启用云安全服务 (CSS) 可建立从 Edge 到云安全服务站点的安全隧道。这样,就可以将保护的流量重定向到第三方云安全站点。在配置文件级别,VMware SD-WAN 和 Zscaler 集成支持 IPsec 和 GRE 隧道的自动化。
注: 每个配置文件仅允许一个使用 GRE 的 CSS。
开始之前:
- 确保您具有访问权限以配置网络服务。
- 确保 SASE Orchestrator 具有 3.3.x 或更高版本。
- 您应该在第三方云安全服务中配置了云安全服务网关端点 IP 和 FQDN 凭据。
- 在企业门户的 SD-WAN 服务中,单击。配置文件 (Profiles) 页面将显示现有的配置文件。
- 单击指向某个配置文件的链接,或者单击该配置文件的设备 (Device) 列中的查看 (View) 链接。选定配置文件的配置选项将显示在设备 (Device) 选项卡中。
- 在 VPN 服务 (VPN Services) 类别下,单击云安全服务 (Cloud Security Service),然后将相应切换按钮切换到开启 (On) 以激活云安全服务 (Cloud Security Service)。
- 配置以下设置:
选项 描述 云安全服务 (Cloud Security Service) 从下拉菜单中选择一个要与配置文件关联的云安全服务。您也可以从下拉列表中单击新建云安全服务 (New Cloud Security Service) 以创建新的服务类型。有关如何创建新的 CSS 的更多信息,请参阅配置云安全服务。 注: 对于已配置 Zscaler 登录 URL 的云安全服务, 登录 Zscaler (Login to Zscaler) 按钮会显示在 云安全服务 (Cloud Security Service) 区域中。单击 登录 Zscaler (Login to Zscaler) 按钮会将您重定向到选定 Zscaler 云的 Zscaler 管理门户。隧道协议 (Tunneling Protocol) 该选项仅适用于 Zscaler 云安全服务提供程序。如果选择手动 Zscaler 服务提供程序,则选择 IPsec 或 GRE 作为隧道协议。默认情况下,将选择 IPsec。 注: 如果选择自动 Zscaler 服务提供程序,则 隧道协议 (Tunneling Protocol) 字段将无法配置,但会显示服务提供程序使用的协议名称。哈希 (Hash) 从下拉列表中选择 SHA 1 或 SHA 256 以作为哈希函数。默认情况下,将选择 SHA 1。 加密 (Encryption) 从下拉列表中选择 AES 128 或 AES 256 以作为加密算法。默认情况下,将选择“无”(None)。 密钥交换协议 (Key Exchange Protocol) 选择 IKEv1 或 IKEv2 以作为密钥交换方法。默认情况下,将选择 IKEv2。
该选项不适用于 Symantec 云安全服务。
登录 Zscaler (Login to Zscaler) 单击登录 Zscaler (Login to Zscaler),以登录选定 Zscaler 云的 Zscaler 管理门户。 - 单击保存更改 (Save Changes)。
在配置文件中启用云安全服务并配置设置时,该设置将自动应用于与配置文件关联的 Edge。如果需要,您可以覆盖特定 Edge 的配置。请参阅为 Edge 配置云安全服务。
对于在 3.3.1 版之前创建的配置文件(启用并配置了云安全服务),您可以选择重定向流量,如下所示:
- 仅将 Web 流量重定向到云安全服务
- 将所有 Internet 绑定流量重定向到云安全服务
- 根据业务策略设置重定向流量 - 仅从 3.3.1 版开始提供该选项。如果选择该选项,则无法再使用其他两个选项。
注: 对于您为 3.3.1 或更高版本创建的新配置文件,默认情况下,将根据业务策略设置重定向流量。请参阅
为云安全服务配置业务策略。
