在创建客户后,请配置客户可访问的功能选项和设置。作为合作伙伴超级用户,您可以选择合作伙伴客户可修改的设置。

在创建新的客户时,您将重定向到客户配置 (Customer Configuration) 页面,您可以在其中配置客户设置。您也可以按照以下步骤导航到“配置”(Configuration) 页面:

过程

  1. 以合作伙伴身份登录到 SASE Orchestrator
  2. 在合作伙伴门户中,选择一个合作伙伴客户,然后从顶部标题中单击 SD-WAN > 全局设置 (Global Settings)
  3. 从左侧菜单中,单击客户配置 (Customer Configuration)。将显示以下页面:
    服务配置 (Service Configuration) 部分包括以下服务:
    • SD-WAN
    • Edge Intelligence
    • Cloud Web Security
    • Secure Access
    • 云 Hub

    单击启用 (Turn On) 按钮以激活每项服务。单击位于每个磁贴右上角的垂直省略号以禁用或配置该服务。您还可以使用位于每个磁贴右下角的配置 (Configure) 选项来配置相应的服务。每个磁贴将显示配置摘要。

    注: 选择 禁用 (Turn off) 选项时,将显示一个弹出窗口,要求您进行确认。选中该复选框,然后单击 禁用服务 (Turn Off Service)
    1. SD-WAN:单击配置 (Configure) 选项将显示以下弹出窗口。配置设置,然后单击更新 (Update)
      选项 描述
      域 (Domain) 输入用于为 Orchestrator 激活单点登录 (Single Sign-On, SSO) 身份验证的域名。为客户激活 Edge Intelligence 时,也需要使用此域名。
      默认 Edge 身份验证 (Default Edge Authentication)

      从下拉菜单中,选择对与客户关联的 Edge 进行身份验证的默认选项。

      • 禁用证书 (Certificate Deactivated):Edge 使用预共享密钥模式进行身份验证。
      • 可选证书 (Certificate Acquire):默认情况下,将选择该选项,并指示 Edge 从 SASE Orchestrator 的证书颁发机构中获取证书,方法是生成一个密钥对并向 Orchestrator 发送证书签名请求。在获取后,Edge 使用该证书在 SASE Orchestrator 中进行身份验证并建立 VCMP 隧道。
        注: 在获取证书后,可以将该选项更新为 强制证书 (Certificate Required)
      • 强制证书 (Certificate Required):Edge 使用 PKI 证书。您可以使用系统属性 edge.certificate.renewal.window 更改 Edge 的证书续订时间段。
      Edge 许可 (Edge Licensing) 将显示现有的 Edge 许可证。单击添加 (Add) 可添加或移除许可证。
      注: 可以在多个 Edge 上使用这些许可证类型。建议为您的客户提供所有类型的许可证的访问权限,以便与他们的版本和区域相匹配。有关更多信息,请参阅 Edge 许可
      允许客户管理软件 (Allow Customer to Manage Software) 如果要允许企业超级用户管理企业的可用软件映像,请选中该复选框。有关更多信息,请参阅《VMware SD-WAN 管理指南》中的 Edge 映像管理主题。
      操作员配置文件 (Operator Profile) 从可用下拉菜单中选择一个要与客户关联的操作员配置文件。如果选择允许客户管理软件 (Allow Customer to Manage Software),则此字段不可用。有关操作员配置文件的更多信息,请参阅 VMware SD-WAN 文档中提供的《VMware SD-WAN 操作员指南》的“管理操作员配置文件”一节。
      最大分段数 (Maximum Number of Segments) 输入可以配置的最大分段数。有效范围是 1 到 16。默认值为 16
    2. Edge Intelligence:单击配置 (Configure) 选项将显示以下弹出窗口。配置设置,然后单击更新 (Update)
      注: 只有在启用了 SD-WAN 服务时,才能选择该选项。
      选项 描述
      域 (Domain) 输入用于为 Orchestrator 激活单点登录 (Single Sign-On, SSO) 身份验证的域名。为客户激活 Edge Intelligence 时,也需要使用此域名。
      分析节点 (Analytics Nodes) 输入可以置备为“分析节点”(Analytics Nodes) 的最大 Edge 数。默认情况下,将选择无限制 (Unlimited)
      功能访问 (Feature Access) 选中自修复 (Self Healing) 复选框,以允许 Edge Intelligence 提供性能改进的建议。
    3. Cloud Web Security:只有在选择激活了 Cloud Web Security 角色的网关池 (Gateway Pool) 时,才能使用该服务。Cloud Web Security 是一种云托管服务,可保护访问 SaaS 和 Internet 应用程序的用户和基础架构。有关更多信息,请参阅《VMware Cloud Web Security 配置指南》。单击配置 (Configure) 选项将显示以下弹出窗口:

      选择所需的版本,然后单击更新 (Update)标准版包括 URL 筛选、SSL 检查、防病毒、身份验证、基本沙箱、内嵌 CASB 可见性。高级版包括 URL 筛选、SSL 检查、防病毒、身份验证、基本沙箱、内嵌 CASB 可见性和控制、内嵌 DLP 可见性和控制

    4. Secure Access:只有在选择激活了 Cloud Web Security 角色的网关池 (Gateway Pool) 时,才能使用该服务。Secure Access 解决方案将 VMware SD-WANWorkspace ONE 服务结合在一起,通过遍布全球的托管服务节点网络,提供一致且安全的最佳云应用程序访问。有关更多信息,请参阅《VMware Secure Access 配置指南》。单击配置 (Configure) 选项将显示以下弹出窗口:

      输入最大 PoP 数,然后单击更新 (Update)

  4. 以下是客户配置 (Customer Configuration) 页面上提供的其他配置设置:
    选项 描述
    全局
    用户协议显示 (User Agreement Display) 从下拉菜单中选择以下任一选项:
    • 继承
    • 覆盖以隐藏
    • 覆盖以显示
    注:
    只有在系统属性 session.options.enableUserAgreements 设置为 True 时,才能使用此字段。
    功能访问 提供对选定功能的访问。从以下列表中选中一个或多个复选框,以便为合作伙伴客户激活这些功能:
    • 企业身份验证 (Enterprise Auth) - 默认情况下,仅操作员可以为企业激活或停用双因素身份验证。在您选中该复选框时,企业管理员可以自行配置双因素身份验证。
    • 启用高级服务 (Enable Premium Service):提供对可用高级服务的访问。默认情况下,将选择该选项。
    • 角色自定义 (Role Customization):允许企业超级用户为其他企业用户自定义角色特权。
    • 路由回溯 (Route Backtracking):允许设备按前缀长度顺序选择最佳路由。
    • 产品内上下文帮助面板 (In-product Contextual Help Panel):提供对与 Orchestrator 集成的帮助面板的访问。默认情况下,将停用此功能。合作伙伴管理员必须为合作伙伴客户激活此选项。
    • 启用将防火墙日志记录到 Orchestrator (Enable Firewall Logging to Orchestrator):默认情况下,Edge 无法将其防火墙日志发送到 Orchestrator。可以选中该复选框以允许 Edge 将防火墙日志发送到 Orchestrator。
    • 可自定义 QoE (Customizable QoE):允许客户为 Edge 的语音、视频和事务性应用程序类别配置最小和最大延迟阈值。
    • 启用经典 Orchestrator UI (Enable Classic Orchestrator UI):允许客户从 Angular Orchestrator UI 切换到经典 Orchestrator UI。只有在系统属性 session.options.enableClassicOrchestrator 设置为 True 时,才能使用此选项。
    将管理委派给客户 (Delegate Management To Customer) 允许合作伙伴客户修改选定属性的设置。以下两个属性始终对合作伙伴客户可见:
    • 启用 CoS 映射 (Enable CoS Mapping) - 允许在配置业务策略时配置 CoS 映射。
    • 启用服务速率限制 (Enable Service Rate Limiting) - 允许在业务策略中限制服务速率。
    网关池 (Gateway Pool)
    当前网关池 (Current Gateway Pool) 从下拉菜单中选择网关池。
    此池中的网关 (Gateways in this Pool) 显示当前池中的网关详细信息。
    合作伙伴切换 (Partner Hand Off) 激活此选项将显示配置切换 (Configure Hand Off) 部分。有关详细信息,请参阅配置合作伙伴切换
    安全策略 (Security Policy)
    哈希 (Hash) 默认情况下,没有为 VPN 标头配置身份验证算法,因为 AES-GCM 是经过身份验证的加密算法。如果选中禁用 GCM (Turn off GCM) 复选框,则可以从下拉菜单中选择以下算法之一,以作为 VPN 标头的身份验证算法:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    加密 (Encryption) 选择 AES 128AES 256 以作为数据加密的 AES 算法密钥大小。默认加密算法模式为 AES 128
    DH 组 (DH Group) 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5、14、15、16、19、20 和 21。
    注:
    • 从 5.2.0 版本开始,可以使用 DH 组 19、20 和 21。
    • 建议使用 DH 组 14,这是默认值。
    PFS 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2、5、14、15 和 16。默认情况下,将停用 PFS。
    禁用 GCM (Turn off GCM) 选中该复选框以激活哈希 (Hash),然后为 VPN 标头选择一种身份验证算法。
    IPSec SA 生命周期 (分钟) (IPSec SA Lifetime Time(min)) 为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPSec) 重新加密的时间。最短 IPsec 生命周期为 3 分钟,最长 IPsec 生命周期为 480 分钟。默认值为 480 分钟。
    注: 建议不要为 IPsec 配置较低的生命周期值(少于 10 分钟),因为这可能会由于重新加密而导致某些部署中的流量中断。较低的生命周期值仅用于调试目的。
    IKE SA 生命周期 (分钟) (IKE SA Lifetime(min)) 为 Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长 IKE 生命周期为 1440 分钟。默认值为 1440 分钟。
    注: 建议不要为 IKE 配置较低的生命周期值(少于 30 分钟),因为这可能会由于重新加密而导致某些部署中的流量中断。较低的生命周期值仅用于调试目的。
    安全默认路由覆盖 (Secure Default Route Override) 选中该复选框,以便可以使用业务策略覆盖与来自合作伙伴网关的安全默认路由(静态路由或 BGP 路由)相匹配的流量目标。
    注: 有关如何在 Edge 上激活安全路由的说明,请参阅 配置合作伙伴切换。有关为业务策略规则配置网络服务的更多信息,请参阅 《VMware SD-WAN 管理指南》(位于 VMware SD-WAN 文档中)的“为业务策略规则配置网络服务”一节。
    Edge 网络功能虚拟化
    Edge NFV 选择该选项以激活在 Edge 上部署 VNF 的功能。在 Edge 上部署一个或多个 VNF 后,您无法停用该选项。
    安全 VNF (Security VNFs) 选中相关复选框,以便在 Edge 上部署相应的安全 VNF。
    SD-WAN 设置
    OFC 成本计算 (OFC Cost Calculation) 选中所需的复选框:
    • 分布式成本计算 (Distributed Cost Calculation):选中该复选框可将路由成本计算委派给 Edge/网关。
      注: 该选项仅适用于具有 3.4.0 和更高版本的 Edge/网关。
    • 使用 NSD 策略 (Use NSD Policy):选中该复选框将使用 NSD 策略计算到 Edge/网关的路由成本。
      注: 该选项仅适用于具有 4.2.0 和更高版本的 Edge/网关。
    按流量的多 DSCP 标记路径计算 (Multiple-DSCP tags per Flow Path Calculation) 选中该复选框将在流量查找过程中包含 DSCP 值。
    注: 只有在系统属性 session.options.enableFlowParametersConfig 设置为 True 时,才能使用此字段。
    功能访问 选中有状态防火墙 (Stateful Firewall)高级威胁防护 (Advanced Threat Protection) 复选框以覆盖在企业 Edge 上激活的相应设置。
  5. 单击保存更改 (Save Changes)
    注: 在修改 安全策略 (Security Policy) 设置时,所做的更改可能会导致当前服务中断。此外,这些设置可能会降低总体吞吐量并增加 VCMP 隧道设置所需的时间,这可能会影响分支到分支动态隧道设置时间以及从集群上的 Edge 故障中恢复。