Depois de criar um cliente, configure as definições e opções de funcionalidades a que o cliente pode aceder. Como superutilizador de parceiro, pode escolher as definições que o cliente de parceiro pode modificar.
Quando cria um novo cliente, é redirecionado para a página Configuração do cliente (Customer Configuration), onde pode configurar as definições do cliente. Também pode navegar para a página Configuração (Configuration) ao seguir os passos abaixo:
Procedimento
- No portal do parceiro, selecione um cliente parceiro e, no cabeçalho superior, clique em SD-WAN > Definições globais (Global Settings).
- No menu esquerdo, clique em Configuração do cliente (Customer Configuration). É apresentada a seguinte página:
A secção Configuração do serviço (Service Configuration) inclui os quatro serviços seguintes:
- SD-WAN
- Edge Network Intelligence
- Cloud Web Security
- Secure Access
Clique no botão Ativar (Turn On) para ativar cada serviço. Clique nas reticências verticais presentes no canto superior direito de cada mosaico para desativar ou configurar esse serviço. Também pode utilizar a opção Configurar (Configure) presente no canto inferior direito de cada mosaico para configurar o respetivo serviço. Cada mosaico apresenta o resumo da configuração.
Nota: Quando seleciona a opção Desativar (Turn off), é apresentada uma janela pop-up a solicitar confirmação. Selecione a caixa de verificação e clique em Desativar serviço (Turn Off Service).- SD-WAN: clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up. Configure as definições e, em seguida, clique em Atualizar (Update).
Opção Descrição Domínio (Domain) Introduza o nome de domínio a ser utilizado para ativar a autenticação de início de sessão único (SSO) para o Orchestrator. Isto também é necessário para ativar o Edge Network Intelligence para o cliente. Autenticação de Edge predefinida (Default Edge Authentication) No menu pendente, escolha a opção predefinida para autenticar os Edges associados ao cliente.
- Certificado desativado (Certificate Deactivated): o Edge utiliza um modo de autenticação de chave pré-partilhada.
- Aquisição de certificado (Certificate Acquire): esta opção está selecionada por predefinição e instrui o Edge a adquirir um certificado junto da autoridade de certificado do SD-WAN Orchestrator, gerando um par-chave e enviando um pedido de assinatura de certificado ao Orchestrator. Uma vez adquirido, o Edge utiliza o certificado para autenticação no SD-WAN Orchestrator e para a criação de túneis VCMP.
Nota: Após a aquisição do certificado, a opção pode ser atualizada para Certificado necessário (Certificate Required).
- Certificado necessário (Certificate Required): o Edge utiliza o certificado PKI. Pode alterar o intervalo de tempo de renovação do certificado para os Edges que utilizam a propriedade do sistema
edge.certificate.renewal.window
.
Licenciamento Edge São apresentadas as Licenças Edge existentes. Clique em Adicionar (Add) para adicionar ou remover as licenças. Nota: Os tipos de licença podem ser utilizados em vários Edges. Recomenda-se conceder aos clientes acesso a todos os tipos de licenças para corresponder à edição e região deles. Para obter mais informações, consulte Licenciamento Edge com a nova IU do Orchestrator.Permitir que o cliente faça a gestão do software (Allow Customer to Manage Software) Selecione a caixa de verificação se quiser permitir que um superutilizador da empresa gira as imagens de software disponíveis para a empresa. Perfil do operador (Operator Profile) Selecione um perfil do operador para ser associado ao cliente no menu pendente disponível. Este campo não estará disponível se a opção Permitir que o cliente faça a gestão do software (Allow Customer to Manage Software) estiver selecionada. Para obter mais informações sobre os perfis do operador, consulte a secção “Gerir perfis do operador com a nova IU do Orchestrator” no Guia do operador do VMware SD-WAN disponível na Documentação do VMware SD-WAN. Número máximo de segmentos Introduza o número máximo de segmentos que podem ser configurados. O intervalo válido é de 1 a 16. O valor predefinido é 16. - Edge Network Intelligence: clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up. Configure as definições e, em seguida, clique em Atualizar (Update).
Nota: Só poderá selecionar esta opção quando o serviço SD-WAN estiver ativado.
Opção Descrição Domínio (Domain) Introduza o nome de domínio a ser utilizado para ativar a autenticação de início de sessão único (SSO) para o Orchestrator. Isto também é necessário para ativar o Edge Network Intelligence para o cliente. Nós analíticos (Analytics Nodes) Introduza o número máximo de Edges que podem ser aprovisionados como Nós analíticos. Por predefinição, Ilimitado (Unlimited) é a opção selecionada. Acesso a funcionalidade (Feature Access) Selecione a caixa de verificação Autorrecuperação para permitir que o Edge Network Intelligence apresente recomendações para melhorar o desempenho. - Cloud Web Security: este serviço só está disponível quando seleciona um Conjunto de gateways (Gateway Pool) com uma função de Cloud Web Security. O Cloud Web Security é um serviço alojado na cloud que protege os utilizadores e a infraestrutura que acedem a aplicações SaaS e da Internet. Para obter mais informações, consulte o Guia de configuração do VMware Cloud Web Security. Clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up:
Selecione a edição necessária e clique em Atualizar (Update). A Edição Standard (Standard Edition) inclui filtragem de URL, inspeção SSL, antivírus, autenticação, sandbox básico, visibilidade CASB em linha. A Edição Avançada (Advanced Edition) inclui filtragem de URL, inspeção SSL, antivírus, autenticação, sandbox básico, visibilidade e controlos CASB em linha, visibilidade e controlos DLP em linha
- Secure Access: este serviço só está disponível quando seleciona um Conjunto de gateways (Gateway Pool) com uma função de Cloud Web Security. A solução Secure Access combina os serviços do VMware SD-WAN e do Workspace ONE para fornecer um acesso consistente, ideal e seguro às aplicações na cloud através de uma rede de nós de serviço geridos em todo o mundo. Para obter mais informações, consulte o Guia de configuração do VMware Secure Access. Clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up:
Introduza o número máximo de PoPs e, em seguida, clique em Atualizar (Update).
- Veja a seguir as definições de configuração adicionais disponíveis na página Configuração do cliente (Customer Configuration):
Opção Descrição Global Exibição do acordo do utilizador (User Agreement Display) Selecione qualquer uma das opções seguintes no menu pendente: - Herdar
- Anular para ocultar
- Anular para mostrar
Nota:Este campo apenas está disponível quando a propriedade do sistemasession.options.enableUserAgreements
está definida como Verdadeiro (True).Acesso a funcionalidade (Feature Access) Selecione a caixa de verificação para permitir que o cliente aceda à funcionalidade selecionada. Delegar gestão no cliente (Delegate Management To Customer) Selecione a caixa de verificação para permitir que o cliente modifique as definições da propriedade selecionada. Conjunto de gateways (Gateway Pool) Conjunto de gateways atual (Current Gateway Pool) Selecione um conjunto de gateways na lista pendente. Gateways neste conjunto (Gateways in this Pool) Apresenta os detalhes dos gateways no conjunto atual. Entrega de Parceiro (Partner Hand Off) Ativar esta opção apresenta a secção Configurar entrega (Configure Hand Off). Para obter mais detalhes, consulte Configurar entrega. Política de segurança Hash Por predefinição, não existe nenhum algoritmo de autenticação configurado para o cabeçalho VPN, uma vez que o AES-GCM é um algoritmo de encriptação autenticado. Quando seleciona a caixa de verificação Desativar GCM (Turn off GCM), poderá selecionar um dos seguintes como algoritmo de autenticação para o cabeçalho VPN, no menu pendente apresentado: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Encriptação (Encryption) Selecione AES 128 ou AES 256 como o tamanho de chave dos algoritmos AES para encriptar os dados. O modo de algoritmo de encriptação predefinido é AES 128. Grupo DH (DH Group) Selecione o algoritmo do grupo Diffie-Hellman (DH) para ser utilizado ao trocar uma chave pré-partilhada. O grupo DH define a força do algoritmo em bits. Os grupos DH suportados são 2, 5, 14, 15 e 16. Recomenda-se a utilização do Grupo DH 14, que é o valor predefinido. PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são 2, 5, 14, 15 e 16. Por predefinição, o PFS está desativado. Desativar GCM (Turn off GCM) Selecione esta caixa de verificação para ativar o Hash e selecione um algoritmo de autenticação para o cabeçalho VPN. Tempo de vida IPSec SA (min) (IPSec SA Lifetime Time(min)) Tempo em que a recodificação do protocolo de segurança da Internet (IPSec) é iniciado para os Edges. O tempo de vida mínimo do IPsec é de 3 minutos e o tempo de vida máximo do IPsec é de 480 minutos. O valor predefinido é 480 minutos. Nota: Não é aconselhável configurar o valor de tempo de vida baixo para o IPSec (menos de 10 minutos), pois pode causar interrupção de tráfego em algumas implementações devido a recodificações. Os valores de tempo de vida baixos servem apenas para fins de depuração.Tempo de vida IKE SA (min) [IKE SA Lifetime(min)] Tempo em que a recodificação da troca de chaves da Internet (IKE) é iniciada para os Edges. O tempo de vida mínimo do IKE é de 10 minutos e o tempo de vida máximo do IKE é de 1440 minutos. O valor predefinido é 1440 minutos. Nota: Não é aconselhável configurar os valores de tempo de vida baixos para o IKE (menos de 30 minutos), pois pode causar interrupção de tráfego em algumas implementações devido a recodificações. Os valores de tempo de vida baixos servem apenas para fins de depuração.Anulação de caminho predefinido seguro (Secure Default Route Override) Selecione a caixa de verificação de modo a que o destino do tráfego correspondente a um caminho predefinido seguro (caminho estático ou caminho BGP) de um Gateway de Parceiro possa ser substituído com a Política empresarial. Nota: Para obter instruções sobre como ativar o encaminhamento seguro num Edge, consulte Configurar o handoff de parceiro. Para obter mais informações sobre a configuração do serviço de rede para a regra de política empresarial, consulte “Configurar o serviço de rede para a regra de política empresarial” no Guia de administração do VMware SD-WAN, disponível na Documentação VMware SD-WAN.Virtualização da função de rede do Edge NFV Edge (Edge NFV) Selecione esta opção para ativar a capacidade de implementar VNFs nos Edges. Depois de implementar uma ou mais VNFs nos Edges, não será possível desativar esta opção. VNFs de segurança (Security VNFs) Selecione as caixas de verificação relevantes para implementar os VNFs de segurança correspondentes nos Edges. Definições SD-WAN Cálculo de custos de OFC (OFC Cost Calculation) Selecione a caixa de verificação necessária: - Cálculo de custos distribuídos (Distributed Cost Calculation): selecione esta caixa de verificação para delegar os cálculos de custos de encaminhamento para os Edges/Gateways.
Nota: Esta opção está disponível apenas para os Edges/Gateways com a versão 3.4.0 e posterior.
- Utilizar política NSD (Use NSD Policy): selecione esta caixa de verificação para utilizar os cálculos de custos de encaminhamento para os Edges/Gateways.
Nota: Esta opção está disponível apenas para os Edges/Gateways com a versão 4.2.0 e posterior.
Múltiplas etiquetas DSCP por cálculo de caminho de fluxo (Multiple-DSCP tags per Flow Path Calculation) Selecione a caixa de verificação para incluir o valor DSCP como parte da consulta de fluxo. Nota: Este campo apenas está disponível quando a propriedade do sistemasession.options.enableFlowParametersConfig
está definida como Verdadeiro (True).Acesso a funcionalidade (Feature Access) Selecione a caixa de verificação Firewall com estado (Stateful Firewall) para substituir as definições de firewall com estado ativadas no Edge empresarial. - Clique em Guardar alterações (Save Changes).
Nota: Quando modificar as definições de Política de segurança (Security Policy), as alterações podem causar interrupções nos serviços atuais. Além disso, estas definições podem reduzir o débito geral e aumentar o tempo necessário para a configuração do túnel VCMP, que pode afetar os tempos de configuração do túnel dinâmico ramo-a-ramo e recuperar da falha do Edge num cluster.