Konfigurieren Sie nach dem Erstellen eines Kunden die Funktionen, Optionen und Einstellungen, auf die der Kunde zugreifen kann. Als Partner-Superuser können Sie die Einstellungen auswählen, die der Partner-Kunde ändern kann.
Wenn Sie einen neuen Kunden erstellen, werden Sie zur Seite Kundenkonfiguration (Customer Configuration) weitergeleitet, auf der Sie die Kundeneinstellungen konfigurieren können. Sie können auch zur Seite „Konfiguration (Configuration)“ navigieren, indem Sie die folgenden Schritte ausführen:
Prozedur
- Melden Sie sich bei SASE Orchestrator als Partner an.
- Wählen Sie im Partnerportal einen Partner-Kunden aus und klicken Sie in der oberen Kopfzeile auf SD-WAN > Globale Einstellungen (Global Settings).
- Klicken Sie im linken Menü auf Kundenkonfiguration (Customer Configuration). Die folgende Seite wird angezeigt:
Der Abschnitt Dienstkonfiguration (Service Configuration) enthält die folgenden Dienste:
- SD-WAN
- Edge Network Intelligence
- Cloud Web Security
- Secure Access
- Cloud-Hub (Cloud Hub)
Klicken Sie auf die Schaltfläche Einschalten (Turn On), um jeden Dienst zu aktivieren. Klicken Sie auf die vertikale Ellipse in der oberen rechten Ecke jeder Kachel, um den Dienst zu deaktivieren oder zu konfigurieren. Sie können auch die Option Konfigurieren (Configure) in der unteren rechten Ecke jeder Kachel verwenden, um den entsprechenden Dienst zu konfigurieren. Jede Kachel zeigt die Konfigurationsübersicht an.
Hinweis: Wenn Sie die Option Ausschalten (Turn off) auswählen, wird ein Popup-Fenster angezeigt, in dem Sie um Ihre Bestätigung gebeten werden. Aktivieren Sie das Kontrollkästchen und klicken Sie auf Dienst deaktivieren (Turn Off Service).- SD-WAN: Wenn Sie auf die Option Konfigurieren (Configure) klicken, wird das folgende Popup-Fenster angezeigt. Konfigurieren Sie die Einstellungen und klicken Sie dann auf Aktualisieren (Update).
Option Beschreibung Domäne (Domain) Geben Sie den Domänennamen ein, der für die Aktivierung der SSO-Authentifizierung (Single Sign-On) für den Orchestrator verwendet werden soll. Dies ist auch erforderlich, um Edge Network Intelligence für den Kunden zu aktivieren. Edge-Standardauthentifizierung (Default Edge Authentication) Wählen Sie die Standardoption zum Authentifizieren der mit dem Kunden verknüpften Edges im Dropdown-Menü aus.
- Zertifikat deaktiviert (Certificate Deactivated): Der Edge verwendet einen Authentifizierungsmodus mit vorinstalliertem Schlüssel.
- Zertifikat erwerben (Certificate Acquire): Diese Option ist standardmäßig aktiviert. Der Edge wird angewiesen, ein Zertifikat von der Zertifizierungsstelle des SASE Orchestrator zu erwerben, indem ein Schlüsselpaar generiert und eine Zertifikatsignieranforderung an den Orchestrator gesendet wird. Nach dem Erwerb verwendet der Edge das Zertifikat für die Authentifizierung beim SASE Orchestrator und für die Einrichtung der VCMP-Tunnel.
Hinweis: Nach dem Erwerb des Zertifikats kann die Option auf Zertifikat erforderlich (Certificate Required) aktualisiert werden.
- Zertifikat erforderlich (Certificate Required): Edge verwendet das PKI-Zertifikat. Sie können das Zeitfenster für die Zertifikatserneuerung für Edges mithilfe der Systemeigenschaft
edge.certificate.renewal.window
ändern.
Edge-Lizenzierung (Edge Licensing) Die vorhandenen Edge-Lizenzen werden angezeigt. Klicken Sie auf Hinzufügen (Add), um die Lizenzen hinzuzufügen oder zu entfernen. Hinweis: Die Lizenztypen können auf mehreren Edges verwendet werden. Es wird empfohlen, Ihren Kunden Zugriff auf alle Lizenztypen zu erteilen, die der zugehörigen Edition und Region entsprechen. Weitere Informationen finden Sie unter Edge-Lizenzierung.Verwaltung der Software durch Kunden zulassen (Allow Customer to Manage Software) Aktivieren Sie das Kontrollkästchen, wenn Sie es einem Enterprise-Superuser gestatten möchten, die für das Unternehmen verfügbaren Software-Images zu verwalten. Weitere Informationen finden Sie unter dem Thema Edge-Image-Verwaltung im VMware SD-WAN-Administratorhandbuch. Operator-Profil (Operator Profile) Wählen Sie im Dropdown-Menü der verfügbaren Profile ein Operator-Profil aus, das dem Kunden zugeordnet werden soll. Dieses Feld ist nicht verfügbar, wenn Verwaltung der Software durch Kunden zulassen (Allow Customer to Manage Software) ausgewählt ist. Weitere Informationen zu Operator-Profilen finden Sie im Abschnitt „Verwalten von Operator-Profilen“ im VMware SD-WAN Operator-Handbuch, das unter VMware SD-WAN-Dokumentation verfügbar ist. Maximale Anzahl an Segmenten (Maximum Number of Segments) Geben Sie die maximale Anzahl von Segmenten ein, die konfiguriert werden können. Der gültige Bereich liegt zwischen 1 und 16. Der Standardwert ist 16. - Edge Network Intelligence: Wenn Sie auf die Option Konfigurieren (Configure) klicken, wird das folgende Popup-Fenster angezeigt. Konfigurieren Sie die Einstellungen und klicken Sie dann auf Aktualisieren (Update).
Hinweis: Sie können diese Option nur dann auswählen, wenn der Dienst SD-WAN aktiviert ist.
Option Beschreibung Domäne (Domain) Geben Sie den Domänennamen ein, der für die Aktivierung der SSO-Authentifizierung (Single Sign-On) für den Orchestrator verwendet werden soll. Dies ist auch erforderlich, um Edge Network Intelligence für den Kunden zu aktivieren. Analyseknoten (Analytics Nodes) Geben Sie die maximale Anzahl von Edges ein, die als Analyseknoten bereitgestellt werden können. Standardmäßig ist Unbegrenzt (Unlimited) ausgewählt. Funktionszugriff (Feature Access) Aktivieren Sie das Kontrollkästchen Selbstreparatur (Self Healing), damit Edge Network Intelligence Empfehlungen zur Leistungsverbesserung bereitstellen kann. - Cloud Web Security: Dieser Dienst ist nur verfügbar, wenn Sie einen Gateway-Pool (Gateway Pool) mit einer aktivierten Rolle Cloud Web Security auswählen. Cloud Web Security ist ein in der Cloud gehosteter Dienst, der Benutzer und Infrastruktur schützt, die auf SaaS- und Internetanwendungen zugreifen. Weitere Informationen finden Sie im VMware Cloud Web Security-Konfigurationshandbuch. Wenn Sie auf die Option Konfigurieren (Configure) klicken, wird das folgende Popup-Fenster angezeigt:
Wählen Sie die erforderliche Edition aus und klicken Sie dann auf Aktualisieren (Update). Standard Edition umfasst URL-Filterung, SSL-Überprüfung, Virenschutz, Authentifizierung, Standard-Sandbox und Inline-CASB-Sichtbarkeit. Advanced Edition umfasst URL-Filterung, SSL-Überprüfung, Virenschutz, Authentifizierung, Standard-Sandbox, Inline-CASB-Sichtbarkeit und ‑Kontrollen, Inline-DLP-Sichtbarkeit und ‑Kontrollen
- Secure Access: Dieser Dienst ist nur verfügbar, wenn Sie einen Gateway-Pool (Gateway Pool) mit einer aktivierten Rolle Cloud Web Security auswählen. Die Lösung Secure Access kombiniert die VMware SD-WAN- und Workspace ONE-Dienste, um einen konsistenten, optimalen und sicheren Zugriff auf Cloud-Anwendungen über ein Netzwerk von weltweit verwalteten Dienstknoten zu ermöglichen. Weitere Informationen finden Sie im VMware Secure Access-Konfigurationshandbuch. Wenn Sie auf die Option Konfigurieren (Configure) klicken, wird das folgende Popup-Fenster angezeigt:
Geben Sie die maximale Anzahl an PoPs ein und klicken Sie dann auf Aktualisieren (Update).
- Im Folgenden finden Sie die zusätzlichen Konfigurationseinstellungen auf der Seite Kundenkonfiguration (Customer Configuration):
Option Beschreibung Global (Global) Anzeige der Benutzervereinbarung (User Agreement Display) Wählen Sie eine der folgenden Optionen aus dem Dropdown-Menü aus: - Erben
- Zum Ausblenden überschreiben
- Zum Einblenden überschreiben
Hinweis:Dieses Feld ist nur dann verfügbar, wenn die Systemeigenschaftsession.options.enableUserAgreements
auf Wahr (True) gesetzt ist.Funktionszugriff (Feature Access) Bietet Zugriff auf die ausgewählten Funktionen. Aktivieren Sie ein oder mehrere Kontrollkästchen aus der folgenden Liste, um diese Funktionen für den Partnerkunden zu aktivieren: - Unternehmensauthentifizierung (Enterprise Auth): Standardmäßig kann nur der Operator die Zwei-Faktor-Authentifizierung für ein Unternehmen aktivieren oder deaktivieren. Wenn Sie dieses Kontrollkästchen aktivieren, können die Unternehmensadministratoren die Zwei-Faktor-Authentifizierung selbsttätig konfigurieren.
- Premium-Dienst aktivieren (Enable Premium Service): Bietet Zugriff auf die verfügbaren Premium-Dienste. Diese Option ist standardmäßig ausgewählt.
- Rollenanpassung (Role Customization): Ermöglicht es einem Enterprise-Superuser, die Rollenberechtigungen für andere Enterprise-Benutzer anzupassen.
- Routen-Backtracking (Route Backtracking): Ermöglicht es dem Gerät, die beste Route in der Reihenfolge der Präfixlänge zu wählen.
- Integriertes kontextbezogenes Hilfefenster (In-product Contextual Help Panel): Ermöglicht den Zugriff auf das in den Orchestrator integrierte Hilfefenster. Diese Funktion ist standardmäßig deaktiviert. Ein Partneradministrator muss diese Option für die Partnerkunden aktivieren.
- Firewallprotokollierung für Orchestrator aktivieren (Enable Firewall Logging to Orchestrator): Standardmäßig können Edges ihre Firewallprotokolle nicht an den Orchestrator senden. Aktivieren Sie dieses Kontrollkästchen, damit ein Edge die Firewallprotokolle an den Orchestrator senden kann.
- Anpassbare QoE (Customizable QoE): Ermöglicht den Kunden die Konfiguration der minimalen und maximalen Latenzschwellenwerte für Sprach-, Video- und Transaktionsanwendungskategorien eines Edge.
- Klassische Orchestrator-Benutzeroberfläche aktivieren (Enable Classic Orchestrator UI): Ermöglicht es dem Kunden, von der Angular- zur klassischen Orchestrator-Benutzeroberfläche zu wechseln. Diese Option ist nur dann verfügbar, wenn die Systemeigenschaft
session.options.enableClassicOrchestrator
auf Wahr (True) gesetzt ist.
Verwaltung an Kunden delegieren (Delegate Management To Customer) Ermöglicht dem Partnerkunden, die Einstellungen der ausgewählten Eigenschaft zu ändern. Die folgenden zwei Eigenschaften sind für die Partnerkunden immer sichtbar: - CoS-Zuordnung aktivieren (Enable CoS Mapping): Ermöglicht die Konfiguration der CoS-Zuordnung während der Konfiguration einer Business Policy.
- Begrenzung der Dienstraten aktivieren (Enable Service Rate Limiting): Ermöglicht die Begrenzung der Dienstraten in einer Business Policy.
Gateway-Pool (Gateway Pool) Aktueller Gateway-Pool (Current Gateway Pool) Wählen Sie einen Gateway-Pool im Dropdown-Menü aus. Gateways in diesem Pool (Gateways in this Pool) Zeigt die Gateway-Details im aktuellen Pool an. Partnerübergabe (Partner Hand Off) Wenn Sie diese Option aktivieren, wird der Abschnitt Übergabe konfigurieren (Configure Hand Off) angezeigt. Weitere Informationen finden Sie unter Konfigurieren der Partnerübergabe. Sicherheitsrichtlinie (Security Policy) Hash Standardmäßig ist kein Authentifizierungsalgorithmus für den VPN-Header konfiguriert, da AES-GCM ein authentifizierter Verschlüsselungsalgorithmus ist. Bei Aktivierung des Kontrollkästchens GCM ausschalten (Turn off GCM) können Sie eine der folgenden Optionen im angezeigten Dropdown-Menü als Authentifizierungsalgorithmus für die VPN-Kopfzeile auswählen: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Verschlüsselung (Encryption) Wählen Sie entweder AES 128 oder AES 256 als Schlüsselgröße für die AES-Algorithmen zum Verschlüsseln von Daten aus. Der standardmäßige Verschlüsselungsalgorithmus ist AES 128. DH-Gruppe (DH Group) Wählen Sie den Diffie-Hellman (DH)-Gruppen-Algorithmus aus, der beim Austausch eines vorinstallierten Schlüssels verwendet werden soll. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Die unterstützten DH-Gruppen sind 2, 5, 14, 15 und 16. Es wird empfohlen, DH-Gruppe 14 zu verwenden. Dies ist der Standardwert. PFS Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Die unterstützten PFS-Ebenen sind 2, 5, 14, 15 und 16. PFS ist standardmäßig deaktiviert. GCM ausschalten (Turn off GCM) Aktivieren Sie dieses Kontrollkästchen, um Hash zu aktivieren, und wählen Sie einen Authentifizierungsalgorithmus für die VPN-Kopfzeile aus. IPSec-SA-Lebensdauer (Min.) (IPSec SA Lifetime Time(min)) Der Zeitpunkt, zu dem die Neuverschlüsselung des Internet Security Protocol (IPsec) für Edges eingeleitet wird. Die minimale IPSec-Lebensdauer beträgt 3 Minuten, und die maximale IPSec-Lebensdauer beträgt 480 Minuten. Der Standardwert ist 480 Sekunden. Hinweis: Es wird nicht empfohlen, niedrige Werte für die Lebensdauer für IPsec (weniger als 10 Minuten) zu konfigurieren, da dies bei einigen Implementierungen zu Datenverkehrsunterbrechungen aufgrund von Rekeys führen kann. Die niedrigen Werte für die Lebensdauer eignen sich nur für Debugging-Zwecke.IKE-SA-Lebensdauer(min) (IKE SA Lifetime(min)) Der Zeitpunkt, zu dem die Neuverschlüsselung von Internet Key Exchange (IKE) für Edges eingeleitet wird. Die minimale IKE-Lebensdauer beträgt 10 Minuten und die maximale Zeit 1440 Minuten. Der Standardwert ist 1440 Sekunden. Hinweis: Es wird nicht empfohlen, IKE mit niedrigen Werten für die Lebensdauer (weniger als 30 Minuten) zu konfigurieren, da dies bei einigen Implementierungen zu Datenverkehrsunterbrechungen aufgrund von Rekeys führen kann. Die niedrigen Werte für die Lebensdauer eignen sich nur für Debugging-Zwecke.Sicheres Überschreiben der Standardroute (Secure Default Route Override) Aktivieren Sie das Kontrollkästchen, damit das Ziel des Datenverkehrs, der mit einer sicheren Standardroute (entweder statische Route oder BGP-Route) von einem Partner-Gateway übereinstimmt, mithilfe der Business Policy überschrieben werden kann. Hinweis: Anweisungen zum Aktivieren des sicheren Routings auf einem Edge finden Sie unter Konfigurieren der Partnerübergabe. Weitere Informationen zur Konfiguration einer Regel für Netzwerkdienste für Unternehmensrichtlinien finden Sie im Abschnitt „Konfigurieren des Netzwerkdiensts für die Business Policy-Regel“ im VMware SD-WAN-Administratorhandbuch in der VMware SD-WAN-Dokumentation.Network Function Virtualization auf Edge Edge-NFV (Edge NFV) Wählen Sie diese Funktion aus, um die Möglichkeit zur Bereitstellung von VNFs auf Edges zu aktivieren. Nach der Bereitstellung einer oder mehrerer VNFs auf Edges können Sie diese Option nicht deaktivieren. Sicherheits-VNFs (Security VNFs) Aktivieren Sie die relevanten Kontrollkästchen, um die entsprechenden Sicherheits-VNFs auf Edges bereitzustellen. SD-WAN-Einstellungen (SD-WAN Settings) OFC-Kostenberechnung (OFC Cost Calculation) Aktivieren Sie das erforderliche Kontrollkästchen: - DCC (Distributed Cost Calculation) (Distributed Cost Calculation): Aktivieren Sie dieses Kontrollkästchen, um die Berechnung der Routenkosten an Edges/Gateways zu delegieren.
Hinweis: Diese Option ist nur für die Edges/Gateways mit Version 3.4.0 und höher verfügbar.
- NSD-Richtlinie verwenden (Use NSD Policy): Aktivieren Sie dieses Kontrollkästchen, um die NSD-Richtlinie für die Berechnung der Routenkosten an Edges/Gateways zu verwenden.
Hinweis: Diese Option ist nur für die Edges/Gateways mit Version 4.2.0 und höher verfügbar.
Mehrere DSCP-Tags pro Flow-Pfadberechnung (Multiple-DSCP tags per Flow Path Calculation) Aktivieren Sie das Kontrollkästchen, um den DSCP-Wert als Teil der Flow-Suche einzubeziehen. Hinweis: Dieses Feld ist nur dann verfügbar, wenn die Systemeigenschaftsession.options.enableFlowParametersConfig
auf Wahr (True) gesetzt ist.Funktionszugriff (Feature Access) Aktivieren Sie das Kontrollkästchen Statusbehaftete Firewall (Stateful Firewall) oder Advanced Threat Protection, um die entsprechenden auf dem Unternehmens-Edge aktivierten Einstellungen zu überschreiben. - Klicken Sie auf Änderungen speichern (Save Changes).
Hinweis: Wenn Sie die Einstellungen für Sicherheitsrichtlinie (Security Policy) ändern, können die Änderungen zu Unterbrechungen bei den aktuellen Diensten führen. Darüber hinaus können diese Einstellungen den Gesamtdurchsatz verringern und den für die Einrichtung des VCMP-Tunnels benötigten Zeitraum vergrößern, was sich auf die dynamische Einrichtungsdauer der Tunnel zwischen Branches und die Wiederherstellung nach einem Edge-Ausfall in einem Cluster auswirken kann.