建立新的閘道時,會自動重新導向至設定閘道 (Configure Gateways) 頁面,您可以在此頁面中為閘道設定內容和其他設定。
備註: 您可以僅設定由合作夥伴使用者所建立的閘道,或由操作員所建立的合作夥伴管理的閘道。
若要設定現有的閘道:
程序
- 在 SASE Orchestrator 的合作夥伴入口網站中,按一下閘道管理 (Gateway Management) 索引標籤,然後移至左側導覽窗格中的閘道 (Gateway)。
閘道 (Gateways) 頁面會顯示可用閘道的清單。
- 針對需要為其進行其他設定的閘道,按一下其連結。所選閘道的詳細資料會顯示在設定 (Configure) > 閘道 (Gateways) 頁面中。
- 在概觀 (Overview) 索引標籤中,您可以設定以下詳細資料:
欄位 說明 內容 (Properties) 顯示所選閘道的現有名稱和說明。如有需要,您可以修改資訊。 您還可以視需要來設定閘道角色:- 資料平面 (Data Plane) - 允許閘道在資料平面中運作,且依預設會選取。
- 控制平面 (Control Plane) - 允許閘道在控制平面中運作,且依預設會選取。
- 安全 VPN 閘道 (Secure VPN Gateway) - 選取該選項,以使用閘道來建立到非 SD-WAN 目的地的 IPSec 通道。
- 合作夥伴閘道 (Partner Gateway) - 選取此核取方塊,可允許將閘道指派為 Edge 的合作夥伴閘道。如果您選取此選項,請在合作夥伴閘道 (進階遞交) 詳細資料 (Partner Gateway (Advanced Handoff) Details) 區段中設定其他設定。
- CDE - 允許閘道在持卡人資料環境 (CDE) 模式下運作。選取此選項,可為需要傳輸 PCI 流量的客戶指派閘道。
- 雲端對雲端互連 (Cloud-to-Cloud Interconnect) - 選取此選項,可在 SD-WAN 閘道上啟用雲端對雲端互連 (CCI) 通道。
備註: 如果將
session.options.enableZscalerCci
系統內容設為True
,會顯示此 [閘道角色 (Gateway Role)] 選項。 - Cloud Web Security - 可讓具有超級使用者或標準角色的合作夥伴使用者為 Cloud Web Security (CWS) 角色設定 SD-WAN 閘道。如需詳細資訊,請參閱 https://docs.vmware.com/tw/VMware-Cloud-Web-Security/index.html 上所發佈的《VMware SD-WAN Cloud Web Security 組態指南》。
狀態 (Status) 您可以設定以下詳細資料: - 狀態 (Status) - 顯示閘道的狀態,這會反映傳送至 Orchestrator 的定期活動訊號為成功或失敗。以下是可用的狀態:
- 已連線 (Connected) - 閘道成功將活動訊號傳送至 Orchestrator。
- 已降級 (Degraded) - Orchestrator 已有至少一分鐘的時間沒有收到閘道的活動訊號。
- 離線 (Offline) - Orchestrator 已有至少兩分鐘的時間沒有收到閘道的活動訊號。
- 服務狀態 (Service State) - 從下列可用選項中選取閘道的服務狀態:
- 服務中 (In Service) - 閘道已連線,且可用於主要或次要通道指派。當閘道的服務狀態從「停止服務」切換為「服務中」狀態時,可為使用該閘道的每個企業重新計算主要或次要指派、超級閘道和 Edge 到 Edge 路由。
- 擱置中服務 (Pending Service) - 閘道已連線,並等待進行通道指派。
- 停止服務 (Out of Service) - 閘道未連線,或不可用於任何指派。將移除所有現有的指派。
- 靜止 (Quiesced) - 閘道服務已靜止或已暫停。不能將新通道或 NSD 站台新增到閘道。不過,現有指派仍將保留在閘道中。選取此狀態以進行備份或維護。
備註: 靜止 (Quiesced) 和 停止服務 (Out of Service) 狀態僅適用於雲端閘道部署。
當服務狀態為靜止 (Quiesced) 時,Orchestrator 會提供自助服務移轉功能,這可讓您在沒有操作員支援的情況下,從現有閘道移轉至新閘道。
如需詳細資訊,請參閱移轉靜止閘道。
備註: 不支援對合作夥伴閘道進行自助服務移轉。
- 已連線的 Edge (Connected Edges) – 顯示連線至閘道的 Edge 數目。只有在啟動了閘道時,才會顯示這個選項。
- 閘道驗證模式 (Gateway Authentication Mode) - 從下列可用選項中選取閘道的驗證模式:
- 已停用憑證 (Certificate Deactivated) - 閘道會使用預先共用的金鑰模式進行驗證。
- 憑證取得 (Certificate Acquire) - 依預設會選取此選項,並指示閘道從 SASE Orchestrator 的憑證授權機構取得憑證,方法是產生金鑰配對並將憑證簽署要求傳送至 Orchestrator。取得之後,閘道會使用憑證來驗證 SASE Orchestrator 及建立 VCMP 通道。
備註: 取得憑證後,可將選項更新為 需要憑證 (Certificate Required)。
- 需要憑證 (Certificate Required) - 閘道會使用 PKI 憑證。操作員可使用系統內容
gateway.certificate.renewal.window
來變更閘道的憑證更新時間範圍。
備註: 當撤銷閘道憑證後,閘道不會收到憑證撤銷清單 (CRL),因為它會立即中斷 TLS 連線。無論如何,閘道仍可運作。備註: 目前的 QuickSec 設計會檢查 CRL 時間有效性。CRL 時間有效性必須符合 Edge 目前的時間,這樣 CRL 才能對新建的連線產生影響。若要達成此目的,請確定已正確更新 Orchestrator 時間,使其與 Edge 的日期和時間相符。 - IP 位址 (IP Address) - 顯示 Edge 的公用 WAN 連結用來連線至閘道的公用 IP 位址。此 IP 位址可用來唯一識別閘道。如果您同時使用 IPv4 和 IPv6 位址來設定閘道,則此欄位會同時顯示這兩個 IP 位址。
如果您建立了僅限 IPv4 閘道,或者從先前版本升級了現有 IPv4 閘道,則可以輸入 IPv6 位址,以支援雙重堆疊。儲存變更之後,並不會立即將 IPv6 位址傳送到 Edge。您可以觸發重新平衡作業,以手動將 IPv6 位址推送給客戶和相關聯的 Edge,否則,IPv6 位址將會在下次「控制平面」更新期間傳送到 Edge。
備註: 新增 IPv6 位址是一次性活動,變更一經儲存,就無法修改 IP 位址。注意: 如果將設定不正確的 IPv6 位址推送至 Edge,可能會導致指向 IPv6 閘道的 IPv6 通道失敗。在這種情況下,您需要停用閘道,並建立新閘道,以便同時啟動 IPv4 和 IPv6 位址。
連絡人和位置 (Contact & Location) 顯示現有的連絡人詳細資料。如有需要,您可以修改資訊。 Syslog 設定 從 4.5 版本開始,閘道可以透過遠端 Syslog 伺服器或 Telegraf,將 NAT 資訊匯出到所需的目的地。如需詳細資訊,請參閱《VMware SD-WAN 操作員指南》 (發佈於 https://docs.vmware.com/tw/VMware-SD-WAN/index.html) 中的〈為閘道設定 NAT 項目 Syslog〉一節。 客戶使用量 (Customer Usage) 顯示指派給客戶的不同類型的閘道的使用量詳細資料。 集區成員資格 (Pool Membership) 顯示獲指派目前閘道的閘道集區的詳細資料。 合作夥伴閘道 (進階遞交) 詳細資料 (Partner Gateway (Advanced Handoff) Details) 僅當選取合作夥伴閘道 (Partner Gateway) 核取方塊時,此區段才可供使用。您可以為合作夥伴閘道設定進階遞交設定。如需詳細資訊,請參閱以下的合作夥伴閘道 (進階遞交) 詳細資料 (Partner Gateway (Advanced Handoff) Details) 區段。 Cloud Web Security 如果已啟用 Cloud Web Security 閘道角色,則此區段可讓您為 Cloud Web Security 設定一般網路虛擬化封裝 (Geneve) 端點 IP 位址和網路節點 (PoP) 名稱。 合作夥伴閘道 (進階遞交) 詳細資料 (Partner Gateway (Advanced Handoff) Details)您可以為合作夥伴閘道,設定以下進階遞交設定。
選項 說明 靜態路由 (Static Routes) | 子網路 (Subnets) - 指定 SD-WAN 閘道應向 SD-WAN Edge 通告的子網路或路由。這是對每個 SD-WAN 閘道 而言為全域,且適用於所有客戶。使用 BGP 時,僅在具有所有客戶需要存取的共用子網路以及需要 NAT 遞交時,才會使用此區段。 如果您沒有任何需要向 SD-WAN Edge 通告的子網路,且具有類型為 NAT 的遞交,請從靜態路由清單中移除未使用的子網路。
您可以按一下 IPv4 或 IPv6 索引標籤,為子網路設定對應的位址類型。
子網路 (Subnets) 輸入閘道應向 Edge 通告的靜態路由子網路的 IPv4 或 IPv6 位址。 成本 (Cost) 輸入在路由上套用權重的成本。範圍從 0 到 255。 加密 (Encrypt) 選取此核取方塊,以加密 Edge 和閘道之間的流量。 遞交 (Hand off) 選取 VLAN 或 NAT 作為遞交類型。 說明 (Description) 選擇性地輸入靜態路由的描述性文字。 ICMP 探查和 Ping 回應程式設定 (ICMP Probes and Ping Responders Settings) ICMP 容錯移轉探查 (ICMP Failover Probe) - SD-WAN 閘道 使用 ICMP 探查來檢查特定 IP 位址的可存取性,並通知 SD-WAN Edge 如果該 IP 位址無法連線,則容錯移轉至次要閘道。此選項僅支援 IPv4 位址。 VLAN 標記 (VLAN Tagging) 從下拉式清單中選取要套用至 ICMP 探查封包的 VLAN 標籤。以下是可用的選項: - 無 (None) - 未加標記
- 802.1q - 單一 VLAN 標籤
- 802.1ad/QinQ(0x8100)/QinQ(0x9100) - 雙 VLAN 標籤
目的地 IP 位址 (Destination IP address) 輸入要 ping 的 IP 位址。 頻率 (Frequency) 輸入傳送 Ping 要求的時間間隔 (以秒為單位)。範圍從 1 到 60 秒。 臨界值 (Threshold) 輸入可遺失 Ping 回覆以將路由標記為無法連線的次數。範圍從 1 到 10。 ICMP 回應程式 (ICMP Responder) - 允許 SD-WAN 閘道在其通道已開啟時,回應來自下一個躍點路由器的 ICMP 探查。此選項僅支援 IPv4 位址。 IP 位址 (IP address) 輸入將對 Ping 要求進行回應的虛擬 IP 位址。 模式 (Mode) 從下拉式清單中選取下列其中一個模式: - 條件式 (Conditional) - 只有在服務已啟動且至少有一個通道已開啟時,SD-WAN 閘道 才會回應 ICMP 要求。
- 一律 (Always) - SD-WAN 閘道 一律回應來自對等的 ICMP 要求。
備註: ICMP 探查參數為選用,且僅在您想要使用 ICMP 來檢查 SD-WAN 閘道 的健全狀況時才建議使用。有了合作夥伴閘道上的 BGP 支援,您不再需要對容錯移轉和路由聚合使用 ICMP 探查。如需有關為合作夥伴閘道設定 BGP 支援和遞交設定的詳細資訊,請參閱 設定合作夥伴遞交。 - 設定這些必要詳細資料之後,按一下儲存變更 (Save Changes)。