本主题介绍了 Zscaler 配置以及在 SD-WAN Orchestrator 中配置 Zscaler 类型的非 SD-WAN 目标的步骤。

配置 Zscaler

在 Zscaler 网站上完成以下步骤:
  1. 从 Zscaler 网站中,创建一个 Zscaler Web 安全帐户。

    complementary-config-zscaler-cloud-portal

  2. 设置 VPN 凭据:
    1. 在 Zscaler 屏幕顶部,将鼠标悬停在管理 (Administration) 选项上以显示下拉菜单。(请参阅下图)。
    2. 资源 (Resources) 下面,单击 VPN 凭据 (VPN Credentials)

      complementary-configuration-zscaler-administration-drop-down

    3. 单击位于左上角的添加 VPN 凭据 (Add VPN Credentials)

      complementary-config-zscaler-add-location

    4. 添加 VPN 凭据 (Add VPN Credential) 对话框中:
      1. 选择 FQDN 以作为身份验证类型。
      2. 键入用户 ID 和预共享密钥 (PSK)。您可以从 SD-WAN Orchestrator 中的非 SD-WAN 目标对话框中获取这些信息。
      3. 如有必要,请在注释 (Comments) 部分中键入任何注释。

        complementary-config-add-vpn-credentials

      4. 单击保存 (Save)
  3. 分配一个位置:
    1.  在 Zscaler 屏幕顶部,将鼠标悬停在管理 (Administration) 选项上以显示下拉菜单。
    2.  在资源 (Resources) 下面,单击位置 (Locations)
    3.  单击位于左上角的添加位置 (Add Location)
    4. 添加位置 (Add Location) 对话框中:
      1. 填写“位置”(Location) 区域中的文本框:“姓名”(Name)、“国家/地区”(Country)、“省/自治区/直辖市”(State/Province)、“时区”(Time Zone)。
      2. 公用 IP 地址 (Public IP Addresses) 下拉菜单中选择无 (None)
      3. VPN 凭据 (VPN Credentials) 下拉菜单中,选择刚创建的凭据。
        complementary-config-zscaler-location2
      4. 单击完成 (Done)
      5. 单击保存 (Save)

配置 Zscaler 类型的非 SD-WAN 目标

创建 Zscaler 类型的 非 SD-WAN 目标配置后,您将被重定向到其他配置选项页面:
您可以配置以下隧道设置,然后单击 保存更改 (Save Changes)
选项 描述
常规
名称 (Name) 您可以编辑之前为 非 SD-WAN 目标 输入的名称。
类型 类型显示为 Zscaler。您无法编辑此选项。
启用隧道 单击切换按钮以启动从 SD-WAN 网关到 Zscaler VPN 网关的隧道。
隧道模式 (Tunnel Mode) 显示活动/热备用 (Active/Hot-Standby),以指示如果活动隧道关闭,备用(热备用)隧道将接替该隧道并成为活动隧道。
主 VPN 网关 (Primary VPN Gateway)
公用 IP 显示主 VPN 网关的 IP 地址。
PSK 预共享密钥 (Pre-Shared Key, PSK) 是在隧道中进行身份验证时使用的安全密钥。默认情况下,SD-WAN Orchestrator 生成一个 PSK。如果要使用您自己的 PSK 或密码,请在文本框中输入该 PSK 或密码。
冗余 VMware Cloud VPN 选中该复选框,以便为每个 VPN 网关添加冗余隧道。对主 VPN 网关的加密 (Encryption)DH 组 (DH Group)PFS 所做的任何更改也会应用于冗余 VPN 隧道(如果已配置)。
辅助 VPN 网关 (Secondary VPN Gateway) 单击添加 (Add) 按钮,然后输入辅助 VPN 网关的 IP 地址。单击保存更改 (Save Changes)

将立即为该站点创建辅助 VPN 网关,并置备到该网关的 VMware VPN 隧道。
本地身份验证 ID 本地身份验证 ID 定义本地网关的格式和标识。从下拉菜单中,从以下类型中进行选择,然后输入一个值:
  • FQDN - 完全限定域名或主机名。例如:vmware.com
  • 用户 FQDN (User FQDN) - 采用电子邮件地址形式的用户完全限定域名。例如:[email protected]
  • IPv4 - 用于与本地网关通信的 IP 地址。
  • IPv6 - 用于与本地网关通信的 IP 地址。
注: 对于 Zscaler 非 SD-WAN 目标,建议将 FQDN用户 FQDN (User FQDN) 作为本地身份验证 ID。
IKE/IPsec 示例 (Sample IKE / IPsec) 单击以查看配置非 SD-WAN 目标网关所需的信息。网关管理员应使用该信息配置网关 VPN 隧道。
位置 单击编辑 (Edit) 可为配置的非 SD-WAN 目标设置位置。纬度和经度详细信息用于确定要在网络中连接到的最佳 Edge 或网关。
Zscaler 设置
Zscaler 登录 URL 要从此处登录 Zscaler 门户,请在文本框中输入登录 URL,然后单击登录 Zscaler (Login to Zscaler) 按钮。您将重定向到选定 Zscaler 云的 Zscaler 管理门户。仅当输入 Zscaler 登录 URL 时,才会激活登录 Zscaler (Login to Zscaler) 按钮。有关更多信息,请参阅配置 API 凭据
L7 运行状况检查 (L7 Health Check) 选中该复选框以便为 Zscaler 云安全服务提供程序激活“L7 运行状况检查”(L7 Health Check),并使用默认的探测详细信息(“HTTP 探测间隔”(HTTP Probe Interval) = 5 秒,“重试次数”(Number of Retries) = 3,“RTT 阈值”(RTT Threshold) = 3000 毫秒)。默认情况下,“L7 运行状况检查”(L7 Health Check) 处于停用状态。
注: 不支持配置运行状况检查探测详细信息。

无论“客户导出限制”(Customer Export Restriction) 是已激活还是已停用,都会建立 Zscaler 隧道,同时将“IPsec 加密算法”(IPsec Encryption Algorithm) 设为 NULL,并将“身份验证算法”(Authentication Algorithm) 设为 SHA-256