作为操作员,您可以添加或修改系统属性的值。

下表介绍了一些系统属性。作为操作员,您可以设置这些属性的值。

表 1. 警示电子邮件
系统属性 描述
vco.alert.mail.to

在触发警示时,将会立即向该系统属性的“值 (Value)”字段中提供的电子邮件地址列表发送通知。您可以输入多个以逗号分隔的电子邮件 ID。

如果属性不包含任何值,则不会发送通知。

该通知旨在提醒 VMware 支持/操作人员即将出现的问题,然后再通知客户。

vco.alert.mail.cc 在向任何客户发送警示电子邮件时,将向该系统属性的“值 (Value)”字段中提供的电子邮件地址发送一个副本。您可以输入多个以逗号分隔的电子邮件 ID。
mail.* 可以使用多个系统属性以控制警示电子邮件。您可以定义一些电子邮件参数,如 SMTP 属性、用户名、密码,等等。
表 2. 警示
系统属性 描述
vco.alert.enable 全局激活或停用为操作员和企业客户生成警示的过程。
vco.enterprise.alert.enable 全局激活或停用为企业客户生成警示的过程。
vco.operator.alert.enable 全局激活或停用为操作员生成警示的过程。
表 3. Bastion Orchestrator 配置
系统属性 描述
session.options.enableBastionOrchestrator 启用 Bastion Orchestrator 功能。

有关更多信息,请参阅《Bastion Orchestrator 配置指南》,网址为 https://docs.vmware.com/cn/VMware-SD-WAN/index.html

vco.bastion.private.enable 使 Orchestrator 成为 Bastion 对的专用 Orchestrator。
vco.bastion.public.enable 使 Orchestrator 成为 Bastion 对的公用 Orchestrator。
表 4. 证书颁发机构
系统属性 描述
edge.certificate.renewal.window 该可选系统属性允许操作员定义一个或多个维护时段,将在此期间启用 Edge 证书续订。计划在这些时段以外的时间续订的证书将延迟,直到当前时间在某个启用的时段范围内。

启用系统属性:

要启用该系统属性,请在修改系统属性 (Modify System Property) 对话框上的值 (Value) 文本区域的第一部分中为“enabled”键入“true”。在启用该系统属性时,该属性的第一部分的示例如下所示。

操作员可以定义多个时段以限制启用 Edge 续订的日期和时间。可以按日期、日期列表(以逗号分隔)以及开始和结束时间定义每个时段。可以相对于 Edge 的本地时区或 UTC 指定开始和结束时间。有关示例,请参见下图。

注: 如果属性不存在,则默认值为 enabled "false"。
在定义时段属性时,请遵循以下准则:
  • 使用 IANA 时区,而不是 PDT 或 PST(例如 America/Los_Angeles)。有关更多信息,请参阅 https://en.wikipedia.org/wiki/List_of_tz_database_time_zones
  • 在日期中使用 UTC(例如,SAT、SUN)。
    • 以逗号分隔。
    • 使用三个字母表示日期(英文)。
    • 不区分大小写。
  • 开始时间(例如 01:30)和结束时间(例如 05:30)仅使用 24 小时制时间格式 (HH:MM)。

如果缺少上述值,每个时段定义中的属性默认值如下所示:

  • 如果缺少 enabled,则默认值为 false。
  • 如果缺少 timezone,则默认值为“local”。
  • 如果缺少“days”或结束和开始时间之一,则默认值如下所示:
    • 如果缺少“days”,则将 start/end 应用于每个星期(mon、tue、wed、thu、fri、sat、sun)。
    • 如果缺少结束和开始时间,则指定日期中的任何时间都会匹配(start = 00:00 和 end = 23:59)。
    • 注意:“days”或结束和开始时间之一必须存在。不过,如果缺少这些值,则使用上面所示的默认值。

停用系统属性:

默认情况下,将停用该系统属性,这意味着证书在过期后将自动续订。在修改系统属性 (Modify System Property) 对话框上的值 (Value) 文本区域的第一部分中,“enabled”将设置为“false”。在停用该属性时,该属性的示例如下所示。

{

"enabled": false,

"windows": [

{

注意:该系统属性要求启用 PKI。

gateway.certificate.renewal.window 该可选系统属性允许操作员定义一个或多个维护时段,将在此期间启用网关证书续订。计划在这些时段以外的时间续订的证书将延迟,直到当前时间在某个启用的时段范围内。

启用系统属性:

要启用该系统属性,请在修改系统属性 (Modify System Property) 对话框上的值 (Value) 文本区域的第一部分中为“enabled”键入“true”。有关示例,请参见下图。

操作员可以定义多个时段以限制启用 Edge 续订的日期和时间。可以按日期、日期列表(以逗号分隔)以及开始和结束时间定义每个时段。可以相对于 Edge 的本地时区或 UTC 指定开始和结束时间。有关示例,请参见下图。

注: 如果属性不存在,则默认值为 enabled "false"。
在定义时段属性时,请遵循以下准则:
  • 使用 IANA 时区,而不是 PDT 或 PST(例如 America/Los_Angeles)。有关更多信息,请参阅 https://en.wikipedia.org/wiki/List_of_tz_database_time_zones
  • 在日期中使用 UTC(例如,SAT、SUN)。
    • 以逗号分隔。
    • 使用三个字母表示日期(英文)。
    • 不区分大小写。
  • 开始时间(例如 01:30)和结束时间(例如 05:30)仅使用 24 小时制时间格式 (HH:MM)。

如果缺少上述值,每个时段定义中的属性默认值如下所示:

  • 如果缺少 enabled,则默认值为 false。
  • 如果缺少 timezone,则默认值为“local”。
  • 如果缺少“days”或结束和开始时间之一,则默认值如下所示:
    • 如果缺少“days”,则将 start/end 应用于每个星期(mon、tue、wed、thu、fri、sat、sun)。
    • 如果缺少结束和开始时间,则指定日期中的任何时间都会匹配(start = 00:00 和 end = 23:59)。
    • 注意:“days”或结束和开始时间之一必须存在。不过,如果缺少这些值,则使用上面所示的默认值。

停用系统属性:

默认情况下,将停用该系统属性,这意味着证书在过期后将自动续订。在修改系统属性 (Modify System Property) 对话框上的值 (Value) 文本区域的第一部分中,“enabled”将设置为“false”。在停用该属性时,该属性的示例如下所示。

{

"enabled": false,

"windows": [

{

注: 该系统属性要求启用 PKI。
表 5. 客户配置
系统属性 描述
session.options.enableServiceLicenses 该系统属性允许操作员用户管理全局设置 (Global Settings) > 客户配置 (Customer Configuration) 下的服务配置,并且默认情况下设置为 True
表 6. 数据保留
系统属性 描述
retention.highResFlows.days 该系统属性允许操作员将高分辨率流量统计数据保留配置为 1 到 90 天。
retention.lowResFlows.months 该系统属性允许操作员将低分辨率流量统计数据保留配置为 1 到 365 天。
session.options.maxFlowstatsRetentionDays 该属性允许操作员查询超过两周的流量统计数据。
retentionWeeks.enterpriseEvents 企业事件保留期(-1 将保留期设置为允许的最长时间)
retentionWeeks.operatorEvents 操作员事件保留期(-1 将保留期设置为允许的最长时间)
retentionWeeks.proxyEvents 代理事件保留期(-1 将保留期设置为允许的最长时间)
retentionWeeks.firewallLogs 防火墙日志保留期(-1 将保留期设置为允许的最长时间)
retention.linkstats.days 链路统计信息保留期(-1 将保留期设置为允许的最长时间)
retention.linkquality.days 链路质量事件保留期(-1 将保留期设置为允许的最长时间)
retention.healthstats.days Edge 运行状况统计信息保留期(-1 将保留期设置为允许的最长时间)
retention.pathstats.days 路径统计信息保留期(-1 将保留期设置为允许的最长时间)
表 7. SD-WAN 数据保留
SD-WAN 数据 系统属性 默认值 最大值 在 4.0 版之前
企业事件 retentionWeeks.enterpriseEvents 40 周 1 年 40 周
企业警示 不适用 40 周 1 年 无策略
操作员事件 retentionWeeks.operatorEvents 40 周 1 年 40 周
企业代理事件 retentionWeeks.proxyEvents 40 周 1 年 40 周
防火墙日志 retentionWeeks.firewallLogs 不支持 不支持 40 周
链路统计信息 retention.linkstats.days 40 周 1 年 40 周
链路 QoE retention.linkquality.days 40 周 1 年 40 周
路径统计信息 retention.pathstats.days 2 周 2 周 不适用
流量统计信息 retention.lowResFlows.months

retention.highResFlows.days

1 年 - 1 小时汇总

2 周 - 5 分钟

1 年 - 1 小时汇总

3 个月 - 5 分钟

1 年汇总
Edge 运行状况统计信息(5.0 和更高版本) retention.healthstats.days 1 年 1 年 不适用
表 8. Edge
系统属性 描述
edge.offline.limit.sec 如果 Orchestrator 在指定的持续时间内没有检测到来自 Edge 的检测信号,Edge 状态将变为 OFFLINE 模式。
edge.link.unstable.limit.sec 如果 Orchestrator 在指定的持续时间内没有收到链路的链路统计信息,链路将变为 UNSTABLE 模式。
edge.link.disconnected.limit.sec 如果 Orchestrator 在指定的持续时间内没有收到链路的链路统计信息,链路将断开连接。
edge.deadbeat.limit.days 如果 Edge 在指定的天数内处于非活动状态,则不会考虑为该 Edge 生成警示。
vco.operator.alert.edgeLinkEvent.enable 为 Edge 链路事件全局激活或停用操作员警示。
vco.operator.alert.edgeLiveness.enable 为 Edge 活动状态事件全局激活或停用操作员警示。
表 9. Edge 激活
系统属性 描述
edge.activation.key.encode.enable 将 Edge 激活电子邮件发送到站点联系人时,对激活 URL 参数进行 Base64 编码以掩盖值。
edge.activation.trustedIssuerReset.enable 重置 Edge 的受信任证书颁发者列表以仅包含 Orchestrator 证书颁发机构。来自 Edge 的所有 TLS 流量受新颁发者列表限制。
network.public.certificate.issuer 在将 edge.activation.trustedIssuerReset.enable 设置为 True 时,将 network.public.certificate.issuer 值设置为与 Orchestrator 服务器证书颁发者的 PEM 编码相同。除了 Orchestrator 证书颁发机构以外,该操作还会将服务器证书颁发者添加到 Edge 的受信任颁发者列表中。
表 10. Edge 管理
系统属性 描述
edge.link.show.limit.sec 允许为每个 Edge 设置 Edge 链路关闭限制 (Edge Link Down Limit) 值。
表 11. LAN 端 NAT 规则
系统属性 描述
session.options.enableLansidePortRules 允许在 Edge 或配置文件的设备设置 (Device Settings) 选项卡 > 路由和 NAT (Routing and NAT) > LAN 端 NAT 规则 (LAN-Side NAT Rules) 下配置内部端口 (Inside Port)外部端口 (Outside Port) 参数。
表 12. 监控
系统属性 描述
vco.monitor.enable 全局激活或停用企业和操作员实体状态监控。如果将“值 (Value)”设置为 False,则禁止 SASE Orchestrator 更改实体状态和触发警示。
vco.enterprise.monitor.enable 全局激活或停用企业实体状态监控。
vco.operator.monitor.enable 全局激活或停用操作员实体状态监控。
表 13. 通知
系统属性 描述
vco.notification.enable 全局激活或停用向操作员和企业发送警示通知。
vco.enterprise.notification.enable 全局激活或取消向企业发送警示通知。
vco.operator.notification.enable 全局激活或停用向操作员发送警示通知。
表 14. 密码重置和锁定
系统属性 描述
vco.enterprise.resetPassword.token.expirySeconds 企业用户的密码重置链接过期之前的持续时间。
vco.enterprise.authentication.passwordPolicy

为客户用户定义密码强度、历史记录和过期策略。

在“值 (Value)”字段中编辑 JSON 模板以定义以下内容:

strength

  • minlength:最小密码字符长度。默认最小密码长度为 8 个字符。
  • maxlength:最大密码字符长度。默认最大密码长度为 32 个字符。
  • requireNumber:密码必须至少包含一个数字字符。默认情况下,将启用数字要求。
  • requireLower:密码必须至少包含一个小写字符。默认情况下,将启用小写字符要求。
  • requireUpper:密码必须至少包含一个大写字符。默认情况下,不启用大写字符要求。
  • requireSpecial:密码必须至少包含一个特殊字符(例如,_@!)。默认情况下,不启用特殊字符要求。
  • excludeTop:密码不得与最常用密码列表中的项目匹配。默认值为 1000,表示排名靠前的 1000 个最常用的密码,最多可将其配置为 10,000 个最常用的密码。
  • maxRepeatingCharacters:密码不得包含超过指定数量的重复字符。例如,如果将 maxRepeatingCharacters 设置为“2”,则 Orchestrator 将拒绝任何包含 3 个或更多重复字符的密码,如“Passwordaaa”。默认值 -1 表示未启用此功能。
  • maxSequenceCharacters:密码不得包含超过指定数量的连续字符。例如,如果将 maxSequenceCharacters 设置为“3”,则 Orchestrator 将拒绝任何包含 4 个或更多连续字符的密码,如“Password1234”。默认值 -1 表示未启用此功能。
  • disallowUsernameCharacters:密码不得与用户 ID 的可配置部分相匹配。例如,将 disallowUsernameCharacters 设置为 5 时,如果用户名为 [email protected] 的用户尝试配置的新密码包含“usern”或“serna”或者与用户名的某一部分匹配的任何含五个字符的字符串,则 Orchestrator 将拒绝该新密码。默认值 -1 表示未启用此功能。
  • variationValidationCharacters:新密码必须与旧密码保持指定数量的字符差异。Orchestrator 使用两个单词之间的 Levenshtein 距离来确定新密码和旧密码之间的差异。Levenshtein 距离是将一个单词更改为另一个单词所需的最小单字符编辑(插入、删除或替换)次数。
  • 如果将 variationValidationCharacters 设置为 4,则新密码和旧密码之间的 Levenshtein 距离必须为 4 或更大。换句话说,新密码必须与旧密码有 4 处或更多差异。例如,如果使用的旧密码为“kitten”,而新密码为“sitting”,则这两个密码的 Levenshtein 距离为 3,因为只需进行三次编辑即可将 kitten 更改为 sitting:
    • kitten → sitten(用“s”替换“k”)
    • sitten → sittin(用“i”替换“e”)
    • sittin → sitting(在末尾插入“g”)。

由于新密码与旧密码仅有 3 个字符的差异,因此将拒绝使用“sitting”作为替换“kitten”的新密码。默认值 -1 表示未启用此功能。

expiry
  • enable:将该项设置为 true 以启用客户用户密码自动过期。
  • days:输入在强制过期之前可以使用客户密码的天数。
history
  • enable:将该项设置为 true 以允许记录客户用户的以前密码。
  • count:输入要在历史记录中保存的以前密码数。在客户用户尝试更改密码时,系统不允许用户输入已保存在历史记录中的密码。
enterprise.user.lockout.defaultAttempts 企业用户可以尝试登录的次数。如果登录失败指定的次数,将锁定帐户。
enterprise.user.lockout.defaultDurationSeconds 锁定企业用户帐户的持续时间。
enterprise.user.lockout.enabled 为企业登录失败激活或停用锁定选项。
vco.operator.resetPassword.token.expirySeconds 操作员用户的密码重置链接过期之前的持续时间。
vco.operator.authentication.passwordPolicy

为操作员用户定义密码强度、历史记录和过期策略。

在“值 (Value)”字段中编辑 JSON 模板以定义以下内容:

strength

  • minlength:最小密码字符长度。默认最小密码长度为 8 个字符。
  • maxlength:最大密码字符长度。默认最大密码长度为 32 个字符。
  • requireNumber:密码必须至少包含一个数字字符。默认情况下,将启用数字要求。
  • requireLower:密码必须至少包含一个小写字符。默认情况下,将启用小写字符要求。
  • requireUpper:密码必须至少包含一个大写字符。默认情况下,不启用大写字符要求。
  • requireSpecial:密码必须至少包含一个特殊字符(例如,_@!)。默认情况下,不启用特殊字符要求。
  • excludeTop:密码不得与最常用密码列表中的项目匹配。默认值为 1000,表示排名靠前的 1000 个最常用的密码,最多可将其配置为 10,000 个最常用的密码。
  • maxRepeatingCharacters:密码不得包含超过指定数量的重复字符。例如,如果将 maxRepeatingCharacters 设置为“2”,则 Orchestrator 将拒绝任何包含 3 个或更多重复字符的密码,如“Passwordaaa”。默认值 -1 表示未启用此功能。
  • maxSequenceCharacters:密码不得包含超过指定数量的连续字符。例如,如果将 maxSequenceCharacters 设置为“3”,则 Orchestrator 将拒绝任何包含 4 个或更多连续字符的密码,如“Password1234”。默认值 -1 表示未启用此功能。
  • disallowUsernameCharacters:密码不得与用户 ID 的可配置部分相匹配。例如,将 disallowUsernameCharacters 设置为 5 时,如果用户名为 [email protected] 的用户尝试配置的新密码包含“usern”或“serna”或者与用户名的某一部分匹配的任何含五个字符的字符串,则 Orchestrator 将拒绝该新密码。默认值 -1 表示未启用此功能。
  • variationValidationCharacters:新密码必须与旧密码保持指定数量的字符差异。Orchestrator 使用两个单词之间的 Levenshtein 距离来确定新密码和旧密码之间的差异。Levenshtein 距离是将一个单词更改为另一个单词所需的最小单字符编辑(插入、删除或替换)次数。
  • 如果将 variationValidationCharacters 设置为 4,则新密码和旧密码之间的 Levenshtein 距离必须为 4 或更大。换句话说,新密码必须与旧密码有 4 处或更多差异。例如,如果使用的旧密码为“kitten”,而新密码为“sitting”,则这两个密码的 Levenshtein 距离为 3,因为只需进行三次编辑即可将 kitten 更改为 sitting:
    • kitten → sitten(用“s”替换“k”)
    • sitten → sittin(用“i”替换“e”)
    • sittin → sitting(在末尾插入“g”)。

由于新密码与旧密码仅有 3 个字符的差异,因此将拒绝使用“sitting”作为替换“kitten”的新密码。默认值 -1 表示未启用此功能。

expiry
  • enable:将该项设置为 true 以启用操作员用户密码自动过期。
  • days:输入在强制过期之前可以使用操作员密码的天数。
history
  • enable:将该项设置为 true 以允许记录操作员用户的以前密码。
  • count:输入要在历史记录中保存的以前密码数。在操作员用户尝试更改密码时,系统不允许用户输入已保存在历史记录中的密码。
operator.user.lockout.defaultAttempts 操作员用户可以尝试登录的次数。如果登录失败指定的次数,将锁定帐户。
operator.user.lockout.defaultDurationSeconds 锁定操作员用户帐户的持续时间。
operator.user.lockout.enabled 为操作员登录失败激活或停用锁定选项。
表 15. 速率限制 API
系统属性 描述
vco.api.rateLimit.enabled 允许操作员超级用户在系统级别激活或停用速率限制功能。默认情况下,该值为 False
注: 不会实际启用速率限制器,即,它不会拒绝超过配置的限制的 API 请求,除非停用了 vco.api.rateLimit.mode.logOnly 设置。
vco.api.rateLimit.mode.logOnly

允许操作员超级用户在 LOG_ONLY 模式下使用速率限制。如果该值设置为 True 并且超过速率限制,该选项仅记录错误并触发相应的衡量指标,从而允许客户端发出请求而不进行速率限制。

如果该值设置为 False,将使用定义的策略限制请求 API 并返回 HTTP 429。

vco.api.rateLimit.rules.global

允许在 JSON 数组中定义一组由速率限制器使用的全局适用策略。默认情况下,该值为空数组。

每种类型的用户(操作员、合作伙伴和客户)最多可以每 5 秒发出 500 个请求。根据限制速率的请求的行为模式,请求数可能会发生变化。

JSON 数组包含以下参数:

Types:类型对象表示应用速率限制的不同上下文。以下是可用的不同类型对象:
  • SYSTEM:指定由所有用户共享的全局限制。
  • OPERATOR_USER:通常可以为所有操作员用户设置的限制。
  • ENTERPRISE_USER:通常可以为所有企业用户设置的限制。
  • MSP_USER:通常可以为所有 MSP 用户设置的限制。
  • ENTERPRISE:可以在所有企业用户之间共享的限制,它适用于网络中的所有企业。
  • PROXY:可以在所有代理用户之间共享的限制,它适用于所有代理。
Policies:通过配置以下参数,将规则添加到策略以应用于与规则匹配的请求:
  • Match:输入要匹配的请求类型:
    • All:限制与某个类型对象匹配的所有请求的速率。
    • METHOD:限制与指定的方法名称匹配的所有请求的速率。
    • METHOD_PREFIX:限制与指定的方法组匹配的所有请求的速率。
  • Rules:输入以下参数的值:
    • maxConcurrent:可以同时执行的作业数。
    • reservoir:在限制器停止执行作业之前可以执行的作业数。
    • reservoirRefreshAmount:在使用 reservoirRefreshInterval 时为 reservoir 设置的值。
    • reservoirRefreshInterval:对于 reservoirRefreshInterval 的每毫秒,reservoir 值将自动更新为 reservoirRefreshAmount 值。reservoirRefreshInterval 值应为 250 的倍数(集群为 5000)。

Enabled:可以在 APIRateLimiterTypeObject 中包含 enabled 键以激活或停用每个类型限制。默认情况下,enabled 值为 True,即使不包含该键。您需要包含 "enabled": false 键才能停用各个类型限制。

以下示例显示一个包含默认值的示例 JSON 文件:

[
    {
        "type": "OPERATOR_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "MSP_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "ENTERPRISE_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    }
]
注: 建议不要更改配置参数的默认值。
vco.api.rateLimit.rules.enterprise.default 包含应用于新创建的客户的默认企业特定策略集。客户特定的属性存储在 vco.api.rateLimit.rules.enterprise 企业属性中。
vco.api.rateLimit.rules.enterpriseProxy.default 包含应用于新创建的合作伙伴的默认企业特定策略集。合作伙伴特定的属性存储在 vco.api.rateLimit.rules.enterpriseProxy 企业代理属性中。

有关速率限制的更多信息,请参阅速率限制 API 请求

表 16. 远程诊断
系统属性 描述
network.public.address 指定用于访问 SASE Orchestrator UI 的浏览器源地址/DNS 主机名。
network.portal.websocket.address 允许设置备用 DNS 主机名/地址,以便在浏览器地址与 network.public.address 系统属性值不同时从浏览器中访问 SASE Orchestrator UI。

由于远程诊断现在使用 WebSocket 连接,要确保 Web 安全,将针对入站请求验证用于访问 Orchestrator UI 的浏览器源地址。在大多数情况下,该地址与 network.public.address 系统属性相同。在极少数情况下,可以使用与 network.public.address 系统属性中设置的值不同的其他 DNS 主机名/地址以访问 Orchestrator UI。在这些情况下,您可以将该系统属性设置为备用 DNS 主机名/地址。默认情况下,不会设置该值。

session.options.websocket.portal.idle.timeout 允许设置浏览器 WebSocket 连接在空闲状态下保持的总时间(以秒为单位)。默认情况下,浏览器 WebSocket 连接在空闲状态下保持 300 秒。
表 17. 安全服务边缘 (SSE)
系统属性 描述
session.options.enableSseService 为企业用户激活或停用安全服务边缘 (SSE) 功能。
表 18. 分段
系统属性 描述
enterprise.capability.enableSegmentation 为企业用户激活或停用分段功能。
enterprise.segments.system.maximum 指定允许为任意企业用户启用的最大分段数。如果要在 SASE Orchestrator 上为企业用户启用 128 个分段,请确保将此系统属性的值更改为 128。
enterprise.segments.maximum 指定允许为新企业用户或现有企业用户启用的最大分段数的默认值。对于所有企业用户,此默认值均为 16。
注: 此值必须小于或等于在系统属性“enterprise.segments.system.maximum”中定义的数值。
如果要为企业用户启用 128 个分段,则不建议您更改此系统属性的值。相反,您可以在客户配置 (Customer Configuration) 页面中启用客户功能 (Customer Capabilities),以配置所需数量的分段。相关说明,请参阅《VMware SD-WAN 操作员指南》(位于 VMware SD-WAN 文档中)的“配置客户功能”一节。
enterprise.subinterfaces.maximum 指定可为企业用户配置的最大子接口数。默认值为 32。
enterprise.vlans.maximum 指定可为企业用户配置的最大 VLAN 数。默认值为 32。
session.options.enableAsyncAPI 将任一企业用户的分段规模增加到 128 个分段后,为避免 UI 超时,您可以使用此系统属性在 UI 上启用异步 API 支持。默认值为 true。
session.options.asyncPollingMilliSeconds 在 UI 上指定异步 API 的轮询间隔。默认值为 5000 毫秒。
session.options.asyncPollingMaxCount 指定从 UI 中对 getStatus API 发起的最大调用数。默认值为 10。
vco.enterprise.events.configuration.diff.enable 激活或停用配置比较事件日志记录。当企业用户的分段数大于 4 时,将停用配置比较事件日志记录。您可以使用此系统属性启用配置比较事件日志记录。
表 19. 自助密码重置
系统属性 描述
vco.enterprise.resetPassword.twoFactor.mode 为所有企业用户定义用于密码重置身份验证第二级模式。目前,仅支持 SMS 模式。
vco.enterprise.resetPassword.twoFactor.required 为企业用户密码重置激活或停用双因素身份验证。
vco.enterprise.selfResetPassword.enabled 为企业用户激活或停用自助密码重置。
vco.enterprise.selfResetPassword.token.expirySeconds 企业用户的自助密码重置链接过期之前的持续时间。
vco.operator.resetPassword.twoFactor.required 为操作员用户密码重置激活或停用双因素身份验证。
vco.operator.selfResetPassword.enabled 为操作员用户激活或停用自助密码重置。
vco.operator.selfResetPassword.token.expirySeconds 操作员用户的自助密码重置链接过期之前的持续时间。
表 20. Syslog 转发
系统属性 描述
log.syslog.backend 后端服务 syslog 集成配置。
log.syslog.portal 门户服务 syslog 集成配置。
log.syslog.upload 上载服务 syslog 集成配置。
log.syslog.lastFetchedCRL.backend 将上次更新的 CRL 保留为服务 syslog 的 PEM 格式字符串并定期进行更新。
log.syslog.lastFetchedCRL.portal 将上次更新的 CRL 保留为服务 syslog 的 PEM 格式字符串并定期进行更新。
log.syslog.lastFetchedCRL.upload 将上次更新的 CRL 保留为服务 syslog 的 PEM 格式字符串并定期进行更新。
表 21. TACACS 服务
系统属性 描述
session.options.enableTACACS 为企业用户激活或停用 TACACS 服务。
表 22. 双因素身份验证
系统属性 描述
vco.enterprise.authentication.twoFactor.enable 为企业用户激活或停用双因素身份验证。
vco.enterprise.authentication.twoFactor.mode 为企业用户定义第二级身份验证模式。目前,仅支持将 SMS 作为第二级身份验证模式。
vco.enterprise.authentication.twoFactor.require 将双因素身份验证定义为企业用户的强制身份验证。
vco.operator.authentication.twoFactor.enable 为操作员用户激活或停用双因素身份验证。
vco.operator.authentication.twoFactor.mode 为操作员用户定义第二级身份验证模式。目前,仅支持将 SMS 作为第二级身份验证模式。
vco.operator.authentication.twoFactor.require 将双因素身份验证定义为操作员用户的强制身份验证。
表 23. Edge 的隧道参数
系统属性 描述
session.options.enableNsdPkiIPv6Config 激活证书 (Certificate) 身份验证模式和 IPv6 本地标识类型。
表 24. VNF 配置
系统属性 描述
edge.vnf.extraImageInfos 定义 VNF 映像的属性。
您可以在 值 (Value) 字段中为 VNF 映像输入以下信息(采用 JSON 格式):
[
  {
    "vendor": "Vendor Name",
    "version": "VNF Image Version",
    "checksum": "VNF Checksum Value",
    "checksumType": "VNF Checksum Type"
  }
]
Check Point 防火墙映像的 JSON 文件示例:
[
  {
    "vendor": "checkPoint",
    "version": "r80.40_no_workaround_46",
    "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d",
    "checksumType": "sha-1"
  }
]
Fortinet 防火墙映像的 JSON 文件示例:
[
   {
      "vendor": "fortinet",
      "version": "624",
      "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f",
      "checksumType": "sha-1"
   }
]
edge.vnf.metric.record.limit 定义要在数据库中存储的记录数。
enterprise.capability.edgeVnfs.enable 允许在支持的 Edge 型号上部署 VNF。
enterprise.capability.edgeVnfs.securityVnf.checkPoint 激活 Check Point 网络防火墙 VNF。
enterprise.capability.edgeVnfs.securityVnf.fortinet 激活 Fortinet 网络防火墙 VNF。
enterprise.capability.edgeVnfs.securityVnf.paloAlto 激活 Palo Alto Networks 防火墙 VNF。
session.options.enableVnf 激活 VNF 功能。
vco.operator.alert.edgeVnfEvent.enable 为 Edge VNF 事件全局激活或停用操作员警示。
vco.operator.alert.edgeVnfInsertionEvent.enable 为 Edge VNF 插入事件全局激活或停用操作员警示。
edge.vnf.extraImageInfos 允许选择 Check Point VNF 映像。
表 25. VPN
系统属性 描述
vpn.disconnect.wait.sec 系统在断开连接 VPN 隧道之前等待的时间间隔。
vpn.reconnect.wait.sec 系统在重新连接 VPN 隧道之前等待的时间间隔。
表 26. 警告横幅
系统属性 描述
login.warning.banner.message 通过使用该可选系统属性,操作员可以配置和显示有关使用 SASE Orchestrator 的安全管理员指定的建议通知和同意警告消息。在用户登录之前,将在 SASE Orchestrator 中显示该警告消息。

有关如何配置该系统属性的说明,请参阅为 SD-WAN Orchestrator 配置建议通知和同意警告消息

表 27. Zscaler
系统属性 描述
session.options.enableZscalerProfileAutomation 启用以在配置文件级别配置 Zscaler 设置。