Edge には、さまざまなタイプのインターフェイスがあります。デフォルトでは、Edge のインターフェイス設定は、関連付けられたプロファイルから継承されます。各 Edge の設定を変更および設定できます。
インターフェイス設定のオプションは、Edge モデルによって異なります。さまざまな Edge モデルと展開の詳細については、インターフェイスの設定を参照してください。
特定の Edge のインターフェイスを設定するには、次の手順を実行します。
- エンタープライズ ポータルの [SD-WAN] サービスで、 の順にクリックします。[Edge (Edges)] ページに既存の Edge が表示されます。
- Edge へのリンクをクリックするか、Edge の [デバイス (Device)] 列にある [表示 (View)] リンクをクリックします。選択した Edge の設定オプションが [デバイス (Device)] タブに表示されます。
- [接続 (Connectivity)] カテゴリで、[インターフェイス (Interfaces)] を展開します。
- 選択した Edge で使用可能なさまざまなタイプのインターフェイスが表示されます。インターフェイスへのリンクをクリックして、設定を編集します。次に示すように、インターフェイス設定画面が表示されます。
Edge モデルに基づいて、次のタイプのインターフェイスの設定を編集できます。
- スイッチ ポート
- ルーティング インターフェイス
- WLAN インターフェイス
また、Edge モデルに基づいてサブ インターフェイス、セカンダリ IP アドレス、および Wi-Fi SSID を追加することもできます。
- Edge のルーティング インターフェイスには、次の設定を行うことができます。
オプション 説明 説明 (Description) 説明を入力します。このフィールドはオプションです。 インターフェイスが有効 (Interface Enabled) このオプションはデフォルトで有効になっています。必要な場合は、インターフェイスを無効にできます。無効にすると、インターフェイスは通信に使用できません。 機能 (Capability) スイッチ ポートの場合、[スイッチ (Switched)] オプションはデフォルトで選択されています。ドロップダウン メニューから [ルーティング (Routed)] オプションを選択することにより、ポートをルーティング インターフェイスに変換することができます。 セグメント (Segments) デフォルトでは、設定はすべてのセグメントに適用されます。 RADIUS 認証 (Radius Authentication) [WAN オーバーレイの有効化 (Enable WAN Overlay)] チェック ボックスをオフにして、[RADIUS 認証 (Radius Authentication)] を設定します。[RADIUS 認証 (Radius Authentication)] チェック ボックスをオンにして、事前認証されたデバイスの MAC アドレスを追加します。 ICMP エコー応答 (ICMP Echo Response) このチェック ボックスはデフォルトで選択されています。これは、インターフェイスが ICMP エコー メッセージに応答する場合に有用です。このオプションは、セキュリティ上の目的で無効にすることができます。 アンダーレイ アカウンティング (Underlay Accounting) このチェック ボックスはデフォルトで選択されています。プライベート WAN オーバーレイがインターフェイスで定義されている場合は、そのインターフェイスを通過するすべてのアンダーレイ トラフィックが WAN リンクの測定速度に対してカウントされ、オーバー サブスクリプションが発生しないようになります。この動作を回避するには、このオプションを無効にします。 注: アンダーレイ アカウンティングは、IPv4 アドレスと IPv6 アドレスの両方でサポートされます。WAN オーバーレイの有効化 (Enable WAN Overlay) インターフェイスの WAN オーバーレイを有効にするには、このチェックボックスをオンにします。 DNS プロキシ (DNS Proxy) [DNS プロキシ (DNS Proxy)] 機能は、特定のデバイス トラフィックを特定のドメインにポイントするために、Edge 上のローカル DNS エントリの追加サポートを提供します。IPv4 または IPv6 DHCP サーバの設定に関係なく、このオプションを有効または無効にできます。 注: このチェック ボックスは、ルーティング インターフェイスとルーティング サブ インターフェイスでのみ使用可能です。VLAN アクセス ポートの場合は、ドロップダウン メニューから既存の VLAN を選択します。トランク ポートの場合は、複数の VLAN を選択して、タグ付けされていない VLAN を選択できます。 接続された EVDSL モデム Edge のイーサネット ポートの 1 つに接続されている EVDSL モデムを有効にするには、このチェック ボックスをオンにします。 IPv4 設定 (IPv4 Settings) [有効 (Enable)] チェック ボックスをオンにして、IPv4 設定を行います。詳細については、次の IPv4 設定 (IPv4 Settings) セクションを参照してください。 IPv6 設定 (IPv6 Settings) [有効 (Enable)] チェック ボックスをオンにして、IPv6 設定を行います。詳細については、次の IPv6 設定 (IPv6 Settings) セクションを参照してください。 L2 設定 (L2 Settings) 自動ネゴシエーション (Autonegotiate) このオプションはデフォルトで選択されています。自動ネゴシエーションを選択すると、ポートはリンクのもう一方の側のデバイスと通信して、最適な二重モードと接続速度を決定できます。 速度 (Speed) このオプションは [自動ネゴシエーション (Autonegotiate)] が選択されていない場合にのみ使用できます。ポートが他のリンクと通信する速度を選択します。デフォルトでは、[100 Mbps] が選択されています。 二重 (Duplex) このオプションは [自動ネゴシエーション (Autonegotiate)] が選択されていない場合にのみ使用できます。接続モードを [全二重] または [半二重] として選択します。デフォルトでは、[全二重] が選択されています。 MTU すべてのルーティング インターフェイスで送受信されるフレームのデフォルトの MTU サイズは [1,500] バイトです。インターフェイスの MTU サイズを変更できます。 LOS 検出 (LOS Detection) このオプションは、Edge のルーティング インターフェイスでのみ使用できます。チェックボックスをオンにし、ARP 監視を使用して Loss of Signal (LoS) 検出を有効にします。詳細については、ルーティング インターフェイスでの HA LoS の検出を参照してください。 注: Edge で [高可用性 (High Availability)] を有効にしている場合にのみ、このチェックボックスをオンにできます。
IPv4 設定 (IPv4 Settings)
[有効 (Enabled)] チェック ボックスをオンにして、次の [IPv4 設定] を行います。
オプション | 説明 |
---|---|
アドレス指定のタイプ (Addressing Type) | アドレス指定のタイプを選択します。
注: IPv4 では RFC 3021 に従って 31 ビット プレフィックスがサポートされます。
|
OSPF | このオプションは、選択した [セグメント (Segment)] に OSPF を設定している場合にのみ使用できます。チェック ボックスをオンにして、ドロップダウン メニューから [OSPF] を選択します。[OSPF の詳細設定を切り替える (toggle advance ospf settings)] をクリックして、選択した OSPF のインターフェイスを設定します。
注: OSPF はサブインターフェイスではサポートされません。また、非グローバル セグメントではサポートされません。
OSPFv2 設定は IPv4 のみをサポートします。OSPFv3 設定は IPv6 のみをサポートします。
OSPF 設定および OSPFv3 の詳細については、プロファイルの OSPF の有効化を参照してください。
注: OSFPv3 は、5.2 リリースでのみ使用できます。
|
マルチキャスト (Multicast) | このオプションは、選択した [セグメント (Segment)] にマルチキャストを設定している場合にのみ使用できます。選択したインターフェイスに対して次のマルチキャストを設定できます。
[詳細なマルチキャスト設定の切り替え (toggle advanced multicast settings)] をクリックして、次のタイマーを設定します。
注: 現在、マルチキャスト リスナー検出 (MLD) は無効になっています。そのため、IPv6 アドレスがインターフェイスに割り当てられている場合、Edge はマルチキャスト リスナー レポートを送信しません。ネットワークにスヌーピング スイッチがある場合、MLD レポートを送信しないと、Edge が重複アドレス検出 (DAD) で使用されるマルチキャスト パケットを受信しないことがあります。これにより、重複したアドレスでも DAD が成功します。
|
VNF 挿入 (VNF Insertion) | [WAN オーバーレイ (WAN Overlay)] を無効にして、[信頼できる送信元 (Trusted Source)] チェック ボックスをオンにし、[VNF 挿入 (VNF Insertion)] を有効にします。VNF をレイヤー 3 のインターフェイスまたはサブ インターフェイスに挿入すると、システムはレイヤー 3 インターフェイスまたはサブ インターフェイスから VNF にトラフィックをリダイレクトします。 |
広報 (Advertise) | インターフェイスをネットワーク内の他のブランチに広報するには、このチェック ボックスをオンにします。 |
NAT ダイレクト トラフィック (NAT Direct Traffic) | インターフェイスから送信されたネットワーク トラフィックに IPv4 の NAT を適用するには、このチェック ボックスをオンにします。
注意:
古いバージョンの SASE Orchestrator が、VLAN またはサブインターフェイスが設定されたメイン インターフェイスで NAT ダイレクトを誤って設定した可能性があります。そのインターフェイスがダイレクト トラフィックを 1 ホップまたは数ホップ先に送信している場合、NAT ダイレクト設定が適用されていないため、カスタマーに問題は発生しません。ただし、Edge を 5.2.0 以降にアップグレードすると、Edge ビルドには、NAT ダイレクト トラフィックが適切に適用されないという問題(チケット #92142)の修正が含まれ、この特定のユースケースは以前のリリースでは実装されていなかったため、結果としてルーティング動作が変更されます。 つまり、5.2.0 以降の Edge はすべてのユースケースで NAT ダイレクトを想定した方法で実装するため、以前に(不具合により NAT ダイレクトが適用されなかったため)機能していたトラフィックが失敗することがあります。これは、VLAN またはサブインターフェイスが設定されたインターフェイスに対して NAT ダイレクトがチェックされたことにカスタマーが気づかなかったためです。 そのため、Edge をリリース 5.2.0 以降にアップグレードするカスタマーは、まずプロファイルと Edge インターフェイスの設定を確認し、明示的に必要な場合にのみ NAT ダイレクトが設定されていることを確認し、必要でない場合はこの設定を無効にする必要があります(特にインターフェイスに VLAN またはサブインターフェイスが設定されている場合)。 |
信頼できる送信元 (Trusted Source) | インターフェイスを信頼できる送信元として設定するには、このチェック ボックスをオンにします。 |
リバース パス フォワーディング (Reverse Path Forwarding) | [信頼できる送信元 (Trusted Source)] チェック ボックスをオンにしている場合にのみ、リバース パス フォワーディング (RPF) のオプションを選択できます。このオプションでは、返されたトラフィックが同じインターフェイスで転送される場合にのみ、インターフェイスでトラフィックが許可されます。これは、悪意のあるトラフィックなど、エンタープライズ ネットワーク上で不明の送信元からのトラフィックを防止するのに役立ちます。受信元が不明の場合は、フローを作成せずに、入力方向にパケットがドロップされます。ドロップダウン メニューから次のオプションを 1 つ選択します。
|
- [有効 (Activated)]:Edge を DHCP サーバとして使用して、DHCP を有効化します。このオプションを選択した場合は、次の詳細の設定を行います。
- [DHCP 先頭 IP アドレス (DHCP Start)]:サブネット内で使用可能な有効な IP アドレスを入力します。
- [アドレスの数 (Num. Addresses)]:DHCP サーバのサブネットで使用可能な IP アドレスの数を入力します。
- [リース時間 (Lease Time)]:ドロップダウン メニューから期間を選択します。VLAN が DHCP サーバによって動的に割り当てられた IP アドレスを使用できる期間です。
- [オプション (Options)]:[追加 (Add)] をクリックして、ドロップダウン メニューから事前定義済みまたはカスタムの DHCP オプションを追加します。DHCP オプションは、DHCP サーバからクライアントに渡されるネットワーク サービスです。カスタム オプションを選択して、コード、データ タイプ、および値を入力します。
- [リレー (Relay)]:クライアントとサーバ間で DHCPv4 メッセージを交換できるようにします。このオプションを選択した場合は、次の設定を行います。
- [リレー エージェントの IP アドレス (Relay Agent IP(s))]:リレー エージェントの IP アドレスを指定します。[追加 (Add)] をクリックして、IP アドレスを追加します。
- [無効 (Deactivated)]:DHCP サーバを無効にします。
IPv6 設定 (IPv6 Settings)
オプション | 説明 |
---|---|
アドレス指定のタイプ (Addressing Type) | アドレス指定のタイプを選択します。
|
OSPF | このオプションは、選択した [セグメント (Segment)] に OSPF を設定している場合にのみ使用できます。チェック ボックスをオンにして、ドロップダウン メニューから [OSPF] を選択します。[OSPF の詳細設定を切り替える (toggle advance ospf settings)] をクリックして、選択した OSPF のインターフェイスを設定します。
注: OSPF はサブインターフェイスではサポートされません。また、非グローバル セグメントではサポートされません。
OSPFv2 設定は IPv4 のみをサポートします。OSPFv3 設定は IPv6 のみをサポートします。これは、5.2 リリースでのみ使用可能です。
OSPF 設定および OSPFv3 の詳細については、プロファイルの OSPF の有効化を参照してください。
注: OSFPv3 は、5.2 リリースでのみ使用できます。
|
広報 (Advertise) | インターフェイスをネットワーク内の他のブランチに広報するには、このチェック ボックスをオンにします。 |
NAT ダイレクト トラフィック (NAT Direct Traffic) | インターフェイスから送信されたネットワーク トラフィックに IPv6 の NAT を適用するには、このチェック ボックスをオンにします。
注意:
古いバージョンの SASE Orchestrator が、VLAN またはサブインターフェイスが設定されたメイン インターフェイスで NAT ダイレクトを誤って設定した可能性があります。そのインターフェイスがダイレクト トラフィックを 1 ホップまたは数ホップ先に送信している場合、NAT ダイレクト設定が適用されていないため、カスタマーに問題は発生しません。ただし、Edge を 5.2.0 以降にアップグレードすると、Edge ビルドには、NAT ダイレクト トラフィックが適切に適用されないという問題(チケット #92142)の修正が含まれ、この特定のユースケースは以前のリリースでは実装されていなかったため、結果としてルーティング動作が変更されます。 つまり、5.2.0 以降の Edge はすべてのユースケースで NAT ダイレクトを想定した方法で実装するため、以前に(不具合により NAT ダイレクトが適用されなかったため)機能していたトラフィックが失敗することがあります。これは、VLAN またはサブインターフェイスが設定されたインターフェイスに対して NAT ダイレクトがチェックされたことにカスタマーが気づかなかったためです。 そのため、Edge をリリース 5.2.0 以降にアップグレードするカスタマーは、まずプロファイルと Edge インターフェイスの設定を確認し、明示的に必要な場合にのみ NAT ダイレクトが設定されていることを確認し、必要でない場合はこの設定を無効にする必要があります(特にインターフェイスに VLAN またはサブインターフェイスが設定されている場合)。 |
信頼できる送信元 (Trusted Source) | インターフェイスを信頼できる送信元として設定するには、このチェック ボックスをオンにします。 |
リバース パス フォワーディング (Reverse Path Forwarding) | [信頼できる送信元 (Trusted Source)] チェック ボックスをオンにしている場合にのみ、リバース パス フォワーディング (RPF) のオプションを選択できます。このオプションでは、返されたトラフィックが同じインターフェイスで転送される場合にのみ、インターフェイスでトラフィックが許可されます。これは、悪意のあるトラフィックなど、エンタープライズ ネットワーク上で不明の送信元からのトラフィックを防止するのに役立ちます。受信元が不明の場合は、フローを作成せずに、入力方向にパケットがドロップされます。ドロップダウン メニューから次のオプションを 1 つ選択します。
|
- [有効 (Activated)]:Edge を DHCPv6 サーバとして使用して、DHCPv6 を有効にします。このオプションを選択した場合は、次の詳細の設定を行います。
- [DHCP 先頭 IP アドレス (DHCP Start)]:サブネット内で使用可能な有効な IPv6 アドレスを入力します。
- [アドレスの数 (Num. Addresses)]:DHCPv6 サーバのサブネットで使用可能な IP アドレスの数を入力します。
- [リース時間 (Lease Time)]:ドロップダウン リストから期間を選択します。VLAN が DHCPv6 サーバによって動的に割り当てられた IPv6 アドレスを使用できる期間です。
- [DHCPv6 プレフィックス委任 (DHCPv6 Prefix Delegation)]:[追加 (Add)] をクリックして、グローバル プールから選択したプレフィックスを DHCP クライアントに割り当てます。プレフィックス プール名とプレフィックスの開始および終了の詳細を入力します。
- [オプション (Options)]:[追加 (Add)] をクリックして、ドロップダウン メニューから事前定義済みまたはカスタムの DHCP オプションを追加します。DHCP オプションは、DHCP サーバからクライアントに渡されるネットワーク サービスです。カスタム オプションを選択して、コード、データ タイプ、および値を入力します。
- [リレー (Relay)]:クライアントとサーバ間で DHCPv6 メッセージを交換できるようにします。このオプションを選択した場合は、次の設定を行います。
- [リレー エージェントの IP アドレス (Relay Agent IP(s))]:リレー エージェントの IP アドレスを指定します。[追加 (Add)] をクリックして、IP アドレスを追加します。
5.2.0 リリース以降では、VMware SD-WAN Edge は [DHCPv6 リレー]機能をサポートします。これにより、DHCPv6 クライアントはリモート DHCPv6 サーバと通信できます。これは [DHCPv4 リレー]機能とよく似ていますが、DHCPv6 は個別のメッセージ タイプを使用して、リレー エージェントが独自のオプションを挿入したり、応答パケットの送信インターフェイスを識別したりできるようにします。Edge でこの機能を有効にするには、その Edge の LAN インターフェイスで IPv6 を有効にする必要があります。
注:- カスタマーが接続するインターフェイスで、サーバ IP アドレスを[リレー エージェントの IP アドレス]として指定する必要があります。
- このインターフェイスが非グローバル セグメントに属している場合は、同じ非グローバル セグメントを介してサーバにアクセスする必要があります。
- [リレー エージェントの IP アドレス (Relay Agent IP(s))]:リレー エージェントの IP アドレスを指定します。[追加 (Add)] をクリックして、IP アドレスを追加します。
- [無効 (Deactivated)]:DHCP サーバを無効にします。
[ルーター広報ホスト設定 (Router Advertisement Host Settings)]:ルーター広報 (RA) パラメータは、[IPv6 設定 (IPv6 Settings)] を有効にし、[アドレス指定タイプ (Addressing Type)] を [DHCP ステートレス (DHCP Stateless)] または [DHCP ステートフル (DHCP Stateful)] として選択した場合にのみ使用できます。
オプション | 説明 |
---|---|
MTU | ルートの広報を介して受信した MTU 値を受け入れます。このオプションをオフにすると、インターフェイスの MTU 設定が考慮されます。 |
デフォルト ルート (Default Routes) | インターフェイスでルートの広報が受信されるときにデフォルト ルートをインストールします。このオプションをオフにすると、インターフェイスで使用可能なデフォルト ルートはありません。 |
特定ルート (Specific Routes) | インターフェイスでルートの広報が情報を受信すると、特定ルートをインストールします。このオプションをオフにすると、インターフェイスはルート情報をインストールしません。 |
ND6 タイマー (ND6 Timers) | ルートの広報を介して受信した ND6 タイマーを受け入れます。このオプションをオフにすると、デフォルトの ND6 タイマーが考慮されます。NDP 再送タイマーのデフォルト値は 1 秒、NDP 到達可能タイムアウトは 30 秒です。 |
MAC アドレスに基づく Wi-Fi アクセス制御
Wi-Fi アクセス制御は、ワイヤレス ネットワークのセキュリティの追加レイヤーとして使用できます。有効にすると、既知および承認済みの MAC アドレスのみをベース ステーションに関連付けることができます。
- エンタープライズ ポータルの SD-WAN サービスで をクリックして、既存の WLAN インターフェイスを選択し、以下のパラメータを設定します。
オプション | 説明 |
---|---|
インターフェイスが有効 (Interface Enabled) | インターフェイスを有効化するには、このチェック ボックスをオンにします。 |
VLAN | ドロップダウン メニューから [VLAN] ID を選択します。 |
SSID | [SSID] を入力します。 |
セキュリティ (Security) | [セキュリティ (Security)] オプションとして [WPA2/エンタープライズ (WPA2/Enterprise)] または [WPA2/個人 (WPA2/Personal)] のいずれかを選択します。 |
固定 MAC 許可リスト (Static MAC Allow List) | リストされた MAC アドレスのみを Access Point に関連付けるには、このチェック ボックスをオンにします。 [固定 MAC 許可リスト (Static MAC Allow List)] が設定されている場合、リストで指定された Mac アドレスのみを Access Point に関連付けることができます。 。 |
RADIUS ACL チェック (Radius ACL Check) | MAC アドレスを RADIUS サーバに関連付けるには、このチェック ボックスをオンにします。access-accept を受信すると、MAC アドレスを Access Point に関連付けることができます。
注: RADIUS ACL チェックは、
[WPA2/エンタープライズ (WPA2/Enterprise)] セキュリティ モードに制限されます。
|
追加 (Add) | クリックして新しい MAC アドレスを入力します。 |
削除 (Delete) | クリックして既存の MAC アドレスを削除します。 |
AP プローブの MAC フィルタリング (MAC filtering for AP Probes) | AP プローブの MAC フィルタリングを有効にすると、未承認の MAC アドレスからのプローブによる AP パラメータのアクティブな検出を防ぎます。これは、SSID がブロードキャストされていない場合、不明なステーションがネットワークに接続するのを防ぐのに役立つ場合があります。一部のデバイスは、AP 設定に関係なくプロービングにランダムな MAC アドレスを使用することが知られており、デバイスの MAC アドレスが承認されている場合でも、プローブ フィルタリングによってこれらのデバイスがネットワークの検出またはネットワークへの接続に失敗する場合があります。 |
[AP プローブの MAC フィルタリング (MAC filtering for AP Probes)] と [RADIUS ACL チェック (RADIUS ACL Check)] を同時に実行することはできません。