Depois de criar um cliente, configure as definições e opções de funcionalidades a que o cliente pode aceder. Como operador, pode escolher as definições que o cliente pode modificar.

Quando cria um novo cliente, é redirecionado para a página Configuração do cliente (Customer Configuration), onde pode configurar as definições do cliente. Também pode navegar para a página Configuração do cliente (Customer Configuration) diretamente a partir do portal do operador, seguindo os passos abaixo:

Procedimento

  1. Na página de opções de monitorização e configuração, selecione um cliente e, no cabeçalho superior, clique em SD-WAN > Definições globais (Global Settings).
  2. No menu esquerdo, clique em Configuração do cliente (Customer Configuration). É apresentada a seguinte página:
    A secção Configuração do serviço (Service Configuration) inclui os quatro serviços seguintes:
    • SD-WAN
    • Edge Network Intelligence
    • Cloud Web Security
    • Secure Access

    Clique no botão Ativar (Turn On) para ativar cada serviço. Clique nas reticências verticais presentes no canto superior direito de cada mosaico para desativar ou configurar esse serviço. Também pode utilizar a opção Configurar (Configure) presente no canto inferior direito de cada mosaico para configurar o respetivo serviço. Cada mosaico apresenta o resumo da configuração.

    Nota: Quando seleciona a opção Desativar (Turn off), é apresentada uma janela pop-up a solicitar confirmação. Selecione a caixa de verificação e clique em Desativar serviço (Turn Off Service).
    1. SD-WAN: clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up. Configure as definições e, em seguida, clique em Atualizar (Update).
      Opção Descrição
      Domínio (Domain) Introduza o nome de domínio a ser utilizado para ativar a autenticação de início de sessão único (SSO) para o Orchestrator. Isto também é necessário para ativar o Edge Network Intelligence para o cliente.
      Autenticação de Edge predefinida (Default Edge Authentication)

      No menu pendente, escolha a opção predefinida para autenticar os Edges associados ao cliente.

      • Certificado desativado (Certificate Deactivated): o Edge utiliza um modo de autenticação de chave pré-partilhada.
      • Aquisição de certificado (Certificate Acquire): esta opção está selecionada por predefinição e instrui o Edge a adquirir um certificado junto da autoridade de certificado do SD-WAN Orchestrator, gerando um par-chave e enviando um pedido de assinatura de certificado ao Orchestrator. Uma vez adquirido, o Edge utiliza o certificado para autenticação no SD-WAN Orchestrator e para a criação de túneis VCMP.
        Nota: Após a aquisição do certificado, a opção pode ser atualizada para Certificado necessário (Certificate Required).
      • Certificado necessário (Certificate Required): o Edge utiliza o certificado PKI. Os operadores podem alterar o intervalo de tempo de renovação do certificado para Edges utilizando a propriedade do sistema edge.certificate.renewal.window.
      Licenciamento Edge São apresentadas as Licenças Edge existentes. Clique em Adicionar (Add) para adicionar ou remover as licenças.
      Nota: Os tipos de licença podem ser utilizados em vários Edges. Recomenda-se conceder aos clientes acesso a todos os tipos de licenças para corresponder à edição e região deles. Para obter mais informações, consulte Licenciamento Edge com a nova IU do Orchestrator.
      Permitir que o cliente faça a gestão do software (Allow Customer to Manage Software) Selecione a caixa de verificação se quiser permitir que um superutilizador da empresa gira as imagens de software disponíveis para a empresa.
      Perfil do operador (Operator Profile) Selecione um perfil do operador para ser associado ao cliente no menu pendente disponível. Este campo não estará disponível se a opção Permitir que o cliente faça a gestão do software (Allow Customer to Manage Software) estiver selecionada. Para obter mais informações sobre os perfis do operador, consulte Gerir os perfis do operador
      Número máximo de segmentos Introduza o número máximo de segmentos que podem ser configurados. O intervalo válido é de 1 a 16. O valor predefinido é 16.
    2. Edge Network Intelligence: clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up. Configure as definições e, em seguida, clique em Atualizar (Update).
      Nota: Só poderá selecionar esta opção quando o serviço SD-WAN estiver ativado.
      Opção Descrição
      Domínio (Domain) Introduza o nome de domínio a ser utilizado para ativar a autenticação de início de sessão único (SSO) para o Orchestrator. Isto também é necessário para ativar o Edge Network Intelligence para o cliente.
      Nós analíticos (Analytics Nodes) Introduza o número máximo de Edges que podem ser aprovisionados como Nós analíticos. Por predefinição, Ilimitado (Unlimited) é a opção selecionada.
      Acesso a funcionalidade (Feature Access) Selecione a caixa de verificação Autorrecuperação para permitir que o Edge Network Intelligence apresente recomendações para melhorar o desempenho.
    3. Cloud Web Security: este serviço só está disponível quando seleciona um Conjunto de gateways (Gateway Pool) com uma função de Cloud Web Security. O Cloud Web Security é um serviço alojado na cloud que protege os utilizadores e a infraestrutura que acedem a aplicações SaaS e da Internet. Para obter mais informações, consulte o Guia de configuração do VMware Cloud Web Security. Clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up:

      Selecione a edição necessária e clique em Atualizar (Update). A Edição Standard (Standard Edition) inclui filtragem de URL, inspeção SSL, antivírus, autenticação, sandbox básico, visibilidade CASB em linha. A Edição Avançada (Advanced Edition) inclui filtragem de URL, inspeção SSL, antivírus, autenticação, sandbox básico, visibilidade e controlos CASB em linha, visibilidade e controlos DLP em linha

    4. Secure Access: este serviço só está disponível quando seleciona um Conjunto de gateways (Gateway Pool) com uma função de Cloud Web Security. A solução Secure Access combina os serviços do VMware SD-WAN e do Workspace ONE para fornecer um acesso consistente, ideal e seguro às aplicações na cloud através de uma rede de nós de serviço geridos em todo o mundo. Para obter mais informações, consulte o Guia de configuração do VMware Secure Access. Clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up:

      Introduza o número máximo de PoPs e, em seguida, clique em Atualizar (Update).

  3. Veja a seguir as definições de configuração adicionais disponíveis na página Configuração do cliente (Customer Configuration):
    Opção Descrição
    Global
    Exibição do acordo do utilizador (User Agreement Display) Selecione qualquer uma das opções seguintes no menu pendente:
    • Herdar
    • Sobrepor para ocultar
    • Sobrepor para mostrar
    Nota:
    Este campo apenas está disponível quando a propriedade do sistema session.options.enableUserAgreements está definida como Verdadeiro (True).
    Acesso a funcionalidade (Feature Access) Fornece acesso às funcionalidades selecionadas. Selecione uma ou mais caixas de verificação da lista abaixo para ativar estas funcionalidades para o cliente:
    • Autenticação de empresa (Enterprise Auth): por predefinição, apenas o operador pode ativar ou desativar a autenticação de dois fatores para uma empresa. Quando seleciona esta caixa de verificação, os administradores empresariais podem configurar a autenticação de dois fatores de forma independente. Esta opção também controla a ativação e a desativação do Início de sessão único (SSO).
    • Ativar o Serviço Premium (Enable Premium Service): esta opção está selecionada por predefinição. O Serviço Premium refere-se à funcionalidade de Remediação a pedido que é uma parte essencial da Otimização dinâmica de vários caminhos (DMPO) do SD-WAN. A DMPO é utilizada para todo o tráfego que atravessa um SD-WAN Gateway. Quando o Serviço Premium está selecionado, o Gateway utiliza a Correção de erro de encaminhamento (FEC) para o tráfego do cliente afetado por níveis elevados de jitter ou perda da ligação WAN e que não pode ser direcionado para uma ligação WAN de melhor qualidade. Quando o Serviço Premium não está selecionado, o tráfego continua a atravessar o SD-WAN Gateway e a beneficiar de outros componentes da DMPO, como a Monitorização contínua, a Direção dinâmica de aplicações e a Transmissão de tráfego segura. No entanto, o tráfego afetado por níveis elevados de jitter ou perda da ligação WAN não beneficia da correção de erros por parte do Gateway. Para obter mais informações, consulte o tópico Otimização dinâmica de vários caminhos (DMPO) no Guia de administração do VMware SD-WAN.
    • Personalização de função (Role Customization): permite que um superutilizador empresarial personalize os privilégios da função para outros utilizadores empresariais.
    Delegar gestão no cliente (Delegate Management To Customer) Permite que o cliente modifique as definições da propriedade selecionada. As duas propriedades seguintes estão sempre visíveis para os clientes:
    • Ativar mapeamento CoS (Enable CoS Mapping): permite configurar o mapeamento CoS enquanto configura uma política empresarial.
    • Ativar limitação da taxa de serviço (Enable Service Rate Limiting): permite aplicar um limite à taxa de serviço numa política empresarial.
    Conjunto de gateways (Gateway Pool)
    Conjunto de gateways atual (Current Gateway Pool) Selecione um conjunto de gateways na lista pendente.
    Gateways neste conjunto (Gateways in this Pool) Apresenta os detalhes dos gateways no conjunto atual.
    Entrega de Parceiro (Partner Hand Off) Ativar esta opção apresenta a secção Configurar entrega (Configure Hand Off). Para obter mais detalhes, consulte Configurar entrega.
    Política de segurança (Security Policy)
    Hash Por predefinição, não existe nenhum algoritmo de autenticação configurado para o cabeçalho VPN, uma vez que o AES-GCM é um algoritmo de encriptação autenticado. Quando seleciona a caixa de verificação Desativar GCM (Turn off GCM), poderá selecionar um dos seguintes como algoritmo de autenticação para o cabeçalho VPN, no menu pendente apresentado:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    Encriptação (Encryption) Selecione AES 128 ou AES 256 como o tamanho de chave dos algoritmos AES para encriptar os dados. O modo de algoritmo de encriptação predefinido é AES 128.
    Grupo DH (DH Group) Selecione o algoritmo do grupo Diffie-Hellman (DH) para ser utilizado ao trocar uma chave pré-partilhada. O grupo DH define a força do algoritmo em bits. Os grupos DH suportados são 2, 5, 14, 15 e 16. Recomenda-se a utilização do Grupo DH 14, que é o valor predefinido.
    PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são 2, 5, 14, 15 e 16. Por predefinição, o PFS está desativado.
    Desativar GCM (Turn off GCM) Selecione esta caixa de verificação para ativar o Hash e selecione um algoritmo de autenticação para o cabeçalho VPN.
    Tempo de vida IPSec SA (min) (IPSec SA Lifetime Time(min)) Tempo em que a recodificação do protocolo de segurança da Internet (IPSec) é iniciado para os Edges. O tempo de vida mínimo do IPsec é de 3 minutos e o tempo de vida máximo do IPsec é de 480 minutos. O valor predefinido é 480 minutos.
    Nota: Não é aconselhável configurar o valor de tempo de vida baixo para o IPSec (menos de 10 minutos), pois pode causar interrupção de tráfego em algumas implementações devido a recodificações. Os valores de tempo de vida baixos servem apenas para fins de depuração.
    Tempo de vida IKE SA (min) [IKE SA Lifetime(min)] Tempo em que a recodificação da troca de chaves da Internet (IKE) é iniciada para os Edges. O tempo de vida mínimo do IKE é de 10 minutos e o tempo de vida máximo do IKE é de 1440 minutos. O valor predefinido é 1440 minutos.
    Nota: Não é aconselhável configurar os valores de tempo de vida baixos para o IKE (menos de 30 minutos), pois pode causar interrupção de tráfego em algumas implementações devido a recodificações. Os valores de tempo de vida baixos servem apenas para fins de depuração.
    Sobreposição de caminho predefinido seguro (Secure Default Route Override) Selecione a caixa de verificação de modo a que o destino do tráfego correspondente a um caminho predefinido seguro (caminho estático ou caminho BGP) de um Gateway de Parceiro possa ser substituído com a Política empresarial.
    Nota: Para obter instruções sobre como ativar o encaminhamento seguro num Edge, consulte Configurar handoff de parceiro. Para obter mais informações sobre a configuração do serviço de rede para a regra de política empresarial, consulte “Configurar o serviço de rede para a regra de política empresarial” no Guia de administração do VMware SD-WAN, disponível na Documentação VMware SD-WAN.
    Virtualização da função de rede do Edge
    NFV Edge (Edge NFV) Selecione esta opção para ativar a capacidade de implementar VNFs nos Edges. Depois de implementar uma ou mais VNFs nos Edges, não será possível desativar esta opção.
    VNFs de segurança (Security VNFs) Selecione as caixas de verificação relevantes para implementar os VNFs de segurança correspondentes nos Edges.
    Definições SD-WAN (SD-WAN Settings)
    Cálculo de custos de OFC (OFC Cost Calculation) Selecione a caixa de verificação necessária:
    • Cálculo de custos distribuídos (Distributed Cost Calculation): selecione esta caixa de verificação para delegar os cálculos de custos de encaminhamento para os Edges/Gateways.
      Nota: Esta opção está disponível apenas para os Edges/Gateways com a versão 3.4.0 e posterior.
    • Utilizar política NSD (Use NSD Policy): selecione esta caixa de verificação para utilizar os cálculos de custos de encaminhamento para os Edges/Gateways.
      Nota: Esta opção está disponível apenas para os Edges/Gateways com a versão 4.2.0 e posterior.
    Múltiplas etiquetas DSCP por cálculo de caminho de fluxo (Multiple-DSCP tags per Flow Path Calculation) Selecione a caixa de verificação para incluir o valor DSCP como parte da consulta de fluxo.
    Nota: Este campo apenas está disponível quando a propriedade do sistema session.options.enableFlowParametersConfig está definida como Verdadeiro (True).
    Acesso a funcionalidade (Feature Access) Selecione a caixa de verificação Firewall com estado (Stateful Firewall) para sobrepor as definições de firewall com estado ativadas no Edge empresarial.
  4. Clique em Guardar alterações (Save Changes).
    Nota: Quando modificar as definições de Política de segurança (Security Policy), as alterações podem causar interrupções nos serviços atuais. Além disso, estas definições podem reduzir o débito geral e aumentar o tempo necessário para a configuração do túnel VCMP, que pode afetar os tempos de configuração do túnel dinâmico ramo-a-ramo e recuperar da falha do Edge num cluster.