オペレータ ポータルで、Gateway のプロパティとその他の詳細を設定できます。

新しい Gateway を作成すると、[Gateway の設定 (Configure Gateways)] ページに自動的にリダイレクトされます。

既存の Gateway を設定するには、次の手順を実行します。

手順

  1. オペレータ ポータルで、[Gateway (Gateways)] をクリックします。
  2. [Gateway (Gateways)] ページに、使用可能な Gateway のリストが表示されます。Gateway へのリンクをクリックします。選択した Gateway の詳細は、[Gateway の設定 (Configure Gateways)] ページに表示されます。
  3. [概要 (Overview)] タブで、以下を設定します。
    [プロパティ (Properties)]:このセクションでは、選択した Gateway の既存の名前と説明が表示されます。必要に応じて、情報を変更できます。
    次の追加の詳細を設定することもできます。
    オプション 説明
    Gateway のロール (Gateway Roles) 必要に応じて、次のチェックボックスをオンにします。
    • [制御プレーン (Control Plane)]:Gateway を制御プレーンで動作させることができます。デフォルトでは選択されています。
    • [CDE]:Gateway を CDE (Cardholder Data Environment) モードで動作させることができます。PCI トラフィックの送信を必要とするカスタマーに Gateway を割り当てるには、このオプションを選択します。
    • [Cloud Web Security]:スーパー ユーザーまたは標準ロールを持つオペレータ ユーザーが、Cloud Web Security (CWS) ロールの SD-WAN Gateway を設定できるようにします。詳細については、https://docs.vmware.com/jp/VMware-Cloud-Web-Security/index.htmlで公開されている『VMware SD-WAN Cloud Web Security 設定ガイド』を参照してください。
    • [データ プレーン (Data Plane)]:Gateway をデータ プレーンで動作させることができます。デフォルトでは選択されています。
    • [Partner Gateway]:Gateway が Edge の Partner Gateway として割り当てられるようにするには、このチェックボックスをオンにします。このオプションをオンにする場合は、[Partner Gateway (高度なハンドオフ)の詳細 (Partner Gateway (Advanced Handoff) Details)] セクションで追加の設定を行います。
    • [セキュア VPN Gateway (Secure VPN Gateway)]:Gateway を使用して Non SD-WAN Destination への IPsec トンネルを確立するには、このオプションを選択します。
    サービスの状態 (Service State) 次の使用可能なオプションから Gateway のサービス状態を選択します。
    • [サービス中 (In Service)]:Gateway が接続され、使用可能です。
    • [サービス停止中 (Out of Service)]:Gateway は接続されていません。
    • [停止 (Quiesced)]:Gateway サービスは停止または一時停止しています。この状態は、バックアップまたはメンテナンスの目的で選択します。
    状態 (Status) Orchestrator に送信された定期的なハートビートの成功または失敗を反映した Gateway のステータスを表示します。次のようなステータスがあります。
    • [接続中 (Connected)]:Gateway は Orchestrator に正常にハートビートを送信しています。
    • [劣化 (Degraded)]:Orchestrator は 1 分以上 Gateway からハートビートを受け取っていません。
    • [オフライン (Offline)]:Orchestrator は 2 分以上 Gateway からハートビートを受け取っていません。
    接続された Edge Gateway に接続されている Edge の数を表示します。このオプションは、Gateway がアクティベーションされている場合にのみ表示されます。
    IP アドレス (IP Address)

    Edge のパブリック WAN リンクが Gateway への接続に使用するパブリック IP アドレスを表示します。この IP アドレスは、Gateway を一意に識別するために使用されます。Gateway を IPv4 アドレスと IPv6 アドレスの両方で設定している場合、このフィールドには両方の IP アドレスが表示されます。

    IPv4 専用 Gateway を作成した場合、または以前のバージョンからアップグレードされた既存の IPv4 Gateway がある場合は、IPv6 アドレスを入力してデュアル スタックをサポートできます。変更を保存した後、IPv6 アドレスはすぐに Edge に送信されません。再調整の操作をトリガして IPv6 アドレスをカスタマーおよび関連付けられた Edge に手動でプッシュすることができます。プッシュしない場合、次回の制御プレーンの更新中に IPv6 アドレスが Edge に送信されます。

    注: IPv6 アドレスの追加は 1 回限りのアクティビティであり、変更を保存すると IP アドレスを変更することはできません。
    注意: 誤って設定された IPv6 アドレスが Edge にプッシュされると、IPv6 Gateway への IPv6 トンネリングが失敗することがあります。このような場合は、Gateway を無効にして新しい Gateway を作成し、IPv4 アドレスと IPv6 アドレスの両方を有効にする必要があります。
    Gateway 認証モード (Gateway Authentication Mode) 次の使用可能なオプションから Gateway の認証モードを選択します。
    • [証明書は不要 (Certificate Not Required)]:Gateway は認証の事前共有キー モードを使用します。
    • [証明書の取得 (Certificate Acquire)]:このオプションはデフォルトで選択されており、Gateway にキー ペアを生成して Orchestrator に証明書署名リクエストを送信することによって、SD-WAN Orchestrator の認証局から証明書を取得するように指示します。証明書を取得すると、Gateway は、証明書を使用して SD-WAN Orchestrator に認証し、VCMP トンネルを確立します。
      注: 証明書を取得した後、オプションを [証明書が必要 (Certificate Required)] に更新することができます。
    • [証明書が必要 (Certificate Required)]:Gateway は PKI 証明書を使用します。オペレータは、システム プロパティ gateway.certificate.renewal.window を使用して Gateway の証明書更新時間枠を変更できます。
    [Partner Gateway (高度なハンドオフ)の詳細 (Partner Gateway (Advanced Handoff) Details)]:このセクションは、 [Partner Gateway] チェックボックスをオンにすると使用でき、次の設定を行うことができます。
    オプション 説明
    [スタティック ルート (Static Routes)]SD-WAN GatewaySD-WAN Edge に広報するサブネットまたはルートを指定します。これは SD-WAN Gateway ごとにグローバルであり、すべてのカスタマーに適用されます。BGP では、このセクションは、すべてのカスタマーがアクセス権を必要とする共有サブネットがある場合と NAT ハンドオフが必須である場合にのみ使用されます。

    SD-WAN Edge に広報して NAT タイプのハンドオフを行う必要があるサブネットがない場合は、スタティック ルート リストから未使用のサブネットを削除します。

    サブネット (Subnets) Gateway が Edge に広報するスタティック ルート サブネットの IP アドレスを入力します。
    コスト (Cost) ルートに加重を適用するためのコストを入力します。範囲は 0 ~ 255 です。
    暗号化 (Encrypt) Edge と Gateway 間のトラフィックを暗号化するには、このチェックボックスをオンにします。
    ハンドオフ (Hand off) ハンドオフ タイプとして、VLAN または NAT を選択します。
    説明 必要に応じて、スタティック ルートの説明テキストを入力します。
    [ICMP フェイルオーバーのプローブ (ICMP Failover Probe)]SD-WAN Gateway は ICMP プローブを使用して、特定の IP アドレスへの到達可能性を確認し、IP アドレスに到達できない場合はセカンダリ Gateway にフェイルオーバーするように SD-WAN Edge に通知します。
    VLAN タグ付け (VLAN Tagging) ドロップダウン リストから VLAN タグを選択し、ICMP プローブ パケットに適用します。次のようなオプションがあります。
    • [なし (None)]:タグなし
    • [802.1q]:単一の VLAN タグ
    • [802.1ad]/[QinQ(0x8100)]/[QinQ(0x9100)]:デュアル VLAN タグ
    宛先 IP アドレス (Destination IP address) ping 送信する IP アドレスを入力します。
    頻度 (Frequency) ping 要求を送信する時間間隔を秒単位で入力します。範囲は 1 ~ 60 秒です。
    しきい値 (Threshold) ping 応答が何回失敗するとルートが到達不能としてマークされるかを入力します。範囲は 1 ~ 10 です。
    [ICMP レスポンダが有効 (ICMP Responder Enabled)]:トンネルが起動しているときは、SD-WAN Gateway がネクスト ホップ ルーターから ICMP プローブに応答できるようになります。
    IP アドレス (IP address) ping 要求に応答する仮想 IP アドレスを入力します。
    モード (Mode) ドロップダウン リストから、次のいずれかのモードを選択します。
    • [条件付き (Conditional)]SD-WAN Gateway は、そのサービスが稼動していて、少なくとも 1 つのトンネルが稼動している場合のみ、ICMP 要求に応答します。
    • [常時 (Always)]SD-WAN Gateway は常にピアからの ICMP 要求に応答します。
    注: ICMP プローブ パラメータはオプションであり、ICMP を使用して SD-WAN Gateway の健全性をチェックする場合にのみ推奨されます。Partner Gateway で BGP をサポートしている場合、フェイルオーバーとルートのコンバージェンスに ICMP プローブを使用する必要はなくなりました。Partner Gateway の BGP サポートとハンドオフの設定の詳細については、 パートナー ハンドオフの設定 を参照してください。
    [連絡先と場所 (Contact & Location)]:このセクションには、既存の連絡先の詳細が表示されます。必要に応じて、情報を変更できます。
    [Syslog 設定 (Syslog Settings)]:4.5 リリース以降、Gateway は NAT 情報をリモート Syslog サーバまたは Telegraf 経由で目的の宛先にエクスポートできます。詳細については、 Gateway の NAT エントリ Syslog の設定を参照してください。
    [Cloud Web Security]:このセクションでは、 Cloud Web Security Gateway のロールが有効になっている場合に、 Cloud Web Security の汎用ネットワーク仮想化カプセル化 (Geneve) エンドポイントの IP アドレスと PoP (Points-of-Presence) 名を設定できます。
    [カスタマー使用量 (Customer Usage)]:このセクションには、カスタマーに割り当てられたさまざまなタイプの Gateway の使用状況の詳細が表示されます。
    [プール メンバーシップ (Pool Membership)]:このセクションには、現在の Gateway が割り当てられている Gateway プールの詳細が表示されます。
  4. 必要な詳細を設定した後、[変更の保存 (Save Changes)] をクリックします。