Um Edge tem diferentes tipos de Interfaces. Por predefinição, as definições de configuração de interface de um Edge são herdadas do Perfil associado. Pode modificar e configurar mais definições para cada Edge.

As opções de definições de interface variam com base no modelo Edge. Para obter mais informações sobre diferentes modelos e implementações do Edge, consulte Configurar as definições da interface.

Para configurar as definições de interface para um Edge específico, execute os seguintes passos:

  1. No serviço SD-WAN do portal da empresa, clique em Configurar (Configure) > Edges. A página Edges apresenta os Edges existentes.
  2. Clique na ligação para um Edge ou clique na ligação Ver (View) na coluna Dispositivo (Device) do Edge. As opções de configuração do Edge selecionado são apresentadas no separador Dispositivo (Device).
  3. Na categoria Conetividade (Connectivity), expanda Interfaces.
  4. São apresentados os diferentes tipos de interfaces disponíveis para o Edge selecionado. Clique na ligação para uma interface para editar as definições. É apresentado o ecrã de definições da Interface, conforme mostrado abaixo.

    Pode editar as definições para os seguintes tipos de interfaces, com base no modelo Edge:

    • Porta Switch
    • Interface routed
    • Interface WLAN

    Também pode adicionar Subinterface, endereço IP secundário e SSID de Wi-Fi com base no modelo Edge.

  5. Pode configurar as seguintes definições para uma interface routed de um Edge.
    Opção Descrição
    Descrição (Description) Introduza uma descrição. Este campo é opcional.
    Interface Ativada (Interface Enabled) Por predefinição, esta opção está ativada. Se necessário, pode desativar a interface. Desativado, a interface não está disponível para qualquer comunicação.
    Capacidade (Capability) Para uma porta de comutação, a opção Switched é selecionada por predefinição. Pode optar por converter a porta numa interface routed ao selecionar a opção Routed no menu pendente.
    Segmentos (Segments) Por predefinição, as definições de configuração são aplicáveis a todos os segmentos.
    Autenticação Radius (Radius Authentication) Desative a caixa de verificação Ativar overlay WAN (Enable WAN Overlay) para configurar a Autenticação Radius (Radius Authentication). Selecione a caixa de verificação Autenticação Radius (Radius Authentication) e adicione os endereços MAC dos dispositivos pré-autenticados.
    Resposta de eco ICMP (ICMP Echo Response) Esta caixa de verificação está selecionada por predefinição. Isto ajuda a interface a responder a mensagens de eco ICMP. Pode desativar esta opção por razões de segurança.
    Contabilização de underlay (Underlay Accounting) Esta caixa de verificação está selecionada por predefinição. Se um overlay WAN privado for definido na interface, todo o tráfego de underlay que atravessa a interface é contabilizado de acordo com a taxa medida da ligação WAN para evitar a subscrição excessiva. Desative esta opção para evitar este comportamento.
    Nota: A contabilização de underlay é suportada para endereços IPv4 e IPv6.
    Ativar Overlay WAN (Enable WAN Overlay) Selecione a caixa de verificação para ativar o overlay WAN para a interface.
    Proxy DNS (DNS Proxy) A funcionalidade Proxy DNS (DNS Proxy) oferece suporte adicional para entradas DNS locais no Edge, para remeter um determinado tráfego de dispositivo para domínios específicos. Pode ativar ou desativar esta opção, independentemente da definição de servidor DHCP IPv4 ou IPv6.
    Nota: Esta caixa de verificação está disponível apenas para uma interface routed e uma subinterface routed.
    VLAN Para uma porta de acesso, selecione uma VLAN existente no menu pendente. Para uma interface trunk, pode selecionar várias VLANs e selecionar uma VLAN não identificada.
    Modem EVDSL ligado (EVDSL Modem Attached) Selecione esta caixa de verificação para ativar um modem EVDSL ligado a uma das portas Ethernet no Edge.
    Definições de IPv4 (IPv4 Settings) Selecione a caixa de verificação Ativar (Enable) e configure as definições de IPv4. Para obter mais informações, consulte a secção Definições de IPv4 (IPv4 Settings) abaixo.
    Definições de IPv6 (IPv6 Settings) Selecione a caixa de verificação Ativar (Enable) e configure as definições de IPv6. Para obter mais informações, consulte a secção Definições de IPv6 (IPv6 Settings) abaixo.
    Definições L2 (L2 Settings)
    Autonegociar (Autonegotiate) Por predefinição, esta é a opção selecionada. Quando selecionada, a negociação automática permite que a porta comunique com o dispositivo na outra extremidade da ligação para determinar o modo duplex ideal e a velocidade para a ligação.
    Velocidade (Speed) Esta opção só estará disponível se a opção Autonegociar (Autonegotiate) não estiver selecionada. Selecione a velocidade a que a porta deve comunicar com outras ligações. Por predefinição, são selecionados 100 Mbps.
    Duplex Esta opção só estará disponível se a opção Autonegociar (Autonegotiate) não estiver selecionada. Selecione o modo da ligação como Full duplex ou Half duplex. Por predefinição, está selecionado Full duplex.
    MTU O tamanho predefinido da MTU para frames recebidos e enviados em todas as interfaces routed é de 1500 bytes. Pode alterar o tamanho da MTU de uma interface.
    Deteção de LoS (LOS Detection) Esta opção está disponível apenas para uma Interface routed de um Edge. Selecione a caixa de verificação para ativar a deteção de perda de sinal (LoS) utilizando a monitorização ARP. Para obter mais informações, consulte Deteção LoS HA em interfaces routed.
    Nota: Só será possível selecionar a caixa de verificação depois de ter ativado a alta disponibilidade no Edge.

Definições de IPv4 (IPv4 Settings)

Selecione a caixa de verificação Ativar (Enable) para configurar as seguintes Definições de IPv4 (IPv4 Settings):

Opção Descrição
Tipo de endereço (Addressing Type) Selecione um tipo de endereço:
  • DHCP: atribui um endereço IPv4 dinamicamente.
  • PPPoE: tem de configurar os detalhes de autenticação para cada Edge. O PPPoE requer autenticação para obter um endereço IP atribuído dinamicamente.
  • Estático (Static): tem de introduzir o Endereço IP (IP address), Prefixo CIDR (CIDR Prefix) e Gateway para a Interface routed selecionada.
Nota: Os prefixos de 31 bits são suportados para IPv4 de acordo com a RFC 3021.
OSPF Esta opção apenas está disponível quando tiver configurado o OSPF para o Segmento (Segment) selecionado. Selecione a caixa de verificação e escolha um OSPF no menu pendente. Clique em ativar definições avançadas ospf (toggle advance ospf settings) para configurar as definições de interface do OSPF selecionado.
Nota: O OSPF não é suportado em subinterfaces e não é suportado em segmentos não globais.
A configuração OSPFv2 suporta apenas IPv4. A configuração OSPFv3 suporta apenas IPv6.
Nota: O OSFPv3 só está disponível na versão 5.2.
Para obter mais informações sobre as definições do OSPF e o OSPFv3, consulte Ativar o OSPF para os perfis.
Multicast Esta opção apenas está disponível quando tiver configurado definições multicast para o Segment (Segmento) selecionado. Pode configurar as definições multicast que se seguem para a interface selecionada.
  • IGMP – Selecione a caixa de verificação para ativar o Internet Group Management Protocol (IGMP). Apenas o IGMP v2 é suportado.
  • PIM – Selecione a caixa de verificação para ativar o Protocol Independent Multicast. Apenas é suportado o PIM Sparse Mode (PIM-SM).
Clique em ativar definições multicast avançadas (toggle advanced multicast settings) para configurar os temporizadores que se seguem:
  • PIM Hello Timer – O intervalo de tempo no qual uma Interface PIM envia mensagens Olá (Hello) para descobrir vizinhos PIM. O intervalo é de 1 a 180 segundos e o valor predefinido é 30 segundos.
  • Intervalo de Consulta de Anfitrião IGMP (IGMP Host Query Interval) – O intervalo de tempo em que o pesquisador IGMP envia mensagens de consulta de anfitrião para descobrir os grupos multicast com membros, na rede anexa. O intervalo é de 1 a 1800 segundos e o valor predefinido é 125 segundos.
  • Valor de Resposta de Consulta Máx. IGMP (IGMP Max Query Response Value) – O tempo máximo que o anfitrião tem para responder a uma consulta IGMP. O intervalo é de 10 a 250 decisegundos e o valor predefinido é 100 decisegundos.
Nota: Atualmente, o Multicast Listener Discovery (MLD) está desativado. Assim, o Edge não envia o relatório do ouvinte multicast quando o endereço IPv6 é atribuído à interface. Se existir um comutador de snooping na rede, não enviar o relatório MLD pode fazer com que o Edge não receba os pacotes multicast utilizados na deteção de endereços duplicados (DAD). Isto resulta numa DAD com êxito, mesmo com um endereço duplicado.
Inserção VNF (VNF Insertion) Tem de desativar Overlay WAN (WAN Overlay) e selecionar a caixa de verificação Fonte fidedigna (Trusted Source) para ativar Inserção VNF (VNF Insertion). Quando insere o VNF nas interfaces ou subinterfaces de camada 3, o sistema redireciona o tráfego das interfaces ou subinterfaces de camada 3 para o VNF.
Anunciar (Advertise) Selecione a caixa de verificação para anunciar a interface a outros ramos na rede.
Tráfego NAT Direto (NAT Direct Traffic) Selecione a caixa de verificação para aplicar o NAT para IPv4 no tráfego de rede enviado a partir da interface.
Cuidado:

É possível que uma versão mais antiga do SASE Orchestrator tenha configurado inadvertidamente o NAT Direct numa interface principal com uma VLAN ou subinterface configurada. Se essa interface estiver a enviar tráfego direto a um hop ou mais de distância, o cliente não terá qualquer problema porque a configuração NAT Direct não estava a ser aplicada. No entanto, quando um Edge é atualizado para 5.2.0 ou posterior, a compilação DO Edge inclui uma correção para o problema (Pedido de suporte 92142) com o Tráfego NAT direto a não ser aplicado corretamente, e ocorre uma mudança resultante no comportamento de routing, uma vez que esse caso de utilização específico não foi implementado em versões anteriores.

Por outras palavras, como um Edge 5.2.0 ou posterior agora implementa o NAT Direct da maneira esperada para todos os casos de utilização, o tráfego que funcionava anteriormente (porque o NAT Direct não estava a ser aplicado por predefinição) agora pode falhar porque o cliente nunca percebeu que o NAT Direct foi verificado quanto a uma interface com uma VLAN ou subinterface configurada.

Como resultado, um cliente que atualize o respetivo Edge para a versão 5.2.0 ou posterior terá primeiro de verificar as definições de interface dos perfis e do Edge para garantir que o NAT Direct é configurado apenas onde for explicitamente necessário e desativar essa configuração onde não for o caso, especialmente se essa interface tiver uma VLAN ou subinterface configurada.

Fonte fidedigna (Trusted Source) Selecione a caixa de verificação para definir a interface como uma fonte fidedigna.
Reverse Path Forwarding (Reverse Path Forwarding) Apenas pode escolher uma opção para Reverse Path Forwarding (RPF) quando tiver selecionado a caixa de verificação Fonte fidedigna (Trusted Source). Esta opção apenas permitirá o tráfego na interface se o tráfego de retorno puder ser encaminhado na mesma interface. Isto ajuda a prevenir o tráfego de origens desconhecidas, como tráfego malicioso numa rede empresarial. Se a origem de entrada for desconhecida, o pacote será descartado à entrada sem criar fluxos. Selecione uma das seguintes opções no menu pendente:
  • Não ativado (Not Enabled) – Permite o tráfego de entrada, mesmo que não exista um caminho correspondente na tabela de caminhos.
  • Específico (Specific) – Esta opção está selecionada por predefinição, mesmo quando a opção Fonte fidedigna (Trusted Source) está desativada. O tráfego de entrada deve corresponder a um caminho de retorno específico na interface de entrada. Se não for encontrada uma correspondência específica, o pacote de entrada será descartado. Este é um modo comumente utilizado em interfaces configuradas com overlays públicos e NAT.
  • Solto (Loose) – O tráfego de entrada deve corresponder a qualquer caminho (ligado/estático/encaminhado) na tabela de routing. Isto permite o routing assimétrico e é comumente utilizado em interfaces configuradas sem o próximo hop.
Para o endereço IPv4, configure o Servidor DHCP IPv4 (IPv4 DHCP Server) da seguinte forma:
Nota: Esta opção só é apresentada quando seleciona Tipo de endereço (Addressing Type) como Estático (Static).
  • Ativado (Activated): ativa o DHCP com o Edge como servidor DHCP. Se escolher esta opção, configure os seguintes detalhes:
    • Início do DHCP (DHCP Start): introduza um endereço IP válido disponível na sub-rede.
    • Número de endereços (Num. Addresses): introduza o número de endereços IP disponíveis numa sub-rede no servidor DHCP.
    • Tempo de concessão (Lease Time): selecione o período de tempo no menu pendente. Este é o tempo pelo qual a VLAN é autorizada a utilizar um endereço IP atribuído dinamicamente pelo servidor DHCP.
    • Opções (Options): clique em Adicionar (Add) para adicionar opções DHCP predefinidas ou personalizadas a partir do menu pendente. A opção DHCP é um serviço de rede transmitido aos clientes a partir do servidor DHCP. Escolha uma opção personalizada e introduza o código, o tipo de dados e o valor.
  • Reencaminhamento (Relay) – Permite a troca de mensagens DHCPv4 entre cliente e servidor. Se escolher esta opção, configure o seguinte:
    • IP(s) de agente de reencaminhamento (Relay Agent IP(s)): especifique o endereço IP do agente de reencaminhamento. Clique Adicionar (Add) para adicionar mais endereços IP.
  • Desativado (Deactivated) – Desativa o servidor DHCP.

Definições de IPv6

Selecione a caixa de verificação Ativar (Enable) para configurar as seguintes Definições de IPv6 (IPv6 Settings):
Opção Descrição
Tipo de endereço (Addressing Type) Selecione um tipo de endereço:
  • DHCP sem estado (DHCP Stateless):
  • DHCP com estado (DHCP Stateful):
  • Estático (Static): tem de introduzir o Endereço IP (IP address), Prefixo CIDR (CIDR Prefix) e Gateway para a Interface routed selecionada.
OSPF Esta opção apenas está disponível quando tiver configurado o OSPF para o Segmento (Segment) selecionado. Selecione a caixa de verificação e escolha um OSPF no menu pendente. Clique em ativar definições avançadas ospf (toggle advance ospf settings) para configurar as definições de interface do OSPF selecionado.
Nota: O OSPF não é suportado em subinterfaces e não é suportado em segmentos não globais.
A configuração OSPFv2 suporta apenas IPv4. A configuração OSPFv3 suporta apenas IPv6, que só está disponível na versão 5.2.
Nota: O OSFPv3 só está disponível na versão 5.2.
Para obter mais informações sobre as definições do OSPF e o OSPFv3, consulte Ativar o OSPF para os perfis.
Anunciar (Advertise) Selecione a caixa de verificação para anunciar a interface a outros ramos na rede.
Tráfego NAT Direto (NAT Direct Traffic) Selecione a caixa de verificação para aplicar o NAT para IPv6 no tráfego de rede enviado a partir da interface.
Cuidado:

É possível que uma versão mais antiga do SASE Orchestrator tenha configurado inadvertidamente o NAT Direct numa interface principal com uma VLAN ou subinterface configurada. Se essa interface estiver a enviar tráfego direto a um hop ou mais de distância, o cliente não terá qualquer problema porque a configuração NAT Direct não estava a ser aplicada. No entanto, quando um Edge é atualizado para 5.2.0 ou posterior, a compilação DO Edge inclui uma correção para o problema (Pedido de suporte 92142) com o Tráfego NAT direto a não ser aplicado corretamente, e ocorre uma mudança resultante no comportamento de routing, uma vez que esse caso de utilização específico não foi implementado em versões anteriores.

Por outras palavras, como um Edge 5.2.0 ou posterior agora implementa o NAT Direct da maneira esperada para todos os casos de utilização, o tráfego que funcionava anteriormente (porque o NAT Direct não estava a ser aplicado por predefinição) agora pode falhar porque o cliente nunca percebeu que o NAT Direct foi verificado quanto a uma interface com uma VLAN ou subinterface configurada.

Como resultado, um cliente que atualize o respetivo Edge para a versão 5.2.0 ou posterior terá primeiro de verificar as definições de interface dos perfis e do Edge para garantir que o NAT Direct é configurado apenas onde for explicitamente necessário e desativar essa configuração onde não for o caso, especialmente se essa interface tiver uma VLAN ou subinterface configurada.

Fonte fidedigna (Trusted Source) Selecione a caixa de verificação para definir a interface como uma fonte fidedigna.
Reverse Path Forwarding (Reverse Path Forwarding) Apenas pode escolher uma opção para Reverse Path Forwarding (RPF) quando tiver selecionado a caixa de verificação Fonte fidedigna (Trusted Source). Esta opção apenas permitirá o tráfego na interface se o tráfego de retorno puder ser encaminhado na mesma interface. Isto ajuda a prevenir o tráfego de origens desconhecidas, como tráfego malicioso numa rede empresarial. Se a origem de entrada for desconhecida, o pacote será descartado à entrada sem criar fluxos. Selecione uma das seguintes opções no menu pendente:
  • Não ativado (Not Enabled) – Permite o tráfego de entrada, mesmo que não exista um caminho correspondente na tabela de caminhos.
  • Específico (Specific) – Esta opção está selecionada por predefinição, mesmo quando a opção Fonte fidedigna (Trusted Source) está desativada. O tráfego de entrada deve corresponder a um caminho de retorno específico na interface de entrada. Se não for encontrada uma correspondência específica, o pacote de entrada será descartado. Este é um modo comumente utilizado em interfaces configuradas com overlays públicos e NAT.
  • Solto (Loose) – O tráfego de entrada deve corresponder a qualquer caminho (ligado/estático/encaminhado) na tabela de routing. Isto permite o routing assimétrico e é comumente utilizado em interfaces configuradas sem o próximo hop.
Para o endereço IPv6, configure o Servidor DHCP IPv6 (IPv6 DHCP Server) da seguinte forma:
Nota: Esta opção só é apresentada quando seleciona Tipo de endereço (Addressing Type) como Estático (Static).
  • Ativado (Enabled): ativa o DHCPv6 com o Edge como servidor DHCPv6. Se escolher esta opção, configure os seguintes detalhes:
    • Início do DHCP (DHCP Start): introduza um endereço IPv6 válido disponível na sub-rede.
    • Número de endereços (Num. Addresses): introduza o número de endereços IP disponíveis numa sub-rede no servidor DHCPv6.
    • Tempo de concessão (Lease Time): selecione o período de tempo na lista pendente. Este é o tempo pelo qual a VLAN é autorizada a utilizar um endereço IPv6 atribuído dinamicamente pelo servidor DHCPv6.
    • Delegação de prefixo DHCPv6 (DHCPv6 Prefix Delegation): clique em Adicionar (Add) para atribuir prefixos escolhidos de um conjunto global a clientes DHCP. Introduza o nome do conjunto de prefixos juntamente com os detalhes de início e fim do prefixo.
    • Opções (Options) – Clique em Adicionar (Add) para adicionar opções DHCP predefinidas ou personalizadas a partir do menu pendente. A opção DHCP é um serviço de rede transmitido aos clientes a partir do servidor DHCP. Escolha uma opção personalizada e introduza o código, o tipo de dados e o valor.
  • Reencaminhamento (Relay) – Permite a troca de mensagens DHCPv6 entre cliente e servidor. Se escolher esta opção, configure o seguinte:
    • IP(s) de agente de reencaminhamento (Relay Agent IP(s)): especifique o endereço IP do agente de reencaminhamento. Clique Adicionar (Add) para adicionar mais endereços IP.

      A partir da versão 5.2.0, o VMware SD-WAN Edge suporta a funcionalidade Reencaminhamento DHCPv6 (DHCPv6 Relay). Permite que os clientes DHCPv6 comuniquem com um servidor DHCPv6 remoto. É muito semelhante à funcionalidade Reencaminhamento DHCPv4 (DHCPv4 Relay), mas o DHCPv6 utiliza tipos de mensagem separados para permitir que os agentes de reencaminhamento introduzam as suas próprias opções ou para identificar a interface de saída para o pacote de respostas. Para ativar esta funcionalidade num Edge, tem de ativar o IPv6 na interface LAN desse Edge.

      Nota:
      • Tem de fornecer o endereço IP do servidor como o endereço IP do agente de reencaminhamento (Relay Agent IP) na interface para o cliente.
      • Se esta interface pertencer a um segmento não global, o servidor terá de ser alcançado através do mesmo segmento não global.
  • Desativado (Deactivated): desativa o servidor DHCP.

Definições do anfitrião de anúncio do router (Router Advertisement Host Settings): os parâmetros de anúncio do router (RA) só estão disponíveis quando ativa as Definições de IPv6 (IPv6 Settings) e escolhe o Tipo de endereço (Addressing Type) como DHCP sem estado (DHCP Stateless) ou DHCP com estado (DHCP Stateful).

Os seguintes parâmetros de RA estão ativados por predefinição. Se necessário, pode desativá-los.
Opção Descrição
MTU Aceita o valor MTU recebido através do Anúncio de caminho. Se desativar esta opção, é considerada a configuração MTU da interface.
Caminhos predefinidos (Default Routes) Instala caminhos predefinidos quando o Anúncio de caminho é recebido na interface. Se desativar esta opção, não existem caminhos predefinidos disponíveis para a interface.
Caminhos específicos (Specific Routes) Instala caminhos específicos quando o Anúncio de caminho recebe informação de caminho na interface. Se desativar esta opção, a interface não instalará as informações de caminho.
Temporizadores ND6 (ND6 Timers) Aceita temporizadores ND6 recebidos através do Anúncio de caminho. Se desativar esta opção, serão considerados os temporizadores ND6 predefinidos. O valor predefinido do temporizador de retransmissão NDP é 1 segundo e o tempo limite para alcançar o NDP são 30 segundos.
Nota: Quando os parâmetros do anfitrião de Anúncio de caminho forem desativados e ativados novamente, o Edge aguarda que o próximo Anúncio de caminho seja recebido antes de instalar os caminhos e os parâmetros MTU e ND/NS.

Controlo de acesso Wi-Fi baseado no Endereço MAC

O Controlo de acesso Wi-Fi pode ser utilizado como uma camada adicional de segurança para redes sem fios. Quando ativado, apenas endereços MAC conhecidos e aprovados podem ser associados à estação base.

  1. No serviço SD-WAN do portal da empresa, clique em Configurar (Configure) > Edges e escolha uma interface WLAN existente para configurar os seguintes parâmetros.
Opção Descrição
Interface Ativada (Interface Enabled) Selecione a caixa de verificação para ativar a interface.
VLAN Selecione o ID VLAN no menu pendente.
SSID Introduza o SSID.
Segurança (Security) Selecione WPA2/Empresa (WPA2/Enterprise) ou WPA2/Pessoal (WPA2/Personal) como a opção segurança (Security).
Lista de permissões de MAC estático (Static MAC Allow List) Selecione a caixa de verificação para permitir que apenas os MACs listados sejam associados ao ponto de acesso.

Quando a Lista de permissões de MAC estático (Static MAC Allow List) é configurada, apenas os endereços Mac especificados na lista têm permissão para se associar ao ponto de acesso.

.
Verificação da ACL do Radius (Radius ACL Check) Selecione a caixa de verificação para associar o endereço MAC a um servidor RADIUS. Se um access-accept for recebido, o MAC terá permissão para se associar ao ponto de acesso.
Nota: As verificações de RADIUS ACL estão limitadas ao modo de segurança WPA2/Empresa (WPA2/Enterprise).
Adicionar (Add) Clique para introduzir um novo endereço MAC.
Eliminar (Delete) Clique para remover um endereço MAC existente.
Filtragem MAC para pesquisas de APs (MAC filtering for AP Probes) A ativação da Filtragem MAC para pesquisas de APs (MAC Filtering for AP probes) impede que as pesquisas de endereços MAC não aprovadas descubram ativamente os parâmetros AP. Quando o SSID não é transmitido, isso pode ajudar a impedir que estações desconhecidas se liguem à rede. Alguns dispositivos são conhecidos por utilizarem endereços MAC aleatórios para pesquisa, independentemente de as configurações de APs e de a filtragem de pesquisa impedirem que esses dispositivos descubram ou se liguem à rede, mesmo que o dispositivo MAC tenha sido aprovado.
Nota:

A Filtragem MAC para pesquisas de APs (MAC filtering for AP Probes) e a Verificação da ACL do RADIUS (RADIUS ACL Check) não podem ocorrer ao mesmo tempo.