Konfigurieren Sie nach dem Erstellen eines Kunden die Funktionen, Optionen und Einstellungen, auf die der Kunde zugreifen kann. Als Partner-Superuser können Sie die Einstellungen auswählen, die der Partner-Kunde ändern kann.

Wenn Sie einen neuen Kunden erstellen, werden Sie zur Seite Kundenkonfiguration (Customer Configuration) weitergeleitet, auf der Sie die Kundeneinstellungen konfigurieren können.

Sie können auch über die Seite Kunden verwalten (Manage Customers) im Partnerportal zur Konfigurationsseite navigieren. Wählen Sie den Kunden aus und klicken Sie auf Aktionen (Actions) > Ändern (Modify) oder auf den Link zum Kunden.

Klicken Sie im Kunden- oder Enterprise-Portal auf Konfigurieren (Configure) > Kunde (Customer), um die folgenden Einstellungen zu konfigurieren.

Kundenfunktionen (Customer Capabilities) – Nur ein Operator kann die Funktionen aktivieren oder deaktivieren. Sie können den Status der folgenden Funktionen anzeigen. Wenn Sie eine der Funktionen aktivieren oder deaktivieren möchten, wenden Sie sich an Ihren Operator.

  • Unternehmensauthentifizierung aktivieren
  • Firewallprotokollierung für Orchestrator aktivieren
  • Legacy-Netzwerke aktivieren
  • Premium-Service aktivieren
  • Rollenanpassung aktivieren (Enable Role Customization)
  • Segmentierung aktivieren
  • Statusbehaftete Firewall aktivieren.
  • Abschnitt „Konfiguration“ auf der neuen Orchestrator-Benutzeroberfläche anzeigen
  • CoS-Zuordnung (CoS Mapping)
  • Begrenzung der Dienstraten (Service Rate Limiting)

Sicherheitsrichtlinie (Security Policy) – Beim Erstellen von Edge-zu-Edge-IPSec-Tunneln können Sie die Konfigurationseinstellungen der Sicherheitsrichtlinie auf Kundenkonfigurationsebene ändern.

  • Hash: Standardmäßig ist kein Authentifizierungsalgorithmus für die VPN-Kopfzeile konfiguriert. Bei Aktivierung des Kontrollkästchens GCM ausschalten (Turn off GCM) können Sie eine der folgenden Optionen in der angezeigten Dropdown-Liste als Authentifizierungsalgorithmus für die VPN-Kopfzeile auswählen:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
  • Verschlüsselung (Encryption) – AES 128-Galois/Counter Mode (GCM), AES 256-GCM, AES 128-Cipher Block Chaining (CBC) und AES 256-CBC sind die Verschlüsselungsalgorithmen, die zur Bereitstellung von Vertraulichkeit verwendet werden. Wählen Sie entweder AES 128 oder AES 256 als Schlüsselgröße für die AES-Algorithmen zum Verschlüsseln von Daten aus. Der Standardmodus für den Verschlüsselungsalgorithmus ist AES 128-GCM, wenn das Kontrollkästchen GCM ausschalten (Turn off GCM) nicht aktiviert ist.
  • DH-Gruppe (DH Group): Wählen Sie den Algorithmus der Diffie-Hellman-Gruppe (DH-Gruppe) aus, der beim Austausch eines vorinstallierten Schlüssels verwendet werden soll. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Die unterstützten DH-Gruppen sind 2, 5, 14, 15 und 16. Es wird empfohlen, DH-Gruppe 14 zu verwenden.
  • PFS: Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Die unterstützten PFS-Ebenen sind 2, 5, 14, 15 und 16. PFS ist standardmäßig deaktiviert.
  • GCM ausschalten (Turn off GCM) – Standardmäßig ist AES 128-GCM aktiviert. Aktivieren Sie bei Bedarf das Kontrollkästchen, um diesen Modus auszuschalten, wodurch wiederum der AES 128-CBC-Modus aktiviert wird.
  • IPsec-SA-Lebensdauer (IPsec SA Lifetime) – Der Zeitpunkt, zu dem die Neuverschlüsselung des Internet Security Protocol (IPsec) für Edges eingeleitet wird. Die minimale Lebensdauer von IPsec beträgt 3 Minuten und die maximale Lebensdauer beträgt 480 Minuten. Der Standardwert ist 480 Sekunden.
  • IKE-SA-Lebensdauer (IKE SA Lifetime): Der Zeitpunkt, zu dem das Rekeying von Internet Key Exchange (IKE) für Edges eingeleitet wird. Die minimale Lebensdauer von IKE beträgt 10 Minuten und die maximale Lebensdauer beträgt 1440 Minuten. Der Standardwert ist 1440 Sekunden.
    Hinweis: Es wird nicht empfohlen, niedrige Lebensdauerwerte für IPsec (weniger als 10 Minuten) und IKE (weniger als 30 Minuten) zu konfigurieren, da dies bei einigen Implementierungen zu Datenverkehrsunterbrechungen aufgrund von Neuverschlüsselungen führen kann. Die niedrigen Werte für die Lebensdauer können nur für Debugging-Zwecke verwendet werden.
  • Sichere Außerkraftsetzung der Standardroute (Secure Default Route Override): Aktivieren Sie das Kontrollkästchen, um sicherzustellen, dass der Datenverkehr vom Edge basierend auf dem für die Business Policy-Regel konfigurierten Netzwerkdienst geroutet wird, selbst wenn sicheres Routing (entweder „Statische Route (Static Route)“ oder „BGP-Route (BGP Route)“) auf dem Edge aktiviert ist.
Hinweis: Wenn Sie die Sicherheitseinstellungen ändern, können die Änderungen zu Unterbrechungen bei den aktuellen Diensten führen. Darüber hinaus können diese Einstellungen den Gesamtdurchsatz verringern und den für die Einrichtung des VCMP-Tunnels benötigten Zeitraum vergrößern, was sich auf die dynamische Einrichtungsdauer der Tunnel zwischen Branches und die Wiederherstellung nach einem Edge-Ausfall in einem Cluster auswirken kann.

Dienstzugriff (Service Access) – Wählen Sie die Dienste aus, auf die der Kunde zugreifen kann, sowie die für den ausgewählten Dienst verfügbaren Rollen und Berechtigungen. Weitere Informationen finden Sie unter Konfigurieren des Dienstzugriffs.

Gateway-Pool (Gateway Pool): Der aktuelle mit dem ausgewählten Kunden verknüpfte Gateway-Pool wird angezeigt. Bei Bedarf können Sie einen anderen Gateway-Pool in der Liste der verfügbaren Pools auswählen.

Wenn den im Gateway-Pool verfügbaren Gateways die Rolle „Partner-Gateway (Partner Gateway)“ zugewiesen wurde, können Sie die Gateways an die Partner übergeben. Aktivieren Sie die Option Übergabe an Partner aktivieren (Enable Partner Handoff), um die Übergabefunktionen für die Segmente und Gateways zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Partnerübergabe.

Max. Segmente (Maximum Segments): Zeigt die maximale Anzahl der vom Operator konfigurierten Segmente an.

OFC-Kostenberechnung (OFC Cost Calculation): Zeigt an, ob Distributed Cost Calculation vom Operator aktiviert wurde oder nicht. Standardmäßig ist der Orchestrator aktiv am Erlernen der dynamischen Routen beteiligt. Edges und Gateways verlassen sich auf den Orchestrator, um die anfänglichen Routeneinstellungen zu berechnen und sie an den Edge und das Gateway zurückzusenden. Die Funktion DCC (Distributed Cost Calculation) ermöglicht die Verteilung der Kostenberechnung von Routen an die Edges und Gateways.

Weitere Informationen zur Funktion DCC (Distributed Cost Calculation) finden Sie im Abschnitt Konfigurieren von DCC (Distributed Cost Calculation) im VMware SD-WAN Operator-Handbuch, verfügbar unter: https://docs.vmware.com/de/VMware-SD-WAN/index.html.

Hinweis: Um die Funktion DCC (Distributed Cost Calculation) für Ihre Kunden zu aktivieren, wenden Sie sich an das Support-Team.

Edge NFV: Zeigt an, ob die Kunden virtuelle Netzwerkfunktionen (VNF) von Drittanbietern auf servicebereiten Edge-Plattformen bereitstellen dürfen.

Edge-Image-Verwaltung (Edge Image Management) : Zeigt das aktuelle Software-Image an, das dem ausgewählten Partner-Kunden zugeordnet ist. Als Partner-Superuser können Sie bei Bedarf ein anderes Software-Image aus der verfügbaren Liste der Software-Images für den Kunden auswählen und zuweisen.

Wenn Sie möchten, dass ein Partner-Kunde die Edge-Software-Images verwaltet, müssen Sie das Kontrollkästchen Edge-Software-Image-Verwaltung delegieren (Delegate Edge Software Image Management) aktivieren. Nachdem Sie das Kontrollkästchen Edge-Software-Image-Verwaltung delegieren (Delegate Edge Software Image Management) aktiviert und auf Änderungen speichern (Save Changes) geklickt haben, werden alle zugewiesenen Software-Images für den Partner-Kunden angezeigt. Klicken Sie auf Ändern (Modify), um die Software-Images für den ausgewählten Kunden hinzuzufügen oder zu entfernen.
Hinweis: Sie können ein zugewiesenes Image nur dann von einem Partner-Kunden entfernen, wenn das Image kein Standard-Image ist und zurzeit nicht von Edges im Partner-Kunden verwendet wird.

Weitere Informationen finden Sie im Abschnitt Edge-Software-Image-Verwaltung im VMware SD-WAN-Administratorhandbuch unter https://docs.vmware.com/de/VMware-SD-WAN/index.html.

Nachdem Sie Änderungen an den Konfigurationen vorgenommen haben, klicken Sie auf Änderungen speichern (Save Changes).