Dopo aver creato un cliente, configurare le opzioni e le impostazioni delle funzionalità a cui il cliente può accedere. Un superuser partner può scegliere le impostazioni che possono essere modificate dal cliente partner.
Quando si crea un nuovo cliente, si viene reindirizzati alla pagina Configurazione cliente (Customer Configuration), in cui è possibile configurare le impostazioni del cliente. È possibile passare alla pagina di configurazione anche eseguendo i passaggi seguenti:
Procedura
- Accedere a SASE Orchestrator come partner.
- Nel portale del partner, selezionare un cliente partner e nell'intestazione superiore fare clic su SD-WAN > Impostazioni globali (Global Settings).
- Nel menu a sinistra, fare clic su Configurazione cliente (Customer Configuration). Viene visualizzata la seguente pagina:
La sezione Configurazione servizio (Service Configuration) include i servizi seguenti:
- SD-WAN
- Edge Intelligence
- Cloud Web Security
- Secure Access
- Hub cloud
Fare clic sul pulsante Attiva (Turn On) per attivare ciascun servizio. Fare clic sui puntini di sospensione verticali presenti nell'angolo superiore destro di ogni riquadro per disattivare o configurare tale servizio. È inoltre possibile utilizzare l'opzione Configura (Configure) presente nell'angolo in basso a destra di ogni riquadro per configurare il rispettivo servizio. Ogni riquadro visualizza il riepilogo della configurazione.
Nota: Quando si seleziona l'opzione Disattiva (Turn off), viene visualizzata una finestra popup che chiede di confermare. Selezionare la casella di controllo e fare clic su Disattiva servizio (Turn Off Service).- SD-WAN: se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente. Configurare le impostazioni e quindi fare clic su Aggiorna (Update).
Opzione Descrizione Dominio (Domain) Immettere il nome del dominio da utilizzare per attivare l'autenticazione Single Sign-On (SSO) per Orchestrator. Questa operazione è necessaria anche per attivare Edge Intelligence per il cliente. Autenticazione Edge predefinita (Default Edge Authentication) Nel menu a discesa, scegliere l'opzione predefinita per eseguire l'autenticazione degli Edge associati al cliente.
- Certificato disattivato (Certificate Deactivated): l'Edge utilizza una modalità di autenticazione PSK (Pre-Shared Key).
- Acquisizione certificato (Certificate Acquire): questa opzione, selezionata per impostazione predefinita, indica all'Edge di acquisire un certificato dall'autorità di certificazione di SASE Orchestrator generando una coppia di chiavi e inviando una richiesta di firma del certificato a Orchestrator. Una volta acquisito il certificato, l'Edge lo utilizza per l'autenticazione in SASE Orchestrator e per la creazione di tunnel VCMP.
Nota: Dopo aver acquisito il certificato, l'opzione può essere aggiornata a Certificato richiesto (Certificate Required).
- Certificato richiesto (Certificate Required): Edge utilizza il certificato PKI. È possibile modificare la finestra temporale di rinnovo del certificato per gli Edge utilizzando la proprietà di sistema
edge.certificate.renewal.window
.
Assegnazione licenze Edge (Edge Licensing) Vengono visualizzate le licenze dell'Edge esistenti. Fare clic su Aggiungi (Add) per aggiungere o rimuovere le licenze. Nota: I tipi di licenza possono essere utilizzati su più Edge. È consigliabile fornire ai clienti l'accesso a tutti i tipi di licenze per utilizzarle con le rispettive versioni e aree geografiche. Per ulteriori informazioni, vedere Assegnazione licenze Edge.Consenti al cliente di gestire il software (Allow Customer to Manage Software) Selezionare la casella di controllo se si desidera consentire a un superuser aziendale di gestire le immagini software disponibili per l'azienda. Per ulteriori informazioni, vedere la sezione relativa alla Gestione immagini Edge nella Guida all'amministrazione di VMware SD-WAN. Profilo operatore (Operator Profile) Nel menu a discesa disponibile, selezionare un profilo operatore da associare al cliente. Questo campo non è disponibile se è selezionata l'opzione Consenti al cliente di gestire il software (Allow Customer to Manage Software) è selezionata. Per ulteriori informazioni sui profili operatore, vedere la sezione "Gestisci profili operatore" nella Guida dell'operatore di VMware SD-WAN disponibile nella Documentazione di VMware SD-WAN. Numero massimo di segmenti (Maximum Number of Segments) Immettere il numero massimo di segmenti che è possibile configurare. L'intervallo valido è compreso tra 1 e 16. Il valore predefinito è 16. - Edge Intelligence: se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente. Configurare le impostazioni e quindi fare clic su Aggiorna (Update).
Nota: È possibile selezionare questa opzione solo quando il servizio SD-WAN è attivato.
Opzione Descrizione Dominio (Domain) Immettere il nome del dominio da utilizzare per attivare l'autenticazione Single Sign-On (SSO) per Orchestrator. Questa operazione è necessaria anche per attivare Edge Intelligence per il cliente. Nodi di analisi (Analytics Nodes) Immettere il numero massimo di Edge di cui è possibile eseguire il provisioning come nodi di analisi. Per impostazione predefinita, è selezionata l'opzione Illimitato (Unlimited). Accesso alla funzionalità (Feature Access) Selezionare la casella di controllo Riparazione automatica (Self Healing) per consentire a Edge Intelligence di fornire consigli per migliorare le prestazioni. - Cloud Web Security: questo servizio è disponibile solo quando si seleziona un Pool di gateway (Gateway Pool) con un ruolo Cloud Web Security attivato. Cloud Web Security è un servizio ospitato nel cloud che protegge gli utenti e l'infrastruttura che accedono alle applicazioni SaaS e Internet. Per ulteriori informazioni, consultare la Guida alla configurazione di VMware Cloud Web Security. Se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente:
Selezionare la versione richiesta e quindi fare clic su Aggiorna (Update). La Standard Edition include filtro URL, ispezione SSL, antivirus, autenticazione, sandbox di base e visibilità CASB inline. La Advanced Edition include filtro URL, ispezione SSL, antivirus, autenticazione, sandbox di base, visibilità e controlli CASB inline, nonché visibilità e controlli DLP inline
- Secure Access: questo servizio è disponibile solo quando si seleziona un Pool di gateway (Gateway Pool) con un ruolo Cloud Web Security attivato. La soluzione Secure Access combina i servizi di VMware SD-WAN e Workspace ONE per fornire un accesso coerente, ottimale e sicuro alle applicazioni cloud tramite una rete di nodi di servizi gestiti a livello mondiale. Per ulteriori informazioni, consultare la Guida alla configurazione di VMware Secure Access. Se si fa clic sull'opzione Configura (Configure), viene visualizzata la finestra popup seguente:
Immettere il numero massimo di PoP e quindi fare clic su Aggiorna (Update).
- Di seguito sono elencate le impostazioni di configurazione aggiuntive disponibili nella pagina Configurazione cliente (Customer Configuration):
Opzione Descrizione Globale (Global) Visualizzazione contratto di licenza (User Agreement Display) Selezionare una delle seguenti opzioni nel menu a discesa: - Eredita
- Sostituisci per nascondere
- Sostituisci per visualizzare
Nota:Questo campo è disponibile solo quando la proprietà di sistemasession.options.enableUserAgreements
è impostata su True.Accesso alla funzionalità (Feature Access) Consente di accedere alle funzionalità selezionate. Selezionare una o più caselle di controllo nell'elenco seguente per attivare queste funzionalità per il cliente partner: - Autenticazione Enterprise (Enterprise Auth): per impostazione predefinita, solo l'operatore può attivare o disattivare l'autenticazione a due fattori per un'azienda. Quando si seleziona questa casella di controllo, gli amministratori dell'azienda possono configurare autonomamente l'autenticazione a due fattori.
- Abilita servizio Premium (Enable Premium Service): consente di accedere ai servizi Premium disponibili. Questa opzione è selezionata per impostazione predefinita.
- Personalizzazione ruoli (Role Customization): consente a un superuser aziendale di personalizzare i privilegi del ruolo per gli altri utenti aziendali.
- Backtracking della route (Route Backtracking): consente al dispositivo di scegliere la route migliore in ordine di lunghezza del prefisso.
- Pannello della guida contestuale nel prodotto (In-product Contextual Help Panel): consente di accedere al pannello della guida integrato con Orchestrator. Questa funzionalità è disattivata per impostazione predefinita. Un amministratore partner deve attivare questa opzione per i clienti partner.
- Abilita registrazione firewall in Orchestrator (Enable Firewall logging to Orchestrator): per impostazione predefinita, gli Edge non possono inviare i registri del firewall a Orchestrator. Selezionare questa casella di controllo per consentire a un Edge di inviare i registri del firewall a Orchestrator.
- QoE personalizzabile (Customizable QoE): consente al cliente di configurare i valori di soglia di latenza minima e massima per le categorie di applicazioni Voce, Video e Transazionali di un Edge.
- Abilita interfaccia utente classica di Orchestrator (Enable Classic Orchestrator UI): consente al cliente di passare dall'interfaccia angolare di Orchestrator all'interfaccia classica di Orchestrator. Questa opzione è disponibile solo quando la proprietà di sistema
session.options.enableClassicOrchestrator
è impostata su True.
Delega gestione al cliente (Delegate Management To Customer) Consente al cliente partner di modificare le impostazioni della proprietà selezionata. Le due proprietà seguenti sono sempre visibili ai clienti partner: - Abilita mappatura CoS (Enable CoS Mapping): consente di configurare la mappatura CoS durante la configurazione di un criterio di business.
- Abilita limitazione velocità servizio (Enable Service Rate Limiting): consente di limitare i servizi in un criterio di business.
Pool di gateway (Gateway Pool) Pool di gateway corrente (Current Gateway Pool) Selezionare il pool di gateway nel menu a discesa. Gateway in questo pool (Gateways in this Pool) Visualizza i dettagli dei gateway nel pool corrente. Handoff partner (Partner Hand Off) Se si attiva questa opzione, viene visualizzata la sezione Configura handoff (Configure Hand Off). Per i dettagli, vedere Configurazione dell'handoff del partner. Criterio di protezione (Security Policy) Hash Per impostazione predefinita, non è configurato alcun algoritmo di autenticazione per l'intestazione VPN, perché AES-GCM è un algoritmo di crittografia autenticato. Quando si seleziona la casella di controllo Disattiva GCM (Turn off GCM), nel menu a discesa è possibile selezionare uno dei seguenti come algoritmo di autenticazione per l'intestazione VPN: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Crittografia (Encryption) Selezionare AES 128 o AES 256 come dimensioni della chiave dell'algoritmo AES per crittografare i dati. La modalità predefinita dell'algoritmo di crittografia è AES 128. Gruppo DH (DH Group) Selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia una chiave PSK. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5, 14, 16, 19, 20 e 21. Nota:- I gruppi DH 19, 20 e 21 sono disponibili a partire dalla versione 5.2.0.
- È consigliabile utilizzare il gruppo DH 14, che è il valore predefinito.
PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono 2, 5, 14, 15 e 16. PFS è disattivato per impostazione predefinita. Disattiva GCM (Turn off GCM) Selezionare questa casella di controllo per attivare Hash e selezionare un algoritmo di autenticazione per l'intestazione VPN. Durata SA IPSec (min) (IPSec SA Lifetime Time(min)) Indica quando la ridefinizione delle chiavi IPSec (Internet Security Protocol) viene avviata per gli Edge. La durata minima di IPSec è 3 minuti e la durata massima di IPSec è 480 minuti. Il valore predefinito è 480 minuti. Nota: Non è consigliabile configurare valori bassi per la durata di IPSec (meno di 10 minuti), perché possono causare un'interruzione del traffico in alcune distribuzioni a causa della ridefinizione delle chiavi. I valori di durata bassi sono solo a scopo di debug.Durata SA IKE (min) (IKE SA Lifetime(min)) Indica quando la ridefinizione delle chiavi IKE (Internet Key Exchange) viene avviata per gli Edge. La durata minima di IKE è 10 minuti e la durata massima di IKE è 1440 minuti. Il valore predefinito è 1440 minuti. Nota: Non è consigliabile configurare valori bassi per la durata di IKE (meno di 30 minuti), perché possono causare un'interruzione del traffico in alcune distribuzioni a causa della ridefinizione delle chiavi. I valori di durata bassi sono solo a scopo di debug.Sostituzione route predefinita sicura (Secure Default Route Override) Selezionare la casella di controllo in modo che la destinazione del traffico che corrisponde a una route predefinita sicura (route statica o route BGP) da un gateway partner possa essere sostituita utilizzando i criteri di business. Nota: Per istruzioni su come attivare il routing sicuro in un Edge, fare riferimento a Configurazione dell'handoff del partner. Per ulteriori informazioni sulla configurazione di un servizio di rete per la regola del criterio di business, fare riferimento all'argomento corrispondente nella Guida all'amministrazione di VMware SD-WAN disponibile nella documentazione di VMware SD-WAN.Virtualizzazione funzione di rete Edge (Edge Network Function Virtualization) NFV Edge (Edge NFV) Selezionare questa opzione per attivare la funzionalità di distribuzione di VNF negli Edge. Dopo aver distribuito una o più VNF negli Edge, non è possibile disattivare questa opzione. VNF di sicurezza (Security VNFs) Selezionare le caselle di controllo pertinenti per distribuire le VNF di sicurezza corrispondenti negli Edge. Impostazioni SD-WAN (SD-WAN Settings) Calcolo costi OFC (OFC Cost Calculation) Selezionare la casella di controllo richiesta: - Calcolo dei costi distribuito (Distributed Cost Calculation): selezionare questa casella di controllo per delegare il calcolo dei costi della route agli Edge o ai gateway.
Nota: Questa opzione è disponibile solo per gli Edge o i gateway con versione 3.4.0 e successive.
- Usa criterio NSD (Use NSD Policy): selezionare questa casella di controllo per utilizzare il criterio NSD per il calcolo dei costi della route verso l'Edge o il gateway.
Nota: Questa opzione è disponibile solo per gli Edge o i Gateway con versione 4.2.0 e successive.
Più tag DSCP per calcolo percorso di flusso (Multiple-DSCP tags per Flow Path Calculation) Selezionare la casella di controllo per includere il valore di DSCP come parte della ricerca del flusso. Nota: Questo campo è disponibile solo quando la proprietà di sistemasession.options.enableFlowParametersConfig
è impostata su True.Accesso alla funzionalità (Feature Access) Selezionare la casella di controllo Firewall di tipo stateful (Stateful Firewall) o Protezione avanzata dalle minacce (Advanced Threat Protection) per sostituire le impostazioni corrispondenti attivate nell'Edge aziendale. - Fare clic su Salva modifiche (Save Changes).
Nota: Quando si modificano le impostazioni di Criterio di protezione (Security Policy), le modifiche possono causare l'interruzione dei servizi correnti. Queste impostazioni possono inoltre ridurre la velocità effettiva complessiva e aumentare il tempo necessario per la configurazione del tunnel VCMP. Ciò può influire sui tempi di configurazione del tunnel dinamico da filiale a filiale e sul ripristino da un errore dell'Edge in un cluster.