在创建客户后,请配置客户可访问的功能选项和设置。作为操作员,您可以选择客户可修改的设置。

在创建新的客户时,您将重定向到客户配置 (Customer Configuration) 页面,您可以在其中配置客户设置。您还可以按照以下步骤直接从操作员门户中导航到客户配置 (Customer Configuration) 页面:

过程

  1. 在监控和配置选项页面中,选择一个客户,然后从顶部标题中单击 SD-WAN > 全局设置 (Global Settings)
  2. 从左侧菜单中,单击客户配置 (Customer Configuration)。将显示以下页面:
    服务配置 (Service Configuration) 部分包括以下服务:
    • SD-WAN
    • Edge Network Intelligence
    • Cloud Web Security
    • Secure Access
    • 云 Hub

    单击启用 (Turn On) 按钮以激活每项服务。单击位于每个磁贴右上角的垂直省略号以禁用或配置该服务。您还可以使用位于每个磁贴右下角的配置 (Configure) 选项来配置相应的服务。每个磁贴将显示配置摘要。

    注: 选择 禁用 (Turn off) 选项时,将显示一个弹出窗口,要求您进行确认。选中该复选框,然后单击 禁用服务 (Turn Off Service)
    1. SD-WAN:单击配置 (Configure) 选项将显示以下弹出窗口。配置设置,然后单击更新 (Update)
      选项 描述
      域 (Domain) 输入用于为 Orchestrator 激活单点登录 (Single Sign-On, SSO) 身份验证的域名。为客户激活 Edge Network Intelligence 时,也需要使用此域名。
      默认 Edge 身份验证 (Default Edge Authentication)

      从下拉菜单中,选择对与客户关联的 Edge 进行身份验证的默认选项。

      • 禁用证书 (Certificate Deactivated):Edge 使用预共享密钥模式进行身份验证。
      • 可选证书 (Certificate Acquire):默认情况下,将选择该选项,并指示 Edge 从 SASE Orchestrator 的证书颁发机构中获取证书,方法是生成一个密钥对并向 Orchestrator 发送证书签名请求。在获取后,Edge 使用该证书在 SASE Orchestrator 中进行身份验证并建立 VCMP 隧道。
        注: 在获取证书后,可以将该选项更新为 强制证书 (Certificate Required)
      • 强制证书 (Certificate Required):Edge 使用 PKI 证书。操作员可以使用系统属性 edge.certificate.renewal.window 更改 Edge 的证书续订时间段。
      Edge 许可 (Edge Licensing) 将显示现有的 Edge 许可证。单击添加 (Add) 可添加或移除许可证。
      注: 可以在多个 Edge 上使用这些许可证类型。建议为您的客户提供所有类型的许可证的访问权限,以便与他们的版本和区域相匹配。有关更多信息,请参阅 Edge 许可
      允许客户管理软件 (Allow Customer to Manage Software) 如果要允许企业超级用户管理企业的可用软件映像,请选中该复选框。有关更多信息,请参阅《VMware SD-WAN 管理指南》中的 Edge 映像管理主题。
      操作员配置文件 (Operator Profile) 从可用下拉菜单中选择一个要与客户关联的操作员配置文件。如果选择允许客户管理软件 (Allow Customer to Manage Software),则此字段不可用。有关操作员配置文件的更多信息,请参阅管理操作员配置文件
      最大分段数 (Maximum Number of Segments) 输入可以配置的最大分段数。有效范围是 1 到 16。默认值为 16
    2. Edge Network Intelligence:单击配置 (Configure) 选项将显示以下弹出窗口。配置设置,然后单击更新 (Update)
      注: 只有在启用了 SD-WAN 服务时,才能选择该选项。
      选项 描述
      域 (Domain) 输入用于为 Orchestrator 激活单点登录 (Single Sign-On, SSO) 身份验证的域名。为客户激活 Edge Network Intelligence 时,也需要使用此域名。
      分析节点 (Analytics Nodes) 输入可以置备为“分析节点”(Analytics Nodes) 的最大 Edge 数。默认情况下,将选择无限制 (Unlimited)
      功能访问 (Feature Access) 选中自修复 (Self Healing) 复选框,以允许 Edge Network Intelligence 提供性能改进的建议。
    3. Cloud Web Security:只有在选择激活了 Cloud Web Security 角色的网关池 (Gateway Pool) 时,才能使用该服务。Cloud Web Security 是一种云托管服务,可保护访问 SaaS 和 Internet 应用程序的用户和基础架构。有关更多信息,请参阅《VMware Cloud Web Security 配置指南》。单击配置 (Configure) 选项将显示以下弹出窗口:

      选择所需的版本,然后单击更新 (Update)标准版包括 URL 筛选、SSL 检查、防病毒、身份验证、基本沙箱、内嵌 CASB 可见性。高级版包括 URL 筛选、SSL 检查、防病毒、身份验证、基本沙箱、内嵌 CASB 可见性和控制、内嵌 DLP 可见性和控制

    4. Secure Access:只有在选择激活了 Cloud Web Security 角色的网关池 (Gateway Pool) 时,才能使用该服务。Secure Access 解决方案将 VMware SD-WANWorkspace ONE 服务结合在一起,通过遍布全球的托管服务节点网络,提供一致且安全的最佳云应用程序访问。有关更多信息,请参阅《VMware Secure Access 配置指南》。单击配置 (Configure) 选项将显示以下弹出窗口:

      输入最大 PoP 数,然后单击更新 (Update)

    5. 云 Hub (Cloud Hub):您可以通过该服务访问 MCS(多云服务)帐户。有关更多信息,请参阅《SD-WAN 管理指南》中的云 Hub 在 Azure vWAN Hub 中自动部署 NVA 主题。
  3. 以下是客户配置 (Customer Configuration) 页面上提供的其他配置设置:
    选项 描述
    全局
    用户协议显示 (User Agreement Display) 从下拉菜单中选择以下任一选项:
    • 继承
    • 覆盖以隐藏
    • 覆盖以显示
    注:
    只有在系统属性 session.options.enableUserAgreements 设置为 True 时,才能使用此字段。
    功能访问 提供对选定功能的访问。从以下列表中选中一个或多个复选框,以便为客户激活这些功能:
    • 企业身份验证 (Enterprise Auth) - 默认情况下,仅操作员可以为企业激活或停用双因素身份验证。在您选中该复选框时,企业管理员可以自行配置双因素身份验证。此选项还可控制单点登录 (SSO) 的激活和停用。
    • 启用高级服务 (Enable Premium Service):默认情况下,将选择该选项。高级服务是指按需修复功能,该功能是 SD-WAN 动态多路径优化 (Dynamic Multipath Optimization, DMPO) 的核心部分。DMPO 用于处理通过 SD-WAN 网关的所有流量。如果选择“高级服务”(Premium Service),网关会对受高级别 WAN 链路抖动或丢失影响的客户流量使用正向纠错 (Forward Error Correction, FEC),且此类流量无法定向到更高质量的 WAN 链路。如果未选择“高级服务”(Premium Service),流量仍将流过 SD-WAN 网关,并利用 DMPO 的其他组件,例如持续监控、动态应用程序转向和安全流量传输。但是,受高级别 WAN 链路抖动或丢失影响的流量不会从网关的纠错中受益。有关更多信息,请参阅《VMware SD-WAN 管理指南》中的动态多路径优化 (DMPO) 主题。
    • 角色自定义 (Role Customization):允许企业超级用户为其他企业用户自定义角色特权。
    • 路由回溯 (Route Backtracking):允许设备按前缀长度顺序选择最佳路由。
    • 产品内上下文帮助面板 (In-product Contextual Help Panel):提供对 Orchestrator 内集成的“产品内帮助”面板的访问。默认情况下,将停用此功能。操作员必须为企业客户激活此选项。
    • 启用将防火墙日志记录到 Orchestrator (Enable Firewall Logging to Orchestrator):默认情况下,Edge 无法将其防火墙日志发送到 Orchestrator。可以选中该复选框以允许 Edge 将防火墙日志发送到 Orchestrator。
    • 可自定义 QoE (Customizable QoE):允许客户为 Edge 的语音、视频和事务性应用程序类别配置最小和最大延迟阈值。
    • 启用经典 Orchestrator UI (Enable Classic Orchestrator UI):允许客户从 Angular Orchestrator UI 切换到经典 Orchestrator UI。只有在系统属性 session.options.enableClassicOrchestrator 设置为 True 时,才能使用此选项。
    将管理委派给客户 (Delegate Management To Customer) 允许客户修改选定属性的设置。以下两个属性始终对客户可见:
    • 启用 CoS 映射 (Enable CoS Mapping) - 允许在配置业务策略时配置 CoS 映射。
    • 启用服务速率限制 (Enable Service Rate Limiting) - 允许在业务策略中限制服务速率。
    网关池 (Gateway Pool)
    当前网关池 (Current Gateway Pool) 显示与选定客户关联的当前网关池。如果需要,您可以选择下拉菜单中提供的不同网关池,然后单击保存更改 (Save Changes)
    此池中的网关 (Gateways in this Pool) 显示当前池中的网关详细信息。
    合作伙伴切换 (Partner Hand Off) 如果激活网关池 (Gateway Pool) 选项,将显示配置切换 (Configure Hand Off) 部分。如果网关池中提供的网关已分配合作伙伴网关角色,您可以将这些网关切换到合作伙伴。有关详细信息,请参阅配置合作伙伴切换
    安全策略 (Security Policy)
    哈希 (Hash) 默认情况下,没有为 VPN 标头配置身份验证算法,因为 AES-GCM 是经过身份验证的加密算法。如果选中禁用 GCM (Turn off GCM) 复选框,则可以从下拉菜单中选择以下算法之一,以作为 VPN 标头的身份验证算法:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    加密 (Encryption) 选择 AES 128AES 256 以作为数据加密的 AES 算法密钥大小。默认加密算法模式为 AES 128
    DH 组 (DH Group) 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5、14、15、16、19、20 和 21。从 5.2.0 版本开始,可以使用 DH 组 19、20 和 21。
    注: 建议使用 DH 组 14,这是默认值。
    PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 组为 2、5、14、15、16、19、20 和 21。从 5.2.0 版本开始,可以使用 PFS 组 19、20 和 21。默认情况下,PFS 处于停用状态。
    禁用 GCM (Turn off GCM) 选中该复选框以激活哈希 (Hash),然后为 VPN 标头选择一种身份验证算法。
    IPSec SA 生命周期 (分钟) (IPSec SA Lifetime Time(min)) 为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPSec) 重新加密的时间。最短 IPsec 生命周期为 3 分钟,最长 IPsec 生命周期为 480 分钟。默认值为 480 分钟。
    注: 建议不要为 IPsec 配置较低的生命周期值(少于 10 分钟),因为这可能会由于重新加密而导致某些部署中的流量中断。较低的生命周期值仅用于调试目的。
    IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 为 Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长 IKE 生命周期为 1440 分钟。默认值为 1440 分钟。
    注: 建议不要为 IKE 配置较低的生命周期值(少于 30 分钟),因为这可能会由于重新加密而导致某些部署中的流量中断。较低的生命周期值仅用于调试目的。
    安全默认路由覆盖 (Secure Default Route Override) 选中该复选框,以便可以使用业务策略覆盖与来自合作伙伴网关的安全默认路由(静态路由或 BGP 路由)相匹配的流量目标。
    Edge 网络功能虚拟化 (Edge Network Function Virtualization):允许在 Edge 上激活 NFV,并允许客户在服务就绪 Edge 平台上部署第三方 VNF。目前,服务就绪 Edge 平台型号为 520v 和 840。作为操作员用户,在激活 Edge NFV 时,客户可以从其网络服务中配置并部署 VNF 和 VNF 许可证。
    Edge NFV 选择该选项以激活在 Edge 上部署 VNF 的功能。在 Edge 上部署一个或多个 VNF 后,您无法停用该选项。
    安全 VNF (Security VNFs) 选中相关复选框,以便在 Edge 上部署相应的安全 VNF。有关更多信息,请参阅《VMware SD-WAN 管理指南》中的安全 VNF 主题。
    SD-WAN 设置
    OFC 成本计算 (OFC Cost Calculation) 选中所需的复选框:
    • 分布式成本计算 (Distributed Cost Calculation):选中该复选框可将路由成本计算委派给 Edge/网关。
      注: 该选项仅适用于具有 3.4.0 和更高版本的 Edge/网关。在激活 分布式成本计算 (Distributed Cost Calculation) 后,建议导航到企业门户的 SD-WAN 服务中的 配置 (Configure) > 覆盖网络流量控制 (Overlay Flow Control) 以刷新路由。有关更多信息,请参阅 配置分布式成本计算
    • 使用 NSD 策略 (Use NSD Policy):选中该复选框将使用 NSD 策略计算到 Edge/网关的路由成本。
      注: 该选项仅适用于具有 4.2.0 和更高版本的 Edge/网关。
    按流量的多 DSCP 标记路径计算 (Multiple-DSCP tags per Flow Path Calculation) 如果原始用户流量封装在另一个隧道 (GRE/IPsec) 中,并且 DSCP 标签保存在新的 IP 标头中,将使用该功能。该功能为具有多个 DSCP 标记的单个流量(相同的源/目标)激活路径计算,并根据流量中的 DSCP 值区分路径。

    可以选中在流量查找过程中包含 DSCP 值 (Include DSCP value as part of flow lookup) 复选框,以将 DSCP 值作为流量查找和路径计算的一部分包括在内。有关更多信息,请参阅配置每个流量具有多个 DSCP 标签的路径计算

    注: 只有在系统属性 session.options.enableFlowParametersConfig 设置为 True 时,才能使用此字段。
    功能访问
    有状态防火墙 (Stateful Firewall) 选中有状态防火墙 (Stateful Firewall) 复选框将覆盖在企业 Edge 上激活的有状态防火墙设置。
    增强型防火墙服务 (Enhanced Firewall Services) 可以选中增强型防火墙服务 (Enhanced Firewall Services) 复选框,以使用 VMware SASE Orchestrator 中的防火墙功能激活增强型防火墙服务。
    注: 要使增强型防火墙服务 (Enhanced Firewall Services, EFS) 正常工作,请确保将 Edge 版本升级到 5.2.0.0。
    注: 如果取消选择该选项,将仅在 UI 中停用 EFS 功能。要为现有客户停用 EFS 功能,您必须先在企业门户的 SD-WAN 服务中停用 EFS 功能,方法是导航到 配置 (Configure) > 配置文件/Edge (Profiles/Edges) > 防火墙 (Firewall) > 增强型防火墙服务 (Enhanced Firewall Services),然后在“全局设置”(Global Settings) 中取消选中该复选框。
    有关配置增强型防火墙服务策略规则的更多信息,请参阅《VMware SD-WAN 管理指南》中的配置增强型防火墙服务主题。
  4. 单击保存更改 (Save Changes)
    注: 在修改 安全策略 (Security Policy) 设置时,所做的更改可能会导致当前服务中断。此外,这些设置可能会降低总体吞吐量并增加 VCMP 隧道设置所需的时间,这可能会影响分支到分支动态隧道设置时间以及从集群上的 Edge 故障中恢复。