Dopo aver creato un cliente, configurare le opzioni e le impostazioni delle funzionalità a cui il cliente può accedere. In qualità di operatore, è possibile scegliere le impostazioni modificabili dal cliente.

Quando si crea un nuovo cliente, si viene reindirizzati alla pagina Configurazione cliente (Customer Configuration), in cui è possibile configurare le impostazioni del cliente. È inoltre possibile passare alla pagina Configurazione cliente (Customer Configuration) direttamente dal portale dell'operatore tramite i passaggi seguenti:

Procedura

  1. Nella pagina delle opzioni di monitoraggio e configurazione, selezionare un cliente e nell'intestazione superiore fare clic su SD-WAN > Impostazioni globali (Global Settings).
  2. Nel menu a sinistra, fare clic su Configurazione cliente (Customer Configuration). Viene visualizzata la seguente pagina:
    La sezione Configurazione servizio (Service Configuration) include i quattro servizi seguenti:
    • SD-WAN
    • Edge Network Intelligence
    • Cloud Web Security
    • Secure Access

    Fare clic sul pulsante Attiva (Turn On) per attivare ciascun servizio. Fare clic sui puntini di sospensione verticali presenti nell'angolo superiore destro di ogni riquadro per disattivare o configurare tale servizio. È inoltre possibile utilizzare l'opzione Configura (Configure) presente nell'angolo in basso a destra di ogni riquadro per configurare il rispettivo servizio. Ogni riquadro visualizza il riepilogo della configurazione.

    Nota: Quando si seleziona l'opzione Disattiva (Turn off), viene visualizzata una finestra popup che chiede di confermare. Selezionare la casella di controllo e fare clic su Disattiva servizio (Turn Off Service).
    1. SD-WAN: se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente. Configurare le impostazioni e quindi fare clic su Aggiorna (Update).
      Opzione Descrizione
      Dominio (Domain) Immettere il nome del dominio da utilizzare per attivare l'autenticazione Single Sign-On (SSO) per Orchestrator. Questa operazione è necessaria anche per attivare Edge Network Intelligence per il cliente.
      Autenticazione Edge predefinita (Default Edge Authentication)

      Nel menu a discesa, scegliere l'opzione predefinita per eseguire l'autenticazione degli Edge associati al cliente.

      • Certificato disattivato (Certificate Deactivated): l'Edge utilizza una modalità di autenticazione PSK (Pre-Shared Key).
      • Acquisizione certificato (Certificate Acquire): questa opzione, selezionata per impostazione predefinita, indica all'Edge di acquisire un certificato dall'autorità di certificazione di SD-WAN Orchestrator generando una coppia di chiavi e inviando una richiesta di firma del certificato a Orchestrator. Una volta acquisito il certificato, l'Edge lo utilizza per l'autenticazione in SD-WAN Orchestrator e per la creazione di tunnel VCMP.
        Nota: Dopo aver acquisito il certificato, l'opzione può essere aggiornata a Certificato richiesto (Certificate Required).
      • Certificato richiesto (Certificate Required): Edge utilizza il certificato PKI. Gli operatori possono modificare la finestra temporale di rinnovo del certificato per gli Edge utilizzando la proprietà di sistema edge.certificate.renewal.window.
      Assegnazione licenze Edge (Edge Licensing) Vengono visualizzate le licenze dell'Edge esistenti. Fare clic su Aggiungi (Add) per aggiungere o rimuovere le licenze.
      Nota: I tipi di licenza possono essere utilizzati su più Edge. È consigliabile fornire ai clienti l'accesso a tutti i tipi di licenze per utilizzarle con le rispettive versioni e aree geografiche. Per ulteriori informazioni, vedere Assegnazione delle licenze Edge con la nuova interfaccia utente di Orchestrator.
      Consenti al cliente di gestire il software (Allow Customer to Manage Software) Selezionare la casella di controllo se si desidera consentire a un superuser aziendale di gestire le immagini software disponibili per l'azienda.
      Profilo operatore (Operator Profile) Nel menu a discesa disponibile, selezionare un profilo operatore da associare al cliente. Questo campo non è disponibile se è selezionata l'opzione Consenti al cliente di gestire il software (Allow Customer to Manage Software) è selezionata. Per ulteriori informazioni sui profili operatore, vedere Gestione dei profili operatore
      Numero massimo di segmenti (Maximum Number of Segments) Immettere il numero massimo di segmenti che è possibile configurare. L'intervallo valido è compreso tra 1 e 16. Il valore predefinito è 16.
    2. Edge Network Intelligence: se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente. Configurare le impostazioni e quindi fare clic su Aggiorna (Update).
      Nota: È possibile selezionare questa opzione solo quando il servizio SD-WAN è attivato.
      Opzione Descrizione
      Dominio (Domain) Immettere il nome del dominio da utilizzare per attivare l'autenticazione Single Sign-On (SSO) per Orchestrator. Questa operazione è necessaria anche per attivare Edge Network Intelligence per il cliente.
      Nodi di analisi (Analytics Nodes) Immettere il numero massimo di Edge di cui è possibile eseguire il provisioning come nodi di analisi. Per impostazione predefinita, è selezionata l'opzione Illimitato (Unlimited).
      Accesso alla funzionalità (Feature Access) Selezionare la casella di controllo Riparazione automatica (Self Healing) per consentire a Edge Network Intelligence di fornire consigli per migliorare le prestazioni.
    3. Cloud Web Security: questo servizio è disponibile solo quando si seleziona un Pool di gateway (Gateway Pool) con un ruolo Cloud Web Security attivato. Cloud Web Security è un servizio ospitato nel cloud che protegge gli utenti e l'infrastruttura che accedono alle applicazioni SaaS e Internet. Per ulteriori informazioni, consultare la Guida alla configurazione di VMware Cloud Web Security. Se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente:

      Selezionare la versione richiesta e quindi fare clic su Aggiorna (Update). La Standard Edition include filtro URL, ispezione SSL, antivirus, autenticazione, sandbox di base e visibilità CASB inline. La Advanced Edition include filtro URL, ispezione SSL, antivirus, autenticazione, sandbox di base, visibilità e controlli CASB inline, nonché visibilità e controlli DLP inline

    4. Secure Access: questo servizio è disponibile solo quando si seleziona un Pool di gateway (Gateway Pool) con un ruolo Cloud Web Security attivato. La soluzione Secure Access combina i servizi di VMware SD-WAN e Workspace ONE per fornire un accesso coerente, ottimale e sicuro alle applicazioni cloud tramite una rete di nodi di servizi gestiti a livello mondiale. Per ulteriori informazioni, consultare la Guida alla configurazione di VMware Secure Access. Se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente:

      Immettere il numero massimo di PoP e quindi fare clic su Aggiorna (Update).

  3. Di seguito sono elencate le impostazioni di configurazione aggiuntive disponibili nella pagina Configurazione cliente (Customer Configuration):
    Opzione Descrizione
    Globale (Global)
    Visualizzazione contratto di licenza (User Agreement Display) Selezionare una delle seguenti opzioni nel menu a discesa:
    • Eredita
    • Sostituisci per nascondere
    • Sostituisci per visualizzare
    Nota:
    Questo campo è disponibile solo quando la proprietà di sistema session.options.enableUserAgreements è impostata su True.
    Accesso alla funzionalità (Feature Access) Consente di accedere alle funzionalità selezionate. Selezionare una o più caselle di controllo nell'elenco seguente per attivare queste funzionalità per il cliente:
    • Autenticazione Enterprise (Enterprise Auth): per impostazione predefinita, solo l'operatore può attivare o disattivare l'autenticazione a due fattori per un'azienda. Quando si seleziona questa casella di controllo, gli amministratori dell'azienda possono configurare autonomamente l'autenticazione a due fattori. Questa opzione controlla anche l'attivazione e la disattivazione di Single Sign-On (SSO).
    • Abilita servizio Premium (Enable Premium Service): questa opzione è selezionata per impostazione predefinita. Il servizio Premium si riferisce alla funzionalità di correzione su richiesta che è una parte importante di Dynamic Multipath Optimization (DMPO) di SD-WAN. DMPO viene utilizzato per tutto il traffico che attraversa un SD-WAN Gateway. Quando è selezionato il servizio Premium, il gateway utilizza la correzione degli errori di inoltro (FEC) per il traffico del cliente interessato da livelli elevati di jitter o perdita del link WAN e che non può essere reindirizzato a un link WAN di qualità migliore. Quando il servizio Premium non è selezionato, il traffico attraversa comunque SD-WAN Gateway e utilizza gli altri componenti di DMPO come il monitoraggio continuo, il reindirizzamento dinamico dell'applicazione e la trasmissione sicura del traffico. Tuttavia, il traffico interessato da livelli elevati di jitter o perdita del link WAN non trae vantaggio dalla correzione degli errori da parte del gateway. Per ulteriori informazioni, vedere l'argomento Dynamic Multipath Optimization (DMPO) nella Guida all'amministrazione di VMware SD-WAN.
    • Personalizzazione ruoli (Role Customization): consente a un superuser aziendale di personalizzare i privilegi del ruolo per gli altri utenti aziendali.
    Delega gestione al cliente (Delegate Management To Customer) Consente al cliente di modificare le impostazioni della proprietà selezionata. Le due proprietà seguenti sono sempre visibili ai clienti:
    • Abilita mappatura CoS (Enable CoS Mapping): consente di configurare la mappatura CoS durante la configurazione di un criterio di business.
    • Abilita limitazione velocità servizio (Enable Service Rate Limiting): consente di limitare i servizi in un criterio di business.
    Pool di gateway (Gateway Pool)
    Pool di gateway corrente (Current Gateway Pool) Selezionare il pool di gateway nel menu a discesa.
    Gateway in questo pool (Gateways in this Pool) Visualizza i dettagli dei gateway nel pool corrente.
    Handoff partner (Partner Hand Off) Se si attiva questa opzione, viene visualizzata la sezione Configura handoff (Configure Hand Off). Per i dettagli, vedere Configura handoff.
    Criterio di protezione (Security Policy)
    Hash Per impostazione predefinita, non è configurato alcun algoritmo di autenticazione per l'intestazione VPN, perché AES-GCM è un algoritmo di crittografia autenticato. Quando si seleziona la casella di controllo Disattiva GCM (Turn off GCM), nel menu a discesa è possibile selezionare uno dei seguenti come algoritmo di autenticazione per l'intestazione VPN:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    Crittografia (Encryption) Selezionare AES 128 o AES 256 come dimensioni della chiave dell'algoritmo AES per crittografare i dati. La modalità predefinita dell'algoritmo di crittografia è AES 128.
    Gruppo DH (DH Group) Selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia una chiave PSK. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5, 14, 15 e 16. È consigliabile utilizzare il gruppo DH 14, che è il valore predefinito.
    PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono 2, 5, 14, 15 e 16. PFS è disattivato per impostazione predefinita.
    Disattiva GCM (Turn off GCM) Selezionare questa casella di controllo per attivare Hash e selezionare un algoritmo di autenticazione per l'intestazione VPN.
    Durata SA IPSec (min) (IPSec SA Lifetime Time(min)) Indica quando la ridefinizione delle chiavi IPSec (Internet Security Protocol) viene avviata per gli Edge. La durata minima di IPSec è 3 minuti e la durata massima di IPSec è 480 minuti. Il valore predefinito è 480 minuti.
    Nota: Non è consigliabile configurare valori bassi per la durata di IPSec (meno di 10 minuti), perché possono causare un'interruzione del traffico in alcune distribuzioni a causa della ridefinizione delle chiavi. I valori di durata bassi sono solo a scopo di debug.
    Durata SA IKE (min) (IKE SA Lifetime(min)) Indica quando la ridefinizione delle chiavi IKE (Internet Key Exchange) viene avviata per gli Edge. La durata minima di IKE è 10 minuti e la durata massima di IKE è 1440 minuti. Il valore predefinito è 1440 minuti.
    Nota: Non è consigliabile configurare valori bassi per la durata di IKE (meno di 30 minuti), perché possono causare un'interruzione del traffico in alcune distribuzioni a causa della ridefinizione delle chiavi. I valori di durata bassi sono solo a scopo di debug.
    Sostituzione route predefinita sicura (Secure Default Route Override) Selezionare la casella di controllo in modo che la destinazione del traffico che corrisponde a una route predefinita sicura (route statica o route BGP) da un gateway partner possa essere sostituita utilizzando i criteri di business.
    Nota: Per istruzioni su come attivare il routing sicuro in un Edge, fare riferimento a Configurazione dell'handoff del partner. Per ulteriori informazioni sulla configurazione di un servizio di rete per la regola del criterio di business, fare riferimento all'argomento corrispondente nella Guida all'amministrazione di VMware SD-WAN disponibile nella documentazione di VMware SD-WAN.
    Virtualizzazione funzione di rete Edge (Edge Network Function Virtualization)
    NFV Edge (Edge NFV) Selezionare questa opzione per attivare la funzionalità di distribuzione di VNF negli Edge. Dopo aver distribuito una o più VNF negli Edge, non è possibile disattivare questa opzione.
    VNF di sicurezza (Security VNFs) Selezionare le caselle di controllo pertinenti per distribuire le VNF di sicurezza corrispondenti negli Edge.
    Impostazioni SD-WAN (SD-WAN Settings)
    Calcolo costi OFC (OFC Cost Calculation) Selezionare la casella di controllo richiesta:
    • Calcolo dei costi distribuito (Distributed Cost Calculation): selezionare questa casella di controllo per delegare il calcolo dei costi della route agli Edge o ai gateway.
      Nota: Questa opzione è disponibile solo per gli Edge o i gateway con versione 3.4.0 e successive.
    • Usa criterio NSD (Use NSD Policy): selezionare questa casella di controllo per utilizzare il criterio NSD per il calcolo dei costi della route verso l'Edge o il gateway.
      Nota: Questa opzione è disponibile solo per gli Edge o i Gateway con versione 4.2.0 e successive.
    Più tag DSCP per calcolo percorso di flusso (Multiple-DSCP tags per Flow Path Calculation) Selezionare la casella di controllo per includere il valore di DSCP come parte della ricerca del flusso.
    Nota: Questo campo è disponibile solo quando la proprietà di sistema session.options.enableFlowParametersConfig è impostata su True.
    Accesso alla funzionalità (Feature Access) Selezionare la casella di controllo Firewall stateful (Stateful Firewall) per sostituire le impostazioni del firewall stateful attivate nell'Edge aziendale.
  4. Fare clic su Salva modifiche (Save Changes).
    Nota: Quando si modificano le impostazioni di Criterio di protezione (Security Policy), le modifiche possono causare l'interruzione dei servizi correnti. Queste impostazioni possono inoltre ridurre la velocità effettiva complessiva e aumentare il tempo necessario per la configurazione del tunnel VCMP. Ciò può influire sui tempi di configurazione del tunnel dinamico da filiale a filiale e sul ripristino da un errore dell'Edge in un cluster.