Όταν δημιουργείτε μια νέα πύλη, ανακατευθύνεστε αυτόματα στη σελίδα Διαμόρφωση πυλών (Configure Gateways), όπου μπορείτε να διαμορφώσετε τις ιδιότητες και άλλες πρόσθετες ρυθμίσεις για την πύλη.
Για να διαμορφώσετε μια υπάρχουσα πύλη:
Διαδικασία
- Στο νέο περιβάλλον εργασίας χρήστη, κάντε κλικ στην καρτέλα Διαχείριση πυλών (Gateway Management) και μεταβείτε στις Πύλες (Gateways) στο αριστερό παράθυρο περιήγησης.
Η σελίδα Πύλες (Gateways) εμφανίζει τη λίστα των διαθέσιμων πυλών.
- Κάντε κλικ στη σύνδεση προς μια πύλη που πρέπει να διαμορφωθεί για πρόσθετες ρυθμίσεις. Οι λεπτομέρειες της επιλεγμένης πύλης εμφανίζονται στη σελίδα Διαμόρφωση (Configure) > Πύλες (Gateways).
- Στην καρτέλα Επισκόπηση (Overview), μπορείτε να διαμορφώσετε τις ακόλουθες λεπτομέρειες:
Πεδίο Περιγραφή Ιδιότητες Εμφανίζει το υπάρχον όνομα και την περιγραφή της επιλεγμένης πύλης. Εάν απαιτείται, μπορείτε να τροποποιήσετε τις πληροφορίες. Μπορείτε επίσης να διαμορφώσετε τους ρόλους πύλης, όπως απαιτείται:- Επίπεδο δεδομένων (Data Plane) – Επιτρέπει στην πύλη να λειτουργεί στο επίπεδο δεδομένων και είναι επιλεγμένο από προεπιλογή.
- Επίπεδο ελέγχου (Control Plane) – Επιτρέπει στην πύλη να λειτουργεί στο επίπεδο ελέγχου και είναι ενεργοποιημένο από προεπιλογή.
- Ασφαλής πύλη VPN (Secure VPN Gateway) – Ενεργοποιήστε την επιλογή για να χρησιμοποιήσετε την πύλη ώστε να δημιουργήσετε μια διοχέτευση IPSec σε έναν Προορισμός μη SD-WAN.
- Πύλη συνεργατών(Partner Gateway) – Επιλέξτε το πλαίσιο ελέγχου για να επιτρέψετε την αντιστοίχιση της πύλης ως πύλης συνεργατών για Edge. Εάν ενεργοποιήσετε αυτήν την επιλογή, διαμορφώστε τις πρόσθετες ρυθμίσεις στην ενότητα Λεπτομέρειες πύλης συνεργατών (παράδοση για προχωρημένους) (Partner Gateway (Advanced Handoff) Details).
- CDE – Επιτρέπει στην πύλη να λειτουργεί σε λειτουργία περιβάλλοντος δεδομένων κατόχου κάρτας (CDE). Ενεργοποιήστε αυτήν την επιλογή για να αντιστοιχίσετε την πύλη για πελάτες που επιθυμούν τη μετάδοση κυκλοφορίας PCI.
- Διασύνδεση cloud προς cloud (Cloud-to-Cloud Interconnect) – Ορίστε την επιλογή για να ενεργοποιήσετε τις διοχετεύσεις διασύνδεσης cloud προς cloud (CCI) στις πύλες SD-WAN.
Σημείωση: Αυτή η επιλογή ρόλου πύλης εμφανίζεται, εάν η ιδιότητα συστήματος
session.options.enableZscalerCci
έχει οριστεί σεTrue
. - Cloud Web Security (Cloud Web Security) - Ενεργοποιεί έναν χρήστη χειριστή με ρόλο υπερχρήστη ή τυπικό ρόλο για να διαμορφώσετε μια Πύλη SD-WAN για έναν ρόλο Cloud Web Security (CWS). Για περισσότερες πληροφορίες, δείτε Οδηγός διαμόρφωσης Cloud Web Security VMware SD-WAN που διατίθεται στο https://docs.vmware.com/gr/VMware-Cloud-Web-Security/index.html.
Κατάσταση (Status) Μπορείτε να διαμορφώσετε τις ακόλουθες λεπτομέρειες: - Κατάσταση (Status) – Εμφανίζει την κατάσταση της πύλης που αντικατοπτρίζει την επιτυχία ή την αποτυχία των περιοδικών παλμών που αποστέλλονται στο Orchestrator. Ακολουθούν οι διαθέσιμες καταστάσεις:
- Συνδεδεμένη (Connected) – Η πύλη αποστέλλει με επιτυχία σήματα παλμών στο Orchestrator.
- Υποβαθμισμένη (Degraded) – Το Orchestrator δεν έχει λάβει τίποτα από την πύλη εδώ και τουλάχιστον ένα λεπτό.
- Εκτός σύνδεσης (Offline) – Το Orchestrator δεν έχει λάβει τίποτα από την πύλη εδώ και τουλάχιστον δύο λεπτά.
- Κατάσταση υπηρεσίας (Service State) – Επιλέξτε την κατάσταση υπηρεσίας της πύλης από τις ακόλουθες διαθέσιμες επιλογές:
- Σε υπηρεσία (In Service) – Η πύλη είναι συνδεδεμένη και είναι διαθέσιμη για κύριες ή δευτερεύουσες εκχωρήσεις διοχέτευσης. Όταν η κατάσταση υπηρεσίας της πύλης μεταβαίνει από «Εκτός υπηρεσίας» σε «Κατάσταση υπηρεσίας», οι κύριες ή δευτερεύουσες εκχωρήσεις, οι υπερ-πύλες και οι δρομολογήσεις Edge προς Edge υπολογίζονται εκ νέου για κάθε επιχείρηση που χρησιμοποιεί την πύλη.
- Εκκρεμεί η υπηρεσία (Pending Service) – Η πύλη είναι συνδεδεμένη και εκκρεμεί για εκχωρήσεις διοχέτευσης.
- Εκτός υπηρεσίας (Out of Service) – Η πύλη δεν είναι συνδεδεμένη ή δεν είναι διαθέσιμη για εκχωρήσεις. Όλες οι υπάρχουσες εκχωρήσεις καταργούνται.
- Αδρανοποιημένη (Quiesced) – Η υπηρεσία πύλης είναι αδρανοποιημένη ή έχει τεθεί σε παύση. Δεν είναι δυνατή η προσθήκη νέων διοχετεύσεων ή τοποθεσιών NSD στην πύλη. Ωστόσο, οι υπάρχουσες εκχωρήσεις θα παραμείνουν στην πύλη. Επιλέξτε αυτήν την κατάσταση για λόγους δημιουργίας αντιγράφων ασφαλείας ή συντήρησης.
Όταν η κατάσταση υπηρεσίας είναι Αδρανοποιημένη (Quiesced), ο Orchestrator παρέχει μια λειτουργία μετεγκατάστασης αυτοεξυπηρέτησης, που σας παρέχει τη δυνατότητα να μετεγκαταστήσετε από την υπάρχουσα πύλη σας σε μια νέα πύλη χωρίς την υποστήριξη του χειριστή σας.
Για περισσότερες πληροφορίες, δείτε Αδρανοποιημένες πύλες.
Σημείωση: Η μετεγκατάσταση αυτοεξυπηρέτησης δεν υποστηρίζεται στις πύλες συνεργατών.
- Συνδεδεμένα Edge (Connected Edges) – Εμφανίζει το πλήθος Edge που είναι συνδεδεμένα στην πύλη. Αυτή η επιλογή εμφανίζεται μόνον όταν είναι ενεργοποιημένη η πύλη.
- Λειτουργία ελέγχου ταυτότητας πύλης (Gateway Authentication Mode) – Επιλέξτε τη λειτουργία ελέγχου ταυτότητας της πύλης από τις ακόλουθες διαθέσιμες επιλογές:
- Πιστοποιητικό απενεργοποιημένο (Certificate Deactivated) – Η πύλη χρησιμοποιεί έλεγχο ταυτότητας με ήδη κοινόχρηστο κλειδί.
- Λήψη πιστοποιητικού (Certificate Acquire) – Αυτή η επιλογή είναι ενεργοποιημένη από προεπιλογή και δίνει εντολή στην πύλη να λάβει ένα πιστοποιητικό από την αρχή πιστοποίησης του SD-WAN Orchestrator, δημιουργώντας ένα ζεύγος κλειδιών και στέλνοντας μια αίτηση υπογραφής πιστοποιητικού στο Orchestrator. Μόλις ληφθεί, η πύλη χρησιμοποιεί το πιστοποιητικό για έλεγχο ταυτότητας στο SD-WAN Orchestrator, καθώς και για τη δημιουργία διοχετεύσεων VCMP.
Σημείωση: Μετά την απόκτηση του πιστοποιητικού, η επιλογή μπορεί να ενημερωθεί σε Απαιτείται πιστοποιητικό (Certificate Required).
- Απαιτείται πιστοποιητικό (Certificate Required) – Η πύλη χρησιμοποιεί το πιστοποιητικό PKI. Οι χειριστές μπορούν να αλλάξουν το χρονικό παράθυρο ανανέωσης πιστοποιητικού για πύλες χρησιμοποιώντας την ιδιότητα συστήματος
gateway.certificate.renewal.window
.
Σημείωση: Όταν ανακαλείται το πιστοποιητικό πύλης, η πύλη δεν λαμβάνει λίστα ανάκλησης πιστοποιητικών (CRL) καθώς χάνει αμέσως τη σύνδεση TLS. Πάντως, η πύλη είναι ακόμα λειτουργική.Σημείωση: Η τρέχουσα σχεδίαση QuickSec ελέγχει την εγκυρότητα του χρόνου CRL. Για να επηρεάσει το CRL τη νέα σύνδεση που δημιουργήθηκε, η χρονική ισχύς του CRL πρέπει να συμφωνεί με την τρέχουσα ώρα των Edge. Για να το εφαρμόσετε αυτό, βεβαιωθείτε ότι ενημερώσατε σωστά την ώρα του Orchestrator ώστε να ταιριάζει με την ημερομηνία και την ώρα των Edge. - Διεύθυνση IP (IP Address) – Εμφανίζει τη δημόσια διεύθυνση IP που χρησιμοποιούν οι δημόσιες συνδέσεις WAN ενός Edge, για να συνδεθούν στην πύλη. Αυτή η διεύθυνση IP χρησιμοποιείται για τη μοναδική αναγνώριση της πύλης. Εάν έχετε διαμορφώσει την πύλη, τόσο με διευθύνσεις IPv4, όσο και με διευθύνσεις IPv6, τότε σε αυτό το πεδίο εμφανίζονται και οι δύο διευθύνσεις IP.
Εάν έχετε δημιουργήσει μόνο μία πύλη IPv4 ή εάν μια υπάρχουσα πύλη IPv4 έχει αναβαθμιστεί από προηγούμενες εκδόσεις, μπορείτε να καταχωρίσετε τη διεύθυνση IPv6 για να υποστηρίξετε τη διπλή στοίβα. Αφού αποθηκεύσετε τις αλλαγές, η διεύθυνση IPv6 δεν αποστέλλεται αμέσως στα Edge. Μπορείτε να προκαλέσετε τη λειτουργία επανεξισορρόπησης για να προωθήσετε τη διεύθυνση IPv6 χειροκίνητα στον πελάτη και τα συσχετισμένα Edge ή η διεύθυνση IPv6 αποστέλλεται στα Edge κατά την επόμενη ενημέρωση του επιπέδου ελέγχου.
Σημείωση: Η προσθήκη διεύθυνσης IPv6 είναι μια εφάπαξ δραστηριότητα και μόλις αποθηκεύσετε τις αλλαγές, δεν μπορείτε να τροποποιήσετε τις διευθύνσεις IP.Προφύλαξη: Εάν μια διεύθυνση Ipv6 που δεν έχει διαμορφωθεί σωστά, προωθείται σε Εdge, αυτό ενδέχεται να οδηγήσει σε αποτυχία της διοχέτευσης IPv6 προς την πύλη IPv6. Σε τέτοιες περιπτώσεις, πρέπει να απενεργοποιήσετε την πύλη και να δημιουργήσετε μια νέα, για να ενεργοποιήσετε τόσο τις διευθύνσεις IPv4, όσο και τις διευθύνσεις IPv6.
Επικοινωνία και τοποθεσία (Contact & Location) Εμφανίζει τα υπάρχοντα στοιχεία επικοινωνίας. Εάν απαιτείται, μπορείτε να τροποποιήσετε τις πληροφορίες. Ρυθμίσεις Syslog Ξεκινώντας από την έκδοση 4.5, οι πύλες μπορούν να εξάγουν πληροφορίες NAT μέσω ενός απομακρυσμένου διακομιστή syslog ή μέσω telegraf προς τον επιθυμητό προορισμό. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα με τίτλο Διαμόρφωση syslog καταχώρησης NAT για πύλες στον Οδηγό χειριστή VMware SD-WAN που είναι δημοσιευμένος στη διεύθυνση https://docs.vmware.com/gr/VMware-SD-WAN/index.html. Χρήση πελάτη Εμφανίζει τα στοιχεία χρήσης των διαφόρων τύπων πυλών που έχουν αντιστοιχιστεί στους πελάτες. Συμμετοχή σε ομάδα Εμφανίζει τα στοιχεία των ομάδων πυλών στις οποίες έχει αντιστοιχιστεί η τρέχουσα πύλη. Λεπτομέρειες πύλης συνεργατών (παράδοση για προχωρημένους) Αυτή η ενότητα είναι διαθέσιμη μόνο όταν είναι επιλεγμένο το πλαίσιο ελέγχου Πύλη συνεργατών (Partner Gateway). Μπορείτε να διαμορφώσετε τις ρυθμίσεις παράδοσης για προχωρημένους για την πύλη συνεργατών. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Λεπτομέρειες πύλης συνεργατών (παράδοση για προχωρημένους) [Partner Gateway (Advanced Handoff) Details] παρακάτω. Cloud Web Security Αυτή η ενότητα σας επιτρέπει να διαμορφώσετε τη διεύθυνση IP τελικού σημείου ενθυλάκωσης γενικής αναπαράστασης δικτύου (Geneve) και το όνομα σημείων παρουσίας (PoP) για το Cloud Web Security, εάν είναι ενεργοποιημένος ο ρόλος πύλης Cloud Web Security. Λεπτομέρειες πύλης συνεργατών (παράδοση για προχωρημένους) [Partner Gateway (Advanced Handoff) Details]Μπορείτε να διαμορφώσετε τις ακόλουθες ρυθμίσεις παράδοσης για προχωρημένους για την πύλη συνεργατών:
Προφύλαξη: Συνιστάται να μην ωθήσετε τις διαμορφώσεις IPv6 σε πύλες συνεργατών που εκτελούνται με έκδοση λογισμικού προγενέστερη της 5.0.Επιλογή Περιγραφή Στατικές δρομολογήσεις | Υποδίκτυα (Static Routes | Subnets) – Καθορίστε τα υποδίκτυα ή τις δρομολογήσεις που θα πρέπει να κοινοποιεί η Πύλη SD-WAN στο SD-WAN Edge. Αυτό είναι καθολικό ανά Πύλη SD-WAN και ισχύει για ΟΛΟΥΣ τους πελάτες. Με το BGP, αυτή η ενότητα χρησιμοποιείται μόνον εάν υπάρχει ένα κοινόχρηστο υποδίκτυο, στο οποίο πρέπει να έχουν πρόσβαση όλοι οι πελάτες και εάν απαιτείται παράδοση NAT. Καταργήστε τα αχρησιμοποίητα υποδίκτυα από τη λίστα Στατική δρομολόγηση εάν δεν έχετε υποδίκτυα που πρέπει να κοινοποιήσετε στο SD-WAN Edge και να έχετε την παράδοση του τύπου NAT.
Μπορείτε να κάνετε κλικ στην καρτέλα IPv4 ή IPv6 για να ρυθμίσετε τις παραμέτρους του αντίστοιχου τύπου διεύθυνσης για τα υποδίκτυα.
Υποδίκτυα (Subnets) Εισαγάγετε τη διεύθυνση IPv4 ή IPv6 του υποδικτύου στατικής δρομολόγησης που θα πρέπει να κοινοποιεί η πύλη στο Edge. Κόστος (Cost) Καταχωρήστε το κόστος για την εφαρμογή της στάθμισης στις δρομολογήσεις. Το εύρος κυμαίνεται από 0 έως 255. Κρυπτογράφηση (Encrypt) Επιλέξτε το πλαίσιο ελέγχου για να κρυπτογραφήσετε την κυκλοφορία μεταξύ Edge και πύλης. Παράδοση (Hand off) Επιλέξτε ως τύπο παράδοσης VLAN ή NAT. Περιγραφή Προαιρετικά, εισαγάγετε ένα περιγραφικό κείμενο για τη στατική δρομολόγηση. Ρυθμίσεις διερευνήσεων ICMP και λειτουργιών απόκρισης ping (ICMP Probes and Ping Responders Settings) ICMP Failover Probe – Η Πύλη SD-WAN χρησιμοποιεί τη διερεύνηση ICMP για να ελέγξει τη δυνατότητα πρόσβασης σε μια συγκεκριμένη διεύθυνση IP και ειδοποιεί την SD-WAN Edge για ανακατεύθυνση στη δευτερεύουσα πύλη εάν η διεύθυνση IP δεν είναι προσβάσιμη. Αυτή η επιλογή υποστηρίζει μόνο διευθύνσεις IPv4. Προσθήκη ετικετών VLAN (VLAN Tagging) Επιλέξτε την ετικέτα VLAN από την αναπτυσσόμενη λίστα που θα εφαρμοστεί στα πακέτα διερεύνησης ICMP. Ακολουθούν οι διαθέσιμες επιλογές: - Καμία (None) – Χωρίς ετικέτα
- 802.1q – Μεμονωμένη ετικέτα VLAN
- 802.1ad / QinQ(0x8100) / QinQ(0x9100) – Διπλή ετικέτα VLAN
Διεύθυνση IP προορισμού (Destination IP address) Καταχωρήστε τη διεύθυνση IP για ping. Συχνότητα (Frequency) Καταχωρήστε το χρονικό διάστημα, σε δευτερόλεπτα, για να στείλετε το αίτημα για ping. Το εύρος είναι από 1 έως 60 δευτερόλεπτα. Όριο (Threshold) Καταχωρήστε πόσες φορές επιτρέπεται να απουσιάζουν οι απαντήσεις ping, ώστε να επισημανθούν οι δρομολογήσεις ως μη προσβάσιμες. Το εύρος είναι από 1 έως 10. Λειτουργία απόκρισης ICMP (ICMP Responder) – Επιτρέπει στην Πύλη SD-WAN να αποκρίνεται στη διερεύνηση ICMP από τον δρομολογητή επόμενου hop όταν είναι σε λειτουργία οι διοχετεύσεις. Αυτή η επιλογή υποστηρίζει μόνο διευθύνσεις IPv4. Διεύθυνση IP (IP address) Καταχωρήστε την εικονική διεύθυνση IP που θα αποκρίνεται στα αιτήματα για ping. Λειτουργία (Mode) Επιλέξτε μία από τις ακόλουθες λειτουργίες από την αναπτυσσόμενη λίστα: - Conditional (Υπό όρους) – Η Πύλη SD-WAN αποκρίνεται στο αίτημα ICMP μόνον όταν είναι σε λειτουργία η υπηρεσία και όταν είναι σε λειτουργία τουλάχιστον μία διοχέτευση.
- Πάντα (Always) - Η Πύλη SD-WAN αποκρίνεται πάντα στο αίτημα ICMP από τον ομότιμο.
Σημείωση: Οι παράμετροι της διερεύνησης ICMP είναι προαιρετικές και συνιστώνται μόνον εάν θέλετε να χρησιμοποιήσετε το ICMP για να ελέγξετε την εύρυθμη λειτουργία της Πύλη SD-WAN. Με την υποστήριξη BGP στην πύλη συνεργατών, η χρήση της διερεύνησης ICMP για ανακατεύθυνση και σύγκλιση δρομολόγησης δεν απαιτείται πλέον. Για περισσότερες πληροφορίες σχετικά με τη διαμόρφωση των ρυθμίσεων της υποστήριξης και παράδοσης BGP για μια πύλη συνεργατών, δείτε Διαμόρφωση παράδοσης συνεργάτη . - Μετά τη διαμόρφωση των απαιτούμενων στοιχείων, κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).