Quando cria um novo gateway, é redirecionado automaticamente para a página Configurar Gateways (Configure Gateways), onde pode configurar as propriedades e outras definições adicionais do gateway.

Para configurar um gateway existente:

Procedimento

  1. No portal do parceiro do SASE Orchestrator, clique no separador Gestão de gateways (Gateway Management) e aceda a Gateways no painel de navegação esquerdo.
    A página Gateways apresenta a lista de gateways disponíveis.
  2. Clique na ligação para um gateway que precisa de ser configurado com definições adicionais. Os detalhes do gateway selecionado são apresentados na página Configurar (Configure) > Gateways.
  3. No separador Visão geral (Overview), pode configurar os seguintes detalhes:
    Campo Descrição
    Propriedades (Properties) Apresenta o nome e a descrição existentes do gateway selecionado. Se necessário, pode modificar as informações.
    Também pode configurar as funções do gateway, conforme necessário:
    • Plano de dados (Data Plane) – Permite que o gateway opere no plano de dados, é selecionado por predefinição.
    • Plano de controlo (Control Plane) – Permite que o gateway opere no plano de controlo, é selecionado por predefinição.
    • Gateway VPN seguro (Secure VPN Gateway) – Selecione a opção para utilizar o gateway para estabelecer um túnel IPSec para um Destino Não-SD-WAN.
    • Gateway de parceiro (Partner Gateway) – Selecione a caixa de verificação para permitir que o gateway seja atribuído como um gateway de parceiro para Edges. Se selecionar esta opção, configure as definições adicionais na secção Detalhes do gateway de parceiro (handoff avançado) [Partner Gateway (Advanced Handoff) Details].
    • CDE – Permite que o gateway funcione no modo CDE (Cardholder Data Environment). Selecione esta opção para atribuir o gateway para clientes que necessitem de transmitir tráfego de PCI.
    • Interligação cloud para cloud (Cloud-to-Cloud Interconnect) – Selecione a opção para ativar os túneis de interligação cloud para cloud (CCI) nos SD-WAN Gateways.
      Nota: Esta opção Função de gateway (Gateway Role) será apresentada se a propriedade do sistema session.options.enableZscalerCci for definida como True.
    • Cloud Web Security – Permite que um utilizador operador com uma função de superutilizador ou padrão configure um SD-WAN Gateway para uma função do Cloud Web Security (CWS). Para obter mais informações, consulte o Guia de configuração do VMware SD-WAN Cloud Web Security em https://docs.vmware.com/pt/VMware-Cloud-Web-Security/index.html.
    Estado (Status) Pode configurar os seguintes detalhes:
    • Estado (Status) – Apresenta o estado do gateway que reflete o sucesso ou a falha dos heartbeats periódicos enviados ao Orchestrator. Veja a seguir os estados disponíveis:
      • Ligado (Connected) – O gateway tem um heartbeat no Orchestrator.
      • Degradado (Degraded) – O Orchestrator não recebe dados do gateway há, pelo menos, um minuto.
      • Offline – O Orchestrator não recebe dados do gateway há, pelo menos, dois minutos.
    • Estado do serviço (Service State) – Selecione o estado do serviço do gateway de entre as seguintes opções disponíveis:
      • Em serviço (In Service) – O gateway está ligado e disponível para atribuições de túnel principal e secundário. Quando o estado do serviço do Gateway é alterado do estado “Fora de serviço” (Out Of Service) para “Em serviço” (In Service), as atribuições principais ou secundárias, os supergateways e os caminhos Edge-a-Edge serão recalculados para cada empresa que utiliza o gateway.
      • Serviço pendente (Pending Service) – O gateway está ligado e está no estado pendente a aguardar as atribuições de túnel.
      • Fora de serviço (Out of Service) – O gateway não está ligado ou disponível para qualquer atribuição. Todas as atribuições existentes são removidas.
      • Desligado (Quiesced) – O serviço de gateway é silenciado ou colocado em pausa. Não é possível adicionar novos túneis ou locais NSD ao gateway. No entanto, as atribuições existentes continuam no gateway. Selecione este estado para fins de backup ou manutenção.

        Quanto o estado do serviço é Desligado (Quiesced), o Orchestrator fornece uma funcionalidade de migração personalizada que permite fazer a migração do gateway existente para um novo gateway sem o suporte do operador.

        Para obter mais informações, consulte Silenciar Gateways.

        Nota: A migração de gestão personalizada não é suportada nos gateways de parceiro.
    • Edges ligados (Connected Edges) – Apresenta o número de Edges ligados ao gateway. Esta opção só é apresentada quando o gateway é ativado.
    • Modo de autenticação de Gateway (Gateway Authentication Mode) – Selecione o modo de autenticação do gateway de entre as seguintes opções disponíveis:
      • Certificado desativado (Certificate Deactivated) –O gateway utiliza um modo de autenticação de chave pré-partilhada.
      • Aquisição de certificado (Certificate Acquire) – Esta opção está selecionada por predefinição e instrui o gateway a adquirir um certificado junto da autoridade de certificado do SASE Orchestrator, gerando um par de chaves e enviando um pedido de assinatura de certificado ao Orchestrator. Uma vez adquirido, o Gateway utiliza o certificado para autenticação no SASE Orchestrator e para a criação de túneis VCMP.
        Nota: Após a aquisição do certificado, a opção pode ser atualizada para Certificado necessário (Certificate Required).
      • Certificado necessário (Certificate Required) – O gateway utiliza o certificado PKI. Os operadores podem alterar o intervalo de tempo de renovação do certificado para Gateways utilizando a propriedade do sistema gateway.certificate.renewal.window.
      Nota: Quando o certificado do Gateway é revogado, o Gateway não recebe a lista de revogação de certificados (CRL), uma vez que perde a ligação TLS imediatamente. De qualquer forma, o Gateway continua a ser operável.
      Nota: O design QuickSec atual verifica a validade do período da CRL. A validade do período da CRL tem de corresponder ao período atual dos Edges para que a CRL tenha impacto na nova ligação estabelecida. Para implementar isto, certifique-se de que atualiza o período do Orchestrator adequadamente de forma a corresponder à data e hora dos Edges.
    • Endereço IP (IP Address) – Apresenta o endereço IP público que as ligações WAN públicas de um Edge utilizam para se ligar ao gateway. Este endereço IP é utilizado para identificar exclusivamente o gateway. Se tiver configurado o gateway com os endereços IPv4 e IPv6, este campo apresentará ambos os endereços IP.

      Se tiver criado apenas um gateway IPv4 ou se existir um gateway IPv4 atualizado de versões anteriores, poderá introduzir o endereço IPv6 para suportar a pilha dupla. Depois de guardar as alterações, o endereço IPv6 não é enviado imediatamente para os Edges. Pode ativar a operação de reequilíbrio para enviar manualmente o endereço IPv6 para o cliente e para os Edges associados ou o endereço IPv6 é enviado para os Edges durante a próxima atualização do Plano de controlo.

      Nota: Adicionar o endereço IPv6 é uma atividade única e após guardar as alterações, não será possível modificar os endereços IP.
      Cuidado: Um endereço IPv6 incorretamente configurado, quando enviado para os Edges, pode levar à falha do túnel IPv6 para o gateway IPv6. Nestes casos, é necessário desativar o gateway e criar um novo para ativar os endereços IPv4 e IPv6.
    Contacto e Localização (Contact & Location) Apresenta os detalhes de contacto existentes. Se necessário, pode modificar as informações.
    Definições Syslog (Contact & Location) A partir da versão 4.5, os gateways podem exportar informações NAT através de um servidor syslog remoto ou via telegraf para o destino pretendido. Para obter mais informações, consulte a secção Configurar o Syslog de entrada NAT para Gateways no Guia do operador do VMware SD-WAN publicado em https://docs.vmware.com/pt/VMware-SD-WAN/index.html.
    Utilização do cliente (Customer Usage) Apresenta os detalhes de utilização de diferentes tipos de gateways atribuídos aos clientes.
    Participação em conjunto (Pool Membership) Apresenta os detalhes dos conjuntos de gateways aos quais o gateway atual está atribuído.
    Detalhes do gateway de parceiro (Entrega avançada) (Partner Gateway (Advanced Handoff) Details) Esta secção só estará disponível se selecionar a caixa de verificação Gateway de parceiro (Partner Gateway). Pode configurar as definições de entrega avançada para o gateway de parceiro. Para obter mais informações, consulte a secção Detalhes do gateway de parceiro (Entrega avançada) (Partner Gateway (Advanced Handoff) Details) abaixo.
    Cloud Web Security Esta secção permite-lhe configurar o endereço IP do ponto final do Generic Network Virtualization Encapsulation (Geneve) e o nome dos pontos de presença (PoP) para o Cloud Web Security, se a função de gateway do Cloud Web Security estiver ativada.
    Detalhes do gateway de parceiro (Entrega avançada) (Partner Gateway (Advanced Handoff) Details)

    Pode configurar as definições de entrega avançada seguintes para o gateway de parceiro:

    Cuidado: Recomenda-se que não envie as configurações do IPv6 para os Gateways de parceiro que funcionem com uma versão de software anterior à 5.0.
    Opção Descrição
    Caminhos estáticos | Sub-redes (Static Routes | Subnets) – Especifique as sub-redes ou os caminhos que o SD-WAN Gateway deve anunciar ao SD-WAN Edge. Isto é global por SD-WAN Gateway e aplica-se a TODOS os clientes. Com o BGP, esta secção será utilizada apenas se existir uma sub-rede partilhada a que todos os clientes precisem de aceder e se for necessário o handoff de NAT.

    Remova as sub-redes não utilizadas da lista de caminhos estáticos se não tiver quaisquer sub-redes que precise de anunciar ao SD-WAN Edge e tiver o handoff do tipo NAT.

    Pode clicar no separador IPv4 ou IPv6 para configurar o tipo de endereço correspondente para as sub-redes.
    Sub-redes (Subnets) Introduza o endereço IPv4 ou IPv6 da sub-rede de caminho estático que o gateway deve anunciar para o Edge.
    Custo (Cost) Introduza o custo para aplicar a ponderação nos caminhos. O intervalo é de 0 a 255.
    Encriptar (Encrypt) Selecione a caixa de verificação para encriptar o tráfego entre o Edge e o gateway.
    Entrega (Hand off) Selecione o tipo de handoff como VLAN ou NAT.
    Descrição (Description) Opcionalmente, introduza um texto descritivo para o caminho estático.
    Definições de Pesquisas ICMP e Respondedores Ping (ICMP Probes and Ping Responders Settings)
    Pesquisa de recuperação automática ICMP (ICMP Failover Probe) – O SD-WAN Gateway utiliza a pesquisa ICMP para verificar a capacidade de alcance de um determinado endereço IP e notifica o SD-WAN Edge para recuperar automaticamente para o gateway secundário se o endereço IP não for alcançável. Esta opção suporta apenas endereços IPv4.
    Identificação VLAN (VLAN Tagging) Selecione a etiqueta VLAN na lista pendente para aplicar aos pacotes da pesquisa ICMP. Seguem-se as opções disponíveis:
    • Nenhum (None) – Não identificada
    • 802.1q – Etiqueta VLAN única
    • 802.1ad/QinQ (0x8100)/QinQ (0x9100) – Etiqueta VLAN dupla
    Endereço IP de destino (Destination IP address) Introduza o endereço IP a receber o ping.
    Frequência (Frequency) Introduza o intervalo de tempo, em segundos, para enviar o pedido de ping. O intervalo é de 1 a 60 segundos.
    Limiar (Threshold) Introduza o número de vezes que as respostas de ping podem ser perdidas para marcar os caminhos como inacessíveis. O intervalo é de 1 a 10.
    Respondedor ICMP (ICMP Responder) – Permite que o SD-WAN Gateway responda à pesquisa ICMP a partir do router do próximo hop quando os túneis estiverem ativados. Esta opção suporta apenas endereços IPv4.
    Endereço IP (IP address) Introduza o endereço IP virtual que responderá aos pedidos de ping.
    Modo (Mode) Selecione um dos seguintes modos da lista pendente:
    • Condicional (Conditional) – O SD-WAN Gateway responde ao pedido do ICMP apenas quando o serviço está ativo e quando pelo menos um túnel está ativo.
    • Sempre (Always) – O SD-WAN Gateway responde sempre ao pedido do ICMP do seu par.
    Nota: Os parâmetros da pesquisa ICMP são opcionais e recomendados apenas se pretender utilizar o ICMP para verificar o funcionamento do SD-WAN Gateway. Com o suporte BGP no gateway de parceiro, a utilização da pesquisa ICMP para a recuperação automática e convergência dos caminhos já não é necessária. Para obter mais informações sobre a configuração das definições de handoff e suporte do BGP para um gateway de parceiro, consulte Configurar handoff de parceiro.
  4. Depois de configurar os detalhes necessários, clique em Guardar alterações (Save Changes).