Después de crear un cliente, configure las opciones de funciones y los ajustes a los que puede acceder el cliente. Como operador, puede seleccionar los ajustes que el cliente pueden modificar.

Al crear un nuevo cliente, se le redirige a la página Configuración del cliente (Customer Configuration), donde puede configurar los ajustes del cliente. También puede desplazarse hasta la página Configuración del cliente (Customer Configuration) directamente desde el portal de operadores siguiendo los pasos que se indican a continuación:

Procedimiento

  1. En la página de opciones de supervisión y configuración, seleccione un cliente y, en el encabezado superior, haga clic en SD-WAN > Configuración global (Global Settings).
  2. En el menú de la izquierda, haga clic en Configuración del cliente (Customer Configuration). Se muestra la página siguiente:
    La sección Configuración del servicio (Service Configuration) incluye los siguientes cuatro servicios:
    • SD-WAN
    • Edge Network Intelligence
    • Cloud Web Security
    • Secure Access

    Haga clic en el botón Activar (Turn on) para activar cada servicio. Haga clic en los puntos suspensivos verticales presentes en la esquina superior derecha de cada mosaico para desactivar o configurar el servicio. También puede utilizar la opción Configurar (Configure) que se encuentra en la esquina inferior derecha de cada mosaico para configurar el servicio correspondiente. Cada mosaico muestra el resumen de configuración.

    Nota: Al seleccionar la opción Desactivar (Turn off), aparece una ventana emergente que solicita su confirmación. Seleccione la casilla de verificación y haga clic en Desactivar servicio (Turn Off Service).
    1. SD-WAN: al hacer clic en la opción Configurar, se muestra la siguiente ventana emergente. Configure los ajustes y haga clic en Actualizar (Update).
      Opción Descripción
      Dominio (Domain) Introduzca el nombre de dominio que se utilizará para activar la autenticación de inicio de sesión único (SSO) para Orchestrator. Esto también es necesario para activar Edge Network Intelligence para el cliente.
      Autenticación de Edge predeterminada (Default Edge Authentication)

      Elija la opción predeterminada para autenticar las instancias de Edge asociadas al cliente, en el menú desplegable.

      • Certificado desactivado (Certificate Deactivated): la instancia de Edge utiliza un modo de autenticación con una clave previamente compartida.
      • Adquirir certificado (Certificate Acquire): esta opción está seleccionada de forma predeterminada y le indica a la instancia de Edge que adquiera un certificado de la entidad de certificación de SD-WAN Orchestrator; para ello debe generar un par de claves y enviar una solicitud de firma del certificado a Orchestrator. Una vez adquirido el certificado, la instancia de Edge lo utiliza para autenticarse en SD-WAN Orchestrator y para establecer túneles VCMP.
        Nota: Después de adquirir el certificado, la opción se puede actualizar a Certificado requerido (Certificate Required).
      • Certificado requerido (Certificate Required): Edge utiliza el certificado de PKI. Los operadores pueden cambiar la ventana de tiempo de renovación de certificados para instancias de Edge mediante la propiedad del sistema edge.certificate.renewal.window.
      Licencias de Edge (Edge Licensing) Se muestran las licencias de Edge existentes. Haga clic en Agregar (Add) para agregar o eliminar las licencias.
      Nota: Los tipos de licencia se pueden utilizar en varias instancias de Edge. Se recomienda proporcionar a los clientes acceso a todos los tipos de licencias para que coincidan con la versión y la región. Para obtener más información, consulte Licencias de Edge con la nueva interfaz de usuario de Orchestrator.
      Permitir que el cliente administre software (Allow Customer to Manage Software) Seleccione la casilla de verificación si desea permitir que un superusuario empresarial administre las imágenes de software disponibles para la empresa.
      Perfil de operador (Operator Profile) Seleccione un perfil de operador para asociarlo con el cliente en el menú desplegable. Este campo no está disponible si Permitir que el cliente administre software (Allow Customer to Manage Software) está seleccionado. Para obtener más información sobre los perfiles de operador, consulte Administrar perfiles de operador
      Cantidad máxima de segmentos (Maximum Number of Segments) Introduzca el número máximo de segmentos que se pueden configurar. El rango es de 1 a 16 y el valor predeterminado es 16.
    2. Edge Network Intelligence: al hacer clic en la opción Configurar (Configure) se muestra la siguiente ventana emergente. Configure los ajustes y haga clic en Actualizar (Update).
      Nota: Puede seleccionar esta opción solo cuando el servicio de SD-WAN está activado.
      Opción Descripción
      Dominio (Domain) Introduzca el nombre de dominio que se utilizará para activar la autenticación de inicio de sesión único (SSO) para Orchestrator. Esto también es necesario para activar Edge Network Intelligence para el cliente.
      Nodos de análisis (Analytics Nodes) Introduzca el número máximo de instancias de Edge que se pueden aprovisionar como nodos de análisis. De forma predeterminada, se selecciona la opción Sin límite (Unlimited).
      Acceso a la función (Feature Access) Seleccione la casilla de verificación Corrección automática (Self Healing) para permitir que Edge Network Intelligence proporcione recomendaciones para mejorar el rendimiento.
    3. Cloud Web Security: este servicio solo está disponible cuando se selecciona un Grupo de puertas de enlace (Gateway Pool) con una función de Cloud Web Security activada. Cloud Web Security es un servicio alojado en la nube que protege a los usuarios y a la infraestructura cuando acceden a aplicaciones de Internet y SaaS. Para obtener más información, consulte la Guía de configuración de VMware Cloud Web Security. Al hacer clic en la opción Configurar (Configure), se muestra la siguiente ventana emergente:

      Seleccione la edición requerida y haga clic en Actualizar (Update). Standard Edition incluye filtrado de URL, inspección de SSL, antivirus, autenticación, espacio aislado básico, visibilidad de CASB en línea. Advanced Edition incluye filtrado de URL, inspección de SSL, antivirus, autenticación, espacio aislado básico, controles y visibilidad de CASB en línea, controles y visibilidad de DLP en línea.

    4. Secure Access: este servicio solo está disponible cuando se selecciona un Grupo de puertas de enlace (Gateway Pool) con una función de Cloud Web Security activada. La solución Secure Access combina los servicios de VMware SD-WAN y Workspace ONE para proporcionar un acceso coherente, óptimo y seguro a las aplicaciones en la nube a través de una red de nodos de servicios administrados a nivel mundial. Para obtener más información, consulte la Guía de configuración de VMware Secure Access. Al hacer clic en la opción Configurar (Configure), se muestra la siguiente ventana emergente:

      Introduzca el número máximo de PoP y haga clic en Actualizar (Update).

  3. A continuación se muestran las opciones de configuración adicionales disponibles en la página Configuración del cliente (Customer Configuration):
    Opción Descripción
    Global
    Visualización del acuerdo del usuario (User Agreement Display) Seleccione una de las siguientes opciones en el menú desplegable:
    • Heredar (Inherit)
    • Anular para ocultar (Override to Hide)
    • Anular para mostrar (Override to Show)
    Nota:
    Este campo solo está disponible cuando la propiedad del sistema session.options.enableUserAgreements se establece en Verdadera (True).
    Acceso a la función (Feature Access) Proporciona acceso a las funciones seleccionadas. Seleccione una o varias casillas de verificación de la siguiente lista a fin de activar estas funciones para el cliente:
    • Autenticación empresarial (Enterprise Auth): de forma predeterminada, solo el operador puede activar o desactivar la autenticación en dos fases para una empresa. Si selecciona esta casilla de verificación, los administradores empresariales pueden configurar la autenticación en dos fases por su cuenta. Esta opción también controla la activación y desactivación del inicio de sesión único (SSO).
    • Habilitar servicio Premium (Enable Premium Service): esta opción está seleccionada de forma predeterminada. Servicio Premium hace referencia a la función de corrección a petición que es una parte principal de la optimización dinámica de múltiples rutas (DMPO) de SD-WAN. DMPO se utiliza para todo el tráfico que atraviesa una puerta de enlace de SD-WAN. Cuando se selecciona Servicio Premium (Premium Service), la instancia de Gateway utiliza la Corrección de errores de reenvío (Forward Error Correction, FEC) para el tráfico del cliente afectado por altos niveles de vibración o pérdida de vínculos WAN, y que no se puede dirigir a un vínculo WAN de mejor calidad. Cuando no se selecciona Servicio Premium (Premium Service), el tráfico sigue atravesando SD-WAN Gateway y se beneficia de otros componentes de DMPO, como la supervisión continua, la dirección dinámica de aplicaciones y la transmisión de tráfico seguro. Sin embargo, el tráfico afectado por altos niveles de vibración o pérdida de vínculos WAN no se beneficia con la corrección de errores por parte de Gateway. Para obtener más información, consulte el tema Optimización dinámica de múltiples rutas (DMPO) en la Guía de administración de VMware SD-WAN.
    • Personalización de funciones (Role Customization): permite a un superusuario empresarial personalizar los privilegios de función de otros usuarios empresariales.
    Delegar la administración al cliente (Delegate Management To Customer) Permite al cliente modificar los ajustes de la propiedad seleccionada. Las siguientes dos propiedades siempre están visibles para los clientes:
    • Habilitar asignación de CoS (Enable CoS Mapping): permite configurar la asignación de clase de servicio al configurar una directiva empresarial.
    • Habilitar la limitación de velocidad de servicio (Enable Service Rate Limiting): permite limitar la velocidad de los servicios en una directiva empresarial.
    Grupo de puertas de enlace (Gateway Pool)
    Grupo de puertas de enlace actual (Current Gateway Pool) Seleccione el grupo de puertas de enlace en el menú desplegable.
    Puertas de enlace en este grupo (Gateways in this Pool) Muestra los detalles de la puerta de enlace en el grupo actual.
    Entrega a socio (Partner Hand Off) Al activar esta opción, se muestra la sección Configurar entrega (Configure Hand Off). Para ver detalles, consulte Configurar entrega.
    Directiva de seguridad (Security Policy)
    Hash De forma predeterminada, no hay ningún algoritmo de autenticación configurado para el encabezado de VPN, ya que AES-GCM es un algoritmo de cifrado autenticado. Al seleccionar la casilla de verificación Desactivar GCM (Turn off GCM), puede seleccionar una de las siguientes opciones como algoritmo de autenticación para el encabezado de VPN, en la lista desplegable:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    Cifrado (Encryption) Seleccione AES 128 o AES 256 como el tamaño de la clave del algoritmo para cifrar los datos. El modo de algoritmo de cifrado predeterminado es AES 128.
    Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) que se utilizará al intercambiar una clave compartida previamente. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5, 14, 15 y 16. Se recomienda utilizar el Grupo DH (DH Group) 14, que es el valor predeterminado.
    PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son 2, 5, 14, 15 y 16. De forma predeterminada, PFS está desactivado.
    Desactivar GCM (Turn off GCM) Seleccione esta casilla de verificación para activar Hash y seleccione un algoritmo de autenticación para el encabezado de VPN.
    Duración de SA de IPsec (min) (IPSec SA Lifetime Time(min)) Tiempo en el que se inicia la regeneración de claves del protocolo de seguridad de Internet (Internet Security Protocol, IPSec) para las instancias de Edge. La duración mínima de IPsec es de 3 minutos y la duración máxima de IPsec, de 480 minutos. El valor predeterminado es 480 minutos.
    Nota: No se recomienda configurar un valor de duración bajo para IPsec (menos de 10 minutos), ya que se puede interrumpir el tráfico en algunas implementaciones debido a la regeneración de claves. Los valores de duración bajos son solo para fines de depuración.
    Duración de SA de IKE (IKE SA Lifetime) (min) Tiempo en el que se inicia la regeneración de claves de intercambio de claves de Internet (Internet Key Exchange, IKE) para las instancias de Edge. La duración mínima de IKE es de 10 minutos y la duración máxima de IKE, de 1440 minutos. El valor predeterminado es 1440 minutos.
    Nota: No se recomienda configurar valores de duración bajos para IKE (menos de 30 minutos), ya que se puede interrumpir el tráfico en algunas implementaciones debido a la regeneración de claves. Los valores de duración bajos son solo para fines de depuración.
    Reemplazo de ruta predeterminada segura (Secure Default Route Override) Seleccione la casilla de verificación para que el destino del tráfico que coincide con una ruta predeterminada segura (ya sea ruta estática o ruta BGP) de una puerta de enlace de socio se pueda anular mediante Directiva empresarial (Business Policy).
    Nota: Para obtener instrucciones acerca de cómo activar el enrutamiento seguro en Edge, consulte Configurar la entrega de socio. Para obtener más información acerca de la configuración de una regla de directiva empresarial del servicio de red, consulte "Configurar el servicio de red para la regla de directiva empresarial" en la Guía de administración de VMware SD-WAN disponible en la Documentación de VMware SD-WAN.
    Virtualización de funciones de red de Edge
    NFV de Edge (Edge NFV) Seleccione esta opción para activar la capacidad de implementar VNF en las instancias de Edge. Después de implementar una o varias VNF en las instancias de Edge, no se puede desactivar esta opción.
    Instancias de VNF de seguridad (Security VNFs) Seleccione las casillas de verificación correspondientes para implementar las instancias de VNF de seguridad correspondientes en las instancias de Edge.
    Configuración de SD-WAN
    Cálculo de costes de OFC (OFC Cost Calculation) Seleccione la casilla de verificación requerida:
    • Cálculo de costes distribuidos (Distributed Cost Calculation): seleccione esta casilla de verificación para delegar el cálculo de costes de ruta a instancias de Edge/Gateway.
      Nota: Esta opción solo está disponible para las instancias de Edge o Gateway con la versión 3.4.0 y posteriores.
    • Usar directiva de NSD (Use NSD Policy): seleccione esta casilla de verificación para utilizar la directiva de NSD para enrutar el cálculo de costes a las instancias de Edge o Gateway.
      Nota: Esta opción solo está disponible para las instancias de Edge o Gateway con la versión 4.2.0 y posteriores.
    Cálculo de ruta con varias etiquetas DSCP por flujo Seleccione la casilla de verificación para incluir el valor DSCP como parte de la búsqueda de flujos.
    Nota: Este campo solo está disponible cuando la propiedad del sistema session.options.enableFlowParametersConfig se establece en Verdadera (True).
    Acceso a la función Active la casilla de verificación Firewall con estado (Stateful Firewall) para anular la configuración del firewall con estado activada en la instancia de Edge empresarial.
  4. Haga clic en Guardar cambios (Save Changes).
    Nota: Cuando se modifican los ajustes de la Directiva de seguridad (Security Policy), los cambios pueden causar interrupciones en los servicios actuales. Además, estos ajustes pueden reducir el rendimiento general y aumentar el tiempo necesario para configurar el túnel VCMP. Esto puede afectar los tiempos de configuración del túnel dinámico de sucursal a sucursal y la recuperación de un error de Edge en un clúster.