Après avoir créé un client, configurez les options et les paramètres des fonctionnalités auxquelles il peut accéder. En tant qu'opérateur, vous pouvez choisir les paramètres que le client peut modifier.

Lorsque vous créez un client, vous êtes redirigé vers la page Configuration du client (Customer Configuration) sur laquelle vous pouvez configurer les paramètres du client. Vous pouvez également accéder à la page Configuration du client (Configuration du client) directement depuis le portail opérateur en procédant comme suit :

Procédure

  1. Sur la page des options de surveillance et de configuration, sélectionnez un client et, dans l'en-tête supérieur, cliquez sur SD-WAN > Paramètres globaux (Global Settings).
  2. Dans le menu de gauche, cliquez sur Configuration du client (Customer Configuration). La page suivante s'affiche :
    La section Configuration du service (Service Configuration) comprend les quatre services suivants :
    • SD-WAN
    • Edge Network Intelligence
    • Cloud Web Security
    • Secure Access

    Cliquez sur le bouton Activer (Turn On) pour activer chaque service. Cliquez sur les trois points verticaux situés dans le coin supérieur droit de chaque vignette pour désactiver ou configurer le service. Vous pouvez également utiliser l'option Configurer (Configure) située dans le coin inférieur droit de chaque vignette pour configurer le service correspondant. Chaque vignette affiche le résumé de la configuration.

    Note : Si vous sélectionnez l'option Désactiver (Turn off), une fenêtre contextuelle s'affiche et vous demande de confirmer. Cochez la case et cliquez sur Désactiver le service (Turn Off Service).
    1. SD-WAN : si vous cliquez sur l'option Configurer (Configure), la fenêtre contextuelle suivante s'affiche. Configurez les paramètres, puis cliquez sur Mettre à jour (Update).
      Option Description
      Domaine (Domain) Entrez le nom de domaine à utiliser pour activer l'authentification Single Sign-On (SSO) pour Orchestrator. Cette option est également requise pour activer Edge Network Intelligence pour le client.
      Authentification Edge par défaut (Default Edge Authentication)

      Choisissez l'option par défaut dans le menu déroulant pour authentifier les dispositifs Edge associés au client.

      • Certificat désactivé (Certificate Deactivated) : le dispositif Edge utilise un mode d'authentification par clé prépartagée.
      • Acquisition de certificat (Certificate Acquire) : cette option est sélectionnée par défaut et demande au dispositif Edge d'obtenir un certificat auprès de l'autorité de certification du dispositif SD-WAN Orchestrator en générant une paire de clés et en envoyant une demande de signature de certificat à Orchestrator. Une fois le certificat acquis, le dispositif Edge l'utilise pour l'authentification auprès de SD-WAN Orchestrator et pour l'établissement de tunnels VCMP.
        Note : Après l'acquisition du certificat, l'option peut être mise à jour sur Certificat requis (Certificate Required).
      • Certificat requis (Certificate Required) : le dispositif Edge utilise le certificat PKI. Les opérateurs peuvent modifier la fenêtre de temps de renouvellement du certificat pour les dispositifs Edge à l'aide de la propriété système edge.certificate.renewal.window.
      Gestion des licences Edge (Edge Licensing) Les licences Edge existantes s'affichent. Cliquez sur Ajouter (Add) pour ajouter ou supprimer les licences.
      Note : Vous pouvez utiliser les types de licences sur plusieurs dispositifs Edge. Il est recommandé de fournir à vos clients l'accès à tous les types de licences pour faire correspondre leur édition et leur région. Pour plus d'informations, reportez-vous à la section Gestion des licences Edge à l'aide de la nouvelle interface utilisateur d'Orchestrator.
      Autoriser le client à gérer les logiciels (Allow Customer to Manage Software) Cochez cette case si vous souhaitez autoriser un super utilisateur d'entreprise à gérer les images logicielles disponibles pour l'entreprise.
      Profil d'opérateur (Operator Profile) Sélectionnez un profil d'opérateur à associer au client dans le menu déroulant disponible. Ce champ n'est pas disponible si l'option Autoriser le client à gérer les logiciels (Allow Customer to Manage Software) est sélectionnée. Pour plus d'informations sur les profils d'opérateurs, reportez-vous à la section Gérer les profils d'opérateur
      Nombre maximal de segments (Maximum Number of Segments) Entrez le nombre maximal de segments pouvant être configuré. La plage valide est comprise entre 1 et 16. La valeur par défaut est de 16.
    2. Edge Network Intelligence : si vous cliquez sur l'option Configurer (Configure), la fenêtre contextuelle suivante s'affiche. Configurez les paramètres, puis cliquez sur Mettre à jour (Update).
      Note : Vous pouvez sélectionner cette option uniquement lorsque le service SD-WAN est activé.
      Option Description
      Domaine (Domain) Entrez le nom de domaine à utiliser pour activer l'authentification Single Sign-On (SSO) pour Orchestrator. Cette option est également requise pour activer Edge Network Intelligence pour le client.
      Nœuds d'analyse (Analytics Nodes) Entrez le nombre maximal de dispositifs Edge qui peuvent être provisionnés comme nœuds d'analyse. Par défaut, l'option Illimité (Unlimited) est sélectionnée.
      Accès à la fonctionnalité (Feature Access) Cochez la case Réparation spontanée (Self Healing) pour permettre à Edge Network Intelligence de fournir des recommandations afin d'améliorer les performances.
    3. Cloud Web Security : ce service n'est disponible que lorsque vous sélectionnez un pool de passerelles (Gateway Pool) disposant d'un rôle Cloud Web Security activé. Cloud Web Security est un service hébergé dans le cloud qui protège les utilisateurs et l'infrastructure accédant aux applications SaaS et Internet. Pour plus d'informations, reportez-vous au Guide de configuration de VMware Cloud Web Security. Cliquez sur Configurer (Configure) pour afficher la fenêtre contextuelle suivante :

      Sélectionnez l'édition requise, puis cliquez sur Mettre à jour (Update). Édition Standard (Standard Edition) comprend le filtrage d'URL, l'inspection SSL, l'antivirus, l'authentification, le sandbox de base et la visibilité CASB en ligne. Édition avancée (Advanced Edition) comprend le filtrage d'URL, l'inspection SSL, l'antivirus, l'authentification, le sandbox de base, la visibilité et les contrôles CASB en ligne, ainsi que la visibilité et les contrôles DLP en ligne

    4. Secure Access : ce service n'est disponible que lorsque vous sélectionnez un pool de passerelles (Gateway Pool) disposant d'un rôle Cloud Web Security activé. La solution Secure Access combine les services VMware SD-WAN et Workspace ONE pour fournir un accès aux applications cloud cohérent, optimal et sécurisé aux applications cloud via un réseau de nœuds de service gérés mondialement. Pour plus d'informations, reportez-vous au Guide de configuration de VMware Secure Access. Cliquez sur Configurer (Configure) pour afficher la fenêtre contextuelle suivante :

      Entrez le nombre maximal de PoP, puis cliquez sur Mettre à jour (Update).

  3. Les paramètres de configurations supplémentaires suivants sont disponibles sur la page Configuration du client (Customer Configuration) :
    Option Description
    Global
    Affichage du contrat d'utilisateur (User Agreement Display) Sélectionnez l'une des options suivantes dans le menu déroulant :
    • Hériter
    • Remplacer pour masquer
    • Remplacer pour afficher (Remplacer pour afficher)
    Note :
    Ce champ n'est disponible que lorsque la propriété système session.options.enableUserAgreements est définie sur Vrai (True).
    Accès à la fonctionnalité (Feature Access) Permet l'accès aux fonctionnalités sélectionnées. Cochez une ou plusieurs cases dans la liste ci-dessous pour activer ces fonctionnalités pour le client :
    • Authentification d'entreprise (Enterprise Auth) : par défaut, seul l'opérateur peut activer ou désactiver l'authentification à deux facteurs pour une entreprise. Lorsque vous cochez cette case, les administrateurs d'entreprise peuvent configurer eux-mêmes l'authentification à deux facteurs. Cette option contrôle également l'activation et la désactivation de Single Sign-On (SSO).
    • Activer le service Premium (Enable Premium Service) : cette option est sélectionnée par défaut. Le service Premium fait référence à la fonctionnalité de correction à la demande qui est une partie essentielle de l'optimisation dynamique des chemins multiples (DMPO) de SD-WAN. DMPO est utilisé pour tout le trafic qui traverse une passerelle SD-WAN Gateway. Lorsque l'option Service Premium (Premium Service) est sélectionnée, la passerelle utilise la correction d'erreurs de transfert (FEC, Forward Error Correction) pour le trafic client affecté par des niveaux élevés de gigue ou de perte de lien WAN, et qui ne peut pas être dirigé vers un lien WAN de meilleure qualité. Lorsque l'option Service Premium (Premium Service) n'est pas sélectionnée, le trafic traverse toujours la passerelle SD-WAN Gateway et bénéficie d'autres composants de DMPO, tels que la surveillance continue, le choix dynamique de l'application et la transmission sécurisée du trafic. Toutefois, le trafic affecté par des niveaux élevés de gigue ou de perte de lien WAN ne bénéficie pas de la correction d'erreurs par la passerelle. Pour plus d'informations, reportez-vous à la section Optimisation dynamique des chemins multiples (DMPO) du Guide d'administration de VMware SD-WAN.
    • Personnalisation des rôles (Role Customization) : permet d'activer ou de désactiver un super utilisateur d'entreprise afin de personnaliser les privilèges de rôle des autres utilisateurs d'entreprise.
    Déléguer la gestion au client (Delegate Management To Customer) Permet au client de modifier les paramètres de la propriété sélectionnée. Les deux propriétés suivantes sont toujours affichées pour les clients :
    • Activer le mappage CoS (Enable CoS Mapping) : permet de configurer le mappage CoS lors de la configuration d'une business policy.
    • Activer la limitation du débit pour les services (Enable Service Rate Limiting) : permet de limiter le débit des services dans une business policy.
    Pool de passerelles (Gateway Pool)
    Pool de passerelles actuel (Current Gateway Pool) Sélectionnez un pool de passerelles existant dans le menu déroulant.
    Passerelles dans ce pool (Gateways in this Pool) Affiche les détails de la passerelle dans le pool actuel.
    Transfert aux partenaires (Partner Hand Off) L'activation de cette option affiche la section Configurer le transfert (Configure Hand Off). Pour plus d'informations, reportez-vous à la section Configurer le transfert.
    Stratégie de sécurité (Security Policy)
    Hachage (Hash) Par défaut, aucun algorithme d'authentification n'est configuré pour l'en-tête VPN, car AES-GCM est un algorithme de chiffrement authentifié. Lorsque vous cochez la case Désactiver GCM (Turn off GCM), vous pouvez sélectionner dans le menu déroulant l'un des algorithmes d'authentification suivants pour l'en-tête VPN :
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé d'algorithme AES pour le chiffrement des données. Le mode d'algorithme de chiffrement par défaut est AES 128.
    Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH) à utiliser lors de l'échange d'une clé prépartagée. Le groupe DH définit la puissance de l'algorithme en bits. Les groupes DH pris en charge sont 2, 5, 14, 15 et 16. Il est recommandé d'utiliser le groupe DH 14, qui est la valeur par défaut.
    PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les niveaux de PFS pris en charge sont 2, 5, 14, 15 et 16. Par défaut, PFS est désactivé.
    Désactiver GCM (Turn off GCM) Cochez cette case pour activer Hachage (Hash) et sélectionnez un algorithme d'authentification pour l'en-tête VPN.
    Durée de vie de SA IPSec (min) (IPSec SA Lifetime Time|min]) Moment où le renouvellement de clés du protocole IPsec (Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IPsec minimale est de 3 minutes et la durée de vie IPsec maximale est de 480 minutes. La valeur par défaut est de 480 minutes.
    Note : Il n'est pas recommandé de configurer une valeur de durée de vie faible pour IPsec (moins de 10 minutes), car cela peut provoquer une interruption du trafic dans certains déploiements en raison des renouvellements de clés. Les valeurs de durée de vie faibles sont destinées uniquement à des fins de débogage.
    Durée de vie de la SA IKE (min) [IKE SA Lifetime(min)] Moment où le renouvellement de clés de l'échange de clés Internet (IKE, Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IKE minimale est de 10 minutes et durée de vie IKE maximale est de 1 440 minutes. La valeur par défaut est de 1 440 minutes.
    Note : Il n'est pas recommandé de configurer des valeurs de durée de vie faibles IKE (moins de 30 minutes), car cela peut provoquer une interruption du trafic dans certains déploiements en raison des renouvellements de clés. Les valeurs de durée de vie faibles sont destinées uniquement à des fins de débogage.
    Remplacement de route par défaut sécurisé (Secure Default Route Override) Cochez cette case pour remplacer la destination du trafic correspondant à une route sécurisée par défaut (Route statique [Static Route] ou Route BGP [BGP Route]) d'une passerelle partenaire à l'aide de la Business Policy.
    Note : Pour obtenir des instructions sur l'activation du routage sécurisé sur un dispositif Edge, reportez-vous à la section Configurer le transfert aux partenaires. Pour plus d'informations sur la configuration du service réseau pour la règle de Business Policy, reportez-vous à la section « Configurer un service réseau pour la règle de Business Policy » du Guide d'administration de VMware SD-WAN disponible dans la Documentation de VMware SD-WAN.
    Virtualisation de fonction réseau Edge (Edge Network Function Virtualization)
    NFV d'Edge (Edge NFV) Sélectionnez cette option pour activer la capacité de déploiement des VNF sur des dispositifs Edge. Après le déploiement d'une ou de plusieurs VNF sur des dispositifs Edge, vous ne pouvez plus désactiver cette option.
    VNF de sécurité (Security VNFs) Cochez les cases appropriées pour déployer les VNF de sécurité correspondantes sur les dispositifs Edge.
    Paramètres de SD-WAN (SD-WAN Settings)
    Calcul du coût d'OFC (OFC Cost Calculation) Cochez la case requise :
    • Calcul du coût distribué (Distributed Cost Calculation) : cochez cette case pour déléguer le calcul du coût de route aux dispositifs Edge/passerelle.
      Note : Cette option est disponible uniquement pour les dispositifs Edge/passerelles avec la version 3.4.0 et les version ultérieures.
    • Utiliser la stratégie NSD (Use NSD Policy) : cochez cette case pour utiliser la stratégie NSD pour le calcul du coût de route vers les dispositifs Edge/passerelles.
      Note : Cette option est disponible uniquement pour les dispositifs Edge/passerelles avec la version 4.2.0 et ultérieures.
    Plusieurs balises DSCP par calcul de chemin de flux (Multiple-DSCP tags per Flow Path Calculation) Cochez cette case pour inclure la valeur DSCP dans la recherche de flux.
    Note : Ce champ n'est disponible que lorsque la propriété système session.options.enableFlowParametersConfig est définie sur Vrai (True).
    Accès à la fonctionnalité (Feature Access) Cochez la case Pare-feu avec état (Stateful Firewall) pour remplacer les paramètres du pare-feu avec état activés sur le dispositif Edge d'entreprise.
  4. Cliquez sur Enregistrer les modifications (Save Changes).
    Note : Lorsque vous modifiez les paramètres de Stratégie de sécurité (Security Policy), les modifications peuvent entraîner des interruptions des services actuels. Par ailleurs, ces paramètres peuvent réduire le débit global et augmenter le temps requis pour la configuration du tunnel VCMP, ce qui peut affecter la configuration du tunnel dynamique site distant vers site distant et la récupération après une défaillance du dispositif Edge dans un cluster.