Après avoir créé un client, configurez les options et les paramètres des fonctionnalités auxquelles il peut accéder. En tant qu'opérateur, vous pouvez choisir les paramètres que le client peut modifier.
Lorsque vous créez un client, vous êtes redirigé vers la page Configuration du client (Customer Configuration) sur laquelle vous pouvez configurer les paramètres du client. Vous pouvez également accéder à la page Configuration du client (Configuration du client) directement depuis le portail opérateur en procédant comme suit :
Procédure
- Sur la page des options de surveillance et de configuration, sélectionnez un client et, dans l'en-tête supérieur, cliquez sur SD-WAN > Paramètres globaux (Global Settings).
- Dans le menu de gauche, cliquez sur Configuration du client (Customer Configuration). La page suivante s'affiche :
La section Configuration du service (Service Configuration) comprend les services suivants :
- SD-WAN
- Edge Network Intelligence
- Cloud Web Security
- Secure Access
- Hub de cloud (Cloud Hub)
Cliquez sur le bouton Activer (Turn On) pour activer chaque service. Cliquez sur les trois points verticaux situés dans le coin supérieur droit de chaque vignette pour désactiver ou configurer le service. Vous pouvez également utiliser l'option Configurer (Configure) située dans le coin inférieur droit de chaque vignette pour configurer le service correspondant. Chaque vignette affiche le résumé de la configuration.
Note : Si vous sélectionnez l'option Désactiver (Turn off), une fenêtre contextuelle s'affiche et vous demande de confirmer. Cochez la case et cliquez sur Désactiver le service (Turn Off Service).- SD-WAN : si vous cliquez sur l'option Configurer (Configure), la fenêtre contextuelle suivante s'affiche. Configurez les paramètres, puis cliquez sur Mettre à jour (Update).
Option Description Domaine (Domain) Entrez le nom de domaine à utiliser pour activer l'authentification Single Sign-On (SSO) pour Orchestrator. Cette option est également requise pour activer Edge Network Intelligence pour le client. Authentification Edge par défaut (Default Edge Authentication) Choisissez l'option par défaut dans le menu déroulant pour authentifier les dispositifs Edge associés au client.
- Certificat désactivé (Certificate Deactivated) : le dispositif Edge utilise un mode d'authentification par clé prépartagée.
- Acquisition de certificat (Certificate Acquire) : cette option est sélectionnée par défaut et demande au dispositif Edge d'obtenir un certificat auprès de l'autorité de certification du dispositif SASE Orchestrator en générant une paire de clés et en envoyant une demande de signature de certificat à Orchestrator. Une fois le certificat acquis, le dispositif Edge l'utilise pour l'authentification auprès de SASE Orchestrator et pour l'établissement de tunnels VCMP.
Note : Après l'acquisition du certificat, l'option peut être mise à jour sur Certificat requis (Certificate Required).
- Certificat requis (Certificate Required) : le dispositif Edge utilise le certificat PKI. Les opérateurs peuvent modifier la fenêtre de temps de renouvellement du certificat pour les dispositifs Edge à l'aide de la propriété système
edge.certificate.renewal.window
.
Gestion des licences Edge (Edge Licensing) Les licences Edge existantes s'affichent. Cliquez sur Ajouter (Add) pour ajouter ou supprimer les licences. Note : Vous pouvez utiliser les types de licences sur plusieurs dispositifs Edge. Il est recommandé de fournir à vos clients l'accès à tous les types de licences pour faire correspondre leur édition et leur région. Pour plus d'informations, reportez-vous à la section Gestion des licences Edge.Autoriser le client à gérer les logiciels (Allow Customer to Manage Software) Cochez cette case si vous souhaitez autoriser un super utilisateur d'entreprise à gérer les images logicielles disponibles pour l'entreprise. Pour plus d'informations, reportez-vous à la section Gestion des images Edge (Edge Image Management) dans le Guide d'administration de VMware SD-WAN. Profil d'opérateur (Operator Profile) Sélectionnez un profil d'opérateur à associer au client dans le menu déroulant disponible. Ce champ n'est pas disponible si l'option Autoriser le client à gérer les logiciels (Allow Customer to Manage Software) est sélectionnée. Pour plus d'informations sur les profils d'opérateurs, reportez-vous à la section Gérer les profils d'opérateur Nombre maximal de segments (Maximum Number of Segments) Entrez le nombre maximal de segments pouvant être configuré. La plage valide est comprise entre 1 et 16. La valeur par défaut est de 16. - Edge Network Intelligence : si vous cliquez sur l'option Configurer (Configure), la fenêtre contextuelle suivante s'affiche. Configurez les paramètres, puis cliquez sur Mettre à jour (Update).
Note : Vous pouvez sélectionner cette option uniquement lorsque le service SD-WAN est activé.
Option Description Domaine (Domain) Entrez le nom de domaine à utiliser pour activer l'authentification Single Sign-On (SSO) pour Orchestrator. Cette option est également requise pour activer Edge Network Intelligence pour le client. Nœuds d'analyse (Analytics Nodes) Entrez le nombre maximal de dispositifs Edge qui peuvent être provisionnés comme nœuds d'analyse. Par défaut, l'option Illimité (Unlimited) est sélectionnée. Accès à la fonctionnalité (Feature Access) Cochez la case Réparation spontanée (Self Healing) pour permettre à Edge Network Intelligence de fournir des recommandations afin d'améliorer les performances. - Cloud Web Security : ce service n'est disponible que lorsque vous sélectionnez un pool de passerelles (Gateway Pool) disposant d'un rôle Cloud Web Security activé. Cloud Web Security est un service hébergé dans le cloud qui protège les utilisateurs et l'infrastructure accédant aux applications SaaS et Internet. Pour plus d'informations, reportez-vous au Guide de configuration de VMware Cloud Web Security. Cliquez sur Configurer (Configure) pour afficher la fenêtre contextuelle suivante :
Sélectionnez l'édition requise, puis cliquez sur Mettre à jour (Update). Édition Standard (Standard Edition) comprend le filtrage d'URL, l'inspection SSL, l'antivirus, l'authentification, le sandbox de base et la visibilité CASB en ligne. Édition avancée (Advanced Edition) comprend le filtrage d'URL, l'inspection SSL, l'antivirus, l'authentification, le sandbox de base, la visibilité et les contrôles CASB en ligne, ainsi que la visibilité et les contrôles DLP en ligne
- Secure Access : ce service n'est disponible que lorsque vous sélectionnez un pool de passerelles (Gateway Pool) disposant d'un rôle Cloud Web Security activé. La solution Secure Access combine les services VMware SD-WAN et Workspace ONE pour fournir un accès aux applications cloud cohérent, optimal et sécurisé aux applications cloud via un réseau de nœuds de service gérés mondialement. Pour plus d'informations, reportez-vous au Guide de configuration de VMware Secure Access. Cliquez sur Configurer (Configure) pour afficher la fenêtre contextuelle suivante :
Entrez le nombre maximal de PoP, puis cliquez sur Mettre à jour (Update).
- Hub de cloud (Cloud Hub) : ce service vous permet d'accéder au compte MCS (Multi-Cloud Service). Pour plus d'informations, reportez-vous à la section Déploiement automatisé CloudHub du NVA dans le Hub Azure vWAN dans le Guide d'administration de SD-WAN.
- Les paramètres de configurations supplémentaires suivants sont disponibles sur la page Configuration du client (Customer Configuration) :
Option Description Global Affichage du contrat d'utilisateur (User Agreement Display) Sélectionnez l'une des options suivantes dans le menu déroulant : - Hériter
- Remplacer pour masquer
- Remplacer pour afficher (Remplacer pour afficher)
Note :Ce champ n'est disponible que lorsque la propriété systèmesession.options.enableUserAgreements
est définie sur Vrai (True).Accès à la fonctionnalité (Feature Access) Permet l'accès aux fonctionnalités sélectionnées. Cochez une ou plusieurs cases dans la liste ci-dessous pour activer ces fonctionnalités pour le client : - Authentification d'entreprise (Enterprise Auth) : par défaut, seul l'opérateur peut activer ou désactiver l'authentification à deux facteurs pour une entreprise. Lorsque vous cochez cette case, les administrateurs d'entreprise peuvent configurer eux-mêmes l'authentification à deux facteurs. Cette option contrôle également l'activation et la désactivation de Single Sign-On (SSO).
- Activer le service Premium (Enable Premium Service) : cette option est sélectionnée par défaut. Le service Premium fait référence à la fonctionnalité de correction à la demande qui est une partie essentielle de l'optimisation dynamique des chemins multiples (DMPO) de SD-WAN. DMPO est utilisé pour tout le trafic qui traverse une passerelle SD-WAN Gateway. Lorsque l'option Service Premium (Premium Service) est sélectionnée, la passerelle utilise la correction d'erreurs de transfert (FEC, Forward Error Correction) pour le trafic client affecté par des niveaux élevés de gigue ou de perte de lien WAN, et qui ne peut pas être dirigé vers un lien WAN de meilleure qualité. Lorsque l'option Service Premium (Premium Service) n'est pas sélectionnée, le trafic traverse toujours la passerelle SD-WAN Gateway et bénéficie d'autres composants de DMPO, tels que la surveillance continue, le choix dynamique de l'application et la transmission sécurisée du trafic. Toutefois, le trafic affecté par des niveaux élevés de gigue ou de perte de lien WAN ne bénéficie pas de la correction d'erreurs par la passerelle. Pour plus d'informations, reportez-vous à la section Optimisation dynamique des chemins multiples (DMPO) du Guide d'administration de VMware SD-WAN.
- Personnalisation des rôles (Role Customization) : permet d'activer ou de désactiver un super utilisateur d'entreprise afin de personnaliser les privilèges de rôle des autres utilisateurs d'entreprise.
- Retour arrière de route (Route Backtracking) : si cette option est sélectionnée, le périphérique choisit la meilleure route dans l'ordre de longueur du préfixe.
- Panneau d'aide contextuelle intégré au produit (In-product Contextual Help Panel) : fournit un accès au panneau Aide intégrée au produit dans Orchestrator. Cette fonctionnalité est désactivée par défaut. Un opérateur doit activer cette option pour les clients d'entreprise.
- Activer la journalisation du pare-feu dans Orchestrator (Enable Firewall Logging to Orchestrator) : par défaut les dispositifs Edge ne peuvent pas envoyer leurs journaux de pare-feu à Orchestrator. Cochez cette case pour autoriser un dispositif Edge à envoyer les journaux de pare-feu à Orchestrator.
- QoE personnalisable (Customizable QoE) : permet au client de configurer les valeurs de seuil de latence minimale et maximale pour les catégories d'application Voix (Voice), Vidéo (Video) et Transactionnel (Transactional) d'un dispositif Edge.
- Activer l'interface utilisateur classique d'Orchestrator (Enable Classic Orchestrator UI) : permet au client de passer de l'interface utilisateur Angular d'Orchestrator à l'interface utilisateur classique d'Orchestrator. Cette option n'est disponible que lorsque la propriété système
session.options.enableClassicOrchestrator
est définie sur Vrai (True).
Déléguer la gestion au client (Delegate Management To Customer) Permet au client de modifier les paramètres de la propriété sélectionnée. Les deux propriétés suivantes sont toujours affichées pour les clients : - Activer le mappage CoS (Enable CoS Mapping) : permet de configurer le mappage CoS lors de la configuration d'une business policy.
- Activer la limitation du débit pour les services (Enable Service Rate Limiting) : permet de limiter le débit des services dans une business policy.
Pool de passerelles (Gateway Pool) Pool de passerelles actuel (Current Gateway Pool) Affiche le pool de passerelles actuel associé au client sélectionné. Si nécessaire, vous pouvez choisir un autre pool de passerelles disponible dans le menu déroulant et cliquer sur Enregistrer les modifications (Save Changes). Passerelles dans ce pool (Gateways in this Pool) Affiche les détails de la passerelle dans le pool actuel. Transfert aux partenaires (Partner Hand Off) L'activation de l'option Pool de passerelles (Gateway Pool) affiche la section Configurer le transfert (Configure Hand Off). Si les passerelles disponibles dans le pool de passerelles ont été attribuées avec le rôle de passerelle de partenaires, vous pouvez les transférer vers les partenaires. Pour plus d'informations, reportez-vous à la section Configurer le transfert aux partenaires. Stratégie de sécurité (Security Policy) Hachage (Hash) Par défaut, aucun algorithme d'authentification n'est configuré pour l'en-tête VPN, car AES-GCM est un algorithme de chiffrement authentifié. Lorsque vous cochez la case Désactiver GCM (Turn off GCM), vous pouvez sélectionner dans le menu déroulant l'un des algorithmes d'authentification suivants pour l'en-tête VPN : - SHA 1
- SHA 256
- SHA 384
- SHA 512
Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé d'algorithme AES pour le chiffrement des données. Le mode d'algorithme de chiffrement par défaut est AES 128. Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH) à utiliser lors de l'échange d'une clé prépartagée. Le groupe DH définit la puissance de l'algorithme en bits. Les groupes DH pris en charge sont 2, 5, 14, 15, 16, 19, 20 et 21. Note :- Les groupes DH 19, 20 et 21 sont disponibles à partir de la version 5.2.0.
- Il est recommandé d'utiliser le groupe DH 14, qui est la valeur par défaut.
PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les groupes PFS pris en charge sont 2, 5, 14, 15, 16, 19, 20 et 21. Les groupes PFS 19, 20 et 21 sont disponibles à partir de la version 5.2.0. Par défaut, PFS est désactivé. Désactiver GCM (Turn off GCM) Cochez cette case pour activer Hachage (Hash) et sélectionnez un algorithme d'authentification pour l'en-tête VPN. Durée de vie de SA IPSec (min) (IPSec SA Lifetime Time|min]) Moment où le renouvellement de clés du protocole IPsec (Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IPsec minimale est de 3 minutes et la durée de vie IPsec maximale est de 480 minutes. La valeur par défaut est de 480 minutes. Note : Il n'est pas recommandé de configurer une valeur de durée de vie faible pour IPsec (moins de 10 minutes), car cela peut provoquer une interruption du trafic dans certains déploiements en raison des renouvellements de clés. Les valeurs de durée de vie faibles sont destinées uniquement à des fins de débogage.Durée de vie de la SA IKE (min) [IKE SA Lifetime(min)] Moment où le renouvellement de clés de l'échange de clés Internet (IKE, Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IKE minimale est de 10 minutes et durée de vie IKE maximale est de 1 440 minutes. La valeur par défaut est de 1 440 minutes. Note : Il n'est pas recommandé de configurer des valeurs de durée de vie faibles IKE (moins de 30 minutes), car cela peut provoquer une interruption du trafic dans certains déploiements en raison des renouvellements de clés. Les valeurs de durée de vie faibles sont destinées uniquement à des fins de débogage.Remplacement de route par défaut sécurisé (Secure Default Route Override) Cochez cette case pour remplacer la destination du trafic correspondant à une route sécurisée par défaut (Route statique [Static Route] ou Route BGP [BGP Route]) d'une passerelle partenaire à l'aide de la Business Policy. Virtualisation de fonction réseau Edge (Edge Network Function Virtualization) : permet d'activer NFV sur les dispositifs Edge et permet aux clients de déployer des VNF tierces sur des plates-formes Edge aptes au service. Actuellement, les modèles de plates-formes Edge aptes au service sont les suivants : 520V et 840. En tant qu'utilisateur opérateur, lorsque vous activez l'option NFV d'Edge (Edge NFV), les clients peuvent configurer et déployer des VNF et des licences de VNF à partir de leurs services réseau. NFV d'Edge (Edge NFV) Sélectionnez cette option pour activer la capacité de déploiement des VNF sur des dispositifs Edge. Après le déploiement d'une ou de plusieurs VNF sur des dispositifs Edge, vous ne pouvez plus désactiver cette option. VNF de sécurité (Security VNFs) Cochez les cases appropriées pour déployer les VNF de sécurité correspondantes sur les dispositifs Edge. Pour plus d'informations, reportez-vous à la section VNF de sécurité dans le Guide d'administration de VMware SD-WAN. Paramètres de SD-WAN (SD-WAN Settings) Calcul du coût d'OFC (OFC Cost Calculation) Cochez la case requise : - Calcul du coût distribué (Distributed Cost Calculation) : cochez cette case pour déléguer le calcul du coût de route aux dispositifs Edge/passerelle.
Note : Cette option est disponible uniquement pour les dispositifs Edge/passerelles avec la version 3.4.0 et les version ultérieures. Après avoir activé l'option Calcul du coût distribué (Distributed Cost Calculation), il est recommandé d'actualiser les routes en accédant à Configure > Overlay Flow Control dans le service SD-WAN du portail d'entreprise. Pour plus d'informations, reportez-vous à la section Configurer le calcul du coût distribué.
- Utiliser la stratégie NSD (Use NSD Policy) : cochez cette case pour utiliser la stratégie NSD pour le calcul du coût de route vers les dispositifs Edge/passerelles.
Note : Cette option est disponible uniquement pour les dispositifs Edge/passerelles avec la version 4.2.0 et ultérieures.
Plusieurs balises DSCP par calcul de chemin de flux (Multiple-DSCP tags per Flow Path Calculation) Cette fonctionnalité est utilisée lorsque le trafic d'utilisateur d'origine est encapsulé dans un autre tunnel, comme GRE ou IPsec, et que les étiquettes DSCP sont enregistrées dans le nouvel en-tête IP. Elle active le calcul de chemin pour un flux unique (même source/destination) avec plusieurs balises DSCP et offre des différenciations de chemin basées sur les valeurs DSCP dans le flux. Cochez la case Inclure la valeur DSCP dans la recherche de flux (Include DSCP value as part of flow lookup) pour inclure les valeurs DSCP dans la recherche et le calcul du chemin de flux. Pour plus d'informations, reportez-vous à la section Configurer le calcul du chemin à l'aide de plusieurs étiquettes DSCP par flux.
Note : Ce champ n'est disponible que lorsque la propriété systèmesession.options.enableFlowParametersConfig
est définie sur Vrai (True).Accès à la fonctionnalité (Feature Access) Pare-feu avec état (Stateful Firewall) Cochez la case Pare-feu avec état (Stateful Firewall) pour remplacer les paramètres du pare-feu avec état activés sur le dispositif Edge d'entreprise. Services de pare-feu améliorés (Enhanced Firewall Services) Cochez la case Services de pare-feu améliorés (Enhanced Firewall Services) pour activer les services de pare-feu améliorés à l'aide de la fonctionnalité de pare-feu dans VMware SASE Orchestrator. Note : Pour que les services de pare-feu améliorés (EFS) fonctionnent, assurez-vous que la version du dispositif Edge a été mise à niveau vers la version 5.2.0.0.Note : Si vous décochez cette option, la fonctionnalité EFS sera uniquement désactivée dans l'interface utilisateur. Pour désactiver la fonctionnalité EFS pour un client existant, vous devez d'abord désactiver la fonctionnalité EFS dans le service SD-WAN du portail d'entreprise. Pour cela, accédez à Configurer (Configure) > Profils/Dispositifs Edge (Profiles/Edges) > Pare-feu (Firewall) > Contrôle de la fonctionnalité de pare-feu (Firewall Feature Control) > Sécurité améliorée (Enhanced Security), puis décochez cette case dans Paramètres globaux (Global Settings).Pour plus d'informations sur la configuration des divers services de sécurité améliorée et l'association à une règles de pare-feu, reportez-vous à la rubrique Configurer les services de sécurité améliorée dans le Guide d'administration de VMware SD-WAN. - Cliquez sur Enregistrer les modifications (Save Changes).
Note : Lorsque vous modifiez les paramètres de Stratégie de sécurité (Security Policy), les modifications peuvent entraîner des interruptions des services actuels. Par ailleurs, ces paramètres peuvent réduire le débit global et augmenter le temps requis pour la configuration du tunnel VCMP, ce qui peut affecter la configuration du tunnel dynamique site distant vers site distant et la récupération après une défaillance du dispositif Edge dans un cluster.