Po vytvoření zákazníka nakonfigurujte možnosti a nastavení funkce, ke kterým má mít zákazník přístup. Z pozice operátora můžete zvolit nastavení, která bude mít zákazník možnost upravit.
Během vytváření nového zákazníka budete přesměrováni na stránku Konfigurace zákazníka (Customer Configuration), kde můžete nakonfigurovat nastavení zákazníka. Na stránku Konfigurace zákazníka (Customer Configuration) můžete přejít také přímo z portálu operátora, a to následujícím postupem:
Procedura
- Na stránce možností monitorování a konfigurace vyberte zákazníka a v horní hlavičce klikněte na možnost Globální nastavení SD-WAN > (SD-WAN Global Settings).
- V levé nabídce klikněte na možnost Konfigurace zákazníka (Customer Configuration). Zobrazí se následující stránka:
Sekce Konfigurace služby (Service Configuration) zahrnuje následující čtyři služby:
- SD-WAN
- Edge Network Intelligence
- Cloud Web Security
- Secure Access
Chcete-li každou službu aktivovat, klikněte na možnost Zapnout (Turn On). Kliknutím na svislé tečky přítomné v pravém horním rohu každé dlaždice vypnete nebo nakonfigurujete danou službu. Pro konfiguraci příslušné služby můžete také použít možnost Konfigurovat (Configure) v pravém dolním rohu každé dlaždice. Každá dlaždice zobrazí souhrn konfigurace.
Poznámka: Když zvolíte možnost Vypnout (Turn off), zobrazí se vyskakovací okno s žádostí o potvrzení. Zaškrtněte pole a klikněte na možnost Vypnout službu (Turn Off Service).- SD-WAN: Kliknutím na možnost Konfigurovat (Configure) zobrazíte následující vyskakovací okno. Nakonfigurujte nastavení a poté klikněte na možnost Aktualizovat (Update).
Možnost Popis Doména (Domain) Zadejte název domény, který se použije k povolení autentizace jednotného přihlášení (SSO) pro nástroj Orchestrator. Tato možnost je také vyžadována k aktivaci služby Edge Network Intelligence pro zákazníka. Výchozí autentizace zařízení Edge (Default Edge Authentication) Z rozevírací nabídky zvolte výchozí možnosti autentizace zařízení Edge přidružených k zákazníkovi.
- Certifikát deaktivován (Certificate Deactivated): Zařízení Edge využívá režim autentizace předem sdíleného klíče.
- Získání certifikátu (Certificate Acquire): Tato možnost je vybrána ve výchozím nastavení a uděluje Edge pokyn získat certifikát od certifikační autority SD-WAN Orchestratorvygenerováním páru klíčů a odesláním žádosti o podepsání certifikátu do systému Orchestrator. Jakmile je získán, Edge certifikát použije pro ověřování pro autentizaci SD-WAN Orchestrator a pro vytvoření tunelových propojení VCMP.
Poznámka: Po získání certifikátu lze tuto volbu aktualizovat na Certifikát je povinný (Certificate Required).
- Certifikát je povinný (Certificate Required): Edge používá certifikát PKI. Operátoři mohou změnit časové okno pro obnovení certifikátu pro zařízení Edge prostřednictvím systémové vlastnosti
edge.certificate.renewal.window
.
Licence nástroje Edge (Edge Licensing) Zobrazí se stávající licence nástroje Edge. Pro přidání nebo odstranění licencí klikněte na možnost Přidat (Add). Poznámka: Typy licencí lze používat u více zařízení Edge. Doporučujeme zákazníkům zajistit přístup ke všem typům licencí, aby mohli zvolit ty správné s ohledem na jejich vydání a oblast. Další informace naleznete v tématu Spravování licencí zařízení Edge pomocí nového uživatelského rozhraní nástroje Orchestrator.Povolit zákazníkovi spravovat software (Allow Customer to Manage Software) Chcete-li podnikovému primárnímu uživateli povolit správu bitových kopií programu, které jsou podniku k dispozici, zaškrtněte toto pole. Profily operátorů (Operator Profile) Z rozevírací nabídky vyberte profil operátora, který má být přidružen k zákazníkovi. Toto pole není k dispozici, pokud je vybrána možnost Povolit zákazníkovi spravovat software (Allow Customer to Manage Software). Další informace o profilech operátorů naleznete v tématu Správa profilů operátorů. Maximální počet segmentů (Maximum Number of Segments) Zadejte maximální počet segmentů, které lze nakonfigurovat. Platný rozsah je 1 až 16.Výchozí hodnota je 16. - Edge Network Intelligence: Kliknutím na možnost Konfigurovat (Configure) zobrazíte následující vyskakovací okno. Nakonfigurujte nastavení a poté klikněte na možnost Aktualizovat (Update).
Poznámka: Tuto možnost můžete vybrat pouze v případě, že je zapnuta služba SD-WAN.
Možnost Popis Doména (Domain) Zadejte název domény, který se použije k povolení autentizace jednotného přihlášení (SSO) pro nástroj Orchestrator. Tato možnost je také vyžadována k aktivaci služby Edge Network Intelligence pro zákazníka. Uzly analýzy (Analytics Nodes) Zadejte maximální počet zařízení Edge, která lze zřídit jako Analytické uzly. Ve výchozím nastavení je vybrána možnost Neomezené (Unlimited). Přístup k funkci (Feature Access) Vyberte zaškrtávací okénko Samooprava (Self Healing), abyste umožnili službě Edge Network Intelligence poskytovat doporučení pro vylepšení výkonu. - Cloud Web Security: Tato služba je k dispozici pouze v případě, že zvolíte Fond bran (Gateway Pool) s aktivovanou rolí Cloud Web Security. Cloud Web Security je hostovaná cloudová služba, která chrání uživatele a infrastrukturu používající SaaS a internetové aplikace. Více informací naleznete v příručce Konfigurační příručka VMware Cloud Web Security. Kliknutím na možnost Konfigurovat (Configure) se zobrazí následující vyskakovací okno:
Vyberte požadovanou verzi a poté klikněte na možnost Aktualizovat (Update). Standardní edice (Standard Edition) obsahuje filtrování adresy URL, kontrolu SSL, antivirus, autentizaci, základní izolovaný prostor, přehled o inline viditelnosti CASB. Pokročilá edice (Advanced Edition) obsahuje filtrování adresy URL, kontrolu SSL, antivirus, autentizaci, základní izolovaný prostor, přehled o inline viditelnosti CASB a ovládací prvky, inline viditelnost DLP a ovládací prvky
- Secure Access: Tato služba je k dispozici pouze pokud zvolíte Fond bran (Gateway Pool) s aktivovanou rolí Cloud Web Security. Řešení Secure Access kombinuje služby VMware SD-WAN a Workspace ONE a poskytuje konzistentní, optimální a zabezpečený přístup ke cloudovým aplikacím skrze síť celosvětově spravovaných uzlů služeb. Více informací naleznete v příručceKonfigurační příručka VMware Secure Access. Kliknutím na možnost Konfigurovat (Configure) se zobrazí následující vyskakovací okno:
Zadejte maximální počet PoP a poté klikněte na možnost Aktualizovat (Update).
- Na stránce Konfigurace zákazníka (Customer Configuration) jsou k dispozici další nastavení konfigurace:
Možnost Popis Globální (Global) Zobrazení uživatelské smlouvy (User Agreement Display) Z rozevírací nabídky zvolte jednu z následujících hodnot: - Zdědit (Inherit)
- Přepsat na skrytí (Override to Hide)
- Přepsat na zobrazení (Override to Show)
Poznámka:Toto pole je k dispozici pouze v případě, že je vlastnost systémusession.options.enableUserAgreements
nastavena na hodnotu Pravda (True).Přístup k funkci (Feature Access) Poskytuje přístup k vybraným funkcím. Zaškrtnutím jednoho nebo více polí z níže uvedeného seznamu aktivujete pro zákazníka požadované funkce: - Autentizace podniku (Enterprise Auth): Ve výchozím nastavení může u podniku aktivovat nebo deaktivovat dvoufaktorovou autentizaci pouze operátor. Pokud toto pole zaškrtnete, podnikoví administrátoři získají možnost sami konfigurovat dvoufaktorovou autentizaci. Tato možnost také řídí aktivaci a deaktivaci jednotného přihlašování (SSO).
- Aktivovat prémiovou službu (Enable Premium Service): Tato možnost je výchozí. Prémiová služba odkazuje na funkci nápravy na vyžádání, která je základní součástí dynamické vícecestné optimalizace sítě SD-WAN (DMPO). DMPO se používá pro veškerý provoz, který prochází bránou SD-WAN Gateway. Pokud je vybrána možnost Prémiová služba (Premium Service), brána používá opravu chyb předávání (FEC) pro provoz zákazníka ovlivněný vysokou úrovní kolísání nebo ztráty linky WAN a u kterého nelze směrovat na kvalitnější linku WAN. Pokud není vybrána Prémiová služba (Premium Service), provoz stále prochází bránou SD-WAN Gateway a těží z dalších komponent DMPO, jako je Nepřetržité monitorování (Continuous Monitoring), Dynamické řízení aplikací (Dynamic Application Steering) a Zabezpečený přenos provozu (Secure Traffic Transmission). Provoz ovlivněný vysokou úrovní kolísání nebo ztráty linky WAN však nevyužívá opravy chyb bránou. Další informace naleznete v tématu Dynamická vícecestná optimalizace (Dynamic Multipath Optimization (DMPO)) v dokumentu Průvodce správou VMware SD-WAN.
- Vlastní nastavení role (Role Customization): Umožňuje podnikovému primárnímu uživateli přizpůsobovat oprávnění rolí ostatních podnikových uživatelů.
Delegovat správu na zákazníka (Delegate Management To Customer) Umožňuje zákazníkovi upravit nastavení vybrané vlastnosti. Zákazníkům se vždy zobrazují následující dvě vlastnosti: - Povolit mapování CoS (Enable CoS Mapping): Umožňuje konfigurovat mapování CoS při konfiguraci pravidel řízení.
- Povolit omezení limitu služby (Enable Service Rate Limiting): Umožňuje omezit v pravidlech řízení limit služby.
Fond bran (Gateway Pool) Aktuální fond zdrojů brány (Current Gateway Pool) Vyberte fond bran z rozevíracího seznamu. Brány v tomto fondu (Gateways in this Pool) Zobrazuje podrobnosti o bráně v aktuálním fondu. Předávání partnera (Partner Hand Off) Aktivace této možnosti zobrazí sekci Konfigurovat předání (Configure Hand Off). Podrobnosti najdete zde: Konfigurovat předání. Zásady zabezpečení (Security Policy) Hash Ve výchozím nastavení není pro záhlaví VPN nakonfigurován žádný ověřovací algoritmus, protože je AES-GCM ověřeným šifrovacím algoritmem. Zvolíte-li možnost Vypnout GCM (Turn off GCM), můžete z rozbalovací nabídky vybrat jako algoritmus autentizace pro záhlaví VPN jednu z následujících možností: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Šifrování (Encryption) Pro velikost klíčů algoritmů AES k šifrování dat vyberte AES 128 nebo AES 256. Výchozí režim algoritmu šifrování je AES 128. Skupina DH (DH Group) Vyberte algoritmus skupiny Diffie-Hellman (DH), který bude použit při výměně předsdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. Podporované skupiny DH jsou 2, 5, 14, 15 a 16. Doporučujeme použít skupinu DH 14, což je výchozí hodnota. PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pro zvýšení zabezpečení. Podporované úrovně PFS jsou 2, 5, 14, 15 a 16. Ve výchozím nastavení je PFS deaktivováno. Vypnout GCM (Turn off GCM) Zaškrtnutím tohoto políčka aktivujete Hashovací hodnotu (Hash) a vyberete algoritmus autentizace pro záhlaví VPN. Životnost IPsec SA (min) (IPSec SA Lifetime Time(min)) Doba, po kterou se pro zařízení Edge iniciuje obnovování klíče IPsec (Internet Security Protocol). Minimální doba životnosti IPsec je 3 minuty a maximální doba životnosti IPsec je 480 minut. Výchozí hodnota je 480 minut. Poznámka: Doporučuje se nekonfigurovat nízké hodnoty životnosti pro protokoly IPsec (méně než 10 minut), protože to může způsobit přerušení přenosu dat v některých nasazeních kvůli novým klíčům. Nízké hodnoty životnosti slouží pouze pro účely ladění (debugging).Doba životnosti IKE SA (min) (IKE SA Lifetime(min)) Doba, po kterou se pro Edge iniciuje obnovování výměny klíčů IKE (Internet Key Exchange). Minimální doba životnosti IKE je 10 minut a maximální doba životnosti je 1440 minut. Výchozí hodnota je 1440 minut. Poznámka: Doporučuje se nekonfigurovat nízké hodnoty životnosti pro protokoly IKE (méně než 30 minut), protože to může způsobit přerušení přenosu dat v některých nasazeních kvůli novým klíčům. Nízké hodnoty životnosti slouží pouze pro účely ladění (debugging).Přepsání zabezpečeného výchozího směru (Secure Default Route Override) Zvolte zaškrtávací políčko, aby cíl přenosu dat, který se shoduje se zabezpečeným výchozím směrem (statický směr nebo směr BGP) z brány partnera, mohl být přepsán za použití pravidel řízení. Poznámka: Pokyny pro aktivaci zabezpečeného směrování na zařízení Edge naleznete v tématu Konfigurace předání partnera. Další informace o konfiguraci pravidla síťové služby pro pravidla řízení naleznete v části „Konfigurace pravidla síťové služby pro pravidla řízení“ v Příručce správy VMware SD-WAN (VMware SD-WAN Administration Guide), která je k dispozici v Dokumentaci VMware SD-WAN (VMware SD-WAN Documentation).Virtualizace síťových funkcí Edge (Edge Network Function Virtualization) NFV Edge (Edge NFV) Volbou této možnosti zaktivujete možnost nasazovat VNF na zařízení Edge. Po nasazení jednoho nebo více VNF na Edge nelze tuto možnost deaktivovat. VNF zabezpečení (Security VNFs) Chcete-li zavést odpovídající VNF zabezpečení v zařízení Edge, zaškrtněte příslušná zaškrtávací pole. Nastavení SD-WAN (SD-WAN Settings) Kalkulace nákladů OFC (OFC Cost Calculation) Zvolte požadované zaškrtávací políčko: - Distribuovaný výpočet směru (Distributed Cost Calculation): Toto políčko zaškrtněte, chcete-li delegovat výpočet nákladů směru na zařízení Edge/brány.
Poznámka: Tato možnost je k dispozici pouze pro zařízení Edge/brány s verzí 3.4.0 a novější.
- Použít zásady NSD (Use NSD Policy): Toto políčko zaškrtněte, chcete-li použít zásady NSD pro výpočet nákladů směry na zařízení Edge/brány.
Poznámka: Tato možnost je k dispozici pouze pro zařízení Edge/brány s verzí 4.2.0 a novější.
Více značek DSCP na výpočet cesty toku (Multiple-DSCP tags per Flow Path Calculation) Zaškrtnutím pole zahrnete hodnotu DSCP jako součást vyhledávání toku. Poznámka: Toto pole je k dispozici pouze v případě, že je vlastnost systémusession.options.enableFlowParametersConfig
nastavena na hodnotu Pravda (True).Přístup k funkci (Feature Access) Zaškrtnutím pole Stavová brána firewall (Stateful Firewall) potlačíte nastavení stavové brány firewall aktivovaná na podnikovém Edge. - Klikněte na tlačítko Uložit změny (Save Changes).
Poznámka: Pokud modifikujete Nastavení zabezpečení (Security Policy), provedené změny mohou způsobit přerušení dostupnosti aktuálních služeb. Tato nastavení mohou navíc snížit celkovou propustnost a prodloužit dobu požadovanou k nastavení tunelového propojení VCMP, což může mít vliv na dobu nastavení dynamického tunelového propojení mezi větvemi a zotavení po výpadku Edge v clusteru.