Pode configurar as propriedades e outros detalhes de um gateway no portal do operador.
Quando cria um novo gateway, é automaticamente redirecionado para a página Configurar gateways (Configure Gateways).
Para configurar um gateway existente:
Procedimento
- No portal do operador, clique em Gateways.
- A página Gateways apresenta a lista de gateways disponíveis. Clique na ligação para um gateway. Os detalhes do gateway selecionado são apresentados na página Configurar gateways (Configure Gateways).
- Configure o seguinte no separador Visão geral (Overview).
Propriedades (Properties) – Nesta secção, são apresentados o nome e a descrição existentes do gateway selecionado. Se necessário, pode modificar as informações.Também pode configurar os seguintes detalhes adicionais:
Opção Descrição Funções do gateway (Gateway Roles) Selecione as seguintes caixas de verificação, conforme necessário: - Plano de controlo (Control Plane): permite que o gateway opere no plano de controlo e é selecionado por predefinição.
- CDE: permite que o gateway funcione no modo Cardholder Data Environment (CDE). Selecione esta opção para atribuir o gateway para clientes que necessitem de transmitir tráfego de PCI.
- Cloud Web Security – Permite que um utilizador operador com uma função de superutilizador ou padrão configure um SD-WAN Gateway para uma função do Cloud Web Security (CWS). Para obter mais informações, consulte o Guia de configuração do VMware SD-WAN Cloud Web Security em https://docs.vmware.com/pt/VMware-Cloud-Web-Security/index.html.
- Plano de dados (Data Plane): permite que o gateway opere no plano de dados e é selecionado por predefinição.
- Gateway de parceiro (Partner Gateway): selecione a caixa de verificação para permitir que o gateway seja atribuído como um gateway de parceiro para Edges. Se selecionar esta opção, configure as definições adicionais na secção Detalhes do gateway de parceiro (entrega avançada) [Partner Gateway (Advanced Handoff) Details].
- Gateway VPN seguro (Secure VPN Gateway): selecione a opção para utilizar o gateway para estabelecer um túnel IPSec para um Destino Não-SD-WAN.
Estado do serviço (Service State) Selecione o estado do serviço do gateway de entre as seguintes opções disponíveis: - Em serviço (In Service): o gateway está ligado e disponível.
- Fora de serviço (Out of Service): o gateway não está ligado.
- Silenciado (Quiesced): o serviço gateway é silenciado ou colocado em pausa. Selecione este estado para fins de backup ou manutenção.
Estado (Status) Apresenta o estado do gateway que reflete o sucesso ou a falha dos heartbeats periódicos enviados ao Orchestrator. Seguem-se os estados disponíveis: - Ligado (Connected): o gateway tem um heartbeat bem-sucedido para o Orchestrator.
- Degradado (Degraded): o Orchestrator não recebe dados do gateway há, pelo menos, um minuto.
- Offline: o Orchestrator não recebe dados do gateway há, pelo menos, dois minutos.
Edges ligados Apresenta o número de Edges ligados ao gateway. Esta opção só é apresentada quando o gateway é ativado. Endereço IP (IP Address) Apresenta o endereço IP público que as ligações WAN públicas de um Edge utilizam para se ligar ao gateway. Este endereço IP é utilizado para identificar exclusivamente o gateway. Se tiver configurado o gateway com os endereços IPv4 e IPv6, este campo apresentará ambos os endereços IP.
Se tiver criado apenas um gateway IPv4 ou se existir um gateway IPv4 atualizado de versões anteriores, poderá introduzir o endereço IPv6 para suportar a pilha dupla. Depois de guardar as alterações, o endereço IPv6 não é enviado imediatamente para os Edges. Pode ativar a operação de reequilíbrio para enviar manualmente o endereço IPv6 para o cliente e para os Edges associados ou o endereço IPv6 é enviado para os Edges durante a próxima atualização do Plano de controlo.
Nota: Adicionar o endereço IPv6 é uma atividade única e após guardar as alterações, não será possível modificar os endereços IP.Cuidado: Um endereço IPv6 incorretamente configurado, quando enviado para os Edges, pode levar à falha do túnel IPv6 para o gateway IPv6. Nestes casos, é necessário desativar o gateway e criar um novo para ativar os endereços IPv4 e IPv6.Modo de autenticação de gateway (Gateway Authentication Mode) Selecione o modo de autenticação do Gateway de entre as seguintes opções disponíveis: - Certificado desativado (Certificate Deactivated): o Gateway utiliza um modo de autenticação de chave pré-partilhada.
- Aquisição de certificado (Certificate Acquire): esta opção está selecionada por predefinição e instrui o Gateway a adquirir um certificado junto da autoridade de certificado do SD-WAN Orchestrator, gerando um par-chave e enviando um pedido de assinatura de certificado ao Orchestrator. Uma vez adquirido, o Gateway utiliza o certificado para autenticação no SD-WAN Orchestrator e para a criação de túneis VCMP.
Nota: Após a aquisição do certificado, a opção pode ser atualizada para Certificado necessário (Certificate Required).
- Certificado necessário (Certificate Required): o Gateway utiliza o certificado PKI. Os operadores podem alterar o intervalo de tempo de renovação do certificado para Gateways utilizando a propriedade do sistema
gateway.certificate.renewal.window
.
Nota: Quando o certificado do Gateway é revogado, o Gateway não recebe a lista de revogação de certificados (CRL), uma vez que perde a ligação TLS imediatamente. De qualquer forma, o Gateway continua a ser operável.Nota: O design QuickSec atual verifica a validade do período da CRL. A validade do período da CRL tem de corresponder ao período atual dos Edges para que a CRL tenha impacto na nova ligação estabelecida. Para implementar isto, certifique-se de que atualiza o período do Orchestrator adequadamente de forma a corresponder à data e hora dos Edges.Detalhes do gateway de parceiro (entrega avançada) (Partner Gateway [Advanced Handoff] Details) – Esta secção está disponível se selecionar a caixa de verificação Gateway de parceiro (Partner Gateway) e pode configurar as seguintes definições:Cuidado: Recomenda-se que não envie as configurações do IPv6 para os Gateways de parceiro que funcionem com uma versão de software anterior à 5.0.Opção Descrição Caminhos estáticos (Static Routes) – Especifique as sub-redes ou os caminhos que o SD-WAN Gateway deve anunciar ao SD-WAN Edge. Isto é global por SD-WAN Gateway e aplica-se a TODOS os clientes. Com o BGP, esta secção será utilizada apenas se existir uma sub-rede partilhada a que todos os clientes precisem de aceder e se for necessária a entrega de NAT. Remova as sub-redes não utilizadas da lista de caminhos estáticos se não tiver quaisquer sub-redes que precise de anunciar ao SD-WAN Edge e tiver a entrega do tipo NAT.
Pode clicar no separador IPv4 ou IPv6 para configurar o tipo de endereço correspondente para as sub-redes.
Subredes (Subnets) Introduza o endereço IPv4 ou IPv6 da sub-rede de caminho estático que o gateway deve anunciar para o Edge. Custo (Cost) Introduza o custo para aplicar a ponderação nos caminhos. O intervalo é de 0 a 255. Encriptar (Encrypt) Selecione a caixa de verificação para encriptar o tráfego entre o Edge e o gateway. Entrega (Hand off) Selecione o tipo de entrega como VLAN ou NAT. Descrição (Description) Opcionalmente, introduza um texto descritivo para o caminho estático. Pesquisa de recuperação automática ICMP (ICMP Failover Probe) – O SD-WAN Gateway utiliza a pesquisa ICMP para verificar a capacidade de alcance de um determinado endereço IP e notifica o SD-WAN Edge para recuperar automaticamente para o gateway secundário se o endereço IP não for alcançável. Esta opção suporta apenas endereços IPv4. Identificação VLAN (VLAN Tagging) Selecione a etiqueta VLAN na lista pendente para aplicar aos pacotes da pesquisa ICMP. Seguem-se as opções disponíveis: - Nenhum (None) – Não identificada
- 802.1q – Etiqueta VLAN única
- 802.1ad/QinQ (0x8100)/QinQ (0x9100) – Etiqueta VLAN dupla
Endereço IP de destino (Destination IP address) Introduza o endereço IP a receber o ping. Frequência (Frequency) Introduza o intervalo de tempo, em segundos, para enviar o pedido de ping. O intervalo é de 1 a 60 segundos. Limiar (Threshold) Introduza o número de vezes que as respostas de ping podem ser perdidas para marcar os caminhos como inacessíveis. O intervalo é de 1 a 10. Respondedor ICMP ativado (ICMP Responder Enabled): permite que o SD-WAN Gateway responda à pesquisa ICMP a partir do router do próximo hop quando os túneis estiverem ativados. Esta opção suporta apenas endereços IPv4. Endereço IP (IP address) Introduza o endereço IP virtual que responderá aos pedidos de ping. Modo (Mode) Selecione um dos seguintes modos da lista pendente: - Condicional (Conditional) – O SD-WAN Gateway responde ao pedido do ICMP apenas quando o serviço está ativo e quando pelo menos um túnel está ativo.
- Sempre (Always) – O SD-WAN Gateway responde sempre ao pedido do ICMP do seu par.
Nota: Os parâmetros da pesquisa ICMP são opcionais e recomendados apenas se pretender utilizar o ICMP para verificar o funcionamento do SD-WAN Gateway. Com o suporte BGP no gateway de parceiro, a utilização da pesquisa ICMP para a recuperação automática e convergência dos caminhos já não é necessária. Para obter mais informações sobre a configuração das definições de entrega e suporte do BGP para um gateway de parceiro, consulte Configurar handoff de parceiro .Contacto e localização (Contact & Location) – Os dados de contacto existentes são apresentados nesta secção. Se necessário, pode modificar as informações.Definições Syslog (Syslog Settings) – A partir da versão 4.5, os Gateways podem exportar informações NAT através de um servidor syslog remoto ou via telegraf para o destino pretendido. Para obter mais informações, consulte a secção Configurar o Syslog de entrada NAT para Gateways no Guia do operador do VMware SD-WAN publicado em https://docs.vmware.com/pt/VMware-SD-WAN/index.html.Cloud Web Security – Esta secção permite-lhe configurar o endereço IP do ponto final do Generic Network Virtualization Encapsulation (Geneve) e o nome dos pontos de presença (PoP) para o Cloud Web Security, se a função de Gateway do Cloud Web Security estiver ativada.Utilização do cliente (Customer Usage) – Esta secção apresenta os detalhes de utilização de diferentes tipos de gateways atribuídos aos clientes.Participação em conjunto (Pool Membership) – Esta secção apresenta os detalhes dos conjuntos de gateways aos quais o gateway atual é atribuído. - Depois de configurar os detalhes necessários, clique em Guardar alterações (Save Changes).