您可以在合作夥伴入口網站中設定閘道的內容和其他詳細資料。
建立新閘道時,系統會自動將您重新導向至設定閘道 (Configure Gateways) 頁面。
若要設定現有的閘道:
備註: 您可以僅設定由合作夥伴使用者所建立的閘道,或由操作員所建立的合作夥伴管理的閘道。
程序
- 在合作夥伴入口網站中,按一下閘道 (Gateways)。
- 閘道 (Gateways) 頁面會顯示可用閘道的清單。按一下閘道的連結。所選閘道的詳細資料會顯示在設定閘道 (Configure Gateways) 頁面中。
- 在概觀 (Overview) 索引標籤中設定下列項目。
內容 (Properties) - 在此區段中,系統會顯示所選閘道的現有名稱與說明。如有需要,您可以修改資訊。您也可以設定下列的其他詳細資料:
選項 說明 閘道角色 (Gateway Roles) 視需要選取以下核取方塊: - 控制平面 (Control Plane):允許閘道在控制平面中運作,且依預設會選取。
- CDE:允許閘道在持卡人資料環境 (CDE) 模式下運作。選取此選項,可為需要傳輸 PCI 流量的客戶指派閘道。
- Cloud Web Security - 可讓具有超級使用者或標準角色的合作夥伴使用者為 Cloud Web Security (CWS) 角色設定 SD-WAN 閘道。如需詳細資訊,請參閱《VMware SD-WAN Cloud Web Security 組態指南》,發佈位置:https://docs.vmware.com/tw/VMware-Cloud-Web-Security/index.html。
- 資料平面 (Data Plane):允許閘道在資料平面中運作,且依預設會選取。
- 合作夥伴閘道 (Partner Gateway):選取此核取方塊,可允許將閘道指派為 Edge 的合作夥伴閘道。如果您選取此選項,請在合作夥伴閘道 (進階遞交) 詳細資料 (Partner Gateway (Advanced Handoff) Details) 區段中設定其他設定。
- 安全 VPN 閘道 (Secure VPN Gateway):選取該選項,以使用閘道來建立對非 SD-WAN 目的地的 IPsec 通道。
服務狀態 (Service State) 從下列可用選項中選取閘道的服務狀態: - 服務中 (In Service):閘道已連線且可供使用。
- 停止服務 (Out of Service):閘道未連線。
- 靜止 (Quiesced):閘道服務已靜止或已暫停。選取此狀態以進行備份或維護。
狀態 (Status) 顯示閘道的狀態,這會反映傳送至 Orchestrator 之定期活動訊號的成功或失敗。以下是可用的狀態: - 已連線 (Connected):閘道成功將活動訊號傳送至 Orchestrator。
- 已降級 (Degraded):Orchestrator 已有至少一分鐘的時間沒有收到閘道的活動訊號。
- 離線 (Offline):Orchestrator 已有至少兩分鐘的時間沒有收到閘道的活動訊號。
已連線的 Edge 顯示連線至閘道的 Edge 數目。只有在啟動了閘道時,才會顯示這個選項。 IP 位址 (IP Address) 顯示 Edge 的公用 WAN 連結用來連線至閘道的公用 IP 位址。此 IP 位址可用來唯一識別閘道。如果您同時使用 IPv4 和 IPv6 位址來設定閘道,則此欄位會同時顯示這兩個 IP 位址。
如果您建立了僅限 IPv4 閘道,或者從先前版本升級了現有 IPv4 閘道,則可以輸入 IPv6 位址,以支援雙重堆疊。儲存變更之後,並不會立即將 IPv6 位址傳送到 Edge。您可以觸發重新平衡作業,以手動將 IPv6 位址推送給客戶和相關聯的 Edge,否則,IPv6 位址將會在下次「控制平面」更新期間傳送到 Edge。
備註: 新增 IPv6 位址是一次性活動,變更一經儲存,就無法修改 IP 位址。注意: 如果將設定不正確的 IPv6 位址推送至 Edge,可能會導致指向 IPv6 閘道的 IPv6 通道失敗。在這種情況下,您需要停用閘道,並建立新閘道,以便同時啟動 IPv4 和 IPv6 位址。閘道驗證模式 (Gateway Authentication Mode) 從下列可用選項中選取閘道的驗證模式: - 已停用憑證 (Certificate Deactivated):閘道會使用預先共用的金鑰模式進行驗證。
- 憑證取得 (Certificate Acquire):依預設會選取此選項,並指示閘道從 SD-WAN Orchestrator 的憑證授權機構取得憑證,方法是產生金鑰配對並將憑證簽署要求傳送至 Orchestrator。取得之後,閘道會使用憑證來驗證 SD-WAN Orchestrator 及建立 VCMP 通道。
備註: 取得憑證後,可將選項更新為 需要憑證 (Certificate Required)。
- 需要憑證 (Certificate Required):閘道會使用 PKI 憑證。操作員可使用系統內容
gateway.certificate.renewal.window
來變更閘道的憑證更新時間範圍。
備註: 當撤銷閘道憑證後,閘道不會收到憑證撤銷清單 (CRL),因為它會立即中斷 TLS 連線。無論如何,閘道仍可運作。備註: 目前的 QuickSec 設計會檢查 CRL 時間有效性。CRL 時間有效性必須符合 Edge 目前的時間,這樣 CRL 才能對新建的連線產生影響。若要達成此目的,請確定已正確更新 Orchestrator 時間,使其與 Edge 的日期和時間相符。合作夥伴閘道 (進階遞交) 詳細資料 (Partner Gateway (Advanced Handoff) Details) - 如果您選取 合作夥伴閘道 (Partner Gateway) 核取方塊,則此區段可供使用,且您可以設定下列設定:選項 說明 靜態路由 (Static Routes) - 指定 SD-WAN 閘道 應向 SD-WAN Edge 通告的子網路或路由。這是對每個 SD-WAN 閘道 而言為全域,且適用於所有客戶。使用 BGP 時,僅在具有所有客戶需要存取的共用子網路以及需要 NAT 遞交時,才會使用此區段。 如果您沒有任何需要向 SD-WAN Edge 通告的子網路,且具有類型為 NAT 的遞交,請從靜態路由清單中移除未使用的子網路。
您可以按一下 IPv4 或 IPv6 索引標籤,為子網路設定對應的位址類型。
子網路 (Subnets) 輸入閘道應向 Edge 通告的靜態路由子網路的 IPv4 或 IPv6 位址。 成本 (Cost) 輸入在路由上套用權重的成本。範圍從 0 到 255。 加密 (Encrypt) 選取此核取方塊,以加密 Edge 和閘道之間的流量。 遞交 (Hand off) 選取 VLAN 或 NAT 作為遞交類型。 說明 (Description) 選擇性地輸入靜態路由的描述性文字。 ICMP 容錯移轉探查 (ICMP Failover Probe) - SD-WAN 閘道 使用 ICMP 探查來檢查特定 IP 位址的可存取性,並通知 SD-WAN Edge 如果該 IP 位址無法連線,則容錯移轉至次要閘道。此選項僅支援 IPv4 位址。 VLAN 標記 (VLAN Tagging) 從下拉式清單中選取要套用至 ICMP 探查封包的 VLAN 標籤。以下是可用的選項: - 無 (None) - 未加標記
- 802.1q - 單一 VLAN 標籤
- 802.1ad/QinQ(0x8100)/QinQ(0x9100) - 雙 VLAN 標籤
目的地 IP 位址 (Destination IP address) 輸入要 ping 的 IP 位址。 頻率 (Frequency) 輸入傳送 Ping 要求的時間間隔 (以秒為單位)。範圍從 1 到 60 秒。 臨界值 (Threshold) 輸入可遺失 Ping 回覆以將路由標記為無法連線的次數。範圍從 1 到 10。 ICMP 回應程式已啟用 (ICMP Responder Enabled):這將允許 SD-WAN 閘道 在其通道已開啟時回應來自下一個躍點路由器的 ICMP 探查。此選項僅支援 IPv4 位址。 IP 位址 (IP address) 輸入將對 Ping 要求進行回應的虛擬 IP 位址。 模式 (Mode) 從下拉式清單中選取下列其中一個模式: - 條件式 (Conditional) - 只有在服務已啟動且至少有一個通道已開啟時,SD-WAN 閘道 才會回應 ICMP 要求。
- 一律 (Always) - SD-WAN 閘道 一律回應來自對等的 ICMP 要求。
備註: ICMP 探查參數為選用,且僅在您想要使用 ICMP 來檢查 SD-WAN 閘道 的健全狀況時才建議使用。有了合作夥伴閘道上的 BGP 支援,您不再需要對容錯移轉和路由聚合使用 ICMP 探查。如需有關為合作夥伴閘道設定 BGP 支援和遞交設定的詳細資訊, 請參閱設定合作夥伴遞交 。連絡人和位置 (Contact & Location) - 此區段中顯示現有的連絡人詳細資料。如有需要,您可以修改資訊。Syslog 設定 (Syslog Settings) - 從 4.5 版本開始,閘道可以透過遠端 Syslog 伺服器或 Telegraf,將 NAT 資訊匯出到所需的目的地。如需詳細資訊,請參閱 《VMware SD-WAN 操作員指南》 (發佈於 https://docs.vmware.com/tw/VMware-SD-WAN/index.html) 中的 〈為閘道設定 NAT 項目 Syslog〉一節。Cloud Web Security - 如果已啟用 Cloud Web Security 閘道角色,則此區段可讓您設定 Cloud Web Security 的一般網路虛擬化封裝 (Geneve) 端點 IP 位址和網路節點 (PoP) 名稱。客戶使用量 (Customer Usage) - 此區段會顯示指派給客戶的不同類型閘道的使用量詳細資料。集區成員資格 (Pool Membership) - 此區段會顯示目前閘道獲指派的閘道集區的詳細資料。 - 設定這些必要詳細資料之後,按一下儲存變更 (Save Changes)。