Nasazení služby VMware Secure Access za použití SASE Orchestrator:

Požadavky

  • Ujistěte se, že jste dokončili požadovanou konfiguraci na Workspace ONE UEM. Více detailů naleznete v Začínáme se zaváděním VMware Secure Access.
  • Ujistěte se, že jste nastavili maximální počet PoP pro Secure Access v SASE Orchestrator. Maximální počet závisí na počtu PoP VMware SASE nasazených na SASE Orchestrator. Pokud chcete nastavit maximální počet PoP, přejděte na Konfigurovat (Configure) > Zákazník (Customer) > Konfigurace zákazníka (Customer Configuration) > Přístup ke službě (Service Access).

Procedura

  1. Přihlaste se k SASE Orchestrator jako podnikový uživatel a poté klikněte na možnost Otevřít nové uživatelské rozhraní systému Orchestrator (Open New Orchestrator UI).
  2. V modálním vyskakovacím okně Nové uživatelské rozhraní systému Orchestrator (New Orchestrator UI), které se zobrazí, klikněte na možnost Spustit nové uživatelské rozhraní systému Orchestrator (Launch New Orchestrator UI).
  3. Z rozbalovacího seznamu Podnikové aplikace SD-WAN (Enterprise Applications SD-WAN) vyberte možnost Secure Access (Secure Access) .
  4. Na stránce Secure Access (Secure Access) která se zobrazí, klikněte na + Nová služba (+ New Service).
    Zobrazí se průvodce pro Vzdálený přístup (Remote Access).
  5. Na obrazovce Konfigurace UEM (UEM Configuration) průvodce pro Vzdálený přístup (Remote Access) proveďte následující konfigurace:
    1. Do pole Název DNS (DNS Name) zadejte název hostitele, který jste poskytli při konfiguraci tunelu Workspace ONE UEM. Prostudujte si krok 4 v Začínáme se zaváděním VMware Secure Access.
    2. Do pole UEM URL (UEM URL) zadejte Workspace ONE UEM API URL související s vaším prostředím UEM.
    3. Do pole ID organizační skupiny UEM (UEM Org Group ID) zadejte identifikátor organizační skupiny, který jste vytvořili během Workspace ONE konfigurace UEM. Prostudujte si krok 1 v Začínáme se zaváděním VMware Secure Access.
    4. V části Přihlašovací údaje WS1 UEM (WS1 UEM Credentials) zadejte uživatelské jméno a heslo, které jste nastavili při vytvoření účtu administrátora v konzoli Workspace ONE UEM. Prostudujte si krok 2 v Začínáme se zaváděním VMware Secure Access.
    5. Vyberte zaškrtávací pole Ano (Yes) pro konfiguraci názvu hostitele tunelu UEM v rámci organizační skupiny, kterou jste vytvořili.
    6. Klikněte na tlačítko Kontrola (Check).
      Volání rozhraní API je uskutečněno na server UEM pro ověření detailů, které jste zadali. Jakmile je ověření úspěšné, klikněte na tlačítko Další (Next).
  6. Na obrazovce Podniková a síťová nastavení (Enterprise and Network settings) v průvodci Vzdálený přístup (Remote Access) proveďte následující konfigurace:
    1. Z rozbalovacího seznamu Podnikový DNS server (Enterprise DNS Server) vyberte požadovaný server DNS konfigurovaný pro podnik. Ve výchozím nastavení je to Google (Google) nebo OpenDNS (OpenDNS).
    2. Z rozbalovacího seznamuSegment SD-WAN (SD WAN Segment) vyberte požadovaný segment, pro který chcete aktivovat službu Secure Access (Secure Access). Ve výchozím nastavení je Globální segment (Global segment).
    3. V části Rozsahy IP adres podniku (Enterprise IP Ranges) zadejte následující detaily:
      • Podsíť zákazníka (Customer Subnet) – Jedná se o podsíť vlastněnou zákazníkem, která bude použita vzdálenými uživateli při přístupu do sítě. Tato podsíť zákazníka funguje jako super síť, která bude rozdělena a distribuována mezi tolik SASE PoP, kolik uživatel nakonfiguroval pro své zavádění (lze konfigurovat až pět bodů PoP).
      • Bity podsítě (Subnet Bits) – Nakonfigurujte od 1 do 3 bitů podsítě, aby byla podsíť zákazníka rozdělena do jednotlivých podsítí, které mohou být přiděleny do bodů PoP.
      Následující tabulka znázorňuje vztah mezi podsítí zákazníka a bity podsítě:
      Podsíť zákazníka Bity podsítě Počet podsítí Podsíť podle PoP
      10.10.1.0/24 1 2
      • 10.10.1.0/25
      • 10.10.1.128/25
      10.10.1.0/24 2 4
      • 10.10.1.0/26
      • 10.10.1.64/26
      • 10.10.1.128/26
      • 10.10.1.192/26
      10.10.1.0/24 3 8
      • 10.10.1.0/27
      • 10.10.1.32/27
      • 10.10.1.64/27
      • 10.10.1.96/27
      • 10.10.1.128/27
      • 10.10.1.160/27
      • 10.10.1.192/27
      • 10.10.1.224/27
      Zvolený počet bitů podsítě určuje počet podsítí, které budou vytvořeny z podsítě zákazníka. Jak je uvedeno ve výše uvedené tabulce, pokud nakonfigurujete:
      • Jeden bit podsítě: podsíť zákazníka je rozdělena do dvou podsítí, které mohou být přiřazeny ke dvěma bodům PoP.
      • Dva bity podsítě: podsíť zákazníka je rozdělena do čtyř podsítí, které mohou být přiřazeny ke čtyřem bodům PoP.
      • Tři bity podsítě: podsíť zákazníka je rozdělena do osmi podsítí, které mohou být přiřazeny maximálně pěti bodům PoP a tři podsítě zůstanou nepřiřazovány.

      Následující diagram znázorňuje vztah mezi podsítí zákazníka a bity podsítě:

    4. Klikněte na tlačítko Další (Next).
  7. Na obrazovce Výběr PoP (PoP Selection) v průvodci Vzdálený přístup (Remote Access) z rozbalovacího seznamu Vybrané instance (Selected Instance(s)) vyberte umístění PoP, kde bude server tunelu vytvořen. Klikněte na tlačítko Další (Next).
  8. Na obrazovce Dodatečné zabezpečení (volitelné) (Additional Security (optional)) v průvodci Vzdálený přístup (Remote Access) se můžete rozhodnout aktivovat Cloud Web Security v Secure Access.
    Pokud je Cloud Web Security aktivováno, ujistěte se, že je v zásadách CWS v sekci Kontrola SSL vytvořena zásada obcházení/výjimky Kontroly SSL (Secure Socket Layer). Výchozím chováním Kontroly SSL je dešifrování veškerého šifrovaného provozu. Vytváření pravidel SSL je detailně popsáno v příručce Konfigurace webového zabezpečení cloudu. Pravidlo se bude vztahovat na cílový provoz odeslaný do domény awmdm.com a zajistí, že CWS tento provoz nedešifruje. Klikněte na tlačítko Další (Next).
  9. Na obrazovce Název, popis, tagy (Name, Description, Tags) v průvodci Vzdálený přístup (Remote Access) zadejte název služby Secure Access a přidejte tagy nebo popisy, pokud je to požadováno, a poté klikněte na tlačítko Dokončit (Finish).

Výsledek

Může trvat několik minut, než se server tunelu přenese do režimu online a vytvoří připojení k bodu SASE PoP. Stav zavádění zobrazuje stav Probíhá (In Progress) během zajišťování. Obnovte stránku a zkontrolujte stav. Jakmile je server tunelu vytvořen, stav zavádění se zobrazí jako Dokončeno (Completed).

V následující tabulce naleznete popis názvů sloupců služby Secure Access.

Jak pokračovat dále

Musíte registrovat vaše zařízení pomocí aplikace Workspace ONE Intelligent Hub. Prostudujte si Zaregistrujte zařízení pomocí Workspace ONE Intelligent Hub.

Úprava a aktualizace služeb Tunnel

Úprava nebo odstranění služby Secure Access

Po vytvoření nové služby pomocí kroků popsaných v předchozí části můžete pro službu použít možnosti Upravit (Edit), Odstranit (Delete) nebo Restart. Kliknutím na zaškrtávací pole vedle položky Název služby (Service Name) vyberte službu, kterou chcete upravit nebo odstranit. Kliknutím na možnost Upravit (Edit) proveďte změny v dialogovém okně Konfigurace Workspace ONE UEM (Workspace ONE UEM Configuration). Kliknutím na možnost Odstranit (Delete) službu Secure Access odstraníte.

Restart služby Secure Access

Funkce restartu na obrazovce Zásady služby Secure Access (Secure Access Policies) aktualizuje verzi serveru UEM Tunnel, kterou zákazník používá, na nejnovější verzi. Ta obsahuje další opravy chyb a funkci správy protokolů. Během aktualizace serveru UEM Tunnel budou uživatelé v dávkách na chvíli odpojeni a poté se automaticky znovu připojí. Po dokončení tohoto procesu budou uživatelské protokoly přístupné na podnikovém portálu Secure Access v nabídce Monitorování (Monitor) > Protokoly (Logs) > Protokoly služby Secure Access (Secure Access Logs).

Chcete-li službu Secure Access restartovat, klikněte na zaškrtávací pole vedle příslušného názvu služby a klikněte na možnost Restart.

Co dělat dále:

Protokoly služby Secure Access zobrazíte na podnikovém portálu Secure Access přes nabídku Monitorování (Monitor) > Protokoly (Logs) > Protokoly služby Secure Access (Secure Access Logs).