Quando si crea un nuovo gateway, si viene automaticamente reindirizzati alla pagina Configura gateway (Configure Gateways) in cui è possibile configurare le proprietà e altre impostazioni aggiuntive per il gateway.
Per configurare un gateway esistente:
Procedura
- Nel portale Partner di SASE Orchestrator, fare clic sulla scheda Gestione gateway (Gateway Management) e passare a Gateway (Gateways) nel riquadro di navigazione a sinistra.
Nella pagina Gateway (Gateways) viene visualizzato l'elenco dei gateway disponibili.
- Fare clic sul link per un gateway per cui è necessario configurare impostazioni aggiuntive. I dettagli del gateway selezionato vengono visualizzati nella pagina Configura (Configure) > Gateway (Gateways).
- Nella scheda Panoramica (Overview), è possibile configurare i seguenti dettagli:
Campo Descrizione Proprietà (Properties) Visualizza il nome e la descrizione esistenti del gateway selezionato. Se necessario, è possibile modificare le informazioni. È inoltre possibile configurare i ruoli del gateway in base alle necessità:- Piano dati (Data Plane): consente al gateway di funzionare nel piano dati ed è selezionata per impostazione predefinita.
- Piano di controllo (Control Plane): consente al gateway di funzionare nel piano di controllo ed è selezionata per impostazione predefinita.
- Gateway VPN sicuro (Secure VPN Gateway): selezionare l'opzione per utilizzare il gateway per stabilire un tunnel IPSec verso una destinazione non SD-WAN.
- Gateway partner (Partner Gateway): selezionare la casella di controllo per consentire l'assegnazione del gateway come gateway partner per gli Edge. Se si seleziona questa opzione, configurare le impostazioni aggiuntive nella sezione Dettagli gateway partner (handoff avanzato) (Partner Gateway (Advanced Handoff) Details).
- CDE: consente al gateway di funzionare in modalità CDE (Cardholder Data Environment). Selezionare questa opzione per assegnare il gateway per i clienti che richiedono di trasmettere il traffico PCI.
- Interconnessione da cloud a cloud (Cloud-to-Cloud Interconnect): selezionare l'opzione per abilitare i tunnel di interconnessione da cloud a cloud (CCI) negli SD-WAN Gateway.
Nota: Questa opzione relativa al ruolo del gateway viene visualizzata se la proprietà di sistema
session.options.enableZscalerCci
è impostata suTrue
. - Cloud Web Security: consente a un utente operatore o con ruolo superuser o standard di configurare un SD-WAN Gateway per un ruolo di Cloud Web Security (CWS). Per ulteriori informazioni, vedere la Guida alla configurazione di VMware SD-WAN Cloud Web Security pubblicata all'indirizzo https://docs.vmware.com/it/VMware-Cloud-Web-Security/index.html.
Stato (Status) È possibile configurare i seguenti dettagli: - Stato (Status): visualizza lo stato del gateway che riflette l'esito positivo o negativo degli heartbeat periodici inviati a Orchestrator. Gli stati disponibili sono i seguenti:
- Connesso (Connected): l'heartbeat del gateway viene eseguito correttamente in Orchestrator.
- Degradato (Degraded): Orchestrator non ha ricevuto alcuna informazione dal gateway per almeno un minuto.
- Offline: Orchestrator non ha ricevuto alcuna informazione dal gateway per almeno due minuti.
- Stato servizio (Service State): selezionare lo stato del servizio del gateway tra le seguenti opzioni disponibili:
- In servizio (In Service): il gateway è connesso ed è disponibile per le assegnazioni del tunnel primario o secondario. Quando lo stato del servizio del gateway passa da "Fuori servizio (Out Of Service)" a "In servizio (In Service)", le assegnazioni primarie o secondarie, i super gateway e le route da Edge a Edge vengono ricalcolati per ogni azienda che utilizza il gateway.
- Servizio in sospeso (Pending Service): il gateway è connesso ed è in sospeso per le assegnazioni del tunnel.
- Fuori servizio (Out of Service): il gateway non è connesso o non è disponibile per alcuna assegnazione. Tutte le assegnazioni esistenti vengono rimosse.
- Inattivo (Quiesced):il servizio gateway è inattivo o in pausa. Al gateway non possono essere aggiunti nuovi tunnel o NSD. Tuttavia, le assegnazioni esistenti rimangono nel gateway. Selezionare questo stato a scopo di backup o manutenzione.
Nota: Gli stati Quiesced e Fuori servizio (Out of Service) sono applicabili solo per la distribuzione Cloud Gateway.
Quando lo stato del servizio è Inattivo (Quiesced), Orchestrator include una funzionalità di migrazione self-service che consente di eseguire la migrazione dal gateway esistente a un nuovo gateway senza il supporto dell'operatore.
Per ulteriori informazioni, vedere Disattivazione di gateway.
Nota: La migrazione self-service non è supportata nei gateway partner.
- Edge connessi (Connected Edges): viene visualizzato il numero di Edge connessi al gateway. Questa opzione è disponibile solo quando il gateway è attivato.
- Modalità di autenticazione gateway (Gateway Authentication Mode): selezionare la modalità di autenticazione del gateway tra le seguenti opzioni disponibili:
- Certificato disattivato (Certificate Deactivated): il gateway utilizza una modalità di autenticazione PSK (Pre-Shared Key).
- Acquisizione certificato (Certificate Acquire): questa opzione, selezionata per impostazione predefinita, indica al gateway di acquisire un certificato dall'autorità di certificazione di SASE Orchestrator generando una coppia di chiavi e inviando una richiesta di firma del certificato a Orchestrator. Una volta acquisito il certificato, il gateway lo utilizza per l'autenticazione in SASE Orchestrator e per la creazione di tunnel VCMP.
Nota: Dopo aver acquisito il certificato, l'opzione può essere aggiornata a Certificato richiesto (Certificate Required).
- Certificato richiesto (Certificate Required): il gateway utilizza il certificato PKI. Gli operatori possono modificare la finestra temporale di rinnovo del certificato per i gateway utilizzando la proprietà di sistema
gateway.certificate.renewal.window
.
Nota: Quando il certificato del gateway viene revocato, il gateway non riceve l'elenco di revoche di certificati (CRL) poiché perde immediatamente la connessione TLS. In ogni caso, il gateway è ancora eseguibile.Nota: La progettazione QuickSec corrente verifica la validità temporale del CRL. La validità temporale del CRL deve coincidere con l'ora corrente degli Edge affinché il CRL abbia un impatto sulla nuova connessione stabilita. Ai fini di tale implementazione, assicurarsi di aggiornare correttamente l'ora di Orchestrator in modo che corrisponda alla data e all'ora degli Edge. - Indirizzo IP (IP Address): viene visualizzato l'indirizzo IP pubblico che i link WAN pubblici di un Edge utilizzano per connettersi al gateway. Questo indirizzo IP viene utilizzato per identificare in modo univoco il gateway. Se il gateway è stato configurato con entrambi gli indirizzi IPv4 e IPv6, in questo campo vengono visualizzati entrambi gli indirizzi IP.
Se si crea un gateway solo IPv4 oppure è presente un gateway IPv4 aggiornato dalle versioni precedenti, è possibile immettere l'indirizzo IPv6 per supportare il dual stack. Dopo aver salvato le modifiche, l'indirizzo IPv6 non viene inviato immediatamente agli Edge. È possibile attivare l'operazione di ribilanciamento per inviare manualmente l'indirizzo IPv6 al cliente e gli Edge associati. Se non si procede manualmente, l'indirizzo IPv6 verrà inviato agli Edge durante il successivo aggiornamento del pannello di controllo.
Nota: L'aggiunta di un indirizzo IPv6 è un'attività singola e non è possibile modificare gli indirizzi IP dopo aver salvato le modifiche.Attenzione: Se un indirizzo IPv6 è configurato in modo non corretto, quando viene inviato agli Edge può causare un errore del tunneling IPv6 verso il gateway IPv6. In questi casi, è necessario disattivare il gateway e crearne uno nuovo per attivare entrambi gli indirizzi IPv4 e IPv6.
Contatto e posizione (Contact & Location) Visualizza i dettagli del contatto esistente. Se necessario, è possibile modificare le informazioni. Impostazioni syslog (Syslog Settings) A partire dalla versione 4.5, i gateway possono esportare le informazioni NAT tramite un server syslog remoto o tramite Telegraf nella destinazione desiderata. Per ulteriori informazioni, vedere la sezione Configurazione del syslog delle voci NAT per i gateway nella Guida dell'operatore di VMware SD-WAN pubblicata all'indirizzo https://docs.vmware.com/it/VMware-SD-WAN/index.html. Utilizzo cliente (Customer Usage) Visualizza i dettagli di utilizzo dei diversi tipi di gateway assegnati ai clienti. Appartenenza al pool (Pool Membership) Vengono visualizzati i dettagli dei pool di gateway a cui è assegnato il gateway corrente. Dettagli gateway partner (handoff avanzato) (Partner Gateway (Advanced Handoff) Details) Questa sezione è disponibile solo se si seleziona la casella di controllo Gateway partner (Partner Gateway). È possibile configurare impostazioni di handoff avanzato per il gateway partner. Per ulteriori informazioni, vedere la sezione Dettagli gateway partner (handoff avanzato) (Partner Gateway (Advanced Handoff) Details) di seguito. Cloud Web Security Questa sezione consente di configurare l'indirizzo IP dell'endpoint Generic Network Virtualization Encapsulation (Geneve) e il nome PoP (Point-of-Presence) per Cloud Web Security, se è abilitato il ruolo gateway di Cloud Web Security. Dettagli gateway partner (handoff avanzato) (Partner Gateway (Advanced Handoff) Details)È possibile configurare le impostazioni di handoff avanzato seguenti per il gateway partner:
Attenzione: È consigliabile non eseguire il push delle configurazioni IPv6 ai gateway partner in esecuzione con una versione software precedente alla 5.0.Opzione Descrizione Route statiche (Static Routes) | Subnet (Subnets): specificare le subnet o le route che SD-WAN Gateway deve annunciare a SD-WAN Edge. Questa operazione è globale per SD-WAN Gateway e si applica a TUTTI i clienti. Nel caso di BGP, questa sezione viene utilizzata solo se è presente una subnet condivisa a cui tutti i clienti devono accedere e se l'handoff NAT è obbligatorio. Rimuovere le subnet inutilizzate dall'elenco Route statiche (Static Route) se non si dispone di alcuna subnet da annunciare a SD-WAN Edge e l'handoff è di tipo NAT.
È possibile fare clic sulla scheda IPv4 o IPv6 per configurare il tipo di indirizzo corrispondente per le subnet.
Subnet Immettere l'indirizzo IPv4 o IPv6 della subnet di route statica che il gateway deve annunciare all'Edge. Costo (Cost) Immettere il costo per applicare la ponderazione sulle route. L'intervallo è compreso tra 0 e 255. Crittografa (Encrypt) Selezionare la casella di controllo per crittografare il traffico tra Edge e gateway. Handoff (Hand off) Selezionare il tipo di handoff VLAN o NAT. Descrizione Facoltativamente, immettere un testo descrittivo per la route statica. Impostazioni probe ICMP e risponditori ping (ICMP Probes and Ping Responders Settings) Probe di failover ICMP (ICMP Failover Probe) SD-WAN Gateway utilizza un probe ICMP per verificare la possibilità di raggiungere un determinato indirizzo IP e indica a SD-WAN Edge di eseguire il failover nel gateway secondario se l'indirizzo IP non è raggiungibile. Questa opzione supporta solo indirizzi IPv4. Contrassegno VLAN (VLAN Tagging) Nell'elenco a discesa selezionare il tag VLAN da applicare ai pacchetti di probe ICMP. Le opzioni disponibili sono le seguenti: - Nessuno (None): non è presente alcun tag
- 802.1q: è presente un tag VLAN singolo
- 802.1ad/QinQ(0x8100)/QinQ(0x9100): è presente un tag VLAN doppio
Indirizzo IP di destinazione (Destination IP address) Immettere l'indirizzo IP da sottoporre a ping. Frequenza (Frequency) Immettere l'intervallo di tempo, in secondi, per l'invio della richiesta ping. L'intervallo è compreso tra 1 e 60 secondi. Soglia (Threshold) Immettere il numero di volte per cui le risposte ping devono essere perse prima che le route vengano contrassegnate come irraggiungibili. L'intervallo è compreso tra 1 e 10. Risponditore ICMP (ICMP Responder): consente a SD-WAN Gateway di rispondere al probe ICMP dal router dell'hop successivo quando i tunnel sono attivi. Questa opzione supporta solo indirizzi IPv4. Indirizzo IP (IP address) Immettere l'indirizzo IP virtuale che risponderà alle richieste ping. Modalità (Mode) Selezionare una delle seguenti modalità nell'elenco a discesa: - Condizionale (Conditional): SD-WAN Gateway risponderà alla richiesta ICMP solo quando il servizio e almeno un tunnel sono attivi.
- Sempre (Always): SD-WAN Gateway risponde sempre alla richiesta ICMP del peer.
Nota: I parametri del probe ICMP sono facoltativi. È consigliabile specificarli solo se si desidera utilizzare ICMP per controllare lo stato di integrità di SD-WAN Gateway. Con il supporto BGP in Gateway partner (Partner Gateway), non è più necessario utilizzare il probe ICMP per la convergenza di failover e routing. Per ulteriori informazioni sulla configurazione delle impostazioni di supporto e handoff di BGP per un gateway partner, vedere Configurazione dell'handoff del partner. - Dopo aver configurato i dettagli obbligatori, fare clic su Salva modifiche (Save Changes).