Toto téma vysvětluje konfiguraci Zscaler a postup konfigurace Cíl jiný než SD-WAN typu Zscaler v aplikaci SD-WAN Orchestrator.

Konfigurace nástroje Zscaler

Na webu Zscaler proveďte následující kroky:
  1. Na webové stránce Zscaler vytvořte účet zabezpečení webu Zscaler.

    complementary-config-zscaler-cloud-portal

  2. Nastavte své přihlašovací údaje VPN:
    1. V horní části obrazovky Zscaler najeďte ukazatelem myši na možnost Administrace (Administration), aby se zobrazila rozevírací nabídka. (Viz obrázek níže).
    2. V nabídce Zdroje (Resources) klikněte na možnost Přihlašovací údaje VPN (VPN Credentials).

      complementary-configuration-zscaler-administration-drop-down

    3. Klikněte na možnost Přidat přihlašovací údaje VPN (Add VPN Credentials) v levém horním rohu.

      complementary-config-zscaler-add-location

    4. V dialogovém okně Přidat přihlašovací údaje VPN (Add VPN Credentials):
      1. Jako typ autentizace zvolte FQDN.
      2. Zadejte ID uživatele a předsdílený klíč (PSK). Tyto informace jste získali z dialogového okna Cíl jiný než SD-WAN v nástroji SD-WAN Orchestrator.
      3. Pokud je to nutné, zadejte libovolné komentáře v části Komentáře (Comments).

        complementary-config-add-vpn-credentials

      4. Klikněte na tlačítko Uložit (Save).
  3. Přiřazení umístění:
    1.  V horní části obrazovky Zscaler najeďte ukazatelem myši na možnost Administrace (Administration), aby se zobrazila rozevírací nabídka.
    2.  V nabídce Zdroje (Resources) klikněte na možnost Umístění (Locations).
    3.  Klikněte na možnost Přidat umístění (Add Location) v levém horním rohu.
    4. V dialogovém okně Přidat umístění (Add Location)
      1. Vyplňte textová pole v oblasti Umístění (Location) (jméno, země, stát/oblast, časové pásmo).
      2. Z rozevírací nabídky Veřejné IP adresy (Public IP Addresses) zvolte možnost Žádné (None).
      3. V rozevírací nabídce Přihlašovací údaje VPN (VPN Credentials) vyberte přihlašovací údaje, které jste právě vytvořili.
        complementary-config-zscaler-location2
      4. Klikněte na tlačítko Hotovo (Done).
      5. Klikněte na tlačítko Uložit (Save).

Konfigurace lokality Cíl jiný než SD-WAN typu Zscaler

Jakmile vytvoříte konfiguraci Cíl jiný než SD-WAN typu Zscaler, budete přesměrováni na stránku s dalšími možnostmi konfigurace:
Můžete konfigurovat následující nastavení tunelu a kliknout na možnost Uložit změny (Save Changes):
Možnost Popis
Obecné (General)
Název (Name) Dříve zadaný název Cíl jiný než SD-WAN můžete upravit.
Typ (Type) Zobrazuje typ jako Zscaler. Tuto možnost nelze upravovat.
Aktivovat tunelové propojení (Enable Tunnel(s)) Kliknutím na přepínací tlačítko spustíte tunelové propojení z brány SD-WAN do brány Zscaler VPN.
Režim tunelu (Tunnel Mode) Zobrazí režim Aktivní / Pohotovostní režim (Active/Hot-Standby) indikující, že pokud aktivní tunel spadne, tunel v aktivním Pohotovostním režimu (Hot-Standby) převezme provoz a stane se aktivním tunelem.
Primární brána VPN (Primary VPN Gateway)
Veřejná IP (Public IP) Zobrazuje IP adresu primární brány VPN.
PSK Předem sdílený klíč (PSK) je bezpečnostní klíč pro autentizaci v rámci tunelového propojení. SD-WAN Orchestrator generuje ve výchozím nastavení PSK. Chcete-li použít vlastní PSK nebo heslo, můžete je zadat do textového pole.
Redundantní VPN VMware Cloud (Redundant VMware Cloud VPN) Zaškrtnutím pole přidáte redundantní tunely pro každou bránu VPN. Změny provedené v Šifrování (Encryption), Skupině DH (DH Group) nebo PFS primární brány VPN budou použity také u redundantních tunelových propojení VPN, pokud jsou nakonfigurována.
Sekundární brána VPN (Secondary VPN Gateway) Klikněte na tlačítko Přidat (Add) a poté zadejte IP adresu sekundární brány VPN. Klikněte na tlačítko Uložit změny (Save Changes).

Sekundární brána VPN pro tuto lokalitu je okamžitě vytvořena a bude zřízeno tunelové propojení VPN VMware na tuto bránu.

ID lokální autentizace ID místního ověřování definuje formát a identifikaci místní brány. V rozevírací nabídce vyberte z následujících typů a zadejte hodnotu:
  • FQDN – plně kvalifikovaný název domény nebo hostitele. Například: vmware.com.
  • FQDN uživatele (User FQDN) – plně kvalifikovaný název domény uživatele ve formě e-mailové adresy. Např. [email protected]
  • IPv4 – IP adresa používaná pro komunikaci s místní bránou.
  • IPv6 – IP adresa používaná pro komunikaci s místní bránou.
Poznámka:Cíl jiný než SD-WAN typu Zscaler se doporučuje použít jako ID místního ověřování FQDN nebo FQDN uživatele (User FQDN).
Ukázkový protokol IKE/IPsec Kliknutím zobrazíte informace potřebné ke konfiguraci brány Cíl jiný než SD-WAN. Administrátor brány by měl tyto informace použít ke konfiguraci tunelového propojení (propojeních) VPN brány.
Umístění (Location) Klikněte na možnost Upravit (Edit) a nastavte umístění konfigurované Cíl jiný než SD-WAN. Zeměpisná šířka a zeměpisná délka se používají k určení nejlepších Edge a bran pro připojení do sítě.
Nastavení Zscaler
Přihlašovací adresa URL do Zscaler (Zscaler Login URL) Chcete-li se odtud přihlásit k portálu Zscaler, zadejte do textového pole adresu URL pro přihlášení a klikněte na tlačítko Přihlášení do Zscaler (Login to Zscaler). Tato možnost vás přesměruje na portál správce Zscaler ve vybraném cloudu Zscaler. Tlačítko Přihlášení do Zscaler (Login do Zscaler) bude aktivováno pouze tehdy, pokud jste zadali přihlašovací adresu URL do Zscaler. Další informace naleznete v tématu Konfigurace přihlašovacích údajů API.
Kontrola stavu L7 (L7 Health Check) Zaškrtnutím pole aktivujete kontrolu stavu L7 u poskytovatele Služby pro zabezpečení cloudu Zscaler (Zscaler Cloud Security Service) s detaily o výchozí sondě (interval sondy HTTP = 5 sekund, počet opakovaných pokusů = 3, mezní hodnota RTT = 3000 milisekund). Ve výchozím nastavení je funkce Kontrola stavu L7 (L7 Health Check) deaktivována.
Poznámka: Konfigurace detailů sondy kontroly stavu není podporována.

Tunel Zscaler je vytvořen s algoritmem šifrování IPsec NULL a algoritmem autentizace SHA-256 bez ohledu na to, zda je omezení exportu zákazníka aktivováno nebo deaktivováno.