Un Edge ha diversi tipi di interfacce. Per impostazione predefinita, le impostazioni di configurazione dell'interfaccia di un Edge vengono ereditate dal profilo associato. È possibile modificare e configurare più impostazioni per ogni Edge.
Le opzioni delle impostazioni dell'interfaccia variano in base al modello Edge. Per ulteriori informazioni su diversi modelli di Edge e le varie distribuzioni, vedere Configurazione delle impostazioni dell'interfaccia.
Per configurare le impostazioni di interfaccia per un Edge specifico, eseguire i passaggi seguenti:
- Nel servizio SD-WAN del portale dell'azienda, fare clic su . Nella pagina Edge (Edges) sono visualizzati gli Edge esistenti.
- Fare clic sul link di un Edge o sul link Visualizzazione (View) nella colonna Dispositivo (Device) dell'Edge. Le opzioni di configurazione per l'Edge selezionato vengono visualizzate nella scheda Dispositivo (Device).
- Nella categoria Connettività (Connectivity), espandere la voce Interfacce (Interfaces).
- Vengono visualizzati i diversi tipi di interfacce disponibili per l'Edge selezionato. Fare clic sul link di un'interfaccia per modificare le impostazioni. Viene visualizzata la schermata delle Impostazioni interfaccia come illustrato di seguito.
In base al modello edge, è possibile modificare le impostazioni per i seguenti tipi di interfacce:
- Porta switch
- Interfaccia instradata
- Interfaccia WLAN
È inoltre possibile aggiungere interfaccia secondaria, indirizzo IP secondario, indirizzo IP secondario e SSID Wi-Fi in base al modello di Edge.
- È possibile configurare le impostazioni seguenti per un'Interfaccia instradata di un Edge.
Opzione Descrizione Descrizione (Description) Immettere una descrizione. Questo campo è facoltativo. Interfaccia abilitata (Interface Enabled) Questa opzione è attivata per impostazione predefinita. Se necessario, è possibile disattivare l'interfaccia. Quando è disattivata, l'interfaccia non è disponibile per alcuna comunicazione. Funzionalità (Capability) Per una porta switch, l'opzione Commutata (Switched) è selezionata per impostazione predefinita. È possibile scegliere di convertire la porta in un'interfaccia instradata selezionando l'opzione Instradata (Routed) nel menu a discesa. Segmenti (Segments) Per impostazione predefinita, le impostazioni di configurazione sono applicabili a tutti i segmenti. Autenticazione RADIUS (Radius Authentication) Disattivare la casella di controllo Abilita overlay WAN (Enable WAN Overlay) per configurare l'Autenticazione RADIUS (Radius Authentication). Selezionare la casella di controllo Autenticazione RADIUS (Radius Authentication) e aggiungere gli indirizzi MAC dei dispositivi pre-autenticati. Risposta echo ICMP (ICMP Echo Response) Questa casella di controllo è selezionata per impostazione predefinita. Consente all'interfaccia di rispondere ai messaggi echo ICMP. È possibile disattivare questa opzione per motivi di sicurezza. Accounting underlay (Underlay Accounting) Questa casella di controllo è selezionata per impostazione predefinita. Se nell'interfaccia è definito un overlay WAN privato, tutto il traffico underlay che attraversa l'interfaccia verrà conteggiato rispetto alla velocità misurata del link WAN per evitare un numero eccessivo di sottoscrizioni. Disattivare questa opzione per evitare questo comportamento. Nota: L'accounting underlay è supportato per entrambi gli indirizzi IPv4 e IPv6.Abilita overlay WAN (Enable WAN Overlay) Selezionare la casella di controllo per attivare l'overlay WAN per l'interfaccia. Proxy DNS (DNS Proxy) La funzionalità Proxy DNS fornisce supporto aggiuntivo per le voci DNS locali nell'Edge per indirizzare il traffico di un determinato dispositivo a domini specifici. È possibile attivare o disattivare questa opzione indipendentemente dall'impostazione del server DHCP IPv4 o IPv6. Nota: Questa casella di controllo è disponibile solo per un'interfaccia instradata e una sottointerfaccia instradata.VLAN Per una porta di accesso, selezionare una VLAN esistente nel menu a discesa. Per una porta trunk, è possibile selezionare più VLAN e selezionare una VLAN senza tag. Modem EVDSL collegato (EVDSL Modem Attached) Selezionare questa casella di controllo per attivare un modem EVDSL connesso a una delle porte Ethernet nell'Edge. Impostazioni Ipv4 (IPv4 Settings) Selezionare la casella di controllo Abilita (Enable) e configurare le impostazioni IPv4. Per ulteriori informazioni, vedere la sezione seguente Impostazioni IPv4. Impostazioni Ipv6 (IPv6 Settings) Selezionare la casella di controllo Abilita (Enable) e configurare le impostazioni IPv6. Per ulteriori informazioni, vedere la sezione seguente Impostazioni IPv6. Impostazioni L2 (L2 Settings) Negoziazione automatica (Autonegotiate) Questa opzione è selezionata per impostazione predefinita. Quando questa opzione è selezionata, la negoziazione automatica consente alla porta di comunicare con il dispositivo all'altra estremità del link per determinare la modalità duplex e la velocità ottimali per la connessione. Velocità (Speed) Questa opzione è disponibile solo quando l'opzione Negoziazione automatica (Autonegotiate) non è selezionata. Selezionare la velocità con cui la porta deve comunicare con gli altri link. Per impostazione predefinita, è selezionato il valore 100 Mbps. Duplex Questa opzione è disponibile solo quando l'opzione Negoziazione automatica (Autonegotiate) non è selezionata. Selezionare la modalità della connessione come Full Duplex o Half Duplex. Per impostazione predefinita, è selezionata la modalità Full Duplex. MTU Le dimensioni predefinite di MTU per i fotogrammi ricevuti e inviati in tutte le interfacce instradate sono 1500 byte. È possibile modificare le dimensioni di MTU per un'interfaccia. Rilevamento LOS (LOS Detection) Questa opzione è disponibile solo per l'interfaccia instradata di un Edge. Selezionare la casella di controllo per attivare il rilevamento LoS (Loss of Signal) utilizzando il monitoraggio ARP. Per ulteriori informazioni, vedere Rilevamento LoS dell'alta disponibilità nelle interfacce instradate. Nota: È possibile selezionare la casella di controllo solo quando è attivata l'alta disponibilità nell'Edge.
Impostazioni IPv4
Selezionare la casella di controllo Abilitato (Enabled) e configurare le seguenti Impostazioni IPv4 (IPv4 Settings):
Opzione | Descrizione |
---|---|
Tipo di indirizzamento (Addressing Type) | Selezionare un tipo di indirizzamento:
Nota: I prefissi a 31 bit sono supportati per IPv4 in base alla RFC 3021.
|
OSPF | Questa opzione è disponibile solo quando è configurato OSPF per il Segmento (Segment) selezionato. Selezionare la casella di controllo e scegliere un OSPF nel menu a discesa. Fare clic su attiva/disattiva impostazioni OSPF avanzate (toggle advance ospf settings) per configurare le impostazioni dell'interfaccia per l'OSPF selezionato.
Nota: OSPF non è supportato nelle interfacce secondarie e non è supportato nei segmenti non globali.
La configurazione OSPFv2 supporta solo IPv4. La configurazione OSPFv3 supporta solo IPv6.
Per ulteriori informazioni sulle impostazioni di OSPF e OSPFv3, vedere. Attivazione di OSPF per i profili.
Nota: OSFPv3 è disponibile solo nella versione 5.2.
|
Multicast | Questa opzione è disponibile solo quando sono configurate le impostazioni multicast per il Segmento (Segment) selezionato. È possibile configurare le impostazioni multicast seguenti per l'interfaccia selezionata.
Fare clic su
selezione impostazioni multicast avanzate (toggle advanced multicast settings) per configurare i timer seguenti:
Nota: Al momento, Multicast Listener Discovery (MLD) è disattivato. Di conseguenza, l'Edge non invia il report del listener multicast quando l'indirizzo IPv6 è assegnato all'interfaccia. Se nella rete è presente uno snooping switch, il mancato invio del report MLD fa sì che l'Edge non riceva i pacchetti multicast utilizzati in DAD (Duplicate Address Detection). Ciò causa la riuscita di DAD anche con un indirizzo duplicato.
|
Inserimento VNF (VNF Insertion) | È necessario disattivare Overlay WAN (WAN Overlay) e selezionare la casella di controllo Origine attendibile (Trusted Source) per attivare Inserimento VNF (VNF Insertion). Quando si inserisce VNF nelle interfacce o nelle interfacce secondarie di livello 3, il sistema reindirizza il traffico dalle interfacce o dalle interfacce secondarie di livello 3 a VNF. |
Annuncia (Advertise) | Selezionare la casella di controllo per annunciare l'interfaccia alle altre filiali nella rete. |
Traffico diretto NAT (NAT Direct Traffic) | Selezionare la casella di controllo per applicare NAT per IPv4 al traffico di rete inviato dall'interfaccia.
Attenzione:
È possibile che una versione precedente di SASE Orchestrator sia configurata inavvertitamente come diretto NAT in un'interfaccia principale con una VLAN o una sottointerfaccia configurati. Se tale interfaccia invia traffico diretto a uno o più hop di distanza, il cliente non riscontrerà alcun problema perché l'impostazione diretto NAT non viene applicata. Tuttavia, quando un Edge viene aggiornato alla versione 5.2.0 o successiva, la build Edge include una correzione per il problema (Ticket #92142) relativo alla mancata applicazione corretta del traffico diretto NAT, con conseguente modifica del comportamento del routing, poiché questo caso d'uso specifico non era implementato nelle versioni precedenti. In altre parole, poiché un Edge 5.2.0 o successivo implementa ora il diretto NAT nel modo previsto per tutti i casi d'uso, il traffico che in precedenza funzionava (perché il diretto NAT non veniva applicato secondo il difetto) potrebbe ora non funzionare perché il cliente non si è mai reso conto che il diretto NAT è stato controllato per un'interfaccia con una VLAN o una sottointerfaccia configurata. Di conseguenza, un cliente che esegue l'aggiornamento dell'Edge alla versione 5.2.0 o successiva deve innanzitutto controllare le impostazioni dei profili e dell'interfaccia dell'Edge per assicurarsi che il diretto NAT sia configurato solo dove lo richiede esplicitamente e per disattivare questa impostazione dove non si trova, specialmente se in tale interfaccia è configurata una VLAN o una sottointerfaccia. |
Origine attendibile (Trusted Source) | Selezionare la casella di controllo per impostare l'interfaccia come origine attendibile. |
Inoltro percorso inverso (Reverse Path Forwarding) | È possibile scegliere un'opzione per Inoltro percorso inverso (Reverse Path Forwarding) solo quando è selezionata la casella di controllo Origine attendibile (Trusted Source). Questa opzione consente il traffico nell'interfaccia solo se il traffico di ritorno può essere inoltrato nella stessa interfaccia. In questo modo, è possibile impedire il traffico da origini sconosciute, come il traffico dannoso, in una rete aziendale. Se l'origine in entrata non è nota, il pacchetto viene eliminato all'ingresso senza creare flussi. Selezionare una delle seguenti opzioni nel menu a discesa:
|
- Attivato (Activated): consente di attivare DHCP con l'Edge come server DHCP. Se si sceglie questa opzione, configurare i dettagli seguenti:
- Avvio DHCP (DHCP Start): immettere un indirizzo IP valido disponibile nella subnet.
- Num. indirizzi (Num. Addresses): immettere il numero di indirizzi IP disponibili in una subnet nel server DHCP.
- Durata lease (Lease Time): selezionare il periodo di tempo nel menu a discesa. Indica il periodo di tempo per cui la VLAN può utilizzare un indirizzo IP assegnato dinamicamente dal server DHCP.
- Opzioni (Options): fare clic su Aggiungi (Add) per aggiungere opzioni DHCP predefinite o personalizzate selezionandole nel menu a discesa. L'opzione DHCP è un servizio di rete passato ai client dal server DHCP. Scegliere un'opzione personalizzata e immettere il codice, il tipo di dati e il valore.
- Relay: consente lo scambio di messaggi DHCPv4 tra il client e il server. Se si sceglie questa opzione, configurare quanto segue:
- IP agente di inoltro (Relay Agent IP(s)): specificare l'indirizzo IP agente di inoltro. Fare clic su Aggiungi (Add) per aggiungere altri indirizzi IP.
- Disattivato (Deactivated): consente di disattivare il server DHCP.
Impostazioni IPv6
Opzione | Descrizione |
---|---|
Tipo di indirizzamento (Addressing Type) | Selezionare un tipo di indirizzamento:
|
OSPF | Questa opzione è disponibile solo quando è configurato OSPF per il Segmento (Segment) selezionato. Selezionare la casella di controllo e scegliere un OSPF nel menu a discesa. Fare clic su attiva/disattiva impostazioni OSPF avanzate (toggle advance ospf settings) per configurare le impostazioni dell'interfaccia per l'OSPF selezionato.
Nota: OSPF non è supportato nelle interfacce secondarie e non è supportato nei segmenti non globali.
La configurazione OSPFv2 supporta solo IPv4. La configurazione OSPFv3 supporta solo IPv6, che è disponibile solo nella versione 5.2.
Per ulteriori informazioni sulle impostazioni di OSPF e OSPFv3, vedere. Attivazione di OSPF per i profili.
Nota: OSFPv3 è disponibile solo nella versione 5.2.
|
Annuncia (Advertise) | Selezionare la casella di controllo per annunciare l'interfaccia alle altre filiali nella rete. |
Traffico diretto NAT (NAT Direct Traffic) | Selezionare la casella di controllo per applicare NAT per IPv6 al traffico di rete inviato dall'interfaccia.
Attenzione:
È possibile che una versione precedente di SASE Orchestrator sia configurata inavvertitamente come diretto NAT in un'interfaccia principale con una VLAN o una sottointerfaccia configurati. Se tale interfaccia invia traffico diretto a uno o più hop di distanza, il cliente non riscontrerà alcun problema perché l'impostazione diretto NAT non viene applicata. Tuttavia, quando un Edge viene aggiornato alla versione 5.2.0 o successiva, la build Edge include una correzione per il problema (Ticket #92142) relativo alla mancata applicazione corretta del traffico diretto NAT, con conseguente modifica del comportamento del routing, poiché questo caso d'uso specifico non era implementato nelle versioni precedenti. In altre parole, poiché un Edge 5.2.0 o successivo implementa ora il diretto NAT nel modo previsto per tutti i casi d'uso, il traffico che in precedenza funzionava (perché il diretto NAT non veniva applicato secondo il difetto) potrebbe ora non funzionare perché il cliente non si è mai reso conto che il diretto NAT è stato controllato per un'interfaccia con una VLAN o una sottointerfaccia configurata. Di conseguenza, un cliente che esegue l'aggiornamento dell'Edge alla versione 5.2.0 o successiva deve innanzitutto controllare le impostazioni dei profili e dell'interfaccia dell'Edge per assicurarsi che il diretto NAT sia configurato solo dove lo richiede esplicitamente e per disattivare questa impostazione dove non si trova, specialmente se in tale interfaccia è configurata una VLAN o una sottointerfaccia. |
Origine attendibile (Trusted Source) | Selezionare la casella di controllo per impostare l'interfaccia come origine attendibile. |
Inoltro percorso inverso (Reverse Path Forwarding) | È possibile scegliere un'opzione per Inoltro percorso inverso (Reverse Path Forwarding) solo quando è selezionata la casella di controllo Origine attendibile (Trusted Source). Questa opzione consente il traffico nell'interfaccia solo se il traffico di ritorno può essere inoltrato nella stessa interfaccia. In questo modo, è possibile impedire il traffico da origini sconosciute, come il traffico dannoso, in una rete aziendale. Se l'origine in entrata non è nota, il pacchetto viene eliminato all'ingresso senza creare flussi. Selezionare una delle seguenti opzioni nel menu a discesa:
|
- Attivato (Activated): consente di attivare DHCPv6 con l'Edge come server DHCPv6. Se si sceglie questa opzione, configurare i dettagli seguenti:
- Avvio DHCP (DHCP Start): immettere un indirizzo IPv6 valido disponibile nella subnet.
- Num. Indirizzi (Num. Addresses): immettere il numero di indirizzi IP disponibili in una subnet nel server DHCPv6.
- Durata lease (Lease Time): selezionare il periodo di tempo nell'elenco a discesa. Indica il periodo di tempo per cui la VLAN può utilizzare un indirizzo IPv6 assegnato dinamicamente dal server DHCPv6.
- Delega prefisso DHCPv6 (DHCPv6 Prefix Delegation): fare clic su Aggiungi (Add) per assegnare i prefissi scelti da un pool globale ai client DHCP. Immettere il nome del pool di prefissi insieme ai dettagli di inizio e fine del prefisso.
- Opzioni (Options)– fare clic su Aggiungi (Add) per aggiungere opzioni DHCP predefinite o personalizzate selezionandole nel menu a discesa. L'opzione DHCP è un servizio di rete passato ai client dal server DHCP. Scegliere un'opzione personalizzata e immettere il codice, il tipo di dati e il valore.
- Relay : consente lo scambio di messaggi DHCPv6 tra il client e il server. Se si sceglie questa opzione, configurare quanto segue:
- IP agente di inoltro (Relay Agent IP(s)): specificare l'indirizzo IP agente di inoltro. Fare clic su Aggiungi (Add) per aggiungere altri indirizzi IP.
A partire dalla versione 5.2.0, VMware SD-WAN Edge supporta la funzionalità Relay DHCPv6 (DHCPv6 Relay). In questo modo, i client DHCPv6 possono comunicare con un server DHCPv6 remoto. È principalmente simile alla funzionalità Relay DHCPv4 (DHCPv4 Relay), ad eccezione del fatto che DHCPv6 utilizza tipi di messaggio separati per consentire agli agenti di relay di inserire opzioni personalizzate o di identificare l'interfaccia in uscita per il pacchetto di risposta. Per attivare questa funzionalità in un Edge, è necessario attivare IPv6 nell'interfaccia LAN di tale Edge.
Nota:- È necessario specificare l'indirizzo IP del server come indirizzo IP agente di inoltro (Relay Agent IP address) nell'interfaccia rivolta al cliente.
- Se questa interfaccia appartiene a un segmento non globale, il server deve essere raggiunto tramite lo stesso segmento non globale.
- IP agente di inoltro (Relay Agent IP(s)): specificare l'indirizzo IP agente di inoltro. Fare clic su Aggiungi (Add) per aggiungere altri indirizzi IP.
- Disattivato (Deactivated): consente di disattivare il server DHCP.
Impostazioni host annuncio router (Router Advertisement Host Settings): i parametri di annuncio del router (RA) sono disponibili solo quando si abilitano le Impostazioni IPv6 (IPv6 Settings) e si sceglie come Tipo di indirizzamento (Addressing Type) DHCP Stateless o DHCP Stateful.
Opzione | Descrizione |
---|---|
MTU | Consente di accettare il valore MTU ricevuto tramite l'annuncio della route. Se si disattiva questa opzione, viene considerata la configurazione MTU dell'interfaccia. |
Route predefinite (Default Routes) | Consente di installare le route predefinite quando viene ricevuto l'annuncio della route nell'interfaccia. Se si disattiva questa opzione, non sono disponibili route predefinite per l'interfaccia. |
Route specifiche (Specific Routes) | Consente di installare route specifiche quando l'annuncio della route riceve informazioni sulla route nell'interfaccia. Se si disattiva questa opzione, l'interfaccia non installa le informazioni di routing. |
Timer ND6 (ND6 Timers) | Consente di accettare i timer ND6 ricevuti tramite l'annuncio della route. Se si disattiva questa opzione, vengono considerati i timer ND6 predefiniti. Il valore predefinito per il timer di ritrasmissione NDP è 1 secondo e il timeout raggiungibile NDP è 30 secondi. |
Controllo degli accessi Wi-Fi in base all'indirizzo MAC
Il controllo degli accessi Wi-Fi può essere utilizzato come ulteriore livello di sicurezza per le reti wireless. Quando questa opzione è attivata, solo gli indirizzi MAC noti e approvati possono essere associati alla stazione di base.
- Nel Servizio SD-WAN del portale dell'azienda, fare clic su e scegliere un'interfaccia WLAN esistente per configurare i parametri seguenti.
Opzione | Descrizione |
---|---|
Interfaccia abilitata (Interface Enabled) | Selezionare la casella di controllo per attivare l'interfaccia. |
VLAN | Scegliere un ID VLAN dal menu a discesa. |
SSID | Immettere la SSID. |
Sicurezza (Security) | Selezionare WPA2/Aziendale (WPA2/Enterprise) o WPA2/Personale (WPA2/Personal) come opzione Sicurezza. |
Elenco MAC statici consentiti (Static MAC Allow List) | Selezionare la casella di controllo per consentire solo ai MAC elencati di associarsi all'access point. Quando è configurato Elenco MAC statici consentiti (Static MAC Allow List), solo gli indirizzi Mac specificati nell'elenco possono essere associati all'access point. . |
Controllo ACL Radius (Radius ACL Check) | Selezionare la casella di controllo per associare l'indirizzo MAC a un server RADIUS. Se viene ricevuta un'accettazione di accesso, il MAC può essere associato all'access point.
Nota: Le verifiche RADIUS ACL sono limitate alla modalità di sicurezza
WPA2/Aziendale (WPA2/Enterprise).
|
Aggiungi (Add) | Fare clic per immettere un nuovo indirizzo MAC. |
Elimina (Delete) | Fare clic per rimuovere un indirizzo MAC esistente. |
Filtro MAC per probe AP (MAC filtering for AP Probes) | L'abilitazione del filtro MAC per probe AP impedisce ai probe degli indirizzi MAC non approvati di rilevare attivamente i parametri dell'AP. Se l'SSID non viene trasmesso, ciò può contribuire a evitare che stazioni sconosciute si connettano alla rete. È risaputo che alcuni dispositivi utilizzano indirizzi MAC casuali per il probe, indipendentemente dalle impostazioni dell'AP, e il filtro probe può far sì che questi dispositivi non riescano a scoprire o a connettersi alla rete anche se il MAC del dispositivo è stato approvato. |
Non è possibile eseguire entrambi i Filtro MAC per probe AP (MAC filtering for AP Probes) e Controllo ACL RADIUS (RADIUS ACL Check) contemporaneamente.