Podniky mohou využívat zabezpečeného místního připojení k internetu pomocí VMware SD-WAN integrovaného s nástrojem Zscaler. Pomocí VMware SD-WAN může správce sítě rozhodnout, který provoz se má přesměrovat do služby Zscaler pomocí tunelů IPsec (s nulovým šifrováním).

Předpoklady

Pro zajištění nové služby s nástrojem Zscaler a  VMware SD-WAN platí tyto předpoklady:
  • Přístup k internetu Zscaler (Zscaler Internet Access (ZIA))
    • Pracovní instance ZIA (jakýkoli cloud)
    • Přihlašovací údaje administrátora
  • VMware SD-WAN Orchestrator
    • Přístup podnikového účtu k VMware SD-WAN Orchestrator
    • Přihlašovací údaje administrátora
    • Jedno nebo více zařízení Zařízení VMware SD-WAN Edge se stavem „On-line“ v VMware SD-WAN Orchestrator

Výběr a způsob směrování Zscaler Brána SD-WAN Gateway

VMware SD-WAN podporuje pouze použití tunelů IPsec (NULL) do zařízení Zscaler. VMware SD-WAN nepodporuje tunely GRE nebo šifrované tunely IPsec. Proces konfigurace VMware SD-WAN Orchestrator pro vytvoření tunelů IPsec (NULL) do zařízení Zscaler nevyžaduje ruční výběr konkrétního Brány VMware SD-WAN Gateway. Při použití vyhledávacího procesu geo-IP se Brány VMware SD-WAN Gateway dynamicky vybírají na základě blízkosti poskytnutého koncového bodu IP Zscaler. Správci operátora a partnera s dostatečným oprávněním mohou ručně přepsat výběry výchozích- SD-WAN Orchestrator bran. Za normálních okolností to není nutné a doporučujeme přijmout Brány SD-WAN Gateway dle výběru systému. Poté, co byla v  SD-WAN Orchestrator dokončena konfigurace Zscaler a tunely jsou v provozu a aktivní, mohou správci operátora a partnera (s dostatečným oprávněním) ověřit, které Brány SD-WAN Gateway byly vybrány. Pokud chcete ověřit, které Brány SD-WAN Gateway byly vybrány, přihlaste se k nástroji Orchestrator a přejděte do nabídky Operátor (Operator) > Brány (Gateways). Klikněte na konkrétní Brána SD-WAN Gateway a vyhledejte možnost „Zabezpečená brána VPN (Secure VPN Gateway)“. Vedle možnosti „Zabezpečená brána VPN (Secure VPN Gateway)“ bude název nastavení Zscaler nastavený během procesu konfigurace. Primární Brána SD-WAN Gateway budou označeny systémem Zscaler_jméno a redundantní Brána SD-WAN Gateway budou označeny jako Zscaler_jméno[redundantní].

Je-li třeba nastavit tunel Zscaler na konkrétní Brána SD-WAN Gateway, je nutné nejprve výše uvedeným postupem zjistit, který Brána SD-WAN Gateway má daný tunel. Zde je možné kliknout na možnost „Zabezpečená brána VPN (Secure VPN Gateway)“ a přesunout/přiřadit tunel k jinému Brána SD-WAN Gateway.

  1. Vyhledejte aktuální umístění tunelu.
  2. Klikněte na možnost Zabezpečená brána VPN (Secure VPN Gateway).
  3. Vyberte Brána SD-WAN Gateway.
    Poznámka: Přiřazení/přesunutí tunelu k jinému Brána SD-WAN Gateway má vliv na službu. Existující tunelové připojení bude ukončeno a vytvoří se nový tunel z nově přiřazených Brána SD-WAN Gateway.

    Během procesu konfigurace/aktivace Zařízení VMware SD-WAN Edge je každému Edge přiřazena dvojice cloudových Brány SD-WAN Gateway nebo sada partnera Brány SD-WAN Gateway v souladu s konfigurací zařízení. Pokud Brány SD-WAN Gateway používané v Edge nejsou stejné Brány SD-WAN Gateway, které obsahují tunely Zscaler, Edge automaticky vytvoří tunely VCMP do Brány SD-WAN Gateway, které se připojí k zařízení Zscaler kromě Brány SD-WAN Gateway vybraných během procesu aktivace. Tak se zajistí, že Edge má cestu do zařízení Zscaler.

Příklady nastavení Zscaler

Příklad 1: Primární tunel Zscaler na 1.1.1.1 s nevybranou redundantní VPN pro VeloCloud Cloud

V tomto příkladu se vytvoří pouze jeden tunel Zscaler VPN a není zaškrtnuto pole Redundantní VPN pro Velocloud Cloud (Redundant Velocloud Cloud VPN). Jedna brána (v tomto případě primární Brána SD-WAN Gateway) vybraná na základě blízkosti vzdálené brány VPN (jak je určeno pomocí vyhledávání geo-IP), vytvoří tunel IPsec do koncového bodu Zscaler VPN. Podle konfigurace podnikových zásad půjde provoz z Zařízení SD-WAN Edge do primárního Brána SD-WAN Gateway a poté do zařízení Zscaler. I když má Zařízení SD-WAN Edge vždy tunely VCMP nejméně do dvou Brány SD-WAN Gateway, v tomto uspořádání neexistuje žádná redundance. Jelikož pole Redundantní VPN pro Velocloud Cloud (Redundant Velocloud Cloud VPN) není zaškrtnuté, nedojde k vytvoření záložního tunelu Brána SD-WAN Gateway do zařízení Zscaler. Pokud Zscaler nebo primární Brána SD-WAN Gateway selže nebo pokud tunel IPsec mezi těmito dvěma zařízeními z jakéhokoli důvodu přestane pracovat, provoz do zařízení Zscaler bude zrušen.

Příklad 2: Primární tunel Zscaler na 1.1.1.1 s redundantní VPN pro VeloCloud Cloud

V tomto příkladu se vytvoří pouze jeden tunel Zscaler VPN a je zaškrtnuto pole Redundantní VPN pro Velocloud Cloud (Redundant Velocloud Cloud VPN). Dvě Brány SD-WAN Gateway, vybrané na základě blízkosti vzdálené brány VPN (jak je určeno pomocí vyhledávání geo-IP), které jsou nejbližší k umístění zařízení Zscaler, budou vytvářet tunely IPsec do zařízení Zscaler Oba tyto tunely jsou aktivní, veškerý provoz do zařízení Zscaler však bude procházet primárním Brána SD-WAN Gateway. Pokud primární Brána SD-WAN Gateway selže, provoz se poté přepne na sekundární Brána SD-WAN Gateway. Jelikož je definován pouze jeden koncový bod Zscaler, bude v případě jeho selhání zrušen provoz do zařízení Zscaler.

Příklad 3: Primární tunel Zscaler na 1.1.1.1, sekundární tunel Zscaler na 2.2.2.2 s nevybranou redundantní VPN pro VeloCloud Cloud

V tomto příkladu jsou redundantní tunely IPsec do zařízení Zscaler nakonfigurovány v SD-WAN Orchestrator pomocí přidání sekundární IP adresy Zscaler, ale zaškrtávací pole Redundantní VPN pro Velocloud Cloud (Redundant Velocloud Cloud VPN) není zaškrtnuté. Jedno Brána SD-WAN Gateway vybrané na základě blízkosti vzdálené brány VPN (jak je určeno pomocí vyhledávání geo-IP), vytvoří tunel IPsec do obou koncových bodů Zscaler VPN. Oba tyto tunely jsou aktivní, ale podle nastavení konfigurace Brána SD-WAN Gateway ví, který tunel IPsec do zařízení Zscaler je primární cesta, a odešle provoz přes tento tunel. Zscaler neoznačuje primární nebo záložní tunely IPsec. Zscaler jednoduše vrátí provoz přes Brána SD-WAN Gateway, odkud požadavek pochází. Pokud primární umístění Zscaler selže, provoz z Brána SD-WAN Gateway se přesune do sekundárního tunelu IPsec Zscaler. Jelikož pole Redundantní VPN pro Velocloud Cloud (Redundant Velocloud Cloud VPN) není zaškrtnuté, neexistují žádná redundantní připojení Brána SD-WAN Gateway do zařízení Zscaler. Pokud selže Brána SD-WAN Gateway, provoz do zařízení Zscaler bude zrušen.

Příklad 4: Primární tunel Zscaler na 1.1.1.1, sekundární tunel Zscaler na 2.2.2.2 s redundantní VPN pro VeloCloud

V tomto příkladu jsou redundantní tunely IPsec do zařízení Zscaler nakonfigurovány v SD-WAN Orchestrator pomocí přidání sekundární IP adresy Zscaler a zaškrtávací pole Redundantní VPN pro Velocloud Cloud (Redundant Velocloud Cloud VPN) je zaškrtnuté. Dvě Brány SD-WAN Gateway vybrané na základě blízkosti vzdálené brány VPN (jak je určeno pomocí vyhledávání geo-IP), vytvoří tunely IPsec do obou koncových bodů Zscaler VPN. Všechny tyto tunely jsou aktivní, ale podle nastavení konfigurace Brány SD-WAN Gateway ví, který z těchto dvou tunelů je primární Brána SD-WAN Gateway a který je sekundární. Brány SD-WAN Gateway také vědí, který z jejich tunelů IPsec do zařízení Zscaler je primární cesta a který je sekundární cesta. Zscaler neoznačuje primární nebo záložní tunely IPsec. Zscaler jednoduše vrátí provoz přes Brána SD-WAN Gateway, odkud požadavek pochází. Pokud primární umístění Zscaler selže, provoz z primární Brána SD-WAN Gateway se přesune do sekundárního tunelu IPsec Zscaler. Jelikož pole Redundantní VPN pro Velocloud Cloud (Redundant Velocloud Cloud VPN) je zaškrtnuté, pokud primární Brána SD-WAN Gateway selže, provoz se přesune do sekundárního Brána SD-WAN Gateway. Sekundární Brána SD-WAN Gateway využije primární tunel IPsec v případě, že je tato cesta dostupná. Pokud není, použije se k dosažení zařízení Zscaler sekundární tunel IPsec.

Kontroly stavu vrstvy 7

Při vytvoření tunelu IPsec/GRE do daného datového centra Zscaler pro přístup zařízení Zscaler k internetu (ZIA) se vytvoří tunel mezi Zařízení SD-WAN Edge nebo Brána SD-WAN Gateway do virtuální IP adresy (VIP) ve vyrovnávání zátěže Zscaler. Když provoz koncového uživatele z větve dosáhne nástroje pro vyrovnávání zátěže, vyrovnávání zátěže distribuuje provoz do zařízení Edge veřejné služby ZIA. Detekce partnerského zařízení mimo provoz (DPD) a zprávy Keep-Alive GRE mohou detekovat dostupnost do veřejných VIP pouze v nástroji pro vyrovnávání zátěže (protože se jedná o cíl tunelu). Veřejné VIP je vysoce dostupný koncový bod a neodráží dostupnost daného zařízení Edge veřejné služby ZIA. Kontrola stavu vrstvy 7 umožňuje sledovat výkon a dostupnost zařízení Edge ZIA na základě sond HTTP a při selhání umožňuje přesměrování na alternativní tunel podle výsledků. Pokud je aktivována sonda, Zařízení SD-WAN Edge nebo Brána SD-WAN Gateway periodicky odesílá požadavky sondy na adresu URL sondy HTTP (v následujícím formátu).

http://gateway.<zscaler_cloud>.net/vpntest

Adresu URL sondy je možné nakonfigurovat v SD-WAN Orchestrator, avšak interval sondy a počet opakovaných pokusů nelze v současné době v SD-WAN Orchestrator upravovat. Pokud sonda selže v definovaném počtu po sobě opakovaných pokusů, tunel se označí za nefunkční a provoz se přesměruje do sekundárního tunelu, je-li nadefinovaný. Selhání sondy může být způsobeno tím, že není přijata odezva https (200 OK) nebo je latence větší než nadefinovaná mezní hodnota. Pokud je v zařízení Edge nakonfigurováno podmíněné páteřní připojení, selhání provozu sondy do primárního i sekundárního tunelu spustí převzetí služeb a přesměrování provozu do nakonfigurovaného hubu páteřního připojení. Jakmile je sonda znovu FUNKČNÍ, provoz se vrátí zpět do tunelu CSS. Pokud je pro Cíl mimo SD-WAN (NSD) nakonfigurováno redundantní cloudové VPN přes bránu, selhání sondy v primárním i sekundárním tunelu z primární brány spustí převzetí služeb a přesměrování provozu do sekundární brány. Když je sonda v primární bráně znovu FUNKČNÍ, provoz se vrátí zpět do tunelu CSS v primární bráně.

Konfigurace zařízení Zscaler a zavádění VMware SD-WAN

Popisuje konfigurační kroky pro integraci Zscaler Internet Access ( ZIA) a VMware SD-WAN:

  1. Konfigurace Zscaler Internet Access (ZIA): vytvořte účet, přidejte do něj přihlašovací údaje VPN, přidejte umístění.
  2. Vytvořte a nakonfigurujte cíl mimo SD-WAN.
  3. Do konfiguračního profilu přidejte cíl mimo SD-WAN.
  4. Nakonfigurujte podniková pravidla priority.

Další informace naleznete v souboru https://www.zscaler.com/resources/solution-briefs/partner-vmware-sdwan-deployment-guide.pdf. Tato příručka poskytne příklady GUI pro konfiguraci přístupu k internetu Zscaler a VMware SD-WAN Orchestrator.

Události kontroly stavu vrstvy 7

Událost (Event) Zobrazeno v uživatelském rozhraní systému Orchestrator jako Závažnost (Severity) Konfigurovatelné oznámení Vygenerováno uživatelem Vygenerováno, když
EDGE_NVS_TUNNEL_UP Přímé tunelové propojení Edge přes IPsec je v provozu. INFORMACE N SD-WAN Orchestrator Tunel služby pro zabezpečení cloudu nebo NSD přes Edge je v provozu.
EDGE_NVS_TUNNEL_DOWN Přímé tunelové propojení Edge přes IPsec je mimo provoz. INFORMACE N SD-WAN Orchestrator Tunel služby pro zabezpečení cloudu nebo NSD přes Edge je mimo provoz.
VPN_DATACENTER_STATUS Změna stavu tunelu VPN OZNÁMENÍ N Brána SD-WAN Gateway Stav tunelu VPN se změnil.
Informace o událostech souvisejících se službami pro zabezpečení cloudu naleznete v tématu Monitorování událostí služeb pro zabezpečení cloudu.