在将配置文件分配给 Edge 时,Edge 自动继承在配置文件中配置的云安全服务 (CSS) 和属性。您可以覆盖这些设置,以选择不同的云安全提供程序或修改每个 Edge 的属性。

要覆盖特定 Edge 的 CSS 配置,请执行以下步骤:

  1. 在企业门户中,单击配置 (Configure) > Edge
  2. 选择一个要覆盖 CSS 设置的 Edge,然后单击设备 (Device) 列下面的图标。将显示选定 Edge 的设备设置 (Device Settings) 页面。
  3. 云安全服务 (Cloud Security Service) 区域中,将显示关联的配置文件的 CSS 参数。选择启用 Edge 覆盖 (Enable Edge Override) 以选择不同的 CSS,或修改从 Edge 的关联配置文件中继承的属性。有关这些属性的更多信息,请参阅为配置文件配置云安全服务

    配置 IPsec 设置

    注: 对于已配置 Zscaler 登录 URL 的云安全服务, 登录 Zscaler (Login to Zscaler) 按钮会显示在 云安全服务 (Cloud Security Service) 区域中。单击 登录 Zscaler (Login to Zscaler) 按钮会将您重定向到选定 Zscaler 云的 Zscaler 管理门户。
  4. 如果选择在 Edge 级别配置 IPsec 隧道,除了继承的属性以外,您还必须为 IPsec 会话配置完全限定域名 (Fully Qualified Domain Name, FQDN) 和预共享密钥 (PSK)。
    注: 对于“Zscaler”和“通用”(Generic) 类型的 CSS,您必须创建 VPN 凭据。对于 Symantec CSS 类型,不需要使用 VPN 凭据。
  5. 如果选择在 Edge 级别配置 GRE 隧道,则单击添加隧道 (Add Tunnel)
  6. 在显示的添加隧道 (Add Tunnel) 窗口中,配置以下 GRE 隧道参数,然后单击确定 (OK)
    选项 描述
    WAN 链路 (WAN Links) 选择要作为 GRE 隧道源的 WAN 接口。
    隧道源公用 IP (Tunnel Source Public IP) 选择要作为隧道公用 IP 地址的 IP 地址。您可以选择“WAN 链路 IP”(WAN Link IP) 或“自定义 WAN IP”(Custom WAN IP)。如果选择“自定义 WAN IP”(Custom WAN IP),请输入要作为公用 IP 的 IP 地址。
    主接入点 输入 Zscaler 数据中心的主公用 IP 地址。
    辅助接入点 输入 Zscaler 数据中心的辅助公用 IP 地址。
    主路由器 IP/掩码 (Primary Router IP/Mask) 输入路由器的主 IP 地址。
    辅助路由器 IP/掩码 (Secondary Router IP/Mask) 输入路由器的辅助 IP 地址。
    主 ZEN IP/掩码 (Primary ZEN IP/Mask) 输入内部 Zscaler 公用服务 Edge 的主 IP 地址。
    辅助 ZEN IP/掩码 (Secondary ZEN IP/Mask) 输入内部 Zscaler 公用服务 Edge 的辅助 IP 地址。
    注: 路由器 IP/掩码和 ZEN IP/掩码是由 Zscaler 提供的。
  7. Edge 窗口中,单击保存更改 (Save Changes) 以保存修改的设置。

Edge 的自动 Zscaler CSS 提供程序配置

在 Edge 级别,对于选定的自动 Zscaler CSS 提供程序,您可以覆盖从配置文件中继承的设置,创建子位置,然后为子位置配置网关选项和带宽控制。

在创建子位置之前,请确保激活了选定的 Edge,并且为该 Edge 设置了 VPN 凭据。要在选定的 Edge 上创建子位置,请执行以下步骤:

  1. 在企业门户中,单击配置 (Configure) > Edge
  2. 选择一个要覆盖 CSS 设置并创建子位置的 Edge。
  3. 单击设备 (Device) 列下面的图标。将显示选定 Edge 的设备设置 (Device Settings) 页面。
  4. 云安全服务 (Cloud Security Service) 部分中,选择启用 Edge 覆盖 (Enable Edge Override)
  5. 如果需要,从云安全服务 (Cloud Security Service) 下拉菜单中为选定的自动 CSS 提供程序修改从配置文件中继承的属性(哈希、加密和密钥交换协议)。有关这些属性的更多信息,请参阅为配置文件配置云安全服务
    注: 不允许在分段上将自动 Zscaler 服务提供程序更改为另一个 CSS 提供程序。对于分段上的选定 Edge,如果要从自动 Zscaler 服务提供程序更改为新的 CSS 提供程序,您必须明确禁用云安全服务,然后重新启用 CSS。

  6. 要创建子位置,请单击操作 (Action) 列下面的 图标。
    注: 如果没有为 Edge 设置 VPN 凭据,则不允许您创建子位置。在配置子位置之前,请确保您了解子位置及其限制。请参阅 https://help.zscaler.com/zia/about-sub-locations
    1. 子位置名称 (Sub-Location Name) 文本框中,为子位置输入唯一的名称。子位置名称在 Edge 的所有分段中应该是唯一的。该名称可以包含字母数字,最大单词长度为 32 个字符。
    2. LAN 网络 (LAN Networks) 下拉菜单中,选择一个为 Edge 配置的 VLAN。将自动填充选定 LAN 网络的子网。
      注: 对于选定的 Edge,子位置在所有分段中不应具有重叠的子网 IP。
    3. 要为子位置配置网关选项和带宽控制,请单击编辑 (Edit)。将显示 Zscaler 网关选项和带宽控制 (Zscaler Gateway Options and Bandwidth Control) 窗口。
    4. 根据需要,为子位置配置网关选项和带宽控制,然后单击保存更改 (Save Changes)。将在 SD-WAN Orchestrator 中创建一个子位置。
      注: 目前,子位置配置不支持以下网关选项:
      • 使用客户端请求中的 XFF (Use XFF from Client Request)
      • 启用警告 (Enable Caution)
      • 启用 AUP (Enable AUP)
      注: 在 Orchestrator 中创建至少一个子位置后,Zscaler 将在 Zscaler 端自动创建一个“其他”子位置。不支持从 Orchestrator 中配置“其他”子位置的网关选项的功能。
      选项 描述
      网关选项
      SSL 检查 (SSL Inspection) 启用该选项以将 SSL 检查策略应用于子位置中的 HTTPS 流量,并检查 HTTPS 事务是否存在数据泄露、恶意内容和病毒。
      身份验证 (Authentication) 启用该选项以要求子位置中的用户在该服务中进行身份验证。
      IP 代理 (IP Surrogate) 如果启用了身份验证,并且要将用户映射到设备 IP 地址,请选择该选项。
      取消关联的空闲时间 (Idle Time for Dissociation) 如果启用了 IP 代理,则指定在完成事务后该服务将 IP 地址到用户的映射保留多长时间。您可以使用“分钟”(Mins)(默认)、“小时”(Hours) 或“天”(Days) 以指定“取消关联的空闲时间”(Idle Time for Dissociation)。
      • 如果用户选择“分钟”(Mins) 以作为单位,则允许的范围是 1 到 43200。
      • 如果用户选择“小时”(Hours) 以作为单位,则允许的范围是 1 到 720。
      • 如果用户选择“天”(Days) 以作为单位,则允许的范围是 1 到 30。
      已知浏览器的代理 IP (Surrogate IP for Known Browsers) 启用该选项以使用现有的 IP 地址到用户的映射(从代理 IP 获取)对从已知浏览器发送流量的用户进行身份验证。
      重新验证代理的刷新时间 (Refresh Time for re-validation of Surrogacy) 如果启用了“已知浏览器的代理 IP”(Surrogate IP for Known Browsers),则指定 Zscaler 服务可以使用 IP 地址到用户的映射对从已知浏览器发送流量的用户进行身份验证的时间长度。在定义的时间段过后,该服务将刷新并重新验证现有的 IP 到用户的映射,以便它可以继续使用该映射对浏览器上的用户进行身份验证。您可以使用分钟(默认)、小时或天以指定“重新验证代理的刷新时间”(Refresh Time for re-validation of Surrogacy)。
      • 如果用户选择“分钟”(Mins) 以作为单位,则允许的范围是 1 到 43200。
      • 如果用户选择“小时”(Hours) 以作为单位,则允许的范围是 1 到 720。
      • 如果用户选择“天”(Days) 以作为单位,则允许的范围是 1 到 30。
      带宽控制 (Bandwidth Control)
      带宽控制 (Bandwidth Control) 启用该选项以对子位置实施带宽控制。
      下载 (Download) 如果启用了带宽控制,则指定下载的最大带宽限制(以 Mbps 为单位)。允许的范围是 0.1 到 99999。
      上载 (Upload) 如果启用了带宽控制,则指定上载的最大带宽限制(以 Mbps 为单位)。允许的范围是 0.1 到 99999。
      注: 子位置的网关选项与用户可以在 Zscaler 门户上配置的选项相同。有关 Zscaler 网关选项和带宽控制参数的更多信息,请参阅 https://help.zscaler.com/zia/configuring-locations
  7. 在创建子位置后,您可以从同一页面中更新子位置配置,然后单击保存更改 (Save Changes)。将自动更新 Zscaler 端的子位置。
  8. 要删除子位置,请单击操作 (Action) 列下面的 图标。
  9. 单击保存更改 (Save Changes)