在将配置文件分配给 Edge 时,Edge 自动继承在配置文件中配置的云安全服务 (CSS) 和属性。您可以覆盖这些设置,以选择不同的云安全提供程序或修改每个 Edge 的属性。
要覆盖特定 Edge 的 CSS 配置,请执行以下步骤:
- 在企业门户的 SD-WAN 服务中,单击 。Edge (Edges) 页面将显示现有的配置文件。
- 单击指向某个 Edge 的链接,或者单击该 Edge 的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示选定 Edge 的配置选项。
- 在 VPN 服务 (VPN Services) 类别下的云安全服务 (Cloud Security Service) 区域中,将显示关联配置文件的 CSS 参数。
- 在云安全服务 (Cloud Security Service) 区域中,选中覆盖 (Override) 复选框,以选择不同的 CSS 或修改从与 Edge 关联的配置文件中继承的属性。有关这些属性的更多信息,请参阅为配置文件配置云安全服务。
- 在 Edge 窗口中,单击保存更改 (Save Changes) 以保存修改的设置。
注: 对于“Zscaler”和“通用”(Generic) 类型的 CSS,您必须创建 VPN 凭据。对于 Symantec CSS 类型,不需要使用 VPN 凭据。
为 Edge 配置手动 Zscaler CSS 提供程序
在 Edge 级别,对于选定的手动 Zscaler CSS 提供程序,您可以覆盖从配置文件中继承的设置,并且还可以根据为建立隧道选择的隧道协议手动配置其他参数。
如果选择手动配置 GRE 隧道,则必须按照以下步骤为要作为 GRE 隧道源的选定 WAN 接口手动配置 GRE 隧道参数。
- 在 GRE 隧道 (GRE Tunnels) 下,单击 +添加 (+Add)。
- 在显示的配置隧道 (Configure Tunnel) 窗口中,配置以下 GRE 隧道参数,然后单击更新 (Update)。
选项 描述 WAN 链路 (WAN Links) 选择要作为 GRE 隧道源的 WAN 接口。 隧道源公用 IP (Tunnel Source Public IP) 选择要作为隧道公用 IP 地址的 IP 地址。您可以选择“WAN 链路 IP”(WAN Link IP) 或“自定义 WAN IP”(Custom WAN IP)。如果选择“自定义 WAN IP”(Custom WAN IP),请输入要作为公用 IP 的 IP 地址。如果在多个分段上配置了云安全服务 (CSS),则每个分段的源公用 IP 必须不同。 主接入点 (Primary Point-of-Presence) 输入 Zscaler 数据中心的主公用 IP 地址。 辅助接入点 (Secondary Point-of-Presence) 输入 Zscaler 数据中心的辅助公用 IP 地址。 主路由器 IP/掩码 (Primary Router IP/Mask) 输入路由器的主 IP 地址。 辅助路由器 IP/掩码 (Secondary Router IP/Mask) 输入路由器的辅助 IP 地址。 主内部 ZEN IP/掩码 (Primary Internal ZEN IP/Mask) 输入内部 Zscaler 公用服务 Edge 的主 IP 地址。 辅助内部 ZEN IP/掩码 (Secondary Internal ZEN IP/Mask) 输入内部 Zscaler 公用服务 Edge 的辅助 IP 地址。 注:- 路由器 IP/掩码和 ZEN IP/掩码是由 Zscaler 提供的。
- 每个企业仅支持一个 Zscaler 云和域。
- 每个 Edge 仅允许一个使用 GRE 的 CSS。一个 Edge 不能具有多个启用了 Zscaler GRE 自动化的分段。
- 规模限制:
- GRE-WAN:对于非 SD-WAN 目标 (NSD),Edge 最多支持 4 个公用 WAN 链路,而在每个链路上,最多可以具有 2 个隧道(主/辅助隧道)。因此,对于每个 NSD,最多可以从一个 Edge 建立 8 个隧道和 8 个 BGP 连接。
- GRE-LAN:Edge 支持 1 个到转换网关 (TGW) 的链路,且每个 TGW 最多可以具有 2 个隧道(主/辅助隧道)。因此,对于每个 TGW,最多可以从一个 Edge 建立 2 个隧道和 4 个 BGP 连接(每条隧道 2 个 BGP 会话)。
Edge 的自动 Zscaler CSS 提供程序配置
IPsec/GRE 隧道自动化
- 在企业门户的 SD-WAN 服务中,单击 。
- 选择要建立自动隧道的 Edge。
- 单击指向某个 Edge 的链接,或者单击该 Edge 的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示选定 Edge 的配置选项。
- 在 VPN 服务 (VPN Services) 类别下的云安全服务 (Cloud Security Service) 区域中,将显示关联配置文件的 CSS 参数。
- 在云安全服务 (Cloud Security Service) 区域中,选中覆盖 (Override) 复选框,以选择不同的 CSS 或修改从与 Edge 关联的配置文件中继承的属性。有关这些属性的更多信息,请参阅为配置文件配置云安全服务。
- 从云安全服务 (Cloud Security Service) 下拉菜单中,选择一个自动 CSS 提供程序,然后单击保存更改 (Save Changes)。
自动化将在分段中使用有效的 IPv4 地址为每个 Edge 的公用 WAN 链路创建一个隧道。在多 WAN 链路部署中,将仅使用其中一个 WAN 链路发送用户数据包。Edge 将使用带宽、抖动、丢失率和延迟作为条件来选择服务质量 (QoS) 评分最高的 WAN 链路。在建立隧道后,将自动创建位置。您可以在云安全服务 (Cloud Security Service) 部分中查看隧道建立和 WAN 链路的详细信息
注: 在建立自动隧道之后,不允许在分段上将自动 Zscaler 服务提供程序更改为另一个 CSS 提供程序。对于分段上的选定 Edge,如果要从自动 Zscaler 服务提供程序更改为新的 CSS 提供程序,您必须明确停用云安全服务,然后重新激活 CSS。
Zscaler 位置/子位置配置
- 检查以确认已从选定 Edge 建立隧道并且已自动创建位置。如果没有为 Edge 设置 VPN 凭据或 GRE 选项,则不允许您创建子位置。在配置子位置之前,请确保您了解子位置及其限制。请参阅https://help.zscaler.com/zia/about-sub-locations。
- 选择用于创建自动 CSS 的同一云订阅。
- 在企业门户的 SD-WAN 服务中,单击 。
- 选择一个 Edge,然后单击设备 (Device) 列下面的图标。将显示选定 Edge 的设备设置 (Device Settings) 页面。
- 转到 Zscaler 部分,然后启用切换按钮。
- 从云订阅 (Cloud Subscription) 下拉菜单中,选择用于创建自动 CSS 的同一云订阅。此时将自动显示与所选云订阅关联的云名称。
注: 云订阅必须与 CSS 具有相同的云名称和域名。注: 如果要更改“云订阅”的提供程序,必须先通过停用 CSS 和 Zscaler 来移除“位置”,然后使用新提供程序执行创建步骤。
在位置 (Location) 表中,单击操作详细信息 (Action Details) 列下面的查看 (View) 时,将显示从 Zscaler 获取的配置的实际值(如果存在)。如果要为位置配置网关选项和带宽控制,请单击网关选项 (Gateway Options) 下的编辑 (Edit) 按钮。有关更多信息,请参阅配置 Zscaler 网关选项和带宽控制。
- 要创建子位置,请在子位置 (Sub-Locations) 表中单击操作 (Action) 列下面的 图标。
- 在子位置名称 (Sub-Location Name) 文本框中,为子位置输入唯一的名称。子位置名称在 Edge 的所有分段中应该是唯一的。该名称可以包含字母数字,最大单词长度为 32 个字符。
- 从 LAN 网络 (LAN Networks) 下拉菜单中,选择一个为 Edge 配置的 VLAN。将自动填充选定 LAN 网络的子网。
注: 对于选定的 Edge,子位置不应具有重叠子网 IP。
- 单击保存更改 (Save Changes)。
注: 在 Orchestrator 中创建至少一个子位置后,会在 Zscaler 端自动创建一个“其他”子位置,该子位置将显示在 Orchestrator UI 中。您也可以通过单击 子位置 (Sub-Locations) 表中 网关选项 (Gateway Options) 下的 编辑 (Edit) 按钮,来配置“其他”子位置的网关选项。有关更多信息,请参阅 配置 Zscaler 网关选项和带宽控制。
- 在创建子位置后,您可以从同一 Orchestrator 页面中更新子位置配置。单击保存更改 (Save Changes) 后,Zscaler 端的子位置配置将自动更新。
- 要删除子位置,请单击操作 (Action) 列下面的 图标。
注: 从表中删除最后一个子位置后,也将自动删除“其他”子位置。
配置 Zscaler 网关选项和带宽控制
要为位置和子位置配置网关选项和带宽控制,请单击相应表中网关选项 (Gateway Options) 下的编辑 (Edit) 按钮。
根据需要,为位置和子位置配置网关选项和带宽控制,然后单击保存更改 (Save Changes)。
选项 | 描述 |
---|---|
位置/子位置的网关选项 | |
使用客户端请求中的 XFF (Use XFF from Client Request) | 如果位置使用代理链将流量转发到 Zscaler 服务,并且您希望该服务从内部部署代理服务器在出站 HTTP 请求中插入的 X-Forwarded-For (XFF) 标头中发现客户端 IP 地址,请启用此选项。XFF 标头标识客户端 IP 地址,服务可以利用该地址来标识客户端的子位置。通过使用 XFF 标头,服务可以将相应的子位置策略应用于事务,如果为位置或子位置启用了启用 IP 代理 (Enable IP Surrogate),则会将相应的用户策略应用于事务。当服务将流量转发到其目标时,它会移除原始 XFF 标头,并将其替换为包含客户端网关 IP 地址(组织的公用 IP 地址)的 XFF 标头,从而确保组织的内部 IP 地址从不向外部公开。
注: 只能为父位置配置该网关选项。
|
启用警告 (Enable Caution) | 如果尚未启用身份验证 (Authentication),则可以启用此功能,以便向未经验证的用户显示警告通知。 |
启用 AUP (Enable AUP) | 如果尚未启用身份验证 (Authentication),则可以启用此功能来显示未经验证流量的可接受使用策略 (Acceptable Use Policy, AUP),并要求用户接受该策略。如果启用此功能:
|
强制实施防火墙控制 (Enforce Firewall Control) | 选择此选项可启用服务的防火墙控制。
注: 在启用此选项之前,用户必须确认其 Zscaler 帐户是否订阅了“防火墙基本”。
|
启用 IPS 控制 (Enable IPS Control) | 如果已启用强制实施防火墙控制 (Enforce Firewall Control),请选择此选项以启用服务的 IPS 控制。
注: 在启用此选项之前,用户必须确认其 Zscaler 帐户是否订阅了“防火墙基本”和“防火墙云 IPS”。
|
身份验证 (Authentication) | 启用此选项可要求位置或子位置中的用户在该服务中进行身份验证。 |
IP 代理 (IP Surrogate) | 如果启用了身份验证 (Authentication),并且要将用户映射到设备 IP 地址,请选择此选项。 |
取消关联的空闲时间 (Idle Time for Dissociation) | 如果启用了 IP 代理 (IP Surrogate),则指定在完成事务后该服务将 IP 地址到用户的映射保留多长时间。您可以使用“分钟”(Mins)(默认)、“小时”(Hours) 或“天”(Days) 以指定“取消关联的空闲时间”(Idle Time for Dissociation)。
|
已知浏览器的代理 IP (Surrogate IP for Known Browsers) | 启用该选项以使用现有的 IP 地址到用户的映射(从代理 IP 获取)对从已知浏览器发送流量的用户进行身份验证。 |
重新验证代理的刷新时间 (Refresh Time for re-validation of Surrogacy) | 如果启用了已知浏览器的代理 IP (Surrogate IP for Known Browsers),则指定 Zscaler 服务可以使用 IP 地址到用户的映射对从已知浏览器发送流量的用户进行身份验证的时间长度。在定义的时间段过后,该服务将刷新并重新验证现有的 IP 到用户的映射,以便它可以继续使用该映射对浏览器上的用户进行身份验证。您可以使用分钟(默认)、小时或天以指定“重新验证代理的刷新时间”(Refresh Time for re-validation of Surrogacy)。
|
位置的带宽控制选项 | |
带宽控制 (Bandwidth Control) | 启用此选项可对位置实施带宽控制。如果启用,请为下载 (Mbps) 和上载 (Mbps) 指定最大带宽限制。所有子位置都将共享为此位置指定的带宽限制。 |
下载 (Download) | 如果启用了带宽控制,则指定下载的最大带宽限制(以 Mbps 为单位)。允许的范围是 0.1 到 99999。 |
上载 (Upload) | 如果启用了带宽控制,则指定上载的最大带宽限制(以 Mbps 为单位)。允许的范围是 0.1 到 99999。 |
子位置的带宽控制选项(如果对父位置启用了带宽控制)
注: 只有当对父位置启用了带宽控制时,才能为子位置配置以下带宽控制选项。如果没有对父位置启用带宽控制,则子位置的带宽控制选项与位置相同(“带宽控制”(Bandwidth Control)、“下载”(Download)、“上载”(Upload))。
|
|
使用位置带宽 (Use Location Bandwidth) | 如果对父位置启用了带宽控制,请选择此选项以对子位置启用带宽控制,并使用为父位置指定的下载和上载最大带宽限制。 |
覆盖 (Override) | 选择此选项可对子位置启用带宽控制,然后为下载 (Mbps) 和上载 (Mbps) 指定最大带宽限制。此带宽专用于该子位置,并且不与其他子位置共享。 |
已禁用 (Disabled) | 选择此选项可使流量不受任何带宽管理策略的约束。选择了此选项的子位置在任何给定时间最多只能使用最大可用共享带宽。 |
限制
- 在 4.5.0 版本中,创建子位置后,Orchestrator 会自动保存“其他”子位置。在 Orchestrator 的早期版本中,Zscaler“其他”子位置不会保存在 Orchestrator 中。将 Orchestrator 升级到 4.5.0 版本后,只有在使用自动化创建新的正常(非“其他”)子位置后,才会自动导入“其他”子位置。
- Zscaler 子位置不能具有重叠 IP 地址(子网 IP 范围)。尝试编辑(添加、更新或删除)具有冲突 IP 地址的多个子位置可能会导致自动化失败。
- 用户无法同时更新位置和子位置的带宽。
- 启用父位置带宽控制后,子位置支持使用位置带宽 (Use Location Bandwidth) 选项以实施带宽控制。用户对父位置禁用位置带宽控制时,Orchestrator 不会主动检查或更新子位置带宽控制选项。