οι δύο διευθύνσεις IP.
Εάν έχετε δημιουργήσει μόνο μία πύλη IPv4 ή εάν μια υπάρχουσα πύλη IPv4 έχει αναβαθμιστεί από προηγούμενες εκδόσεις, μπορείτε να καταχωρίσετε τη διεύθυνση IPv6 για να υποστηρίξετε τη διπλή στοίβα. Αφού αποθηκεύσετε τις αλλαγές, η διεύθυνση IPv6 δεν αποστέλλεται αμέσως στα Edge. Μπορείτε να προκαλέσετε τη λειτουργία επανεξισορρόπησης για να προωθήσετε τη διεύθυνση IPv6 χειροκίνητα στον πελάτη και τα συσχετισμένα Edge ή η διεύθυνση IPv6 αποστέλλεται στα Edge κατά την επόμενη ενημέρωση του επιπέδου ελέγχου.
Σημείωση: Η προσθήκη διεύθυνσης IPv6 είναι μια εφάπαξ δραστηριότητα και μόλις αποθηκεύσετε τις αλλαγές, δεν μπορείτε να τροποποιήσετε τις διευθύνσεις IP.Προφύλαξη: Εάν μια διεύθυνση Ipv6 που δεν έχει διαμορφωθεί σωστά, προωθείται σε Εdge, αυτό ενδέχεται να οδηγήσει σε αποτυχία της διοχέτευσης IPv6 προς την πύλη IPv6. Σε τέτοιες περιπτώσεις, πρέπει να απενεργοποιήσετε την πύλη και να δημιουργήσετε μια νέα, για να ενεργοποιήσετε τόσο τις διευθύνσεις IPv4, όσο και τις διευθύνσεις IPv6.Λειτουργία ελέγχου ταυτότητας πύλης (Gateway Authentication Mode) Επιλέξτε τη λειτουργία ελέγχου ταυτότητας της πύλης από τις ακόλουθες διαθέσιμες επιλογές: - Πιστοποιητικό απενεργοποιημένο (Certificate Deactivated): Η πύλη χρησιμοποιεί έλεγχο ταυτότητας με ήδη κοινόχρηστο κλειδί.
- Λήψη πιστοποιητικού (Certificate Acquire): Αυτή η επιλογή είναι ενεργοποιημένη από προεπιλογή και δίνει εντολή στην πύλη να λάβει ένα πιστοποιητικό από την αρχή έκδοσης πιστοποιητικών του SD-WAN Orchestrator, δημιουργώντας ένα ζεύγος κλειδιών και στέλνοντας μια αίτηση υπογραφής πιστοποιητικού στο Orchestrator. Μόλις ληφθεί, η πύλη χρησιμοποιεί το πιστοποιητικό για έλεγχο ταυτότητας στο SD-WAN Orchestrator, καθώς και για τη δημιουργία διοχετεύσεων VCMP.
Σημείωση: Μετά την απόκτηση του πιστοποιητικού, η επιλογή μπορεί να ενημερωθεί σε Απαιτείται πιστοποιητικό (Certificate Required).
- Απαιτείται πιστοποιητικό (Certificate Required): Η πύλη χρησιμοποιεί το πιστοποιητικό PKI. Οι χειριστές μπορούν να αλλάξουν το χρονικό παράθυρο ανανέωσης πιστοποιητικού για πύλες χρησιμοποιώντας την ιδιότητα συστήματος
gateway.certificate.renewal.window
.
Σημείωση: Όταν ανακαλείται το πιστοποιητικό πύλης, η πύλη δεν λαμβάνει λίστα ανάκλησης πιστοποιητικών (CRL) καθώς χάνει αμέσως τη σύνδεση TLS. Πάντως, η πύλη είναι ακόμα λειτουργική.Σημείωση: Η τρέχουσα σχεδίαση QuickSec ελέγχει την εγκυρότητα του χρόνου CRL. Για να επηρεάσει το CRL τη νέα σύνδεση που δημιουργήθηκε, η χρονική ισχύς του CRL πρέπει να συμφωνεί με την τρέχουσα ώρα των Edge. Για να το εφαρμόσετε αυτό, βεβαιωθείτε ότι ενημερώσατε σωστά την ώρα του Orchestrator ώστε να ταιριάζει με την ημερομηνία και την ώρα των Edge.Λεπτομέρειες πύλης συνεργατών (παράδοση για προχωρημένους) (Partner Gateway (Advanced Handoff) Details) – Αυτή η ενότητα είναι διαθέσιμη εάν επιλέξετε το πλαίσιο ελέγχου Πύλη συνεργατών (Partner Gateway) και μπορείτε να διαμορφώσετε τις ακόλουθες ρυθμίσεις:Προφύλαξη: Συνιστάται να μην ωθήσετε τις διαμορφώσεις IPv6 σε πύλες συνεργατών που εκτελούνται με έκδοση λογισμικού προγενέστερη της 5.0.Επιλογή Περιγραφή Στατικές δρομολογήσεις (Static Routes) – Καθορίστε τα υποδίκτυα ή τις δρομολογήσεις που θα πρέπει να κοινοποιεί η Πύλη SD-WAN στο SD-WAN Edge. Αυτό είναι καθολικό ανά Πύλη SD-WAN και ισχύει για ΟΛΟΥΣ τους πελάτες. Με το BGP, αυτή η ενότητα χρησιμοποιείται μόνον εάν υπάρχει ένα κοινόχρηστο υποδίκτυο, στο οποίο πρέπει να έχουν πρόσβαση όλοι οι πελάτες και εάν απαιτείται παράδοση NAT. Καταργήστε τα αχρησιμοποίητα υποδίκτυα από τη λίστα Στατική δρομολόγηση εάν δεν έχετε υποδίκτυα που πρέπει να κοινοποιήσετε στο SD-WAN Edge και να έχετε την παράδοση του τύπου NAT.
Μπορείτε να κάνετε κλικ στην καρτέλα IPv4 ή IPv6 για να ρυθμίσετε τις παραμέτρους του αντίστοιχου τύπου διεύθυνσης για τα υποδίκτυα.
Υποδίκτυα (Subnets) Εισαγάγετε τη διεύθυνση IPv4 ή IPv6 του υποδικτύου στατικής δρομολόγησης που θα πρέπει να κοινοποιεί η πύλη στο Edge. Κόστος (Cost) Καταχωρήστε το κόστος για την εφαρμογή της στάθμισης στις δρομολογήσεις. Το εύρος κυμαίνεται από 0 έως 255. Κρυπτογράφηση (Encrypt) Επιλέξτε το πλαίσιο ελέγχου για να κρυπτογραφήσετε την κυκλοφορία μεταξύ Edge και πύλης. Παράδοση (Hand off) Επιλέξτε ως τύπο παράδοσης VLAN ή NAT. Περιγραφή (Description) Προαιρετικά, εισαγάγετε ένα περιγραφικό κείμενο για τη στατική δρομολόγηση. ICMP Failover Probe – Η Πύλη SD-WAN χρησιμοποιεί τη διερεύνηση ICMP για να ελέγξει τη δυνατότητα πρόσβασης σε μια συγκεκριμένη διεύθυνση IP και ειδοποιεί την SD-WAN Edge για ανακατεύθυνση στη δευτερεύουσα πύλη εάν η διεύθυνση IP δεν είναι προσβάσιμη. Αυτή η επιλογή υποστηρίζει μόνο διευθύνσεις IPv4. Προσθήκη ετικετών VLAN (VLAN Tagging) Επιλέξτε την ετικέτα VLAN από την αναπτυσσόμενη λίστα που θα εφαρμοστεί στα πακέτα διερεύνησης ICMP. Ακολουθούν οι διαθέσιμες επιλογές: - Καμία (None) – Χωρίς ετικέτα
- 802.1q – Μεμονωμένη ετικέτα VLAN
- 802.1ad / QinQ(0x8100) / QinQ(0x9100) – Διπλή ετικέτα VLAN
Διεύθυνση IP προορισμού (Destination IP address) Καταχωρήστε τη διεύθυνση IP για ping. Συχνότητα (Frequency) Καταχωρήστε το χρονικό διάστημα, σε δευτερόλεπτα, για να στείλετε το αίτημα για ping. Το εύρος είναι από 1 έως 60 δευτερόλεπτα. Όριο (Threshold) Καταχωρήστε πόσες φορές επιτρέπεται να απουσιάζουν οι απαντήσεις ping, ώστε να επισημανθούν οι δρομολογήσεις ως μη προσβάσιμες. Το εύρος είναι από 1 έως 10. Ενεργοποιήθηκε λειτουργία απόκρισης ICMP (ICMP Responder Enabled): Επιτρέπει στο Πύλη SD-WAN να ανταποκρίνεται στη διερεύνηση ICMP από τον επόμενο hop δρομολογητή όταν οι διοχετεύσεις είναι ενεργές. Αυτή η επιλογή υποστηρίζει μόνο διευθύνσεις IPv4. Διεύθυνση IP (IP address) Καταχωρήστε την εικονική διεύθυνση IP που θα αποκρίνεται στα αιτήματα για ping. Λειτουργία (Mode) Επιλέξτε μία από τις ακόλουθες λειτουργίες από την αναπτυσσόμενη λίστα: - Conditional (Υπό όρους) – Η Πύλη SD-WAN αποκρίνεται στο αίτημα ICMP μόνον όταν είναι σε λειτουργία η υπηρεσία και όταν είναι σε λειτουργία τουλάχιστον μία διοχέτευση.
- Πάντα (Always) - Η Πύλη SD-WAN αποκρίνεται πάντα στο αίτημα ICMP από τον ομότιμο.
Σημείωση: Οι παράμετροι της διερεύνησης ICMP είναι προαιρετικές και συνιστώνται μόνον εάν θέλετε να χρησιμοποιήσετε το ICMP για να ελέγξετε την εύρυθμη λειτουργία της Πύλη SD-WAN. Με την υποστήριξη BGP στην πύλη συνεργατών, η χρήση της διερεύνησης ICMP για ανακατεύθυνση και σύγκλιση δρομολόγησης δεν απαιτείται πλέον. Για περισσότερες πληροφορίες σχετικά με τη διαμόρφωση των ρυθμίσεων της υποστήριξης και παράδοσης BGP για μια πύλη συνεργατών, δείτε Διαμόρφωση παράδοσης συνεργάτη .Επικοινωνία και τοποθεσία (Contact & Location) – Τα υπάρχοντα στοιχεία επικοινωνίας εμφανίζονται σε αυτήν την ενότητα. Εάν απαιτείται, μπορείτε να τροποποιήσετε τις πληροφορίες.Ρυθμίσεις Syslog (Syslog Settings) – Ξεκινώντας με την έκδοση 4.5, οι πύλες μπορούν να εξαγάγουν πληροφορίες NAT μέσω ενός απομακρυσμένου διακομιστή syslog ή μέσω Telegraf στον επιθυμητό προορισμό. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα με τίτλο Διαμόρφωση syslog καταχώρησης NAT για πύλες στον Οδηγό χειριστή VMware SD-WAN που είναι δημοσιευμένος στη διεύθυνση https://docs.vmware.com/gr/VMware-SD-WAN/index.html.Cloud Web Security - Αυτή η ενότητα σας επιτρέπει να διαμορφώσετε τη διεύθυνση IP τελικού σημείου ενθυλάκωσης γενικής αναπαράστασης δικτύου (Geneve) και το όνομα σημείων παρουσίας (PoP) για το Cloud Web Security, εάν είναι ενεργοποιημένος ο ρόλος πύλης Cloud Web Security.Χρήση πελάτη (Customer Usage) – Αυτή η ενότητα εμφανίζει τα στοιχεία χρήσης των διαφόρων τύπων πυλών που έχουν αντιστοιχιστεί στους πελάτες.Συμμετοχή σε ομάδα (Pool Membership) – Αυτή η ενότητα εμφανίζει τα στοιχεία των ομάδων πυλών στις οποίες έχει αντιστοιχιστεί η τρέχουσα πύλη. - Μετά τη διαμόρφωση των απαιτούμενων στοιχείων, κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).