So stellen Sie den Dienst VMware Secure Access mit SD-WAN Orchestrator bereit:

Voraussetzungen

  • Stellen Sie sicher, dass Sie die erforderliche Konfiguration auf Workspace ONE UEM abgeschlossen haben. Einzelheiten finden Sie unter Erste Schritte bei der Bereitstellung von VMware Secure Access.
  • Stellen Sie sicher, dass Sie die maximale Anzahl von PoPs für Secure Access in SD-WAN Orchestrator festgelegt haben. Die maximale Anzahl hängt von der Anzahl der VMware SASE PoPs ab, die auf dem SD-WAN Orchestrator bereitgestellt werden. Um die maximale Anzahl von PoPs einzustellen, gehen Sie zu Konfigurieren (Configure) > Kunde (Customer) > Kundenkonfiguration (Customer Configuration) > Dienstzugriff (Service Access).

Prozedur

  1. Melden Sie sich bei SD-WAN Orchestrator als Unternehmensbenutzer an, und klicken Sie dann auf Neue Orchestrator-Benutzeroberfläche öffnen (Open New Orchestrator UI).
  2. Klicken Sie im angezeigten modalen Popup-Fenster Neue Orchestrator-Benutzeroberfläche (New Orchestrator UI) auf Neue Orchestrator-Benutzeroberfläche starten (Launch New Orchestrator UI).
  3. Wählen Sie in der Dropdown-Liste Enterprise-Anwendungen SD-WAN (Enterprise Applications SD-WAN) die Option Sicherer Zugriff (Secure Access) aus.
  4. Klicken Sie auf der Seite Sicherer Zugriff (Secure Access), die angezeigt wird, auf + Neuer Dienst (+ New Service).
    Der Assistent für den Remotezugriff (Remote Access) wird angezeigt.
  5. Führen Sie im Bildschirm UEM-Konfiguration (UEM Configuration) des Assistenten für den Remotezugriff (Remote Access) die folgenden Konfigurationen durch:
    1. Geben Sie im Feld DNS-Name (DNS Name) den Hostnamen ein, den Sie bei der Konfiguration des Workspace ONE UEM-Tunnels angegeben haben. Siehe Schritt 4 in Erste Schritte bei der Bereitstellung von VMware Secure Access.
    2. Geben Sie im Feld UEM-URL (UEM URL) die Workspace ONE UEM-API-URL ein, die sich auf Ihre UEM-Umgebung bezieht.
    3. Geben Sie im Feld UEM-Org.-Gruppen-ID (UEM Org Group ID) den Bezeichner für die Organisationsgruppe ein, den Sie während der Workspace ONEUEM-Konfiguration erstellt haben. Siehe Schritt 1 in Erste Schritte bei der Bereitstellung von VMware Secure Access.
    4. Geben Sie im Abschnitt WS1 UEM-Anmeldedaten (WS1 UEM Credentials) den Benutzernamen und das Kennwort ein, die Sie beim Erstellen des Administratorkontos in der Workspace ONE UEM-Konsole eingerichtet haben. Siehe Schritt 2 in Erste Schritte bei der Bereitstellung von VMware Secure Access.
    5. Aktivieren Sie das Kontrollkästchen Ja (Yes), um den UEM-Tunnel-Hostnamen innerhalb der von Ihnen erstellten Organisationsgruppe zu konfigurieren.
    6. Klicken Sie auf Prüfen (Check).
      An den UEM-Server wird ein API-Aufruf zum Validieren der eingegebenen Details gesendet. Wenn die Validierung erfolgreich war, klicken Sie auf Weiter (Next).
  6. Führen Sie im Bildschirm Enterprise- und Netzwerkeinstellungen (Enterprise and Network settings) des Assistenten für den Remotezugriff (Remote Access) die folgenden Konfigurationen durch:
    1. Wählen Sie in der Dropdown-Liste Enterprise-DNS-Server (Enterprise DNS Server) den gewünschten DNS-Server aus, der für das Unternehmen konfiguriert ist. Die Standardeinstellung ist Google oder OpenDNS.
    2. Wählen Sie in der Dropdown-Liste SD-WAN-Segment (SD WAN Segment) das gewünschte Segment aus, für das Sie den Secure Access-Dienst aktivieren möchten. Die Standardeinstellung ist Globales Segment (Global Segment).
    3. Geben Sie im Abschnitt Enterprise-IP-Bereiche (Enterprise IP Ranges) die folgenden Details ein:
      • Kundensubnetz (Customer Subnet) – Ein Subnetz im Besitz des Kunden, das von Remote-Benutzern beim Zugriff auf das Netzwerk verwendet wird. Dieses Kundensubnetz fungiert als Supernetz, das auf so viele SASE PoPs aufgeteilt und verteilt wird, wie der Benutzer für seine Bereitstellung konfiguriert hat (es können bis zu fünf PoPs konfiguriert werden).
      • Subnetz-Bits (Subnet Bits) – Konfigurieren Sie 1 bis 3 Subnetz-Bits, um das Kundensubnetz in einzelne Subnetze zu unterteilen, die den PoPs zugeordnet werden können.
      Die folgende Tabelle veranschaulicht die Beziehung zwischen dem Kundensubnetz und den Subnetz-Bits:
      Kundensubnetz Subnetz-Bits Anzahl der Subnetze Subnetz pro POP
      10.10.1.0/24 1 2
      • 10.10.1.0/25
      • 10.10.1.128/25
      10.10.1.0/24 2 4
      • 10.10.1.0/26
      • 10.10.1.64/26
      • 10.10.1.128/26
      • 10.10.1.192/26
      10.10.1.0/24 3 8
      • 10.10.1.0/27
      • 10.10.1.32/27
      • 10.10.1.64/27
      • 10.10.1.96/27
      • 10.10.1.128/27
      • 10.10.1.160/27
      • 10.10.1.192/27
      • 10.10.1.224/27
      Die gewählte Anzahl der Subnetz-Bits bestimmt die Anzahl der Subnetze, die aus dem Kundensubnetz erstellt werden. Wie in der obigen Tabelle angegeben, wenn Sie Folgendes konfigurieren:
      • Ein Subnetz-Bit, das Kundensubnetz wird in zwei Subnetze unterteilt, die zwei PoPs zugewiesen werden können.
      • Zwei Subnetz-Bits, das Kundensubnetz ist in vier Subnetze unterteilt, die vier PoPs zugewiesen werden können.
      • Drei Subnetz-Bits, das Kundensubnetz wird in acht Subnetze unterteilt, die maximal fünf PoPs zugewiesen werden können, und drei Subnetze bleiben unbesetzt.

      Das folgende Diagramm zeigt die Beziehung zwischen Kundensubnetz und Subnetz-Bits:

    4. Klicken Sie auf Weiter (Next).
  7. Wählen Sie im Bildschirm PoP-Auswahl (PoP Selection) des Assistenten für den Remotezugriff (Remote Access) in der Dropdown-Liste Ausgewählte Instanz(en) (Selected Instance(s)) den PoP-Standort aus, an dem der Tunnelserver instanziiert werden soll. Klicken Sie auf Weiter (Next).
  8. Im Bildschirm Zusätzliche Sicherheit (Additional Security) (optional) des Assistenten für den Remotezugriff (Remote Access) können Sie wählen, ob Sie Cloud Web Security auf Secure Access aktivieren möchten.
    Wenn Cloud Web Security aktiviert ist, stellen Sie sicher, dass in der CWS-Richtlinie unter dem Abschnitt „SSL-Überprüfung (SSL-Inspection)“ eine Regel zur Umgehung/Ausnahme der SSL-Überprüfung (Secure Socket Layer) erstellt wurde. Das Standardverhalten der SSL-Überprüfung ist die Entschlüsselung des gesamten verschlüsselten Datenverkehrs. Das Erstellen von SSL-Regeln wird im Konfigurationshandbuch für Cloud Web Security ausführlich behandelt. Die Regel deckt Zielverkehr ab, der an die Domäne „awmdm.com“ gesendet wird, und stellt sicher, dass CWS diesen Datenverkehr nicht entschlüsselt. Klicken Sie auf Weiter (Next).
  9. Geben Sie im Bildschirm Name, Beschreibung, Tags (Name, Description, Tags) des Assistenten für den Remotezugriff (Remote Acces) den Namen des Secure Access-Diensts ein und fügen Sie bei Bedarf Tags oder eine Beschreibung hinzu und klicken Sie dann auf Fertig stellen (Finish).

Ergebnisse

Es kann einige Minuten dauern, bis der Tunnelserver online und die Verbindung zum SASE PoP hergestellt ist. Der Bereitstellungsstatus zeigt Wird durchgeführt (In Progress) an, während das Provisioning durchgeführt wird. Aktualisieren Sie die Seite, um den Status zu überprüfen. Sobald der Tunnelserver eingerichtet ist, zeigt der Bereitstellungsstatus Abgeschlossen (Completed) an.

Nächste Maßnahme

Sie müssen Ihre Geräte bei der Workspace ONE Intelligent Hub-Anwendung registrieren. Weitere Informationen finden Sie in Registrieren von Geräten bei Workspace ONE Intelligent Hub.