Konfigurieren Sie nach dem Erstellen eines Kunden die Funktionen, Optionen und Einstellungen, auf die der Kunde zugreifen kann. Als Operator können Sie die Einstellungen festlegen, die vom Kunden geändert werden können.

Wenn Sie einen neuen Kunden erstellen, werden Sie zur Seite Kundenkonfiguration (Customer Configuration) weitergeleitet, auf der Sie die Kundeneinstellungen konfigurieren können. Sie können auch direkt über das Operator-Portal zur Seite Kundenkonfiguration (Customer Configuration) navigieren, indem Sie die folgenden Schritte ausführen:

Prozedur

  1. Wählen Sie auf der Seite mit den Überwachungs- und Konfigurationsoptionen einen Kunden aus und klicken Sie in der oberen Kopfzeile auf SD-WAN > Globale Einstellungen (Global Settings).
  2. Klicken Sie im linken Menü auf Kundenkonfiguration (Customer Configuration). Die folgende Seite wird angezeigt:
    Der Abschnitt Dienstkonfiguration (Service Configuration) enthält die folgenden Dienste:
    • SD-WAN
    • Edge Network Intelligence
    • Cloud Web Security
    • Secure Access
    • Cloud-Hub (Cloud Hub)

    Klicken Sie auf die Schaltfläche Einschalten (Turn On), um jeden Dienst zu aktivieren. Klicken Sie auf die vertikale Ellipse in der oberen rechten Ecke jeder Kachel, um den Dienst zu deaktivieren oder zu konfigurieren. Sie können auch die Option Konfigurieren (Configure) in der unteren rechten Ecke jeder Kachel verwenden, um den entsprechenden Dienst zu konfigurieren. Jede Kachel zeigt die Konfigurationsübersicht an.

    Hinweis: Wenn Sie die Option Ausschalten (Turn off) auswählen, wird ein Popup-Fenster angezeigt, in dem Sie um Ihre Bestätigung gebeten werden. Aktivieren Sie das Kontrollkästchen und klicken Sie auf Dienst deaktivieren (Turn Off Service).
    1. SD-WAN: Wenn Sie auf die Option Konfigurieren (Configure) klicken, wird das folgende Popup-Fenster angezeigt. Konfigurieren Sie die Einstellungen und klicken Sie dann auf Aktualisieren (Update).
      Option Beschreibung
      Domäne (Domain) Geben Sie den Domänennamen ein, der für die Aktivierung der SSO-Authentifizierung (Single Sign-On) für den Orchestrator verwendet werden soll. Dies ist auch erforderlich, um Edge Network Intelligence für den Kunden zu aktivieren.
      Edge-Standardauthentifizierung (Default Edge Authentication)

      Wählen Sie die Standardoption zum Authentifizieren der mit dem Kunden verknüpften Edges im Dropdown-Menü aus.

      • Zertifikat deaktiviert (Certificate Deactivated): Der Edge verwendet einen Authentifizierungsmodus mit vorinstalliertem Schlüssel.
      • Zertifikat erwerben (Certificate Acquire): Diese Option ist standardmäßig aktiviert. Der Edge wird angewiesen, ein Zertifikat von der Zertifizierungsstelle des SASE Orchestrator zu erwerben, indem ein Schlüsselpaar generiert und eine Zertifikatsignieranforderung an den Orchestrator gesendet wird. Nach dem Erwerb verwendet der Edge das Zertifikat für die Authentifizierung beim SASE Orchestrator und für die Einrichtung der VCMP-Tunnel.
        Hinweis: Nach dem Erwerb des Zertifikats kann die Option auf Zertifikat erforderlich (Certificate Required) aktualisiert werden.
      • Zertifikat erforderlich (Certificate Required): Edge verwendet das PKI-Zertifikat. Operatoren können das Zeitfenster für die Verlängerung von Zertifikaten für Edges anhand der Systemeigenschaft edge.certificate.renewal.window ändern.
      Edge-Lizenzierung (Edge Licensing) Die vorhandenen Edge-Lizenzen werden angezeigt. Klicken Sie auf Hinzufügen (Add), um die Lizenzen hinzuzufügen oder zu entfernen.
      Hinweis: Die Lizenztypen können auf mehreren Edges verwendet werden. Es wird empfohlen, Ihren Kunden Zugriff auf alle Lizenztypen zu erteilen, die der zugehörigen Edition und Region entsprechen. Weitere Informationen finden Sie unter Edge-Lizenzierung.
      Verwaltung der Software durch Kunden zulassen (Allow Customer to Manage Software) Aktivieren Sie das Kontrollkästchen, wenn Sie es einem Enterprise-Superuser gestatten möchten, die für das Unternehmen verfügbaren Software-Images zu verwalten. Weitere Informationen finden Sie unter dem Thema Edge-Image-Verwaltung im VMware SD-WAN-Administratorhandbuch
      Operator-Profil (Operator Profile) Wählen Sie im Dropdown-Menü der verfügbaren Profile ein Operator-Profil aus, das dem Kunden zugeordnet werden soll. Dieses Feld ist nicht verfügbar, wenn Verwaltung der Software durch Kunden zulassen (Allow Customer to Manage Software) ausgewählt ist. Weitere Informationen zu Operator-Profilen finden Sie unter Verwalten von Operator-Profilen.
      Maximale Anzahl an Segmenten (Maximum Number of Segments) Geben Sie die maximale Anzahl von Segmenten ein, die konfiguriert werden können. Der gültige Bereich liegt zwischen 1 und 16. Der Standardwert ist 16.
    2. Edge Network Intelligence: Wenn Sie auf die Option Konfigurieren (Configure) klicken, wird das folgende Popup-Fenster angezeigt. Konfigurieren Sie die Einstellungen und klicken Sie dann auf Aktualisieren (Update).
      Hinweis: Sie können diese Option nur dann auswählen, wenn der Dienst SD-WAN aktiviert ist.
      Option Beschreibung
      Domäne (Domain) Geben Sie den Domänennamen ein, der für die Aktivierung der SSO-Authentifizierung (Single Sign-On) für den Orchestrator verwendet werden soll. Dies ist auch erforderlich, um Edge Network Intelligence für den Kunden zu aktivieren.
      Analyseknoten (Analytics Nodes) Geben Sie die maximale Anzahl von Edges ein, die als Analyseknoten bereitgestellt werden können. Standardmäßig ist Unbegrenzt (Unlimited) ausgewählt.
      Funktionszugriff (Feature Access) Aktivieren Sie das Kontrollkästchen Selbstreparatur (Self Healing), damit Edge Network Intelligence Empfehlungen zur Leistungsverbesserung bereitstellen kann.
    3. Cloud Web Security: Dieser Dienst ist nur verfügbar, wenn Sie einen Gateway-Pool (Gateway Pool) mit einer aktivierten Rolle Cloud Web Security auswählen. Cloud Web Security ist ein in der Cloud gehosteter Dienst, der Benutzer und Infrastruktur schützt, die auf SaaS- und Internetanwendungen zugreifen. Weitere Informationen finden Sie im VMware Cloud Web Security-Konfigurationshandbuch. Wenn Sie auf die Option Konfigurieren (Configure) klicken, wird das folgende Popup-Fenster angezeigt:

      Wählen Sie die erforderliche Edition aus und klicken Sie dann auf Aktualisieren (Update). Standard Edition umfasst URL-Filterung, SSL-Überprüfung, Virenschutz, Authentifizierung, Standard-Sandbox und Inline-CASB-Sichtbarkeit. Advanced Edition umfasst URL-Filterung, SSL-Überprüfung, Virenschutz, Authentifizierung, Standard-Sandbox, Inline-CASB-Sichtbarkeit und ‑Kontrollen, Inline-DLP-Sichtbarkeit und ‑Kontrollen

    4. Secure Access: Dieser Dienst ist nur verfügbar, wenn Sie einen Gateway-Pool (Gateway Pool) mit einer aktivierten Rolle Cloud Web Security auswählen. Die Lösung Secure Access kombiniert die VMware SD-WAN- und Workspace ONE-Dienste, um einen konsistenten, optimalen und sicheren Zugriff auf Cloud-Anwendungen über ein Netzwerk von weltweit verwalteten Dienstknoten zu ermöglichen. Weitere Informationen finden Sie im VMware Secure Access-Konfigurationshandbuch. Wenn Sie auf die Option Konfigurieren (Configure) klicken, wird das folgende Popup-Fenster angezeigt:

      Geben Sie die maximale Anzahl an PoPs ein und klicken Sie dann auf Aktualisieren (Update).

    5. Cloud-Hub (Cloud Hub): Dieser Dienst ermöglicht Ihnen den Zugriff auf das MCS-Konto (Multi-Cloud Service). Weitere Informationen finden Sie unter dem Thema Automatische CloudHub-Bereitstellung von NVA im Azure vWAN-Hub im SD-WAN-Administratorhandbuch.
  3. Im Folgenden finden Sie die zusätzlichen Konfigurationseinstellungen auf der Seite Kundenkonfiguration (Customer Configuration):
    Option Beschreibung
    Global (Global)
    Anzeige der Benutzervereinbarung (User Agreement Display) Wählen Sie eine der folgenden Optionen aus dem Dropdown-Menü aus:
    • Erben
    • Zum Ausblenden überschreiben
    • Zum Einblenden überschreiben
    Hinweis:
    Dieses Feld ist nur dann verfügbar, wenn die Systemeigenschaft session.options.enableUserAgreements auf Wahr (True) gesetzt ist.
    Funktionszugriff (Feature Access) Bietet Zugriff auf die ausgewählten Funktionen. Aktivieren Sie ein oder mehrere Kontrollkästchen aus der nachstehenden Liste, um diese Funktionen für den Kunden zu aktivieren:
    • Unternehmensauthentifizierung (Enterprise Auth): Standardmäßig kann nur der Operator die Zwei-Faktor-Authentifizierung für ein Unternehmen aktivieren oder deaktivieren. Wenn Sie dieses Kontrollkästchen aktivieren, können die Unternehmensadministratoren die Zwei-Faktor-Authentifizierung selbsttätig konfigurieren. Mit dieser Option wird auch die Aktivierung und Deaktivierung von Single Sign-On (SSO) gesteuert.
    • Premium-Dienst aktivieren (Enable Premium Service): Diese Option ist standardmäßig aktiviert. Premium-Dienst bezieht sich auf die bedarfsgesteuerte Standardisierung, die ein zentraler Bestandteil der dynamischen Mehrfachpfadoptimierung (DMPO) von SD-WAN ist. DMPO wird für den gesamten Datenverkehr verwendet, der ein SD-WAN Gateway durchläuft. Bei Auswahl des Premium-Diensts verwendet das Gateway die vorwärtsgerichtete Fehlerkorrektur (Forward Error Correction, FEC) für den Kundendatenverkehr im WAN, der durch viele Verbindungsabbrüche und starken Verbindungs-Jitter beeinträchtigt wird und nicht an eine WAN-Verbindung mit besserer Qualität umgeleitet werden kann. Wenn der Premium-Dienst nicht ausgewählt ist, durchläuft der Datenverkehr weiterhin das SD-WAN Gateway und profitiert von anderen DMPO-Komponenten wie kontinuierlicher Überwachung, dynamischer Anwendungssteuerung und sicherer Datenverkehrsübertragung. Datenverkehr im WAN, der durch viele Verbindungsabbrüche und starken Verbindungs-Jitter beeinträchtigt wird, profitiert jedoch nicht von der Fehlerkorrektur durch das Gateway. Weitere Informationen finden Sie im Thema Dynamische Mehrfachpfadoptimierung (DMPO) im VMware SD-WAN-Administratorhandbuch.
    • Rollenanpassung (Role Customization): Ermöglicht es einem Enterprise-Superuser, die Rollenberechtigungen für andere Enterprise-Benutzer anzupassen.
    • Routen-Backtracking (Route Backtracking): Ermöglicht es dem Gerät, die beste Route in der Reihenfolge der Präfixlänge zu wählen.
    • Integriertes kontextbezogenes Hilfefenster (In-product Contextual Help Panel): Ermöglicht den Zugriff auf den in den Orchestrator integrierten Bereich „Produktinterne Hilfe (In-Product Help)“. Diese Funktion ist standardmäßig deaktiviert. Ein Operator muss diese Option für die Unternehmenskunden aktivieren.
    • Firewallprotokollierung für Orchestrator aktivieren (Enable Firewall Logging to Orchestrator): Standardmäßig können Edges ihre Firewallprotokolle nicht an den Orchestrator senden. Aktivieren Sie dieses Kontrollkästchen, damit ein Edge die Firewallprotokolle an den Orchestrator senden kann.
    • Anpassbare QoE (Customizable QoE): Ermöglicht den Kunden die Konfiguration der minimalen und maximalen Latenzschwellenwerte für Sprach-, Video- und Transaktionsanwendungskategorien eines Edge.
    • Klassische Orchestrator-Benutzeroberfläche aktivieren (Enable Classic Orchestrator UI): Ermöglicht es dem Kunden, von der Angular- zur klassischen Orchestrator-Benutzeroberfläche zu wechseln. Diese Option ist nur dann verfügbar, wenn die Systemeigenschaft session.options.enableClassicOrchestrator auf Wahr (True) gesetzt ist.
    Verwaltung an Kunden delegieren (Delegate Management To Customer) Ermöglicht es dem Kunden, die Einstellungen der ausgewählten Eigenschaft zu ändern. Die folgenden beiden Eigenschaften sind für die Kunden immer sichtbar:
    • CoS-Zuordnung aktivieren (Enable CoS Mapping): Ermöglicht die Konfiguration der CoS-Zuordnung während der Konfiguration einer Business Policy.
    • Begrenzung der Dienstraten aktivieren (Enable Service Rate Limiting): Ermöglicht die Begrenzung der Dienstraten in einer Business Policy.
    Gateway-Pool (Gateway Pool)
    Aktueller Gateway-Pool (Current Gateway Pool) Zeigt den aktuellen mit dem ausgewählten Kunden verknüpften Gateway-Pool an. Bei Bedarf können Sie einen anderen verfügbaren Gateway-Pool aus dem Dropdown-Menü auswählen und auf Änderungen speichern (Save Changes) klicken.
    Gateways in diesem Pool (Gateways in this Pool) Zeigt die Gateway-Details im aktuellen Pool an.
    Partnerübergabe (Partner Hand Off) Durch Aktivieren der Option Gateway-Pool (Gateway Pool) wird der Abschnitt Übergabe konfigurieren (Configure Hand Off) angezeigt. Wenn den im Gateway-Pool verfügbaren Gateways die Rolle „Partner-Gateway (Partner Gateway)“ zugewiesen wurde, können Sie die Gateways an die Partner übergeben. Weitere Informationen finden Sie unter Konfigurieren der Partnerübergabe.
    Sicherheitsrichtlinie (Security Policy)
    Hash Standardmäßig ist kein Authentifizierungsalgorithmus für den VPN-Header konfiguriert, da AES-GCM ein authentifizierter Verschlüsselungsalgorithmus ist. Bei Aktivierung des Kontrollkästchens GCM ausschalten (Turn off GCM) können Sie eine der folgenden Optionen im angezeigten Dropdown-Menü als Authentifizierungsalgorithmus für die VPN-Kopfzeile auswählen:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    Verschlüsselung (Encryption) Wählen Sie entweder AES 128 oder AES 256 als Schlüsselgröße für die AES-Algorithmen zum Verschlüsseln von Daten aus. Der standardmäßige Verschlüsselungsalgorithmus ist AES 128.
    DH-Gruppe (DH Group) Wählen Sie den Diffie-Hellman (DH)-Gruppen-Algorithmus aus, der beim Austausch eines vorinstallierten Schlüssels verwendet werden soll. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Unterstützte DH-Gruppen: 2, 5, 14, 15, 16, 19, 20 und 21. Die DH-Gruppen 19, 20 und 21 sind ab Version 5.2.0 verfügbar.
    Hinweis: Es wird empfohlen, DH-Gruppe 14 zu verwenden. Dies ist der Standardwert.
    PFS Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Unterstützte PFS-Gruppen: 2, 5, 14, 15, 16, 19, 20 und 21. Die PFS-Gruppen 19, 20 und 21 sind ab Version 5.2.0 verfügbar. Standardmäßig ist PFS deaktiviert.
    GCM ausschalten (Turn off GCM) Aktivieren Sie dieses Kontrollkästchen, um Hash zu aktivieren, und wählen Sie einen Authentifizierungsalgorithmus für die VPN-Kopfzeile aus.
    IPSec-SA-Lebensdauer (Min.) (IPSec SA Lifetime Time(min)) Der Zeitpunkt, zu dem die Neuverschlüsselung des Internet Security Protocol (IPsec) für Edges eingeleitet wird. Die minimale IPSec-Lebensdauer beträgt 3 Minuten, und die maximale IPSec-Lebensdauer beträgt 480 Minuten. Der Standardwert ist 480 Sekunden.
    Hinweis: Es wird nicht empfohlen, niedrige Werte für die Lebensdauer für IPsec (weniger als 10 Minuten) zu konfigurieren, da dies bei einigen Implementierungen zu Datenverkehrsunterbrechungen aufgrund von Rekeys führen kann. Die niedrigen Werte für die Lebensdauer eignen sich nur für Debugging-Zwecke.
    IKE-SA-Lebensdauer(min) (IKE SA Lifetime(min)) Der Zeitpunkt, zu dem die Neuverschlüsselung von Internet Key Exchange (IKE) für Edges eingeleitet wird. Die minimale IKE-Lebensdauer beträgt 10 Minuten und die maximale Zeit 1440 Minuten. Der Standardwert ist 1440 Sekunden.
    Hinweis: Es wird nicht empfohlen, IKE mit niedrigen Werten für die Lebensdauer (weniger als 30 Minuten) zu konfigurieren, da dies bei einigen Implementierungen zu Datenverkehrsunterbrechungen aufgrund von Rekeys führen kann. Die niedrigen Werte für die Lebensdauer eignen sich nur für Debugging-Zwecke.
    Sicheres Überschreiben der Standardroute (Secure Default Route Override) Aktivieren Sie das Kontrollkästchen, damit das Ziel des Datenverkehrs, der mit einer sicheren Standardroute (entweder statische Route oder BGP-Route) von einem Partner-Gateway übereinstimmt, mithilfe der Business Policy überschrieben werden kann.
    Network Function Virtualization auf Edge (Edge Network Function Virtualization): Ermöglicht die Aktivierung von NFV auf den Edges und ermöglicht Kunden die Bereitstellung von Drittanbieter-VNFs auf dienstbereiten Edge-Plattformen. Zurzeit stehen die dienstbereiten Edge-Plattformmodelle mit der Bezeichnung 520v und 840 bereit. Wenn Sie als Operator-Benutzer Edge-NFV (Edge NFV) aktivieren, können die Kunden VNFs und VNF-Lizenzen in ihren Netzwerkdiensten konfigurieren und bereitstellen.
    Edge-NFV (Edge NFV) Wählen Sie diese Funktion aus, um die Möglichkeit zur Bereitstellung von VNFs auf Edges zu aktivieren. Nach der Bereitstellung einer oder mehrerer VNFs auf Edges können Sie diese Option nicht deaktivieren.
    Sicherheits-VNFs (Security VNFs) Aktivieren Sie die relevanten Kontrollkästchen, um die entsprechenden Sicherheits-VNFs auf Edges bereitzustellen. Weitere Informationen finden Sie unter dem Thema Sicherheits-VNFs im VMware SD-WAN-Administratorhandbuch.
    SD-WAN-Einstellungen (SD-WAN Settings)
    OFC-Kostenberechnung (OFC Cost Calculation) Aktivieren Sie das erforderliche Kontrollkästchen:
    • DCC (Distributed Cost Calculation) (Distributed Cost Calculation): Aktivieren Sie dieses Kontrollkästchen, um die Berechnung der Routenkosten an Edges/Gateways zu delegieren.
      Hinweis: Diese Option ist nur für die Edges/Gateways mit Version 3.4.0 und höher verfügbar. Nach der Aktivierung von DCC (Distributed Cost Calculation) wird empfohlen, die Routen zu aktualisieren, indem Sie im SD-WAN-Dienst des Unternehmensportals zu Konfigurieren (Configure) > Overlay-Flow-Steuerung (Overlay Flow Control) navigieren. Weitere Informationen finden Sie unter Konfigurieren von DCC.
    • NSD-Richtlinie verwenden (Use NSD Policy): Aktivieren Sie dieses Kontrollkästchen, um die NSD-Richtlinie für die Berechnung der Routenkosten an Edges/Gateways zu verwenden.
      Hinweis: Diese Option ist nur für die Edges/Gateways mit Version 4.2.0 und höher verfügbar.
    Mehrere DSCP-Tags pro Flow-Pfadberechnung (Multiple-DSCP tags per Flow Path Calculation) Diese Funktion wird verwendet, wenn der ursprüngliche Benutzerdatenverkehr in einem anderen Tunnel (GRE/IPsec) gekapselt wird und die DSCP-Bezeichnungen im neuen IP-Header gespeichert werden. Die Funktion aktiviert die Pfadberechnung für einen einzelnen Flow (gleiche Quelle/gleiches Ziel) mit mehreren DSCP-Tags und bietet Pfaddifferenzierungen basierend auf den DSCP-Werten im Flow.

    Aktivieren Sie das Kontrollkästchen DSCP-Wert als Teil der Flow-Suche einbeziehen (Include DSCP value as part of flow lookup), um DSCP-Werte als Teil der Flow-Suche und Pfadberechnung einzubeziehen. Weitere Informationen finden Sie unter Konfigurieren der Pfadberechnung mit mehreren DSCP-Labels pro Flow.

    Hinweis: Dieses Feld ist nur dann verfügbar, wenn die Systemeigenschaft session.options.enableFlowParametersConfig auf Wahr (True) gesetzt ist.
    Funktionszugriff (Feature Access)
    Statusbehaftete Firewall (Stateful Firewall) Aktivieren Sie das Kontrollkästchen Statusbehaftete Firewall (Stateful Firewall), um die auf dem Unternehmens-Edge aktivierten Einstellungen für die statusbehaftete Firewall zu überschreiben.
    Erweiterte Firewalldienste (Enhanced Firewall Services) Aktivieren Sie das Kontrollkästchen Erweiterte Firewalldienste (Enhanced Firewall Services), um erweiterte Firewalldienste mithilfe der Firewall-Funktionalität in VMware SASE Orchestrator zu aktivieren.
    Hinweis: Damit die erweiterten Firewalldienste (Enhanced Firewall Services, EFS) funktionieren, muss die Edge-Version auf 5.2.0.0 aktualisiert werden.
    Hinweis: Wenn Sie diese Option deaktivieren, wird nur die EFS-Funktion in der Benutzeroberfläche deaktiviert. Um die EFS-Funktion für einen bestehenden Kunden zu deaktivieren, müssen Sie sie zunächst im SD-WAN-Dienst des Unternehmensportals deaktivieren, indem Sie zu Konfigurieren (Configure) > Profile/Edges (Profiles/Edges) > Firewall > Erweiterte Firewalldienste (Enhanced Firewall Services) navigieren und dann dieses Kontrollkästchen in den globalen Einstellungen (Global Settings) deaktivieren.
    Weitere Informationen zur Konfiguration der Richtlinienregel für erweiterte Firewalldienste finden Sie unter dem Thema Konfiguration von erweiterten Firewalldiensten im VMware SD-WAN-Administratorhandbuch.
  4. Klicken Sie auf Änderungen speichern (Save Changes).
    Hinweis: Wenn Sie die Einstellungen für Sicherheitsrichtlinie (Security Policy) ändern, können die Änderungen zu Unterbrechungen bei den aktuellen Diensten führen. Darüber hinaus können diese Einstellungen den Gesamtdurchsatz verringern und den für die Einrichtung des VCMP-Tunnels benötigten Zeitraum vergrößern, was sich auf die dynamische Einrichtungsdauer der Tunnel zwischen Branches und die Wiederherstellung nach einem Edge-Ausfall in einem Cluster auswirken kann.