建立客戶後,請設定客戶可以存取的功能選項和設定。身為操作員,您可以選擇客戶可以修改的設定。

當您建立新客戶時,系統會將您重新導向至客戶組態 (Customer Configuration) 頁面,以供您進行客戶設定。您還可以按照以下步驟,直接從操作員入口網站中導覽至客戶組態 (Customer Configuration) 頁面:

程序

  1. 在監控和組態選項頁面中,選取一個客戶,然後從頂端標頭中按一下 SD-WAN > 全域設定 (Global Settings)
  2. 從左側功能表中,按一下客戶組態 (Customer Configuration)。此時會顯示下列頁面:
    服務組態 (Service Configuration) 區段包含以下四項服務:
    • SD-WAN
    • Edge Network Intelligence
    • Cloud Web Security
    • Secure Access

    按一下開啟 (Turn On) 按鈕,以啟用每一項服務。按一下每一個動態磚右上角的垂直省略符號,以關閉或設定該服務。您還可以使用每一個動態磚右下角的設定 (Configure) 選項,來設定個別的服務。每一個動態磚會顯示組態摘要。

    備註: 選取 關閉 (Turn off) 選項時,會顯示快顯視窗,要求您確認。選取該核取方塊,然後按一下 關閉服務 (Turn Off Service)
    1. SD-WAN:按一下設定 (Configure) 選項,顯示以下快顯視窗。進行設定,然後按一下更新 (Update)
      選項 說明
      網域 (Domain) 輸入網域名稱,以用來為 Orchestrator 啟用單一登入 (SSO) 驗證。為客戶啟用 Edge Network Intelligence 時,也需用到此資訊。
      預設 Edge 驗證 (Default Edge Authentication)

      從下拉式功能表中選擇預設選項,以驗證與客戶相關聯的 Edge。

      • 已停用憑證 (Certificate Deactivated):Edge 會使用預先共用的金鑰模式進行驗證。
      • 憑證取得 (Certificate Acquire):依預設會選取此選項,並指示 Edge 從 SD-WAN Orchestrator 的憑證授權機構取得憑證,方法是產生金鑰配對並將憑證簽署要求傳送至 Orchestrator。取得後,Edge 會使用憑證來驗證 SD-WAN Orchestrator 及建立 VCMP 通道。
        備註: 取得憑證後,可將選項更新為 需要憑證 (Certificate Required)
      • 需要憑證 (Certificate Required):Edge 會使用 PKI 憑證。操作員可使用系統內容來變更 Edge 的憑證更新時間範圍。edge.certificate.renewal.window
      Edge 授權 (Edge Licensing) 現有的 Edge 授權即會顯示。按一下新增 (Add),以新增或移除授權。
      備註: 可在多個 Edge 上使用這些授權類型。建議讓您的客戶能夠存取所有類型的授權,以符合其版本和區域。如需詳細資訊,請參閱 使用新的 Orchestrator UI 來管理 Edge 授權
      允許客戶管理軟體 (Allow Customer to Manage Software) 如果您想要允許企業超級使用者管理適用於企業的軟體映像,請選取此核取方塊。
      操作員設定檔 (Operator Profile) 從可用的下拉式功能表中,選取要與客戶相關聯的操作員設定檔。如果選取允許客戶管理軟體 (Allow Customer to Manage Software),則此欄位無法使用。如需操作員設定檔的詳細資訊,請參閱管理操作員設定檔
      區段數目上限 (Maximum Number of Segments) 輸入可設定的區段數目上限。有效範圍是 1 到 16。預設值為 16
    2. Edge Network Intelligence:按一下設定 (Configure) 選項,顯示以下快顯視窗。進行設定,然後按一下更新 (Update)
      備註: 只有在開啟了 SD-WAN 服務時,才能選取此選項。
      選項 說明
      網域 (Domain) 輸入網域名稱,以用來為 Orchestrator 啟用單一登入 (SSO) 驗證。為客戶啟用 Edge Network Intelligence 時,也需用到此資訊。
      分析節點 (Analytics Nodes) 輸入可佈建成分析節點的 Edge 數目上限。依預設會選取無限制 (Unlimited)
      功能存取 (Feature Access) 選取自我修復 (Self Healing) 核取方塊,以允許 Edge Network Intelligence 提供可改善效能的建議。
    3. Cloud Web Security:只有在選取啟用了 Cloud Web Security 角色的閘道集區 (Gateway Pool) 時,才能使用此服務。Cloud Web Security 是一種雲端主控的服務,可保護存取 SaaS 和網際網路應用程式的使用者和基礎結構。請參閱《VMware Cloud Web Security 組態指南》。按一下設定 (Configure) 選項,顯示以下快顯視窗:

      選取必要的版本,然後按一下更新 (Update)標準版 (Standard Edition) 包含 URL 篩選、SSL 檢查、防毒、驗證、基本沙箱、內嵌 CASB 可見度。進階版 (Advanced Edition) 包含 URL 篩選、SSL 檢查、防毒、驗證、基本沙箱、內嵌 CASB 可見度與控制、內嵌 DLP 可見度與控制

    4. Secure Access:只有在選取啟用了 Cloud Web Security 角色的閘道集區 (Gateway Pool) 時,才能使用此服務。Secure Access 解決方案結合了 VMware SD-WANWorkspace ONE 服務,可透過全球受管理服務節點的網路提供一致、最佳且安全的雲端應用程式存取。如需詳細資訊,請參閱《VMware Secure Access 組態指南》。按一下設定 (Configure) 選項,顯示以下快顯視窗:

      輸入 PoP 數目上限,然後按一下更新 (Update)

  3. 以下是客戶組態 (Customer Configuration) 頁面上提供的其他組態設定:
    選項 說明
    全域 (Global)
    使用者合約顯示 (User Agreement Display) 從下拉式功能表中選取以下任一選項:
    • 繼承
    • 覆寫並隱藏
    • 覆寫並顯示
    備註:
    僅當系統內容 session.options.enableUserAgreements 設為 True 時,才能使用此欄位。
    功能存取 (Feature Access) 提供對所選功能的存取權。從以下清單中選取一或多個核取方塊,以便為客戶啟用這些功能:
    • 企業驗證 (Enterprise Auth):依預設,僅操作員可以啟用或停用企業的雙因素驗證。選取此核取方塊時,企業管理員可以自行設定雙因素驗證。此選項還可控制單一登入 (SSO) 的啟用和停用。
    • 啟用高級服務 (Enable Premium Service):依預設,將選取此選項。高級服務是指「隨選修復」功能,該功能是 SD-WAN 動態多重路徑最佳化 (DMPO) 的核心部分。DMPO 用於周遊 SD-WAN 閘道的所有流量。如果選取 [高級服務 (Premium Service)],閘道會對受高階 WAN 連結抖動或遺失影響的客戶流量使用「前饋式錯誤修正 (FEC)」,且此類流量無法導向到更高品質的 WAN 連結。如果未選取 [高級服務 (Premium Service)],流量仍將周遊 SD-WAN 閘道,並利用 DMPO 的其他元件,例如持續監控、動態應用程式操控和安全流量傳輸。但是,受高階 WAN 連結抖動或遺失影響的流量不會從閘道的錯誤修正中受益。如需詳細資訊,請參閱《VMware SD-WAN 管理指南》中的〈動態多重路徑最佳化 (DMPO)〉主題。
    • 角色自訂 (Role Customization):允許企業超級使用者自訂其他企業使用者的角色權限。
    將管理委派給客戶 (Delegate Management To Customer) 允許客戶修改所選內容的設定。客戶一律可看見下列兩個內容:
    • 啟用 CoS 對應 (Enable CoS Mapping):允許在設定商務原則時設定 CoS 對應。
    • 啟用服務速率限制 (Enable Service Rate Limiting):允許在商務原則中進行速率限制服務。
    閘道集區 (Gateway Pool)
    目前閘道集區 (Current Gateway Pool) 從下拉式功能表中,選取閘道集區。
    此集區中的閘道 (Gateways in this Pool) 顯示目前集區中的閘道詳細資料。
    合作夥伴遞交 (Partner Hand Off) 啟用此選項,顯示設定遞交 (Configure Hand Off) 區段。如需詳細資料,請參閱設定遞交
    安全性原則 (Security Policy)
    雜湊 (Hash) 依預設,沒有為 VPN 標頭設定驗證演算法,因為 AES-GCM 是經過驗證的加密演算法。選取關閉 GCM (Turn off GCM) 核取方塊時,您可以從下拉式功能表中選取下列其中一項,來作為 VPN 標頭的驗證演算法:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    加密 (Encryption) 選取 AES 128AES 256 作為加密資料的 AES 演算法金鑰大小。預設加密演算法模式為 AES 128
    DH 群組 (DH Group) 選取交換預先共用的金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2、5、14、15 和 16。建議使用 DH 群組 14,這是預設值。
    PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 層級為 2、5、14、15 和 16。依預設,會停用 PFS。
    關閉 GCM (Turn off GCM) 選取此核取方塊,以啟用雜湊 (Hash),然後為 VPN 標頭選取一種驗證演算法。
    IPSec SA 存留時間 (分鐘) (IPSec SA Lifetime Time(min)) 針對 Edge 起始網際網路安全性通訊協定 (IPSec) 重設金鑰時的時間。IPSec 存留時間下限為 3 分鐘,IPSec 存留時間上限為 480 分鐘。預設值為 480 分鐘。
    備註: 不建議為 IPSec 設定低存留時間值 (低於 10 分鐘),因為其可能會因為重設金鑰,而導致某些部署中的流量中斷。低存留時間值僅用於偵錯目的。
    IKE SA 存留時間 (分鐘) (IKE SA Lifetime(min)) 針對 Edge 起始網際網路金鑰交換 (IKE) 重設金鑰時的時間。IKE 存留時間下限為 10 分鐘,IKE 存留時間上限為 1440 分鐘。預設值為 1440 分鐘。
    備註: 不建議為 IKE 設定低存留時間值 (低於 30 分鐘),因為這可能會因為重設金鑰,而導致某些部署中的流量中斷。低存留時間值僅用於偵錯目的。
    安全預設路由覆寫 (Secure Default Route Override) 選取此核取方塊,以便使用商務原則對符合來自合作夥伴閘道的安全預設路由 (靜態路由或 BGP 路由) 之流量的目的地進行覆寫。
    備註: 如需如何在 Edge 上啟用安全路由的指示,請參閱 設定合作夥伴遞交。如需有關設定商務原則規則之網路服務的詳細資訊,請參閱 VMware SD-WAN 說明文件所提供的 《VMware SD-WAN 管理指南》中的〈設定商務原則規則的網路服務〉。
    Edge 網路功能虛擬化
    Edge NFV 選取此選項,可啟用在 Edge 上部署 VNF 的功能。在 Edge 上部署一或多個 VNF 後,您無法停用此選項。
    安全性 VNF (Security VNFs) 選取相關的核取方塊,以便在 Edge 上部署對應的安全 VNF。
    SD-WAN 設定 (SD-WAN Settings)
    OFC 成本計算 (OFC Cost Calculation) 選取必要的核取方塊:
    • 分散式成本計算 (Distributed Cost Calculation):選取此核取方塊,可將路由成本計算委派給 Edge/閘道。
      備註: 此選項僅適用於具有 3.4.0 版和更新版本的 Edge/閘道。
    • 使用 NSD 原則 (Use NSD Policy):選取此核取方塊,可使用 NSD 原則,進行 Edge/閘道的路由成本計算。
      備註: 此選項僅適用於具有 4.2.0 版和更新版本的 Edge/閘道。
    每個流量路徑計算的多個 DSCP 標籤 選取此核取方塊,可在流量查閱過程中包含 DSCP 值。
    備註: 僅當系統內容 session.options.enableFlowParametersConfig 設為 True 時,才能使用此欄位。
    功能存取 選取可設定狀態的防火牆 (Stateful Firewall) 核取方塊,可覆寫企業 Edge 上啟用的可設定狀態的防火牆設定。
  4. 按一下儲存變更 (Save Changes)
    備註: 修改 安全性原則 (Security Policy) 時,所做的變更可能會導致目前的服務中斷。此外,這些設定也可能會降低整體輸送量,並增加 VCMP 通道設定所需的時間,這可能會影響分支到分支動態通道設定時間,以及從叢集中 Edge 故障的復原。