Après avoir créé un client, configurez les options et les paramètres des fonctionnalités auxquelles il peut accéder. En tant que super utilisateur partenaire, vous pouvez choisir les paramètres que le client partenaire peut modifier.

Lorsque vous créez un client, vous êtes redirigé vers la page Configuration du client (Customer Configuration) sur laquelle vous pouvez configurer les paramètres du client.

Vous pouvez également accéder à la page Configuration à partir de la page Gérer les clients (Manage Customers) du portail partenaire. Sélectionnez le client, puis cliquez sur Actions > Modifier (Modify) ou sur le lien d'accès au client.

Sur le portail client ou d'entreprise, cliquez sur Configurer (Configure) > Client (Customer), afin de pouvoir configurer les paramètres suivants.

Capacités du client (Customer Capabilities) : seul un opérateur peut activer ou désactiver les capacités. Vous pouvez afficher l'état des capacités suivantes. Si vous souhaitez activer ou désactiver l'une de ces capacités, contactez votre opérateur.

  • Activer l'authentification d'entreprise (Enable Enterprise Auth)
  • Activer la journalisation du pare-feu dans Orchestrator (Enable Firewall logging to Orchestrator)
  • Activer les réseaux hérités (Enable Legacy Networks)
  • Activer le service Premium (Enable Premium Service)
  • Activer la personnalisation des rôles (Enable Role Customization)
  • Activer la segmentation (Enable Segmentation)
  • Activer le pare-feu avec état (Enable Stateful Firewall)
  • Afficher la section Configuration dans la nouvelle interface utilisateur d'Orchestrator
  • Mappage de CoS (CoS Mapping)
  • Limitation du débit pour les services (Service Rate Limiting)

Stratégie de sécurité (Security Policy) : lors de la création de tunnels IPsec entre deux dispositifs Edge, vous pouvez modifier les paramètres de configuration de la stratégie de sécurité au niveau de la Configuration du client (Customer Configuration).

  • Hachage (Hash) : par défaut, aucun algorithme d'authentification n'est configuré pour l'en-tête VPN. Lorsque vous cochez la case Désactiver GCM (Turn off GCM), vous pouvez sélectionner dans la liste déroulante l'un des algorithmes d'authentification suivants pour l'en-tête VPN :
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
  • Chiffrement (Encryption) : AES 128-mode Galois/Compteur (GCM), AES 256-GCM, AES 128-Chaînage de chiffrement de blocs (CBC) et AES 256-CBC sont les modes d'algorithme de chiffrement utilisés pour fournir la confidentialité. Sélectionnez AES 128 ou AES 256 comme taille de clé d'algorithmes AES pour le chiffrement des données. Le mode d'algorithme de chiffrement par défaut est AES 128-GCM, lorsque la case Désactiver GCM (Turn off GCM) n'est pas cochée.
  • Groupe DH (DH Group) : sélectionnez l'algorithme de groupe Diffie-Hellman (DH) à utiliser lors de l'échange d'une clé prépartagée. Le groupe DH définit la puissance de l'algorithme en bits. Les groupes DH pris en charge sont 2, 5, 14, 15 et 16. Il est recommandé d'utiliser le groupe DH 14.
  • PFS : sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les niveaux de PFS pris en charge sont 2, 5, 14, 15 et 16. Par défaut, PFS est désactivé.
  • Désactiver GCM (Turn off GCM) : par défaut, AES 128-GCM est activé. Si nécessaire, cochez la case pour désactiver ce mode, qui à son tour active le mode AES 128-CBC.
  • Durée de vie de la SA IPsec (IPsec SA Lifetime) : moment où le renouvellement de clés du protocole IPsec (Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IPsec minimale est de 3 minutes et la valeur maximale est de 480 minutes. La valeur par défaut est de 480 minutes.
  • Durée de vie IKE SA (IKE SA Lifetime) : moment où le renouvellement de clés de l'échange de clés Internet (IKE, Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IKE minimale est de 10 minutes et la valeur maximale est de 1 440 minutes. La valeur par défaut est de 1 440 minutes.
    Note : Il est recommandé de ne pas configurer des valeurs de durée de vie faibles pour IPsec (inférieures à 10 minutes) et IKE (inférieures à 30 minutes), car cela peut entraîner une interruption du trafic dans certains déploiements en raison de renouvellements de clés. Les valeurs de durée de vie faibles ne peuvent être utilisées qu'à des fins de débogage.
  • Remplacement de route par défaut sécurisé (Secure Default Route Override) : cochez la case pour vous assurer que le trafic en provenance du dispositif Edge est acheminé en fonction du service réseau configuré pour la règle de stratégie d'entreprise, même lorsque le routage sécurisé (route statique ou route BGP) est activé sur le dispositif Edge.
Note : Lorsque vous modifiez les paramètres de sécurité, les modifications peuvent entraîner des interruptions des services actuels. Par ailleurs, ces paramètres peuvent réduire le débit global et augmenter le temps requis pour la configuration du tunnel VCMP, ce qui peut affecter la configuration du tunnel dynamique branche vers branche et la récupération après une défaillance du dispositif Edge dans un cluster.

Accès aux services (Service Access) : choisissez les services auxquels le client peut accéder, ainsi que les rôles et les autorisations disponibles pour le service sélectionné. Reportez-vous à la section Configurer l'accès aux services.

Pool de passerelles (Gateway Pool) : le pool de passerelles actuel associé au client sélectionné s'affiche. Si nécessaire, vous pouvez choisir un pool de passerelles différent dans la liste disponible.

Si les passerelles disponibles dans le pool de passerelles ont été attribuées avec le rôle de passerelle de partenaires, vous pouvez les transférer vers les partenaires. Sélectionnez l'option Activer le transfert aux partenaires (Enable Partner Handoff) pour configurer les options de transfert pour les segments et les passerelles. Pour plus d'informations, reportez-vous à la section Configurer le transfert aux partenaires.

Nombre maximal de segments (Maximum Segments) : affiche le nombre maximal de segments configurés par l'opérateur.

Calcul du coût d'OFC (OFC Cost Calculation) : indique si l'option Calcul du coût distribué (Distributed Cost Calculation) est activée ou non par l'opérateur. Par défaut, Orchestrator est activement impliqué dans l'apprentissage des routes dynamiques. Les dispositifs Edge et les passerelles reposent sur Orchestrator pour calculer les préférences de routes initiales et les renvoyer au dispositif Edge et à la passerelle. La fonctionnalité Calcul du coût distribué (Distributed Cost Calculation) permet de distribuer le calcul du coût des routes aux dispositifs Edge et aux passerelles.

Pour plus d'informations sur Calcul du coût distribué (Distributed Cost Calculation) reportez-vous à la section Configurer le calcul du coût distribué du Guide de l'opérateur de VMware SD-WAN disponible à l'adresse https://docs.vmware.com/fr/VMware-SD-WAN/index.html.

Note : Pour activer la fonctionnalité Calcul du coût distribué (Distributed Cost Calculation) de vos clients, contactez l'équipe de support.

NFV d'Edge (Edge NFV) : indique si les clients sont autorisés à déployer des fonctions de réseau virtuel (VNF, Virtual Network Functions) tierces sur des plates-formes Edge adaptées au service.

Gestion des images Edge (Edge Image Management) : affiche l'image logicielle actuelle associée au client partenaire sélectionné. En tant que super utilisateur partenaire, vous pouvez sélectionner une image logicielle différente dans la liste disponible des images logicielles et l'attribuer au client, si nécessaire.

Si vous souhaitez qu'un client partenaire gère des images logicielles du dispositif Edge, vous devez activer la case Déléguer la gestion des images logicielles Edge (Delegate Edge Software Image Management). Une fois que vous activez la case Déléguer la gestion des images logicielles Edge (Delegate Edge Software Image Management) et que vous cliquez sur Enregistrer les modifications (Save Changes), toutes les images logicielles attribuées au client partenaire s'affichent. Cliquez sur Modifier (Modify) pour ajouter ou supprimer une image logicielle du client sélectionné.
Note : Vous pouvez supprimer une image attribuée d'un client partenaire uniquement s'il ne s'agit pas d'une image par défaut et si elle n'est actuellement utilisée par aucun dispositif Edge du client partenaire.

Pour plus d'informations, reportez-vous à la section Gestion des images logicielles du dispositif Edge du Guide d'administration de VMware SD-WAN, disponible à l'adresse https://docs.vmware.com/fr/VMware-SD-WAN/index.html.

Après avoir modifié les configurations, cliquez sur Enregistrer les modifications (Save Changes).