云安全服务可建立从 Edge 到云安全服务站点的安全隧道。这可确保到云安全服务的流量是安全的。

要配置云安全服务,请执行以下步骤。

过程

  1. 在企业门户中,单击配置 (Configure) > 网络服务 (Network Services)
  2. 云安全服务 (Cloud Security Service) 部分中,单击新建 (New)
  3. 新建云安全提供程序 (New Cloud Security Provider) 窗口中,从下拉菜单中选择一种服务类型。
    1. 如果选择了“通用”(Generic) 或“Symantec Web”云安全服务作为服务类型,请配置以下所需的详细信息,然后单击添加 (Add)
      选项 描述
      服务名称 (Service Name) 为云安全服务输入描述性名称。
      主接入点/服务器 (Primary Point-of-Presence/Server) 输入主服务器的 IP 地址或主机名。
      辅助接入点/服务器 (Secondary Point-of-Presence/Server) 输入辅助服务器的 IP 地址或主机名。这是可选的。
    2. 如果选择了“Zscaler 云安全服务”(Zscaler Cloud Security Service) 作为服务类型,则可以选中自动部署云服务 (Automate Cloud Service Deployment) 复选框,以便在手动部署和自动部署之间进行选择。此外,您还可以配置其他设置,例如 Zscaler 云和第 7 层 (L7) 运行状况检查详细信息,以确定和监控 Zscaler 服务器的运行状况。
    配置从 SD-WAN Edge 到 Zscaler 的自动隧道
    本节介绍如何自动创建从 SD-WAN Edge 到 Zscaler 服务提供程序的 GRE 或 IPsec 隧道。
    1. 新建云安全提供程序 (New Cloud Security Provider) 窗口中,输入服务名称。
    2. 选中自动部署云服务 (Automate Cloud Service Deployment) 复选框。
    3. 选择 GRE 或 IPsec 协议以建立隧道。
      注: 每个客户可以配置的 CSS Zscaler GRE 隧道总数取决于客户在 Zscaler 中的订阅。默认值为 100。
    4. 配置其他详细信息,例如本地首选项、Zscaler 云、合作伙伴管理员用户名、密码、API 密钥和域,如下表所述。
      选项 描述
      本地首选项 (Domestic Preference) 启用该选项以便优先使用来自 IP 地址来源国的 Zscaler 数据中心,即使它们距离其他 Zscaler 数据中心较远也是如此。
      注: 只有在选择 GRE 以建立隧道时,才能配置该选项。
      Zscaler 云 (Zscaler Cloud) 从下拉菜单中选择一个 Zscaler 云服务,或在文本框中输入 Zscaler 云服务名称。
      合作伙伴管理员用户名 (Partner Admin Username) 输入为合作伙伴管理员置备的用户名。
      合作伙伴管理员密码 (Partner Admin Password) 输入为合作伙伴管理员置备的密码。
      合作伙伴密钥 (Partner Key) 输入置备的合作伙伴密钥。
      域 (Domain) 输入要在其中部署云服务的域名。
    5. 单击验证凭据 (Validate Credentials)。如果验证成功,将启用添加 (Add) 按钮。
      注: 您必须验证凭据才能添加新的 CSS 提供程序。
    6. 配置以下 L7 运行状况检查详细信息以监控 Zscaler 服务器的运行状况。
      选项 描述
      L7 运行状况检查 (L7 Health Check) 选中该复选框以便为 Zscaler 云安全服务提供商启用 L7 运行状况检查,并使用默认的探测详细信息(HTTP 探测间隔 (HTTP Probe Interval) = 5 秒,重试次数 (Number of Retries) = 3,RTT 阈值 (RTT Threshold) = 3000 毫秒)。默认情况下,不启用“L7 运行状况检查”(L7 Health Check)。
      注: 不支持配置运行状况检查探测详细信息。
      注: 对于给定的 Edge/配置文件,用户无法覆盖在网络服务中配置的 L7 运行状况检查参数。
      HTTP 探测间隔 (HTTP Probe Interval) 两次 HTTP 探测间隔的持续时间。默认探测间隔为 5 秒。
      重试次数 (Number of Retries) 指定在将云服务标记为“关闭”(DOWN) 之前允许的探测重试次数。默认值为 3。
      RTT 阈值 (RTT Threshold) 用于计算云服务状态的往返时间 (Round Trip Time, RTT) 阈值(以毫秒为单位)。如果测量的 RTT 高于配置的阈值,则将云服务标记为“关闭”。默认值为 3000 毫秒。
      Zscaler 登录 URL 输入登录 URL,然后单击登录 Zscaler (Login to Zscaler)。将重定向到选定 Zscaler 云的 Zscaler 管理门户。
      注: 如果已输入 Zscaler 登录 URL,则 登录 Zscaler (Login to Zscaler) 按钮将处于启用状态。
    7. 如果要从 Orchestrator 登录到 Zscaler 管理门户,请输入 Zscaler 登录 URL,然后单击登录 Zscaler (Login to Zscaler)。将重定向到选定 Zscaler 云的 Zscaler 管理门户。
      注: 如果已输入 Zscaler 登录 URL,则 登录 Zscaler (Login to Zscaler) 按钮将处于启用状态。
    注: 有关 Zscaler CSS 自动化的更多信息,请参阅 《Zscaler 和 VMware SD-WAN 部署指南》
    注: 有关 Zscaler 如何确定用于建立 IPsec VPN 隧道的最佳数据中心虚拟 IP (Virtual IP, VIP) 地址的特定详细信息,请参阅 用于 IPSec VPN 隧道置备的 SD-WAN API 集成
    配置从 SD-WAN Edge 到 Zscaler 的手动隧道
    本节介绍如何手动创建从 SD-WAN Edge 到 Zscaler 服务提供程序的 GRE 或 IPsec 隧道。与自动隧道不同,配置手动隧道需要指定隧道目标才能启动隧道。
    1. 新建云安全提供程序 (New Cloud Security Provider) 窗口中,输入服务名称。
    2. 输入主服务器的 IP 地址或主机名。
    3. (可选)您可以输入辅助服务器的 IP 地址或主机名。
    4. 从下拉菜单中选择一个 Zscaler 云服务,或在文本框中输入 Zscaler 云服务名称。
    5. 根据需要配置其他参数,然后单击添加 (Add)
    注: 如果选择了“Zscaler 云安全服务”(Zscaler Cloud Security Service) 作为服务类型并计划分配 GRE 隧道,建议仅在“主服务器”(Primary Server) 和“辅助服务器”(Secondary Server) 中输入 IP 地址而不是主机名,因为 GRE 不支持主机名。

结果

配置的云安全服务将显示在 网络服务 (Network Services) 窗口中的 云安全服务 (Cloud Security Service) 区域下。

下一步做什么

将云安全服务与一个配置文件或 Edge 相关联。