Αφού δημιουργήσετε έναν πελάτη, διαμορφώστε τις επιλογές και τις ρυθμίσεις δυνατοτήτων στις οποίες μπορεί να έχει πρόσβαση ο πελάτης. Ως Χειριστής, μπορείτε να επιλέξετε τις ρυθμίσεις που μπορεί να τροποποιήσει ο πελάτης.
Όταν δημιουργείτε έναν νέο πελάτη, ανακατευθύνεστε στη σελίδα Διαμόρφωση πελατών (Customer Configuration), όπου μπορείτε να διαμορφώσετε τις ρυθμίσεις πελάτη. Μπορείτε επίσης να μεταβείτε στη σελίδα Διαμόρφωση πελατών (Customer Configuration) απευθείας από την πύλη χειριστή, ακολουθώντας τα παρακάτω βήματα:
Διαδικασία
- Στη σελίδα επιλογών παρακολούθησης και διαμόρφωσης, επιλέξτε έναν πελάτη και από την επάνω κεφαλίδα, κάντε κλικ στις επιλογές SD-WAN > Καθολικές ρυθμίσεις (Global Settings).
- Από το αριστερό μενού, κάντε κλικ στην επιλογή Διαμόρφωση πελατών (Customer Configuration). Εμφανίζεται η ακόλουθη σελίδα:
Η ενότητα Διαμόρφωση υπηρεσίας (Service Configuration) περιλαμβάνει τις ακόλουθες τέσσερις υπηρεσίες:
- SD-WAN
- Edge Network Intelligence
- Cloud Web Security
- Secure Access
Κάντε κλικ στο κουμπί Ενεργοποίηση (Turn On) για να ενεργοποιήσετε κάθε υπηρεσία. Κάντε κλικ στα κάθετα αποσιωπητικά που υπάρχουν στην επάνω δεξιά γωνία κάθε πλακιδίου, για να απενεργοποιήσετε ή να διαμορφώσετε αυτήν την υπηρεσία. Μπορείτε επίσης να χρησιμοποιήσετε την επιλογή Διαμόρφωση (Configure) που υπάρχει στην κάτω δεξιά γωνία κάθε πλακιδίου, για να διαμορφώσετε την αντίστοιχη υπηρεσία. Κάθε πλακίδιο εμφανίζει τη σύνοψη διαμόρφωσης.
Σημείωση: Όταν επιλέγετε Απενεργοποίηση (Turn off), εμφανίζεται ένα αναδυόμενο παράθυρο που ζητά την επιβεβαίωσή σας. Επιλέξτε το πλαίσιο ελέγχου και κάντε κλικ στην επιλογή Απενεργοποίηση υπηρεσίας (Turn Off Service).- SD-WAN: Κάνοντας κλικ στην επιλογή Διαμόρφωση (Configure), εμφανίζεται το ακόλουθο αναδυόμενο παράθυρο. Διαμορφώστε τις ρυθμίσεις και, στη συνέχεια, κάντε κλικ στην επιλογή Ενημέρωση (Update).
Επιλογή Περιγραφή Τομέας (Domain) Εισαγάγετε το όνομα τομέα που θα χρησιμοποιηθεί για την ενεργοποίηση του ελέγχου ταυτότητας καθολικής σύνδεσης (SSO) για το Orchestrator. Αυτό απαιτείται επίσης για την ενεργοποίηση του Edge Network Intelligence για τον πελάτη. Προεπιλεγμένος έλεγχος ταυτότητας Edge (Default Edge Authentication) Επιλέξτε την προεπιλεγμένη επιλογή για τον έλεγχο ταυτότητας των Edge που σχετίζονται με τον πελάτη από το αναπτυσσόμενο μενού.
- Πιστοποιητικό απενεργοποιημένο (Certificate Deactivated): Το Edge χρησιμοποιεί μια λειτουργία ελέγχου ταυτότητας με ήδη κοινόχρηστο κλειδί.
- Λήψη πιστοποιητικού (Certificate Acquire) - Αυτή η επιλογή είναι ενεργοποιημένη από προεπιλογή και δίνει εντολή στο Edge να αποκτήσει ένα πιστοποιητικό από την αρχή πιστοποίησης του SD-WAN Orchestrator, δημιουργώντας ένα ζεύγος κλειδιών και στέλνοντας ένα αίτημα υπογραφής πιστοποιητικού στο Orchestrator. Μόλις αποκτηθεί, το Edge χρησιμοποιεί το πιστοποιητικό για έλεγχο ταυτότητας στο SD-WAN Orchestrator και για τη δημιουργία διοχετεύσεων VCMP.
Σημείωση: Μετά την απόκτηση του πιστοποιητικού, η επιλογή μπορεί να ενημερωθεί σε Απαιτείται πιστοποιητικό (Certificate Required).
- Απαιτείται πιστοποιητικό (Certificate Required) - Το Edge χρησιμοποιεί το πιστοποιητικό PKI. Οι χειριστές μπορούν να αλλάξουν το χρονικό περιθώριο ανανέωσης πιστοποιητικού για Edge, χρησιμοποιώντας την ιδιότητα συστήματος
edge.certificate.renewal.window
.
Εκχώρηση άδειας χρήσης Edge (Edge Licensing) Εμφανίζονται οι υπάρχουσες άδειες χρήσης Edge. Κάντε κλικ στην επιλογή Προσθήκη (Add) για να προσθέσετε ή να καταργήσετε άδειες χρήσης. Σημείωση: Οι τύποι των αδειών χρήσης μπορούν να χρησιμοποιηθούν σε πολλά Edge. Συνιστάται να εκχωρήσετε πρόσβαση στους πελάτες σας για όλους τους τύπους αδειών χρήσης, έτσι ώστε να αντιστοιχούν με την έκδοση και την περιοχή τους. Για περισσότερες πληροφορίες, δείτε Άδειες χρήσης Edge με το νέο περιβάλλον εργασίας χρήστη Orchestrator.Να επιτρέπεται στον πελάτη να διαχειρίζεται λογισμικό (Allow Customer to Manage Software) Επιλέξτε το πλαίσιο ελέγχου, αν θέλετε να επιτρέψετε σε έναν υπερχρήστη επιχείρησης να διαχειρίζεται τα είδωλα λογισμικού που είναι διαθέσιμα για την επιχείρηση. Προφίλ χειριστή (Operator Profile) Επιλέξτε ένα προφίλ χειριστή που θα συσχετιστεί με τον πελάτη από το διαθέσιμο αναπτυσσόμενο μενού. Αυτό το πεδίο δεν είναι διαθέσιμο, εάν είναι επιλεγμένο το στοιχείο Να επιτρέπεται στον πελάτη να διαχειρίζεται λογισμικό (Allow Customer to Manage Software). Για περισσότερες πληροφορίες σχετικά με τα προφίλ χειριστών, ανατρέξτε στην ενότητα Διαχείριση προφίλ χειριστών Μέγιστος αριθμός τμημάτων (Maximum Number of Segments) Εισαγάγετε τον μέγιστο αριθμό τμημάτων που μπορούν να διαμορφωθούν. Η έγκυρη περιοχή είναι 1 έως 16. Η προεπιλεγμένη τιμή είναι 16. - Edge Network Intelligence: Κάνοντας κλικ στην επιλογή Διαμόρφωση (Configure), εμφανίζεται το ακόλουθο αναδυόμενο παράθυρο. Διαμορφώστε τις ρυθμίσεις και, στη συνέχεια, κάντε κλικ στην επιλογή Ενημέρωση (Update).
Σημείωση: Μπορείτε να ενεργοποιήσετε αυτήν την επιλογή, μόνο όταν είναι ενεργοποιημένη η υπηρεσία SD-WAN.
Επιλογή Περιγραφή Τομέας (Domain) Εισαγάγετε το όνομα τομέα που θα χρησιμοποιηθεί για την ενεργοποίηση του ελέγχου ταυτότητας καθολικής σύνδεσης (SSO) για το Orchestrator. Αυτό απαιτείται επίσης για την ενεργοποίηση του Edge Network Intelligence για τον πελάτη. Κόμβοι ανάλυσης (Analytics Nodes) Εισαγάγετε τον μέγιστο αριθμό Edge που μπορούν να παρασχεθούν ως κόμβοι ανάλυσης. Από προεπιλογή, είναι επιλεγμένο το Απεριόριστο (Unlimited). Πρόσβαση δυνατότητας (Feature Access) Επιλέξτε το πλαίσιο ελέγχου Αυτοεπιδιόρθωση (Self Healing), για να επιτρέψετε στο Edge Network Intelligence να παρέχει συστάσεις για βελτίωση της απόδοσης. - Cloud Web Security: Αυτή η υπηρεσία είναι διαθέσιμη, μόνο όταν επιλέγετε μια Ομάδα πυλών (Gateway Pool) με ενεργοποιημένο ρόλο Cloud Web Security. Το Cloud Web Security είναι μια υπηρεσία που φιλοξενείται στο cloud και προστατεύει τους χρήστες και τις υποδομές που έχουν πρόσβαση σε εφαρμογές SaaS και στο Internet. Για περισσότερες πληροφορίες, ανατρέξτε στον Οδηγό διαμόρφωσης VMware Cloud Web Security. Κάνοντας κλικ στην επιλογή Διαμόρφωση (Configure), εμφανίζεται το ακόλουθο αναδυόμενο παράθυρο:
Επιλέξτε την απαιτούμενη έκδοση και, στη συνέχεια, κάντε κλικ στην επιλογή Ενημέρωση (Update). Η Τυπική έκδοση (Standard Edition) περιλαμβάνει Φιλτράρισμα διευθύνσεων URL, Επιθεώρηση SSL, Προστασία από ιούς, Έλεγχο ταυτότητας, Βασικό φίλτρο, Ενσωματωμένη ορατότητα CASB. Η Προηγμένη έκδοση (Advanced Edition) περιλαμβάνει Φιλτράρισμα διευθύνσεων URL, Επιθεώρηση SSL, Προστασία από ιούς, Έλεγχο ταυτότητας, Βασικό φίλτρο, Ενσωματωμένη ορατότητα και έλεγχοι CASB, Ενσωματωμένη ορατότητα και έλεγχοι DLP
- Secure Access: Αυτή η υπηρεσία είναι διαθέσιμη, μόνο όταν επιλέγετε μια Ομάδα πυλών (Gateway Pool) με ενεργοποιημένο ρόλο Cloud Web Security. Η λύση Secure Access συνδυάζει τις υπηρεσίες VMware SD-WAN και Workspace ONE για να παρέχει συνεπή, βέλτιστη και ασφαλή πρόσβαση σε εφαρμογές cloud μέσω ενός δικτύου παγκόσμιων διαχειριζόμενων κόμβων υπηρεσιών. Για περισσότερες πληροφορίες, ανατρέξτε στον Οδηγό διαμόρφωσης VMware Secure Access. Κάνοντας κλικ στην επιλογή Διαμόρφωση (Configure), εμφανίζεται το ακόλουθο αναδυόμενο παράθυρο:
Εισαγάγετε τον μέγιστο αριθμό PoP και, στη συνέχεια, κάντε κλικ στην επιλογή Ενημέρωση (Update).
- Ακολουθούν οι πρόσθετες ρυθμίσεις διαμόρφωσης που είναι διαθέσιμες στη σελίδα Διαμόρφωση πελατών (Customer Configuration):
Επιλογή Περιγραφή Καθολικά (Global) Εμφάνιση σύμβασης χρήστη (User Agreement Display) Επιλέξτε ένα από τα εξής από το αναπτυσσόμενο μενού: - Μεταβίβαση
- Παράκαμψη για απόκρυψη
- Παράκαμψη για προβολή
Σημείωση:Αυτό το πεδίο είναι διαθέσιμο μόνο όταν η ιδιότητα συστήματοςsession.options.enableUserAgreements
έχει οριστεί σε Αληθές (True).Πρόσβαση δυνατότητας (Feature Access) Παρέχει πρόσβαση στις επιλεγμένες δυνατότητες. Επιλέξτε ένα ή περισσότερα πλαίσια ελέγχου από την παρακάτω λίστα για να ενεργοποιήσετε αυτές τις δυνατότητες για τον πελάτη: - Έλεγχος ταυτότητας επιχείρησης (Enterprise Auth): Από προεπιλογή, μόνο ο χειριστής μπορεί να ενεργοποιήσει ή να απενεργοποιήσει τον έλεγχο ταυτότητας δύο παραγόντων για μια επιχείρηση. Όταν επιλέγετε αυτό το πλαίσιο ελέγχου, οι διαχειριστές επιχείρησης μπορούν να διαμορφώσουν μόνοι τους τον έλεγχο ταυτότητας δύο παραγόντων. Αυτή η επιλογή ελέγχει επίσης την ενεργοποίηση και απενεργοποίηση της καθολικής σύνδεσης (SSO).
- Ενεργοποίηση premium υπηρεσίας (Enable Premium Service): Αυτή η επιλογή είναι ενεργοποιημένη από προεπιλογή. Η Premium υπηρεσία αναφέρεται στη δυνατότητα αποκατάστασης κατ’ απαίτηση που αποτελεί βασικό μέρος της δυναμικής βελτιστοποίησης πολλαπλών διαδρομών (DMPO) του SD-WAN. Το DMPO χρησιμοποιείται για όλη την κυκλοφορία που διασχίζει μια πύλη SD-WAN. Όταν είναι επιλεγμένη η Premium υπηρεσία, η πύλη χρησιμοποιεί τη διόρθωση σφαλμάτων προώθησης (FEC) για την κυκλοφορία πελατών που επηρεάζεται από υψηλά επίπεδα διακύμανσης καθυστέρησης ή απώλειας σύνδεσης WAN και η οποία δεν μπορεί να κατευθυνθεί σε σύνδεση WAN καλύτερης ποιότητας. Όταν δεν είναι επιλεγμένη η Premium υπηρεσία, η κυκλοφορία εξακολουθεί να διασχίζει την πύλη SD-WAN και να επωφελείται από άλλα στοιχεία του DMPO, όπως είναι η συνεχής παρακολούθηση, το δυναμικό σύστημα διεύθυνσης εφαρμογών και η ασφαλής μετάδοση κυκλοφορίας. Ωστόσο, η κυκλοφορία που επηρεάζεται από υψηλά επίπεδα διακύμανσης καθυστέρησης ή απώλειας σύνδεσης WAN δεν επωφελείται από τη διόρθωση σφαλμάτων από την πύλη. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Δυναμική βελτιστοποίησης πολλαπλών διαδρομών (DMPO) στον Οδηγό διαχείρισης VMware SD-WAN.
- Προσαρμογή ρόλων (Role Customization): Επιτρέπει σε έναν εταιρικό υπερχρήστη να προσαρμόζει τα προνόμια ρόλου για άλλους εταιρικούς χρήστες.
Ανάθεση διαχείρισης σε πελάτη (Delegate Management To Customer) Επιτρέπει στον πελάτη να τροποποιήσει τις ρυθμίσεις της επιλεγμένης ιδιότητας. Οι ακόλουθες δύο ιδιότητες είναι πάντα ορατές στους πελάτες: - Ενεργοποίηση αντιστοίχισης CoS (Enable CoS Mapping): Επιτρέπει τη διαμόρφωση της αντιστοίχισης CoS κατά τη διαμόρφωση μιας επιχειρηματικής πολιτικής.
- Ενεργοποίηση περιορισμού ρυθμού υπηρεσίας (Enable Service Rate Limiting): Επιτρέπει τον περιορισμό ρυθμού της υπηρεσίας σε μια επιχειρηματική πολιτική.
Ομάδα πυλών (Gateway Pool) Τρέχουσα ομάδα πυλών (Current Gateway Pool) Επιλέξτε τον ομάδα πυλών από το αναπτυσσόμενο μενού. Πύλες σε αυτήν την ομάδα (Gateways in this Pool) Εμφανίζει τις λεπτομέρειες πύλης στην τρέχουσα ομάδα. Παράδοση συνεργάτη (Partner Hand Off) Η ενεργοποίηση αυτής της επιλογής εμφανίζει την ενότητα Διαμόρφωση παράδοσης (Configure Hand Off). Για λεπτομέρειες, ανατρέξτε στην ενότητα Διαμόρφωση παράδοσης. Πολιτική ασφάλειας (Security Policy) Κατακερματισμός (Hash) Από προεπιλογή, δεν υπάρχει διαμορφωμένος αλγόριθμος ελέγχου ταυτότητας για την κεφαλίδα VPN, καθώς το AES-GCM είναι πιστοποιημένος αλγόριθμος κρυπτογράφησης. Όταν επιλέγετε το πλαίσιο ελέγχου Απενεργοποίηση GCM (Turn off GCM), μπορείτε να επιλέξετε ένα από τα παρακάτω ως αλγόριθμο ελέγχου ταυτότητας για την κεφαλίδα VPN, από το αναπτυσσόμενο μενού: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Κρυπτογράφηση (Encryption) Επιλέξτε AES 128 ή AES 256 ως μέγεθος του κλειδιού των αλγορίθμων AES για την κρυπτογράφηση δεδομένων. Η προεπιλεγμένη λειτουργία αλγορίθμου κρυπτογράφησης είναι AES 128. Ομάδα DH (DH Group) Επιλέξτε τον αλγόριθμο της ομάδας Diffie-Hellman (DH) που θα χρησιμοποιηθεί κατά την ανταλλαγή ενός ήδη κοινόχρηστου κλειδιού. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Οι υποστηριζόμενες ομάδες DH είναι 2, 5, 14, 15 και 16. Συνιστάται να χρησιμοποιήσετε την ομάδα DH 14, που είναι η προεπιλεγμένη τιμή. PFS Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι 2, 5, 14, 15 και 16. Από προεπιλογή, το PFS είναι απενεργοποιημένο. Απενεργοποίηση GCM (Turn off GCM) Επιλέξτε αυτό το πλαίσιο ελέγχου για να ενεργοποιήσετε την επιλογή Κατακερματισμός (Hash) και επιλέξτε έναν αλγόριθμο ελέγχου ταυτότητας για την κεφαλίδα VPN. Χρόνος διάρκειας ζωής IPSec SA (λεπτά) [IPSec SA Lifetime Time(min)] Χρόνος κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού πρωτοκόλλου ασφαλείας Internet (IPSec) για τα Edge. Η ελάχιστη διάρκεια ζωής του IPsec είναι 3 λεπτά και η μέγιστη διάρκεια ζωής του IPsec είναι 480 λεπτά. Η προεπιλεγμένη τιμή είναι 480 λεπτά. Σημείωση: Δεν συνιστάται η διαμόρφωση χαμηλής τιμής διάρκειας ζωής για IPsec (λιγότερο από 10 λεπτά), καθώς μπορεί να προκληθεί διακοπή της κυκλοφορίας σε ορισμένες αναπτύξεις λόγω των νέων κλειδιών. Οι χαμηλές τιμές διάρκειας ζωής προορίζονται μόνο για σκοπούς εντοπισμού σφαλμάτων.Διάρκεια ζωής IKE SA (λεπτά) [IKE SA Lifetime(min)] Χρόνος κατά τον οποίο ξεκινά η δημιουργία νέου κλειδιού ανταλλαγής κλειδιών Internet (IKE) για τα Edge. Η ελάχιστη διάρκεια ζωής του IKE είναι 10 λεπτά και η μέγιστη διάρκεια ζωής του IKE είναι 1440 λεπτά. Η προεπιλεγμένη τιμή είναι 1440 λεπτά. Σημείωση: Δεν συνιστάται η διαμόρφωση χαμηλών τιμών διάρκειας ζωής IKE (λιγότερο από 30 λεπτά), καθώς μπορεί να προκληθεί διακοπή της κυκλοφορίας σε ορισμένες αναπτύξεις λόγω των νέων κλειδιών. Οι χαμηλές τιμές διάρκειας ζωής προορίζονται μόνο για σκοπούς εντοπισμού σφαλμάτων.Παράκαμψη ασφαλούς προεπιλεγμένης δρομολόγησης (Secure Default Route Override) Επιλέξτε το πλαίσιο ελέγχου, έτσι ώστε ο προορισμός της κυκλοφορίας που αντιστοιχεί σε μια ασφαλή προεπιλεγμένη δρομολόγηση (είτε στατική είτε δρομολόγηση BGP) από μια πύλη συνεργατών να μπορεί να παρακαμφθεί χρησιμοποιώντας την επιχειρηματική πολιτική. Σημείωση: Για οδηγίες σχετικά με τον τρόπο ενεργοποίησης της ασφαλούς δρομολόγησης σε ένα Edge, ανατρέξτε στην ενότητα Διαμόρφωση παράδοσης συνεργάτη. Για περισσότερες πληροφορίες σχετικά με τη διαμόρφωση του κανόνα υπηρεσίας δικτύου για επιχειρηματική πολιτική, ανατρέξτε στην ενότητα «Διαμόρφωση κανόνα υπηρεσίας δικτύου για επιχειρηματική πολιτική» στον Οδηγό διαχείρισης VMware SD-WAN που είναι διαθέσιμος στην Τεκμηρίωση του VMware SD-WAN.Εικονικοποίηση λειτουργίας δικτύου Edge (Edge Network Function Virtualization) Edge NFV Ορίστε αυτήν την επιλογή για να ενεργοποιήσετε τη δυνατότητα ανάπτυξης VNF σε Edge. Μετά την ανάπτυξη ενός ή περισσότερων VNF σε Edge, δεν μπορείτε να απενεργοποιήσετε αυτήν την επιλογή. VNF ασφαλείας (Security VNFs) Επιλέξτε τα σχετικά πλαίσια ελέγχου, για να αναπτύξετε τα αντίστοιχα VNF ασφαλείας στα Edge. Ρυθμίσεις SD-WAN (SD-WAN Settings) Υπολογισμός κόστους OFC (OFC Cost Calculation) Επιλέξτε το απαιτούμενο πλαίσιο ελέγχου: - Υπολογισμός κατανεμημένου κόστους (Distributed Cost Calculation): Επιλέξτε αυτό το πλαίσιο ελέγχου για να αναθέσετε τον υπολογισμό κόστους δρομολόγησης σε Edge/πύλες.
Σημείωση: Αυτή η επιλογή είναι διαθέσιμη μόνο για τα Edge/τις πύλες με έκδοση 3.4.0 και μεταγενέστερες εκδόσεις.
- Χρήση πολιτικής NSD (Use NSD Policy): Επιλέξτε αυτό το πλαίσιο ελέγχου για να χρησιμοποιήσετε την πολιτική NSD για τον υπολογισμό του κόστους δρομολόγησης σε Edge/πύλες.
Σημείωση: Αυτή η επιλογή είναι διαθέσιμη μόνο για τα Edge/τις πύλες με έκδοση 4.2.0 και μεταγενέστερες.
Πολλαπλές ετικέτες DSCP ανά υπολογισμό διαδρομής ροής (Multiple-DSCP tags per Flow Path Calculation) Επιλέξτε το πλαίσιο ελέγχου για να συμπεριλάβετε την τιμή DSCP ως μέρος της εμφάνισης ροής. Σημείωση: Αυτό το πεδίο είναι διαθέσιμο μόνο όταν η ιδιότητα συστήματοςsession.options.enableFlowParametersConfig
έχει οριστεί σε Αληθές (True).Πρόσβαση δυνατότητας (Feature Access) Επιλέξτε το πλαίσιο ελέγχου Καταστασιακό τείχος προστασίας (Stateful Firewall), για να παρακάμψετε τις ρυθμίσεις καταστασιακού τείχους προστασίας που είναι ενεργοποιημένες στο Edge της επιχείρησης. - Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).
Σημείωση: Όταν τροποποιείτε τις ρυθμίσεις Πολιτικής ασφάλειας (Security Policy), οι αλλαγές ενδέχεται να προκαλέσουν διακοπές στις τρέχουσες υπηρεσίες. Επιπλέον, αυτές οι ρυθμίσεις ενδέχεται να μειώσουν τη συνολική ταχύτητα μετάδοσης και να αυξήσουν τον χρόνο που απαιτείται για τη ρύθμιση της διοχέτευσης VCMP, η οποία μπορεί να επηρεάσει τους χρόνους ρύθμισης δυναμικής διοχέτευσης διακλάδωσης προς διακλάδωση και την αποκατάσταση από αποτυχία Edge σε σύμπλεγμα.