在将配置文件分配给 Edge 时,Edge 自动继承在配置文件中配置的云安全服务 (CSS) 和属性。您可以覆盖这些设置,以选择不同的云安全提供程序或修改每个 Edge 的属性。

要覆盖特定 Edge 的 CSS 配置,请执行以下步骤:

  1. 在企业门户的 SD-WAN 服务中,单击配置 (Configure) > Edge (Edges)Edge (Edges) 页面将显示现有的配置文件。
  2. 单击指向某个 Edge 的链接,或者单击该 Edge 的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示选定 Edge 的配置选项。
  3. VPN 服务 (VPN Services) 类别下的云安全服务 (Cloud Security Service) 区域中,将显示关联配置文件的 CSS 参数。
  4. 云安全服务 (Cloud Security Service) 区域中,选中覆盖 (Override) 复选框,以选择不同的 CSS 或修改从与 Edge 关联的配置文件中继承的属性。有关这些属性的更多信息,请参阅为配置文件配置云安全服务
  5. Edge 窗口中,单击保存更改 (Save Changes) 以保存修改的设置。
    注: 对于“Zscaler”和“通用”(Generic) 类型的 CSS,您必须创建 VPN 凭据。对于 Symantec CSS 类型,不需要使用 VPN 凭据。

为 Edge 配置手动 Zscaler CSS 提供程序

在 Edge 级别,对于选定的手动 Zscaler CSS 提供程序,您可以覆盖从配置文件中继承的设置,并且还可以根据为建立隧道选择的隧道协议手动配置其他参数。

如果选择手动配置 IPsec 隧道,除了继承的属性以外,您还必须为 IPsec 会话配置完全限定域名 (Fully Qualified Domain Name, FQDN) 和预共享密钥 (PSK)。
注: 作为必备条件,您应该在第三方云安全服务中配置了云安全服务网关端点 IP 和 FQDN 凭据。
配置 IPsec 设置
注: 对于已配置 Zscaler 登录 URL 的云安全服务, 登录 Zscaler (Login to Zscaler) 按钮会显示在 云安全服务 (Cloud Security Service) 区域中。单击 登录 Zscaler (Login to Zscaler) 按钮会将您重定向到选定 Zscaler 云的 Zscaler 管理门户。

如果选择手动配置 GRE 隧道,则必须按照以下步骤为要作为 GRE 隧道源的选定 WAN 接口手动配置 GRE 隧道参数。

  1. GRE 隧道 (GRE Tunnels) 下,单击 +添加 (+Add)
  2. 在显示的配置隧道 (Configure Tunnel) 窗口中,配置以下 GRE 隧道参数,然后单击更新 (Update)
    选项 描述
    WAN 链路 (WAN Links) 选择要作为 GRE 隧道源的 WAN 接口。
    隧道源公用 IP (Tunnel Source Public IP) 选择要作为隧道公用 IP 地址的 IP 地址。您可以选择“WAN 链路 IP”(WAN Link IP) 或“自定义 WAN IP”(Custom WAN IP)。如果选择“自定义 WAN IP”(Custom WAN IP),请输入要作为公用 IP 的 IP 地址。如果在多个分段上配置了云安全服务 (CSS),则每个分段的源公用 IP 必须不同。
    主接入点 (Primary Point-of-Presence) 输入 Zscaler 数据中心的主公用 IP 地址。
    辅助接入点 (Secondary Point-of-Presence) 输入 Zscaler 数据中心的辅助公用 IP 地址。
    主路由器 IP/掩码 (Primary Router IP/Mask) 输入路由器的主 IP 地址。
    辅助路由器 IP/掩码 (Secondary Router IP/Mask) 输入路由器的辅助 IP 地址。
    主内部 ZEN IP/掩码 (Primary Internal ZEN IP/Mask) 输入内部 Zscaler 公用服务 Edge 的主 IP 地址。
    辅助内部 ZEN IP/掩码 (Secondary Internal ZEN IP/Mask) 输入内部 Zscaler 公用服务 Edge 的辅助 IP 地址。
    注:
    • 路由器 IP/掩码和 ZEN IP/掩码是由 Zscaler 提供的。
    • 每个企业仅支持一个 Zscaler 云和域。
    • 每个 Edge 仅允许一个使用 GRE 的 CSS。一个 Edge 不能具有多个启用了 Zscaler GRE 自动化的分段。
    • 规模限制:
      • GRE-WAN:对于非 SD-WAN 目标 (NSD),Edge 最多支持 4 个公用 WAN 链路,而在每个链路上,最多可以具有 2 个隧道(主/辅助隧道)。因此,对于每个 NSD,最多可以从一个 Edge 建立 8 个隧道和 8 个 BGP 连接。
      • GRE-LAN:Edge 支持 1 个到转换网关 (TGW) 的链路,且每个 TGW 最多可以具有 2 个隧道(主/辅助隧道)。因此,对于每个 TGW,最多可以从一个 Edge 建立 2 个隧道和 4 个 BGP 连接(每条隧道 2 个 BGP 会话)。

Edge 的自动 Zscaler CSS 提供程序配置

在 Edge 级别,VMware SD-WAN 和 Zscaler 集成支持: 在 Edge 级别,对于选定的自动 Zscaler CSS 提供程序,您可以覆盖从配置文件中继承的 CSS 设置,为每个 Edge 分段建立自动 IPsec/GRE 隧道,创建子位置,以及为位置和子位置配置网关选项和带宽控制。

IPsec/GRE 隧道自动化

可以为每个 Edge 分段配置 IPsec/GRE 隧道自动化。执行以下步骤以从 Edge 建立自动隧道。
  1. 在企业门户的 SD-WAN 服务中,单击配置 (Configure) > Edge (Edges)
  2. 选择要建立自动隧道的 Edge。
  3. 单击指向某个 Edge 的链接,或者单击该 Edge 的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示选定 Edge 的配置选项。
  4. VPN 服务 (VPN Services) 类别下的云安全服务 (Cloud Security Service) 区域中,将显示关联配置文件的 CSS 参数。
  5. 云安全服务 (Cloud Security Service) 区域中,选中覆盖 (Override) 复选框,以选择不同的 CSS 或修改从与 Edge 关联的配置文件中继承的属性。有关这些属性的更多信息,请参阅为配置文件配置云安全服务
  6. 云安全服务 (Cloud Security Service) 下拉菜单中,选择一个自动 CSS 提供程序,然后单击保存更改 (Save Changes)

    自动化将在分段中使用有效的 IPv4 地址为每个 Edge 的公用 WAN 链路创建一个隧道。在多 WAN 链路部署中,将仅使用其中一个 WAN 链路发送用户数据包。Edge 将使用带宽、抖动、丢失率和延迟作为条件来选择服务质量 (QoS) 评分最高的 WAN 链路。在建立隧道后,将自动创建位置。您可以在云安全服务 (Cloud Security Service) 部分中查看隧道建立和 WAN 链路的详细信息

    注: 在建立自动隧道之后,不允许在分段上将自动 Zscaler 服务提供程序更改为另一个 CSS 提供程序。对于分段上的选定 Edge,如果要从自动 Zscaler 服务提供程序更改为新的 CSS 提供程序,您必须明确停用云安全服务,然后重新激活 CSS。

Zscaler 位置/子位置配置

在为 Edge 分段建立自动 IPsec/GRE 隧道后,位置将自动创建,并显示在“Edge 设备”(Edge Device) 页面的 Zscaler 部分中。
注: 在 4.5.0 版本之前,子位置配置位于每个分段的 云安全服务 (Cloud Security Service) 部分中。目前,Orchestrator 允许您从 设备设置 (Device Settings) 页面的 Zscaler 部分中为整个 Edge 的位置和子位置配置 Zscaler 配置。对于 CSS 子位置自动化的现有用户,数据将会在 Orchestrator 升级过程中进行迁移。
Zscaler 部分中,如果要为选定 Edge 更新位置或创建子位置,请确保:
  • 检查以确认已从选定 Edge 建立隧道并且已自动创建位置。如果没有为 Edge 设置 VPN 凭据或 GRE 选项,则不允许您创建子位置。在配置子位置之前,请确保您了解子位置及其限制。请参阅https://help.zscaler.com/zia/about-sub-locations
  • 选择用于创建自动 CSS 的同一云订阅。
要为选定 Edge 更新位置或创建子位置,请执行以下步骤:
  1. 在企业门户的 SD-WAN 服务中,单击配置 (Configure) > Edge (Edges)
  2. 选择一个 Edge,然后单击设备 (Device) 列下面的图标。将显示选定 Edge 的设备设置 (Device Settings) 页面。
  3. 转到 Zscaler 部分,然后启用切换按钮。
  4. 云订阅 (Cloud Subscription) 下拉菜单中,选择用于创建自动 CSS 的同一云订阅。此时将自动显示与所选云订阅关联的云名称。
    注: 云订阅必须与 CSS 具有相同的云名称和域名。
    注: 如果要更改“云订阅”的提供程序,必须先通过停用 CSS 和 Zscaler 来移除“位置”,然后使用新提供程序执行创建步骤。

    位置 (Location) 表中,单击操作详细信息 (Action Details) 列下面的查看 (View) 时,将显示从 Zscaler 获取的配置的实际值(如果存在)。如果要为位置配置网关选项和带宽控制,请单击网关选项 (Gateway Options) 下的编辑 (Edit) 按钮。有关更多信息,请参阅配置 Zscaler 网关选项和带宽控制

  5. 要创建子位置,请在子位置 (Sub-Locations) 表中单击操作 (Action) 列下面的 图标。
    1. 子位置名称 (Sub-Location Name) 文本框中,为子位置输入唯一的名称。子位置名称在 Edge 的所有分段中应该是唯一的。该名称可以包含字母数字,最大单词长度为 32 个字符。
    2. LAN 网络 (LAN Networks) 下拉菜单中,选择一个为 Edge 配置的 VLAN。将自动填充选定 LAN 网络的子网。
      注: 对于选定的 Edge,子位置不应具有重叠子网 IP。
    3. 单击保存更改 (Save Changes)
      注: 在 Orchestrator 中创建至少一个子位置后,会在 Zscaler 端自动创建一个“其他”子位置,该子位置将显示在 Orchestrator UI 中。您也可以通过单击 子位置 (Sub-Locations) 表中 网关选项 (Gateway Options) 下的 编辑 (Edit) 按钮,来配置“其他”子位置的网关选项。有关更多信息,请参阅 配置 Zscaler 网关选项和带宽控制
    4. 在创建子位置后,您可以从同一 Orchestrator 页面中更新子位置配置。单击保存更改 (Save Changes) 后,Zscaler 端的子位置配置将自动更新。
    5. 要删除子位置,请单击操作 (Action) 列下面的 图标。
      注: 从表中删除最后一个子位置后,也将自动删除“其他”子位置。

配置 Zscaler 网关选项和带宽控制

要为位置和子位置配置网关选项和带宽控制,请单击相应表中网关选项 (Gateway Options) 下的编辑 (Edit) 按钮。

将显示 Zscaler 网关选项和带宽控制 (Zscaler Gateway Options and Bandwidth Control) 窗口。

根据需要,为位置和子位置配置网关选项和带宽控制,然后单击保存更改 (Save Changes)

注: 但是,可以为位置和子位置配置的 Zscaler 网关选项和带宽控制参数略有不同;位置和子位置的网关选项和带宽控制参数与可以在 Zscaler 门户上配置的参数相同。有关 Zscaler 网关选项和带宽控制参数的更多信息,请参阅 https://help.zscaler.com/zia/configuring-locations
选项 描述
位置/子位置的网关选项
使用客户端请求中的 XFF (Use XFF from Client Request) 如果位置使用代理链将流量转发到 Zscaler 服务,并且您希望该服务从内部部署代理服务器在出站 HTTP 请求中插入的 X-Forwarded-For (XFF) 标头中发现客户端 IP 地址,请启用此选项。XFF 标头标识客户端 IP 地址,服务可以利用该地址来标识客户端的子位置。通过使用 XFF 标头,服务可以将相应的子位置策略应用于事务,如果为位置或子位置启用了启用 IP 代理 (Enable IP Surrogate),则会将相应的用户策略应用于事务。当服务将流量转发到其目标时,它会移除原始 XFF 标头,并将其替换为包含客户端网关 IP 地址(组织的公用 IP 地址)的 XFF 标头,从而确保组织的内部 IP 地址从不向外部公开。
注: 只能为父位置配置该网关选项。
启用警告 (Enable Caution) 如果尚未启用身份验证 (Authentication),则可以启用此功能,以便向未经验证的用户显示警告通知。
启用 AUP (Enable AUP) 如果尚未启用身份验证 (Authentication),则可以启用此功能来显示未经验证流量的可接受使用策略 (Acceptable Use Policy, AUP),并要求用户接受该策略。如果启用此功能:
  • 自定义 AUP 频率 (天) (Custom AUP Frequency (Days)) 中,指定向用户显示 AUP 的频率(以天为单位)。
  • 将显示首次 AUP 行为 (First Time AUP Behavior) 部分,其中包含以下设置:
    • 阻止 Internet 访问 (Block Internet Access) - 启用此功能可停止对 Internet 的所有访问(包括非 HTTP 流量),直到用户接受向其显示的 AUP 为止。
    • 强制 SSL 检查 (Force SSL Inspection) - 启用此功能可让 SSL 检查对 HTTPS 流量强制实施 AUP。
强制实施防火墙控制 (Enforce Firewall Control) 选择此选项可启用服务的防火墙控制。
注: 在启用此选项之前,用户必须确认其 Zscaler 帐户是否订阅了“防火墙基本”。
启用 IPS 控制 (Enable IPS Control) 如果已启用强制实施防火墙控制 (Enforce Firewall Control),请选择此选项以启用服务的 IPS 控制。
注: 在启用此选项之前,用户必须确认其 Zscaler 帐户是否订阅了“防火墙基本”和“防火墙云 IPS”。
身份验证 (Authentication) 启用此选项可要求位置或子位置中的用户在该服务中进行身份验证。
IP 代理 (IP Surrogate) 如果启用了身份验证 (Authentication),并且要将用户映射到设备 IP 地址,请选择此选项。
取消关联的空闲时间 (Idle Time for Dissociation) 如果启用了 IP 代理 (IP Surrogate),则指定在完成事务后该服务将 IP 地址到用户的映射保留多长时间。您可以使用“分钟”(Mins)(默认)、“小时”(Hours) 或“天”(Days) 以指定“取消关联的空闲时间”(Idle Time for Dissociation)。
  • 如果用户选择“分钟”(Mins) 以作为单位,则允许的范围是 1 到 43200。
  • 如果用户选择“小时”(Hours) 以作为单位,则允许的范围是 1 到 720。
  • 如果用户选择“天”(Days) 以作为单位,则允许的范围是 1 到 30。
已知浏览器的代理 IP (Surrogate IP for Known Browsers) 启用该选项以使用现有的 IP 地址到用户的映射(从代理 IP 获取)对从已知浏览器发送流量的用户进行身份验证。
重新验证代理的刷新时间 (Refresh Time for re-validation of Surrogacy) 如果启用了已知浏览器的代理 IP (Surrogate IP for Known Browsers),则指定 Zscaler 服务可以使用 IP 地址到用户的映射对从已知浏览器发送流量的用户进行身份验证的时间长度。在定义的时间段过后,该服务将刷新并重新验证现有的 IP 到用户的映射,以便它可以继续使用该映射对浏览器上的用户进行身份验证。您可以使用分钟(默认)、小时或天以指定“重新验证代理的刷新时间”(Refresh Time for re-validation of Surrogacy)。
  • 如果用户选择“分钟”(Mins) 以作为单位,则允许的范围是 1 到 43200。
  • 如果用户选择“小时”(Hours) 以作为单位,则允许的范围是 1 到 720。
  • 如果用户选择“天”(Days) 以作为单位,则允许的范围是 1 到 30。
位置的带宽控制选项
带宽控制 (Bandwidth Control) 启用此选项可对位置实施带宽控制。如果启用,请为下载 (Mbps) 和上载 (Mbps) 指定最大带宽限制。所有子位置都将共享为此位置指定的带宽限制。
下载 (Download) 如果启用了带宽控制,则指定下载的最大带宽限制(以 Mbps 为单位)。允许的范围是 0.1 到 99999。
上载 (Upload) 如果启用了带宽控制,则指定上载的最大带宽限制(以 Mbps 为单位)。允许的范围是 0.1 到 99999。
子位置的带宽控制选项(如果对父位置启用了带宽控制)
注: 只有当对父位置启用了带宽控制时,才能为子位置配置以下带宽控制选项。如果没有对父位置启用带宽控制,则子位置的带宽控制选项与位置相同(“带宽控制”(Bandwidth Control)、“下载”(Download)、“上载”(Upload))。
使用位置带宽 (Use Location Bandwidth) 如果对父位置启用了带宽控制,请选择此选项以对子位置启用带宽控制,并使用为父位置指定的下载和上载最大带宽限制。
覆盖 (Override) 选择此选项可对子位置启用带宽控制,然后为下载 (Mbps) 和上载 (Mbps) 指定最大带宽限制。此带宽专用于该子位置,并且不与其他子位置共享。
已禁用 (Disabled) 选择此选项可使流量不受任何带宽管理策略的约束。选择了此选项的子位置在任何给定时间最多只能使用最大可用共享带宽。

限制

  • 在 4.5.0 版本中,创建子位置后,Orchestrator 会自动保存“其他”子位置。在 Orchestrator 的早期版本中,Zscaler“其他”子位置不会保存在 Orchestrator 中。将 Orchestrator 升级到 4.5.0 版本后,只有在使用自动化创建新的正常(非“其他”)子位置后,才会自动导入“其他”子位置。
  • Zscaler 子位置不能具有重叠 IP 地址(子网 IP 范围)。尝试编辑(添加、更新或删除)具有冲突 IP 地址的多个子位置可能会导致自动化失败。
  • 用户无法同时更新位置和子位置的带宽。
  • 启用父位置带宽控制后,子位置支持使用位置带宽 (Use Location Bandwidth) 选项以实施带宽控制。用户对父位置禁用位置带宽控制时,Orchestrator 不会主动检查或更新子位置带宽控制选项。

相关链接