オペレータ ポータルで、Gateway のプロパティとその他の詳細を設定できます。
新しい Gateway を作成すると、[Gateway の設定 (Configure Gateways)] ページに自動的にリダイレクトされます。
既存の Gateway を設定するには、次の手順を実行します。
手順
- オペレータ ポータルで、[Gateway (Gateways)] をクリックします。
- [Gateway (Gateways)] ページに、使用可能な Gateway のリストが表示されます。Gateway へのリンクをクリックします。選択した Gateway の詳細は、[Gateway の設定 (Configure Gateways)] ページに表示されます。
- [概要 (Overview)] タブで、以下を設定します。
[プロパティ (Properties)]:このセクションでは、選択した Gateway の既存の名前と説明が表示されます。必要に応じて、情報を変更できます。次の追加の詳細を設定することもできます。
オプション 説明 Gateway のロール (Gateway Roles) 必要に応じて、次のチェックボックスをオンにします。 - [制御プレーン (Control Plane)]:Gateway を制御プレーンで動作させることができます。デフォルトでは選択されています。
- [CDE]:Gateway を CDE (Cardholder Data Environment) モードで動作させることができます。PCI トラフィックの送信を必要とするカスタマーに Gateway を割り当てるには、このオプションを選択します。
- [Cloud Web Security]:スーパー ユーザーまたは標準ロールを持つオペレータ ユーザーが、Cloud Web Security (CWS) ロールの SD-WAN Gateway を設定できるようにします。詳細については、https://docs.vmware.com/jp/VMware-Cloud-Web-Security/index.htmlで公開されている『VMware SD-WAN Cloud Web Security 設定ガイド』を参照してください。
- [データ プレーン (Data Plane)]:Gateway をデータ プレーンで動作させることができます。デフォルトでは選択されています。
- [Partner Gateway]:Gateway が Edge の Partner Gateway として割り当てられるようにするには、このチェックボックスをオンにします。このオプションをオンにする場合は、[Partner Gateway (高度なハンドオフ)の詳細 (Partner Gateway (Advanced Handoff) Details)] セクションで追加の設定を行います。
- [セキュア VPN Gateway (Secure VPN Gateway)]:Gateway を使用して Non SD-WAN Destination への IPsec トンネルを確立するには、このオプションを選択します。
サービスの状態 (Service State) 次の使用可能なオプションから Gateway のサービス状態を選択します。 - [サービス中 (In Service)]:Gateway が接続され、使用可能です。
- [サービス停止中 (Out of Service)]:Gateway は接続されていません。
- [静止 (Quiesced)]:Gateway サービスは静止または一時停止しています。この状態は、バックアップまたはメンテナンスの目的で選択します。
ステータス (Status) Orchestrator に送信された定期的なハートビートの成功または失敗を反映した Gateway のステータスを表示します。次のようなステータスがあります。 - [接続中 (Connected)]:Gateway は Orchestrator に正常にハートビートを送信しています。
- [劣化 (Degraded)]:Orchestrator は 1 分以上 Gateway からハートビートを受け取っていません。
- [オフライン (Offline)]:Orchestrator は 2 分以上 Gateway からハートビートを受け取っていません。
接続された Edge Gateway に接続されている Edge の数を表示します。このオプションは、Gateway がアクティベーションされている場合にのみ表示されます。 IP アドレス (IP Address) Edge のパブリック WAN リンクが Gateway への接続に使用するパブリック IP アドレスを表示します。この IP アドレスは、Gateway を一意に識別するために使用されます。Gateway を IPv4 アドレスと IPv6 アドレスの両方で設定している場合、このフィールドには両方の IP アドレスが表示されます。
IPv4 専用 Gateway を作成した場合、または以前のバージョンからアップグレードされた既存の IPv4 Gateway がある場合は、IPv6 アドレスを入力してデュアル スタックをサポートできます。変更を保存した後、IPv6 アドレスはすぐに Edge に送信されません。再調整の操作をトリガして IPv6 アドレスをカスタマーおよび関連付けられた Edge に手動でプッシュすることができます。プッシュしない場合、次回の制御プレーンの更新中に IPv6 アドレスが Edge に送信されます。
注: IPv6 アドレスの追加は 1 回限りのアクティビティであり、変更を保存すると IP アドレスを変更することはできません。注意: 誤って設定された IPv6 アドレスが Edge にプッシュされると、IPv6 Gateway への IPv6 トンネリングが失敗することがあります。このような場合は、Gateway を無効にして新しい Gateway を作成し、IPv4 アドレスと IPv6 アドレスの両方を有効にする必要があります。Gateway 認証モード (Gateway Authentication Mode) 次の使用可能なオプションから Gateway の認証モードを選択します。 - [証明書は不要 (Certificate Deactivated)]:Gateway は認証の事前共有キー モードを使用します。
- [証明書の取得 (Certificate Acquire)]:このオプションはデフォルトで選択されており、Gateway にキー ペアを生成して Orchestrator に証明書署名リクエストを送信することによって、SD-WAN Orchestrator の認証局から証明書を取得するように指示します。証明書を取得すると、Gateway は、証明書を使用して SD-WAN Orchestrator に認証し、VCMP トンネルを確立します。
注: 証明書を取得した後、オプションを [証明書が必要 (Certificate Required)] に更新することができます。
- [証明書が必要 (Certificate Required)]:Gateway は PKI 証明書を使用します。オペレータは、システム プロパティ
gateway.certificate.renewal.window
を使用して Gateway の証明書更新時間枠を変更できます。
注: Gateway 証明書が失効すると、Gateway は TLS 接続をすぐに失うため、証明書失効リスト (CRL) を受信しません。ただし、Gateway は動作可能です。注: 現在の QuickSec 設計では、CRL の有効期間がチェックされます。新しく確立された接続に CRL の影響が及ぶようにするには、CRL の有効期間が Edge の現在の時刻と一致する必要があります。これを実装するには、Orchestrator の時刻を Edge の日付と時刻に合わせて適切に更新する必要があります。[Partner Gateway (高度なハンドオフ)の詳細 (Partner Gateway (Advanced Handoff) Details)]:このセクションは、 [Partner Gateway] チェックボックスをオンにすると使用でき、次の設定を行うことができます。注意: 5.0 より前のソフトウェア バージョンで実行されている Partner Gateway に対して IPv6 設定をプッシュしないことをお勧めします。オプション 説明 [スタティック ルート (Static Routes)]:SD-WAN Gateway が SD-WAN Edge に広報するサブネットまたはルートを指定します。これは SD-WAN Gateway ごとにグローバルであり、すべてのカスタマーに適用されます。BGP では、このセクションは、すべてのカスタマーがアクセス権を必要とする共有サブネットがある場合と NAT ハンドオフが必須である場合にのみ使用されます。 SD-WAN Edge に広報して NAT タイプのハンドオフを行う必要があるサブネットがない場合は、スタティック ルート リストから未使用のサブネットを削除します。
[IPv4] または [IPv6] タブをクリックして、サブネットに対応するアドレス タイプを設定できます。
サブネット (Subnets) Gateway が Edge に広報するスタティック ルート サブネットの IPv4 または IPv6 アドレスを入力します。 コスト (Cost) ルートに加重を適用するためのコストを入力します。範囲は 0 ~ 255 です。 暗号化 (Encrypt) Edge と Gateway 間のトラフィックを暗号化するには、このチェックボックスをオンにします。 ハンドオフ (Hand off) ハンドオフ タイプとして、VLAN または NAT を選択します。 説明 (Description) 必要に応じて、スタティック ルートの説明テキストを入力します。 [ICMP フェイルオーバーのプローブ (ICMP Failover Probe)]:SD-WAN Gateway は ICMP プローブを使用して、特定の IP アドレスへの到達可能性を確認し、IP アドレスに到達できない場合はセカンダリ Gateway にフェイルオーバーするように SD-WAN Edge に通知します。このオプションは、IPv4 アドレスのみをサポートします。 VLAN タグ付け (VLAN Tagging) ドロップダウン リストから VLAN タグを選択し、ICMP プローブ パケットに適用します。次のようなオプションがあります。 - [なし (None)]:タグなし
- [802.1q]:単一の VLAN タグ
- [802.1ad]/[QinQ(0x8100)]/[QinQ(0x9100)]:デュアル VLAN タグ
宛先 IP アドレス (Destination IP address) ping 送信する IP アドレスを入力します。 頻度 (Frequency) ping 要求を送信する時間間隔を秒単位で入力します。範囲は 1 ~ 60 秒です。 しきい値 (Threshold) ping 応答が何回失敗するとルートが到達不能としてマークされるかを入力します。範囲は 1 ~ 10 です。 [ICMP レスポンダが有効 (ICMP Responder Enabled)]:トンネルが起動しているときは、SD-WAN Gateway がネクスト ホップ ルーターから ICMP プローブに応答できるようになります。このオプションは、IPv4 アドレスのみをサポートします。 IP アドレス (IP address) ping 要求に応答する仮想 IP アドレスを入力します。 モード (Mode) ドロップダウン リストから、次のいずれかのモードを選択します。 - [条件付き (Conditional)]:SD-WAN Gateway は、そのサービスが稼動していて、少なくとも 1 つのトンネルが稼動している場合のみ、ICMP 要求に応答します。
- [常時 (Always)]:SD-WAN Gateway は常にピアからの ICMP 要求に応答します。
注: ICMP プローブ パラメータはオプションであり、ICMP を使用して SD-WAN Gateway の健全性をチェックする場合にのみ推奨されます。Partner Gateway で BGP をサポートしている場合、フェイルオーバーとルートのコンバージェンスに ICMP プローブを使用する必要はなくなりました。Partner Gateway の BGP サポートとハンドオフの設定の詳細については、 パートナー ハンドオフの設定 を参照してください。[連絡先と場所 (Contact & Location)]:このセクションには、既存の連絡先の詳細が表示されます。必要に応じて、情報を変更できます。[Syslog 設定 (Syslog Settings)]:4.5 リリース以降、Gateway は NAT 情報をリモート Syslog サーバまたは Telegraf 経由で目的の宛先にエクスポートできます。詳細については、『 VMware SD-WAN オペレータ ガイド』の「 Gateway の NAT エントリ Syslog の設定」セクションを参照してください。このドキュメントは https://docs.vmware.com/jp/VMware-SD-WAN/index.html で入手できます。[Cloud Web Security]:このセクションでは、 Cloud Web Security Gateway のロールが有効になっている場合に、 Cloud Web Security の汎用ネットワーク仮想化カプセル化 (Geneve) エンドポイントの IP アドレスと PoP (Points-of-Presence) 名を設定できます。[カスタマー使用量 (Customer Usage)]:このセクションには、カスタマーに割り当てられたさまざまなタイプの Gateway の使用状況の詳細が表示されます。[プール メンバーシップ (Pool Membership)]:このセクションには、現在の Gateway が割り当てられている Gateway プールの詳細が表示されます。 - 必要な詳細を設定した後、[変更の保存 (Save Changes)] をクリックします。