È possibile configurare le proprietà e gli altri dettagli di un gateway nel portale dell'operatore.
Quando si crea un nuovo gateway, si viene automaticamente reindirizzati alla pagina Configura Gateway (Configure Gateways).
Per configurare un gateway esistente:
Procedura
- Nel portale dell'operatore, fare clic su Gateway (Gateways).
- Nella pagina Gateway (Gateways) viene visualizzato l'elenco dei gateway disponibili. Fare clic sul link di un gateway. I dettagli del gateway selezionato vengono visualizzati nella pagina Configura gateway (Configure Gateways).
- Nella scheda Panoramica (Overview), configurare quanto segue.
Proprietà (Properties): in questa sezione vengono visualizzati il nome e la descrizione esistenti del gateway selezionato. Se necessario, è possibile modificare le informazioni.È inoltre possibile configurare i seguenti dettagli aggiuntivi:
Opzione Descrizione Ruoli gateway (Gateway Roles) Selezionare le caselle di controllo seguenti in base alle necessità: - Piano di controllo (Control Plane): consente al gateway di funzionare nel piano di controllo ed è selezionata per impostazione predefinita.
- CDE: consente al gateway di funzionare in modalità CDE (Cardholder Data Environment). Selezionare questa opzione per assegnare il gateway per i clienti che richiedono di trasmettere il traffico PCI.
- Cloud Web Security: consente a un utente operatore o con ruolo superuser o standard di configurare un SD-WAN Gateway per un ruolo di Cloud Web Security (CWS). Per ulteriori informazioni, vedere la Guida alla configurazione di VMware SD-WAN Cloud Web Security pubblicata all'indirizzo https://docs.vmware.com/it/VMware-Cloud-Web-Security/index.html.
- Piano dati (Data Plane): consente al gateway di funzionare nel piano dati ed è selezionata per impostazione predefinita.
- Gateway partner (Partner Gateway): selezionare la casella di controllo per consentire l'assegnazione del gateway come gateway partner per gli Edge. Se si seleziona questa opzione, configurare le impostazioni aggiuntive nella sezione Dettagli gateway partner (handoff avanzato) (Partner Gateway (Advanced Handoff) Details).
- Gateway VPN sicuro (Secure VPN Gateway): selezionare l'opzione per utilizzare il gateway per stabilire un tunnel IPSec in un destinazione non SD-WAN.
Stato servizio (Service State) Selezionare lo stato del servizio del gateway tra le seguenti opzioni disponibili: - In servizio (In Service): il gateway è connesso e disponibile.
- Fuori servizio (Out of Service): il gateway non è connesso.
- Inattivo (Quiesced): il servizio gateway è inattivo o in pausa. Selezionare questo stato a scopo di backup o manutenzione.
Stato (Status) Visualizza lo stato del gateway che riflette l'esito positivo o negativo degli heartbeat periodici inviati a Orchestrator. Gli stati disponibili sono i seguenti: - Connesso (Connected): l'heartbeat del gateway viene eseguito correttamente in Orchestrator.
- Degradato (Degraded): Orchestrator non ha ricevuto alcuna informazione dal gateway per almeno un minuto.
- Offline: Orchestrator non ha ricevuto alcuna informazione dal gateway per almeno due minuti.
Edge connessi Visualizza il numero di Edge connessi al gateway. Questa opzione è disponibile solo quando il gateway è attivato. Indirizzo IP (IP Address) Visualizza l'indirizzo IP pubblico che i link WAN pubblici di un Edge utilizzano per connettersi al gateway. Questo indirizzo IP viene utilizzato per identificare in modo univoco il gateway. Se il gateway è stato configurato con entrambi gli indirizzi IPv4 e IPv6, in questo campo vengono visualizzati entrambi gli indirizzi IP.
Se si crea un gateway solo IPv4 oppure è presente un gateway IPv4 aggiornato dalle versioni precedenti, è possibile immettere l'indirizzo IPv6 per supportare il dual stack. Dopo aver salvato le modifiche, l'indirizzo IPv6 non viene inviato immediatamente agli Edge. È possibile attivare l'operazione di ribilanciamento per inviare manualmente l'indirizzo IPv6 al cliente e gli Edge associati. Se non si procede manualmente, l'indirizzo IPv6 verrà inviato agli Edge durante il successivo aggiornamento del pannello di controllo.
Nota: L'aggiunta di un indirizzo IPv6 è un'attività singola e non è possibile modificare gli indirizzi IP dopo aver salvato le modifiche.Attenzione: Se un indirizzo IPv6 è configurato in modo non corretto, quando viene inviato agli Edge può causare un errore del tunneling IPv6 verso il gateway IPv6. In questi casi, è necessario disattivare il gateway e crearne uno nuovo per attivare entrambi gli indirizzi IPv4 e IPv6.Modalità di autenticazione gateway (Gateway Authentication Mode) Selezionare la modalità di autenticazione del gateway tra le seguenti opzioni disponibili: - Certificato disattivato (Certificate Deactivated): il gateway utilizza una modalità di autenticazione PSK (Pre-Shared Key).
- Acquisizione certificato (Certificate Acquire): questa opzione, selezionata per impostazione predefinita, indica al gateway di acquisire un certificato dall'autorità di certificazione di SD-WAN Orchestrator generando una coppia di chiavi e inviando una richiesta di firma del certificato a Orchestrator. Una volta acquisito il certificato, il gateway lo utilizza per l'autenticazione in SD-WAN Orchestrator e per la creazione di tunnel VCMP.
Nota: Dopo aver acquisito il certificato, l'opzione può essere aggiornata a Certificato richiesto (Certificate Required).
- Certificato richiesto (Certificate Required): il gateway utilizza il certificato PKI. Gli operatori possono modificare la finestra temporale di rinnovo del certificato per i gateway utilizzando la proprietà di sistema
gateway.certificate.renewal.window
.
Nota: Quando il certificato del gateway viene revocato, il gateway non riceve l'elenco di revoche di certificati (CRL) poiché perde immediatamente la connessione TLS. In ogni caso, il gateway è ancora eseguibile.Nota: La progettazione QuickSec corrente verifica la validità temporale del CRL. La validità temporale del CRL deve coincidere con l'ora corrente degli Edge affinché il CRL abbia un impatto sulla nuova connessione stabilita. Ai fini di tale implementazione, assicurarsi di aggiornare correttamente l'ora di Orchestrator in modo che corrisponda alla data e all'ora degli Edge.Dettagli gateway partner (handoff avanzato) (Partner Gateway (Advanced Handoff) Details): questa sezione è disponibile se si seleziona la casella di controllo Gateway partner (Partner Gateway) ed è possibile configurare le seguenti impostazioni:Attenzione: È consigliabile non eseguire il push delle configurazioni IPv6 ai gateway partner in esecuzione con una versione software precedente alla 5.0.Opzione Descrizione Route statiche (Static Routes): specificare le subnet o le route che SD-WAN Gateway deve annunciare a SD-WAN Edge. Questa operazione è globale per SD-WAN Gateway e si applica a TUTTI i clienti. Nel caso di BGP, questa sezione viene utilizzata solo se è presente una subnet condivisa a cui tutti i clienti devono accedere e se l'handoff NAT è obbligatorio. Rimuovere le subnet inutilizzate dall'elenco Route statiche (Static Route) se non si dispone di alcuna subnet da annunciare a SD-WAN Edge e l'handoff è di tipo NAT.
È possibile fare clic sulla scheda IPv4 o IPv6 per configurare il tipo di indirizzo corrispondente per le subnet.
Subnet Immettere l'indirizzo IPv4 o IPv6 della subnet di route statica che il gateway deve annunciare all'Edge. Costo (Cost) Immettere il costo per applicare la ponderazione sulle route. L'intervallo è compreso tra 0 e 255. Crittografa (Encrypt) Selezionare la casella di controllo per crittografare il traffico tra Edge e gateway. Handoff (Hand off) Selezionare il tipo di handoff VLAN o NAT. Descrizione (Description) Facoltativamente, immettere un testo descrittivo per la route statica. Probe di failover ICMP (ICMP Failover Probe) SD-WAN Gateway utilizza un probe ICMP per verificare la possibilità di raggiungere un determinato indirizzo IP e indica a SD-WAN Edge di eseguire il failover nel gateway secondario se l'indirizzo IP non è raggiungibile. Questa opzione supporta solo indirizzi IPv4. Contrassegno VLAN (VLAN Tagging) Nell'elenco a discesa selezionare il tag VLAN da applicare ai pacchetti di probe ICMP. Le opzioni disponibili sono le seguenti: - Nessuno (None): non è presente alcun tag
- 802.1q: è presente un tag VLAN singolo
- 802.1ad/QinQ(0x8100)/QinQ(0x9100): è presente un tag VLAN doppio
Indirizzo IP di destinazione (Destination IP address) Immettere l'indirizzo IP da sottoporre a ping. Frequenza (Frequency) Immettere l'intervallo di tempo, in secondi, per l'invio della richiesta ping. L'intervallo è compreso tra 1 e 60 secondi. Soglia (Threshold) Immettere il numero di volte per cui le risposte ping devono essere perse prima che le route vengano contrassegnate come irraggiungibili. L'intervallo è compreso tra 1 e 10. Risponditore ICMP abilitato (ICMP Responder Enabled): questa opzione consente a SD-WAN Gateway di rispondere al probe ICMP dal router dell'hop successivo quando i tunnel sono attivi. Questa opzione supporta solo indirizzi IPv4. Indirizzo IP (IP address) Immettere l'indirizzo IP virtuale che risponderà alle richieste ping. Modalità (Mode) Selezionare una delle seguenti modalità nell'elenco a discesa: - Condizionale (Conditional): SD-WAN Gateway risponderà alla richiesta ICMP solo quando il servizio e almeno un tunnel sono attivi.
- Sempre (Always): SD-WAN Gateway risponde sempre alla richiesta ICMP del peer.
Nota: I parametri del probe ICMP sono facoltativi. È consigliabile specificarli solo se si desidera utilizzare ICMP per controllare lo stato di integrità di SD-WAN Gateway. Con il supporto BGP in Gateway partner (Partner Gateway), non è più necessario utilizzare il probe ICMP per la convergenza di failover e routing. Per ulteriori informazioni sulla configurazione delle impostazioni di supporto e handoff di BGP per un gateway partner, vedere Configurazione dell'handoff del partner .Contatto e posizione (Contact & Location): in questa sezione vengono visualizzati i dettagli del contatto esistente. Se necessario, è possibile modificare le informazioni.Impostazioni syslog (Syslog Settings): a partire dalla versione 4.5, i gateway possono esportare le informazioni NAT tramite un server syslog remoto o tramite Telegraf nella destinazione desiderata. Per ulteriori informazioni, vedere la sezione Configurazione del syslog delle voci NAT per i gateway nella Guida dell'operatore di VMware SD-WAN pubblicata all'indirizzo https://docs.vmware.com/it/VMware-SD-WAN/index.html.Cloud Web Security: questa sezione consente di configurare l'indirizzo IP dell'endpoint Generic Network Virtualization Encapsulation (Geneve) e il nome PoP (Point-of-Presence) per Cloud Web Security, se è abilitato il ruolo gateway di Cloud Web Security.Utilizzo cliente (Customer Usage): in questa sezione vengono visualizzati i dettagli di utilizzo dei diversi tipi di gateway assegnati ai clienti.Appartenenza al pool (Pool Membership): in questa sezione vengono visualizzati i dettagli dei pool di gateway a cui è assegnato il gateway corrente. - Dopo aver configurato i dettagli obbligatori, fare clic su Salva modifiche (Save Changes).