Como operador, puede agregar o modificar los valores de las propiedades del sistema.

En las siguientes tablas se describen algunas de las propiedades del sistema. Como operador, puede establecer los valores de estas propiedades.

Tabla 1. Correos electrónicos de alerta
Propiedad del sistema Descripción
vco.alert.mail.to

Cuando se activa una alerta, se envía inmediatamente una notificación a la lista de direcciones de correo electrónico que se proporciona en el campo Valor (Value) de esta propiedad del sistema. Puede introducir varios identificadores de correo electrónico separados por comas.

Si la propiedad no contiene ningún valor, no se envía la notificación.

La notificación está pensada para alertar al personal de soporte/operaciones de VMware sobre problemas inminentes antes de notificarlo al cliente.

vco.alert.mail.cc Cuando se envían correos electrónicos de alerta a cualquier cliente, se envía una copia a las direcciones de correo electrónico proporcionadas en el campo Valor (Value) de esta propiedad del sistema. Puede introducir varios identificadores de correo electrónico separados por comas.
mail.* Existen varias propiedades del sistema disponibles para controlar los correos electrónicos de alerta. Puede definir los parámetros de correo electrónico, como las propiedades de SMTP, el nombre de usuario, la contraseña, etc.
Tabla 2. Alertas (Alerts)
Propiedad del sistema Descripción
vco.alert.enable Activa o desactiva globalmente la generación de alertas tanto para los operadores como para los clientes empresariales.
vco.enterprise.alert.enable Activa o desactiva globalmente la generación de alertas para los clientes empresariales.
vco.operator.alert.enable Activa o desactiva globalmente la generación de alertas para los operadores.
Tabla 3. Configuración de instancia de Orchestrator bastión
Propiedad del sistema Descripción
session.options.enableBastionOrchestrator Habilita la función de Orchestrator bastión.

Para obtener más información, consulte la Guía de configuración de la instancia de Orchestrator bastión, disponible en https://docs.vmware.com/es/VMware-SD-WAN/index.html.

vco.debeon.private.enable Permite que Orchestrator sea la instancia de Orchestrator privada del par bastión.
vco.bastion.public.enable Permite que Orchestrator sea la instancia de Orchestrator pública del par de bastión.
Tabla 4. Entidad de certificación (Certificate Authority)
Propiedad del sistema Descripción
edge.certificate.renewal.window Esta propiedad opcional del sistema permite al operador definir una o varias ventanas de mantenimiento durante las que está habilitada la renovación del certificado de Edge. Los certificados programados para renovación fuera de las ventanas se aplazarán hasta que la hora actual se encuentre dentro de una de las ventanas habilitadas.

Habilitar propiedad del sistema:

Para habilitar esta propiedad del sistema, escriba "true" (verdadero) para "habilitado" (enabled) en la primera parte del área de texto de Value (Valor) del cuadro de diálogo Modificar propiedad del sistema (Modify System Property). A continuación, se muestra un ejemplo de la primera parte de esta propiedad del sistema cuando está habilitada.

Los operadores pueden definir varias ventanas para restringir los días y las horas del día durante los cuales se habilitan las renovaciones de Edge. Cada ventana se puede definir por un día o por una lista de días (separados por comas), así como por una hora de inicio y de finalización. Las horas de inicio y finalización se pueden especificar en relación con la zona horaria local de Edge o con respecto a la UTC. Consulte la imagen a continuación para ver un ejemplo.

Nota: Si no hay atributos, el valor predeterminado que está habilitado es "falso" (false).
Al definir los atributos de la ventana, siga los pasos que se indican a continuación:
  • Use zonas horarias de IANA, no PDT o PST (p. ej., América/Los_Angeles). Para obtener más información, consulte https://en.wikipedia.org/wiki/List_of_tz_database_time_zones.
  • Use UTC para días (p. ej., SAT, SUN).
    • Separado por comas.
    • Días en tres letras en inglés.
    • No distinguir entre mayúsculas y minúsculas.
  • Utilice únicamente el formato de 24 horas militar (hh: mm) para las horas de inicio (por ejemplo, 01:30) y las horas de finalización (por ejemplo, 05:30).

Si faltan los valores mencionados anteriormente, los valores predeterminados del atributo en cada definición de ventana son los siguientes:

  • Si falta Habilitado (Enabled), el valor predeterminado es falso (false).
  • Si falta la opción Zona horaria (Timezone), el valor predeterminado es "local".
  • Si falta la opción "días" (days) o las horas de inicio y finalización, los valores predeterminados son los siguientes:
    • Si falta la opción "días" (days), se aplica el inicio/fin a cada día de la semana (Lun, Ma, Mié, Ju, Vie, Sáb, Dom).
    • Si faltan las horas de inicio y de finalización, cualquier hora en el día especificado coincidirá (inicio [start] = 00:00 y fin [end] = 23:59).
    • Nota: Deben estar presentes las opciones "días" (days) o las horas de inicio y finalización. Sin embargo, si faltan, los valores predeterminados serán los que se indican arriba.

Desactivar propiedad del sistema:

Esta propiedad del sistema está desactivada de forma predeterminada, lo que significa que el certificado se renovará automáticamente después de que caduque. La opción "Habilitado" (Enabled) se establecerá en "falso" (false) en la primera parte del área de texto de Valor (Value) del cuadro de diálogo Modificar propiedad del sistema (Modify System Property). A continuación, se muestra un ejemplo de esta propiedad cuando se encuentra desactivada.

{

"enabled": false,

"windows": [

{

NOTA: Esta propiedad del sistema requiere que la PKI esté habilitada.

gateway.certificate.renewal.window Esta propiedad opcional del sistema permite al operador definir una o varias ventanas de mantenimiento durante las que está habilitada la renovación del certificado de puerta de enlace. Los certificados programados para renovación fuera de las ventanas se aplazarán hasta que la hora actual se encuentre dentro de una de las ventanas habilitadas.

Habilitar propiedad del sistema:

Para habilitar esta propiedad del sistema, escriba "true" (verdadero) para "habilitado" (enabled) en la primera parte del área de texto de Value (Valor) del cuadro de diálogo Modificar propiedad del sistema (Modify System Property). Consulte la imagen a continuación para ver un ejemplo.

Los operadores pueden definir varias ventanas para restringir los días y las horas del día durante los cuales se habilitan las renovaciones de Edge. Cada ventana se puede definir por un día o por una lista de días (separados por comas), así como por una hora de inicio y de finalización. Las horas de inicio y finalización se pueden especificar en relación con una zona horaria local de Edge o con respecto a la UTC. Consulte la imagen a continuación para ver un ejemplo.

Nota: Si no hay atributos, el valor predeterminado que está habilitado es "falso" (false).
Al definir los atributos de la ventana, siga los pasos que se indican a continuación:
  • Use zonas horarias de IANA, no PDT o PST (p. ej., América/Los_Angeles). Para obtener más información, consulte https://en.wikipedia.org/wiki/List_of_tz_database_time_zones.
  • Use UTC para días (p. ej., SAT, SUN).
    • Separado por comas.
    • Días en tres letras en inglés.
    • No distinguir entre mayúsculas y minúsculas.
  • Utilice únicamente el formato de 24 horas militar (hh: mm) para las horas de inicio (por ejemplo, 01:30) y las horas de finalización (por ejemplo, 05:30).

Si faltan los valores mencionados anteriormente, los valores predeterminados del atributo en cada definición de ventana son los siguientes:

  • Si falta Habilitado (Enabled), el valor predeterminado es falso (false).
  • Si falta la opción Zona horaria (Timezone), el valor predeterminado es "local".
  • Si falta la opción "días" (days) o las horas de inicio y finalización, los valores predeterminados son los siguientes:
    • Si falta la opción "días" (days), se aplica el inicio/fin a cada día de la semana (Lun, Ma, Mié, Ju, Vie, Sáb, Dom).
    • Si faltan las horas de inicio y de finalización, cualquier hora en el día especificado coincidirá (inicio [start] = 00:00 y fin [end] = 23:59).
    • Nota: Deben estar presentes las opciones "días" (days) o las horas de inicio y finalización. Sin embargo, si faltan, los valores predeterminados serán los que se indican arriba.

Desactivar propiedad del sistema:

Esta propiedad del sistema está desactivada de forma predeterminada, lo que significa que el certificado se renovará automáticamente después de que caduque. La opción "Habilitado" (Enabled) se establecerá en "falso" (false) en la primera parte del área de texto de Valor (Value) del cuadro de diálogo Modificar propiedad del sistema (Modify System Property). A continuación, se muestra un ejemplo de esta propiedad cuando se encuentra desactivada.

{

"enabled": false,

"windows": [

{

Nota: Esta propiedad del sistema requiere que la PKI esté habilitada.
Tabla 5. Conservación de los datos (Data Retention)
Propiedad del sistema Descripción
retention.highResFlows.days Esta propiedad del sistema permite a los operadores configurar una conservación de los datos de estadísticas de flujo de alta resolución en cualquier lugar entre 1 y 90 días.
retention.lowResFlows.months Esta propiedad del sistema permite a los operadores configurar una conservación de los datos de estadísticas de flujo de baja resolución en cualquier lugar entre 1 y 365 días.
session.options.maxFlowstatsRetentionDays Esta propiedad permite que los operadores consulten más de dos semanas de datos de estadísticas de flujos.
retentionWeeks.enterpriseEvents Período de retención de eventos empresariales (–1 establece la retención en el período de tiempo máximo permitido)
retentionWeeks.operatorEvents Período de retención de eventos de operador (–1 establece la retención en el período de tiempo máximo permitido)
retentionWeeks.proxyEvents Período de retención de eventos de proxy (–1 establece la retención en el período de tiempo máximo permitido)
retentionWeeks.firewallLogs Período de retención de registros de firewall (–1 establece la retención en el período de tiempo máximo permitido)
retention.linkstats.days Período de retención de estadísticas de vínculos (–1 establece la retención en el período de tiempo máximo permitido)
retention.linkquality.days El período de retención de eventos de calidad de vínculo (–1 establece la retención en el período de tiempo máximo permitido)
retention.healthstats.days Período de retención de estadísticas de estado de Edge (–1 establece la retención en el período de tiempo máximo permitido)
retention.pathstats.days Período de retención de estadísticas de ruta de acceso (–1 establece la retención en el período de tiempo máximo permitido)
Tabla 6. Conservación de los datos de SD-WAN
Datos de SD-WAN Propiedad del sistema Predeterminado Máximo Anterior a la versión 4.0
Eventos empresariales retentionWeeks.enterpriseEvents 40 semanas 1 año 40 semanas
Alertas empresariales N/C 40 semanas 1 año Sin Directiva
Eventos de operador (Operator Events) retentionWeeks.operatorEvents 40 semanas 1 año 40 semanas
Eventos de proxy empresarial retentionWeeks.proxyEvents 40 semanas 1 año 40 semanas
Registros de firewall retentionWeeks.firewallLogs No compatible No compatible 40 semanas
Estadísticas de vínculos retention.linkstats.days 40 semanas 1 año 40 semanas
QoE de vínculo retention.linkquality.days 40 semanas 1 año 40 semanas
Estadísticas de ruta de acceso retention.pathstats.days 2 semanas 2 semanas N/C
Estadísticas de flujo retention.lowResFlows.months

retention.highResFlows.days

1 año: resumen de 1 hora

2 semanas: 5 minutos

1 año: resumen de 1 hora

3 meses: 5 minutos

1 año con resumen
Estadísticas de estado de Edge (versión 5.0 y posteriores) retention.healthstats.days 1 año 1 año N/C
Tabla 7. Instancias de Edge
Propiedad del sistema Descripción
edge.offline.limit.sec Si Orchestrator no detecta un latido de una instancia de Edge durante el período de tiempo especificado, el estado de la instancia de Edge se mueve al modo sin conexión.
edge.link.unstable.limit.sec Cuando Orchestrator no recibe las estadísticas de vínculo de un vínculo durante el tiempo especificado, el vínculo se mueve al modo inestable.
edge.link.disconnected.limit.sec Cuando Orchestrator no recibe las estadísticas de vínculo de un vínculo durante el tiempo especificado, el vínculo se desconecta.
edge.deadbeat.limit.days Si una instancia de Edge no está activa durante el número de días especificado, no se tiene en cuenta la instancia de Edge para generar alertas.
vco.operator.alert.edgeLinkEvent.enable Activa o desactiva globalmente las alertas de operador para los eventos de vínculo de Edge.
vco.operator.alert.edgeLiveness.enable Activa o desactiva globalmente las alertas de operador para los eventos de ejecución de Edge.
Tabla 8. Activación de Edge (Edge Activation)
Propiedad del sistema Descripción
edge.activation.key.encode.enable Base64 codifica los parámetros de la URL de activación para ocultar los valores cuando se envía el correo electrónico de activación de Edge al contacto del sitio.
edge.activation.trustedIssuerReset.enable Restablece la lista de emisores de certificados de confianza de la instancia de Edge para que contenga solo la entidad de certificación de Orchestrator. Todo el tráfico TLS de la instancia de Edge está restringido por la nueva lista de emisores.
network.public.certificate.issuer Establece el valor de network.public.certificate.issuer igual al de la codificación PEM del emisor del certificado de servidor de Orchestrator, cuando edge.activation.trustedIssuerReset.enable está establecido en Verdadero (True). Se agregará el emisor del certificado del servidor al emisor de confianza de la instancia de Edge, además de la entidad de certificación de Orchestrator.
Tabla 9. Administración de Edge
Propiedad del sistema Descripción
edge.link.show.limit.sec Permite establecer el valor de Límite de vínculo de Edge inactivo (Edge Link Down Limit) para cada instancia de Edge.
Tabla 10. Supervisión
Propiedad del sistema Descripción
vco.monitor.enable Activa o desactiva globalmente la supervisión de los estados de entidad de empresa y de operador. Si se establece el valor en Falso (False), se evita que SASE Orchestrator cambie los estados de la entidad y se activen alertas.
vco.enterprise.monitor.enable Activa o desactiva globalmente la supervisión de los estados de entidad de empresa.
vco.operator.monitor.enable Activa o desactiva globalmente la supervisión de los estados de entidad de operador.
Tabla 11. Notificaciones
Propiedad del sistema Descripción
vco.notification.enable Activa o desactiva globalmente la entrega de notificaciones de alerta tanto al operador como a las empresas.
vco.enterprise.notification.enable Activa o desactiva globalmente la entrega de notificaciones de alerta a las empresas.
vco.operator.notification.enable Activa o desactiva globalmente la entrega de notificaciones de alerta al operador.
Tabla 12. Restablecimiento y bloqueo de contraseñas
Propiedad del sistema Descripción
vco.enterprise.resetPassword.token.expirySeconds Duración temporal, después del cual caduca el vínculo de restablecimiento de contraseña para un usuario empresarial.
vco.enterprise.authentication.passwordPolicy

Define la seguridad, el historial y la directiva de caducidad de las contraseñas de los usuarios del cliente.

Edite la plantilla JSON en el campo Valor (Value) para definir lo siguiente:

seguridad (strength)

  • longitud mínima (minlength): cantidad mínima de caracteres de la contraseña. La longitud mínima predeterminada de la contraseña es de 8 caracteres.
  • longitud máxima (maxlength): cantidad máxima de caracteres de la contraseña. La longitud máxima predeterminada de la contraseña es de 32 caracteres.
  • número obligatorio (requireNumber): la contraseña debe contener al menos un carácter numérico. Este requisito está habilitado de forma predeterminada.
  • minúscula obligatoria (requireLower): la contraseña debe contener al menos un carácter en minúscula. Este requisito está habilitado de forma predeterminada.
  • mayúscula obligatoria (requireUpper): la contraseña debe contener al menos un carácter en mayúscula. Este requisito no está habilitado de forma predeterminada.
  • especial obligatorio (requireSpecial): la contraseña debe contener al menos un carácter especial (por ejemplo, _@!). El requisito de caracteres especiales no está habilitado de forma predeterminada.
  • excluir más utilizadas (excludeTop): la contraseña no debe coincidir con una lista de las contraseñas más utilizadas. El valor predeterminado es 1000, que representa las 1000 contraseñas más utilizadas, y se puede configurar hasta un máximo de 10 000 de las contraseñas más utilizadas.
  • cantidad máxima de caracteres repetidos (maxRepeatingCharacters): la contraseña no debe incluir una cantidad configurable de caracteres repetidos. Por ejemplo, si la cantidad máxima de caracteres repetidos se establece en "2", Orchestrator rechazará cualquier contraseña con 3 o más, como "Contraseñaaa". El valor predeterminado de -1 indica que esta función no está habilitada.
  • cantidad máxima de caracteres secuenciales (maxSequenceCharacters): la contraseña no debe incluir una cantidad configurable de caracteres secuenciales. Por ejemplo, si la cantidad máxima de caracteres secuenciales se establece en "3", Orchestrator rechazará cualquier contraseña con 4 o más, como "Contraseña1234". El valor predeterminado de -1 indica que esta función no está habilitada.
  • desestimar caracteres de nombre de usuario (disallowUsernameCharacters): la contraseña no debe coincidir con una parte configurable del identificador del usuario. Por ejemplo, si "desestimar caracteres de nombre de usuario" se establece en 5, y un usuario con el nombre de usuario [email protected] intenta configurar una nueva contraseña que incluya 'nombr' u 'ombre' o cualquier cadena de cinco caracteres que coincida con una parte del nombre de usuario, Orchestrator rechazará la nueva contraseña. El valor predeterminado de -1 indica que esta función no está habilitada.
  • cambio de los caracteres de validación (variationValidationCharacters): una cantidad configurable de caracteres de la nueva contraseña debe ser diferente de los de la contraseña anterior. Orchestrator utiliza la distancia de Levenshtein entre dos palabras para determinar la variación entre la nueva contraseña y la anterior. La distancia de Levenshtein es la cantidad mínima de ediciones de un solo carácter (inserciones, eliminaciones o sustituciones) que se necesitan para convertir una palabra en otra. 
  • Si cambio de los caracteres de validación se establece en 4, la distancia de Levenshtein entre la nueva contraseña y la anterior debe ser 4 o más. En otras palabras, la nueva contraseña debe tener 4 variaciones o más con respecto a la contraseña anterior. Por ejemplo, si la contraseña anterior era "casa" y la contraseña nueva es "calle", la distancia de Levenshtein entre estas palabras es 3, ya que solo son necesarias tres ediciones para convertir casa en calle:
    • casa → case (sustitución de "a" por "e")
    • case → cale (sustitución de "s" por "l")
    • cale → calle (inserción de "l").

Dado que la nueva contraseña solo varía en 3 caracteres con respecto a la anterior, se rechazará "calle" como una nueva contraseña para reemplazar a "casa". El valor predeterminado de -1 indica que esta función no está habilitada.

caducidad (expiry):
  • habilitar (enable): establézcalo en verdadero (true) para habilitar la caducidad automática de las contraseñas de los usuarios del cliente.
  • días (days): introduzca la cantidad de días que se puede utilizar una contraseña de usuario del cliente antes de la caducidad forzada.
historial (history):
  • habilitar (enable): establézcalo en verdadero (true) para habilitar el registro de las contraseñas anteriores de los usuarios del cliente.
  • recuento (count): introduzca el número de contraseñas anteriores que se guardarán en el historial. Cuando un usuario del cliente intente cambiar la contraseña, el sistema no le permitirá introducir una contraseña que ya esté guardada en el historial.
enterprise.user.lockout.defaultAttempts Número de veces que el usuario empresarial puede intentar iniciar sesión. Si se produce un error en el inicio de sesión durante el número de veces especificado, la cuenta se bloquea.
enterprise.user.lockout.defaultDurationSeconds Tiempo durante el cual se bloquea la cuenta de usuario empresarial.
enterprise.user.lockout.enabled Activa o desactiva la opción de bloqueo de los errores de inicio de sesión empresarial.
vco.operator.resetPassword.token.expirySeconds Duración del tiempo, después del cual caduca el vínculo de restablecimiento de contraseña para un usuario operador.
vco.operator.authentication.passwordPolicy

Define la seguridad, el historial y la directiva de caducidad de las contraseñas de los usuarios operadores.

Edite la plantilla JSON en el campo Valor (Value) para definir lo siguiente:

seguridad (strength)

  • longitud mínima (minlength): cantidad mínima de caracteres de la contraseña. La longitud mínima predeterminada de la contraseña es de 8 caracteres.
  • longitud máxima (maxlength): cantidad máxima de caracteres de la contraseña. La longitud máxima predeterminada de la contraseña es de 32 caracteres.
  • número obligatorio (requireNumber): la contraseña debe contener al menos un carácter numérico. Este requisito está habilitado de forma predeterminada.
  • minúscula obligatoria (requireLower): la contraseña debe contener al menos un carácter en minúscula. Este requisito está habilitado de forma predeterminada.
  • mayúscula obligatoria (requireUpper): la contraseña debe contener al menos un carácter en mayúscula. Este requisito no está habilitado de forma predeterminada.
  • especial obligatorio (requireSpecial): la contraseña debe contener al menos un carácter especial (por ejemplo, _@!). El requisito de caracteres especiales no está habilitado de forma predeterminada.
  • excluir más utilizadas (excludeTop): la contraseña no debe coincidir con una lista de las contraseñas más utilizadas. El valor predeterminado es 1000, que representa las 1000 contraseñas más utilizadas, y se puede configurar hasta un máximo de 10 000 de las contraseñas más utilizadas.
  • cantidad máxima de caracteres repetidos (maxRepeatingCharacters): la contraseña no debe incluir una cantidad configurable de caracteres repetidos. Por ejemplo, si la cantidad máxima de caracteres repetidos se establece en "2", Orchestrator rechazará cualquier contraseña con 3 o más, como "Contraseñaaa". El valor predeterminado de -1 indica que esta función no está habilitada.
  • cantidad máxima de caracteres secuenciales (maxSequenceCharacters): la contraseña no debe incluir una cantidad configurable de caracteres secuenciales. Por ejemplo, si la cantidad máxima de caracteres secuenciales se establece en "3", Orchestrator rechazará cualquier contraseña con 4 o más, como "Contraseña1234". El valor predeterminado de -1 indica que esta función no está habilitada.
  • desestimar caracteres de nombre de usuario (disallowUsernameCharacters): la contraseña no debe coincidir con una parte configurable del identificador del usuario. Por ejemplo, si "desestimar caracteres de nombre de usuario" se establece en 5, y un usuario con el nombre de usuario [email protected] intenta configurar una nueva contraseña que incluya 'nombr' u 'ombre' o cualquier cadena de cinco caracteres que coincida con una parte del nombre de usuario, Orchestrator rechazará la nueva contraseña. El valor predeterminado de -1 indica que esta función no está habilitada.
  • cambio de los caracteres de validación (variationValidationCharacters): una cantidad configurable de caracteres de la nueva contraseña debe ser diferente de los de la contraseña anterior. Orchestrator utiliza la distancia de Levenshtein entre dos palabras para determinar la variación entre la nueva contraseña y la anterior. La distancia de Levenshtein es la cantidad mínima de ediciones de un solo carácter (inserciones, eliminaciones o sustituciones) que se necesitan para convertir una palabra en otra. 
  • Si cambio de los caracteres de validación se establece en 4, la distancia de Levenshtein entre la nueva contraseña y la anterior debe ser 4 o más. En otras palabras, la nueva contraseña debe tener 4 variaciones o más con respecto a la contraseña anterior. Por ejemplo, si la contraseña anterior era "casa" y la contraseña nueva es "calle", la distancia de Levenshtein entre estas palabras es 3, ya que solo son necesarias tres ediciones para convertir casa en calle:
    • casa → case (sustitución de "a" por "e")
    • case → cale (sustitución de "s" por "l")
    • cale → calle (inserción de "l").

Dado que la nueva contraseña solo varía en 3 caracteres con respecto a la anterior, se rechazará "calle" como una nueva contraseña para reemplazar a "casa". El valor predeterminado de -1 indica que esta función no está habilitada.

caducidad (expiry):
  • habilitar (enable): establézcalo en verdadero (true) para habilitar la caducidad automática de las contraseñas de los usuarios operadores.
  • días (days): introduzca la cantidad de días que se puede utilizar una contraseña de operador antes de la caducidad forzada.
historial (history):
  • habilitar (enable): establézcalo en verdadero (true) para habilitar el registro de las contraseñas anteriores de los usuarios operadores.
  • recuento (count): introduzca el número de contraseñas anteriores que se guardarán en el historial. Cuando un usuario operador intente cambiar la contraseña, el sistema no le permitirá introducir una contraseña que ya esté guardada en el historial.
operator.user.lockout.defaultAttempts Número de veces que el usuario operador puede intentar iniciar sesión. Si se produce un error en el inicio de sesión durante el número de veces especificado, la cuenta se bloquea.
operator.user.lockout.defaultDurationSeconds Tiempo durante el cual se bloquea la cuenta de usuario operador.
operator.user.lockout.enabled Activa o desactiva la opción de bloqueo de los errores de inicio de sesión del operador.
Tabla 13. API de limitación de velocidad
Propiedad del sistema Descripción
vco.api.rateLimit.enabled Permite a los superusuarios operadores activar o desactivar la función de limitación de velocidad en el nivel del sistema. De forma predeterminada, el valor es Falso (False).
Nota: El limitador de velocidad no está habilitado en serio, es decir, no rechazará las solicitudes de API que superen los límites configurados, a menos que el parámetro de configuración vco.api.rateLimit.mode.logOnly esté desactivado.
vco.api.rateLimit.mode.logOnly

Permite que el superusuario operador utilice el límite de velocidad en el modo LOG_ONLY. Cuando el valor se establece en Verdadero (True) y si se supera un límite de velocidad, esta opción registra solo el error y activa las métricas respectivas, lo que permite a los clientes realizar solicitudes sin limitación de velocidad.

Cuando el valor se establece en Falso (False), se restringe la API de solicitud con las directivas definidas y se devuelve HTTP 429.

vco.api.rateLimit.rules.global

Permite definir un conjunto de directivas aplicables globalmente que utiliza el limitador de velocidad, en una matriz JSON. De forma predeterminada, el valor es una matriz vacía.

Cada tipo de usuario (operador, socio y cliente) puede realizar un máximo de 500 solicitudes cada 5 segundos. El número de solicitudes está sujeto a cambios según el patrón de comportamiento de las solicitudes con velocidad limitada.

La matriz JSON consta de los siguientes parámetros:

Tipos (Types): los objetos de tipo representan diferentes contextos en los que se aplican los límites de velocidad. A continuación, se muestran los diferentes objetos de tipo disponibles:
  • SISTEMA (SYSTEM): especifica un límite global que comparten todos los usuarios.
  • OPERATOR_USER: un límite que se puede establecer en general para todos los usuarios operadores.
  • ENTERPRISE_USER: un límite que se puede establecer en general para todos los usuarios empresariales.
  • MSP_USER: un límite que se puede establecer en general para todos los usuarios de MSP.
  • ENTERPRISE (Empresa): un límite que se puede compartir entre todos los usuarios de una empresa y que se aplica a todas las empresas de la red.
  • PROXY: un límite que se puede compartir entre todos los usuarios de un proxy y se aplica a todos los servidores proxy.
Directivas: agregue reglas a las directivas para aplicar las solicitudes que coinciden con la regla. para ello, configure los siguientes parámetros:
  • Coincidencia (Match): introduzca el tipo de solicitudes que deben coincidir:
    • Todo (All): limite la velocidad de todas las solicitudes que coincidan con uno de los objetos de tipo.
    • MÉTODO (METHOD): limite la velocidad de todas las solicitudes que coincidan con el nombre del método especificado.
    • METHOD_PREFIX: limite la velocidad de todas las solicitudes que coincidan con el grupo de métodos especificado.
  • Reglas (Rules): introduzca los valores de los siguientes parámetros:
    • maxConcurrent: cantidad de trabajos que pueden realizarse al mismo tiempo.
    • depósito (reservoir): cantidad de trabajos que pueden realizarse antes de que el limitador detenga la realización de trabajos.
    • reservoirRefreshAmount: valor para establecer el depósito cuando reservoirRefreshInterval está en uso.
    • reservoirRefreshInterval: por cada milisegundo de reservoirRefreshInterval, el valor de depósito (reservoir) se actualizará automáticamente al valor de reservoirRefreshAmount. El valor de reservoirRefreshInterval debe ser un múltiplo de 250 (5000 para agrupación).

Habilitado (Enabled): cada límite de tipo se puede activar o desactivar mediante la inclusión de la clave habilitado (enabled) en APIRateLimiterTypeObject. De forma predeterminada, el valor de habilitado (enabled) es verdadero (true), incluso si la clave no está incluida. Debe incluir la clave "habilitado": falso ("enabled": false) para desactivar los límites de tipo individuales.

El siguiente ejemplo muestra un archivo JSON de ejemplo con valores predeterminados:

[
    {
        "type": "OPERATOR_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "MSP_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "ENTERPRISE_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    }
]
Nota: Se recomienda no cambiar los valores predeterminados de los parámetros de configuración.
vco.api.rateLimit.rules.enterprise.default Incluye el conjunto predeterminado de directivas específicas de la empresa que se aplican a clientes creados recientemente. Las propiedades específicas del cliente se almacenan en la propiedad empresarial vco.api.rateLimit.rules.enterprise.
vco.api.rateLimit.rules.enterpriseProxy.default Incluye el conjunto predeterminado de directivas específicas de la empresa que se aplican a socios creados recientemente. Las propiedades específicas de los socios se almacenan en la propiedad de proxy empresarial vco.api.rateLimit.rules.enterpriseProxy.

Para obtener más información sobre las limitación de velocidad, consulte Solicitudes de API de limitación de velocidad.

Tabla 14. Diagnósticos remotos
Propiedad del sistema Descripción
network.public.address Especifica la dirección de origen del navegador o el nombre de host de DNS que se utilizan para acceder a la interfaz de usuario de SASE Orchestrator.
network.portal.websocket.address Permite establecer una dirección o un nombre de host de DNS alternativos para acceder a la interfaz de usuario de SASE Orchestrator desde un navegador, si la dirección del navegador no es la misma que el valor de la propiedad del sistema network.public.address.

Dado que los diagnósticos remotos ahora utilizan una conexión WebSocket a fin de garantizar la seguridad web, la dirección de origen del navegador que se utiliza a fin de acceder a la interfaz de usuario de Orchestrator se valida para las solicitudes entrantes. En la mayoría de los casos, esta dirección es la misma que la propiedad del sistema network.public.address. En raras ocasiones, se puede acceder a la interfaz de usuario de Orchestrator con otra dirección/nombre de host de DNS, distintos del valor establecido en la propiedad del sistema network.public.address. En estos casos, puede establecer esta propiedad del sistema en la dirección o el nombre de host de DNS alternativos. De forma predeterminada, este valor no está establecido.

session.options.websocket.portal.idle.timeout Permite establecer la cantidad total de tiempo (en segundos) durante el cual la conexión WebSocket del navegador está activa en un estado inactivo. De forma predeterminada, la conexión WebSocket del navegador está activa durante 300 segundos en un estado inactivo.
Tabla 15. Security Service Edge (SSE)
Propiedad del sistema Descripción
session.options.enableSseService Activa o desactiva la función Security Service Edge (SSE) para los usuarios empresariales.
Tabla 16. Segmentación
Propiedad del sistema Descripción
enterprise.capability.enableSegmentation Activa o desactiva la capacidad de segmentación para los usuarios empresariales.
enterprise.segments.system.maximum Especifica el número máximo de segmentos permitidos para cualquier usuario empresarial. Asegúrese de cambiar el valor de esta propiedad del sistema a 128 si desea habilitar 128 segmentos en SASE Orchestrator para un usuario empresarial.
enterprise.segments.maximum Especifica el valor predeterminado para el número máximo de segmentos permitidos para un usuario empresarial nuevo o existente. El valor predeterminado para cualquier usuario empresarial es 16.
Nota: Este valor debe ser menor o igual que el número definido en la propiedad del sistema, enterprise.segments.system.maximum.
No se recomienda cambiar el valor de esta propiedad del sistema si se desean habilitar 128 segmentos para un usuario empresarial. Alternativamente, puede habilitar Capacidades del cliente (Customer Capabilities) en la página Configuración del cliente (Customer Configuration) para configurar el número necesario de segmentos. Para obtener instrucciones, consulte la sección "Configurar capacidades del cliente" de la Guía del operador de VMware SD-WAN disponible en la Documentación de VMware SD-WAN.
enterprise.subinterfaces.maximum Especifica el número máximo de subinterfaces que se pueden configurar para un usuario empresarial. El valor predeterminado es 32.
enterprise.vlans.maximum Especifica el número máximo de VLAN que se pueden configurar para un usuario empresarial. El valor predeterminado es 32.
session.options.enableAsyncAPI Cuando la escala de segmentos aumenta a 128 segmentos para cualquier usuario empresarial, para evitar que se agote el tiempo de espera de la interfaz de usuario, se puede habilitar la compatibilidad de las API asíncronas en la interfaz de usuario mediante esta propiedad del sistema. El valor predeterminado es true.
session.options.asyncPollingMilliSeconds Especifica el intervalo de sondeo de las API asíncronas en la interfaz de usuario. El valor predeterminado es 5000 milisegundos.
session.options.asyncPollingMaxCount Especifica el número máximo de llamadas a la API getStatus desde la interfaz de usuario. El valor predeterminado es 10.
vco.enterprise.events.configuration.diff.enable Activa o desactiva el registro de eventos "diff" de configuración. Cuando el número de segmentos de un usuario empresarial sea mayor que 4, se desactivará el registro de eventos "diff" de configuración. Puede habilitar el registro de eventos "diff" de configuración mediante esta propiedad del sistema.
Tabla 17. Restablecimiento de contraseña de autoservicio
Propiedad del sistema Descripción
vco.enterprise.resetPassword.twoFactor.mode Define el modo del segundo nivel para la autenticación de restablecimiento de contraseña para todos los usuarios empresariales. Actualmente, solo se admite el modo SMS.
vco.enterprise.resetPassword.twoFactor.required Activa o desactiva la autenticación en dos fases para restablecer la contraseña de los usuarios empresariales.
vco.enterprise.selfResetPassword.enabled Activa o desactiva el restablecimiento de la contraseña de autoservicio de los usuarios empresariales.
vco.enterprise.selfResetPassword.token.expirySeconds Duración del tiempo, después del cual caduca el vínculo de restablecimiento de contraseña de autoservicio para un usuario empresarial.
vco.operator.resetPassword.twoFactor.required Activa o desactiva la autenticación en dos fases para restablecer la contraseña de los usuarios operadores.
vco.operator.selfResetPassword.enabled Activa o desactiva el restablecimiento de contraseña de autoservicio para los usuarios operadores.
vco.operator.selfResetPassword.token.expirySeconds Duración del tiempo, después del cual caduca el vínculo de restablecimiento de contraseña de autoservicio para un usuario operador.
Tabla 18. Enrutamiento de Syslog
Propiedad del sistema Descripción
log.syslog.backend Configuración de integración de syslog del servicio de back-end.
log.syslog.portal Configuración de integración de syslog del servicio del portal.
log.syslog.upload Configuración de integración de syslog del servicio de carga.
log.syslog.lastFetchedCRL.backend Mantiene la última CRL actualizada como una cadena con formato PEM para el syslog del servicio y se actualiza con regularidad.
log.syslog.lastFetchedCRL.portal Mantiene la última CRL actualizada como una cadena con formato PEM para el syslog del servicio y se actualiza con regularidad.
log.syslog.lastFetchedCRL.upload Mantiene la última CRL actualizada como una cadena con formato PEM para el syslog del servicio y se actualiza con regularidad.
Tabla 19. Servicios de TACACS
Propiedad del sistema Descripción
session.options.enableTACACS Activa o desactiva los servicios de TACACS para los usuarios empresariales.
Tabla 20. Autenticación en dos fases
Propiedad del sistema Descripción
vco.enterprise.authentication.twoFactor.enable Activa o desactiva la autenticación en dos fases para los usuarios empresariales.
vco.enterprise.authentication.twoFactor.mode Define el modo para la autenticación de segundo nivel para los usuarios empresariales. Actualmente, solo SMS es compatible como el modo de autenticación de segundo nivel.
vco.enterprise.authentication.twoFactor.require Define la autenticación en dos fases como obligatoria para los usuarios empresariales.
vco.operator.authentication.twoFactor.enable Activa o desactiva la autenticación en dos fases para los usuarios operadores.
vco.operator.authentication.twoFactor.mode Define el modo para la autenticación de segundo nivel para los usuarios operadores. Actualmente, solo SMS es compatible como el modo de autenticación de segundo nivel.
vco.operator.authentication.twoFactor.require Define la autenticación en dos fases como obligatoria para los usuarios operadores.
Tabla 21. Parámetros de túnel para instancias de Edge
Propiedad del sistema Descripción
session.options.enableNsdPkiIPv6Config Activa el modo de autenticación de Certificado (Certificate) y el tipo de identificación local IPv6.
Tabla 22. Configuración de VNF
Propiedad del sistema Descripción
edge.vnf.extraImageInfos Define las propiedades de una imagen de VNF.
Puede introducir la siguiente información para una imagen de VNF, en formato JSON, en el campo Valor (Value):
[
  {
    "vendor": "Vendor Name",
    "version": "VNF Image Version",
    "checksum": "VNF Checksum Value",
    "checksumType": "VNF Checksum Type"
  }
]
Ejemplo de archivo JSON para la imagen de firewall de Check Point:
[
  {
    "vendor": "checkPoint",
    "version": "r80.40_no_workaround_46",
    "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d",
    "checksumType": "sha-1"
  }
]
Ejemplo de archivo JSON para la imagen de firewall de Fortinet:
[
   {
      "vendor": "fortinet",
      "version": "624",
      "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f",
      "checksumType": "sha-1"
   }
]
edge.vnf.metric.record.limit Define el número de registros que se almacenarán en la base de datos.
enterprise.capability.edgeVnfs.enable Permite la implementación de VNF en modelos de Edge compatibles.
enterprise.capability.edgeVnfs.securityVnf.checkPoint Activa el VNF de firewall de redes de Check Point.
enterprise.capability.edgeVnfs.securityVnf.fortinet Activa el firewall de VNF de las redes de Fortinet.
enterprise.capability.edgeVnfs.securityVnf.paloAlto Activa el VNF de firewall de Palo Alto Networks.
session.options.enableVnf Activa la función VNF.
vco.operator.alert.edgeVnfEvent.enable Activa o desactiva globalmente las alertas de operador de los eventos de VNF de Edge.
vco.operator.alert.edgeVnfInsertionEvent.enable Activa o desactiva globalmente las alertas de operador de los eventos de inserción de VNF de Edge.
edge.vnf.extraImageInfos. Permite seleccionar la imagen de VNF de Check Point.
Tabla 23. VPN
Propiedad del sistema Descripción
vpn.disconnect.wait.sec El intervalo de tiempo que el sistema esperará antes de desconectar un túnel VPN.
vpn.reconnect.wait.sec El intervalo de tiempo que el sistema esperará antes de volver a conectar un túnel VPN.
Tabla 24. Banner de advertencia
Propiedad del sistema Descripción
login.warning.banner.message Esta propiedad opcional del sistema permite al operador configurar y mostrar un mensaje de aviso y de advertencia de consentimiento específico para el administrador seguridad sobre el uso de SASE Orchestrator. El mensaje de advertencia se muestra en SASE Orchestrator antes de que el usuario inicie sesión.

Para obtener instrucciones sobre cómo configurar esta propiedad del sistema, consulte Configurar el aviso y el mensaje de advertencia de consentimiento para SD-WAN Orchestrator.

Tabla 25. Zscaler
Propiedad del sistema Descripción
session.options.enableZscalerProfileAutomation Permite configurar los ajustes de Zscaler en el nivel del perfil.