Po přiřazení profilu k Edge zdědí Edge automaticky službu pro zabezpečení cloudu (CSS) a atributy nakonfigurované v profilu. Můžete přepsat nastavení a vybrat jiného poskytovatele zabezpečení cloudu nebo upravit atributy pro každý Edge.
Chcete-li přepsat konfiguraci CSS pro konkrétní Edge, proveďte následující kroky:
- Ve službě SD-WAN podnikového portálu klikněte na možnost . Na stránce Zařízení Edge (Edges) se zobrazí existující profily.
- Klikněte na odkaz k zařízení Edge nebo klikněte na odkaz Zobrazit (View) ve sloupci Zařízení (Device) zařízení Edge. Možnosti konfigurace pro vybrané zařízení Edge jsou zobrazeny na kartě Zařízení (Device).
- V kategorii Služby VPN (VPN Services) v oblasti Služba pro zabezpečení cloudu (Cloud Security Service) se zobrazí parametry CSS přidruženého profilu.
- V oblasti Služba pro zabezpečení cloudu (Cloud Security Service) zaškrtněte pole Přepsat (Override) a vyberte jiné CSS nebo upravte atributy zděděné z profilu přidruženého k zařízení Edge. Další informace o atributech naleznete v tématu Konfigurace služeb pro zabezpečení cloudu pro profily.
- Kliknutím na tlačítko Uložit změny (Save Changes) v okně Edge (Edges) uložíte upravená nastavení.
Poznámka: Pro CSS typu Zscaler a Generic musíte vytvořit přihlašovací údaje VPN. U typu Symantec CSS se přihlašovací údaje VPN nevyžadují.
Ruční konfigurace poskytovatele Zscaler CSS pro Edge
Pro vybraného ručního poskytovatele CSS Zscaler můžete na úrovni Edge přepsat nastavení zděděná z profilu a nakonfigurovat ručně další parametry na základě protokolu navázání tunelového spojení, vybraného pro vytvoření tunelu.
Pokud se rozhodnete konfigurovat tunel GRE ručně, je třeba níže uvedeným postupem ručně nakonfigurovat parametry tunelu GRE pro vybrané rozhraní WAN, které tunel GRE použije jako zdroj.
- V části Tunely GRE (GRE Tunnels) klikněte na možnost +Přidat (+Add).
- V okně Konfigurovat tunel (Configure Tunnel), které se objeví, nakonfigurujte následující parametry tunelu GRE a klikněte na Aktualizovat (Update).
Možnost Popis Linky WAN (WAN Links) Vyberte rozhraní WAN, které má být použito jako zdroj v tunelu GRE. Veřejná IP adresa zdroje tunelu (Tunnel Source Public IP) Vyberte IP adresu, kterou má tunel použít jako veřejnou IP adresu. Můžete vybrat IP adresu linky WAN nebo IP adresu vlastní sítě WAN IP. Pokud zvolíte IP vlastní sítě WAN, zadejte IP adresu, která bude použita jako veřejná IP. Zdrojové veřejné IP adresy se musí pro každý segment lišit, pokud je služba pro zabezpečení cloudu (CSS) nakonfigurována ve více segmentech. Primární PoP (Primary Point-of-Presence) Zadejte primární veřejnou IP adresu datového centra Zscaler. Sekundární PoP (Secondary Point-of-Presence) Zadejte sekundární veřejnou IP adresu datového centra Zscaler. Primární IP adresa / maska směrovače (Primary Router IP/Mask) Zadejte primární IP adresu směrovače. Sekundární IP adresa / maska směrovače (Secondary Router IP/Mask) Zadejte sekundární IP adresu směrovače. Primární hlavní IP adresa / maska vnitřní sítě ZEN (Primary Internal ZEN IP/Mask) Zadejte primární IP adresu interního Edge veřejné služby Zscaler. Sekundární hlavní IP adresa / maska vnitřní sítě ZEN (Secondary Internal ZEN IP/Mask) Zadejte sekundární IP adresu interního Edge veřejné služby Zscaler. Poznámka:- IP/masku směrovače a IP/masku ZEN poskytuje Zscaler.
- Pro každý podnik je podporován pouze jeden cloud a doména Zscaler.
- Pro Edge je povoleno pouze jedno CSS s GRE. Edge nemůže mít více než jeden segment s aktivovanou automatizací GRE Zscaler.
- Omezení škálování:
- GRE-WAN: zařízení Edge podporuje maximálně 4 veřejné linky WAN pro cíl jiný než SD-WAN (NSD) a na každé lince může mít maximálně 2 tunely (primární/sekundární) pro každý NSD. Pro každý NSD tedy můžete mít maximálně 8 tunelů a 8 připojení protokolu BGP z jednoho zařízení Edge.
- GRE-LAN: zařízení Edge podporuje 1 linku na tranzitní bránu (TGW) a může mít maximálně 2 tunely (primární/sekundární) pro každou TGW. Pro každou TGW můžete mít maximálně 2 tunely a 4 připojení protokolu BGP z jednoho zařízení Edge (relace 2 BGP na každý tunel).
Konfigurace poskytovatele automatizovaného Zscaler CSS pro Edge
Automatizace tunelu IPsec/GRE
- Ve službě SD-WAN podnikového portálu klikněte na možnost .
- Vyberte zařízení Edge, pro které chcete vytvořit automatické tunely.
- Klikněte na odkaz k zařízení Edge nebo klikněte na odkaz Zobrazit (View) ve sloupci Zařízení (Device) zařízení Edge. Možnosti konfigurace pro vybrané zařízení Edge jsou zobrazeny na kartě Zařízení (Device).
- V kategorii Služby VPN (VPN Services) v oblasti Služba pro zabezpečení cloudu (Cloud Security Service) se zobrazí parametry CSS přidruženého profilu.
- V oblasti Služba pro zabezpečení cloudu (Cloud Security Service) zaškrtněte pole Přepsat (Override) a vyberte jiné CSS nebo upravte atributy zděděné z profilu přidruženého k zařízení Edge. Další informace o atributech naleznete v tématu Konfigurace služeb pro zabezpečení cloudu pro profily.
- Z rozevírací nabídky Služba pro zabezpečení cloudu (Cloud Security Service) vyberte automatizovaného poskytovatele CSS a klikněte na Uložit změny (Save Changes).
Automatizace vytvoří tunel v segmentu pro každou veřejnou linku WAN Edge s platnou adresou IPv4. Při nasazení více linek sítě WAN bude pro odesílání uživatelských datových paketů využita pouze jedna z linek WAN. Zařízení Edge vybere jako kritérium linku WAN s nejlepším skóre kvality služby (QoS) za použití šířky pásma, kolísání, ztráty a latence. Po navázání tunelového propojení se automaticky vytvoří umístění. Podrobnosti o vytváření tunelů a linkách WAN lze zobrazit v části Služba pro zabezpečení cloudu (Cloud Security Service).
Poznámka: Po automatickém vytvoření tunelu není u segmentu povolena změna na jiného poskytovatele CSS z automatizovaného poskytovatele služby Zscaler. Pro vybraný Edge v segmentu musíte explicitně deaktivovat službu pro zabezpečení cloudu a poté znovu aktivovat CSS, pokud chcete přejít na nového poskytovatele CSS od poskytovatele služeb Automated Zscaler.
Konfigurace umístění Zscaler / dílčího umístění
- jste zkontrolovali, že je z vybraného Edge vytvořeno tunelové propojení a že je umístění vytvořeno automaticky. Dílčí umístění nebudete moci vytvořit, pokud nejsou pro Edge nastaveny přihlašovací údaje VPN či možnosti GRE. Než začnete s konfigurací dílčích umístění, ujistěte se, že jste obeznámeni s dílčími umístěními a jejich omezeními. Viz téma https://help.zscaler.com/zia/about-sub-locations.
- jste vybrali stejný odběr cloudu, který jste použili k vytvoření automatického CSS.
- Ve službě SD-WAN podnikového portálu klikněte na možnost .
- Vyberte Edge a klikněte na ikonu ve sloupci Zařízení (Device). Otevře se stránka Nastavení zařízení (Device Settings) pro vybrané Edge.
- Přejděte do části Zscaler a zapněte přepínací tlačítko.
- Z rozbalovací nabídky Odběr cloudu (Cloud Subscription) vyberte stejný odběr cloudu, který jste použili k vytvoření automatické CSS. Automaticky se zobrazí název cloudu přidružený k vybranému odběru cloudu.
Poznámka: Odběr cloudu musí mít stejný název cloudu a název domény jako CSS.Poznámka: Pokud chcete změnit poskytovatele pro „odběr cloudu“ (Cloud Subscription), musíte nejprve odstranit „Umístění“ (Location) deaktivací CSS a Zscaler a poté provést kroky vytvoření s novým poskytovatelem.
V tabulce Umístění (Location) se po kliknutí na možnost Zobrazení (View) ve sloupci Podrobnosti akce (Action Details) zobrazí skutečné hodnoty konfigurace načtené z nástroje Zscaler, pokud jsou přítomny. Pokud chcete nakonfigurovat možnosti brány a řízení šířky pásma pro umístění, v části Možnosti brány (Gateway Options) klikněte na tlačítko Upravit (Edit). Další informace najdete v tématu Konfigurace možností brány Zscaler a parametry řízení šířky pásma.
- Chcete-li vytvořit dílčí umístění, klikněte v tabulce Dílčí umístění (Sub-Locations) na ikonu pod sloupcem Akce (Action).
- V textovém poli Název dílčího umístění (Sub-Location Name) zadejte jedinečný název dílčího umístění. Název dílčího umístění by měl být unikátní napříč všemi segmenty pro Edge. Název může obsahovat alfanumerické znaky s maximální délkou slova 32 znaků.
- Z rozevírací nabídky Sítě LAN (LAN Networks) vyberte VLAN nakonfigurovanou pro Edge. Podsíť pro vybranou síť LAN bude vyplněna automaticky.
Poznámka: U vybraného zařízení Edge by dílčí umístění neměla mít překrývající se IP podsítě.
- Klikněte na tlačítko Uložit změny (Save Changes).
Poznámka: Když vytvoříte alespoň jedno dílčí umístění v nástroji Orchestrator, vytvoří se na straně Zscaler automaticky dílčí umístění typu „Jiné (Other)“ a zobrazí se v uživatelském rozhraní nástroje Orchestrator. Možnosti „Jiného“ (Other) dílčího umístění brány lze také nakonfigurovat kliknutím na tlačítko Upravit (Edit) v části Možnosti brány (Gateway Options) v tabulce Dílčí umístění (Sub-Locations). Další informace najdete v tématu Konfigurace možností brány Zscaler a parametry řízení šířky pásma.
- Po vytvoření dílčího umístění můžete aktualizovat konfigurace dílčího umístění ze stejné stránky Orchestrator. Jakmile kliknete na možnost Uložit změny (Save Changes), konfigurace dílčího umístění na straně Zscaler se zaktualizují automaticky.
- Chcete-li odstranit dílčí umístění, klikněte na ikonu pod sloupcem Akce (Action).
Poznámka: Když je z tabulky odstraněno poslední dílčí umístění, rovněž se automaticky odstraní „jiné (other)“ dílčí umístění.
Konfigurace možností brány Zscaler a parametry řízení šířky pásma
Chcete-li nakonfigurovat možnosti brány a řízení šířky pásma pro dané umístění a dílčí umístění, klikněte v příslušné tabulce na tlačítko Upravit (Edit) v části Možnosti brány (Gateway Options).
Podle potřeby nakonfigurujte možnosti brány a kontroly šířky pásma pro umístění a dílčí umístění a klikněte na Uložit změny (Save Changes).
Možnost | Popis |
---|---|
Možnosti brány pro umístění / dílčí umístění | |
Použít XFF z požadavku klienta (Use XFF from Client Request) | Aktivujte tuto možnost, pokud umístění používá k přesměrování provozu do služby Zscaler řetězení proxy a vy chcete, aby služba zjišťovala IP adresu klienta ze záhlaví X-Forwarded-For (XFF), které místní server proxy vkládá do odchozích požadavků HTTP. Záhlaví XFF identifikuje IP adresu klienta, kterou může služba využít k identifikaci dílčího umístění klienta. Při použití záhlaví XFF může služba aplikovat na transakci vhodnou zásadu dílčího umístění, a pokud je pro umístění nebo dílčí umístění zapnutá možnost Aktivovat náhradní IP adresu (Enable IP Surrogate), aplikuje se na transakci příslušná zásada uživatele. Když služba přesměruje provoz do cíle, odebere původní záhlaví XFF a nahradí ho záhlavím XFF, které obsahuje IP adresu klientské brány (veřejnou IP adresu organizace), což zajišťuje, že interní IP adresy organizace nejsou nikdy externě vidět.
Poznámka: Tuto možnost brány lze nakonfigurovat pouze pro nadřízené umístění.
|
Aktivovat upozornění (Enable Caution) | Jestliže jste neaktivovali Autentizaci (Authentication), můžete tuto funkci aktivovat, aby se upozornění zobrazovala i neautorizovaným uživatelům. |
Aktivovat AUP (Enable AUP) | Jestliže jste neaktivovali Autentizaci (Authentication), můžete tuto funkci aktivovat, aby se zobrazovala zásada AUP (Acceptable Use Policy) pro neautorizovaný provoz a aby ji uživatelé museli odsouhlasit. Jestliže tuto funkci aktivujete:
|
Vynutit kontrolu firewallu (Enforce Firewall Control) | Volbou této možnosti se aktivuje řízení brány firewall pro danou službu.
Poznámka: Před aktivací této možnosti musí uživatel zjistit, zda má jeho účet Zscaler předplatné „Základní brána firewall“.
|
Aktivovat řízení IPS (Enable IPS Control) | Pokud jste povolili funkci Vynutit kontrolu firewallu (Enforce Firewall Control), aktivujte touto volbou řízení IPS dané služby.
Poznámka: Před aktivací této možnosti musí uživatel zjistit, zda má jeho účet Zscaler předplatné „Základní brána firewall“ (Firewall Basic) a „Cloudové IPS Firewallu“ (Firewall Cloud IPS).
|
Autentizace (Authentication) | Aktivujte možnost, aby byla od uživatelů z umístění nebo dílčího umístění vyžadována autentizace ke službě. |
Náhradní IP adresa (IP Surrogate) | Pokud jste povolili Autentizaci (Authentication), zvolte tuto možnost, chcete-li mapovat uživatele na IP adresy zařízení. |
Doba nečinnosti pro zrušení přidružení (Idle Time for Dissociation) | Pokud jste povolili náhradní IP adresu (IP Surrogate), specifikujte, jak dlouho po dokončené transakci má služba zachovávat mapování IP adresy na uživatele. Můžete specifikovat dobu nečinnosti pro zrušení přidružení v minutách (výchozí nastavení), nebo v hodinách, nebo ve dnech.
|
Náhradní IP adresa pro známé prohlížeče (Surrogate IP for Known Browsers) | Povolte použití existujícího mapování IP adresy na uživatele (získané z náhradní IP) k autentizaci uživatelů, kteří posílají provoz ze známých prohlížečů. |
Čas obnovení pro opětovné ověření použití náhradní adresy (Refresh Time for re-validation of Surrogacy) | Pokud jste povolili Náhradní IP adresu pro známé prohlížeče (Surrogate IP for Known Browsers), zadejte dobu, po kterou může služba Zscaler použít mapování IP adresy na uživatele k autentizaci uživatelů, kteří posílají provoz ze známých prohlížečů. Po uplynutí definované doby se služba obnoví a znovu ověří existující mapování IP adres na uživatele, aby mohla pokračovat v používání mapování k autentizaci uživatelů v prohlížečích. Můžete specifikovat čas obnovení pro opětovné ověření použití náhradní adresy v minutách (výchozí nastavení), nebo v hodinách, nebo ve dnech.
|
Možnosti kontroly šířky pásma pro umístění | |
Kontrola šířky pásma (Bandwidth Control) | Aktivujte vynucení kontroly šířky pásma pro dané umístění. Pokud je tato možnost povolena, určete maximální limit šířky pásma pro stahování (Mb/s) a nahrávání (Mb/s). Všechna dílčí umístění budou sdílet limity šířky pásma přiřazené tomuto umístění. |
Stáhnout (Download) | Pokud jste aktivovali kontrolu šířky pásma, určete maximální limit šířky pásma pro stahování v Mb/s. Povolený rozsah je od 0,1 do 99999. |
Nahrát (Upload) | Pokud jste aktivovali kontrolu šířky pásma, určete maximální limit šířky pásma pro nahrání v Mb/s. Povolený rozsah je od 0,1 do 99999. |
Možnosti kontroly šířky pásma pro dílčí umístění (je-li v nadřízeném umístění aktivována kontrola šířky pásma)
Poznámka: Následující možnosti kontroly šířky pásma lze nakonfigurovat pro dílčí umístění pouze v případě, že jste aktivovali kontrolu šířky pásma v nadřízeném umístění. Jestliže není v nadřízeném umístění aktivována kontrola šířky pásma, možnosti kontroly šířky pásma pro dílčí umístění jsou stejné jako pro umístění (kontrola šířky pásma, stahování, nahrávání).
|
|
Použít šířku pásma umístění | Jestliže jste v nadřízeném umístění aktivovali kontrolu šířky pásma, vyberte tuto možnost, chcete-li aktivovat kontrolu šířky pásma v dílčím umístění a použít maximální limity šířky pásma pro stahování a nahrávání stanovené pro nadřízené umístění. |
Přepsat | Zvolte tuto možnost, chcete-li aktivovat kontrolu šířky pásma v dílčím umístění, a poté stanovte maximální limit šířky pásma pro stahování (Mb/s) a nahrávání (Mb/s). Toto pásmo je vyhrazeno pro dílčí umístění a není sdíleno s ostatními. |
Deaktivováno (Disabled) | Výběrem této možnosti lze vyjmout provoz z jakýchkoli zásad pro správu šířky pásma. Dílčí umístění s touto možností může v jakémkoli okamžiku využívat pouze maximální dostupnou sdílenou šířku pásma. |
Omezení
- Když dojde ve verzi 4.5.0 k vytvoření dílčího umístění, Orchestrator automaticky uloží „jiné (other)“ dílčí umístění. V předchozích verzích nástroje Orchestrator se „jiné“ dílčí umístění Zscaler do nástroje Orchestrator neukládalo. Po upgradu nástroje Orchestrator na verzi 4.5.0 se „jiné (other)“ dílčí umístění automaticky naimportuje až po vytvoření nového normálního (ne jiného) dílčího umístění prostřednictvím automatizace.
- Dílčí umístění Zscaler nemohou mít překrývající se IP adresy (IP rozsahy podsítě). Pokus o úpravu (přidání, aktualizaci nebo vymazání) více dílčích umístění s kolidujícími IP adresami může způsobit selhání automatizace.
- Uživatelé nemohou aktualizovat šířku pásma umístění a dílčího umístění současně.
- Dílčí umístění podporují možnost Použít šířku pásma umístění (Use Location Bandwidth), určenou ke kontrole šířky pásma, když je aktivováno řízení šířky pásma nadřízeného umístění. Jestliže uživatel vypne řízení šířky pásma umístění v nadřízeném umístění, nástroj Orchestrator proaktivně nekontroluje ani neaktualizuje možnost řízení šířky pásma dílčího umístění.