La fonctionnalité d'analyse est intégrée en mode natif dans VMware SD-WAN Edge pour la collecte de données en ligne. Toutefois, par défaut, l'analyse est désactivée pour les dispositifs Edge. Les administrateurs d'entreprise peuvent créer des dispositifs Edge d'analyse uniquement lorsque la fonctionnalité d'analyse est activée.

Pour créer un dispositif SD-WAN Edge avec l'analyse, procédez comme suit :

Conditions préalables

  • Assurez-vous que toutes les propriétés système nécessaires pour activer l'analyse sont correctement définies dans le dispositif SASE Orchestrator. Pour plus d'informations, reportez-vous à la section Activer VMware Edge Intelligence sur un dispositif VMware SASE Orchestrator du Guide de l'opérateur de VMware SD-WAN disponible à l'adresse https://docs.vmware.com/fr/VMware-SD-WAN/index.html.
  • Assurez-vous que la fonctionnalité d'analyse est activée pour le client avant de provisionner un dispositif Edge d'analyse.
  • SASE Orchestrator doit exécuter la version 5.0.1.0 et les dispositifs Dispositifs SD-WAN Edge doivent exécuter le code 4.3.1 au minimum. Pour examiner l'image logicielle installée sur chaque dispositif Edge, accédez à Configurer (Configure) > Dispositifs Edge (Edges). Le tableau sur la page Dispositifs Edge (Edges) comporte une colonne qui affiche la version logicielle du dispositif Edge par client.
  • Si le dispositif Edge utilise la version 4.2, assurez-vous qu'il dispose d'une interface LAN active et annoncée ou utilisez la build logicielle MGMT-IP spéciale. Sinon, le dispositif Edge ne peut pas envoyer de mesures au serveur principal EI.

Procédure

  1. Dans le service SD-WAN du portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).
  2. Dans l'écran Dispositifs Edge (Edges), cliquez sur Ajouter un dispositif Edge (Add Edge).
    L'écran Provisionner un dispositif Edge (Provision an Edge) s'affiche.
  3. Vous pouvez configurer les options suivantes :
    Option Description
    Mode Sélectionnez un mode :
    • Dispositif Edge SD-WAN (SD-WAN Edge) : permet d'utiliser les capacités de surveillance, de diagnostics et de configuration notamment l'isolation des pannes et les analyses spécifiques de l'application, qui peuvent vous alerter lorsqu'un incident se produit sur votre dispositif Edge.
    • Dispositif SD-WAN Edge avec l'analyse activée (SD-WAN Edge with Analytics Enabled) : permet l'accès à toutes les analyses du dispositif Edge ainsi qu'à une suite complète de fonctionnalités d'analyse pour les filiales.
    • Edge d'analyse uniquement (Analytics Only Edge) : permet de surveiller la santé, les performances et la sécurité de votre réseau LAN, ainsi que de résoudre les problèmes.
      Note : Vous devez supprimer le dispositif Edge et le reconfigurer pour qu'il redevienne un SD-WAN Edge.
    Nom Entrez un nom unique pour le dispositif Edge.
    Modèle Sélectionnez un modèle d'Edge dans le menu déroulant.
    Profil Sélectionnez un profil à attribuer au dispositif Edge dans le menu déroulant.
    Note : Si un Profil de préenrôlement de dispositif Edge (Edge Staging Profile) s'affiche en tant qu'option en raison d'une activation automatique du dispositif Edge, cela indique que ce profil est utilisé par un dispositif Edge récemment attribué, mais qui n'a pas été configuré avec un profil de production.
    Licence Edge (Edge License) Sélectionnez une licence Edge dans le menu déroulant. La liste affiche les licences attribuées à l'entreprise par l'opérateur.
    Authentification

    Choisissez le mode d'authentification dans le menu déroulant :

    • Certificat désactivé (Certificate Deactivated) : le dispositif Edge utilise un mode d'authentification par clé prépartagée.
      Avertissement : Ce mode n'est recommandé pour aucun déploiement client.
    • Acquisition de certificat (Certificate Acquire) : ce mode, sélectionné par défaut, est recommandé pour tous les déploiements clients. Avec le mode Acquisition de certificat (Certificate Acquire), les certificats sont délivrés au moment de l'activation du dispositif Edge et renouvelés automatiquement. Orchestrator invite le dispositif Edge à obtenir un certificat auprès de l'autorité de certification de SASE Orchestrator en générant une paire de clés et en envoyant une demande de signature de certificat à Orchestrator. Une fois le certificat acquis, le dispositif Edge l'utilise pour l'authentification auprès de SASE Orchestrator et pour l'établissement de tunnels VCMP.
      Note : Après l'acquisition du certificat, l'option peut être mise à jour sur Certificat requis (Certificate Required) si nécessaire.
    • Certificat requis (Certificate Required) : ce mode n'est approprié que pour les entreprises clientes « statiques ». Une entreprise statique est définie comme une entreprise dans laquelle seuls quelques nouveaux dispositifs Edge sont susceptibles d'être déployés et aucune nouvelle modification orientée PKI n'est prévue.
      Important : L'option Certificat requis (Certificate Required) ne possède aucun avantage en matière de sécurité par rapport à Acquisition de certificat (Certificate Acquire). Les deux modes sont tout aussi sécurisés. Un client qui utilise Certificat requis (Certificate Required) doit uniquement le faire pour les raisons décrites dans cette section.
      Le mode Certificat requis (Certificate Required) signifie qu'aucun signal de pulsation du dispositif Edge n'est accepté sans certificat valide.
      Attention : L'utilisation de ce mode peut entraîner des pannes du dispositif Edge lorsqu'un client n'est pas informé de cette application stricte.
      Ce mode permet au dispositif Edge d'utiliser le certificat PKI. Pour modifier la fenêtre de temps de renouvellement du certificat, les opérateurs peuvent modifier les propriétés système d'Orchestrator. Pour plus d'informations, contactez votre opérateur.
    Note :
    • Avec la fonctionnalité Orchestrator de Bastion activée, le mode d'authentification des dispositifs Edge qui doivent être transférés vers le dispositif Orchestrator de Bastion doit être défini sur Acquisition de certificat (Certificate Acquire) ou Certificat requis (Certificate Required).
    • Lorsqu'un certificat du dispositif Edge est révoqué, le dispositif Edge est désactivé et doit passer par le processus d'activation. La conception QuickSec actuelle vérifie la validité du délai de la liste de révocation des certificats (CRL, Certificate Revocation List). La validité du délai CRL doit correspondre au délai actuel des dispositifs Edge pour que la CRL ait une incidence sur la nouvelle connexion établie. Pour appliquer cela, veillez à mettre à jour correctement le délai d'Orchestrator pour qu'il corresponde à la date et à l'heure des dispositifs Edge.
    Chiffrer les secrets du périphérique (Encrypt Device Secrets) Cochez la case Activer (Enable) pour permettre au dispositif Edge de chiffrer les données sensibles sur toutes les plates-formes. Cette option est également disponible sur la page Configurer (Configure) > Dispositifs Edge (Edges) > Présentation (Overview) du service Enterprise SD-WAN.
    Note : Pour les dispositifs Edge versions 5.2.0 et ultérieures, avant de désactiver cette option, vous devez d'abord désactiver le dispositif Edge à l'aide d'actions à distance. Cela entraîne le redémarrage du dispositif Edge.
    Haute disponibilité (High Availability) Cochez la case Activer (Enable) pour appliquer la haute disponibilité (HA). Vous pouvez installer les dispositifs Edge en tant que périphérique autonome unique ou couplé avec un autre dispositif Edge pour assurer la prise en charge de la haute disponibilité (HA).
    Nom du contact local (Local Contact Name) Entrez le nom du contact du site pour le dispositif Edge.
    E-mail du contact local (Local Contact Email) Entrez l'adresse e-mail du contact du site pour le dispositif Edge.
  4. Entrez toutes les informations requises et cliquez sur Suivant (Next) pour configurer les options supplémentaires suivantes :
    Note : Le bouton Suivant (Next) n'est activé que lorsque vous avez saisi tous les détails requis.
    Option Description
    Numéro de série Entrez le numéro de série du dispositif Edge. Lorsque cette valeur est spécifiée, le dispositif Edge doit afficher ce numéro de série lors de l'activation.
    Note : Lors du déploiement de dispositifs VMware SD-WAN Edge virtuels sur des dispositifs Edge AWS, veillez à utiliser l'ID d'instance comme numéro de série du dispositif Edge.
    Description Entrez une description appropriée.
    Emplacement Pour définir l'emplacement du dispositif Edge, cliquez sur le lien Définir l'emplacement (Set Location). S'il n'est pas spécifié, l'emplacement est détecté automatiquement à partir de l'adresse IP lorsque le dispositif Edge est activé.
  5. Cliquez sur Ajouter un dispositif Edge (Add Edge).
    Un dispositif Edge d'analyse est provisionné pour le client sélectionné. Une fois que le dispositif Edge est provisionné, la fonctionnalité d'analyse collecte des données, effectue une inspection complète des paquets de tout le trafic, identifie l'application réseau et met en corrélation le trafic avec les informations de l'utilisateur.

Que faire ensuite

Pour envoyer les données d'analyse collectées au moteur d'analyse de cloud, vous devez configurer une interface d'analyse sur laquelle le dispositif Edge transmet les données d'analyse.