Dopo aver creato un cliente, configurare le opzioni e le impostazioni delle funzionalità a cui il cliente può accedere. In qualità di operatore, è possibile scegliere le impostazioni modificabili dal cliente.

Quando si crea un nuovo cliente, si viene reindirizzati alla pagina Configurazione cliente (Customer Configuration), in cui è possibile configurare le impostazioni del cliente. È inoltre possibile passare alla pagina Configurazione cliente (Customer Configuration) direttamente dal portale dell'operatore tramite i passaggi seguenti:

Procedura

  1. Nella pagina delle opzioni di monitoraggio e configurazione, selezionare un cliente e nell'intestazione superiore fare clic su SD-WAN > Impostazioni globali (Global Settings).
  2. Nel menu a sinistra, fare clic su Configurazione cliente (Customer Configuration). Viene visualizzata la seguente pagina:
    La sezione Configurazione servizio (Service Configuration) include i servizi seguenti:
    • SD-WAN
    • Edge Network Intelligence
    • Cloud Web Security
    • Secure Access
    • Hub cloud

    Fare clic sul pulsante Attiva (Turn On) per attivare ciascun servizio. Fare clic sui puntini di sospensione verticali presenti nell'angolo superiore destro di ogni riquadro per disattivare o configurare tale servizio. È inoltre possibile utilizzare l'opzione Configura (Configure) presente nell'angolo in basso a destra di ogni riquadro per configurare il rispettivo servizio. Ogni riquadro visualizza il riepilogo della configurazione.

    Nota: Quando si seleziona l'opzione Disattiva (Turn off), viene visualizzata una finestra popup che chiede di confermare. Selezionare la casella di controllo e fare clic su Disattiva servizio (Turn Off Service).
    1. SD-WAN: se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente. Configurare le impostazioni e quindi fare clic su Aggiorna (Update).
      Opzione Descrizione
      Dominio (Domain) Immettere il nome del dominio da utilizzare per attivare l'autenticazione Single Sign-On (SSO) per Orchestrator. Questa operazione è necessaria anche per attivare Edge Network Intelligence per il cliente.
      Autenticazione Edge predefinita (Default Edge Authentication)

      Nel menu a discesa, scegliere l'opzione predefinita per eseguire l'autenticazione degli Edge associati al cliente.

      • Certificato disattivato (Certificate Deactivated): l'Edge utilizza una modalità di autenticazione PSK (Pre-Shared Key).
      • Acquisizione certificato (Certificate Acquire): questa opzione, selezionata per impostazione predefinita, indica all'Edge di acquisire un certificato dall'autorità di certificazione di SASE Orchestrator generando una coppia di chiavi e inviando una richiesta di firma del certificato a Orchestrator. Una volta acquisito il certificato, l'Edge lo utilizza per l'autenticazione in SASE Orchestrator e per la creazione di tunnel VCMP.
        Nota: Dopo aver acquisito il certificato, l'opzione può essere aggiornata a Certificato richiesto (Certificate Required).
      • Certificato richiesto (Certificate Required): Edge utilizza il certificato PKI. Gli operatori possono modificare la finestra temporale di rinnovo del certificato per gli Edge utilizzando la proprietà di sistema edge.certificate.renewal.window.
      Assegnazione licenze Edge (Edge Licensing) Vengono visualizzate le licenze dell'Edge esistenti. Fare clic su Aggiungi (Add) per aggiungere o rimuovere le licenze.
      Nota: I tipi di licenza possono essere utilizzati su più Edge. È consigliabile fornire ai clienti l'accesso a tutti i tipi di licenze per utilizzarle con le rispettive versioni e aree geografiche. Per ulteriori informazioni, vedere Assegnazione licenze Edge.
      Consenti al cliente di gestire il software (Allow Customer to Manage Software) Selezionare la casella di controllo se si desidera consentire a un superuser aziendale di gestire le immagini software disponibili per l'azienda. Per ulteriori informazioni, vedere la sezione relativa alla Gestione immagini Edge nella Guida all'amministrazione di VMware SD-WAN
      Profilo operatore (Operator Profile) Nel menu a discesa disponibile, selezionare un profilo operatore da associare al cliente. Questo campo non è disponibile se è selezionata l'opzione Consenti al cliente di gestire il software (Allow Customer to Manage Software) è selezionata. Per ulteriori informazioni sui profili operatore, vedere Gestione dei profili operatore
      Numero massimo di segmenti (Maximum Number of Segments) Immettere il numero massimo di segmenti che è possibile configurare. L'intervallo valido è compreso tra 1 e 16. Il valore predefinito è 16.
    2. Edge Network Intelligence: se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente. Configurare le impostazioni e quindi fare clic su Aggiorna (Update).
      Nota: È possibile selezionare questa opzione solo quando il servizio SD-WAN è attivato.
      Opzione Descrizione
      Dominio (Domain) Immettere il nome del dominio da utilizzare per attivare l'autenticazione Single Sign-On (SSO) per Orchestrator. Questa operazione è necessaria anche per attivare Edge Network Intelligence per il cliente.
      Nodi di analisi (Analytics Nodes) Immettere il numero massimo di Edge di cui è possibile eseguire il provisioning come nodi di analisi. Per impostazione predefinita, è selezionata l'opzione Illimitato (Unlimited).
      Accesso alla funzionalità (Feature Access) Selezionare la casella di controllo Riparazione automatica (Self Healing) per consentire a Edge Network Intelligence di fornire consigli per migliorare le prestazioni.
    3. Cloud Web Security: questo servizio è disponibile solo quando si seleziona un Pool di gateway (Gateway Pool) con un ruolo Cloud Web Security attivato. Cloud Web Security è un servizio ospitato nel cloud che protegge gli utenti e l'infrastruttura che accedono alle applicazioni SaaS e Internet. Per ulteriori informazioni, consultare la Guida alla configurazione di VMware Cloud Web Security. Se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente:

      Selezionare la versione richiesta e quindi fare clic su Aggiorna (Update). La Standard Edition include filtro URL, ispezione SSL, antivirus, autenticazione, sandbox di base e visibilità CASB inline. La Advanced Edition include filtro URL, ispezione SSL, antivirus, autenticazione, sandbox di base, visibilità e controlli CASB inline, nonché visibilità e controlli DLP inline

    4. Secure Access: questo servizio è disponibile solo quando si seleziona un Pool di gateway (Gateway Pool) con un ruolo Cloud Web Security attivato. La soluzione Secure Access combina i servizi di VMware SD-WAN e Workspace ONE per fornire un accesso coerente, ottimale e sicuro alle applicazioni cloud tramite una rete di nodi di servizi gestiti a livello mondiale. Per ulteriori informazioni, consultare la Guida alla configurazione di VMware Secure Access. Se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente:

      Immettere il numero massimo di PoP e quindi fare clic su Aggiorna (Update).

    5. Hub cloud: questo servizio consente di accedere all'account MCS (servizio multi-cloud). Per ulteriori informazioni, vedere la sezione relativa a Distribuzione automatizzata CloudHub di NVA nell'hub di Azure vWAN nella Guida all'amministrazione di SD-WAN.
  3. Di seguito sono elencate le impostazioni di configurazione aggiuntive disponibili nella pagina Configurazione cliente (Customer Configuration):
    Opzione Descrizione
    Globale (Global)
    Visualizzazione contratto di licenza (User Agreement Display) Selezionare una delle seguenti opzioni nel menu a discesa:
    • Eredita
    • Sostituisci per nascondere
    • Sostituisci per visualizzare
    Nota:
    Questo campo è disponibile solo quando la proprietà di sistema session.options.enableUserAgreements è impostata su True.
    Accesso alla funzionalità (Feature Access) Consente di accedere alle funzionalità selezionate. Selezionare una o più caselle di controllo nell'elenco seguente per attivare queste funzionalità per il cliente:
    • Autenticazione Enterprise (Enterprise Auth): per impostazione predefinita, solo l'operatore può attivare o disattivare l'autenticazione a due fattori per un'azienda. Quando si seleziona questa casella di controllo, gli amministratori dell'azienda possono configurare autonomamente l'autenticazione a due fattori. Questa opzione controlla anche l'attivazione e la disattivazione di Single Sign-On (SSO).
    • Abilita servizio Premium (Enable Premium Service): questa opzione è selezionata per impostazione predefinita. Il servizio Premium si riferisce alla funzionalità di correzione su richiesta che è una parte importante di Dynamic Multipath Optimization (DMPO) di SD-WAN. DMPO viene utilizzato per tutto il traffico che attraversa un SD-WAN Gateway. Quando è selezionato il servizio Premium, il gateway utilizza la correzione degli errori di inoltro (FEC) per il traffico del cliente interessato da livelli elevati di jitter o perdita del link WAN e che non può essere reindirizzato a un link WAN di qualità migliore. Quando il servizio Premium non è selezionato, il traffico attraversa comunque SD-WAN Gateway e utilizza gli altri componenti di DMPO come il monitoraggio continuo, il reindirizzamento dinamico dell'applicazione e la trasmissione sicura del traffico. Tuttavia, il traffico interessato da livelli elevati di jitter o perdita del link WAN non trae vantaggio dalla correzione degli errori da parte del gateway. Per ulteriori informazioni, vedere l'argomento Dynamic Multipath Optimization (DMPO) nella Guida all'amministrazione di VMware SD-WAN.
    • Personalizzazione ruoli (Role Customization): consente a un superuser aziendale di personalizzare i privilegi del ruolo per gli altri utenti aziendali.
    • Backtracking della route (Route Backtracking): consente al dispositivo di scegliere la route migliore in ordine di lunghezza del prefisso.
    • Pannello della guida contestuale nel prodotto (In-product Contextual Help Panel): consente di accedere al pannello della guida integrato in Orchestrator. Questa funzionalità è disattivata per impostazione predefinita. Un operatore deve attivare questa opzione per i clienti dell'azienda.
    • Abilita registrazione firewall in Orchestrator (Enable Firewall logging to Orchestrator): per impostazione predefinita, gli Edge non possono inviare i registri del firewall a Orchestrator. Selezionare questa casella di controllo per consentire a un Edge di inviare i registri del firewall a Orchestrator.
    • QoE personalizzabile (Customizable QoE): consente al cliente di configurare i valori di soglia di latenza minima e massima per le categorie di applicazioni Voce, Video e Transazionali di un Edge.
    • Abilita interfaccia utente classica di Orchestrator (Enable Classic Orchestrator UI): consente al cliente di passare dall'interfaccia angolare di Orchestrator all'interfaccia classica di Orchestrator. Questa opzione è disponibile solo quando la proprietà di sistema session.options.enableClassicOrchestrator è impostata su True.
    Delega gestione al cliente (Delegate Management To Customer) Consente al cliente di modificare le impostazioni della proprietà selezionata. Le due proprietà seguenti sono sempre visibili ai clienti:
    • Abilita mappatura CoS (Enable CoS Mapping): consente di configurare la mappatura CoS durante la configurazione di un criterio di business.
    • Abilita limitazione velocità servizio (Enable Service Rate Limiting): consente di limitare i servizi in un criterio di business.
    Pool di gateway (Gateway Pool)
    Pool di gateway corrente (Current Gateway Pool) Visualizza il pool di gateway corrente associato al cliente selezionato. Se necessario, è possibile scegliere un pool di gateway diverso disponibile nel menu a discesa e fare clic su Salva modifiche (Save Changes).
    Gateway in questo pool (Gateways in this Pool) Visualizza i dettagli dei gateway nel pool corrente.
    Handoff partner (Partner Hand Off) Se si attiva l'opzione Pool di gateway (Gateway Pool), viene visualizzata la sezione Configura handoff (Configure Hand Off). Se i gateway disponibili nel pool di gateway sono stati assegnati al ruolo Gateway partner (Partner Gateway), è possibile eseguire l'handoff dei gateway ai partner. Per i dettagli, vedere Configurazione dell'handoff del partner.
    Criterio di protezione (Security Policy)
    Hash Per impostazione predefinita, non è configurato alcun algoritmo di autenticazione per l'intestazione VPN, perché AES-GCM è un algoritmo di crittografia autenticato. Quando si seleziona la casella di controllo Disattiva GCM (Turn off GCM), nel menu a discesa è possibile selezionare uno dei seguenti come algoritmo di autenticazione per l'intestazione VPN:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    Crittografia (Encryption) Selezionare AES 128 o AES 256 come dimensioni della chiave dell'algoritmo AES per crittografare i dati. La modalità predefinita dell'algoritmo di crittografia è AES 128.
    Gruppo DH (DH Group) Selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia una chiave PSK. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5, 14, 16, 19, 20 e 21.
    Nota:
    • I gruppi DH 19, 20 e 21 sono disponibili a partire dalla versione 5.2.0.
    • È consigliabile utilizzare il gruppo DH 14, che è il valore predefinito.
    PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I gruppi di PFS supportati sono 2, 5, 14, 15, 19, 20 e 21. I gruppi di PFS 19, 20 e 21 sono disponibili a partire dalla versione 5.2.0. PFS è disattivato per impostazione predefinita.
    Disattiva GCM (Turn off GCM) Selezionare questa casella di controllo per attivare Hash e selezionare un algoritmo di autenticazione per l'intestazione VPN.
    Durata SA IPSec (min) (IPSec SA Lifetime Time(min)) Indica quando la ridefinizione delle chiavi IPSec (Internet Security Protocol) viene avviata per gli Edge. La durata minima di IPSec è 3 minuti e la durata massima di IPSec è 480 minuti. Il valore predefinito è 480 minuti.
    Nota: Non è consigliabile configurare valori bassi per la durata di IPSec (meno di 10 minuti), perché possono causare un'interruzione del traffico in alcune distribuzioni a causa della ridefinizione delle chiavi. I valori di durata bassi sono solo a scopo di debug.
    Durata SA IKE (min) (IKE SA Lifetime(min)) Indica quando la ridefinizione delle chiavi IKE (Internet Key Exchange) viene avviata per gli Edge. La durata minima di IKE è 10 minuti e la durata massima di IKE è 1440 minuti. Il valore predefinito è 1440 minuti.
    Nota: Non è consigliabile configurare valori bassi per la durata di IKE (meno di 30 minuti), perché possono causare un'interruzione del traffico in alcune distribuzioni a causa della ridefinizione delle chiavi. I valori di durata bassi sono solo a scopo di debug.
    Sostituzione route predefinita sicura (Secure Default Route Override) Selezionare la casella di controllo in modo che la destinazione del traffico che corrisponde a una route predefinita sicura (route statica o route BGP) da un gateway partner possa essere sostituita utilizzando i criteri di business.
    Virtualizzazione funzione di rete Edge: consente di attivare NFV negli Edge e consente ai clienti di distribuire VNF di terze parti su piattaforme Edge pronte per i servizi. Attualmente, i modelli di piattaforma Edge pronte per i servizi sono 520V e 840. Gli utenti operatore, quando si attiva NFV Edge (Edge NFV), i clienti possono configurare e distribuire VNF e licenze VNF dai propri servizi di rete.
    NFV Edge (Edge NFV) Selezionare questa opzione per attivare la funzionalità di distribuzione di VNF negli Edge. Dopo aver distribuito una o più VNF negli Edge, non è possibile disattivare questa opzione.
    VNF di sicurezza (Security VNFs) Selezionare le caselle di controllo pertinenti per distribuire le VNF di sicurezza corrispondenti negli Edge. Per ulteriori informazioni, vedere la sezione relativa a VNF di sicurezza nella Guida all'amministrazione di VMware SD-WAN.
    Impostazioni SD-WAN (SD-WAN Settings)
    Calcolo costi OFC (OFC Cost Calculation) Selezionare la casella di controllo richiesta:
    • Calcolo dei costi distribuito (Distributed Cost Calculation): selezionare questa casella di controllo per delegare il calcolo dei costi della route agli Edge o ai gateway.
      Nota: Questa opzione è disponibile solo per gli Edge o i gateway con versione 3.4.0 e successive. Dopo aver attivato Calcolo dei costi distribuito (Distributed Cost Calculation) è consigliabile aggiornare le route passando a Configura (Configure) > Controllo flusso overlay (Overlay Flow Control) nel servizio SD-WAN del portale aziendale. Per ulteriori informazioni, vedere Configurazione del calcolo dei costi distribuito.
    • Usa criterio NSD (Use NSD Policy): selezionare questa casella di controllo per utilizzare il criterio NSD per il calcolo dei costi della route verso l'Edge o il gateway.
      Nota: Questa opzione è disponibile solo per gli Edge o i Gateway con versione 4.2.0 e successive.
    Più tag DSCP per calcolo percorso di flusso (Multiple-DSCP tags per Flow Path Calculation) Questa funzionalità viene utilizzata quando il traffico dell'utente originale è incapsulato in un altro tunnel (GRE/IPSec) e le etichette DSCP vengono salvate nella nuova intestazione IP. La funzionalità attiva il calcolo del percorso per un singolo flusso (stessa fonte/destinazione) con più tag DSCP e offre differenziazioni di percorso in base ai valori DSCP del flusso.

    Selezionare la casella di controllo Includi valore DSCP come parte della ricerca di flusso (Include DSCP value as part of flow lookup) per includere i valori DSCP come parte della ricerca dei flussi e del calcolo dei percorsi. Per ulteriori informazioni, vedere Configurazione del calcolo del percorso con più etichette DSCP per flusso.

    Nota: Questo campo è disponibile solo quando la proprietà di sistema session.options.enableFlowParametersConfig è impostata su True.
    Accesso alla funzionalità (Feature Access)
    Firewall stateful (Stateful Firewall) Selezionare la casella di controllo Firewall stateful (Stateful Firewall) per sostituire le impostazioni del firewall stateful attivate nell'Edge aziendale.
    Enhanced Firewall Services (Enhanced Firewall Services) Selezionare la casella di controllo Enhanced Firewall Services per attivare i servizi firewall ottimizzati utilizzando la funzionalità di firewall in VMware SASE Orchestrator.
    Nota: Affinché Enhanced Firewall Services (EFS) funzioni, assicurarsi che la versione di Edge sia aggiornata alla versione 5.2.0.0.
    Nota: Se si deseleziona questa opzione, la funzionalità EFS verrà disattivata solo nell'interfaccia utente. Per disattivare la funzionalità EFS per un cliente esistente, è innanzitutto necessario disattivare la funzionalità EFS nel servizio SD-WAN del portale dell'azienda passando a Configura (Configure) > Profili/Edge (Profiles/Edges) > Firewall > Funzione controllo firewall (Firewall Feature Control) > Enhanced Security, quindi deselezionare questa casella di controllo in Impostazioni globali (Global Settings).
    Per ulteriori informazioni sulla configurazione dei vari Enhanced Security Services e sull'associazione a una regola Firewall, vedere la sezione relativa a Configurazione di Enhanced Security Services nella Guida all'amministrazione di VMware SD-WAN.
  4. Fare clic su Salva modifiche (Save Changes).
    Nota: Quando si modificano le impostazioni di Criterio di protezione (Security Policy), le modifiche possono causare l'interruzione dei servizi correnti. Queste impostazioni possono inoltre ridurre la velocità effettiva complessiva e aumentare il tempo necessario per la configurazione del tunnel VCMP. Ciò può influire sui tempi di configurazione del tunnel dinamico da filiale a filiale e sul ripristino da un errore dell'Edge in un cluster.