Después de crear un cliente, configure las opciones de funciones y los ajustes a los que puede acceder el cliente. Como operador, puede seleccionar los ajustes que el cliente pueden modificar.

Al crear un nuevo cliente, se le redirige a la página Configuración del cliente (Customer Configuration), donde puede configurar los ajustes del cliente. También puede desplazarse hasta la página Configuración del cliente (Customer Configuration) directamente desde el portal de operadores siguiendo los pasos que se indican a continuación:

Procedimiento

  1. En la página de opciones de supervisión y configuración, seleccione un cliente y, en el encabezado superior, haga clic en SD-WAN > Configuración global (Global Settings).
  2. En el menú de la izquierda, haga clic en Configuración del cliente (Customer Configuration). Se muestra la página siguiente:
    La sección Configuración del servicio (Service Configuration) incluye los siguientes servicios:
    • SD-WAN
    • Edge Network Intelligence
    • Cloud Web Security
    • Secure Access
    • Hub de nube (Cloud Hub)

    Haga clic en el botón Activar (Turn on) para activar cada servicio. Haga clic en los puntos suspensivos verticales presentes en la esquina superior derecha de cada mosaico para desactivar o configurar el servicio. También puede utilizar la opción Configurar (Configure) que se encuentra en la esquina inferior derecha de cada mosaico para configurar el servicio correspondiente. Cada mosaico muestra el resumen de configuración.

    Nota: Al seleccionar la opción Desactivar (Turn off), aparece una ventana emergente que solicita su confirmación. Seleccione la casilla de verificación y haga clic en Desactivar servicio (Turn Off Service).
    1. SD-WAN: al hacer clic en la opción Configurar, se muestra la siguiente ventana emergente. Configure los ajustes y haga clic en Actualizar (Update).
      Opción Descripción
      Dominio (Domain) Introduzca el nombre de dominio que se utilizará para activar la autenticación de inicio de sesión único (SSO) para Orchestrator. Esto también es necesario para activar Edge Network Intelligence para el cliente.
      Autenticación de Edge predeterminada (Default Edge Authentication)

      Elija la opción predeterminada para autenticar las instancias de Edge asociadas al cliente, en el menú desplegable.

      • Certificado desactivado (Certificate Deactivated): la instancia de Edge utiliza un modo de autenticación con una clave previamente compartida.
      • Adquirir certificado (Certificate Acquire): esta opción está seleccionada de forma predeterminada y le indica a la instancia de Edge que adquiera un certificado de la entidad de certificación de SASE Orchestrator; para ello debe generar un par de claves y enviar una solicitud de firma del certificado a Orchestrator. Una vez adquirido el certificado, la instancia de Edge lo utiliza para autenticarse en SASE Orchestrator y para establecer túneles VCMP.
        Nota: Después de adquirir el certificado, la opción se puede actualizar a Certificado requerido (Certificate Required).
      • Certificado requerido (Certificate Required): Edge utiliza el certificado de PKI. Los operadores pueden cambiar la ventana de tiempo de renovación de certificados para instancias de Edge mediante la propiedad del sistema edge.certificate.renewal.window.
      Licencias de Edge (Edge Licensing) Se muestran las licencias de Edge existentes. Haga clic en Agregar (Add) para agregar o eliminar las licencias.
      Nota: Los tipos de licencia se pueden utilizar en varias instancias de Edge. Se recomienda proporcionar a los clientes acceso a todos los tipos de licencias para que coincidan con la versión y la región. Para obtener más información, consulte Licencias de Edge.
      Permitir que el cliente administre software (Allow Customer to Manage Software) Seleccione la casilla de verificación si desea permitir que un superusuario empresarial administre las imágenes de software disponibles para la empresa. Para obtener más información, consulte el tema Administración de imágenes de Edge en la Guía de administración de VMware SD-WAN.
      Perfil de operador (Operator Profile) Seleccione un perfil de operador para asociarlo con el cliente en el menú desplegable. Este campo no está disponible si Permitir que el cliente administre software (Allow Customer to Manage Software) está seleccionado. Para obtener más información sobre los perfiles de operador, consulte Administrar perfiles de operador
      Cantidad máxima de segmentos (Maximum Number of Segments) Introduzca el número máximo de segmentos que se pueden configurar. El rango es de 1 a 16 y el valor predeterminado es 16.
    2. Edge Network Intelligence: al hacer clic en la opción Configurar (Configure) se muestra la siguiente ventana emergente. Configure los ajustes y haga clic en Actualizar (Update).
      Nota: Puede seleccionar esta opción solo cuando el servicio de SD-WAN está activado.
      Opción Descripción
      Dominio (Domain) Introduzca el nombre de dominio que se utilizará para activar la autenticación de inicio de sesión único (SSO) para Orchestrator. Esto también es necesario para activar Edge Network Intelligence para el cliente.
      Nodos de análisis (Analytics Nodes) Introduzca el número máximo de instancias de Edge que se pueden aprovisionar como nodos de análisis. De forma predeterminada, se selecciona la opción Sin límite (Unlimited).
      Acceso a la función (Feature Access) Seleccione la casilla de verificación Corrección automática (Self Healing) para permitir que Edge Network Intelligence proporcione recomendaciones para mejorar el rendimiento.
    3. Cloud Web Security: este servicio solo está disponible cuando se selecciona un Grupo de puertas de enlace (Gateway Pool) con una función de Cloud Web Security activada. Cloud Web Security es un servicio alojado en la nube que protege a los usuarios y a la infraestructura cuando acceden a aplicaciones de Internet y SaaS. Para obtener más información, consulte la Guía de configuración de VMware Cloud Web Security. Al hacer clic en la opción Configurar (Configure), se muestra la siguiente ventana emergente:

      Seleccione la edición requerida y haga clic en Actualizar (Update). Standard Edition incluye filtrado de URL, inspección de SSL, antivirus, autenticación, espacio aislado básico, visibilidad de CASB en línea. Advanced Edition incluye filtrado de URL, inspección de SSL, antivirus, autenticación, espacio aislado básico, controles y visibilidad de CASB en línea, controles y visibilidad de DLP en línea.

    4. Secure Access: este servicio solo está disponible cuando se selecciona un Grupo de puertas de enlace (Gateway Pool) con una función de Cloud Web Security activada. La solución Secure Access combina los servicios de VMware SD-WAN y Workspace ONE para proporcionar un acceso coherente, óptimo y seguro a las aplicaciones en la nube a través de una red de nodos de servicios administrados a nivel mundial. Para obtener más información, consulte la Guía de configuración de VMware Secure Access. Al hacer clic en la opción Configurar (Configure), se muestra la siguiente ventana emergente:

      Introduzca el número máximo de PoP y haga clic en Actualizar (Update).

    5. Hub de nube (Cloud Hub): este servicio permite acceder a la cuenta de MCS (servicio de varias nubes). Para obtener más información, consulte el tema Implementación automatizada de hub de nube de NVA en Azure vWAN Hub en la Guía de administración de SD-WAN.
  3. A continuación se muestran las opciones de configuración adicionales disponibles en la página Configuración del cliente (Customer Configuration):
    Opción Descripción
    Global
    Visualización del acuerdo del usuario (User Agreement Display) Seleccione una de las siguientes opciones en el menú desplegable:
    • Heredar (Inherit)
    • Anular para ocultar (Override to Hide)
    • Anular para mostrar (Override to Show)
    Nota:
    Este campo solo está disponible cuando la propiedad del sistema session.options.enableUserAgreements se establece en Verdadera (True).
    Acceso a la función (Feature Access) Proporciona acceso a las funciones seleccionadas. Seleccione una o varias casillas de verificación de la siguiente lista a fin de activar estas funciones para el cliente:
    • Autenticación empresarial (Enterprise Auth): de forma predeterminada, solo el operador puede activar o desactivar la autenticación en dos fases para una empresa. Si selecciona esta casilla de verificación, los administradores empresariales pueden configurar la autenticación en dos fases por su cuenta. Esta opción también controla la activación y desactivación del inicio de sesión único (SSO).
    • Habilitar servicio Premium (Enable Premium Service): esta opción está seleccionada de forma predeterminada. Servicio Premium hace referencia a la función de corrección a petición que es una parte principal de la optimización dinámica de múltiples rutas (DMPO) de SD-WAN. DMPO se utiliza para todo el tráfico que atraviesa una puerta de enlace de SD-WAN. Cuando se selecciona Servicio Premium (Premium Service), la instancia de Gateway utiliza la Corrección de errores de reenvío (Forward Error Correction, FEC) para el tráfico del cliente afectado por altos niveles de vibración o pérdida de vínculos WAN, y que no se puede dirigir a un vínculo WAN de mejor calidad. Cuando no se selecciona Servicio Premium (Premium Service), el tráfico sigue atravesando SD-WAN Gateway y se beneficia de otros componentes de DMPO, como la supervisión continua, la dirección dinámica de aplicaciones y la transmisión de tráfico seguro. Sin embargo, el tráfico afectado por altos niveles de vibración o pérdida de vínculos WAN no se beneficia con la corrección de errores por parte de Gateway. Para obtener más información, consulte el tema Optimización dinámica de múltiples rutas (DMPO) en la Guía de administración de VMware SD-WAN.
    • Personalización de funciones (Role Customization): permite a un superusuario empresarial personalizar los privilegios de función de otros usuarios empresariales.
    • Seguimiento inverso de rutas (Route Backtracking): permite al dispositivo elegir la mejor ruta en el orden de longitud del prefijo.
    • Panel de ayuda contextual en el producto (In-product Contextual Help Panel): proporciona acceso al panel de "Ayuda dentro del producto" (In Product Help) en Orchestrator. Esta función está desactivada de forma predeterminada. Un operador debe activar esta opción para los clientes empresariales.
    • Habilitar el registro de firewall en Orchestrator (Enable Firewall Logging to Orchestrator): de forma predeterminada, las instancias de Edge no pueden enviar sus registros de firewall a Orchestrator. Seleccione esta casilla de verificación para permitir que una instancia de Edge envíe los registros de firewall a Orchestrator.
    • Calidad de la experiencia personalizable (Customizable QoE): permite al cliente configurar los valores de umbral de latencia mínimo y máximo para las categorías de aplicaciones de voz, video y transaccional de una instancia de Edge.
    • Habilitar la interfaz de usuario clásica de Orchestrator (Enable Classic Orchestrator UI): permite al cliente cambiar de la interfaz de usuario Angular de Orchestrator a la interfaz de usuario clásica de Orchestrator. Esta opción solo está disponible cuando la propiedad del sistema session.options.enableClassicOrchestrator se establece en Verdadera (True).
    Delegar la administración al cliente (Delegate Management To Customer) Permite al cliente modificar los ajustes de la propiedad seleccionada. Las siguientes dos propiedades siempre están visibles para los clientes:
    • Habilitar asignación de CoS (Enable CoS Mapping): permite configurar la asignación de clase de servicio al configurar una directiva empresarial.
    • Habilitar la limitación de velocidad de servicio (Enable Service Rate Limiting): permite limitar la velocidad de los servicios en una directiva empresarial.
    Grupo de puertas de enlace (Gateway Pool)
    Grupo de puertas de enlace actual (Current Gateway Pool) Muestra el grupo de puertas de enlace actual asociado con el cliente seleccionado. Si es necesario, puede seleccionar un grupo de puertas de enlace diferente disponible en el menú desplegable y hacer clic en Guardar cambios (Save Changes).
    Puertas de enlace en este grupo (Gateways in this Pool) Muestra los detalles de la puerta de enlace en el grupo actual.
    Entrega a socio (Partner Hand Off) Al activar la opción Grupo de puertas de enlace (Gateway Pool), se muestra la sección Configurar entrega (Configure Hand Off). Si las puertas de enlace disponibles en el grupo se han asignado con la función de puerta de enlace de socio, puede entregarlas a los socios. Para ver detalles, consulte Configurar la entrega de socio.
    Directiva de seguridad (Security Policy)
    Hash De forma predeterminada, no hay ningún algoritmo de autenticación configurado para el encabezado de VPN, ya que AES-GCM es un algoritmo de cifrado autenticado. Al seleccionar la casilla de verificación Desactivar GCM (Turn off GCM), puede seleccionar una de las siguientes opciones como algoritmo de autenticación para el encabezado de VPN, en la lista desplegable:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    Cifrado (Encryption) Seleccione AES 128 o AES 256 como el tamaño de la clave del algoritmo para cifrar los datos. El modo de algoritmo de cifrado predeterminado es AES 128.
    Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) que se utilizará al intercambiar una clave compartida previamente. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5, 14, 15, 16, 19, 20 y 21.
    Nota:
    • Los grupos de DH 19, 20 y 21 están disponibles a partir de la versión 5.2.0.
    • Se recomienda utilizar el Grupo DH (DH Group) 14, que es el valor predeterminado.
    PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los grupos de PFS compatibles son 2, 5, 14, 15, 16, 19, 20 y 21. Los grupos de PFS 19, 20 y 21 están disponibles a partir de la versión 5.2.0. De forma predeterminada, PFS está desactivado.
    Desactivar GCM (Turn off GCM) Seleccione esta casilla de verificación para activar Hash y seleccione un algoritmo de autenticación para el encabezado de VPN.
    Duración de SA de IPsec (min) (IPSec SA Lifetime Time(min)) Tiempo en el que se inicia la regeneración de claves del protocolo de seguridad de Internet (Internet Security Protocol, IPSec) para las instancias de Edge. La duración mínima de IPsec es de 3 minutos y la duración máxima de IPsec, de 480 minutos. El valor predeterminado es 480 minutos.
    Nota: No se recomienda configurar un valor de duración bajo para IPsec (menos de 10 minutos), ya que se puede interrumpir el tráfico en algunas implementaciones debido a la regeneración de claves. Los valores de duración bajos son solo para fines de depuración.
    Duración de SA de IKE (IKE SA Lifetime) (min) Tiempo en el que se inicia la regeneración de claves de intercambio de claves de Internet (Internet Key Exchange, IKE) para las instancias de Edge. La duración mínima de IKE es de 10 minutos y la duración máxima de IKE, de 1440 minutos. El valor predeterminado es 1440 minutos.
    Nota: No se recomienda configurar valores de duración bajos para IKE (menos de 30 minutos), ya que se puede interrumpir el tráfico en algunas implementaciones debido a la regeneración de claves. Los valores de duración bajos son solo para fines de depuración.
    Reemplazo de ruta predeterminada segura (Secure Default Route Override) Seleccione la casilla de verificación para que el destino del tráfico que coincide con una ruta predeterminada segura (ya sea ruta estática o ruta BGP) de una puerta de enlace de socio se pueda anular mediante Directiva empresarial (Business Policy).
    Virtualización de funciones de red de Edge (Edge Network Function Virtualization): permite activar NFV en las instancias de Edge y que los clientes implementen VNF de terceros en plataformas de Edge listas para el servicio. Actualmente, los modelos de plataforma Edge listos para el servicio son 520v y 840. Como usuario operador, cuando activa Edge NFV, los clientes pueden configurar e implementar VNF y licencias de VNF desde sus servicios de red.
    NFV de Edge (Edge NFV) Seleccione esta opción para activar la capacidad de implementar VNF en las instancias de Edge. Después de implementar una o varias VNF en las instancias de Edge, no se puede desactivar esta opción.
    Instancias de VNF de seguridad (Security VNFs) Seleccione las casillas de verificación correspondientes para implementar las instancias de VNF de seguridad correspondientes en las instancias de Edge. Para obtener más información, consulte el tema VNF de seguridad en la Guía de administración de VMware SD-WAN.
    Configuración de SD-WAN
    Cálculo de costes de OFC (OFC Cost Calculation) Seleccione la casilla de verificación requerida:
    • Cálculo de costes distribuidos (Distributed Cost Calculation): seleccione esta casilla de verificación para delegar el cálculo de costes de ruta a instancias de Edge/Gateway.
      Nota: Esta opción solo está disponible para las instancias de Edge o Gateway con la versión 3.4.0 y posteriores. Después de activar Cálculo de costes distribuidos (Distributed Cost Calculation), se recomienda actualizar las rutas desplazándose hasta Configurar (Configure) > Control de flujo superpuesto (Overlay Flow Control) en el servicio SD-WAN del portal de empresas. Para obtener más información, consulte Configurar el cálculo de costes distribuidos.
    • Usar directiva de NSD (Use NSD Policy): seleccione esta casilla de verificación para utilizar la directiva de NSD para enrutar el cálculo de costes a las instancias de Edge o Gateway.
      Nota: Esta opción solo está disponible para las instancias de Edge o Gateway con la versión 4.2.0 y posteriores.
    Cálculo de ruta con varias etiquetas DSCP por flujo Esta función se utiliza cuando el tráfico del usuario original se encapsula en otro túnel (GRE o IPsec) y las etiquetas DSCP se guardan en el encabezado IP nuevo. La función activa el cálculo de rutas para un único flujo (mismo origen/destino) con varias etiquetas DSCP y ofrece diferenciación de rutas en función de los valores de DSCP en el flujo.

    Seleccione la casilla Incluir valor de DSCP como parte de la búsqueda de flujos (Include DSCP value as part of flow lookup) para incluir valores de DSCP en la búsqueda de flujos y el cálculo de rutas. Para obtener más información, consulte Configurar el cálculo de ruta con varias etiquetas DSCP por flujo.

    Nota: Este campo solo está disponible cuando la propiedad del sistema session.options.enableFlowParametersConfig se establece en Verdadera (True).
    Acceso a la función
    Firewall con estado (Stateful Firewall) Active la casilla de verificación Firewall con estado (Stateful Firewall) para anular la configuración del firewall con estado activada en la instancia de Edge empresarial.
    Servicios de firewall mejorados (Enhanced Firewall Services) Seleccione la casilla de verificación Servicios de firewall mejorados (Enhanced Firewall Services) para activar los servicios de firewall mejorados mediante la funcionalidad de firewall en VMware SASE Orchestrator.
    Nota: Para que los servicios de firewall mejorados (EFS) funcionen, asegúrese de que Edge esté actualizado a la versión 5.2.0.0.
    Nota: Si se anula la selección de esta opción, solo se desactivará la función EFS en la interfaz de usuario. Si desea desactivar la función EFS para un cliente existente, primero debe desactivar la función EFS en el servicio SD-WAN del portal de empresas. Para ello, desplácese hasta Configurar > Perfiles/Instancias de Edge > Firewall > Control de función de firewall > Seguridad mejorada (Configure > Profiles/Edges > Firewall > Firewall Feature Control > Enhanced Security) y, a continuación, anule la selección de esta casilla de verificación en Configuración global (Global Settings).
    Para obtener más información sobre cómo configurar los diferentes servicios de seguridad mejorada y cómo asociarlos a una regla de firewall, consulte el tema Configurar servicios de seguridad mejorada en la Guía de administración de VMware SD-WAN.
  4. Haga clic en Guardar cambios (Save Changes).
    Nota: Cuando se modifican los ajustes de la Directiva de seguridad (Security Policy), los cambios pueden causar interrupciones en los servicios actuales. Además, estos ajustes pueden reducir el rendimiento general y aumentar el tiempo necesario para configurar el túnel VCMP. Esto puede afectar los tiempos de configuración del túnel dinámico de sucursal a sucursal y la recuperación de un error de Edge en un clúster.