Po přiřazení profilu k Edge zdědí Edge automaticky službu pro zabezpečení cloudu (CSS) a atributy nakonfigurované v profilu. Můžete přepsat nastavení a vybrat jiného poskytovatele zabezpečení cloudu nebo upravit atributy pro každý Edge.

Chcete-li přepsat konfiguraci CSS pro konkrétní Edge, proveďte následující kroky:

  1. V podnikovém portálu klikněte na možnost Konfigurovat (Configure) > Edge.
  2. Zvolte Edge, jehož nastavení CSS chcete přepsat, a klikněte na ikonu pod sloupcem Zařízení (Device). Otevře se stránka Nastavení zařízení (Device Settings) pro vybrané Edge.
  3. V oblasti Služba pro zabezpečení cloudu (Cloud Security Service) se zobrazí parametry CSS přidruženého profilu. Vyberte Povolit potlačení Edge (Enable Edge Override), abyste mohli vybrat jiné CSS nebo upravit atributy zděděné z profilu přidruženého k Edge. Další informace o atributech naleznete v tématu Konfigurace služeb pro zabezpečení cloudu pro profily.

    Configure IPsec settings

    Poznámka: U služeb pro zabezpečení cloudu s nakonfigurovanou přihlašovací adresou URL Zscaler se v oblasti Služba pro zabezpečení cloudu (Cloud Security Service) zobrazí tlačítko Přihlášení do Zscaler (Login to Zscaler). Kliknutím na tlačítko Přihlášení do Zscaler (Login do Zscaler) budete přesměrováni na portál správce Zscaler ve vybraném cloudu Zscaler.
  4. Pokud se rozhodnete nakonfigurovat tunel IPsec na úrovni Edge kromě zděděných atributů, musíte pro relaci IPsec nakonfigurovat plně kvalifikovaný název domény (FQDN) a předem sdílený klíč (PSK).
    Poznámka: Pro CSS typu Zscaler a Generic musíte vytvořit přihlašovací údaje VPN. U typu Symantec CSS se přihlašovací údaje VPN nevyžadují.
  5. Pokud se rozhodnete nakonfigurovat tunel GRE na úrovni Edge, klikněte na možnost Přidat tunel (Add Tunnel).
  6. V okně Přidat tunel (Add Tunnel), které se objeví, nakonfigurujte následující parametry tunelu GRE a klikněte na OK .
    Možnost Popis
    Linky WAN (WAN Links) Vyberte rozhraní WAN, které má být použito jako zdroj v tunelu GRE.
    Veřejná IP adresa zdroje tunelu (Tunnel Source Public IP) Vyberte IP adresu, kterou má tunel použít jako veřejnou IP adresu. Můžete vybrat IP adresu linky WAN nebo IP adresu vlastní sítě WAN IP. Pokud zvolíte IP vlastní sítě WAN, zadejte IP adresu, která bude použita jako veřejná IP.
    Primární PoP (Primary Point-of-Presence) Zadejte primární veřejnou IP adresu datového centra Zscaler.
    Sekundární PoP (Secondary Point-of-Presence) Zadejte sekundární veřejnou IP adresu datového centra Zscaler.
    Primární IP adresa / maska směrovače (Primary Router IP/Mask) Zadejte primární IP adresu směrovače.
    Sekundární IP adresa / maska směrovače (Secondary Router IP/Mask) Zadejte sekundární IP adresu směrovače.
    Primární IP adresa / maska ZEN (Primary ZEN IP/Mask) Zadejte primární IP adresu interního Edge veřejné služby Zscaler.
    Sekundární IP adresa / maska ZEN (Secondary ZEN IP/Mask) Zadejte sekundární IP adresu interního Edge veřejné služby Zscaler.
    Poznámka: IP/masku směrovače a IP/masku ZEN poskytuje Zscaler.
    Poznámka: Pro Edge je povoleno pouze jedno CSS s GRE. Edge nemůže mít více než jeden segment s aktivovanou automatizací GRE Zscaler.
    Poznámka: Omezení škálování:
    • GRE-WAN: zařízení Edge podporuje maximálně 4 veřejné linky WAN pro cíl jiný než SD-WAN (NSD) a na každé lince může mít maximálně 2 tunely (primární/sekundární) pro každý NSD. Pro každý NSD tedy můžete mít maximálně 8 tunelů a 8 připojení protokolu BGP z jednoho zařízení Edge.
    • GRE-LAN: zařízení Edge podporuje 1 linku na tranzitní bránu (TGW) a může mít maximálně 2 tunely (primární/sekundární) pro každou TGW. Pro každou TGW můžete mít maximálně 2 tunely a 4 připojení protokolu BGP z jednoho zařízení Edge (relace 2 BGP na každý tunel).
  7. Kliknutím na tlačítko Uložit změny (Save Changes) v okně Edge (Edges) uložíte upravená nastavení.

Konfigurace poskytovatele automatizovaného Zscaler CSS pro Edge

Na úrovni Edge pro vybraného poskytovatele automatizovaného Zscaler CSS můžete přepsat nastavení zděděná z profilu, vytvořit dílčí umístění a konfigurovat možnosti brány a řízení šířky pásma pro dílčí umístění.

Před vytvořením dílčího umístění se ujistěte, že je aktivován vybraný Edge a že jsou pro něj nastaveny přihlašovací údaje VPN. Pro vytvoření dílčího umístění na vybraném Edge proveďte následující kroky:

  1. V podnikovém portálu klikněte na možnost Konfigurovat (Configure) > Edge.
  2. Vyberte Edge, u kterého chcete přepsat nastavení CSS, a vytvořte dílčí umístění.
  3. Klikněte na ikonu pod sloupcem Zařízení (Device). Otevře se stránka Nastavení zařízení (Device Settings) pro vybrané Edge.
  4. V části Služba pro zabezpečení cloudu (Cloud Security Service) vyberte Povolit potlačení Edge (Enable Edge Override).
  5. Z rozevírací nabídky Služba pro zabezpečení cloudu (Cloud Security Service) pro vybraného poskytovatele automatizovaného CSS upravte atributy (Hash, Šifrování a Protokol výměny klíčů) zděděné z profilu, pokud je to potřeba. Automatizace vytvoří tunel v segmentu pro každou veřejnou linku WAN Edge s platnou adresou IPv4. Při nasazení více linek sítě WAN bude pro odesílání uživatelských datových paketů využita pouze jedna z linek WAN. Zařízení Edge vybere jako kritérium linku WAN s nejlepším skóre kvality služby (QoS) za použití šířky pásma, kolísání, ztráty a latence. Po navázání tunelového propojení se automaticky vytvoří umístění. Další informace o atributech naleznete v tématu Konfigurace služeb pro zabezpečení cloudu pro profily.
    Poznámka: U segmentu není povolena změna na jiného poskytovatele CSS z automatizovaného poskytovatele služby Zscaler. U vybraného Edge na segmentu musíte explicitně deaktivovat službu pro zabezpečení cloudu a poté znovu aktivovat CSS, pokud si přejete změnu na nového poskytovatele CSS z automatizovaného poskytovatele služby Zscaler.

  6. Chcete-li vytvořit dílčí umístění, klikněte na ikonu pod sloupcem Akce (Action).
    Poznámka: Dílčí umístění nebudete moci vytvořit, pokud nejsou pro Edge nastaveny přihlašovací údaje VPN. Než začnete s konfigurací dílčích umístění, ujistěte se, že jste obeznámeni s dílčími umístěními a jejich omezeními. Viz téma https://help.zscaler.com/zia/about-sub-locations.
    1. V textovém poli Název dílčího umístění (Sub-Location Name) zadejte jedinečný název dílčího umístění. Název dílčího umístění by měl být unikátní napříč všemi segmenty pro Edge. Název může obsahovat alfanumerické znaky s maximální délkou slova 32 znaků.
    2. Z rozevírací nabídky Sítě LAN (LAN Networks) vyberte VLAN nakonfigurovanou pro Edge. Podsíť pro vybranou síť LAN bude vyplněna automaticky.
      Poznámka: U vybraného Edge by dílčí umístění neměla mít ve všech segmentech překrývající se IP podsítě.
    3. Chcete-li konfigurovat možnosti brány a řízení šířky pásma pro dané dílčí umístění, klikněte na Upravit (Edit). Zobrazí se okno Možnosti brány Zscaler a kontrola šířky pásma (Zscaler Gateway Options and Bandwidth Control).
    4. Podle potřeby nakonfigurujte možnosti brány a kontroly šířky pásma pro dílčí umístění a klikněte na Uložit změny (Save Changes). Dílčí umístění je vytvořeno v nástroji SD-WAN Orchestrator.
      Poznámka: V současnosti nejsou pro konfiguraci dílčího umístění podporovány následující možnosti brány:
      • Použít XFF z požadavku klienta
      • Aktivovat upozornění
      • Aktivovat AUP
      Poznámka: Když vytvoříte alespoň jednoho dílčího umístění v Orchestratoru, Zscaler automaticky vytvoří „jiné“ dílčí umístění na straně Zscaler. Funkce konfigurace možností brány „jiného“ dílčího umístění z Orchestratoru není podporována.
      Možnost Popis
      Možnosti brány
      Kontrola SSL (SSL Inspection) Povolte uplatnění zásad kontroly SSL na provoz HTTPS v dílčím umístění a zkontrolujte transakce HTTPS z hlediska možného výskytu úniku dat, škodlivého obsahu a virů.
      Autentizace (Authentication) Aktivujte možnost, aby byla od uživatelů z dílčího umístění vyžadována autentizace ke službě.
      Náhradní IP adresa (IP Surrogate) Pokud jste povolili autentizaci, zvolte tuto možnost, pokud chcete mapovat uživatele na IP adresy zařízení.
      Doba nečinnosti pro zrušení přidružení (Idle Time for Dissociation) Pokud jste povolili náhradní IP adresu, specifikujte, jak dlouho po dokončené transakci má služba zachovávat mapování IP adresy na uživatele. Můžete specifikovat dobu nečinnosti pro zrušení přidružení v minutách (výchozí nastavení), nebo v hodinách, nebo ve dnech.
      • Pokud uživatel vybere jako jednotku minuty, povolený rozsah je od 1 do 43 200.
      • Pokud uživatel vybere jako jednotku hodiny, povolený rozsah je od 1 do 720.
      • Pokud uživatel vybere jako jednotku dny, povolený rozsah je od 1 do 30.
      Náhradní IP adresa pro známé prohlížeče (Surrogate IP for Known Browsers) Povolte použití existujícího mapování IP adresy na uživatele (získané z náhradní IP) k autentizaci uživatelů, kteří posílají provoz ze známých prohlížečů.
      Čas obnovení pro opětovné ověření použití náhradní adresy (Refresh Time for re-validation of Surrogacy) Pokud jste povolili náhradní IP adresu pro známé prohlížeče, zadejte dobu, po kterou může služba Zscaler použít mapování IP adresy na uživatele k autentizaci uživatelů, kteří posílají provoz ze známých prohlížečů. Po uplynutí definované doby se služba obnoví a znovu ověří existující mapování IP adres na uživatele, aby mohla pokračovat v používání mapování k autentizaci uživatelů v prohlížečích. Můžete specifikovat čas obnovení pro opětovné ověření použití náhradní adresy v minutách (výchozí nastavení), nebo v hodinách, nebo ve dnech.
      • Pokud uživatel vybere jako jednotku minuty, povolený rozsah je od 1 do 43 200.
      • Pokud uživatel vybere jako jednotku hodiny, povolený rozsah je od 1 do 720.
      • Pokud uživatel vybere jako jednotku dny, povolený rozsah je od 1 do 30.
      Kontrola šířky pásma
      Kontrola šířky pásma (Bandwidth Control) Aktivujte vynucení kontroly šířky pásma pro dané dílčí umístění.
      Stáhnout (Download) Pokud jste aktivovali kontrolu šířky pásma, určete maximální limit šířky pásma pro stahování v Mb/s. Povolený rozsah je od 0,1 do 99999.
      Nahrát (Upload) Pokud jste aktivovali kontrolu šířky pásma, určete maximální limit šířky pásma pro nahrání v Mb/s. Povolený rozsah je od 0,1 do 99999.
      Poznámka: Možnosti brány pro dílčí umístění jsou stejné jako u konfigurace na portálu Zscaler. Více informací o možnostech brány Zscaler a parametrech kontroly šířky pásma naleznete v tématu https://help.zscaler.com/zia/configuring-locations
  7. Po vytvoření dílčího umístění můžete aktualizovat konfiguraci dílčího umístění ze stejné stránky a kliknout na Uložit změny (Save Changes). Dílčí umístění na straně Zscaler bude aktualizováno automaticky.
  8. Chcete-li odstranit dílčí umístění, klikněte na ikonu pod sloupcem Akce (Action).
  9. Klikněte na tlačítko Uložit změny (Save Changes).