Dopo aver creato un cliente, configurare le opzioni e le impostazioni delle funzionalità a cui il cliente può accedere. Un superuser partner può scegliere le impostazioni che possono essere modificate dal cliente partner.

Quando si crea un nuovo cliente, si viene reindirizzati alla pagina Configurazione cliente (Customer Configuration), in cui è possibile configurare le impostazioni del cliente. È possibile passare alla pagina di configurazione anche eseguendo i passaggi seguenti:

Procedura

  1. Nel portale del partner, selezionare un cliente partner e nell'intestazione superiore fare clic su SD-WAN > Impostazioni globali (Global Settings).
  2. Nel menu a sinistra, fare clic su Configurazione cliente (Customer Configuration). Viene visualizzata la seguente pagina:
    La sezione Configurazione servizio (Service Configuration) include i quattro servizi seguenti:
    • SD-WAN
    • Edge Network Intelligence
    • Cloud Web Security
    • Secure Access

    Fare clic sul pulsante Attiva (Turn On) per attivare ciascun servizio. Fare clic sui puntini di sospensione verticali presenti nell'angolo superiore destro di ogni riquadro per disattivare o configurare tale servizio. È inoltre possibile utilizzare l'opzione Configura (Configure) presente nell'angolo in basso a destra di ogni riquadro per configurare il rispettivo servizio. Ogni riquadro visualizza il riepilogo della configurazione.

    Nota: Quando si seleziona l'opzione Disattiva (Turn off), viene visualizzata una finestra popup che chiede di confermare. Selezionare la casella di controllo e fare clic su Disattiva servizio (Turn Off Service).
    1. SD-WAN: se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente. Configurare le impostazioni e quindi fare clic su Aggiorna (Update).
      Opzione Descrizione
      Dominio (Domain) Immettere il nome del dominio da utilizzare per attivare l'autenticazione Single Sign-On (SSO) per Orchestrator. Questa operazione è necessaria anche per attivare Edge Network Intelligence per il cliente.
      Autenticazione Edge predefinita (Default Edge Authentication)

      Nel menu a discesa, scegliere l'opzione predefinita per eseguire l'autenticazione degli Edge associati al cliente.

      • Certificato disattivato (Certificate Deactivated): l'Edge utilizza una modalità di autenticazione PSK (Pre-Shared Key).
      • Acquisizione certificato (Certificate Acquire): questa opzione, selezionata per impostazione predefinita, indica all'Edge di acquisire un certificato dall'autorità di certificazione di SD-WAN Orchestrator generando una coppia di chiavi e inviando una richiesta di firma del certificato a Orchestrator. Una volta acquisito il certificato, l'Edge lo utilizza per l'autenticazione in SD-WAN Orchestrator e per la creazione di tunnel VCMP.
        Nota: Dopo aver acquisito il certificato, l'opzione può essere aggiornata a Certificato richiesto (Certificate Required).
      • Certificato richiesto (Certificate Required): Edge utilizza il certificato PKI. È possibile modificare la finestra temporale di rinnovo del certificato per gli Edge utilizzando la proprietà di sistema edge.certificate.renewal.window.
      Assegnazione licenze Edge Vengono visualizzate le licenze dell'Edge esistenti. Fare clic su Aggiungi (Add) per aggiungere o rimuovere le licenze.
      Nota: I tipi di licenza possono essere utilizzati su più Edge. È consigliabile fornire ai clienti l'accesso a tutti i tipi di licenze per utilizzarle con le rispettive versioni e aree geografiche. Per ulteriori informazioni, vedere Assegnazione delle licenze Edge con la nuova interfaccia utente di Orchestrator.
      Consenti al cliente di gestire il software Selezionare la casella di controllo se si desidera consentire a un superuser aziendale di gestire le immagini software disponibili per l'azienda.
      Profilo operatore (Operator Profile) Nel menu a discesa disponibile, selezionare un profilo operatore da associare al cliente. Questo campo non è disponibile se l'opzione Consenti al cliente di gestire il software (Allow Customer to Manage Software) è selezionata. Per ulteriori informazioni sui profili operatore, vedere la sezione "Gestione dei profili operatore con la nuova interfaccia utente di Orchestrator" nella Guida dell'operatore di VMware SD-WAN disponibile nella Documentazione di VMware SD-WAN.
      Numero massimo di segmenti Immettere il numero massimo di segmenti che è possibile configurare. L'intervallo valido è compreso tra 1 e 16. Il valore predefinito è 16.
    2. Edge Network Intelligence: se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente. Configurare le impostazioni e quindi fare clic su Aggiorna (Update).
      Nota: È possibile selezionare questa opzione solo quando il servizio SD-WAN è attivato.
      Opzione Descrizione
      Dominio (Domain) Immettere il nome del dominio da utilizzare per attivare l'autenticazione Single Sign-On (SSO) per Orchestrator. Questa operazione è necessaria anche per attivare Edge Network Intelligence per il cliente.
      Nodi di analisi Immettere il numero massimo di Edge di cui è possibile eseguire il provisioning come nodi di analisi. Per impostazione predefinita, è selezionata l'opzione Illimitato (Unlimited).
      Accesso alla funzionalità Selezionare la casella di controllo Riparazione automatica (Self Healing) per consentire a Edge Network Intelligence di fornire consigli per migliorare le prestazioni.
    3. Cloud Web Security: questo servizio è disponibile solo quando si seleziona un Pool di gateway (Gateway Pool) con un ruolo Cloud Web Security attivato. Cloud Web Security è un servizio ospitato nel cloud che protegge gli utenti e l'infrastruttura che accedono alle applicazioni SaaS e Internet. Per ulteriori informazioni, consultare la Guida alla configurazione di VMware Cloud Web Security. Se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente:

      Selezionare la versione richiesta e quindi fare clic su Aggiorna (Update). La Standard Edition include filtro URL, ispezione SSL, antivirus, autenticazione, sandbox di base e visibilità CASB inline. La Advanced Edition include filtro URL, ispezione SSL, antivirus, autenticazione, sandbox di base, visibilità e controlli CASB inline, nonché visibilità e controlli DLP inline

    4. Secure Access: questo servizio è disponibile solo quando si seleziona un Pool di gateway (Gateway Pool) con un ruolo Cloud Web Security attivato. La soluzione Secure Access combina i servizi di VMware SD-WAN e Workspace ONE per fornire un accesso coerente, ottimale e sicuro alle applicazioni cloud tramite una rete di nodi di servizi gestiti a livello mondiale. Per ulteriori informazioni, consultare la Guida alla configurazione di VMware Secure Access. Se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente:

      Immettere il numero massimo di PoP e quindi fare clic su Aggiorna (Update).

  3. Di seguito sono elencate le impostazioni di configurazione aggiuntive disponibili nella pagina Configurazione cliente (Customer Configuration):
    Opzione Descrizione
    Globale
    Visualizzazione contratto di licenza Selezionare una delle seguenti opzioni nel menu a discesa:
    • Eredita
    • Sostituisci per nascondere
    • Sostituisci per visualizzare
    Nota:
    Questo campo è disponibile solo quando la proprietà di sistema session.options.enableUserAgreements è impostata su True.
    Accesso alla funzionalità Selezionare la casella di controllo per consentire al cliente di accedere alla funzionalità selezionata.
    Delega gestione al cliente Selezionare la casella di controllo per consentire al cliente di modificare le impostazioni della proprietà selezionata.
    Pool di gateway (Gateway Pool)
    Pool di gateway corrente Selezionare il pool di gateway nel menu a discesa.
    Gateway in questo pool Visualizza i dettagli dei gateway nel pool corrente.
    Handoff partner Se si attiva questa opzione, viene visualizzata la sezione Configura handoff (Configure Hand Off). Per i dettagli, vedere Configura handoff.
    Criterio di protezione (Security Policy)
    Hash Per impostazione predefinita, non è configurato alcun algoritmo di autenticazione per l'intestazione VPN, perché AES-GCM è un algoritmo di crittografia autenticato. Quando si seleziona la casella di controllo Disattiva GCM (Turn off GCM), nel menu a discesa è possibile selezionare uno dei seguenti come algoritmo di autenticazione per l'intestazione VPN:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    Crittografia (Encryption) Selezionare AES 128 o AES 256 come dimensioni della chiave dell'algoritmo AES per crittografare i dati. La modalità predefinita dell'algoritmo di crittografia è AES 128.
    Gruppo DH (DH Group) Selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia una chiave PSK. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5, 14, 15 e 16. È consigliabile utilizzare il gruppo DH 14, che è il valore predefinito.
    PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono 2, 5, 14, 15 e 16. PFS è disattivato per impostazione predefinita.
    Disattiva GCM Selezionare questa casella di controllo per attivare Hash e selezionare un algoritmo di autenticazione per l'intestazione VPN.
    Durata SA IPSec (min) Indica quando la ridefinizione delle chiavi IPSec (Internet Security Protocol) viene avviata per gli Edge. La durata minima di IPSec è 3 minuti e la durata massima di IPSec è 480 minuti. Il valore predefinito è 480 minuti.
    Nota: Non è consigliabile configurare valori bassi per la durata di IPSec (meno di 10 minuti), perché possono causare un'interruzione del traffico in alcune distribuzioni a causa della ridefinizione delle chiavi. I valori di durata bassi sono solo a scopo di debug.
    Durata SA IKE (min) (IKE SA Lifetime(min)) Indica quando la ridefinizione delle chiavi IKE (Internet Key Exchange) viene avviata per gli Edge. La durata minima di IKE è 10 minuti e la durata massima di IKE è 1440 minuti. Il valore predefinito è 1440 minuti.
    Nota: Non è consigliabile configurare valori bassi per la durata di IKE (meno di 30 minuti), perché possono causare un'interruzione del traffico in alcune distribuzioni a causa della ridefinizione delle chiavi. I valori di durata bassi sono solo a scopo di debug.
    Sostituzione route predefinita sicura Selezionare la casella di controllo in modo che la destinazione del traffico che corrisponde a una route predefinita sicura (route statica o route BGP) da un gateway partner possa essere sostituita utilizzando i criteri di business.
    Nota: Per istruzioni su come attivare il routing sicuro in un Edge, fare riferimento a Configurazione dell'handoff dei partner. Per ulteriori informazioni sulla configurazione di un servizio di rete per la regola del criterio di business, fare riferimento all'argomento corrispondente nella Guida all'amministrazione di VMware SD-WAN disponibile nella documentazione di VMware SD-WAN.
    Virtualizzazione funzione di rete Edge
    NFV Edge Selezionare questa opzione per attivare la funzionalità di distribuzione di VNF negli Edge. Dopo aver distribuito una o più VNF negli Edge, non è possibile disattivare questa opzione.
    VNF di sicurezza Selezionare le caselle di controllo pertinenti per distribuire le VNF di sicurezza corrispondenti negli Edge.
    Impostazioni SD-WAN
    Calcolo costi OFC Selezionare la casella di controllo richiesta:
    • Calcolo dei costi distribuito (Distributed Cost Calculation): selezionare questa casella di controllo per delegare il calcolo dei costi della route agli Edge o ai gateway.
      Nota: Questa opzione è disponibile solo per gli Edge o i gateway con versione 3.4.0 e successive.
    • Usa criterio NSD (Use NSD Policy): selezionare questa casella di controllo per utilizzare il criterio NSD per il calcolo dei costi della route verso l'Edge o il gateway.
      Nota: Questa opzione è disponibile solo per gli Edge o i Gateway con versione 4.2.0 e successive.
    Più tag DSCP per calcolo percorso di flusso Selezionare la casella di controllo per includere il valore di DSCP come parte della ricerca del flusso.
    Nota: Questo campo è disponibile solo quando la proprietà di sistema session.options.enableFlowParametersConfig è impostata su True.
    Accesso alla funzionalità Selezionare la casella di controllo Firewall stateful (Stateful Firewall) per sostituire le impostazioni del firewall stateful attivate nell'Edge aziendale.
  4. Fare clic su Salva modifiche (Save Changes).
    Nota: Quando si modificano le impostazioni di Criterio di protezione (Security Policy), le modifiche possono causare l'interruzione dei servizi correnti. Queste impostazioni possono inoltre ridurre la velocità effettiva complessiva e aumentare il tempo necessario per la configurazione del tunnel VCMP. Ciò può influire sui tempi di configurazione del tunnel dinamico da filiale a filiale e sul ripristino da un errore dell'Edge in un cluster.