通过使用与 Zscaler 集成的 VMware SD-WAN,企业可以进行安全的本地 Internet 分流。通过 VMware SD-WAN,网络管理员可以确定应使用 IPsec 隧道(具有 NULL 加密)将哪些流量转发到 Zscaler。

必备条件

要使用 Zscaler 和 VMware SD-WAN 置备新服务,需要满足以下必备条件:
  • Zscaler Internet Access (ZIA)
    • 正常运行的 ZIA 实例(任意云)
    • 管理员登录凭据
  • VMware SASE Orchestrator
    • 企业帐户能够访问 VMware SASE Orchestrator
    • 管理员登录凭据
    • VMware SASE Orchestrator 中的一个或多个 VMware SD-WAN Edge 设备处于“联机”状态

Zscaler SD-WAN 网关 选择和路由行为

在用于建立到 Zscaler 的隧道的 VMware SASE Orchestrator 配置过程中,不需要手动选择特定的 VMware SD-WAN Gateway。通过地理 IP 查找过程,将根据与提供的 Zscaler IP 端点的远近程度动态选择 VMware SD-WAN Gateway。具有足够权限的操作员和合作伙伴管理员可以手动覆盖 SASE Orchestrator 默认选择的网关。通常情况下,无需执行此操作,建议的最佳做法是接受系统选择的 SD-WAN 网关。在 SASE Orchestrator 上完成 Zscaler 配置并且隧道已启动并处于活动状态后,具有足够权限的操作员和合作伙伴管理员可以验证选择了哪些 SD-WAN 网关。要验证选择了哪些 SD-WAN 网关,请登录到 Orchestrator,然后转到“操作员”(Operator) >“Gateways”(网关)。单击某个特定 SD-WAN 网关,然后查找“安全 VPN 网关”(Secure VPN Gateway)。“安全 VPN 网关”(Secure VPN Gateway) 旁边将列出在配置过程中设置的 Zscaler 的名称。主 SD-WAN 网关 将使用 Zscaler_Name 表示,而冗余 SD-WAN 网关 将表示为 Zscaler_Name[redundant]。

要设置到特定 SD-WAN 网关 的 Zscaler 隧道,您必须先按照上面的过程找到具有该隧道的 SD-WAN 网关。在这里,您可以单击“安全 VPN 网关”(Secure VPN Gateway),然后将隧道移动到/分配给其他 SD-WAN 网关

  1. 找到当前隧道位置。
  2. 单击“安全 VPN 网关”(Secure VPN Gateway)。
  3. 选择一个 SD-WAN 网关
    注: 将隧道分配给/移动到其他 SD-WAN 网关 会影响服务。现有隧道连接将终止,并将从新分配的 SD-WAN 网关 建立一个新隧道。

    VMware SD-WAN Edge 配置/激活过程中,将根据设备配置为每个 Edge 分配一对云 SD-WAN 网关 或一组合作伙伴 SD-WAN 网关。如果 Edge 使用的 SD-WAN 网关 不是包含 Zscaler 隧道的相同 SD-WAN 网关,则除了建立到在激活过程中选择的 SD-WAN 网关 的 VCMP 隧道之外,Edge 还会自动建立到连接到 Zscaler 的 SD-WAN 网关 的 VCMP 隧道。这样可确保 Edge 具有访问 Zscaler 的路径。

Zscaler 设置示例

示例 1:建立了到 1.1.1.1 的主 Zscaler 隧道,且未选中“冗余 Velocloud 云 VPN”(Redundant Velocloud Cloud VPN)

在此示例中,只建立了一个 Zscaler VPN 隧道,并且未选中“冗余 Velocloud 云 VPN”(Redundant Velocloud Cloud VPN) 复选框。根据与远程 VPN 网关的远近程度(通过地理 IP 查找来确定)选择的单个网关(本例中为主 SD-WAN 网关)将建立到 Zscaler VPN 端点的 IPsec 隧道。根据业务策略配置,流量将从 SD-WAN Edge 流向主 SD-WAN 网关,然后再流向 Zscaler。尽管 SD-WAN Edge 始终具有到至少两个 SD-WAN 网关 的 VCMP 隧道,但本设计中未设置冗余。由于未选中“冗余 Velocloud 云 VPN”(Redundant Velocloud Cloud VPN) 复选框,因此将没有到 Zscaler 的备用 SD-WAN 网关 隧道。如果 Zscaler 或主 SD-WAN 网关 出现故障,或者两者之间的 IPsec 隧道由于任何原因而关闭,则将丢弃流向 Zscaler 的流量。

示例 2:建立了到 1.1.1.1 的主 Zscaler 隧道,且选中了“冗余 Velocloud 云 VPN”(Redundant Velocloud Cloud VPN)

在此示例中,只建立了一个 Zscaler VPN 隧道,并且选中了“冗余 Velocloud 云 VPN”(Redundant Velocloud Cloud VPN) 复选框。根据与远程 VPN 网关的远近程度(通过地理 IP 查找来确定)选择的距 Zscaler 位置最近的两个 SD-WAN 网关 将建立到 Zscaler 的 IPsec 隧道。这两个隧道均处于活动状态,但流向 Zscaler 的所有流量都将流经主 SD-WAN 网关。如果主 SD-WAN 网关 出现故障,则流量将转移到辅助 SD-WAN 网关。由于只定义了一个 Zscaler 端点,如果该端点关闭,则将丢弃流向 Zscaler 的流量。

示例 3:建立了到 1.1.1.1 的主 Zscaler 隧道和到 2.2.2.2 的辅助 Zscaler 隧道,且未选中“冗余 Velocloud 云 VPN”(Redundant Velocloud Cloud VPN)

在此示例中,通过添加辅助 Zscaler IP 地址在 SASE Orchestrator 中配置了到 Zscaler 的冗余 IPsec 隧道,但未选中“冗余 VeloCloud 云 VPN”(Redundant Velocloud Cloud VPN) 复选框。根据与远程 VPN 网关的远近程度(通过地理 IP 查找来确定)选择的单个 SD-WAN 网关 将建立到两个 Zscaler VPN 端点的 IPsec 隧道。这两个隧道均处于活动状态,但根据配置设置,SD-WAN 网关 可以知晓哪一个到 Zscaler 的 IPsec 隧道是主路径,并将通过该隧道发送流量。Zscaler 不会标记主 IPsec 隧道或备用 IPsec 隧道。Zscaler 将直接通过发起请求的 SD-WAN 网关 返回流量。如果主 Zscaler 位置关闭,来自 SD-WAN 网关 的流量将转移到辅助 Zscaler IPsec 隧道。由于未选中“冗余 Velocloud 云 VPN”(Redundant Velocloud Cloud VPN) 复选框,因此没有到 Zscaler 的冗余 SD-WAN 网关 连接。如果 SD-WAN 网关 出现故障,则将丢弃流向 Zscaler 的流量。

示例 4:建立了到 1.1.1.1 的主 Zscaler 隧道和到 2.2.2.2 的辅助 Zscaler 隧道,且选中了“冗余 Velocloud 云 VPN”(Redundant Velocloud Cloud VPN)

在此示例中,通过添加辅助 Zscaler IP 地址在 SASE Orchestrator 中配置了到 Zscaler 的冗余 IPsec 隧道,且选中了“冗余 VeloCloud 云 VPN”(Redundant Velocloud Cloud VPN) 复选框。根据与远程 VPN 网关的远近程度(通过地理 IP 查找来确定)选择的两个 SD-WAN 网关 将建立到两个 Zscaler VPN 端点的 IPsec 隧道。所有这些隧道均处于活动状态,但根据配置设置,SD-WAN 网关 可以知晓两个网关中哪个是主 SD-WAN 网关,哪个是辅助网关。SD-WAN 网关 也可以知晓这两个网关到 Zscaler 的 IPsec 隧道中哪个是主路径,哪个是辅助路径。Zscaler 不会标记主 IPsec 隧道或备用 IPsec 隧道。Zscaler 将直接通过发起请求的 SD-WAN 网关 返回流量。如果主 Zscaler 位置关闭,来自主 SD-WAN 网关 的流量将转移到辅助 Zscaler IPsec 隧道。由于已选中“冗余 Velocloud 云 VPN”(Redundant Velocloud Cloud VPN) 复选框,因此,如果主 SD-WAN 网关 出现故障,流量将转移到辅助 SD-WAN 网关。辅助 SD-WAN 网关 将利用主 IPsec 隧道,但前提是该路径可用。否则,它将使用辅助 IPsec 隧道访问 Zscaler。

第 7 层运行状况检查

在为 Zscaler Internet Access (ZIA) 建立到给定 Zscaler 数据中心的 IPsec/GRE 隧道时,将在 SD-WAN EdgeSD-WAN 网关 之间建立到 Zscaler 负载均衡器上的虚拟 IP (Virtual IP, VIP) 的隧道以用于 ZIA。当来自分支的最终用户流量到达负载均衡器时,负载均衡器会将流量分配给 ZIA 公用服务 Edge。“不活动对等体检测”(DPD) 和“GRE 保持活动状态”只能检测负载均衡器上公用 VIP 的可用性(因为它是隧道目标)。公用 VIP 是高度可用的端点,不能反映给定 ZIA 公用服务 Edge 的可用性。第 7 层运行状况检查允许您基于 HTTP 探测监控 ZIA Edge 的性能和可用性,并且还允许您根据结果故障切换到备用隧道。如果激活了探测,SD-WAN EdgeSD-WAN 网关会定期将探测请求发送到 HTTP 探测 URL(该 URL 采用以下格式)。

http://gateway.<zscaler_cloud>.net/vpntest

可在 SASE Orchestrator 中配置探测 URL,但当前无法在 SASE Orchestrator 中编辑探查间隔和重试次数。如果探测连续失败的次数达到定义的重试次数,隧道将标记为关闭,并且流量将故障切换到辅助隧道(如果已定义)。探测失败可能是因为未收到 https 响应 (200 OK),或者延迟超过了定义的阈值。如果在 Edge 中配置了条件回传,则当对主隧道和辅助隧道的探测都失败时,会触发到配置的回传 Hub 的流量故障切换。当探测再次启动时,流量将回退到 CSS 隧道。如果为通过网关的非 SD-WAN 目标 (Non SD-WAN Destination, NSD) 配置了冗余云 VPN,则当对主网关中的主隧道和辅助隧道的探测都失败时,会触发到辅助网关的流量故障切换。当主网关中的探测再次启动时,流量将回退到主网关上的 CSS 隧道。

Zscaler 和 VMware SD-WAN 部署配置

介绍将 Zscaler Internet Access (ZIA) 与 VMware SD-WAN 集成的配置步骤:

  1. 配置 Zscaler Internet Access (ZIA):创建一个帐户,添加 VPN 凭据,并添加一个位置。
  2. 创建和配置非 SD-WAN 目标。
  3. 将非 SD-WAN 目标添加到配置文件中。
  4. 配置业务优先级规则。

有关更多信息,请参阅 https://www.zscaler.com/resources/solution-briefs/partner-vmware-sdwan-deployment-guide.pdf。本指南将提供用于配置 Zscaler Internet Access 和 VMware SASE Orchestrator 的 GUI 示例。

第 7 层运行状况检查事件

事件 在 Orchestrator UI 上的显示方式 严重性 是否可配置通知 生成者 生成时间
EDGE_NVS_TUNNEL_UP Edge 直接 IPsec 隧道启动 (Edge Direct IPsec tunnel up) 信息 SASE Orchestrator 云安全服务隧道或通过 Edge 的 NSD 隧道启动时。
EDGE_NVS_TUNNEL_DOWN Edge 直接 IPsec 隧道关闭 (Edge Direct IPsec tunnel down) 信息 SASE Orchestrator 云安全服务隧道或通过 Edge 的 NSD 隧道关闭时。
VPN_DATACENTER_STATUS 更改 VPN 隧道状态 (VPN Tunnel state change) 通知 SD-WAN 网关 VPN 隧道状态发生更改时。
有关与云安全服务相关的事件的信息,请参阅 监控云安全服务事件