Depois de criar um cliente, configure as definições e opções de funcionalidades a que o cliente pode aceder. Como superutilizador de parceiro, pode escolher as definições que o cliente de parceiro pode modificar.

Quando cria um novo cliente, é redirecionado para a página Configuração do cliente (Customer Configuration), onde pode configurar as definições do cliente. Também pode navegar para a página Configuração (Configuration) ao seguir os passos abaixo:

Procedimento

  1. Inicie sessão no SASE Orchestrator como parceiro.
  2. No portal do parceiro, selecione um cliente parceiro e, no cabeçalho superior, clique em SD-WAN > Definições globais (Global Settings).
  3. No menu esquerdo, clique em Configuração do cliente (Customer Configuration). É apresentada a seguinte página:
    A secção Configuração do serviço (Service Configuration) inclui os seguintes serviços:
    • SD-WAN
    • Edge Network Intelligence
    • Cloud Web Security
    • Secure Access
    • Hub da Cloud (Cloud Hub)

    Clique no botão Ativar (Turn On) para ativar cada serviço. Clique nas reticências verticais situadas no canto superior direito de cada mosaico para desativar ou configurar esse serviço. Também pode utilizar a opção Configurar (Configure) presente no canto inferior direito de cada mosaico para configurar o respetivo serviço. Cada mosaico apresenta o resumo da configuração.

    Nota: Quando seleciona a opção Desativar (Turn off), é apresentada uma janela pop-up a solicitar confirmação. Selecione a caixa de verificação e clique em Desativar serviço (Turn Off Service).
    1. SD-WAN: clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up. Configure as definições e, em seguida, clique em Atualizar (Update).
      Opção Descrição
      Domínio (Domain) Introduza o nome de domínio a ser utilizado para ativar a autenticação de início de sessão único (SSO) para o Orchestrator. Isto também é necessário para ativar o Edge Network Intelligence para o cliente.
      Autenticação de Edge predefinida (Default Edge Authentication)

      No menu pendente, escolha a opção predefinida para autenticar os Edges associados ao cliente.

      • Certificado desativado (Certificate Deactivated): o Edge utiliza um modo de autenticação de chave pré-partilhada.
      • Aquisição de certificado (Certificate Acquire): esta opção está selecionada por predefinição e instrui o Edge a adquirir um certificado junto da autoridade de certificado do SASE Orchestrator, gerando um par-chave e enviando um pedido de assinatura de certificado ao Orchestrator. Uma vez adquirido, o Edge utiliza o certificado para autenticação no SASE Orchestrator e para a criação de túneis VCMP.
        Nota: Após a aquisição do certificado, a opção pode ser atualizada para Certificado necessário (Certificate Required).
      • Certificado necessário (Certificate Required): o Edge utiliza o certificado PKI. Pode alterar o intervalo de tempo de renovação do certificado para os Edges que utilizam a propriedade do sistema edge.certificate.renewal.window.
      Licenciamento Edge São apresentadas as Licenças Edge existentes. Clique em Adicionar (Add) para adicionar ou remover as licenças.
      Nota: Os tipos de licença podem ser utilizados em vários Edges. Recomenda-se conceder aos clientes acesso a todos os tipos de licenças para corresponder à edição e região deles. Para obter mais informações, consulte Licenciamento Edge.
      Permitir que o cliente faça a gestão do software (Allow Customer to Manage Software) Selecione a caixa de verificação se quiser permitir que um superutilizador da empresa gira as imagens de software disponíveis para a empresa. Para obter mais informações, consulte o tópico Gestão de imagem Edge no Guia de administração do VMware SD-WAN.
      Perfil do operador (Operator Profile) Selecione um perfil do operador para ser associado ao cliente no menu pendente disponível. Este campo não estará disponível se a opção Permitir que o cliente faça a gestão do software (Allow Customer to Manage Software) estiver selecionada. Para obter mais informações sobre os perfis do operador, consulte a secção “Gerir perfis do operador” no Guia do operador do VMware SD-WAN disponível na Documentação do VMware SD-WAN.
      Número máximo de segmentos Introduza o número máximo de segmentos que podem ser configurados. O intervalo válido é de 1 a 16. O valor predefinido é 16.
    2. Edge Network Intelligence: clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up. Configure as definições e, em seguida, clique em Atualizar (Update).
      Nota: Só poderá selecionar esta opção quando o serviço SD-WAN estiver ativado.
      Opção Descrição
      Domínio (Domain) Introduza o nome de domínio a ser utilizado para ativar a autenticação de início de sessão único (SSO) para o Orchestrator. Isto também é necessário para ativar o Edge Network Intelligence para o cliente.
      Nós analíticos (Analytics Nodes) Introduza o número máximo de Edges que podem ser aprovisionados como Nós analíticos. Por predefinição, Ilimitado (Unlimited) é a opção selecionada.
      Acesso a funcionalidade (Feature Access) Selecione a caixa de verificação Autorrecuperação para permitir que o Edge Network Intelligence apresente recomendações para melhorar o desempenho.
    3. Cloud Web Security: este serviço só está disponível quando seleciona um Conjunto de gateways (Gateway Pool) com uma função de Cloud Web Security. O Cloud Web Security é um serviço alojado na cloud que protege os utilizadores e a infraestrutura que acedem a aplicações SaaS e da Internet. Para obter mais informações, consulte o Guia de configuração do VMware Cloud Web Security. Clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up:

      Selecione a edição necessária e clique em Atualizar (Update). A Edição Standard (Standard Edition) inclui filtragem de URL, inspeção SSL, antivírus, autenticação, sandbox básico, visibilidade CASB em linha. A Edição Avançada (Advanced Edition) inclui filtragem de URL, inspeção SSL, antivírus, autenticação, sandbox básico, visibilidade e controlos CASB em linha, visibilidade e controlos DLP em linha

    4. Secure Access: este serviço só está disponível quando seleciona um Conjunto de gateways (Gateway Pool) com uma função de Cloud Web Security. A solução Secure Access combina os serviços do VMware SD-WAN e do Workspace ONE para fornecer um acesso consistente, ideal e seguro às aplicações na cloud através de uma rede de nós de serviço geridos em todo o mundo. Para obter mais informações, consulte o Guia de configuração do VMware Secure Access. Clicar na opção Configurar (Configure) apresentará a seguinte janela pop-up:

      Introduza o número máximo de PoPs e, em seguida, clique em Atualizar (Update).

  4. Veja a seguir as definições de configuração adicionais disponíveis na página Configuração do cliente (Customer Configuration):
    Opção Descrição
    Global
    Exibição do acordo do utilizador (User Agreement Display) Selecione qualquer uma das opções seguintes no menu pendente:
    • Herdar
    • Sobrepor para ocultar
    • Sobrepor para mostrar
    Nota:
    Este campo apenas está disponível quando a propriedade do sistema session.options.enableUserAgreements está definida como Verdadeiro (True).
    Acesso a funcionalidade (Feature Access) Fornece acesso às funcionalidades selecionadas. Selecione uma ou mais caixas de verificação na lista abaixo para ativar estas funcionalidades para o cliente de parceiro:
    • Autenticação de empresa (Enterprise Auth): por predefinição, apenas o operador pode ativar ou desativar a autenticação de dois fatores para uma empresa. Quando seleciona esta caixa de verificação, os administradores empresariais podem configurar a autenticação de dois fatores de forma independente.
    • Ativar o Serviço Premium (Enable Premium Service): fornece acesso aos serviços premium disponíveis. Por predefinição, esta é a opção selecionada.
    • Personalização de função (Role Customization): permite que um superutilizador empresarial personalize os privilégios da função para outros utilizadores empresariais.
    • Retrocesso do caminho (Route Backtracking): permite ao dispositivo escolher o melhor caminho pela ordem do comprimento do prefixo.
    • Painel de ajuda contextual no produto (In-product Contextual Help Panel): fornece acesso ao painel de ajuda integrado no Orchestrator. Esta funcionalidade está desativada por predefinição. Um administrador de parceiro tem de ativar esta opção para os clientes de parceiro.
    • Ativar registo de firewall no Orchestrator (Enable Firewall Logging to Orchestrator): por predefinição, os Edges não podem enviar os registos da Firewall para o Orchestrator. Selecione esta caixa de verificação para permitir que um Edge envie os registos da Firewall para o Orchestrator.
    • QoE personalizável (Customizable QoE): permite que o cliente configure os valores de limiar de latência máximo e mínimo para as categorias de aplicação de voz, vídeo e transacional de um Edge.
    • Ativar IU clássica do Orchestrator (Enable Classic Orchestrator UI): permite que o cliente mude da IU do Orchestrator angular para a IU clássica do Orchestrator. Esta opção apenas está disponível quando a propriedade do sistema session.options.enableClassicOrchestrator está definida como Verdadeiro (True).
    Delegar gestão no cliente (Delegate Management To Customer) Permite que o cliente de parceiro modifique as definições da propriedade selecionada. As duas propriedades seguintes estão sempre visíveis para os clientes de parceiro:
    • Ativar mapeamento CoS (Enable CoS Mapping): permite configurar o mapeamento CoS enquanto configura uma política empresarial.
    • Ativar limitação da taxa de serviço (Enable Service Rate Limiting): permite aplicar um limite à taxa de serviço numa política empresarial.
    Conjunto de gateways (Gateway Pool)
    Conjunto de gateways atual (Current Gateway Pool) Selecione um conjunto de gateways na lista pendente.
    Gateways neste conjunto (Gateways in this Pool) Apresenta os detalhes dos gateways no conjunto atual.
    Entrega de Parceiro (Partner Hand Off) Ativar esta opção apresenta a secção Configurar entrega (Configure Hand Off). Para obter mais detalhes, consulte Configurar handoff de parceiro.
    Política de segurança (Security Policy)
    Hash Por predefinição, não existe nenhum algoritmo de autenticação configurado para o cabeçalho VPN, uma vez que o AES-GCM é um algoritmo de encriptação autenticado. Quando seleciona a caixa de verificação Desativar GCM (Turn off GCM), poderá selecionar um dos seguintes como algoritmo de autenticação para o cabeçalho VPN, no menu pendente apresentado:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    Encriptação (Encryption) Selecione AES 128 ou AES 256 como o tamanho de chave dos algoritmos AES para encriptar os dados. O modo de algoritmo de encriptação predefinido é AES 128.
    Grupo DH (DH Group) Selecione o algoritmo do grupo Diffie-Hellman (DH) para ser utilizado ao trocar uma chave pré-partilhada. O grupo DH define a força do algoritmo em bits. Os grupos DH suportados são 2, 5, 14, 15 e 16. Recomenda-se a utilização do Grupo DH 14, que é o valor predefinido.
    PFS Selecione o nível de segredo de encaminhamento perfeito (PFS) para obter segurança adicional. Os níveis de PFS suportados são 2, 5, 14, 15 e 16. Por predefinição, o PFS está desativado.
    Desativar GCM (Turn off GCM) Selecione esta caixa de verificação para ativar o Hash e selecione um algoritmo de autenticação para o cabeçalho VPN.
    Tempo de vida IPSec SA (min) (IPSec SA Lifetime Time(min)) Tempo em que a recodificação do protocolo de segurança da Internet (IPSec) é iniciado para os Edges. O tempo de vida mínimo do IPsec é de 3 minutos e o tempo de vida máximo do IPsec é de 480 minutos. O valor predefinido é 480 minutos.
    Nota: Não é aconselhável configurar o valor de tempo de vida baixo para o IPSec (menos de 10 minutos), pois pode causar interrupção de tráfego em algumas implementações devido a recodificações. Os valores de tempo de vida baixos servem apenas para fins de depuração.
    Tempo de vida IKE SA (min) [IKE SA Lifetime(min)] Tempo em que a recodificação da troca de chaves da Internet (IKE) é iniciada para os Edges. O tempo de vida mínimo do IKE é de 10 minutos e o tempo de vida máximo do IKE é de 1440 minutos. O valor predefinido é 1440 minutos.
    Nota: Não é aconselhável configurar os valores de tempo de vida baixos para o IKE (menos de 30 minutos), pois pode causar interrupção de tráfego em algumas implementações devido a recodificações. Os valores de tempo de vida baixos servem apenas para fins de depuração.
    Sobreposição de caminho predefinido seguro (Secure Default Route Override) Selecione a caixa de verificação de modo a que o destino do tráfego correspondente a um caminho predefinido seguro (caminho estático ou caminho BGP) de um Gateway de Parceiro possa ser substituído com a Política empresarial.
    Nota: Para obter instruções sobre como ativar o encaminhamento seguro num Edge, consulte Configurar handoff de parceiro. Para obter mais informações sobre a configuração do serviço de rede para a regra de política empresarial, consulte “Configurar o serviço de rede para a regra de política empresarial” no Guia de administração do VMware SD-WAN, disponível na Documentação VMware SD-WAN.
    Virtualização da função de rede do Edge
    NFV Edge (Edge NFV) Selecione esta opção para ativar a capacidade de implementar VNFs nos Edges. Depois de implementar uma ou mais VNFs nos Edges, não será possível desativar esta opção.
    VNFs de segurança (Security VNFs) Selecione as caixas de verificação relevantes para implementar os VNFs de segurança correspondentes nos Edges.
    Definições SD-WAN (SD-WAN Settings)
    Cálculo de custos de OFC (OFC Cost Calculation) Selecione a caixa de verificação necessária:
    • Cálculo de custos distribuídos (Distributed Cost Calculation): selecione esta caixa de verificação para delegar os cálculos de custos de encaminhamento para os Edges/Gateways.
      Nota: Esta opção está disponível apenas para os Edges/Gateways com a versão 3.4.0 e posterior.
    • Utilizar política NSD (Use NSD Policy): selecione esta caixa de verificação para utilizar os cálculos de custos de encaminhamento para os Edges/Gateways.
      Nota: Esta opção está disponível apenas para os Edges/Gateways com a versão 4.2.0 e posterior.
    Múltiplas etiquetas DSCP por cálculo de caminho de fluxo (Multiple-DSCP tags per Flow Path Calculation) Selecione a caixa de verificação para incluir o valor DSCP como parte da consulta de fluxo.
    Nota: Este campo apenas está disponível quando a propriedade do sistema session.options.enableFlowParametersConfig está definida como Verdadeiro (True).
    Acesso a funcionalidade (Feature Access) Selecione Firewall com estado (Stateful Firewall) ou Proteção avançada contra ameaças (Advanced Threat Protection) para sobrepor as definições correspondentes ativadas no Edge empresarial.
  5. Clique em Guardar alterações (Save Changes).
    Nota: Quando modificar as definições de Política de segurança (Security Policy), as alterações podem causar interrupções nos serviços atuais. Além disso, estas definições podem reduzir o débito geral e aumentar o tempo necessário para a configuração do túnel VCMP, que pode afetar os tempos de configuração do túnel dinâmico ramo-a-ramo e recuperar da falha do Edge num cluster.