Pour déployer un service VMware Secure Access à l'aide de SD-WAN Orchestrator :

Conditions préalables

  • Assurez-vous que vous avez effectué la configuration requise sur Workspace ONE UEM. Pour plus d'informations, reportez-vous à la section Prise en main du déploiement de VMware Secure Access.
  • Assurez-vous que vous disposez du nombre maximal de points de présence (Points of Presence, PoPs) pour Secure Access dans SD-WAN Orchestrator. Le nombre maximal dépend du nombre de VMware SASE PoP déployés sur SD-WAN Orchestrator. Pour définir le nombre maximal de PoP, accédez à Configurer (Configure) > Client (Customer) > Configuration du client (Customer Configuration) > Accès au service (Service Access).

Procédure

  1. Connectez-vous à SD-WAN Orchestrator en tant qu'utilisateur d'entreprise, puis cliquez sur Ouvrir la nouvelle interface utilisateur d'Orchestrator (Open New Orchestrator UI).
  2. Dans la fenêtre contextuelle modale Nouvelle interface utilisateur d'Orchestrator (New Orchestrator UI) qui s'affiche, cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator UI).
  3. Dans la liste déroulante SD-WAN des applications d'entreprise (Enterprise Applications SD-WAN), sélectionnez Secure Access.
  4. Sur la page Secure Access qui s'affiche, cliquez sur + Nouveau service (+ New Service).
    L'assistant Accès distant (Remote Access) s'affiche.
  5. Dans l'écran Configuration UEM (UEM Configuration) de l'assistant Accès distant (Remote Access), effectuez les configurations suivantes :
    1. Dans le champ Nom DNS (DNS Name), entrez le nom d'hôte que vous avez fourni lors de la configuration du tunnel Workspace ONE UEM. Reportez-vous à l'étape 4 de la section Prise en main du déploiement de VMware Secure Access.
    2. Dans le champ URL UEM (UEM URL), entrez l'URL de l'API Workspace ONE UEM liée à votre environnement UEM.
    3. Dans le champ ID du groupe d'organisations UEM (UEM Org Group ID), entrez l'identifiant du groupe d'organisations que vous avez créé lors de la configuration de Workspace ONE UEM. Reportez-vous à l'étape 1 de la section Prise en main du déploiement de VMware Secure Access.
    4. Dans la section Informations d'identification UEM WS1 (WS1 UEM Credentials), entrez le nom d'utilisateur et le mot de passe que vous aviez configurés lors de la création du compte d'administrateur dans Workspace ONE UEM Console. Reportez-vous à l'étape 2 de la section Prise en main du déploiement de VMware Secure Access.
    5. Cochez la case Oui (Yes) pour configurer le nom d'hôte du tunnel UEM dans le groupe d'organisations que vous aviez créé.
    6. Cliquez sur Vérifier (Check).
      Un appel d'API est effectué au serveur UEM pour valider les informations entrées. Une fois la validation réussie, cliquez sur Suivant (Next).
  6. Dans l'écran Paramètres d'entreprise et de réseau (Enterprise and Network settings) de l'assistant Accès distant (Remote Access), effectuez les configurations suivantes :
    1. Dans la liste déroulante Serveur DNS d'entreprise (Enterprise DNS Server), sélectionnez le serveur DNS requis configuré pour l'entreprise. La valeur par défaut est Google ou OpenDNS.
    2. Dans la liste Segment SD-WAN (SD WAN Segment), sélectionnez le segment requis pour lequel vous souhaitez activer le service Secure Access. La valeur par défaut est Segment global (Global Segment).
    3. Dans la section Plages d'adresses IP d'entreprise (Enterprise IP Ranges), entrez les informations suivantes :
      • Sous-réseau du client (Customer Subnet) : il s'agit d'un sous-réseau dont le client est propriétaire et qui sera utilisé par les utilisateurs distants lors de l'accès au réseau. Ce sous-réseau du client fonctionne comme un super réseau qui sera divisé et distribué entre autant de PoP SASE que l'utilisateur a configurés pour son déploiement (jusqu'à cinq PoP SASE peuvent être configurées).
      • Bits de sous-réseaux (Subnet Bits) : configurez entre 1 et 3 bits de sous-réseaux pour diviser le sous-réseau du client en sous-réseaux individuels pouvant être alloués aux PoP.
      Le tableau suivant illustre la relation entre le sous-réseau du client et les bits de sous-réseaux :
      Sous-réseau du client (Customer Subnet) Bits de sous-réseaux (Subnet Bits) Nombre de sous-réseaux (Number of Subnets) Sous-réseau par PoP (Subnet per PoP)
      10.10.1.0/24 1 2
      • 10.10.1.0/25
      • 10.10.1.128/25
      10.10.1.0/24 2 4
      • 10.10.1.0/26
      • 10.10.1.64/26
      • 10.10.1.128/26
      • 10.10.1.192/26
      10.10.1.0/24 3 8
      • 10.10.1.0/27
      • 10.10.1.32/27
      • 10.10.1.64/27
      • 10.10.1.96/27
      • 10.10.1.128/27
      • 10.10.1.160/27
      • 10.10.1.192/27
      • 10.10.1.224/27
      Le nombre de bits de sous-réseaux choisis détermine le nombre de sous-réseaux qui seront créés à partir du sous-réseau du client. Comme indiqué dans le tableau ci-dessus, si vous configurez :
      • Un bit de sous-réseau, le sous-réseau du client est divisé en deux sous-réseaux, qui peuvent être attribués à deux PoP.
      • Deux bits de sous-réseaux, le sous-réseau du client est divisé en quatre sous-réseaux, qui peuvent être attribués à quatre PoP.
      • Trois bits de sous-réseaux, le sous-réseau du client est divisé en huit sous-réseaux, qui peuvent être attribués à cinq PoP, et trois sous-réseaux resteront non alloués.

      Le diagramme suivant décrit la relation entre le sous-réseau du client et les bits de sous-réseaux :

    4. Cliquez sur Suivant (Next).
  7. Dans l'écran Sélection PoP (PoP Selection) de l'assistant Accès distant (Remote Access), dans la liste déroulante Instance(s) sélectionnée(s) [Selected Instance(s)], sélectionnez l'emplacement PoP auquel le serveur de tunnel sera instancié. Cliquez sur Suivant (Next).
  8. Dans l'écran Sécurité supplémentaire (facultatif) [Additional Security (optional)] de l'assistant Accès distant (Remote Access), vous pouvez choisir d'activer Cloud Web Security sur Secure Access.
    Si Cloud Web Security est activé, assurez-vous qu'une règle de contournement/d'exemption de l'inspection SSL (Secure Socket Layer) est créée dans la stratégie CWS sous la section Inspection SSL (SSL Inspection). Le comportement par défaut de l'inspection SSL consiste à déchiffrer tout le trafic chiffré. La création de règles SSL est décrite en détail dans le Guide de configuration de Cloud Web Security. La règle couvre le trafic de destination envoyé au domaine awmdm.com et s'assure que CWS ne déchiffre pas ce trafic. Cliquez sur Suivant (Next).
  9. Dans l'écran Nom, Description, Balises (Name, Description, Tags) de l'assistant Accès distant (Remote Access), entrez le nom du service Secure Access et ajoutez des balises ou une description, si nécessaire, puis cliquez sur Terminer (Finish).

Résultats

La mise en ligne du serveur tunnel et l'établissement de la connectivité au PoP SASE peuvent prendre quelques minutes. L'état des déploiements indique En cours (In Progress) pendant le provisionnement. Actualisez la page pour vérifier l'état. Une fois le serveur de tunnel établi, l'état du déploiement indique Terminé (Completed).

Que faire ensuite

Vous devez inscrire vos périphériques avec l'application Workspace ONE Intelligent Hub. Reportez-vous à la section Inscrire des périphériques dans Workspace ONE Intelligent Hub.