建立客戶後,請設定客戶可以存取的功能選項和設定。身為操作員,您可以選擇客戶可以修改的設定。

當您建立新客戶時,系統會將您重新導向至客戶組態 (Customer Configuration) 頁面,以供您進行客戶設定。您還可以按照以下步驟,直接從操作員入口網站中導覽至客戶組態 (Customer Configuration) 頁面:

程序

  1. 在監控和組態選項頁面中,選取一個客戶,然後從頂端標頭中按一下 SD-WAN > 全域設定 (Global Settings)
  2. 從左側功能表中,按一下客戶組態 (Customer Configuration)。此時會顯示下列頁面:
    服務組態 (Service Configuration) 區段包含以下服務:
    • SD-WAN
    • Edge Network Intelligence
    • Cloud Web Security
    • Secure Access
    • 雲端中樞

    按一下開啟 (Turn On) 按鈕,以啟用每一項服務。按一下每一個動態磚右上角的垂直省略符號,以關閉或設定該服務。您還可以使用每一個動態磚右下角的設定 (Configure) 選項,來設定個別的服務。每一個動態磚會顯示組態摘要。

    備註: 選取 關閉 (Turn off) 選項時,會顯示快顯視窗,要求您確認。選取該核取方塊,然後按一下 關閉服務 (Turn Off Service)
    1. SD-WAN:按一下設定 (Configure) 選項,顯示以下快顯視窗。進行設定,然後按一下更新 (Update)
      選項 說明
      網域 (Domain) 輸入網域名稱,以用來為 Orchestrator 啟用單一登入 (SSO) 驗證。為客戶啟用 Edge Network Intelligence 時,也需用到此資訊。
      預設 Edge 驗證 (Default Edge Authentication)

      從下拉式功能表中選擇預設選項,以驗證與客戶相關聯的 Edge。

      • 已停用憑證 (Certificate Deactivated):Edge 會使用預先共用的金鑰模式進行驗證。
      • 憑證取得 (Certificate Acquire):依預設會選取此選項,並指示 Edge 從 SASE Orchestrator 的憑證授權機構取得憑證,方法是產生金鑰配對並將憑證簽署要求傳送至 Orchestrator。取得後,Edge 會使用憑證來驗證 SASE Orchestrator 及建立 VCMP 通道。
        備註: 取得憑證後,可將選項更新為 需要憑證 (Certificate Required)
      • 需要憑證 (Certificate Required):Edge 會使用 PKI 憑證。操作員可使用系統內容來變更 Edge 的憑證更新時間範圍。edge.certificate.renewal.window
      Edge 授權 (Edge Licensing) 現有的 Edge 授權即會顯示。按一下新增 (Add),以新增或移除授權。
      備註: 可在多個 Edge 上使用這些授權類型。建議讓您的客戶能夠存取所有類型的授權,以符合其版本和區域。如需詳細資訊,請參閱 Edge 授權
      允許客戶管理軟體 (Allow Customer to Manage Software) 如果您想要允許企業超級使用者管理適用於企業的軟體映像,請選取此核取方塊。如需詳細資訊,請參閱《VMware SD-WAN 管理指南》中的 Edge 映像管理主題
      操作員設定檔 (Operator Profile) 從可用的下拉式功能表中,選取要與客戶相關聯的操作員設定檔。如果選取允許客戶管理軟體 (Allow Customer to Manage Software),則此欄位無法使用。如需操作員設定檔的詳細資訊,請參閱管理操作員設定檔
      區段數目上限 (Maximum Number of Segments) 輸入可設定的區段數目上限。有效範圍是 1 到 16。預設值為 16
    2. Edge Network Intelligence:按一下設定 (Configure) 選項,顯示以下快顯視窗。進行設定,然後按一下更新 (Update)
      備註: 只有在開啟了 SD-WAN 服務時,才能選取此選項。
      選項 說明
      網域 (Domain) 輸入網域名稱,以用來為 Orchestrator 啟用單一登入 (SSO) 驗證。為客戶啟用 Edge Network Intelligence 時,也需用到此資訊。
      分析節點 (Analytics Nodes) 輸入可佈建成分析節點的 Edge 數目上限。依預設會選取無限制 (Unlimited)
      功能存取 (Feature Access) 選取自我修復 (Self Healing) 核取方塊,以允許 Edge Network Intelligence 提供可改善效能的建議。
    3. Cloud Web Security:只有在選取啟用了 Cloud Web Security 角色的閘道集區 (Gateway Pool) 時,才能使用此服務。Cloud Web Security 是一種雲端主控的服務,可保護存取 SaaS 和網際網路應用程式的使用者和基礎結構。請參閱《VMware Cloud Web Security 組態指南》。按一下設定 (Configure) 選項,顯示以下快顯視窗:

      選取必要的版本,然後按一下更新 (Update)標準版 (Standard Edition) 包含 URL 篩選、SSL 檢查、防毒、驗證、基本沙箱、內嵌 CASB 可見度。進階版 (Advanced Edition) 包含 URL 篩選、SSL 檢查、防毒、驗證、基本沙箱、內嵌 CASB 可見度與控制、內嵌 DLP 可見度與控制

    4. Secure Access:只有在選取啟用了 Cloud Web Security 角色的閘道集區 (Gateway Pool) 時,才能使用此服務。Secure Access 解決方案結合了 VMware SD-WANWorkspace ONE 服務,可透過全球受管理服務節點的網路提供一致、最佳且安全的雲端應用程式存取。如需詳細資訊,請參閱《VMware Secure Access 組態指南》。按一下設定 (Configure) 選項,顯示以下快顯視窗:

      輸入 PoP 數目上限,然後按一下更新 (Update)

    5. 雲端中樞 (Cloud Hub):此服務可讓您存取 MCS (多雲端服務) 帳戶。如需詳細資訊,請參閱《SD-WAN 管理指南》中的 NVA 在 Azure vWAN 中樞中的雲端中樞自動部署主題。
  3. 以下是客戶組態 (Customer Configuration) 頁面上提供的其他組態設定:
    選項 說明
    全域 (Global)
    使用者合約顯示 (User Agreement Display) 從下拉式功能表中選取以下任一選項:
    • 繼承
    • 覆寫並隱藏
    • 覆寫並顯示
    備註:
    僅當系統內容 session.options.enableUserAgreements 設為 True 時,才能使用此欄位。
    功能存取 (Feature Access) 提供對所選功能的存取權。從以下清單中選取一或多個核取方塊,以便為客戶啟用這些功能:
    • 企業驗證 (Enterprise Auth):依預設,僅操作員可以啟用或停用企業的雙因素驗證。選取此核取方塊時,企業管理員可以自行設定雙因素驗證。此選項還可控制單一登入 (SSO) 的啟用和停用。
    • 啟用高級服務 (Enable Premium Service):依預設,將選取此選項。高級服務是指「隨選修復」功能,該功能是 SD-WAN 動態多重路徑最佳化 (DMPO) 的核心部分。DMPO 用於周遊 SD-WAN 閘道的所有流量。如果選取 [高級服務 (Premium Service)],閘道會對受高階 WAN 連結抖動或遺失影響的客戶流量使用「前饋式錯誤修正 (FEC)」,且此類流量無法導向到更高品質的 WAN 連結。如果未選取 [高級服務 (Premium Service)],流量仍將周遊 SD-WAN 閘道,並利用 DMPO 的其他元件,例如持續監控、動態應用程式操控和安全流量傳輸。但是,受高階 WAN 連結抖動或遺失影響的流量不會從閘道的錯誤修正中受益。如需詳細資訊,請參閱《VMware SD-WAN 管理指南》中的〈動態多重路徑最佳化 (DMPO)〉主題。
    • 角色自訂 (Role Customization):允許企業超級使用者自訂其他企業使用者的角色權限。
    • 路由回溯 (Route Backtracking):允許裝置依首碼長度的順序,來選擇最佳路由。
    • 產品內部內容說明面板 (In-product Contextual Help Panel):提供對整合了 Orchestrator 的 [產品內部說明 (In Product Help)] 面板的存取權。依預設,會停用此功能。操作員必須為企業客戶啟用此選項。
    • 啟用對 Orchestrator 的防火牆記錄 (Enable Firewall Logging to Orchestrator):依預設,Edge 無法將其防火牆記錄傳送到 Orchestrator。選取此核取方塊,可允許 Edge 將防火牆記錄傳送到 Orchestrator。
    • 可自訂的 QoE (Customizable QoE):允許客戶針對 Edge 的語音、視訊和交易式應用程式類別,設定延遲臨界值上下限。
    • 啟用傳統 Orchestrator UI (Enable Classic Orchestrator UI):允許客戶從 Angular Orchestrator UI 切換到傳統 Orchestrator UI。僅當系統內容 session.options.enableClassicOrchestrator 設為 True 時,才能使用此選項。
    將管理委派給客戶 (Delegate Management To Customer) 允許客戶修改所選內容的設定。客戶一律可看見下列兩個內容:
    • 啟用 CoS 對應 (Enable CoS Mapping):允許在設定商務原則時設定 CoS 對應。
    • 啟用服務速率限制 (Enable Service Rate Limiting):允許在商務原則中進行速率限制服務。
    閘道集區 (Gateway Pool)
    目前閘道集區 (Current Gateway Pool) 顯示與所選客戶相關聯的目前閘道集區。如有需要,您可以在下拉式功能表中選擇可用的不同閘道集區,然後按一下儲存變更 (Save Changes)
    此集區中的閘道 (Gateways in this Pool) 顯示目前集區中的閘道詳細資料。
    合作夥伴遞交 (Partner Hand Off) 如果啟用閘道集區 (Gateway Pool) 選項,將顯示設定遞交 (Configure Hand Off) 區段。如果已指派合作夥伴閘道角色給閘道集區中可用的閘道,您可以將閘道遞交給合作夥伴。如需詳細資料,請參閱設定合作夥伴遞交
    安全性原則 (Security Policy)
    雜湊 (Hash) 依預設,沒有為 VPN 標頭設定驗證演算法,因為 AES-GCM 是經過驗證的加密演算法。選取關閉 GCM (Turn off GCM) 核取方塊時,您可以從下拉式功能表中選取下列其中一項,來作為 VPN 標頭的驗證演算法:
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512
    加密 (Encryption) 選取 AES 128AES 256 作為加密資料的 AES 演算法金鑰大小。預設加密演算法模式為 AES 128
    DH 群組 (DH Group) 選取交換預先共用的金鑰時所要使用的 Diffie-Hellman (DH) 群組演算法。DH 群組會設定演算法的強度 (以位元為單位)。支援的 DH 群組為 2、5、14、15、16、19、20 和 21。
    備註:
    • 從 5.2.0 版開始,DH 群組 19、20 和 21 可供使用。
    • 建議使用 DH 群組 14,這是預設值。
    PFS 選取完全正向加密 (PFS) 層級以取得額外的安全性。支援的 PFS 群組為 2、5、14、15、16、19、20 和 21。從 5.2.0 版開始,PFS 群組 19、20 和 21 可供使用。依預設,PFS 處於停用狀態。
    關閉 GCM (Turn off GCM) 選取此核取方塊,以啟用雜湊 (Hash),然後為 VPN 標頭選取一種驗證演算法。
    IPSec SA 存留時間 (分鐘) (IPSec SA Lifetime Time(min)) 針對 Edge 起始網際網路安全性通訊協定 (IPSec) 重設金鑰時的時間。IPSec 存留時間下限為 3 分鐘,IPSec 存留時間上限為 480 分鐘。預設值為 480 分鐘。
    備註: 不建議為 IPSec 設定低存留時間值 (低於 10 分鐘),因為其可能會因為重設金鑰,而導致某些部署中的流量中斷。低存留時間值僅用於偵錯目的。
    IKE SA 存留時間 (分鐘) (IKE SA Lifetime(min)) 針對 Edge 起始網際網路金鑰交換 (IKE) 重設金鑰時的時間。IKE 存留時間下限為 10 分鐘,IKE 存留時間上限為 1440 分鐘。預設值為 1440 分鐘。
    備註: 不建議為 IKE 設定低存留時間值 (低於 30 分鐘),因為這可能會因為重設金鑰,而導致某些部署中的流量中斷。低存留時間值僅用於偵錯目的。
    安全預設路由覆寫 (Secure Default Route Override) 選取此核取方塊,以便使用商務原則對符合來自合作夥伴閘道的安全預設路由 (靜態路由或 BGP 路由) 之流量的目的地進行覆寫。
    Edge 網路功能虛擬化 (Edge Network Function Virtualization):允許在 Edge 上啟用 NFV,並允許客戶在服務就緒 Edge 平台上部署第三方 VNF。目前,服務備妥的 Edge 平台型號為 520v 和 840。身為操作員使用者,當您啟用 Edge NFV 時,客戶可以從其網路服務設定和部署 VNF 和 VNF 授權。
    Edge NFV 選取此選項,可啟用在 Edge 上部署 VNF 的功能。在 Edge 上部署一或多個 VNF 後,您無法停用此選項。
    安全性 VNF (Security VNFs) 選取相關的核取方塊,以便在 Edge 上部署對應的安全 VNF。如需詳細資訊,請參閱《VMware SD-WAN 管理指南》中的安全性 VNF 主題。
    SD-WAN 設定 (SD-WAN Settings)
    OFC 成本計算 (OFC Cost Calculation) 選取必要的核取方塊:
    • 分散式成本計算 (Distributed Cost Calculation):選取此核取方塊,可將路由成本計算委派給 Edge/閘道。
      備註: 此選項僅適用於具有 3.4.0 版和更新版本的 Edge/閘道。在啟用 分散式成本計算 (Distributed Cost Calculation) 後,建議導覽至企業入口網站 SD-WAN 服務中的 設定 (Configure) > 覆疊流量控制 (Overlay Flow Control),以重新整理路由。如需詳細資訊,請參閱 設定分散式成本計算
    • 使用 NSD 原則 (Use NSD Policy):選取此核取方塊,可使用 NSD 原則,進行 Edge/閘道的路由成本計算。
      備註: 此選項僅適用於具有 4.2.0 版和更新版本的 Edge/閘道。
    每個流量路徑計算的多個 DSCP 標籤 當原始使用者流量封裝在另一個通道 (GRE/IPsec) 中,且 DSCP 標籤儲存在新的 IP 標頭時,將會使用此功能。此功能會針對具有多個 DSCP 標籤的單一流量 (相同的來源/目的地) 啟用路徑計算,且會根據流量中的 DSCP 值來區分路徑。

    選取在流量查閱中包含 DSCP 值 (Include DSCP value as part of flow lookup) 核取方塊時,可包含 DSCP 值而成為流量查閱和路徑計算的一部分。如需詳細資訊,請參閱為每個流量設定多個 DSCP 標籤的路徑計算

    備註: 僅當系統內容 session.options.enableFlowParametersConfig 設為 True 時,才能使用此欄位。
    功能存取
    可設定狀態的防火牆 選取可設定狀態的防火牆 (Stateful Firewall) 核取方塊,可覆寫企業 Edge 上啟用的可設定狀態的防火牆設定。
    增強型防火牆服務 (Enhanced Firewall Services) 選取增強型防火牆服務 (Enhanced Firewall Services) 核取方塊時,會使用 VMware SASE Orchestrator 中的防火牆功能,來啟用增強型防火牆服務。
    備註: 若要讓增強型防火牆服務 (EFS) 正常運作,請確定已將 Edge 版本升級至 5.2.0.0。
    備註: 如果取消選取此選項,則只會在 UI 中停用 EFS 功能。若要為現有客戶停用 EFS 功能,您必須先在企業入口網站的 SD-WAN 服務中停用 EFS 功能,作法是導覽至 設定 (Configure) > 設定檔/Edge (Profiles/Edges) > 防火牆 (Firewall) > 防火牆功能控制 (Firewall Feature Control) > 增強型安全 (Enhanced Security),然後在 [全域設定 (Global Settings)] 中取消勾選此核取方塊。
    如需設定各種增強型安全服務以及與防火牆規則相關聯的詳細資訊,請參閱《VMware SD-WAN 管理指南》中的〈設定增強型安全服務〉主題。
  4. 按一下儲存變更 (Save Changes)
    備註: 修改 安全性原則 (Security Policy) 時,所做的變更可能會導致目前的服務中斷。此外,這些設定也可能會降低整體輸送量,並增加 VCMP 通道設定所需的時間,這可能會影響分支到分支動態通道設定時間,以及從叢集中 Edge 故障的復原。