配置客户

在创建客户后，请配置客户可访问的功能选项和设置。作为操作员，您可以选择客户可修改的设置。

在创建新的客户时，您将重定向到客户配置 (Customer Configuration) 页面，您可以在其中配置客户设置。您还可以按照以下步骤直接从操作员门户中导航到客户配置 (Customer Configuration) 页面：

过程

在监控和配置选项页面中，选择一个客户，然后从顶部标题中单击 SD-WAN > 全局设置 (Global Settings)。

从左侧菜单中，单击客户配置 (Customer Configuration)。将显示以下页面：

服务配置 (Service Configuration) 部分包括以下服务：

SD-WAN
Edge Network Intelligence
Cloud Web Security
Secure Access
云 Hub

单击启用 (Turn On) 按钮以激活每项服务。单击位于每个磁贴右上角的垂直省略号以禁用或配置该服务。您还可以使用位于每个磁贴右下角的配置 (Configure) 选项来配置相应的服务。每个磁贴将显示配置摘要。

注：选择禁用 (Turn off) 选项时，将显示一个弹出窗口，要求您进行确认。选中该复选框，然后单击禁用服务 (Turn Off Service)。

SD-WAN：单击配置 (Configure) 选项将显示以下弹出窗口。配置设置，然后单击更新 (Update)。


选项	描述
域 (Domain)	输入用于为 Orchestrator 激活单点登录 (Single Sign-On, SSO) 身份验证的域名。为客户激活 Edge Network Intelligence 时，也需要使用此域名。
默认 Edge 身份验证 (Default Edge Authentication)	从下拉菜单中，选择对与客户关联的 Edge 进行身份验证的默认选项。禁用证书 (Certificate Deactivated)：Edge 使用预共享密钥模式进行身份验证。可选证书 (Certificate Acquire)：默认情况下，将选择该选项，并指示 Edge 从 SASE Orchestrator 的证书颁发机构中获取证书，方法是生成一个密钥对并向 Orchestrator 发送证书签名请求。在获取后，Edge 使用该证书在 SASE Orchestrator 中进行身份验证并建立 VCMP 隧道。注：在获取证书后，可以将该选项更新为强制证书 (Certificate Required)。强制证书 (Certificate Required)：Edge 使用 PKI 证书。操作员可以使用系统属性 `edge.certificate.renewal.window` 更改 Edge 的证书续订时间段。
Edge 许可 (Edge Licensing)	将显示现有的 Edge 许可证。单击添加 (Add) 可添加或移除许可证。注：可以在多个 Edge 上使用这些许可证类型。建议为您的客户提供所有类型的许可证的访问权限，以便与他们的版本和区域相匹配。有关更多信息，请参阅 Edge 许可。
允许客户管理软件 (Allow Customer to Manage Software)	如果要允许企业超级用户管理企业的可用软件映像，请选中该复选框。有关更多信息，请参阅《VMware SD-WAN 管理指南》中的 Edge 映像管理主题。
操作员配置文件 (Operator Profile)	从可用下拉菜单中选择一个要与客户关联的操作员配置文件。如果选择允许客户管理软件 (Allow Customer to Manage Software)，则此字段不可用。有关操作员配置文件的更多信息，请参阅管理操作员配置文件
最大分段数 (Maximum Number of Segments)	输入可以配置的最大分段数。有效范围是 1 到 16。默认值为 16。

Edge Network Intelligence：单击配置 (Configure) 选项将显示以下弹出窗口。配置设置，然后单击更新 (Update)。

注：只有在启用了 SD-WAN 服务时，才能选择该选项。


选项	描述
域 (Domain)	输入用于为 Orchestrator 激活单点登录 (Single Sign-On, SSO) 身份验证的域名。为客户激活 Edge Network Intelligence 时，也需要使用此域名。
分析节点 (Analytics Nodes)	输入可以置备为“分析节点”(Analytics Nodes) 的最大 Edge 数。默认情况下，将选择无限制 (Unlimited)。
功能访问 (Feature Access)	选中自修复 (Self Healing) 复选框，以允许 Edge Network Intelligence 提供性能改进的建议。

Cloud Web Security：只有在选择激活了 Cloud Web Security 角色的网关池 (Gateway Pool) 时，才能使用该服务。Cloud Web Security 是一种云托管服务，可保护访问 SaaS 和 Internet 应用程序的用户和基础架构。有关更多信息，请参阅《VMware Cloud Web Security 配置指南》。单击配置 (Configure) 选项将显示以下弹出窗口：

选择所需的版本，然后单击更新 (Update)。标准版包括 URL 筛选、SSL 检查、防病毒、身份验证、基本沙箱、内嵌 CASB 可见性。高级版包括 URL 筛选、SSL 检查、防病毒、身份验证、基本沙箱、内嵌 CASB 可见性和控制、内嵌 DLP 可见性和控制
Secure Access：只有在选择激活了 Cloud Web Security 角色的网关池 (Gateway Pool) 时，才能使用该服务。Secure Access 解决方案将 VMware SD-WAN 和 Workspace ONE 服务结合在一起，通过遍布全球的托管服务节点网络，提供一致且安全的最佳云应用程序访问。有关更多信息，请参阅《VMware Secure Access 配置指南》。单击配置 (Configure) 选项将显示以下弹出窗口：

输入最大 PoP 数，然后单击更新 (Update)。
云 Hub (Cloud Hub)：您可以通过该服务访问 MCS（多云服务）帐户。有关更多信息，请参阅《SD-WAN 管理指南》中的云 Hub 在 Azure vWAN Hub 中自动部署 NVA 主题。

以下是客户配置 (Customer Configuration) 页面上提供的其他配置设置：


选项	描述
全局
用户协议显示 (User Agreement Display)	从下拉菜单中选择以下任一选项：继承覆盖以隐藏覆盖以显示注：只有在系统属性 `session.options.enableUserAgreements` 设置为 True 时，才能使用此字段。
功能访问	提供对选定功能的访问。从以下列表中选中一个或多个复选框，以便为客户激活这些功能：企业身份验证 (Enterprise Auth) - 默认情况下，仅操作员可以为企业激活或停用双因素身份验证。在您选中该复选框时，企业管理员可以自行配置双因素身份验证。此选项还可控制单点登录 (SSO) 的激活和停用。启用高级服务 (Enable Premium Service)：默认情况下，将选择该选项。高级服务是指按需修复功能，该功能是 SD-WAN 动态多路径优化 (Dynamic Multipath Optimization, DMPO) 的核心部分。DMPO 用于处理通过 SD-WAN 网关的所有流量。如果选择“高级服务”(Premium Service)，网关会对受高级别 WAN 链路抖动或丢失影响的客户流量使用正向纠错 (Forward Error Correction, FEC)，且此类流量无法定向到更高质量的 WAN 链路。如果未选择“高级服务”(Premium Service)，流量仍将流过 SD-WAN 网关，并利用 DMPO 的其他组件，例如持续监控、动态应用程序转向和安全流量传输。但是，受高级别 WAN 链路抖动或丢失影响的流量不会从网关的纠错中受益。有关更多信息，请参阅《VMware SD-WAN 管理指南》中的动态多路径优化 (DMPO) 主题。角色自定义 (Role Customization)：允许企业超级用户为其他企业用户自定义角色特权。路由回溯 (Route Backtracking)：允许设备按前缀长度顺序选择最佳路由。产品内上下文帮助面板 (In-product Contextual Help Panel)：提供对 Orchestrator 内集成的“产品内帮助”面板的访问。默认情况下，将停用此功能。操作员必须为企业客户激活此选项。启用将防火墙日志记录到 Orchestrator (Enable Firewall Logging to Orchestrator)：默认情况下，Edge 无法将其防火墙日志发送到 Orchestrator。可以选中该复选框以允许 Edge 将防火墙日志发送到 Orchestrator。可自定义 QoE (Customizable QoE)：允许客户为 Edge 的语音、视频和事务性应用程序类别配置最小和最大延迟阈值。启用经典 Orchestrator UI (Enable Classic Orchestrator UI)：允许客户从 Angular Orchestrator UI 切换到经典 Orchestrator UI。只有在系统属性 `session.options.enableClassicOrchestrator` 设置为 True 时，才能使用此选项。
将管理委派给客户 (Delegate Management To Customer)	允许客户修改选定属性的设置。以下两个属性始终对客户可见：启用 CoS 映射 (Enable CoS Mapping) - 允许在配置业务策略时配置 CoS 映射。启用服务速率限制 (Enable Service Rate Limiting) - 允许在业务策略中限制服务速率。
网关池 (Gateway Pool)
当前网关池 (Current Gateway Pool)	显示与选定客户关联的当前网关池。如果需要，您可以选择下拉菜单中提供的不同网关池，然后单击保存更改 (Save Changes)。
此池中的网关 (Gateways in this Pool)	显示当前池中的网关详细信息。
合作伙伴切换 (Partner Hand Off)	如果激活网关池 (Gateway Pool) 选项，将显示配置切换 (Configure Hand Off) 部分。如果网关池中提供的网关已分配合作伙伴网关角色，您可以将这些网关切换到合作伙伴。有关详细信息，请参阅配置合作伙伴切换。
安全策略 (Security Policy)
哈希 (Hash)	默认情况下，没有为 VPN 标头配置身份验证算法，因为 AES-GCM 是经过身份验证的加密算法。如果选中禁用 GCM (Turn off GCM) 复选框，则可以从下拉菜单中选择以下算法之一，以作为 VPN 标头的身份验证算法： SHA 1 SHA 256 SHA 384 SHA 512
加密 (Encryption)	选择 AES 128 或 AES 256 以作为数据加密的 AES 算法密钥大小。默认加密算法模式为 AES 128。
DH 组 (DH Group)	选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度（以位为单位）。支持的 DH 组为 2、5、14、15、16、19、20 和 21。从 5.2.0 版本开始，可以使用 DH 组 19、20 和 21。注：建议使用 DH 组 14，这是默认值。
PFS	选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 组为 2、5、14、15、16、19、20 和 21。从 5.2.0 版本开始，可以使用 PFS 组 19、20 和 21。默认情况下，PFS 处于停用状态。
禁用 GCM (Turn off GCM)	选中该复选框以激活哈希 (Hash)，然后为 VPN 标头选择一种身份验证算法。
IPSec SA 生命周期 (分钟) (IPSec SA Lifetime Time(min))	为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPSec) 重新加密的时间。最短 IPsec 生命周期为 3 分钟，最长 IPsec 生命周期为 480 分钟。默认值为 480 分钟。注：建议不要为 IPsec 配置较低的生命周期值（少于 10 分钟），因为这可能会由于重新加密而导致某些部署中的流量中断。较低的生命周期值仅用于调试目的。
IKE SA 生命周期 (分钟) (IKE SA Lifetime(min))	为 Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟，最长 IKE 生命周期为 1440 分钟。默认值为 1440 分钟。注：建议不要为 IKE 配置较低的生命周期值（少于 30 分钟），因为这可能会由于重新加密而导致某些部署中的流量中断。较低的生命周期值仅用于调试目的。
安全默认路由覆盖 (Secure Default Route Override)	选中该复选框，以便可以使用业务策略覆盖与来自合作伙伴网关的安全默认路由（静态路由或 BGP 路由）相匹配的流量目标。
Edge 网络功能虚拟化 (Edge Network Function Virtualization)：允许在 Edge 上激活 NFV，并允许客户在服务就绪 Edge 平台上部署第三方 VNF。目前，服务就绪 Edge 平台型号为 520v 和 840。作为操作员用户，在激活 Edge NFV 时，客户可以从其网络服务中配置并部署 VNF 和 VNF 许可证。
Edge NFV	选择该选项以激活在 Edge 上部署 VNF 的功能。在 Edge 上部署一个或多个 VNF 后，您无法停用该选项。
安全 VNF (Security VNFs)	选中相关复选框，以便在 Edge 上部署相应的安全 VNF。有关更多信息，请参阅《VMware SD-WAN 管理指南》中的安全 VNF 主题。
SD-WAN 设置
OFC 成本计算 (OFC Cost Calculation)	选中所需的复选框：分布式成本计算 (Distributed Cost Calculation)：选中该复选框可将路由成本计算委派给 Edge/网关。注：该选项仅适用于具有 3.4.0 和更高版本的 Edge/网关。在激活分布式成本计算 (Distributed Cost Calculation) 后，建议导航到企业门户的 SD-WAN 服务中的配置 (Configure) > 覆盖网络流量控制 (Overlay Flow Control) 以刷新路由。有关更多信息，请参阅配置分布式成本计算。使用 NSD 策略 (Use NSD Policy)：选中该复选框将使用 NSD 策略计算到 Edge/网关的路由成本。注：该选项仅适用于具有 4.2.0 和更高版本的 Edge/网关。
按流量的多 DSCP 标记路径计算 (Multiple-DSCP tags per Flow Path Calculation)	如果原始用户流量封装在另一个隧道 (GRE/IPsec) 中，并且 DSCP 标签保存在新的 IP 标头中，将使用该功能。该功能为具有多个 DSCP 标记的单个流量（相同的源/目标）激活路径计算，并根据流量中的 DSCP 值区分路径。可以选中在流量查找过程中包含 DSCP 值 (Include DSCP value as part of flow lookup) 复选框，以将 DSCP 值作为流量查找和路径计算的一部分包括在内。有关更多信息，请参阅配置每个流量具有多个 DSCP 标签的路径计算。注：只有在系统属性 `session.options.enableFlowParametersConfig` 设置为 True 时，才能使用此字段。
功能访问
有状态防火墙 (Stateful Firewall)	选中有状态防火墙 (Stateful Firewall) 复选框将覆盖在企业 Edge 上激活的有状态防火墙设置。
增强型防火墙服务 (Enhanced Firewall Services)	可以选中增强型防火墙服务 (Enhanced Firewall Services) 复选框，以使用 VMware SASE Orchestrator 中的防火墙功能激活增强型防火墙服务。注：要使增强型防火墙服务 (Enhanced Firewall Services, EFS) 正常工作，请确保将 Edge 版本升级到 5.2.0.0。注：如果取消选择该选项，将仅在 UI 中停用 EFS 功能。要为现有客户停用 EFS 功能，您必须先在企业门户的 SD-WAN 服务中停用 EFS 功能，方法是导航到配置 (Configure) > 配置文件/Edge (Profiles/Edges) > 防火墙 (Firewall) > 增强型防火墙服务 (Enhanced Firewall Services)，然后在“全局设置”(Global Settings) 中取消选中该复选框。有关配置增强型防火墙服务策略规则的更多信息，请参阅《VMware SD-WAN 管理指南》中的配置增强型防火墙服务主题。

单击保存更改 (Save Changes)。

注：在修改安全策略 (Security Policy) 设置时，所做的更改可能会导致当前服务中断。此外，这些设置可能会降低总体吞吐量并增加 VCMP 隧道设置所需的时间，这可能会影响分支到分支动态隧道设置时间以及从集群上的 Edge 故障中恢复。