Die Analysefunktion ist nativ in VMware SD-WAN Edge integriert und ermöglicht die Inline-Datenerfassung. Allerdings ist die Analyse standardmäßig für Edges deaktiviert. Unternehmensadministratoren können Analyse-Edges nur dann erstellen, wenn die Analysefunktion aktiviert ist.

Führen Sie die folgenden Schritte aus, um einen neuen SD-WAN Edge mit Analysefunktion zu erstellen:

Voraussetzungen

  • Stellen Sie sicher, dass alle erforderlichen Systemeigenschaften zur Aktivierung der Analyse in SASE Orchestrator richtig eingestellt sind. Weitere Informationen finden Sie im Thema Aktivieren von VMware Edge Intelligence auf einem VMware SASE Orchestrator im VMware SD-WAN Operator-Handbuch unter https://docs.vmware.com/de/VMware-SD-WAN/index.html.
  • Stellen Sie sicher, dass die Analysefunktion für den Kunden vor der Bereitstellung eines Analyse-Edge aktiviert ist.
  • Bei der SASE Orchestrator-Version muss es sich um Version 5.0.1.0 handeln, und auf der SD-WAN Edges-Instanz muss mindestens 4.3.1-Code ausgeführt werden. Sie können das Software-Image überprüfen, das auf jedem Edge installiert ist, indem Sie zu Konfigurieren (Configure) > Edges navigieren. Die Tabelle auf der Seite Edges enthält eine Spalte, die die Softwareversion des Edge pro Kunde anzeigt.
  • Stellen Sie bei Nutzung von Version 4.2 auf dem Edge sicher, dass der Edge über eine aktivierte und annoncierte LAN-Schnittstelle verfügt oder den speziellen MGMT-IP-Software-Build verwendet. Andernfalls kann der Edge keine Metriken an das EI-Back-End senden.

Prozedur

  1. Klicken Sie im SD-WAN-Dienst des Unternehmensportals auf Konfigurieren (Configure) > Edges.
  2. Klicken Sie im Bildschirm Edges auf Edge hinzufügen (Add Edge).
    Der Bildschirm Edge bereitstellen (Provision an Edge) wird angezeigt.
  3. Sie können die folgenden Optionen konfigurieren:
    Option Beschreibung
    Modus Wählen Sie einen Modus aus:
    • SD-WAN Edge: Stellt Überwachungs-, Diagnose- und Konfigurationsfunktionen bereit. Diese umfassen Fehlerisolierung und anwendungsspezifische Analysen, die Sie alarmieren können, wenn ein Vorfall auf Ihrem SD-WAN auftritt.
    • SD-WAN Edge mit aktivierter Analyse (SD-WAN Edge with Analytics Enabled): Ermöglicht den Zugriff auf alle Analysen für den Edge sowie auf die vollständige Suite an Funktionen für die Zweigstellenanalyse.
    • Nur Edge-Analysen (Analytics Only Edge): Ermöglicht die Überwachung des Zustands, der Leistung und der Sicherheit des LAN sowie die Behebung der Probleme.
      Hinweis: Sie müssen den Edge löschen und neu konfigurieren, um ihn wieder in einen SD-WAN Edge zu ändern.
    Name Geben Sie einen eindeutigen Namen für den Edge ein.
    Modell Wählen Sie im Dropdown-Menü ein Edge-Modell aus.
    Profil Wählen Sie im Dropdown-Menü ein Profil aus, das dem Edge zugewiesen werden soll.
    Hinweis: Wenn ein Edge-Staging-Profil (Edge Staging Profile) aufgrund der automatischen Edge-Aktivierung als Option angezeigt wird, bedeutet dies, dass dieses Profil von einem neu zugewiesenen Edge verwendet wird, aber noch nicht mit einem Produktionsprofil konfiguriert wurde.
    Edge-Lizenz (Edge License) Wählen Sie im Dropdown-Menü eine Edge-Lizenz aus. Die Liste enthält die Lizenzen, die dem Enterprise vom Operator zugewiesen wurden.
    Authentifizierung (Authentication)

    Wählen Sie den Authentifizierungsmodus im Dropdown-Menü aus:

    • Zertifikat deaktiviert (Certificate Deactivated): Der Edge verwendet einen Authentifizierungsmodus mit vorinstalliertem Schlüssel.
      Warnung: Dieser Modus wird für keine Kundenbereitstellungen empfohlen.
    • Zertifikat erwerben (Certificate Acquire): Dieser Modus ist standardmäßig ausgewählt und wird für alle Kundenbereitstellungen empfohlen. Im Modus Zertifikat erwerben (Certificate Acquire) werden Zertifikate zum Zeitpunkt der Edge-Aktivierung ausgestellt und automatisch erneuert. Der Orchestrator weist den Edge an, ein Zertifikat von der Zertifizierungsstelle von SASE Orchestrator zu erwerben, indem er ein Schlüsselpaar generiert und eine Zertifikatsignierungsanforderung an den Orchestrator sendet. Nach dem Erwerb verwendet der Edge das Zertifikat für die Authentifizierung beim SASE Orchestrator und für die Einrichtung der VCMP-Tunnel.
      Hinweis: Nach dem Erwerb des Zertifikats kann die Option bei Bedarf auf Zertifikat erforderlich (Certificate Required) aktualisiert werden.
    • Zertifikat erforderlich (Certificate Required): Dieser Modus ist nur für Kundenunternehmen geeignet, die „statisch“ sind. Ein statisches Unternehmen ist definiert als ein Unternehmen, in dem wahrscheinlich nicht mehr als ein paar neue Edge-Geräte bereitgestellt werden und bei dem keine neuen PKI-orientierten Änderungen zu erwarten sind.
      Wichtig: Zertifikat erforderlich (Certificate Required) bietet keine Sicherheitsvorteile gegenüber Zertifikat erwerben (Certificate Acquire). Diese Modi sind gleichermaßen sicher, und ein Kunde, der Zertifikat erforderlich (Certificate Required) verwendet, sollte dies nur aus den in diesem Abschnitt beschriebenen Gründen tun.
      Der Modus Zertifikat erforderlich (Certificate Required) bedeutet, dass ohne ein gültiges Zertifikat keine Edge-Taktsignale akzeptiert werden.
      Vorsicht: Die Verwendung dieses Modus kann zu Edge-Fehlern führen, wenn sich ein Kunde dieser strengen Durchsetzung nicht bewusst ist.
      Bei diesem Modus verwendet der Edge das PKI-Zertifikat. Operatoren können das Zeitfenster für die Verlängerung von Zertifikaten für Edges über die Systemeigenschaften ändern. Für weitere Informationen wenden Sie sich bitte an Ihren Operator.
    Hinweis:
    • Wenn die Funktion „Bastion-Orchestrator (Bastion Orchestrator)“ aktiviert ist, sollte für die Edges, die für den Bastion-Orchestrator bereitgestellt werden sollen, der Authentifizierungsmodus entweder auf Zertifikat erwerben (Certificate Acquire) oder Zertifikat erforderlich (Certificate Required) festgelegt sein.
    • Wenn ein Edge-Zertifikat widerrufen wird, wird der Edge deaktiviert und muss den Aktivierungsvorgang durchlaufen. Im aktuellen QuickSec-Entwurf wird die Gültigkeitsdauer der Zertifikatswiderrufsliste (CRL) überprüft. Die Gültigkeitsdauer der Zertifikatswiderrufsliste muss mit der aktuellen Uhrzeit der Edges übereinstimmen, damit die Zertifikatswiderrufsliste Auswirkungen auf die neu eingerichtete Verbindung hat. Stellen Sie dazu sicher, dass die Uhrzeit des Orchestrators korrekt aktualisiert wird, damit sie mit dem Datum und der Uhrzeit der Edges übereinstimmt.
    Geheime Geräteschlüssel verschlüsseln (Encrypt Device Secrets) Aktivieren Sie das Kontrollkästchen Aktivieren (Enable), damit der Edge vertrauliche Daten plattformübergreifend verschlüsseln kann. Diese Option ist auch auf der Seite Konfigurieren (Configure) > Edges > Übersicht (Overview) des Enterprise SD-WAN-Diensts verfügbar.
    Hinweis: Bevor Sie diese Option für Edge-Versionen 5.2.0 und höher deaktivieren, müssen Sie den Edge zuerst mithilfe von Remote-Aktionen deaktivieren. Dies führt zu einem Neustart des Edge.
    Hochverfügbarkeit (High Availability) Aktivieren Sie das Kontrollkästchen Aktivieren (Enable), um Hochverfügbarkeit (High Availability, HA) anzuwenden. Edges können als einzelnes Standalone-Gerät installiert oder mit einem anderen Edge gekoppelt werden, um Unterstützung für Hochverfügbarkeit bereitzustellen.
    Name des Ansprechpartners vor Ort (Local Contact Name) Geben Sie den Namen des Site-Kontakts für den Edge ein.
    E-Mail-Adresse des Ansprechpartners vor Ort (Local Contact Email) Geben Sie die E-Mail-Adresse des Site-Kontakts für den Edge ein.
  4. Geben Sie alle erforderlichen Details ein und klicken Sie auf Weiter (Next), um die folgenden zusätzlichen Optionen zu konfigurieren:
    Hinweis: Die Schaltfläche Weiter (Next) wird nur aktiviert, wenn Sie alle erforderlichen Details eingeben.
    Option Beschreibung
    Seriennummer Geben Sie die Seriennummer des Edge ein. Wenn angegeben, muss der Edge diese Seriennummer bei der Aktivierung anzeigen.
    Hinweis: Stellen Sie beim Bereitstellen von virtuellen VMware SD-WAN Edges auf AWS-Edges sicher, dass Sie die Instanz-ID als Seriennummer für den Edge verwenden.
    Beschreibung Geben Sie eine entsprechende Beschreibung ein.
    Standort Klicken Sie auf den Link Standort festlegen (Set Location), um den Standort des Edge festzulegen. Wenn nicht angegeben, wird der Standort automatisch über die IP-Adresse erkannt, sobald der Edge aktiviert wird.
  5. Klicken Sie auf Edge hinzufügen (Add Edge).
    Für den ausgewählten Kunden wird ein Analyse-Edge bereitgestellt. Sobald der Edge bereitgestellt ist, sammelt die Analysefunktion Daten, führt eine Deep Packet Inspection des gesamten Datenverkehrs durch, identifiziert die Netzwerkanwendung und korreliert den Datenverkehr mit Benutzerinformationen.

Nächste Maßnahme

Um die gesammelten Analysedaten an die Cloud-Analyse-Engine zu senden, müssen Sie eine Analyseschnittstelle konfigurieren, auf der der Edge Analysedaten überträgt.