Después de crear un cliente, configure las opciones de funciones y los ajustes a los que puede acceder el cliente. Como superusuario de socio, puede elegir qué ajustes tiene capacidad de modificar el cliente de socio.

Al crear un nuevo cliente, se le redirige a la página Configuración del cliente (Customer Configuration), donde puede configurar los ajustes del cliente. También puede desplazarse hasta la página Configuración (Configuration) siguiendo los pasos a continuación:

Procedimiento

  1. En el portal de socios, seleccione un cliente de socio y, en el encabezado superior, haga clic en SD-WAN > Configuración global (Global Settings).
  2. En el menú de la izquierda, haga clic en Configuración del cliente (Customer Configuration). Se muestra la página siguiente:
    La sección Configuración del servicio (Service Configuration) incluye los siguientes cuatro servicios:
    • SD-WAN
    • Edge Network Intelligence
    • Cloud Web Security
    • Secure Access

    Haga clic en el botón Activar (Turn on) para activar cada servicio. Haga clic en los puntos suspensivos verticales presentes en la esquina superior derecha de cada mosaico para desactivar o configurar el servicio. También puede utilizar la opción Configurar (Configure) que se encuentra en la esquina inferior derecha de cada mosaico para configurar el servicio correspondiente. Cada mosaico muestra el resumen de configuración.

    Nota: Al seleccionar la opción Desactivar (Turn off), aparece una ventana emergente que solicita su confirmación. Seleccione la casilla de verificación y haga clic en Desactivar servicio (Turn Off Service).
    1. SD-WAN: al hacer clic en la opción Configurar, se muestra la siguiente ventana emergente. Configure los ajustes y haga clic en Actualizar (Update).
      Opción Descripción
      Dominio (Domain) Introduzca el nombre de dominio que se utilizará para activar la autenticación de inicio de sesión único (SSO) para Orchestrator. Esto también es necesario para activar Edge Network Intelligence para el cliente.
      Autenticación de Edge predeterminada

      Elija la opción predeterminada para autenticar las instancias de Edge asociadas al cliente, en el menú desplegable.

      • Certificado desactivado (Certificate Deactivated): la instancia de Edge utiliza un modo de autenticación con una clave previamente compartida.
      • Adquirir certificado (Certificate Acquire): esta opción está seleccionada de forma predeterminada y le indica a la instancia de Edge que adquiera un certificado de la entidad de certificación de SD-WAN Orchestrator; para ello debe generar un par de claves y enviar una solicitud de firma del certificado a Orchestrator. Una vez adquirido el certificado, la instancia de Edge lo utiliza para autenticarse en SD-WAN Orchestrator y para establecer túneles VCMP.
        Nota: Después de adquirir el certificado, la opción se puede actualizar a Certificado requerido (Certificate Required).
      • Certificado requerido (Certificate Required): Edge utiliza el certificado de PKI. Puede cambiar la ventana de tiempo de renovación de certificados para instancias de Edge mediante la propiedad del sistema edge.certificate.renewal.window.
      Licencias de Edge Se muestran las licencias de Edge existentes. Haga clic en Agregar (Add) para agregar o eliminar las licencias.
      Nota: Los tipos de licencia se pueden utilizar en varias instancias de Edge. Se recomienda proporcionar a los clientes acceso a todos los tipos de licencias para que coincidan con la versión y la región. Para obtener más información, consulte Licencias de Edge con la nueva interfaz de usuario de Orchestrator.
      Permitir que el cliente administre software Seleccione la casilla de verificación si desea permitir que un superusuario empresarial administre las imágenes de software disponibles para la empresa.
      Perfil de operador (Operator Profile) Seleccione un perfil de operador para asociarlo con el cliente en el menú desplegable. Este campo no está disponible si Permitir que el cliente administre software (Allow Customer to Manage Software) está seleccionado. Para obtener más información sobre los perfiles de operador, consulte la sección "Administrar perfiles de operador con la nueva interfaz de usuario de Orchestrator" en la Guía del operador de VMware SD-WAN disponible en la Documentación de VMware SD-WAN.
      Cantidad máxima de segmentos Introduzca el número máximo de segmentos que se pueden configurar. El rango es de 1 a 16 y el valor predeterminado es 16.
    2. Edge Network Intelligence: al hacer clic en la opción Configurar (Configure) se muestra la siguiente ventana emergente. Configure los ajustes y haga clic en Actualizar (Update).
      Nota: Puede seleccionar esta opción solo cuando el servicio de SD-WAN está activado.
      Opción Descripción
      Dominio (Domain) Introduzca el nombre de dominio que se utilizará para activar la autenticación de inicio de sesión único (SSO) para Orchestrator. Esto también es necesario para activar Edge Network Intelligence para el cliente.
      Nodos de análisis Introduzca el número máximo de instancias de Edge que se pueden aprovisionar como nodos de análisis. De forma predeterminada, se selecciona la opción Sin límite (Unlimited).
      Acceso a la función Seleccione la casilla de verificación Corrección automática (Self Healing) para permitir que Edge Network Intelligence proporcione recomendaciones para mejorar el rendimiento.
    3. Cloud Web Security: este servicio solo está disponible cuando se selecciona un Grupo de puertas de enlace (Gateway Pool) con una función de Cloud Web Security activada. Cloud Web Security es un servicio alojado en la nube que protege a los usuarios y a la infraestructura cuando acceden a aplicaciones de Internet y SaaS. Para obtener más información, consulte la Guía de configuración de VMware Cloud Web Security. Al hacer clic en la opción Configurar (Configure), se muestra la siguiente ventana emergente:

      Seleccione la edición requerida y haga clic en Actualizar (Update). Standard Edition incluye filtrado de URL, inspección de SSL, antivirus, autenticación, espacio aislado básico, visibilidad de CASB en línea. Advanced Edition incluye filtrado de URL, inspección de SSL, antivirus, autenticación, espacio aislado básico, controles y visibilidad de CASB en línea, controles y visibilidad de DLP en línea.

    4. Secure Access: este servicio solo está disponible cuando se selecciona un Grupo de puertas de enlace (Gateway Pool) con una función de Cloud Web Security activada. La solución Secure Access combina los servicios de VMware SD-WAN y Workspace ONE para proporcionar un acceso coherente, óptimo y seguro a las aplicaciones en la nube a través de una red de nodos de servicios administrados a nivel mundial. Para obtener más información, consulte la Guía de configuración de VMware Secure Access. Al hacer clic en la opción Configurar (Configure), se muestra la siguiente ventana emergente:

      Introduzca el número máximo de PoP y haga clic en Actualizar (Update).

  3. A continuación se muestran las opciones de configuración adicionales disponibles en la página Configuración del cliente (Customer Configuration):
    Opción Descripción
    Global
    Visualización del acuerdo del usuario Seleccione una de las siguientes opciones en el menú desplegable:
    • Heredar
    • Anular para ocultar
    • Anular para mostrar
    Nota:
    Este campo solo está disponible cuando la propiedad del sistema session.options.enableUserAgreements se establece en Verdadera (True).
    Acceso a la función Seleccione la casilla de verificación para permitir que el cliente acceda a la función seleccionada.
    Delegar la administración al cliente Seleccione la casilla de verificación para permitir que el cliente modifique la configuración de la propiedad seleccionada.
    Grupo de puertas de enlace (Gateway Pool)
    Grupo de puertas de enlace actual Seleccione el grupo de puertas de enlace en el menú desplegable.
    Puertas de enlace en este grupo Muestra los detalles de la puerta de enlace en el grupo actual.
    Entrega a socio Al activar esta opción, se muestra la sección Configurar entrega (Configure Hand Off). Para ver detalles, consulte Configurar entrega.
    Directiva de seguridad (Security Policy)
    Hash De forma predeterminada, no hay ningún algoritmo de autenticación configurado para el encabezado de VPN, ya que AES-GCM es un algoritmo de cifrado autenticado. Al seleccionar la casilla de verificación Desactivar GCM (Turn off GCM), puede seleccionar una de las siguientes opciones como algoritmo de autenticación para el encabezado de VPN, en la lista desplegable:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    Cifrado (Encryption) Seleccione AES 128 o AES 256 como el tamaño de la clave del algoritmo para cifrar los datos. El modo de algoritmo de cifrado predeterminado es AES 128.
    Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) que se utilizará al intercambiar una clave compartida previamente. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5, 14, 15 y 16. Se recomienda utilizar el Grupo DH (DH Group) 14, que es el valor predeterminado.
    PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son 2, 5, 14, 15 y 16. De forma predeterminada, PFS está desactivado.
    Desactivar GCM Seleccione esta casilla de verificación para activar Hash y seleccione un algoritmo de autenticación para el encabezado de VPN.
    Duración de SA de IPsec (min) Tiempo en el que se inicia la regeneración de claves del protocolo de seguridad de Internet (Internet Security Protocol, IPSec) para las instancias de Edge. La duración mínima de IPsec es de 3 minutos y la duración máxima de IPsec, de 480 minutos. El valor predeterminado es 480 minutos.
    Nota: No se recomienda configurar un valor de duración bajo para IPsec (menos de 10 minutos), ya que se puede interrumpir el tráfico en algunas implementaciones debido a la regeneración de claves. Los valores de duración bajos son solo para fines de depuración.
    Duración de SA de IKE (IKE SA Lifetime) (min) Tiempo en el que se inicia la regeneración de claves de intercambio de claves de Internet (Internet Key Exchange, IKE) para las instancias de Edge. La duración mínima de IKE es de 10 minutos y la duración máxima de IKE, de 1440 minutos. El valor predeterminado es 1440 minutos.
    Nota: No se recomienda configurar valores de duración bajos para IKE (menos de 30 minutos), ya que se puede interrumpir el tráfico en algunas implementaciones debido a la regeneración de claves. Los valores de duración bajos son solo para fines de depuración.
    Reemplazo de ruta predeterminada segura Seleccione la casilla de verificación para que el destino del tráfico que coincide con una ruta predeterminada segura (ya sea ruta estática o ruta BGP) de una puerta de enlace de socio se pueda anular mediante Directiva empresarial (Business Policy).
    Nota: Para obtener instrucciones acerca de cómo activar el enrutamiento seguro en Edge, consulte Configurar la entrega a socios. Para obtener más información acerca de la configuración de una regla de directiva empresarial del servicio de red, consulte "Configurar el servicio de red para la regla de directiva empresarial" en la Guía de administración de VMware SD-WAN disponible en la Documentación de VMware SD-WAN.
    Virtualización de funciones de red de Edge
    NFV de Edge Seleccione esta opción para activar la capacidad de implementar VNF en las instancias de Edge. Después de implementar una o varias VNF en las instancias de Edge, no se puede desactivar esta opción.
    Instancias de VNF de seguridad Seleccione las casillas de verificación correspondientes para implementar las instancias de VNF de seguridad correspondientes en las instancias de Edge.
    Configuración de SD-WAN
    Cálculo de costes de OFC Seleccione la casilla de verificación requerida:
    • Cálculo de costes distribuidos (Distributed Cost Calculation): seleccione esta casilla de verificación para delegar el cálculo de costes de ruta a instancias de Edge/Gateway.
      Nota: Esta opción solo está disponible para las instancias de Edge o Gateway con la versión 3.4.0 y posteriores.
    • Usar directiva de NSD (Use NSD Policy): seleccione esta casilla de verificación para utilizar la directiva de NSD para enrutar el cálculo de costes a las instancias de Edge o Gateway.
      Nota: Esta opción solo está disponible para las instancias de Edge o Gateway con la versión 4.2.0 y posteriores.
    Cálculo de ruta con varias etiquetas DSCP por flujo Seleccione la casilla de verificación para incluir el valor DSCP como parte de la búsqueda de flujos.
    Nota: Este campo solo está disponible cuando la propiedad del sistema session.options.enableFlowParametersConfig se establece en Verdadera (True).
    Acceso a la función Active la casilla de verificación Firewall con estado (Stateful Firewall) para anular la configuración del firewall con estado activada en la instancia de Edge empresarial.
  4. Haga clic en Guardar cambios (Save Changes).
    Nota: Cuando se modifican los ajustes de la Directiva de seguridad (Security Policy), los cambios pueden causar interrupciones en los servicios actuales. Además, estos ajustes pueden reducir el rendimiento general y aumentar el tiempo necesario para configurar el túnel VCMP. Esto puede afectar los tiempos de configuración del túnel dinámico de sucursal a sucursal y la recuperación de un error de Edge en un clúster.