Para implementar o serviço VMware Secure Access utilizando o SD-WAN Orchestrator:

Pré-requisitos

  • Certifique-se de que concluiu a configuração necessária no Workspace ONE UEM. Para obter mais detalhes, consulte Começar a implementar o VMware Secure Access.
  • Certifique-se de que definiu o número máximo de PoPs para o Secure Access no SD-WAN Orchestrator. O número máximo depende do número de VMware SASE PoPs implementados no SD-WAN Orchestrator. Para definir o número máximo de PoPs, aceda a Configurar > Cliente > Configuração do cliente > Acesso ao serviço (Configure > Customer > Customer Configuration > Service Access).

Procedimento

  1. Inicie sessão no SD-WAN Orchestrator como utilizador empresarial e, em seguida, clique em Abrir nova IU Orchestrator (Open New Orchestrator UI).
  2. No pop-up modal Nova IU do Orchestrator (New Orchestrator UI) apresentado, clique em Lançamento de nova IU do Orchestrator (Launch New Orchestrator UI).
  3. Na lista pendente SD-WAN de aplicações empresariais, selecione Secure Access.
  4. Na página Secure Access apresentada, clique em + Novo serviço (New Service).
    É apresentado o assistente Acesso remoto (Remote Access).
  5. No ecrã Configuração do UEM (UEM Configuration) do assistente Acesso remoto (Remote Access), proceda às seguintes configurações:
    1. No campo Nome DNS (DNS Name), introduza o nome de anfitrião que forneceu quando configurou o túnel do Workspace ONE UEM. Consulte o passo 4 em Começar a implementar o VMware Secure Access.
    2. No campo URL do UEM (UEM URL), introduza o URL da API do Workspace ONE UEM relativo ao seu ambiente UEM.
    3. No campo ID do grupo da Org. do UEM (UEM Org Group ID), introduza o identificador do grupo de organizações que criou durante a configuração do Workspace ONE UEM. Consulte o passo 1 em Começar a implementar o VMware Secure Access.
    4. Na secção Credenciais do WS1 UEM (WS1 UEM Credentials), introduza o nome de utilizador e a palavra-passe que configurou quando criou a conta de administrador no Workspace ONE UEM console. Consulte o passo 2 em Começar a implementar o VMware Secure Access.
    5. Selecione a caixa de verificação Sim (Yes) para configurar o nome de anfitrião do túnel UEM dentro do grupo de organizações que criou.
    6. Clique em Verificar (Check).
      É efetuada uma chamada à API para o servidor UEM validar os dados introduzidos. Quando a validação for bem sucedida, clique em Seguinte (Next).
  6. No ecrã Definições da empresa e da rede (Enterprise and Network settings) do assistente Acesso remoto (Remote Access), conclua as seguintes configurações:
    1. Na lista pendente Servidor DNS da empresa (Enterprise DNS Server), selecione o servidor DNS configurado para a empresa. Por predefinição, é Google ou OpenDNS.
    2. Na lista pendente Segmento de SD-WAN (SD WAN Segment), selecione o segmento necessário para o qual pretende ativar o serviço Secure Access. Por predefinição, é Segmento global (Global Segment).
    3. Na secção Intervalos de IP da empresa (Enterprise IP Ranges), introduza os seguintes detalhes:
      • Sub-rede de cliente (Customer Subnet) – trata-se de uma sub-rede detida pelo cliente que será utilizada pelos utilizadores remotos quando acedem à rede. Esta sub-rede de cliente funciona como uma superrede que será dividida e distribuída entre tantos SASE PoPs quanto o utilizador tenha configurado para a implementação (podem ser configurados até cinco PoPs).
      • Bits de sub-rede (Subnet Bits) – configure de 1 a 3 bits de sub-rede para dividir a sub-rede de cliente em sub-redes individuais que podem ser alocadas aos PoPs.
      A tabela seguinte ilustra a relação entre a sub-rede de cliente e os bits de sub-rede:
      Sub-rede de cliente Bits de sub-rede Número de sub-redes Sub-rede por PoP
      10.10.1.0/24 1 2
      • 10.10.1.0/25
      • 10.10.1.128/25
      10.10.1.0/24 2 4
      • 10.10.1.0/26
      • 10.10.1.64/26
      • 10.10.1.128/26
      • 10.10.1.192/26
      10.10.1.0/24 3 8
      • 10.10.1.0/27
      • 10.10.1.32/27
      • 10.10.1.64/27
      • 10.10.1.96/27
      • 10.10.1.128/27
      • 10.10.1.160/27
      • 10.10.1.192/27
      • 10.10.1.224/27
      O número de bits de sub-rede escolhido determina o número de sub-redes que serão criadas a partir da sub-rede de cliente. Como indicado na tabela acima, se configurar:
      • Um bit de sub-rede, a sub-rede de cliente será dividida em duas sub-redes, que poderão ser atribuídas a dois PoPs.
      • Dois bits de sub-rede, a sub-rede de cliente será dividida em quatro sub-redes, que poderão ser atribuídas a quatro PoPs.
      • Três bits de sub-rede, a sub-rede de cliente será dividida em oito sub-redes, que poderão ser atribuídas a um máximo de cinco PoPs e três sub-redes permanecerão por atribuir.

      O diagrama seguinte ilustra a relação entre a sub-rede de cliente e os bits de sub-rede:

    4. Clique em Seguinte (Next).
  7. No ecrã Seleção de PoP (PoP Selection) do assistente Acesso remoto (Remote Access), na lista Instância(s) selecionada(s) [Selected Instance(s)], selecione a localização do PoP onde o servidor do túnel será instanciado. Clique em Seguinte (Next).
  8. No ecrã Segurança adicional (opcional) [Additional Security (optional)] do assistente Acesso remoto (Remote Access), pode optar por ativar o Cloud Web Security no Secure Access.
    Se o Cloud Web Security estiver ativado, certifique-se de que é criada uma Regra Ignorar/Isenção a Inspeção SSL (Secure Socket Layer) na Política CWS na secção Inspeção SSL. Por predefinição, o comportamento da Inspeção SSL é desencriptar todo o tráfego encriptado. A criação de regras SSL é detalhada no Guia de configuração do Cloud Web Security. A regra abrange o tráfego de destino enviado para o domínio awmdm.com e garante que o CWS não desencripta este tráfego. Clique em Seguinte (Next).
  9. No ecrã Nome, descrição, etiquetas (Name, Description, Tags) do assistente Acesso remoto (Remote Access), introduza o nome do serviço Secure Access e adicione quaisquer etiquetas ou descrição, se necessário, e clique em Concluir (Finish).

Resultados

Podem ser necessários alguns minutos para colocar o servidor do túnel online e estabelecer a conetividade com o SASE PoP. O estado da implementação apresenta-se como Em curso (In Progress) enquanto o aprovisionamento estiver a decorrer. Atualize a página para verificar o estado. Uma vez estabelecido o servidor do túnel, o estado da implementação apresenta-se como Concluído (Completed).

Como proceder a seguir

Tem de registar os dispositivos na aplicação Workspace ONE Intelligent Hub. Consulte Registar dispositivos no Workspace ONE Intelligent Hub.