ユーザーを作成した後、ユーザーがアクセスできるオプションと設定を構成します。オペレータとして、ユーザーまたはエンタープライズが変更できる設定を選択できます。

新しいユーザーを作成すると、[ユーザー構成 (Customer Configuration)] ページにリダイレクトされ、ユーザーの設定を構成できます。

Orchestrator ポータルの [ユーザーの管理 (Manage Customers)] ページから構成ページに移動することもできます。ユーザーを選択して [アクション (Actions)] > [変更 (Modify)] をクリックするか、ユーザーへのリンクをクリックします。

ユーザーまたはエンタープライズ ポータルで、[構成 (Configure)] > [ユーザー (Customer)] をクリックし、次の設定を構成することができます。

[ユーザーの機能 (Customer Capabilities)]

選択したユーザーに対して、次の機能を有効または無効にすることができます。

注: ユーザーの機能を有効にするには、関連付けられたシステム プロパティに True 値を割り当てる必要があります。詳細については、 システム プロパティを参照してください。
  • [エンタープライズ認証の有効化 (Enable Enterprise Auth)] – デフォルトでは、オペレータのみがエンタープライズの 2 要素認証を有効または無効にすることができます。この機能を有効にすると、エンタープライズ管理者は自分で 2 要素認証を構成できます。
  • [Orchestrator のファイアウォール ログ作成の有効化 (Enable Firewall logging to Orchestrator)] – エンタープライズ ユーザーが、プロファイル レベルと Edge レベルで Orchestrator のファイアウォール情報のログ作成を有効または無効にすることを許可します。ファイアウォールのログ作成が有効になっている場合は、エンタープライズ ポータルでファイアウォールのログを監視できます。
  • [レガシー ネットワークの有効化 (Enable Legacy Networks)] – エンタープライズがレガシー ネットワークを使用することを許可します。セグメントベースのオペレータ プロファイルを使用している場合は、このオプションを有効にすることはできません。
  • [プレミアム サービスの有効化 (Enable Premium Service)] – プレミアム サービスの利用を許可します。
  • [セグメントの有効化 (Enable Segmentation)] – セグメントの構成を許可します。
  • [ステートフル ファイアウォールの有効化 (Enable Stateful Firewall)] – エンタープライズ ユーザーが、プロファイル レベルと Edge レベルでステートフル ファイアウォール機能を有効または無効にすることを許可します。
  • [ユーザーへの管理の委任 (Delegate Management To Customer)] - 次のオプションが常にユーザーに表示されます。これらのオプションを有効にすると、ユーザーは設定を変更できます。
    • CoS マッピング (CoS Mapping)
    • サービス レートの制限 (Service Rate Limiting)
    [プレミアム サービスの有効化 (Enable Premium Service)][セグメントの有効化 (Enable Segmentation)]、および [ステートフル ファイアウォールの有効化 (Enable Stateful Firewall)] はデフォルトで有効になっています。

[セキュリティ ポリシー (Security Policy)]

Edge 間の VCMP トンネルに適用する IPsec 標準を以下から選択します。

  • [ハッシュ (Hash)]:デフォルトでは、VPN ヘッダーには認証アルゴリズムが構成されていません。Galois/カウンタ モード (GCM) が無効になっている場合は、表示されるドロップダウン リストから VPN ヘッダーの認証アルゴリズムとして次のいずれかを選択できます。
    • SHA 1
    • SHA 256
  • [暗号化 (Encryption)]:AES 128-Galois/Counter Mode (GCM)、AES 256-GCM、AES 128-Cipher Block Chaining (CBC)、および AES 256-CBC は、機密性を確保するために使用される暗号化アルゴリズム モードです。データを暗号化するアルゴリズムとして [AES 128] または [AES 256] のいずれかを選択します。[GCM の無効化 (Disable GCM)] チェックボックスがオンになっていない場合、デフォルトの暗号化アルゴリズム モードは AES 128-GCM です。
  • [DH グループ (DH Group)]:事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループ アルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは 2、5、14 です。DH グループ 14 を使用することをお勧めします。
  • [PFS]:セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2 と 5 です。デフォルトでは、PFS は無効になっています。
  • [GCM の無効化 (Disable GCM)]:デフォルトでは、AES 128-GCM が有効になっています。必要に応じて、チェックボックスをオンにしてこのモードを無効にします。チェックボックスをオフにすると、AES 128-CBC モードが有効になります。
注: セキュリティ設定を変更すると、変更によって現在のサービスが中断する可能性があります。また、これらの設定により、全体的なスループットが低下し、VCMP トンネルの設定に必要な時間が増加する場合があります。これにより、ブランチ間の動的トンネルの設定時間や、クラスタ内の Edge の障害からのリカバリに影響する可能性があります。

[最大セグメント (Maximum Segments)]

構成可能なセグメントの最大数を入力します。範囲は 1 ~ 16 で、デフォルト値は 16 です。

[OFC のコスト計算 (OFC Cost Calculation)]

デフォルトでは、Edge とゲートウェイから学習されたルートを受信することで、Orchestrator はルートのコストを計算します。コスト計算を Edge とゲートウェイに分散することを選択できます。これにより、リソースの使用量と Orchestrator の負荷が軽減されます。

メンテナンス画面で [分散コスト計算 (Distributed Cost Calculation)] 機能を有効にするには、すべての Edge とゲートウェイをバージョン 3.4.0 以降にアップグレードする必要があります。

[分散コスト計算 (Distributed Cost Calculation)] チェックボックスを選択して、ルートのコスト計算を Edge とゲートウェイに委任します。

コスト計算は、動的ルート(BGP と OSPF)に対してのみ実行されます。ネットワーク内のすべてのルートのサマリを表示するには、エンタープライズ ポータルで [構成 (Configure)] > [オーバーレイ フロー制御 (Overlay Flow Control)] をクリックします。また、[オーバーレイ フロー制御 (Overlay Flow Control)] ページの設定を編集して、さまざまなタイプのルートのアドバタイズ アクションを変更することもできます。

[分散コスト計算 (Distributed Cost Calculation)] を有効にすると、[オーバーレイ フロー制御 (Overlay Flow Control)] ページで [ルートの更新 (Refresh Routes)] オプションが使用できるようになります。

[ルートの更新 (Refresh Routes)] をクリックすると、このオプションによって、Edge とゲートウェイは学習されたルート コストを再計算し、その結果を Orchestrator に送信します。これにより、Edge とゲートウェイから Orchestrator に送信されるデータが大幅に増加します。したがって、このオプションはメンテナンス画面で使用することをお勧めします。さらに、[ルートの更新 (Refresh Routes)] をクリックすると、[グローバル アドバタイズ フラグ (Global Advertise Flags)] の変更が新しいルートおよび既存のルートに適用されます。

使用可能なピン留めルートがある場合は、サブネットのコスト計算をリセットできます。サブネットの [編集 (Edit)] オプションをクリックします。

[リセット (Reset)] をクリックすると、Orchestrator はピン留めされたルートをクリアし、ポリシーに基づいて選択したサブネットのコストを再計算し、結果を Edge とゲートウェイに送信できます。

[Edge NFV]

次のオプションを選択して、ユーザーがサービスの準備ができた Edge プラットフォーム上でサードパーティ製の仮想ネットワーク機能 (VNF) をデプロイできるようにします。

現在、サービスの準備ができた Edge プラットフォーム モデルは、520v と 840 です。オペレータ ユーザーとして Edge NFV を有効にすると、ユーザーはネットワーク サービスから VNF および VNF ライセンスを構成してデプロイできます。

  • [Edge NFV の有効化 (Enable Edge NFV)] – このオプションをオンにすると、Edge に VNF をデプロイする機能が有効になります。Edge に 1 つ以上の VNF をデプロイした後は、このオプションを無効にすることはできません。
  • [セキュリティ VNF (Security VNFs)] – リストされているサードパーティ製 VNF の横にある該当するチェックボックスをオンにして、対応するセキュリティ VNF を Edge 上にデプロイします。

[オペレータ プロファイル (Operator Profile)]

選択したユーザーに関連付けられている現在のオペレータ プロファイルが表示されます。必要に応じて、ドロップダウン リストで使用可能な別のオペレータ プロファイルを選択できます。

別のオペレータ プロファイルに切り替えるときは、次の制限事項を考慮してください。

  • セグメントベースのオペレータ プロファイルからネットワークベースのオペレータ プロファイルに切り替えると、セグメントベースのプロファイルに対するエンタープライズの Edge にソフトウェア イメージの更新が適用されません。
  • ネットワークベースのオペレータ プロファイルからセグメントベースのオペレータ プロファイルに切り替えると、ネットワークベースのプロファイルに対するエンタープライズの Edge にソフトウェア イメージの更新が適用されません。

[ゲートウェイ プール (Gateway Pool)]

選択したユーザーに関連付けられている現在のゲートウェイ プールが表示されます。必要に応じて、ドロップダウン リストで使用可能な別のゲートウェイ プールを選択できます。

ゲートウェイ プールで使用可能なゲートウェイがパートナー ゲートウェイ ロールを使用して割り当てられている場合は、ゲートウェイをパートナーにハンドオフすることができます。[パートナー ハンドオフの有効化 (Enable Partner Handoff)] を選択して、セグメントとゲートウェイのハンドオフ オプションを構成します。詳細については、パートナー ハンドオフの構成を参照してください。

[その他の設定 (Other Settings)]

このオプションは、[ユーザー契約書 (User Agreement)] オプションを有効にしている場合にのみ使用できます。ユーザー契約書のデフォルトの表示設定を上書きするには、[ユーザー契約書の表示 (User Agreement Display)] ドロップダウン リストから該当するオプションを選択します。デフォルトでは、ユーザーは [システム プロパティ (System Properties)] で設定されている表示モードを継承します。詳細については、ユーザー契約書の管理を参照してください。

構成に変更を加えた後、[変更の保存 (Save Changes)] をクリックします。