要创建并配置 Zscaler 类型的 非 SD-WAN 目标,请执行以下步骤:
- 从 SD-WAN Orchestrator 的导航面板中,转到配置 (Configure) > 网络服务 (Network Services)。将显示服务 (Services) 屏幕。
- 在通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,单击新建 (New) 按钮。
将显示新建通过网关的非 SD-WAN 目标 (New Non SD-WAN Destinations via Gateway) 对话框。
- 在名称 (Name) 文本框中,输入 非 SD-WAN 目标 的名称。
- 从类型 (Type) 下拉菜单中,选择 Zscaler。
- 输入主 VPN 网关(和辅助 VPN 网关,如果需要)的 IP 地址,然后单击下一步 (Next)。将创建 Zscaler 类型的 非 SD-WAN 目标,并显示 非 SD-WAN 目标 的对话框。
- 要为非 SD-WAN 目标的主 VPN 网关配置隧道设置,请单击高级 (Advanced) 按钮。
- 在主 VPN 网关 (Primary VPN Gateway) 区域中,您可以在隧道设置 (Tunnel Settings) 下面配置预共享密钥 (PSK),该密钥是在隧道中进行身份验证时使用的安全密钥。默认情况下,Orchestrator 生成一个 PSK。如果要使用您自己的 PSK 或密码,您可以在文本框中输入该 PSK 或密码。
注: 从版本 4.5 开始,不再支持在密码中使用特殊字符“<”。如果用户已在之前版本的密码中使用了“<”,则必须将其移除才能保存页面上的任何更改。
- 如果要为该站点创建辅助 VPN 网关,请单击辅助 VPN 网关 (Secondary VPN Gateway) 旁边的添加 (Add) 按钮。在弹出窗口中,输入辅助 VPN 网关的 IP 地址,然后单击保存更改 (Save Changes)。将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。
- 选中冗余 VeloCloud 云 VPN (Redundant VeloCloud Cloud VPN) 复选框,以便为每个 VPN 网关添加冗余隧道。对主 VPN 网关的 PSK 所做的任何更改也会应用于冗余 VPN 隧道(如果已配置)。在修改主 VPN 网关的隧道设置后,保存所做的更改,然后单击查看 IKE/IPSec 模板 (View IKE/IPSec Template) 以查看更新的隧道配置。
- 单击更新位置 (Update location) 链接以设置配置的 非 SD-WAN 目标 的位置。纬度和经度详细信息用于确定要在网络中连接到的最佳 Edge 或网关。
- 本地身份验证 ID 定义本地网关的格式和标识。从本地身份验证 ID (Local Auth Id) 下拉菜单中,从以下类型中进行选择,然后输入您确定的值:
- FQDN - 完全限定域名或主机名。例如,google.com。
- 用户 FQDN (User FQDN) - 采用电子邮件地址形式的用户完全限定域名。例如,[email protected]。
- IPv4 - 用于与本地网关通信的 IP 地址。
注:对于 Zscaler 非 SD-WAN 目标,建议将 FQDN 或用户 FQDN 作为本地身份验证 ID。
- 如果选择“Zscaler 云安全服务”(Zscaler Cloud Security Service) 作为服务类型,要确定和监控 Zscaler 服务器的运行状况,您可以配置其他设置,例如 Zscaler 云和第 7 层 (L7) 运行状况检查。
- 选中 L7 运行状况检查 (L7 Health Check) 复选框以便为 Zscaler 云安全服务提供商启用 L7 运行状况检查,并使用默认的探测详细信息(HTTP 探测间隔 (HTTP Probe Interval) = 5 秒,重试次数 (Number of Retries) = 3,RTT 阈值 (RTT Threshold) = 3000 毫秒)。默认情况下,“L7 运行状况检查”(L7 Health Check) 处于停用状态。
注: 不支持配置运行状况检查探测详细信息。
- 从 Zscaler 云 (Zscaler Cloud) 下拉菜单中,选择一个 Zscaler 云服务或在文本框中输入 Zscaler 云服务名称。
- 选中 L7 运行状况检查 (L7 Health Check) 复选框以便为 Zscaler 云安全服务提供商启用 L7 运行状况检查,并使用默认的探测详细信息(HTTP 探测间隔 (HTTP Probe Interval) = 5 秒,重试次数 (Number of Retries) = 3,RTT 阈值 (RTT Threshold) = 3000 毫秒)。默认情况下,“L7 运行状况检查”(L7 Health Check) 处于停用状态。
- 要从此处登录 Zscaler 门户,请在 Zscaler 登录 URL (Zscaler Login URL) 文本框中输入登录 URL,然后单击登录 Zscaler (Login to Zscaler)。将重定向到选定 Zscaler 云的 Zscaler 管理门户。如果已输入 Zscaler 登录 URL,则登录 Zscaler (Login to Zscaler) 按钮将处于启用状态。
有关更多信息,请参阅配置云安全服务。
- 在准备好启动从 SD-WAN 网关 到 Zscaler VPN 网关的隧道后,选中启用隧道 (Enable Tunnel(s)) 复选框。
- 单击保存更改 (Save Changes)。
注: 无论“客户导出限制”(Customer Export Restriction) 是已激活还是已停用,都会建立 Zscaler 隧道,同时将“IPsec 加密算法”(IPsec Encryption Algorithm) 设为 NULL,并将“身份验证算法”(Authentication Algorithm) 设为 SHA-256。
配置的网络服务会显示在网络服务 (Network Services) 窗口中的通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域下。您可以将网络服务与配置文件相关联。有关更多信息,请参阅将 非 SD-WAN 目标 与配置文件相关联。
您可以从
中查看 L7 运行状况以及 L7 运行状况检查 RTT。