ユーザーを作成した後、ユーザーがアクセスできる機能オプションと設定を構成します。パートナー スーパー ユーザーは、パートナー ユーザーが変更できる設定を選択できます。

新しいカスタマーを作成すると、[カスタマー設定 (Customer Configuration)] ページにリダイレクトされ、カスタマーの設定を構成できます。

パートナー ポータルの [カスタマーの管理 (Manage Customers)] ページから構成ページに移動することもできます。カスタマーを選択して [アクション (Actions)] > [変更 (Modify)] をクリックするか、カスタマーへのリンクをクリックします。

カスタマーまたはエンタープライズ ポータルで、[構成 (Configure)] > [カスタマー (Customer)] をクリックし、次の設定を構成することができます。

[ユーザーの機能 (Customer Capabilities)]:機能を有効または無効にできるのは、オペレータのみです。次の機能のステータスを表示できます。機能を有効または無効にする場合は、オペレータに連絡してください。

  • エンタープライズ認証の有効化 (Enable Enterprise Auth)
  • Orchestrator のファイアウォール ログ作成の有効化 (Enable Firewall logging to Orchestrator)
  • レガシー ネットワークの有効化 (Enable Legacy Networks)
  • プレミアム サービスの有効化 (Enable Premium Service)
  • ロールのカスタマイズの有効化 (Enable Role Customization)
  • セグメントの有効化 (Enable Segmentation)
  • ステートフル ファイアウォールの有効化 (Enable Stateful Firewall)
  • 新しい Orchestrator UI に [構成] セクションを表示
  • CoS マッピング (CoS Mapping)
  • サービス レートの制限 (Service Rate Limiting)

[セキュリティ ポリシー (Security Policy)]:Edge 間の IPsec トンネルを作成する場合は、カスタマー構成レベルでセキュリティ ポリシーの構成設定を変更できます。

  • [ハッシュ (Hash)]:デフォルトでは、VPN ヘッダーには認証アルゴリズムが構成されていません。[GCM の無効化 (Disable GCM)] チェックボックスをオンにすると、ドロップダウン リストから VPN ヘッダーの認証アルゴリズムとして次のいずれかを選択できます。
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
  • [暗号化] - AES 128-Galois/Counter Mode (GCM)、AES 256-GCM、AES 128-Cipher Block Chaining (CBC) および AES 256-CBC は、機密性を確保するために使用される暗号化アルゴリズム モードです。データを暗号化するアルゴリズムとして [AES 128] または [AES 256] のいずれかを選択します。[GCM の無効化 (Disable GCM)] チェックボックスがオンになっていない場合、デフォルトの暗号化アルゴリズム モードは AES 128-GCM です。
  • [DH グループ (DH Group)]:事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループ アルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは、2、5、14、15、16 です。DH グループ 14 を使用することをお勧めします。
  • [PFS] - セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2、5、14、15、16 です。デフォルトでは、PFS は無効になっています。
  • [GCM の無効化 (Disable GCM)] - デフォルトでは、AES 128-GCM が有効になっています。必要に応じて、チェックボックスをオンにしてこのモードを無効にします。チェックボックスをオフにすると、AES 128-CBC モードが有効になります。
  • [IPsec SA の有効期間 (IPsec SA Lifetime)] - Edge のインターネット セキュリティ プロトコル (IPsec) の再キー化が開始される時間。IPsec の有効期間の最小値は 3 分、最大値は 480 分です。デフォルト値は 480 分です。
  • [IKE SA の有効期間 (IKE SA Lifetime)] - Edge のインターネット キー交換 (IKE) の再キー化が開始される時間。IKE の有効期間の最小値は 10 分、最大値は 1,440 分です。デフォルト値は 1440 分です。
    注: 低い存続期間の値(IPsec の場合は 10 分未満、IKE の場合は 30 分未満)を構成することは推奨されません。これは、再キー化により一部の環境でトラフィックが中断する可能性があるからです。低い存続期間の値は、デバッグ目的でのみ使用できます。
  • [セキュアなデフォルト ルートのオーバーライド (Secure Default Route Override)] - Edge でセキュア ルーティング(スタティック ルートまたは BGP ルート)が有効になっている場合でも、ビジネス ポリシー ルールに対して構成されたネットワーク サービスに基づいて Edge からのトラフィックが確実にルーティングされるようにするには、このチェックボックスをオンにします。
注: セキュリティ設定を変更すると、変更によって現在のサービスが中断する可能性があります。また、これらの設定により、全体的なスループットが低下し、VCMP トンネルの設定に必要な時間が増加する場合があります。これにより、ブランチ間の動的トンネルの設定時間や、クラスタ内の Edge の障害からのリカバリに影響する可能性があります。

[サービス アクセス]:カスタマーがアクセスできるサービスを選択するとともに、選択したサービスで使用可能なロールと権限を設定します。サービス アクセスの構成を参照してください。

[Gateway プール (Gateway Pool)]:選択したユーザーに関連付けられている現在の Gateway プールが表示されます。必要に応じて、使用可能なリストから別の Gateway プールを選択できます。

Gateway プールで使用可能な Gateway が Partner Gateway ロールを使用して割り当てられている場合は、Gateway をパートナーにハンドオフすることができます。[パートナー ハンドオフの有効化 (Enable Partner Handoff)] を選択して、セグメントと Gateway のハンドオフ オプションを構成します。詳細については、パートナー ハンドオフの構成を参照してください。

[最大セグメント数 (Maximum Segments)]:オペレータが設定したセグメントの最大数が表示されます。

[OFC のコスト計算 (OFC Cost Calculation)]:オペレータが [分散コスト計算 (Distributed Cost Calculation)] を有効にしているかどうかが表示されます。デフォルトでは、Orchestrator は動的ルートの学習にアクティブに関与しています。Edge と Gateway は、Orchestrator を使用して初期ルート設定を計算し、その結果を Edge および Gateway に戻します。[分散コスト計算 (Distributed Cost Calculation)] 機能を使用すると、ルートのコスト計算を Edge および Gateway に分散できます。

[分散コスト計算 (Distributed Cost Calculation)] の詳細については、『VMware SD-WAN オペレータ ガイド』の「[分散コスト計算の構成]」セクションを参照してください。この文書は https://docs.vmware.com/jp/VMware-SD-WAN/index.html で入手できます。

注: カスタマーの [分散コスト計算 (Distributed Cost Calculation)] 機能を有効にするには、 サポート チームに連絡してください

[Edge NFV]:ユーザーがサードパーティ製の仮想ネットワーク機能 (VNF) をサービスの準備ができた Edge プラットフォームにデプロイすることを許可されているかどうかが表示されます。

[Edge イメージ管理 (Edge Image Management)]:選択したパートナー ユーザーに関連付けられている現在のソフトウェア イメージが表示されます。パートナー スーパー ユーザーは、必要に応じて、ユーザーの使用可能なソフトウェア イメージのリストから別のソフトウェア イメージを選択して割り当てることができます。

パートナー ユーザーが Edge ソフトウェア イメージを管理するには、 [Edge ソフトウェア イメージ管理の委任 (Delegate Edge Software Image Management)] チェックボックスを有効にする必要があります。 [Edge ソフトウェア イメージ管理の委任 (Delegate Edge Software Image Management)] を有効にし、 [変更の保存 (Save Changes)] をクリックすると、パートナー ユーザーに割り当てられているすべてのソフトウェア イメージが表示されます。 [変更 (Modify)] をクリックすると、選択したカスタマーのソフトウェア イメージを追加または削除できます。
注: 割り当てられたイメージは、デフォルト イメージではなく、現在、パートナー ユーザー内の Edge によって使用されていない場合に限り、パートナー ユーザーから削除できます。

詳細については、『VMware SD-WAN 管理ガイド』の「[Edge ソフトウェア イメージ管理]」セクションを参照してください。この文書は、https://docs.vmware.com/jp/VMware-SD-WAN/index.htmlで入手できます。

構成に変更を加えた後、[変更の保存 (Save Changes)] をクリックします。