Depois de criar um cliente, configure as definições e opções de funcionalidades a que o cliente pode aceder. Pode escolher as definições que o cliente pode modificar. Apenas um utilizador operador pode configurar as definições do cliente.
Quando cria um novo cliente, é redirecionado para a página Configuração do cliente (Customer Configuration), onde pode configurar as definições do cliente. Também pode navegar para a página Configuração do cliente (Customer Configuration) ao seguir os passos abaixo:
Procedimento
- No portal da empresa, na barra de navegação global, expanda o menu pendente Aplicações empresariais (Enterprise Applications).
- Selecione o serviço Definições globais (Global Settings).
- No menu esquerdo, clique em Configuração do cliente (Customer Configuration). É apresentada a seguinte página:
A secção Configuração do serviço (Service Configuration) inclui os seguintes serviços:
- SD-WAN
- Edge Network Intelligence
- Cloud Web Security
- Secure Access
Clique no botão Ativar (Turn On) para ativar cada serviço. Clique nas reticências verticais situadas no canto superior direito de cada mosaico para desativar ou configurar esse serviço. Também pode utilizar a opção Configurar (Configure) presente no canto inferior direito de cada mosaico para configurar o respetivo serviço. Cada mosaico apresenta o resumo da configuração.
Nota: Quando seleciona a opção Desativar (Turn off), é apresentada uma janela pop-up a solicitar confirmação. Selecione a caixa de verificação e clique em Desativar serviço (Turn Off Service).- SD-WAN: clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up. Configure as definições e, em seguida, clique em Atualizar (Update).
Opção Descrição Domínio (Domain) Introduza o nome de domínio a ser utilizado para ativar a autenticação de início de sessão único (SSO) para o Orchestrator. Isto também é necessário para ativar o Edge Network Intelligence para o cliente. Autenticação de Edge predefinida (Default Edge Authentication) No menu pendente, escolha a opção predefinida para autenticar os Edges associados ao cliente.
- Certificado desativado (Certificate Deactivated): o Edge utiliza um modo de autenticação de chave pré-partilhada.
- Aquisição de certificado (Certificate Acquire): esta opção está selecionada por predefinição e instrui o Edge a adquirir um certificado junto da autoridade de certificado do SASE Orchestrator, gerando um par-chave e enviando um pedido de assinatura de certificado ao Orchestrator. Uma vez adquirido, o Edge utiliza o certificado para autenticação no SASE Orchestrator e para a criação de túneis VCMP.
Nota: Após a aquisição do certificado, a opção pode ser atualizada para Certificado necessário (Certificate Required).
- Certificado necessário (Certificate Required): o Edge utiliza o certificado PKI. Os operadores podem alterar o intervalo de tempo de renovação do certificado para Edges utilizando a propriedade do sistema
edge.certificate.renewal.window
.
Licenciamento Edge São apresentadas as Licenças Edge existentes. Clique em Adicionar (Add) para adicionar ou remover as licenças. Nota: Os tipos de licença podem ser utilizados em vários Edges. Recomenda-se conceder aos clientes acesso a todos os tipos de licenças para corresponder à edição e região deles. Para obter mais informações, consulte o tópico Licenciamento Edge no Guia de administração do VMware SD-WAN, localizado em https://docs.vmware.com/pt/VMware-SD-WAN/index.html.Permitir que o cliente faça a gestão do software (Allow Customer to Manage Software) Selecione a caixa de verificação se quiser permitir que um superutilizador da empresa gira as imagens de software disponíveis para a empresa. Para obter mais informações, consulte o tópico Gestão de imagem Edge no Guia de administração do VMware SD-WAN, localizado em https://docs.vmware.com/pt/VMware-SD-WAN/index.html. Perfil do operador (Operator Profile) Selecione um perfil do operador para ser associado ao cliente no menu pendente disponível. Este campo não estará disponível se a opção Permitir que o cliente faça a gestão do software (Allow Customer to Manage Software) estiver selecionada. Para obter mais informações sobre perfis de operadores, consulte o tópico Gerir perfis do operadores no Guia do operador do VMware SD-WAN, localizado em https://docs.vmware.com/pt/VMware-SD-WAN/index.html. Número máximo de segmentos Introduza o número máximo de segmentos que podem ser configurados. O intervalo válido é de 1 a 16. O valor predefinido é 16. - Edge Network Intelligence: clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up. Configure as definições e, em seguida, clique em Atualizar (Update).
Nota: Só poderá selecionar esta opção quando o serviço SD-WAN estiver ativado.
Opção Descrição Domínio (Domain) Introduza o nome de domínio a ser utilizado para ativar a autenticação de início de sessão único (SSO) para o Orchestrator. Isto também é necessário para ativar o Edge Network Intelligence para o cliente. Nós analíticos (Analytics Nodes) Introduza o número máximo de Edges que podem ser aprovisionados como Nós analíticos. Por predefinição, Ilimitado (Unlimited) é a opção selecionada. Acesso a funcionalidade (Feature Access) Selecione a caixa de verificação Autorrecuperação para permitir que o Edge Network Intelligence apresente recomendações para melhorar o desempenho. - Cloud Web Security: este serviço só está disponível quando seleciona um Conjunto de gateways (Gateway Pool) com uma função de Cloud Web Security. O Cloud Web Security é um serviço alojado na cloud que protege os utilizadores e a infraestrutura que acedem a aplicações SaaS e da Internet. Para obter mais informações, consulte o Guia de configuração do VMware Cloud Web Security. Clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up:
Selecione a edição necessária e clique em Atualizar (Update). A Edição Standard (Standard Edition) inclui filtragem de URL, inspeção SSL, antivírus, autenticação, sandbox básico, visibilidade CASB em linha. A Edição Avançada (Advanced Edition) inclui filtragem de URL, inspeção SSL, antivírus, autenticação, sandbox básico, visibilidade e controlos CASB em linha, visibilidade e controlos DLP em linha
- Secure Access: este serviço só está disponível quando seleciona um Conjunto de gateways (Gateway Pool) com uma função de Cloud Web Security. A solução Secure Access combina os serviços do VMware SD-WAN e do Workspace ONE para fornecer um acesso consistente, ideal e seguro às aplicações na cloud através de uma rede de nós de serviço geridos em todo o mundo. Para obter mais informações, consulte o Guia de configuração do VMware Secure Access. Clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up:
Introduza o número máximo de PoPs e, em seguida, clique em Atualizar (Update).
- Veja a seguir as definições de configuração adicionais disponíveis na página Configuração do cliente (Customer Configuration):
Opção Descrição Global Exibição do acordo do utilizador (User Agreement Display) Selecione qualquer uma das opções seguintes no menu pendente: - Herdar
- Sobrepor para ocultar
- Sobrepor para mostrar
Nota:Este campo apenas está disponível quando a propriedade do sistemasession.options.enableUserAgreements
está definida como Verdadeiro (True).Acesso a funcionalidade (Feature Access) Fornece acesso às funcionalidades selecionadas. Selecione uma ou mais caixas de verificação da lista abaixo para ativar estas funcionalidades para o cliente: - Autenticação de empresa (Enterprise Auth): por predefinição, apenas o operador pode ativar ou desativar a autenticação de dois fatores para uma empresa. Quando seleciona esta caixa de verificação, os administradores empresariais podem configurar a autenticação de dois fatores de forma independente. Esta opção também controla a ativação e a desativação do Início de sessão único (SSO).
- Ativar o Serviço Premium (Enable Premium Service): esta opção está selecionada por predefinição. O Serviço Premium refere-se à funcionalidade de Remediação a pedido que é uma parte essencial da Otimização dinâmica de vários caminhos (DMPO) do SD-WAN. A DMPO é utilizada para todo o tráfego que atravessa um SD-WAN Gateway. Quando o Serviço Premium está selecionado, o Gateway utiliza a Correção de erro de encaminhamento (FEC) para o tráfego do cliente afetado por níveis elevados de jitter ou perda da ligação WAN e que não pode ser direcionado para uma ligação WAN de melhor qualidade. Quando o Serviço Premium não está selecionado, o tráfego continua a atravessar o SD-WAN Gateway e a beneficiar de outros componentes da DMPO, como a Monitorização contínua, a Direção dinâmica de aplicações e a Transmissão de tráfego segura. No entanto, o tráfego afetado por níveis elevados de jitter ou perda da ligação WAN não beneficia da correção de erros por parte do Gateway. Para obter mais informações, consulte o tópico Otimização dinâmica de vários caminhos (DMPO) no Guia de administração do VMware SD-WAN.
- Personalização de função (Role Customization): permite que um superutilizador empresarial personalize os privilégios da função para outros utilizadores empresariais.
- Retrocesso do caminho (Route Backtracking): permite ao dispositivo escolher o melhor caminho pela ordem do comprimento do prefixo.
- Painel de ajuda contextual no produto (In-product Contextual Help Panel): fornece acesso ao painel “Ajuda no produto” (In Product Help) integrado no Orchestrator. Esta funcionalidade está desativada por predefinição. Os operadores têm de ativar esta opção para os clientes empresariais.
- Ativar registo de firewall no Orchestrator (Enable Firewall Logging to Orchestrator): por predefinição, os Edges não podem enviar os registos da Firewall para o Orchestrator. Selecione esta caixa de verificação para permitir que um Edge envie os registos da Firewall para o Orchestrator.
- QoE personalizável (Customizable QoE): permite que o cliente configure os valores de limiar de latência máximo e mínimo para as categorias de aplicação de voz, vídeo e transacional de um Edge.
- Ativar IU clássica do Orchestrator (Enable Classic Orchestrator UI): permite que o cliente mude da IU do Orchestrator angular para a IU clássica do Orchestrator. Esta opção apenas está disponível quando a propriedade do sistema
session.options.enableClassicOrchestrator
está definida como Verdadeiro (True).
Delegar gestão no cliente (Delegate Management To Customer) Permite que o cliente modifique as definições da propriedade selecionada. As duas propriedades seguintes estão sempre visíveis para os clientes: - Ativar mapeamento CoS (Enable CoS Mapping): permite configurar o mapeamento CoS enquanto configura uma política empresarial.
- Ativar limitação da taxa de serviço (Enable Service Rate Limiting): permite aplicar um limite à taxa de serviço numa política empresarial.
Conjunto de gateways (Gateway Pool) Conjunto de gateways atual (Current Gateway Pool) Apresenta o conjunto de gateways atual associado ao cliente selecionado. Se necessário, pode escolher um conjunto de gateways diferente disponível no menu pendente e clicar em Guardar alterações (Save Changes). Gateways neste conjunto (Gateways in this Pool) Apresenta os detalhes dos gateways no conjunto atual. Entrega de Parceiro (Partner Hand Off) Ativar a opção Conjunto de gateways (Gateway Pool) apresenta a secção Configurar entrega (Configure Hand Off). Se os gateways disponíveis no conjunto de gateways tiverem sido atribuídos com a função gateway de parceiro (Partner Gateway), poderá fazer handoff dos gateways aos parceiros. Para obter mais detalhes, consulte Configurar o handoff de parceiro. Política de segurança (Security Policy) Hash Por predefinição, não existe nenhum algoritmo de autenticação configurado para o cabeçalho VPN, uma vez que o AES-GCM é um algoritmo de encriptação autenticado. Quando seleciona a caixa de verificação Desativar GCM (Turn off GCM), poderá selecionar um dos seguintes como algoritmo de autenticação para o cabeçalho VPN, no menu pendente apresentado: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Encriptação (Encryption) Selecione AES 128 ou AES 256 como o tamanho de chave dos algoritmos AES para encriptar os dados. O modo de algoritmo de encriptação predefinido é AES 128. Grupo DH (DH Group) Selecione o algoritmo do grupo Diffie-Hellman (DH) para ser utilizado ao trocar uma chave pré-partilhada. O grupo DH define a força do algoritmo em bits. Os grupos DH suportados são 2, 5, 14, 15, 16, 19, 20 e 21. Os grupos DH 19, 20 e 21 estão disponíveis a partir da versão 5.2.0. Nota: Recomenda-se a utilização do Grupo DH 14, que é o valor predefinido.PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os grupos PFS suportados são 2, 5, 14, 15, 16, 19, 20 e 21. Os grupos PFS 19, 20 e 21 estão disponíveis a partir da versão 5.2.0. Por predefinição, o PFS está desativado. Desativar GCM (Turn off GCM) Selecione esta caixa de verificação para ativar o Hash e selecione um algoritmo de autenticação para o cabeçalho VPN. Tempo de vida IPSec SA (min) (IPSec SA Lifetime Time(min)) Tempo em que a recodificação do protocolo de segurança da Internet (IPSec) é iniciado para os Edges. O tempo de vida mínimo do IPsec é de 3 minutos e o tempo de vida máximo do IPsec é de 480 minutos. O valor predefinido é 480 minutos. Nota: Não é aconselhável configurar o valor de tempo de vida baixo para o IPSec (menos de 10 minutos), pois pode causar interrupção de tráfego em algumas implementações devido a recodificações. Os valores de tempo de vida baixos servem apenas para fins de depuração.Tempo de vida IKE SA (min) [IKE SA Lifetime(min)] Tempo em que a recodificação da troca de chaves da Internet (IKE) é iniciada para os Edges. O tempo de vida mínimo do IKE é de 10 minutos e o tempo de vida máximo do IKE é de 1440 minutos. O valor predefinido é 1440 minutos. Nota: Não é aconselhável configurar os valores de tempo de vida baixos para o IKE (menos de 30 minutos), pois pode causar interrupção de tráfego em algumas implementações devido a recodificações. Os valores de tempo de vida baixos servem apenas para fins de depuração.Sobreposição de caminho predefinido seguro (Secure Default Route Override) Selecione a caixa de verificação de modo a que o destino do tráfego correspondente a um caminho predefinido seguro (caminho estático ou caminho BGP) de um Gateway de Parceiro possa ser substituído com a Política empresarial. Virtualização da função de rede do Edge (Edge Network Function Virtualization): permite ativar a NFV nos Edges e permite que os clientes implementem VNFs de terceiros nas plataformas Edge prontas para serviço. Atualmente, os modelos da plataforma Edge prontos para serviço são 520v e 840. Como utilizador operador, quando ativa a NFV Edge (Edge NFV), os clientes podem configurar e implementar VNFs e licenças VNF e a partir dos respetivos serviços de rede. NFV Edge (Edge NFV) Selecione esta opção para ativar a capacidade de implementar VNFs nos Edges. Depois de implementar uma ou mais VNFs nos Edges, não será possível desativar esta opção. VNFs de segurança (Security VNFs) Selecione as caixas de verificação relevantes para implementar os VNFs de segurança correspondentes nos Edges. Para obter mais informações, consulte o tópico VNFs de segurança no Guia de administração do VMware SD-WAN, localizado em https://docs.vmware.com/pt/VMware-SD-WAN/index.html. Definições SD-WAN (SD-WAN Settings) Cálculo de custos de OFC (OFC Cost Calculation) Selecione a caixa de verificação necessária: - Cálculo de custos distribuídos (Distributed Cost Calculation): selecione esta caixa de verificação para delegar os cálculos de custos de encaminhamento para os Edges/Gateways.
Nota: Esta opção está disponível apenas para os Edges/Gateways com a versão 3.4.0 e posterior. Após a ativação do Cálculo de Custos Distribuídos (Distributed Cost Calculation), recomenda-se que atualize os caminhos na página navegando para Configurar (Configure) > Controlo de fluxo de overlay (Overlay Flow Control) no serviço SD-WAN do portal da empresa. Para obter mais informações, consulte Configurar o cálculo de custos distribuídos.
- Utilizar política NSD (Use NSD Policy): selecione esta caixa de verificação para utilizar os cálculos de custos de encaminhamento para os Edges/Gateways.
Nota: Esta opção está disponível apenas para os Edges/Gateways com a versão 4.2.0 e posterior.
Múltiplas etiquetas DSCP por cálculo de caminho de fluxo (Multiple-DSCP tags per Flow Path Calculation) Esta funcionalidade é utilizada quando o tráfego original do utilizador é encapsulado noutro túnel (GRE/IPsec) e as etiquetas DSCP são guardadas no novo cabeçalho IP. Esta funcionalidade permite o cálculo do caminho para um único fluxo (mesma origem/destino) com múltiplas etiquetas DSCP e oferece diferenciações de caminho com base nos valores DSCP do fluxo. Selecione a caixa de verificação Incluir valor DSCP como parte da procura de fluxo (Include DSCP value as part of flow lookup) para incluir valores DSCP como parte da procura de fluxo e cálculo de caminho. Para obter mais informações, consulte Configurar o cálculo do caminho com várias etiquetas DSCP por fluxo.
Nota: Este campo apenas está disponível quando a propriedade do sistemasession.options.enableFlowParametersConfig
está definida como Verdadeiro (True).Acesso a funcionalidade (Feature Access) Firewall com estado (Stateful Firewall) Selecione a caixa de verificação Firewall com estado (Stateful Firewall) para sobrepor as definições de firewall com estado ativadas no Edge empresarial. Serviços de firewall melhorados (Enhanced Firewall Services) Selecione a caixa de verificação Serviços de firewall melhorados (Enhanced Firewall Services) para ativar os serviços de firewall melhorados utilizando a funcionalidade da Firewall no VMware SASE Orchestrator. Nota: Para que os serviços de firewall melhorados (EFS) funcionem, certifique-se de que a versão do Edge foi atualizada para a 5.2.0.0.Nota: Desmarcar esta opção desativará apenas a funcionalidade EFS na IU. Para desativar a funcionalidade EFS para um cliente existente, tem primeiro de desativar a funcionalidade EFS no serviço SD-WAN do portal da empresa navegando para Configurar (Configure) > Perfis/Edges (Profiles/Edges) > Firewall > Serviços de firewall melhorados (Enhanced Firewall Services) e desmarcar esta caixa de verificação nas definições globais.Para obter mais informações sobre a configuração da regra de política de serviços da firewall melhorados, consulte o tópico Configurar serviços da firewall melhorados no Guia de administração do VMware SD-WAN. - Clique em Guardar alterações (Save Changes).
Nota: Quando modificar as definições de Política de segurança (Security Policy), as alterações podem causar interrupções nos serviços atuais. Além disso, estas definições podem reduzir o débito geral e aumentar o tempo necessário para a configuração do túnel VCMP, que pode afetar os tempos de configuração do túnel dinâmico ramo-a-ramo e recuperar da falha do Edge num cluster.