要创建并配置 Zscaler 类型的 非 SD-WAN 目标,请执行以下步骤:

  1. SASE Orchestrator 的导航面板中,转到配置 (Configure) > 网络服务 (Network Services)。将显示服务 (Services) 屏幕。
  2. 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,单击 +新建 (+New) 按钮。

    将显示新建通过网关的非 SD-WAN 目标 (New Non SD-WAN Destinations via Gateway) 对话框。

  3. 名称 (Name) 文本框中,输入 非 SD-WAN 目标 的名称。
  4. 类型 (Type) 下拉菜单中,选择 Zscaler
  5. 输入主 VPN 网关(和辅助 VPN 网关,如果需要)的 IP 地址,然后单击下一步 (Next)。将创建 Zscaler 类型的 非 SD-WAN 目标,并显示 非 SD-WAN 目标 的对话框。
  6. 要为非 SD-WAN 目标的主 VPN 网关配置隧道设置,请单击高级设置 (Advanced Settings) 展开按钮。
  7. 主 VPN 网关 (Primary VPN Gateway) 区域中,您可以在隧道设置 (Tunnel Settings) 下面配置预共享密钥 (PSK),该密钥是在隧道中进行身份验证时使用的安全密钥。默认情况下,Orchestrator 生成一个 PSK。如果要使用您自己的 PSK 或密码,您可以在文本框中输入该 PSK 或密码。
    注: 从版本 4.5 开始,不再支持在密码中使用特殊字符“<”。如果用户已在之前版本的密码中使用了“<”,则必须将其移除才能保存页面上的任何更改。
  8. 如果要为该站点创建辅助 VPN 网关,请单击 VPN 网关 1 (VPN Gateway 1) 旁边的 +添加 (+Add) 按钮。在弹出窗口中,输入 VPN 网关 2 的 IP 地址,然后单击保存更改 (Save Changes)。将立即为该站点创建 VPN 网关 2 (VPN Gateway 2),并置备到该网关的 VMware VPN 隧道。
  9. 选中冗余 VMware Cloud VPN (Redundant VMware Cloud VPN) 复选框,以便为每个 VPN 网关添加冗余隧道。对主 VPN 网关的 PSK 所做的任何更改也会应用于冗余 VPN 隧道(如果已配置)。在修改 VPN 网关 1 的隧道设置后,保存所做的更改,然后单击 IKE/IPSec 示例 (Sample IKE/IPSec) 以查看更新的隧道配置。
  10. 位置 (Location) 区域下,单击编辑 (Edit) 链接以更新配置的非 SD-WAN 目标的位置。纬度和经度详细信息用于确定要在网络中连接到的最佳 Edge 或网关。
  11. 本地身份验证 ID 定义本地网关的格式和标识。从本地身份验证 ID (Local Auth Id) 下拉菜单中,从以下类型中进行选择,然后输入您确定的值:
    • FQDN - 完全限定域名或主机名。例如,google.com。
    • 用户 FQDN (User FQDN) - 采用电子邮件地址形式的用户完全限定域名。例如,[email protected]
    • IPv4 - 用于与本地网关通信的 IPv4 地址。
    • IPv6 - 用于与本地网关通信的 IPv6 地址。
    注:

    对于 Zscaler 非 SD-WAN 目标,建议将 FQDN 或用户 FQDN 作为本地身份验证 ID。

  12. 如果选择“Zscaler 云安全服务”(Zscaler Cloud Security Service) 作为服务类型,要确定和监控 Zscaler 服务器的运行状况,您可以配置其他设置,例如 Zscaler 云和第 7 层 (L7) 运行状况检查。
    1. 选中 L7 运行状况检查 (L7 Health Check) 复选框以便为 Zscaler 云安全服务提供商启用 L7 运行状况检查,并使用默认的探测详细信息(HTTP 探测间隔 (HTTP Probe Interval) = 5 秒,重试次数 (Number of Retries) = 3,RTT 阈值 (RTT Threshold) = 3000 毫秒)。默认情况下,“L7 运行状况检查”(L7 Health Check) 处于停用状态。
      注: 不支持配置运行状况检查探测详细信息。
    2. Zscaler 云 (Zscaler Cloud) 下拉菜单中,选择一个 Zscaler 云服务或在文本框中输入 Zscaler 云服务名称。
  13. 要从此处登录 Zscaler 门户,请在 Zscaler 登录 URL (Zscaler Login URL) 文本框中输入登录 URL,然后单击登录 Zscaler (Login to Zscaler)。将重定向到选定 Zscaler 云的 Zscaler 管理门户。如果已输入 Zscaler 登录 URL,则登录 Zscaler (Login to Zscaler) 按钮将处于启用状态。

    有关更多信息,请参阅配置云安全服务

  14. 在准备好启动从 SD-WAN 网关 到 Zscaler VPN 网关的隧道后,选中启用隧道 (Enable Tunnel(s)) 复选框。
  15. 单击保存更改 (Save Changes)
    注: 无论“客户导出限制”(Customer Export Restriction) 是已激活还是已停用,都会建立 Zscaler 隧道,同时将“IPsec 加密算法”(IPsec Encryption Algorithm) 设为 NULL,并将“身份验证算法”(Authentication Algorithm) 设为 SHA-256

配置的网络服务会显示在网络服务 (Network Services) 窗口中的通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域下。您可以将网络服务与配置文件相关联。有关更多信息,请参阅将 非 SD-WAN 目标 与配置文件相关联

您可以从 监控 (Monitor) > 网络服务 (Network Services) > 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) > 服务状态 (Service Status) 中查看 L7 运行状况以及 L7 运行状况检查 RTT。