Po přiřazení profilu k Edge zdědí Edge automaticky službu pro zabezpečení cloudu (CSS) a atributy nakonfigurované v profilu. Můžete přepsat nastavení a vybrat jiného poskytovatele zabezpečení cloudu nebo upravit atributy pro každý Edge.

Chcete-li přepsat konfiguraci CSS pro konkrétní Edge, proveďte následující kroky:

  1. Ve službě SD-WAN podnikového portálu klikněte na možnost Konfigurovat (Configure) > Zařízení Edge (Edges). Na stránce Zařízení Edge (Edges) se zobrazí existující profily.
  2. Klikněte na odkaz k zařízení Edge nebo klikněte na odkaz Zobrazit (View) ve sloupci Zařízení (Device) zařízení Edge. Možnosti konfigurace pro vybrané zařízení Edge jsou zobrazeny na kartě Zařízení (Device).
  3. V kategorii Služby VPN (VPN Services) v oblasti Služba pro zabezpečení cloudu (Cloud Security Service) se zobrazí parametry CSS přidruženého profilu.
  4. V oblasti Služba pro zabezpečení cloudu (Cloud Security Service) zaškrtněte pole Přepsat (Override) a vyberte jiné CSS nebo upravte atributy zděděné z profilu přidruženého k zařízení Edge. Další informace o atributech naleznete v tématu Konfigurace služeb pro zabezpečení cloudu pro profily.
  5. Kliknutím na tlačítko Uložit změny (Save Changes) v okně Edge (Edges) uložíte upravená nastavení.
    Poznámka: Pro CSS typu Zscaler a Generic musíte vytvořit přihlašovací údaje VPN. U typu Symantec CSS se přihlašovací údaje VPN nevyžadují.

Ruční konfigurace poskytovatele Zscaler CSS pro Edge

Pro vybraného ručního poskytovatele CSS Zscaler můžete na úrovni Edge přepsat nastavení zděděná z profilu a nakonfigurovat ručně další parametry na základě protokolu navázání tunelového spojení, vybraného pro vytvoření tunelu.

Pokud se rozhodnete konfigurovat tunel IPsec ručně, mimo zděděné atributy, musíte pro relaci IPsec nakonfigurovat plně kvalifikovaný název domény (FQDN) a předem sdílený klíč (PSK).
Poznámka: Jako předpoklad je třeba mít ve službách pro zabezpečení cloudu nakonfigurované IP adresy koncových bodů brány služby a přihlašovací údaje FQDN pro zabezpečení cloudu.
Configure IPsec settings
Poznámka: U služeb pro zabezpečení cloudu s nakonfigurovanou přihlašovací adresou URL Zscaler se v oblasti Služba pro zabezpečení cloudu (Cloud Security Service) zobrazí tlačítko Přihlášení do Zscaler (Login to Zscaler). Kliknutím na tlačítko Přihlášení do Zscaler (Login do Zscaler) budete přesměrováni na portál správce Zscaler ve vybraném cloudu Zscaler.

Pokud se rozhodnete konfigurovat tunel GRE ručně, je třeba níže uvedeným postupem ručně nakonfigurovat parametry tunelu GRE pro vybrané rozhraní WAN, které tunel GRE použije jako zdroj.

  1. V části Tunely GRE (GRE Tunnels) klikněte na možnost +Přidat (+Add).
  2. V okně Konfigurovat tunel (Configure Tunnel), které se objeví, nakonfigurujte následující parametry tunelu GRE a klikněte na Aktualizovat (Update).
    Možnost Popis
    Linky WAN (WAN Links) Vyberte rozhraní WAN, které má být použito jako zdroj v tunelu GRE.
    Veřejná IP adresa zdroje tunelu (Tunnel Source Public IP) Vyberte IP adresu, kterou má tunel použít jako veřejnou IP adresu. Můžete vybrat IP adresu linky WAN nebo IP adresu vlastní sítě WAN IP. Pokud zvolíte IP vlastní sítě WAN, zadejte IP adresu, která bude použita jako veřejná IP. Zdrojové veřejné IP adresy se musí pro každý segment lišit, pokud je služba pro zabezpečení cloudu (CSS) nakonfigurována ve více segmentech.
    Primární PoP (Primary Point-of-Presence) Zadejte primární veřejnou IP adresu datového centra Zscaler.
    Sekundární PoP (Secondary Point-of-Presence) Zadejte sekundární veřejnou IP adresu datového centra Zscaler.
    Primární IP adresa / maska směrovače (Primary Router IP/Mask) Zadejte primární IP adresu směrovače.
    Sekundární IP adresa / maska směrovače (Secondary Router IP/Mask) Zadejte sekundární IP adresu směrovače.
    Primární hlavní IP adresa / maska vnitřní sítě ZEN (Primary Internal ZEN IP/Mask) Zadejte primární IP adresu interního Edge veřejné služby Zscaler.
    Sekundární hlavní IP adresa / maska vnitřní sítě ZEN (Secondary Internal ZEN IP/Mask) Zadejte sekundární IP adresu interního Edge veřejné služby Zscaler.
    Poznámka:
    • IP/masku směrovače a IP/masku ZEN poskytuje Zscaler.
    • Pro každý podnik je podporován pouze jeden cloud a doména Zscaler.
    • Pro Edge je povoleno pouze jedno CSS s GRE. Edge nemůže mít více než jeden segment s aktivovanou automatizací GRE Zscaler.
    • Omezení škálování:
      • GRE-WAN: zařízení Edge podporuje maximálně 4 veřejné linky WAN pro cíl jiný než SD-WAN (NSD) a na každé lince může mít maximálně 2 tunely (primární/sekundární) pro každý NSD. Pro každý NSD tedy můžete mít maximálně 8 tunelů a 8 připojení protokolu BGP z jednoho zařízení Edge.
      • GRE-LAN: zařízení Edge podporuje 1 linku na tranzitní bránu (TGW) a může mít maximálně 2 tunely (primární/sekundární) pro každou TGW. Pro každou TGW můžete mít maximálně 2 tunely a 4 připojení protokolu BGP z jednoho zařízení Edge (relace 2 BGP na každý tunel).

Konfigurace poskytovatele automatizovaného Zscaler CSS pro Edge

Na úrovni Edge integrace VMware SD-WAN a Zscaler podporuje: Pro vybraného automatizovaného poskytovatele Zscaler CSS na úrovni Edge je možné přepsat nastavení CSS zděděná z profilu, vytvořit automatické tunely IPsec/GRE pro každý segment Edge, vytvořit dílčí umístění a konfigurovat možnosti brány a řízení šířky pásma pro umístění a dílčí umístění.

Automatizace tunelu IPsec/GRE

Automatizaci tunelu IPsec/GRE lze nakonfigurovat pro každý segment Edge. Při vytváření automatických tunelů z Edge postupujte následovně.
  1. Ve službě SD-WAN podnikového portálu klikněte na možnost Konfigurovat (Configure) > Zařízení Edge (Edges).
  2. Vyberte zařízení Edge, pro které chcete vytvořit automatické tunely.
  3. Klikněte na odkaz k zařízení Edge nebo klikněte na odkaz Zobrazit (View) ve sloupci Zařízení (Device) zařízení Edge. Možnosti konfigurace pro vybrané zařízení Edge jsou zobrazeny na kartě Zařízení (Device).
  4. V kategorii Služby VPN (VPN Services) v oblasti Služba pro zabezpečení cloudu (Cloud Security Service) se zobrazí parametry CSS přidruženého profilu.
  5. V oblasti Služba pro zabezpečení cloudu (Cloud Security Service) zaškrtněte pole Přepsat (Override) a vyberte jiné CSS nebo upravte atributy zděděné z profilu přidruženého k zařízení Edge. Další informace o atributech naleznete v tématu Konfigurace služeb pro zabezpečení cloudu pro profily.
  6. Z rozevírací nabídky Služba pro zabezpečení cloudu (Cloud Security Service) vyberte automatizovaného poskytovatele CSS a klikněte na Uložit změny (Save Changes).

    Automatizace vytvoří tunel v segmentu pro každou veřejnou linku WAN Edge s platnou adresou IPv4. Při nasazení více linek sítě WAN bude pro odesílání uživatelských datových paketů využita pouze jedna z linek WAN. Zařízení Edge vybere jako kritérium linku WAN s nejlepším skóre kvality služby (QoS) za použití šířky pásma, kolísání, ztráty a latence. Po navázání tunelového propojení se automaticky vytvoří umístění. Podrobnosti o vytváření tunelů a linkách WAN lze zobrazit v části Služba pro zabezpečení cloudu (Cloud Security Service).

    Poznámka: Po automatickém vytvoření tunelu není u segmentu povolena změna na jiného poskytovatele CSS z automatizovaného poskytovatele služby Zscaler. Pro vybraný Edge v segmentu musíte explicitně deaktivovat službu pro zabezpečení cloudu a poté znovu aktivovat CSS, pokud chcete přejít na nového poskytovatele CSS od poskytovatele služeb Automated Zscaler.

Konfigurace umístění Zscaler / dílčího umístění

Jakmile vytvoříte automatické tunelové propojení IPsec/GRE pro segment Edge, vytvoří se umístění automaticky a zobrazí se v části Zscaler na stránce Zařízení Edge (Edge Device).
Poznámka: Před verzí 4.5.0 se konfigurace dílčího umístění nachází v části Služba pro zabezpečení cloudu (Cloud Security Service) pro každý segment. Aplikace Orchestrator umožňuje v současnosti nakonfigurovat konfigurace Zscaler pro umístění a dílčí umístění pro celé zařízení Edge v části Zscaler na stránce Nastavení zařízení (Device Settings). Pro existujícího uživatele automatizace dílčího umístění CSS proběhne migrace dat v rámci upgradu systému Orchestrator.
Pokud chcete v části Zscaler aktualizovat umístění nebo vytvořit dílčí umístění vybraného Edge, ujistěte se, že:
  • jste zkontrolovali, že je z vybraného Edge vytvořeno tunelové propojení a že je umístění vytvořeno automaticky. Dílčí umístění nebudete moci vytvořit, pokud nejsou pro Edge nastaveny přihlašovací údaje VPN či možnosti GRE. Než začnete s konfigurací dílčích umístění, ujistěte se, že jste obeznámeni s dílčími umístěními a jejich omezeními. Viz téma https://help.zscaler.com/zia/about-sub-locations.
  • jste vybrali stejný odběr cloudu, který jste použili k vytvoření automatického CSS.
Chcete-li aktualizovat umístění nebo vytvořit dílčí umístění pro vybraný Edge, proveďte následující kroky:
  1. Ve službě SD-WAN podnikového portálu klikněte na možnost Konfigurovat (Configure) > Zařízení Edge (Edges).
  2. Vyberte Edge a klikněte na ikonu ve sloupci Zařízení (Device). Otevře se stránka Nastavení zařízení (Device Settings) pro vybrané Edge.
  3. Přejděte do části Zscaler a zapněte přepínací tlačítko.
  4. Z rozbalovací nabídky Odběr cloudu (Cloud Subscription) vyberte stejný odběr cloudu, který jste použili k vytvoření automatické CSS. Automaticky se zobrazí název cloudu přidružený k vybranému odběru cloudu.
    Poznámka: Odběr cloudu musí mít stejný název cloudu a název domény jako CSS.
    Poznámka: Pokud chcete změnit poskytovatele pro „odběr cloudu“ (Cloud Subscription), musíte nejprve odstranit „Umístění“ (Location) deaktivací CSS a Zscaler a poté provést kroky vytvoření s novým poskytovatelem.

    V tabulce Umístění (Location) se po kliknutí na možnost Zobrazení (View) ve sloupci Podrobnosti akce (Action Details) zobrazí skutečné hodnoty konfigurace načtené z nástroje Zscaler, pokud jsou přítomny. Pokud chcete nakonfigurovat možnosti brány a řízení šířky pásma pro umístění, v části Možnosti brány (Gateway Options) klikněte na tlačítko Upravit (Edit). Další informace najdete v tématu Konfigurace možností brány Zscaler a parametry řízení šířky pásma.

  5. Chcete-li vytvořit dílčí umístění, klikněte v tabulce Dílčí umístění (Sub-Locations) na ikonu pod sloupcem Akce (Action).
    1. V textovém poli Název dílčího umístění (Sub-Location Name) zadejte jedinečný název dílčího umístění. Název dílčího umístění by měl být unikátní napříč všemi segmenty pro Edge. Název může obsahovat alfanumerické znaky s maximální délkou slova 32 znaků.
    2. Z rozevírací nabídky Sítě LAN (LAN Networks) vyberte VLAN nakonfigurovanou pro Edge. Podsíť pro vybranou síť LAN bude vyplněna automaticky.
      Poznámka: U vybraného zařízení Edge by dílčí umístění neměla mít překrývající se IP podsítě.
    3. Klikněte na tlačítko Uložit změny (Save Changes).
      Poznámka: Když vytvoříte alespoň jedno dílčí umístění v nástroji Orchestrator, vytvoří se na straně Zscaler automaticky dílčí umístění typu „Jiné (Other)“ a zobrazí se v uživatelském rozhraní nástroje Orchestrator. Možnosti „Jiného“ (Other) dílčího umístění brány lze také nakonfigurovat kliknutím na tlačítko Upravit (Edit) v části Možnosti brány (Gateway Options) v tabulce Dílčí umístění (Sub-Locations). Další informace najdete v tématu Konfigurace možností brány Zscaler a parametry řízení šířky pásma.
    4. Po vytvoření dílčího umístění můžete aktualizovat konfigurace dílčího umístění ze stejné stránky Orchestrator. Jakmile kliknete na možnost Uložit změny (Save Changes), konfigurace dílčího umístění na straně Zscaler se zaktualizují automaticky.
    5. Chcete-li odstranit dílčí umístění, klikněte na ikonu pod sloupcem Akce (Action).
      Poznámka: Když je z tabulky odstraněno poslední dílčí umístění, rovněž se automaticky odstraní „jiné (other)“ dílčí umístění.

Konfigurace možností brány Zscaler a parametry řízení šířky pásma

Chcete-li nakonfigurovat možnosti brány a řízení šířky pásma pro dané umístění a dílčí umístění, klikněte v příslušné tabulce na tlačítko Upravit (Edit) v části Možnosti brány (Gateway Options).

Zobrazí se okno Možnosti brány Zscaler a kontrola šířky pásma (Zscaler Gateway Options and Bandwidth Control).

Podle potřeby nakonfigurujte možnosti brány a kontroly šířky pásma pro umístění a dílčí umístění a klikněte na Uložit změny (Save Changes).

Poznámka: Možnosti brány Zscaler a parametry řízení šířky pásma, které lze nakonfigurovat pro umístění a dílčí umístění, se lehce liší. Možnosti brány a parametry řízení šířky pásma pro umístění a dílčí umístění jsou však stejné jako ty, které lze nakonfigurovat v portálu Zscaler. Více informací o možnostech brány Zscaler a parametrech kontroly šířky pásma naleznete v tématu https://help.zscaler.com/zia/configuring-locations
Možnost Popis
Možnosti brány pro umístění / dílčí umístění
Použít XFF z požadavku klienta (Use XFF from Client Request) Aktivujte tuto možnost, pokud umístění používá k přesměrování provozu do služby Zscaler řetězení proxy a vy chcete, aby služba zjišťovala IP adresu klienta ze záhlaví X-Forwarded-For (XFF), které místní server proxy vkládá do odchozích požadavků HTTP. Záhlaví XFF identifikuje IP adresu klienta, kterou může služba využít k identifikaci dílčího umístění klienta. Při použití záhlaví XFF může služba aplikovat na transakci vhodnou zásadu dílčího umístění, a pokud je pro umístění nebo dílčí umístění zapnutá možnost Aktivovat náhradní IP adresu (Enable IP Surrogate), aplikuje se na transakci příslušná zásada uživatele. Když služba přesměruje provoz do cíle, odebere původní záhlaví XFF a nahradí ho záhlavím XFF, které obsahuje IP adresu klientské brány (veřejnou IP adresu organizace), což zajišťuje, že interní IP adresy organizace nejsou nikdy externě vidět.
Poznámka: Tuto možnost brány lze nakonfigurovat pouze pro nadřízené umístění.
Aktivovat upozornění (Enable Caution) Jestliže jste neaktivovali Autentizaci (Authentication), můžete tuto funkci aktivovat, aby se upozornění zobrazovala i neautorizovaným uživatelům.
Aktivovat AUP (Enable AUP) Jestliže jste neaktivovali Autentizaci (Authentication), můžete tuto funkci aktivovat, aby se zobrazovala zásada AUP (Acceptable Use Policy) pro neautorizovaný provoz a aby ji uživatelé museli odsouhlasit. Jestliže tuto funkci aktivujete:
  • V části Frekvence vlastních AUP (ve dnech) (Custom AUP Frequency (Days)) zadejte (ve dnech), jak často se má AUP uživatelům zobrazovat.
  • Zobrazí se sekce Chování při prvním AUP (First Time AUP Behavior) s následujícími nastavením:
    • Blokovat přístup k internetu (Block Internet Access) – Povolením této funkce deaktivujete veškerý přístup k internetu, včetně provozu bez HTTP, dokud uživatel nepřijme AUP, který se mu zobrazí.
    • Vynutit kontrolu SSL (Force SSL Inspection) – při aktivaci této funkce dojde k vynucení zásady AUP pomocí kontroly SSL pro provoz HTTPS.
Vynutit kontrolu firewallu (Enforce Firewall Control) Volbou této možnosti se aktivuje řízení brány firewall pro danou službu.
Poznámka: Před aktivací této možnosti musí uživatel zjistit, zda má jeho účet Zscaler předplatné „Základní brána firewall“.
Aktivovat řízení IPS (Enable IPS Control) Pokud jste povolili funkci Vynutit kontrolu firewallu (Enforce Firewall Control), aktivujte touto volbou řízení IPS dané služby.
Poznámka: Před aktivací této možnosti musí uživatel zjistit, zda má jeho účet Zscaler předplatné „Základní brána firewall“ (Firewall Basic) a „Cloudové IPS Firewallu“ (Firewall Cloud IPS).
Autentizace (Authentication) Aktivujte možnost, aby byla od uživatelů z umístění nebo dílčího umístění vyžadována autentizace ke službě.
Náhradní IP adresa (IP Surrogate) Pokud jste povolili Autentizaci (Authentication), zvolte tuto možnost, chcete-li mapovat uživatele na IP adresy zařízení.
Doba nečinnosti pro zrušení přidružení (Idle Time for Dissociation) Pokud jste povolili náhradní IP adresu (IP Surrogate), specifikujte, jak dlouho po dokončené transakci má služba zachovávat mapování IP adresy na uživatele. Můžete specifikovat dobu nečinnosti pro zrušení přidružení v minutách (výchozí nastavení), nebo v hodinách, nebo ve dnech.
  • Pokud uživatel vybere jako jednotku minuty, povolený rozsah je od 1 do 43 200.
  • Pokud uživatel vybere jako jednotku hodiny, povolený rozsah je od 1 do 720.
  • Pokud uživatel vybere jako jednotku dny, povolený rozsah je od 1 do 30.
Náhradní IP adresa pro známé prohlížeče (Surrogate IP for Known Browsers) Povolte použití existujícího mapování IP adresy na uživatele (získané z náhradní IP) k autentizaci uživatelů, kteří posílají provoz ze známých prohlížečů.
Čas obnovení pro opětovné ověření použití náhradní adresy (Refresh Time for re-validation of Surrogacy) Pokud jste povolili Náhradní IP adresu pro známé prohlížeče (Surrogate IP for Known Browsers), zadejte dobu, po kterou může služba Zscaler použít mapování IP adresy na uživatele k autentizaci uživatelů, kteří posílají provoz ze známých prohlížečů. Po uplynutí definované doby se služba obnoví a znovu ověří existující mapování IP adres na uživatele, aby mohla pokračovat v používání mapování k autentizaci uživatelů v prohlížečích. Můžete specifikovat čas obnovení pro opětovné ověření použití náhradní adresy v minutách (výchozí nastavení), nebo v hodinách, nebo ve dnech.
  • Pokud uživatel vybere jako jednotku minuty, povolený rozsah je od 1 do 43 200.
  • Pokud uživatel vybere jako jednotku hodiny, povolený rozsah je od 1 do 720.
  • Pokud uživatel vybere jako jednotku dny, povolený rozsah je od 1 do 30.
Možnosti kontroly šířky pásma pro umístění
Kontrola šířky pásma (Bandwidth Control) Aktivujte vynucení kontroly šířky pásma pro dané umístění. Pokud je tato možnost povolena, určete maximální limit šířky pásma pro stahování (Mb/s) a nahrávání (Mb/s). Všechna dílčí umístění budou sdílet limity šířky pásma přiřazené tomuto umístění.
Stáhnout (Download) Pokud jste aktivovali kontrolu šířky pásma, určete maximální limit šířky pásma pro stahování v Mb/s. Povolený rozsah je od 0,1 do 99999.
Nahrát (Upload) Pokud jste aktivovali kontrolu šířky pásma, určete maximální limit šířky pásma pro nahrání v Mb/s. Povolený rozsah je od 0,1 do 99999.
Možnosti kontroly šířky pásma pro dílčí umístění (je-li v nadřízeném umístění aktivována kontrola šířky pásma)
Poznámka: Následující možnosti kontroly šířky pásma lze nakonfigurovat pro dílčí umístění pouze v případě, že jste aktivovali kontrolu šířky pásma v nadřízeném umístění. Jestliže není v nadřízeném umístění aktivována kontrola šířky pásma, možnosti kontroly šířky pásma pro dílčí umístění jsou stejné jako pro umístění (kontrola šířky pásma, stahování, nahrávání).
Použít šířku pásma umístění Jestliže jste v nadřízeném umístění aktivovali kontrolu šířky pásma, vyberte tuto možnost, chcete-li aktivovat kontrolu šířky pásma v dílčím umístění a použít maximální limity šířky pásma pro stahování a nahrávání stanovené pro nadřízené umístění.
Přepsat Zvolte tuto možnost, chcete-li aktivovat kontrolu šířky pásma v dílčím umístění, a poté stanovte maximální limit šířky pásma pro stahování (Mb/s) a nahrávání (Mb/s). Toto pásmo je vyhrazeno pro dílčí umístění a není sdíleno s ostatními.
Deaktivováno (Disabled) Výběrem této možnosti lze vyjmout provoz z jakýchkoli zásad pro správu šířky pásma. Dílčí umístění s touto možností může v jakémkoli okamžiku využívat pouze maximální dostupnou sdílenou šířku pásma.

Omezení

  • Když dojde ve verzi 4.5.0 k vytvoření dílčího umístění, Orchestrator automaticky uloží „jiné (other)“ dílčí umístění. V předchozích verzích nástroje Orchestrator se „jiné“ dílčí umístění Zscaler do nástroje Orchestrator neukládalo. Po upgradu nástroje Orchestrator na verzi 4.5.0 se „jiné (other)“ dílčí umístění automaticky naimportuje až po vytvoření nového normálního (ne jiného) dílčího umístění prostřednictvím automatizace.
  • Dílčí umístění Zscaler nemohou mít překrývající se IP adresy (IP rozsahy podsítě). Pokus o úpravu (přidání, aktualizaci nebo vymazání) více dílčích umístění s kolidujícími IP adresami může způsobit selhání automatizace.
  • Uživatelé nemohou aktualizovat šířku pásma umístění a dílčího umístění současně.
  • Dílčí umístění podporují možnost Použít šířku pásma umístění (Use Location Bandwidth), určenou ke kontrole šířky pásma, když je aktivováno řízení šířky pásma nadřízeného umístění. Jestliže uživatel vypne řízení šířky pásma umístění v nadřízeném umístění, nástroj Orchestrator proaktivně nekontroluje ani neaktualizuje možnost řízení šířky pásma dílčího umístění.

Související odkazy