Para implementar el servicio de VMware Secure Access mediante SD-WAN Orchestrator:

Requisitos previos

  • Asegúrese de haber completado la configuración requerida en Workspace ONE UEM. Para obtener más información, consulte Introducción a la implementación de VMware Secure Access.
  • Asegúrese de haber establecido el número máximo de PoP para Secure Access en SD-WAN Orchestrator. El número máximo depende del número de PoP de VMware SASE implementados en SD-WAN Orchestrator. Para establecer el número máximo de PoP, vaya a Configurar (Configure) > Cliente (Customer) > Configuración del cliente (Customer Configuration) > Acceso al servicio (Service Access).

Procedimiento

  1. Inicie sesión en SD-WAN Orchestrator como usuario empresarial y, a continuación, haga clic en Abrir nueva interfaz de usuario de Orchestrator (Open New Orchestrator UI).
  2. En la ventana emergente modal Nueva interfaz de usuario de Orchestrator (New Orchestrator UI) que se muestra, haga clic en Iniciar nueva interfaz de usuario de Orchestrator (Launch New Orchestrator UI).
  3. En la lista desplegable Aplicaciones empresariales de SD-WAN (Enterprise Applications SD-WAN), seleccione Secure Access.
  4. En la página Secure Access que se muestra, haga clic en + Nuevo servicio (+ New Service).
    Se mostrará el asistente Acceso remoto (Remote Access).
  5. En la pantalla Configuración de UEM (UEM Configuration) del asistente Acceso remoto (Remote Access), complete las siguientes configuraciones:
    1. En el campo Nombre de DNS (DNS Name) , introduzca el nombre de host que proporcionó al configurar el túnel de Workspace ONE UEM. Consulte el paso 4 de Introducción a la implementación de VMware Secure Access.
    2. En el campo URL de UEM (UEM URL), introduzca la URL de API de Workspace ONE UEM relacionada con su entorno de UEM.
    3. En el campo Identificador de grupo de org. de UEM (UEM Org Group ID), introduzca el identificador de grupo de organización que creó durante la configuración de Workspace ONE UEM. Consulte el paso 1 de Introducción a la implementación de VMware Secure Access.
    4. En la sección Credenciales de WS1 UEM (WS1 UEM Credentials), introduzca el nombre de usuario y la contraseña que estableció al crear la cuenta de administrador en Workspace ONE UEM Console. Consulte el paso 2 de Introducción a la implementación de VMware Secure Access.
    5. Seleccione la casilla de verificación Sí (Yes) para configurar el nombre de host del túnel de UEM dentro del grupo de organización que creó.
    6. Haga clic en Comprobar (Check).
      Se realizará una llamada de API al servidor UEM para validar los detalles introducidos. Una vez superada correctamente la validación, haga clic en Siguiente (Next).
  6. En la pantalla Configuración empresarial y de red (Enterprise and Network settings) del asistente Acceso remoto (Remote Access), complete las siguientes configuraciones:
    1. En la lista desplegable Servidor de DNS empresarial (Enterprise DNS Server), seleccione el servidor de DNS necesario configurado para la empresa. El valor predeterminado es Google u OpenDNS.
    2. En la lista desplegable Segmento de SD-WAN (SD WAN Segment) , seleccione el segmento necesario para el que desea habilitar el servicio de Secure Access. El valor predeterminado es Segmento global (Global Segment).
    3. En la sección Rangos de IP empresarial (Enterprise IP Ranges), introduzca los siguientes detalles:
      • Subred del cliente (Customer Subnet): es una subred que pertenece al cliente y que los usuarios remotos utilizarán al acceder a la red. Esta subred del cliente funciona como una superred que se dividirá y se distribuirá entre tantos PoP de SASE como el usuario haya configurado para su implementación (se pueden configurar hasta cinco PoP).
      • Bits de subred (Subnet Bits): configure de 1 a 3 bits de subred para dividir la subred del cliente en subredes individuales que se puedan asignar a los PoP.
      En la siguiente tabla, se muestra la relación entre la subred del cliente y los bits de subred:
      Subred del cliente Bits de subred Número de subredes Subred por PoP
      10.10.1.0/24 1 2
      • 10.10.1.0/25
      • 10.10.1.128/25
      10.10.1.0/24 2 4
      • 10.10.1.0/26
      • 10.10.1.64/26
      • 10.10.1.128/26
      • 10.10.1.192/26
      10.10.1.0/24 3 8
      • 10.10.1.0/27
      • 10.10.1.32/27
      • 10.10.1.64/27
      • 10.10.1.96/27
      • 10.10.1.128/27
      • 10.10.1.160/27
      • 10.10.1.192/27
      • 10.10.1.224/27
      El número de bits de subred elegidos determina el número de subredes que se crearán a partir de la subred del cliente. Como se indicó en la tabla anterior, si el usuario configura:
      • Un bit de subred, la subred del cliente se divide en dos subredes, que se pueden asignar a dos PoP.
      • Dos bits de subred, la subred del cliente se divide en cuatro subredes, que se pueden asignar a cuatro PoP.
      • Tres bits de subred, la subred del cliente se divide en ocho subredes, que se pueden asignar a un máximo de cinco PoP y tres subredes permanecen sin asignar.

      En el siguiente diagrama, se describe la relación entre la subred del cliente y los bits de subred:

    4. Haga clic en Siguiente (Next).
  7. En la pantalla Selección de PoP (PoP Selection) del asistente Acceso remoto (Remote Access), en la lista desplegable Instancias de seleccionadas (Selected Instances), seleccione la ubicación PoP en la que se creará una instancia del servidor de túnel. Haga clic en Siguiente (Next).
  8. En la pantalla Seguridad adicional (Additcional Security) (opcional) del asistente Acceso remoto (Remote Access) , puede habilitar Cloud Web Security en Secure Access.
    Si se habilitó Cloud Web Security, asegúrese de que se haya creado una regla de omisión o exención de la inspección de SSL (capa de sockets seguros) en la directiva de CWS en la sección Inspección de SSL (SSL Inspection). El comportamiento predeterminado de la inspección de SSL es descifrar todo el tráfico cifrado. La creación de reglas de SSL se detalla en la Guía de configuración de Cloud Web Security. La regla abarcará el tráfico de destino enviado al dominio awmdm.com y garantizará que CWS no descifre este tráfico. Haga clic en Siguiente (Next).
  9. En la pantalla Nombre, descripción, etiquetas (Name, Description, Tags) del asistente Acceso remoto (Remote Access) , introduzca el nombre del servicio de Secure Access, agregue etiquetas o una descripción, si es necesario, y haga clic en Finalizar (Finish).

Resultados

Poner en línea el servidor de túnel y establecer la conectividad con el PoP de SASE puede tardar unos minutos. El estado de las implementaciones indicará En curso (In Progress) mientras se lleva a cabo el aprovisionamiento. Actualice la página para comprobar el estado. Una vez que se establezca el servidor de túnel, el estado de la implementación será Completado (Completed).

Qué hacer a continuación

Debe inscribir sus dispositivos con la aplicación Workspace ONE Intelligent Hub. Consulte la sección Inscribir dispositivos con Workspace ONE Intelligent Hub.