在创建客户后,请配置客户可访问的功能选项和设置。作为合作伙伴超级用户,您可以选择合作伙伴客户可修改的设置。

在创建新的客户时,您将重定向到客户配置 (Customer Configuration) 页面,您可以在其中配置客户设置。

您也可以从合作伙伴门户的管理客户 (Manage Customers) 页面中导航到“配置”(Configuration) 页面。选择客户,然后单击操作 (Actions) > 修改 (Modify),或单击客户的链接。

在客户或企业门户中,单击配置 (Configure) > 客户 (Customer),然后可以配置以下设置。

客户功能 (Customer Capabilities) - 仅操作员可以激活或停用这些功能。您可以查看以下功能的状态。如果要激活或停用任何功能,请与您的操作员联系。

  • 启用企业身份验证 (Enable Enterprise Auth)
  • 启用将防火墙日志记录到 Orchestrator (Enable Firewall logging to Orchestrator)
  • 启用旧版网络 (Enable Legacy Networks)
  • 启用高级服务 (Enable Premium Service)
  • 启用角色自定义 (Enable Role Customization)
  • 启用分段 (Enable Segmentation)
  • 启用有状态防火墙 (Enable Stateful Firewall)
  • 在新的 Orchestrator UI 中显示“配置”部分 (Show Configuration section in the New Orchestrator UI)
  • CoS 映射 (CoS Mapping)
  • 服务速率限制 (Service Rate Limiting)

安全策略 (Security Policy) - 在创建 Edge 到 Edge IPSec 隧道时,您可以在客户配置级别修改安全策略配置设置。

  • 哈希 (Hash) - 默认情况下,没有为 VPN 标头配置身份验证算法。如果选中禁用 GCM (Turn off GCM) 复选框,则可以从下拉列表中选择以下算法之一,以作为 VPN 标头的身份验证算法:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
  • 加密 (Encryption) - AES 128-Galois/计数器模式 (Galois/Counter Mode, GCM)、AES 256-GCM、AES 128-密码块链 (Cipher Block Chaining, CBC) 和 AES 256-CBC 是用于提供保密性的加密算法模式。选择 AES 128AES 256 以作为数据加密的 AES 算法密钥大小。如果未选中禁用 GCM (Turn off GCM) 复选框,则默认加密算法模式为 AES 128-GCM。
  • DH 组 (DH Group) - 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5、14、15 和 16。建议使用 DH 组 14。
  • PFS - 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2、5、14、15 和 16。默认情况下,将停用 PFS。
  • 禁用 GCM (Turn off GCM) - 默认情况下,将启用 AES 128-GCM。如果需要,请选中该复选框以禁用此模式,转而启用 AES 128-CBC 模式。
  • IPSec SA 生命周期 (IPsec SA Lifetime) - 为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPSec) 重新加密的时间。最短 IPSec 生命周期为 3 分钟,最长生命周期为 480 分钟。默认值为 480 分钟。
  • IKE SA 生命周期 (IKE SA Lifetime) - 为 Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长 IKE 生命周期为 1440 分钟。默认值为 1440 分钟。
    注: 建议不要为 IPSec 和 IKE 配置较低的生命周期值(IPSec 少于 10 分钟,IKE 少于 30 分钟),因为这可能会导致某些部署因重新加密而发生流量中断。较低的生命周期值仅用于调试目的。
  • 安全默认路由覆盖 (Secure Default Route Override) - 选中该复选框,以确保即使在 Edge 上启用了安全路由(静态路由或 BGP 路由),也会根据为业务策略规则配置的网络服务来路由来自 Edge 的流量。
注: 在修改安全设置时,所做的更改可能会导致当前服务中断。此外,这些设置可能会降低总体吞吐量并增加 VCMP 隧道设置所需的时间,这可能会影响分支到分支动态隧道设置时间以及从集群上的 Edge 故障中恢复。

服务访问 (Service Access) – 选择客户可以访问的服务以及所选服务可用的角色和权限。请参阅配置服务访问权限

网关池 (Gateway Pool) - 显示与选定客户关联的当前网关池。如果需要,您可以从可用列表中选择其他网关池。

如果网关池中的可用网关已分配了合作伙伴网关角色,您可以将网关切换到合作伙伴。选择启用合作伙伴切换 (Enable Partner Handoff) 以配置分段和网关的切换选项。有关更多信息,请参阅配置合作伙伴切换

最大分段数 (Maximum Segments) - 显示操作员配置的最大分段数。

OFC 成本计算 (OFC Cost Calculation) - 显示操作员是否启用了分布式成本计算 (Distributed Cost Calculation)。默认情况下,Orchestrator 会主动参与学习动态路由。Edge 和网关依赖于 Orchestrator 来计算初始路由首选项,并将计算结果返回到 Edge 和网关。通过分布式成本计算 (Distributed Cost Calculation) 功能,可以将路由成本计算分发给 Edge 和网关。

有关分布式成本计算 (Distributed Cost Calculation) 的更多信息,请参阅《VMware SD-WAN 操作员指南》(网址为 https://docs.vmware.com/cn/VMware-SD-WAN/index.html)中的配置分布式成本计算一节。

注: 要为客户启用 分布式成本计算 (Distributed Cost Calculation) 功能,请 联系支持团队

Edge NFV - 显示是否允许客户在服务就绪 Edge 平台上部署第三方虚拟网络功能 (Virtual Network Functions, VNF)。

Edge 映像管理 (Edge Image Management) - 显示与选定合作伙伴客户关联的当前软件映像。作为合作伙伴超级用户,您可以根据需要从客户的可用软件映像列表中选择和分配不同的软件映像。

如果您希望合作伙伴客户管理 Edge 软件映像,则必须启用 委派 Edge 软件映像管理 (Delegate Edge Software Image Management) 复选框。在启用 委派 Edge 软件映像管理 (Delegate Edge Software Image Management) 并单击 保存更改 (Save Changes) 后,将显示为合作伙伴客户分配的所有软件映像。单击 修改 (Modify) 以添加或移除选定客户的软件映像。
注: 只有在分配的映像不是默认映像并且合作伙伴客户中的任何 Edge 当前均未使用该映像时,才能从合作伙伴客户中移除该映像。

有关更多信息,请参阅《VMware SD-WAN 管理指南》(网址为 https://docs.vmware.com/cn/VMware-SD-WAN/index.html)中的 Edge 软件映像管理一节。

在对配置进行更改后,单击保存更改 (Save Changes)