在创建客户后,请配置客户可访问的功能选项和设置。作为合作伙伴超级用户,您可以选择合作伙伴客户可修改的设置。

在创建新的客户时,您将重定向到客户配置 (Customer Configuration) 页面,您可以在其中配置客户设置。您也可以按照以下步骤导航到“配置”(Configuration) 页面:

过程

  1. 在合作伙伴门户中,选择一个合作伙伴客户,然后从顶部标题中单击 SD-WAN > 全局设置 (Global Settings)
  2. 从左侧菜单中,单击客户配置 (Customer Configuration)。将显示以下页面:
    服务配置 (Service Configuration) 部分包括以下四项服务:
    • SD-WAN
    • Edge Network Intelligence
    • Cloud Web Security
    • Secure Access

    单击打开 (Turn On) 按钮以激活每项服务。单击位于每个磁贴右上角的垂直省略号以关闭或配置该服务。您还可以使用位于每个磁贴右下角的配置 (Configure) 选项来配置相应的服务。每个磁贴将显示配置摘要。

    注: 选择 关闭 (Turn off) 选项时,将显示一个弹出窗口,要求您进行确认。选中该复选框,然后单击 关闭服务 (Turn Off Service)
    1. SD-WAN:单击配置 (Configure) 选项将显示以下弹出窗口。配置设置,然后单击更新 (Update)
      选项 描述
      域 (Domain) 输入用于为 Orchestrator 激活单点登录 (Single Sign-On, SSO) 身份验证的域名。为客户激活 Edge Network Intelligence 时,也需要使用此域名。
      默认 Edge 身份验证 (Default Edge Authentication)

      从下拉菜单中,选择对与客户关联的 Edge 进行身份验证的默认选项。

      • 禁用证书 (Certificate Deactivated):Edge 使用预共享密钥模式进行身份验证。
      • 可选证书 (Certificate Acquire):默认情况下,将选择该选项,并指示 Edge 从 SD-WAN Orchestrator 的证书颁发机构中获取证书,方法是生成一个密钥对并向 Orchestrator 发送证书签名请求。在获取后,Edge 使用该证书在 SD-WAN Orchestrator 中进行身份验证并建立 VCMP 隧道。
        注: 在获取证书后,可以将该选项更新为 强制证书 (Certificate Required)
      • 强制证书 (Certificate Required):Edge 使用 PKI 证书。您可以使用系统属性 edge.certificate.renewal.window 更改 Edge 的证书续订时间段。
      Edge 许可 (Edge Licensing) 将显示现有的 Edge 许可证。单击添加 (Add) 可添加或移除许可证。
      注: 可以在多个 Edge 上使用这些许可证类型。建议为您的客户提供所有类型的许可证的访问权限,以便与他们的版本和区域相匹配。有关更多信息,请参阅 使用新 Orchestrator UI 处理 Edge 许可
      允许客户管理软件 如果要允许企业超级用户管理企业的可用软件映像,请选中该复选框。
      操作员配置文件 (Operator Profile) 从可用下拉菜单中选择一个要与客户关联的操作员配置文件。如果选择允许客户管理软件 (Allow Customer to Manage Software),则此字段不可用。有关操作员配置文件的更多信息,请参阅 VMware SD-WAN 文档中提供的《VMware SD-WAN 操作员指南》的“使用新 Orchestrator UI 管理操作员配置文件”一节。
      最大分段数 输入可以配置的最大分段数。有效范围是 1 到 16。默认值为 16
    2. Edge Network Intelligence:单击配置 (Configure) 选项将显示以下弹出窗口。配置设置,然后单击更新 (Update)
      注: 只有在打开了 SD-WAN 服务时,才能选择该选项。
      选项 描述
      域 (Domain) 输入用于为 Orchestrator 激活单点登录 (Single Sign-On, SSO) 身份验证的域名。为客户激活 Edge Network Intelligence 时,也需要使用此域名。
      分析节点 输入可以置备为“分析节点”(Analytics Nodes) 的最大 Edge 数。默认情况下,将选择无限制 (Unlimited)
      功能访问 选中自修复 (Self Healing) 复选框,以允许 Edge Network Intelligence 提供性能改进的建议。
    3. Cloud Web Security:只有在选择激活了 Cloud Web Security 角色的网关池 (Gateway Pool) 时,才能使用该服务。Cloud Web Security 是一种云托管服务,可保护访问 SaaS 和 Internet 应用程序的用户和基础架构。有关更多信息,请参阅《VMware Cloud Web Security 配置指南》。单击配置 (Configure) 选项将显示以下弹出窗口:

      选择所需的版本,然后单击更新 (Update)标准版包括 URL 筛选、SSL 检查、防病毒、身份验证、基本沙箱、内嵌 CASB 可见性。高级版包括 URL 筛选、SSL 检查、防病毒、身份验证、基本沙箱、内嵌 CASB 可见性和控制、内嵌 DLP 可见性和控制

    4. Secure Access:只有在选择激活了 Cloud Web Security 角色的网关池 (Gateway Pool) 时,才能使用该服务。Secure Access 解决方案将 VMware SD-WANWorkspace ONE 服务结合在一起,通过遍布全球的托管服务节点网络,提供一致且安全的最佳云应用程序访问。有关更多信息,请参阅《VMware Secure Access 配置指南》。单击配置 (Configure) 选项将显示以下弹出窗口:

      输入最大 PoP 数,然后单击更新 (Update)

  3. 以下是客户配置 (Customer Configuration) 页面上提供的其他配置设置:
    选项 描述
    全局
    用户协议显示 从下拉菜单中选择以下任一选项:
    • 继承
    • 覆盖以隐藏
    • 覆盖以显示
    注:
    只有在系统属性 session.options.enableUserAgreements 设置为 True 时,才能使用此字段。
    功能访问 选中该复选框以允许客户访问选定的功能。
    将管理委派给客户 选中该复选框以允许客户修改选定属性的设置。
    网关池 (Gateway Pool)
    当前网关池 从下拉菜单中选择网关池。
    此池中的网关 显示当前池中的网关详细信息。
    合作伙伴切换 激活此选项将显示配置切换 (Configure Hand Off) 部分。有关详细信息,请参阅配置切换
    安全策略 (Security Policy)
    哈希 (Hash) 默认情况下,没有为 VPN 标头配置身份验证算法,因为 AES-GCM 是经过身份验证的加密算法。如果选中禁用 GCM (Turn off GCM) 复选框,则可以从下拉菜单中选择以下算法之一,以作为 VPN 标头的身份验证算法:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    加密 (Encryption) 选择 AES 128AES 256 以作为数据加密的 AES 算法密钥大小。默认加密算法模式为 AES 128
    DH 组 (DH Group) 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5、14、15 和 16。建议使用 DH 组 14,这是默认值。
    PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2、5、14、15 和 16。默认情况下,将停用 PFS。
    禁用 GCM 选中该复选框以激活哈希 (Hash),然后为 VPN 标头选择一种身份验证算法。
    IPSec SA 生命周期 (分钟) 为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPSec) 重新加密的时间。最短 IPsec 生命周期为 3 分钟,最长 IPsec 生命周期为 480 分钟。默认值为 480 分钟。
    注: 建议不要为 IPsec 配置较低的生命周期值(少于 10 分钟),因为这可能会由于重新加密而导致某些部署中的流量中断。较低的生命周期值仅用于调试目的。
    IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 为 Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长 IKE 生命周期为 1440 分钟。默认值为 1440 分钟。
    注: 建议不要为 IKE 配置较低的生命周期值(少于 30 分钟),因为这可能会由于重新加密而导致某些部署中的流量中断。较低的生命周期值仅用于调试目的。
    安全默认路由覆盖 选中该复选框,以便可以使用业务策略覆盖与来自合作伙伴网关的安全默认路由(静态路由或 BGP 路由)相匹配的流量目标。
    注: 有关如何在 Edge 上激活安全路由的说明,请参阅 配置合作伙伴切换。有关为业务策略规则配置网络服务的更多信息,请参阅 《VMware SD-WAN 管理指南》(位于 VMware SD-WAN 文档中)的“为业务策略规则配置网络服务”一节。
    Edge 网络功能虚拟化
    Edge NFV 选择该选项以激活在 Edge 上部署 VNF 的功能。在 Edge 上部署一个或多个 VNF 后,您无法停用该选项。
    安全 VNF 选中相关复选框,以便在 Edge 上部署相应的安全 VNF。
    SD-WAN 设置
    OFC 成本计算 选中所需的复选框:
    • 分布式成本计算 (Distributed Cost Calculation):选中该复选框可将路由成本计算委派给 Edge/网关。
      注: 该选项仅适用于具有 3.4.0 和更高版本的 Edge/网关。
    • 使用 NSD 策略 (Use NSD Policy):选中该复选框将使用 NSD 策略计算到 Edge/网关的路由成本。
      注: 该选项仅适用于具有 4.2.0 和更高版本的 Edge/网关。
    按流量的多 DSCP 标记路径计算 选中该复选框将在流量查找过程中包含 DSCP 值。
    注: 只有在系统属性 session.options.enableFlowParametersConfig 设置为 True 时,才能使用此字段。
    功能访问 选中有状态防火墙 (Stateful Firewall) 复选框将覆盖在企业 Edge 上激活的有状态防火墙设置。
  4. 单击保存更改 (Save Changes)
    注: 在修改 安全策略 (Security Policy) 设置时,所做的更改可能会导致当前服务中断。此外,这些设置可能会降低总体吞吐量并增加 VCMP 隧道设置所需的时间,这可能会影响分支到分支动态隧道设置时间以及从集群上的 Edge 故障中恢复。