Po vytvoření zákazníka nakonfigurujte možnosti a nastavení funkce, ke kterým má mít zákazník přístup. Z pozice primárního uživatele partnera můžete zvolit nastavení, která může zákazník partnera modifikovat.

Během vytváření nového zákazníka budete přesměrováni na stránku Konfigurace zákazníka (Customer Configuration), kde můžete nakonfigurovat nastavení zákazníka. Můžete také přejít na stránku Konfigurace (Configuration) následováním níže uvedených kroků:

Procedura

  1. Přihlaste se k systému SASE Orchestrator jako partner.
  2. Na portálu partnera vyberte zákazníka partnera a v horním záhlaví klikněte na SD-WAN > Globální nastavení (Global Settings).
  3. V levé nabídce klikněte na možnost Konfigurace zákazníka (Customer Configuration). Zobrazí se následující stránka:
    Sekce Konfigurace služby (Service Configuration) zahrnuje následující služby:
    • SD-WAN
    • Edge Intelligence
    • Cloud Web Security
    • Secure Access
    • Cloudové centrum hub

    Chcete-li každou službu aktivovat, klikněte na možnost Zapnout (Turn On). Kliknutím na svislé tečky přítomné v pravém horním rohu každé dlaždice vypnete nebo nakonfigurujete danou službu. Pro konfiguraci příslušné služby můžete také použít možnost Konfigurovat (Configure) v pravém dolním rohu každé dlaždice. Každá dlaždice zobrazí souhrn konfigurace.

    Poznámka: Když zvolíte možnost Vypnout (Turn off), zobrazí se vyskakovací okno s žádostí o potvrzení. Zaškrtněte pole a klikněte na možnost Vypnout službu (Turn Off Service).
    1. SD-WAN: Kliknutím na možnost Konfigurovat (Configure) zobrazíte následující vyskakovací okno. Nakonfigurujte nastavení a poté klikněte na možnost Aktualizovat (Update).
      Možnost Popis
      Doména (Domain) Zadejte název domény, který se použije k povolení autentizace jednotného přihlášení (SSO) pro nástroj Orchestrator. Tato možnost je také vyžadována k aktivaci služby Edge Intelligence pro zákazníka.
      Výchozí autentizace zařízení Edge (Default Edge Authentication)

      Z rozevírací nabídky zvolte výchozí možnosti autentizace zařízení Edge přidružených k zákazníkovi.

      • Certifikát deaktivován (Certificate Deactivated): Zařízení Edge využívá režim autentizace předem sdíleného klíče.
      • Získání certifikátu (Certificate Acquire): Tato možnost je vybrána ve výchozím nastavení a uděluje Edge pokyn získat certifikát od certifikační autority SASE Orchestratorvygenerováním páru klíčů a odesláním žádosti o podepsání certifikátu do systému Orchestrator. Jakmile je získán, Edge certifikát použije pro ověřování pro autentizaci SASE Orchestrator a pro vytvoření tunelových propojení VCMP.
        Poznámka: Po získání certifikátu lze tuto volbu aktualizovat na Certifikát je povinný (Certificate Required).
      • Certifikát je povinný (Certificate Required): Edge používá certifikát PKI. Můžete změnit časové okno pro obnovení certifikátu pro zařízení Edge prostřednictvím systémové vlastnosti edge.certificate.renewal.window.
      Licence nástroje Edge (Edge Licensing) Zobrazí se stávající licence nástroje Edge. Pro přidání nebo odstranění licencí klikněte na možnost Přidat (Add).
      Poznámka: Typy licencí lze používat u více zařízení Edge. Doporučujeme zákazníkům zajistit přístup ke všem typům licencí, aby mohli zvolit ty správné s ohledem na jejich vydání a oblast. Další informace naleznete v tématu Licence nástroje Edge.
      Povolit zákazníkovi spravovat software (Allow Customer to Manage Software) Chcete-li podnikovému primárnímu uživateli povolit správu bitových kopií programu, které jsou podniku k dispozici, zaškrtněte toto pole. Další informace naleznete v tématu Správa bitových kopií EdgePříručce správy VMware SD-WAN.
      Profily operátorů (Operator Profile) Z rozevírací nabídky vyberte profil operátora, který má být přidružen k zákazníkovi. Toto pole není k dispozici, pokud je vybrána možnost Povolit zákazníkovi spravovat software (Allow Customer to Manage Software). Další informace o profilech operátorů naleznete v sekci „Správa profilů operátora“ v příručce Průvodce operátora VMware SD-WAN, která je k dispozici v dokumentaci VMware SD-WAN.
      Maximální počet segmentů (Maximum Number of Segments) Zadejte maximální počet segmentů, které lze nakonfigurovat. Platný rozsah je 1 až 16.Výchozí hodnota je 16.
    2. Edge Intelligence: Kliknutím na možnost Konfigurovat (Configure) zobrazíte následující vyskakovací okno. Nakonfigurujte nastavení a poté klikněte na možnost Aktualizovat (Update).
      Poznámka: Tuto možnost můžete vybrat pouze v případě, že je zapnuta služba SD-WAN.
      Možnost Popis
      Doména (Domain) Zadejte název domény, který se použije k povolení autentizace jednotného přihlášení (SSO) pro nástroj Orchestrator. Tato možnost je také vyžadována k aktivaci služby Edge Intelligence pro zákazníka.
      Uzly analýzy (Analytics Nodes) Zadejte maximální počet zařízení Edge, která lze zřídit jako Analytické uzly. Ve výchozím nastavení je vybrána možnost Neomezené (Unlimited).
      Přístup k funkci (Feature Access) Vyberte zaškrtávací okénko Automatická oprava (Self Healing), abyste umožnili službě Edge Intelligence poskytovat doporučení pro vylepšení výkonu.
    3. Cloud Web Security: Tato služba je k dispozici pouze v případě, že zvolíte Fond bran (Gateway Pool) s aktivovanou rolí Cloud Web Security. Cloud Web Security je hostovaná cloudová služba, která chrání uživatele a infrastrukturu používající SaaS a internetové aplikace. Více informací naleznete v příručce Konfigurační příručka VMware Cloud Web Security. Kliknutím na možnost Konfigurovat (Configure) se zobrazí následující vyskakovací okno:

      Vyberte požadovanou verzi a poté klikněte na možnost Aktualizovat (Update). Standardní edice (Standard Edition) obsahuje filtrování adresy URL, kontrolu SSL, antivirus, autentizaci, základní izolovaný prostor, přehled o inline viditelnosti CASB. Pokročilá edice (Advanced Edition) obsahuje filtrování adresy URL, kontrolu SSL, antivirus, autentizaci, základní izolovaný prostor, přehled o inline viditelnosti CASB a ovládací prvky, inline viditelnost DLP a ovládací prvky

    4. Secure Access: Tato služba je k dispozici pouze pokud zvolíte Fond bran (Gateway Pool) s aktivovanou rolí Cloud Web Security. Řešení Secure Access kombinuje služby VMware SD-WAN a Workspace ONE a poskytuje konzistentní, optimální a zabezpečený přístup ke cloudovým aplikacím skrze síť celosvětově spravovaných uzlů služeb. Více informací naleznete v příručceKonfigurační příručka VMware Secure Access. Kliknutím na možnost Konfigurovat (Configure) se zobrazí následující vyskakovací okno:

      Zadejte maximální počet PoP a poté klikněte na možnost Aktualizovat (Update).

  4. Na stránce Konfigurace zákazníka (Customer Configuration) jsou k dispozici další nastavení konfigurace:
    Možnost Popis
    Globální (Global)
    Zobrazení uživatelské smlouvy (User Agreement Display) Z rozevírací nabídky zvolte jednu z následujících hodnot:
    • Zdědit (Inherit)
    • Přepsat na skrytí (Override to Hide)
    • Přepsat na zobrazení (Override to Show)
    Poznámka:
    Toto pole je k dispozici pouze v případě, že je vlastnost systému session.options.enableUserAgreements nastavena na hodnotu Pravda (True).
    Přístup k funkci (Feature Access) Poskytuje přístup k vybraným funkcím. Zaškrtnutím jednoho nebo více polí z níže uvedeného seznamu aktivujete pro zákazníka partnera požadované funkce:
    • Autentizace podniku (Enterprise Auth): Ve výchozím nastavení může u podniku aktivovat nebo deaktivovat dvoufaktorovou autentizaci pouze operátor. Pokud toto pole zaškrtnete, podnikoví administrátoři získají možnost sami konfigurovat dvoufaktorovou autentizaci.
    • Aktivovat prémiovou službu (Enable Premium Service): Poskytuje přístup k dostupným prémiovým službám. Tato možnost je vybraná ve výchozím nastavení.
    • Vlastní nastavení role (Role Customization): Umožňuje podnikovému primárnímu uživateli přizpůsobovat oprávnění rolí ostatních podnikových uživatelů.
    • Navracení směru (Route Backtracking): Umožňuje zařízení zvolit nejlepší směr v pořadí délky předpony.
    • Panel kontextové nápovědy v produktu (In-product Contextual Help Panel): Poskytuje přístup na panel nápovědy integrovaný se systémem Orchestrator. Ve výchozím nastavení je tato funkce deaktivována. Administrátor partnera musí tuto možnost pro zákazníky partnera aktivovat.
    • Aktivovat protokolování brány firewall do systému Orchestrator (Enable Firewall Logging to Orchestrator): Ve výchozím nastavení nemohou zařízení Edge protokoly brány firewall do systému Orchestrator odesílat. Zaškrtnutím tohoto pole povolíte zařízení Edge odesílat protokoly brány firewall do systému Orchestrator.
    • Přizpůsobitelné měřítko QoE (Customizable QoE): Umožňuje zákazníkovi nakonfigurovat minimální a maximální mezní hodnoty latence pro kategorie aplikací pro hlasové služby, videoslužby a transakce v zařízení Edge.
    • Aktivovat klasické uživatelské rozhraní systému Orchestrator (Enable Classic Orchestrator UI): Umožňuje zákazníkovi přepínat z uživatelského rozhraní Angular Orchestrator na klasické uživatelské rozhraní systému Orchestrator. Tato možnost je k dispozici pouze v případě, že je vlastnost systému session.options.enableClassicOrchestrator nastavena na hodnotu Pravda (True).
    Delegovat správu na zákazníka (Delegate Management To Customer) Umožňuje zákazníkovi partnera upravit nastavení vybrané vlastnosti. Zákazníkům partnera se vždy zobrazují následující dvě vlastnosti:
    • Povolit mapování CoS (Enable CoS Mapping): Umožňuje konfigurovat mapování CoS při konfiguraci pravidel řízení.
    • Povolit omezení limitu služby (Enable Service Rate Limiting): Umožňuje omezit v pravidlech řízení limit služby.
    Fond bran (Gateway Pool)
    Aktuální fond zdrojů brány (Current Gateway Pool) Vyberte fond bran z rozevíracího seznamu.
    Brány v tomto fondu (Gateways in this Pool) Zobrazuje podrobnosti o bráně v aktuálním fondu.
    Předávání partnera (Partner Hand Off) Aktivace této možnosti zobrazí sekci Konfigurovat předání (Configure Hand Off). Podrobnosti najdete zde: Konfigurace předání partnera.
    Zásady zabezpečení (Security Policy)
    Hash Ve výchozím nastavení není pro záhlaví VPN nakonfigurován žádný ověřovací algoritmus, protože je AES-GCM ověřeným šifrovacím algoritmem. Zvolíte-li možnost Vypnout GCM (Turn off GCM), můžete z rozbalovací nabídky vybrat jako algoritmus autentizace pro záhlaví VPN jednu z následujících možností:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    Šifrování (Encryption) Pro velikost klíčů algoritmů AES k šifrování dat vyberte AES 128 nebo AES 256. Výchozí režim algoritmu šifrování je AES 128.
    Skupina DH (DH Group) Vyberte algoritmus skupiny Diffie-Hellman (DH), který bude použit při výměně předsdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. Mezi podporované skupiny DH patří 2, 5, 14, 15, 16, 19, 20 a 21.
    Poznámka:
    • Skupiny DH 19, 20 a 21 jsou podporovány od verze 5.2.0.
    • Doporučujeme použít skupinu DH 14, což je výchozí hodnota.
    PFS Vyberte úroveň PFS (Perfect Forward Secrecy) pro zvýšení zabezpečení. Podporované úrovně PFS jsou 2, 5, 14, 15 a 16. Ve výchozím nastavení je PFS deaktivováno.
    Vypnout GCM (Turn off GCM) Zaškrtnutím tohoto políčka aktivujete Hashovací hodnotu (Hash) a vyberete algoritmus autentizace pro záhlaví VPN.
    Životnost IPsec SA (min) (IPSec SA Lifetime Time(min)) Doba, po kterou se pro zařízení Edge iniciuje obnovování klíče IPsec (Internet Security Protocol). Minimální doba životnosti IPsec je 3 minuty a maximální doba životnosti IPsec je 480 minut. Výchozí hodnota je 480 minut.
    Poznámka: Doporučuje se nekonfigurovat nízké hodnoty životnosti pro protokoly IPsec (méně než 10 minut), protože to může způsobit přerušení přenosu dat v některých nasazeních kvůli novým klíčům. Nízké hodnoty životnosti slouží pouze pro účely ladění (debugging).
    Doba životnosti IKE SA (min) (IKE SA Lifetime(min)) Doba, po kterou se pro Edge iniciuje obnovování výměny klíčů IKE (Internet Key Exchange). Minimální doba životnosti IKE je 10 minut a maximální doba životnosti je 1440 minut. Výchozí hodnota je 1440 minut.
    Poznámka: Doporučuje se nekonfigurovat nízké hodnoty životnosti pro protokoly IKE (méně než 30 minut), protože to může způsobit přerušení přenosu dat v některých nasazeních kvůli novým klíčům. Nízké hodnoty životnosti slouží pouze pro účely ladění (debugging).
    Přepsání zabezpečeného výchozího směru (Secure Default Route Override) Zvolte zaškrtávací políčko, aby cíl přenosu dat, který se shoduje se zabezpečeným výchozím směrem (statický směr nebo směr BGP) z brány partnera, mohl být přepsán za použití pravidel řízení.
    Poznámka: Pokyny pro aktivaci zabezpečeného směrování na zařízení Edge naleznete v tématu Konfigurace předání partnera. Další informace o konfiguraci pravidla síťové služby pro pravidla řízení naleznete v části „Konfigurace pravidla síťové služby pro pravidla řízení“ v  Příručce správy VMware SD-WAN (VMware SD-WAN Administration Guide), která je k dispozici v  Dokumentaci VMware SD-WAN (VMware SD-WAN Documentation).
    Virtualizace síťových funkcí Edge (Edge Network Function Virtualization)
    NFV Edge (Edge NFV) Volbou této možnosti zaktivujete možnost nasazovat VNF na zařízení Edge. Po nasazení jednoho nebo více VNF na Edge nelze tuto možnost deaktivovat.
    VNF zabezpečení (Security VNFs) Chcete-li zavést odpovídající VNF zabezpečení v zařízení Edge, zaškrtněte příslušná zaškrtávací pole.
    Nastavení SD-WAN (SD-WAN Settings)
    Kalkulace nákladů OFC (OFC Cost Calculation) Zvolte požadované zaškrtávací políčko:
    • Distribuovaný výpočet směru (Distributed Cost Calculation): Toto políčko zaškrtněte, chcete-li delegovat výpočet nákladů směru na zařízení Edge/brány.
      Poznámka: Tato možnost je k dispozici pouze pro zařízení Edge/brány s verzí 3.4.0 a novější.
    • Použít zásady NSD (Use NSD Policy): Toto políčko zaškrtněte, chcete-li použít zásady NSD pro výpočet nákladů směry na zařízení Edge/brány.
      Poznámka: Tato možnost je k dispozici pouze pro zařízení Edge/brány s verzí 4.2.0 a novější.
    Více značek DSCP na výpočet cesty toku (Multiple-DSCP tags per Flow Path Calculation) Zaškrtnutím pole zahrnete hodnotu DSCP jako součást vyhledávání toku.
    Poznámka: Toto pole je k dispozici pouze v případě, že je vlastnost systému session.options.enableFlowParametersConfig nastavena na hodnotu Pravda (True).
    Přístup k funkci (Feature Access) Chcete-li přepsat příslušná nastavení aktivovaná v podnikovém Edge, zaškrtněte políčko Stavová brána firewall (Stateful Firewall) nebo Pokročilá ochrana před hrozbami (Advanced Threat Protection).
  5. Klikněte na tlačítko Uložit změny (Save Changes).
    Poznámka: Pokud modifikujete Nastavení zabezpečení (Security Policy), provedené změny mohou způsobit přerušení dostupnosti aktuálních služeb. Tato nastavení mohou navíc snížit celkovou propustnost a prodloužit dobu požadovanou k nastavení tunelového propojení VCMP, což může mít vliv na dobu nastavení dynamického tunelového propojení mezi větvemi a zotavení po výpadku Edge v clusteru.