您可以在合作夥伴入口網站中設定閘道的內容和其他詳細資料。

建立新閘道時,系統會自動將您重新導向至設定閘道 (Configure Gateways) 頁面。

若要設定現有的閘道:

備註: 您可以僅設定由合作夥伴使用者所建立的閘道,或由操作員所建立的合作夥伴管理的閘道。

程序

  1. 在合作夥伴入口網站中,按一下閘道 (Gateways)
  2. 閘道 (Gateways) 頁面會顯示可用閘道的清單。按一下閘道的連結。所選閘道的詳細資料會顯示在設定閘道 (Configure Gateways) 頁面中。
  3. 概觀 (Overview) 索引標籤中設定下列項目。
    內容 (Properties) - 在此區段中,系統會顯示所選閘道的現有名稱與說明。如有需要,您可以修改資訊。
    您也可以設定下列的其他詳細資料:
    選項 說明
    閘道角色 (Gateway Roles) 視需要選取以下核取方塊:
    • 控制平面 (Control Plane):允許閘道在控制平面中運作,且依預設會選取。
    • CDE:允許閘道在持卡人資料環境 (CDE) 模式下運作。選取此選項,可為需要傳輸 PCI 流量的客戶指派閘道。
    • Cloud Web Security - 可讓具有超級使用者或標準角色的合作夥伴使用者為 Cloud Web Security (CWS) 角色設定 SD-WAN 閘道。如需詳細資訊,請參閱《VMware SD-WAN Cloud Web Security 組態指南》,發佈位置:https://docs.vmware.com/tw/VMware-Cloud-Web-Security/index.html
    • 資料平面 (Data Plane):允許閘道在資料平面中運作,且依預設會選取。
    • 合作夥伴閘道 (Partner Gateway):選取此核取方塊,可允許將閘道指派為 Edge 的合作夥伴閘道。如果您選取此選項,請在合作夥伴閘道 (進階遞交) 詳細資料 (Partner Gateway (Advanced Handoff) Details) 區段中設定其他設定。
    • 安全 VPN 閘道 (Secure VPN Gateway):選取該選項,以使用閘道來建立對非 SD-WAN 目的地的 IPsec 通道。
    服務狀態 (Service State) 從下列可用選項中選取閘道的服務狀態:
    • 服務中 (In Service):閘道已連線且可供使用。
    • 停止服務 (Out of Service):閘道未連線。
    • 靜止 (Quiesced):閘道服務已靜止或已暫停。選取此狀態以進行備份或維護。
    狀態 (Status) 顯示閘道的狀態,這會反映傳送至 Orchestrator 之定期活動訊號的成功或失敗。以下是可用的狀態:
    • 已連線 (Connected):閘道成功將活動訊號傳送至 Orchestrator。
    • 已降級 (Degraded):Orchestrator 已有至少一分鐘的時間沒有收到閘道的活動訊號。
    • 離線 (Offline):Orchestrator 已有至少兩分鐘的時間沒有收到閘道的活動訊號。
    已連線的 Edge 顯示連線至閘道的 Edge 數目。只有在啟動了閘道時,才會顯示這個選項。
    IP 位址 (IP Address)

    顯示 Edge 的公用 WAN 連結用來連線至閘道的公用 IP 位址。此 IP 位址可用來唯一識別閘道。如果您同時使用 IPv4 和 IPv6 位址來設定閘道,則此欄位會同時顯示這兩個 IP 位址。

    如果您建立了僅限 IPv4 閘道,或者從先前版本升級了現有 IPv4 閘道,則可以輸入 IPv6 位址,以支援雙重堆疊。儲存變更之後,並不會立即將 IPv6 位址傳送到 Edge。您可以觸發重新平衡作業,以手動將 IPv6 位址推送給客戶和相關聯的 Edge,否則,IPv6 位址將會在下次「控制平面」更新期間傳送到 Edge。

    備註: 新增 IPv6 位址是一次性活動,變更一經儲存,就無法修改 IP 位址。
    注意: 如果將設定不正確的 IPv6 位址推送至 Edge,可能會導致指向 IPv6 閘道的 IPv6 通道失敗。在這種情況下,您需要停用閘道,並建立新閘道,以便同時啟動 IPv4 和 IPv6 位址。
    閘道驗證模式 (Gateway Authentication Mode) 從下列可用選項中選取閘道的驗證模式:
    • 已停用憑證 (Certificate Deactivated):閘道會使用預先共用的金鑰模式進行驗證。
    • 憑證取得 (Certificate Acquire):依預設會選取此選項,並指示閘道從 SD-WAN Orchestrator 的憑證授權機構取得憑證,方法是產生金鑰配對並將憑證簽署要求傳送至 Orchestrator。取得之後,閘道會使用憑證來驗證 SD-WAN Orchestrator 及建立 VCMP 通道。
      備註: 取得憑證後,可將選項更新為 需要憑證 (Certificate Required)
    • 需要憑證 (Certificate Required):閘道會使用 PKI 憑證。操作員可使用系統內容 gateway.certificate.renewal.window 來變更閘道的憑證更新時間範圍。
    備註: 當撤銷閘道憑證後,閘道不會收到憑證撤銷清單 (CRL),因為它會立即中斷 TLS 連線。無論如何,閘道仍可運作。
    備註: 目前的 QuickSec 設計會檢查 CRL 時間有效性。CRL 時間有效性必須符合 Edge 目前的時間,這樣 CRL 才能對新建的連線產生影響。若要達成此目的,請確定已正確更新 Orchestrator 時間,使其與 Edge 的日期和時間相符。
    合作夥伴閘道 (進階遞交) 詳細資料 (Partner Gateway (Advanced Handoff) Details) - 如果您選取 合作夥伴閘道 (Partner Gateway) 核取方塊,則此區段可供使用,且您可以設定下列設定:
    選項 說明
    靜態路由 (Static Routes) - 指定 SD-WAN 閘道 應向 SD-WAN Edge 通告的子網路或路由。這是對每個 SD-WAN 閘道 而言為全域,且適用於所有客戶。使用 BGP 時,僅在具有所有客戶需要存取的共用子網路以及需要 NAT 遞交時,才會使用此區段。

    如果您沒有任何需要向 SD-WAN Edge 通告的子網路,且具有類型為 NAT 的遞交,請從靜態路由清單中移除未使用的子網路。

    您可以按一下 IPv4IPv6 索引標籤,為子網路設定對應的位址類型。
    子網路 (Subnets) 輸入閘道應向 Edge 通告的靜態路由子網路的 IPv4 或 IPv6 位址。
    成本 (Cost) 輸入在路由上套用權重的成本。範圍從 0 到 255。
    加密 (Encrypt) 選取此核取方塊,以加密 Edge 和閘道之間的流量。
    遞交 (Hand off) 選取 VLAN 或 NAT 作為遞交類型。
    說明 (Description) 選擇性地輸入靜態路由的描述性文字。
    ICMP 容錯移轉探查 (ICMP Failover Probe) - SD-WAN 閘道 使用 ICMP 探查來檢查特定 IP 位址的可存取性,並通知 SD-WAN Edge 如果該 IP 位址無法連線,則容錯移轉至次要閘道。此選項僅支援 IPv4 位址。
    VLAN 標記 (VLAN Tagging) 從下拉式清單中選取要套用至 ICMP 探查封包的 VLAN 標籤。以下是可用的選項:
    • 無 (None) - 未加標記
    • 802.1q - 單一 VLAN 標籤
    • 802.1ad/QinQ(0x8100)/QinQ(0x9100) - 雙 VLAN 標籤
    目的地 IP 位址 (Destination IP address) 輸入要 ping 的 IP 位址。
    頻率 (Frequency) 輸入傳送 Ping 要求的時間間隔 (以秒為單位)。範圍從 1 到 60 秒。
    臨界值 (Threshold) 輸入可遺失 Ping 回覆以將路由標記為無法連線的次數。範圍從 1 到 10。
    ICMP 回應程式已啟用 (ICMP Responder Enabled):這將允許 SD-WAN 閘道 在其通道已開啟時回應來自下一個躍點路由器的 ICMP 探查。此選項僅支援 IPv4 位址。
    IP 位址 (IP address) 輸入將對 Ping 要求進行回應的虛擬 IP 位址。
    模式 (Mode) 從下拉式清單中選取下列其中一個模式:
    • 條件式 (Conditional) - 只有在服務已啟動且至少有一個通道已開啟時,SD-WAN 閘道 才會回應 ICMP 要求。
    • 一律 (Always) - SD-WAN 閘道 一律回應來自對等的 ICMP 要求。
    備註: ICMP 探查參數為選用,且僅在您想要使用 ICMP 來檢查 SD-WAN 閘道 的健全狀況時才建議使用。有了合作夥伴閘道上的 BGP 支援,您不再需要對容錯移轉和路由聚合使用 ICMP 探查。如需有關為合作夥伴閘道設定 BGP 支援和遞交設定的詳細資訊, 請參閱設定合作夥伴遞交
    連絡人和位置 (Contact & Location) - 此區段中顯示現有的連絡人詳細資料。如有需要,您可以修改資訊。
    Syslog 設定 (Syslog Settings) - 從 4.5 版本開始,閘道可以透過遠端 Syslog 伺服器或 Telegraf,將 NAT 資訊匯出到所需的目的地。如需詳細資訊,請參閱 《VMware SD-WAN 操作員指南》 (發佈於 https://docs.vmware.com/tw/VMware-SD-WAN/index.html) 中的 〈為閘道設定 NAT 項目 Syslog〉一節。
    Cloud Web Security - 如果已啟用 Cloud Web Security 閘道角色,則此區段可讓您設定 Cloud Web Security 的一般網路虛擬化封裝 (Geneve) 端點 IP 位址和網路節點 (PoP) 名稱。
    客戶使用量 (Customer Usage) - 此區段會顯示指派給客戶的不同類型閘道的使用量詳細資料。
    集區成員資格 (Pool Membership) - 此區段會顯示目前閘道獲指派的閘道集區的詳細資料。
  4. 設定這些必要詳細資料之後,按一下儲存變更 (Save Changes)