Wenn Sie einem Edge ein Profil zugewiesen haben, übernimmt der Edge automatisch den Cloud-Sicherheitsdienst (CSS) und die im Profil konfigurierten Attribute. Sie können die Einstellungen überschreiben, um einen anderen Cloud-Sicherheitsanbieter auszuwählen oder die Attribute für jeden Edge zu ändern.

Führen Sie die folgenden Schritte aus, um die CSS-Konfiguration für einen bestimmten Edge außer Kraft zu setzen:

  1. Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Edges.
  2. Wählen Sie einen Edge aus, für den Sie die CSS-Einstellungen außer Kraft setzen möchten, und klicken Sie auf das Symbol in der Spalte Gerät (Device). Die Seite Geräteeinstellungen (Device Settings) wird für den ausgewählten Edge angezeigt.
  3. Im Bereich Cloud-Sicherheitsdienst (Cloud Security Service) werden die CSS-Parameter des zugehörigen Profils angezeigt. Klicken Sie auf Edge-Außerkraftsetzung aktivieren (Enable Edge Override), um einen anderen CSS auszuwählen oder die Attribute zu ändern, die von dem mit dem Edge verknüpften Profil übernommen wurden. Weitere Informationen zu den Attributen finden Sie unter Konfigurieren von Cloud-Sicherheitsdiensten für Profile.
  4. Klicken Sie im Fenster Edges auf Änderungen speichern (Save Changes), um die geänderten Einstellungen zu speichern.
    Hinweis: Für CSS vom Typ Zscaler und Generic müssen Sie VPN-Anmeldeinformationen erstellen. Für den CSS-Typ Symantec werden die VPN-Anmeldeinformationen nicht benötigt.

Manuelle Konfiguration des Zscaler-CSS-Anbieters für Edges

Auf der Edge-Ebene können Sie für einen ausgewählten manuellen Zscaler-CSS-Anbieter die aus einem Profil übernommenen Einstellungen außer Kraft setzen und zusätzliche Parameter basierend auf dem für die Tunneleinrichtung ausgewählten Tunnelprotokoll manuell konfigurieren.

Wenn Sie einen IPsec-Tunnel manuell konfigurieren, müssen Sie neben den übernommenen Attributen auch einen vollständig qualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) und einen vorinstallierten Schlüssel (Pre-Shared Key, PSK) für die IPsec-Sitzung konfigurieren.
Hinweis: Als Voraussetzung sollten die Endpoint-IPs und FQDN-Anmeldedaten des Cloud-Sicherheitsdienst-Gateways im Cloud-Sicherheitsdienst des Drittanbieters konfiguriert sein.
Konfigurieren von IPsec-Einstellungen
Hinweis: Für Cloud-Sicherheitsdienste mit konfigurierter Zscaler-Anmelde-URL wird die Schaltfläche Bei Zscaler anmelden (Login to Zscaler) im Bereich Cloud-Sicherheitsdienst (Cloud Security Service) angezeigt. Wenn Sie auf Bei Zscaler anmelden (Login to Zscaler) klicken, werden Sie zum Zscaler-Admin-Portal der ausgewählten Zscaler-Cloud umgeleitet.

Wenn Sie einen GRE-Tunnel manuell konfigurieren, müssen Sie die GRE-Tunnel-Parameter für die ausgewählte WAN-Schnittstelle, die vom GRE-Tunnel als Quelle verwendet werden soll, manuell konfigurieren, indem Sie die folgenden Schritte ausführen.

  1. Klicken Sie auf Tunnel hinzufügen (Add Tunnel).
  2. Konfigurieren Sie im Fenster Tunnel hinzufügen (Add Tunnel) die folgenden GRE-Tunnel-Parameter und klicken Sie auf OK.
    Option Beschreibung
    WAN-Links (WAN Links) Wählen Sie die WAN-Schnittstelle aus, die vom GRE-Tunnel als Quelle verwendet werden soll.
    Öffentliche IP-Adresse der Tunnelquelle (Tunnel Source Public IP) Wählen Sie die IP-Adresse aus, die vom Tunnel als öffentliche IP-Adresse verwendet werden soll. Sie können entweder „WAN-Link-IP (WAN Link IP)“ oder „Benutzerdefinierte WAN-IP (Custom WAN IP)“ auswählen. Wenn Sie „Benutzerdefinierte WAN-IP (Custom WAN IP)“ auswählen, geben Sie die IP-Adresse ein, die als öffentliche IP verwendet werden soll.
    Primärer Point-of-Presence (Primary Point-of-Presence) Geben Sie die primäre öffentliche IP-Adresse des Zscaler-Datencenters ein.
    Sekundärer Point-of-Presence (Secondary Point-of-Presence) Geben Sie die sekundäre öffentliche IP-Adresse des Zscaler-Datencenters ein.
    Primäre Router-IP/-Maske (Primary Router IP/Mask) Geben Sie die primäre IP-Adresse des Routers ein.
    Sekundäre Router-IP/-Maske (Secondary Router IP/Mask) Geben Sie die sekundäre IP-Adresse des Routers ein.
    Primäre ZEN-IP/-Maske (Primary ZEN IP/Mask) Geben Sie die primäre IP-Adresse des internen Edge für den öffentlichen Zscaler-Dienst ein.
    Sekundäre ZEN-IP/-Maske (Secondary ZEN IP/Mask) Geben Sie die sekundäre IP-Adresse des internen Edge für den öffentlichen Zscaler-Dienst ein.
    Hinweis: Die Router-IP/-Maske und die ZEN-IP/-Maske werden von Zscaler bereitgestellt.
    Hinweis: Pro Edge ist nur ein CSS mit GRE zulässig. Ein Edge kann nicht mehr als ein Segment mit aktivierter Zscaler-GRE-Automatisierung aufweisen.

Automatisierte Konfiguration des Zscaler-CSS-Anbieters für Edges

Auf der Edge-Ebene unterstützt die Integration von VMware SD-WAN und Zscaler: Für einen ausgewählten automatisierten Zscaler-CSS-Anbieter auf Edge-Ebene können Sie die aus einem Profil übernommenen CSS-Einstellungen außer Kraft setzen, automatische IPsec/GRE-Tunnel für jedes Edge-Segment einrichten, Unterspeicherorte erstellen und Gateway-Optionen und Bandbreitensteuerung für Speicherorte und Unterspeicherorte konfigurieren.

IPsec / GRE-Tunnel-Automatisierung

IPsec / GRE-Tunnel-Automatisierung kann für jedes Edge-Segment konfiguriert werden. Führen Sie die folgenden Schritte aus, um automatische Tunnel von einem Edge aus einzurichten.
  1. Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Edges.
  2. Wählen Sie einen Edge aus, für den Sie automatische Tunnel einrichten möchten.
  3. Klicken Sie auf das Symbol unter der Spalte Gerät (Device). Die Seite Geräteeinstellungen (Device Settings) wird für den ausgewählten Edge angezeigt.
  4. Wählen Sie im Abschnitt Cloud-Sicherheitsdienst (Cloud Security Service) die Option Edge-Außerkraftsetzung aktivieren (Enable Edge Override) aus.
  5. Wählen Sie im Dropdown-Menü Cloud-Sicherheitsdienst (Cloud Security Service) einen automatisierten CSS-Anbieter aus und klicken Sie auf Änderungen speichern (Save Changes).

    Die Automatisierung erstellt einen Tunnel im Segment für den öffentlichen WAN-Link jedes Edge mit einer gültigen IPv4-Adresse. Der Speicherort wird automatisch erstellt, nachdem der Tunnel eingerichtet wurde. Sie können die Details der Tunneleinrichtung und der WAN-Links im Abschnitt Cloud-Sicherheitsdienst (Cloud Security Service) anzeigen, wie im folgenden Screenshot dargestellt.

    Hinweis: Nach der automatischen Tunneleinrichtung ist der Wechsel zu einem anderen CSS-Anbieter von einem automatisierten Zscaler-Dienstanbieter in einem Segment nicht zulässig. Für den ausgewählten Edge in einem Segment müssen Sie den Cloud-Sicherheitsdienst (CSS) explizit deaktivieren und ihn dann erneut aktivieren, wenn Sie von einem automatisierten Zscaler-Dienstanbieter zu einem neuen CSS-Anbieter wechseln möchten.

Konfiguration des Zscaler-Speicherorts/-Unterspeicherorts

Führen Sie die folgenden Schritte aus, um Unterspeicherorte für den ausgewählten Edge zu erstellen.
Hinweis: Stellen Sie vor dem Erstellen eines Unterspeicherorts sicher, dass der Tunnel vom ausgewählten Edge aus eingerichtet und der Unterspeicherort automatisch erstellt wird. Sie können keinen Unterspeicherort erstellen, wenn die VPN-Anmeldeinformationen oder GRE-Optionen nicht für den Edge eingerichtet sind. Informieren Sie sich vor dem Konfigurieren von Unterspeicherorten erst genau über Unterspeicherorte und ihre Beschränkungen. Weitere Informationen finden Sie unter https://help.zscaler.com/zia/about-sub-locations.
Hinweis: Vor Version 4.5.0 befindet sich die Konfiguration des Unterspeicherorts im Abschnitt Cloud-Sicherheitsdienst (Cloud Security Service) für jedes Segment. Derzeit können Sie mit dem Orchestrator die Zscaler-Konfigurationen für den Speicherort und den Unterspeicherort für den gesamten Edge über den Abschnitt Zscaler der Seite Geräteeinstellungen (Device Settings)konfigurieren. Für bestehende Benutzer von CSS Unterspeicherort-Automatisierung werden die Daten im Rahmen des Orchestrator-Upgrades migriert.
  1. Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Edges.
  2. Wählen Sie einen Edge aus, für den Sie einen Unterspeicherort erstellen möchten.
  3. Klicken Sie auf das Symbol unter der Spalte Gerät (Device). Die Seite Geräteeinstellungen (Device Settings) wird für den ausgewählten Edge angezeigt.
  4. Wechseln Sie zum Abschnitt Zscaler und aktivieren Sie die Umschaltfläche.
  5. Klicken Sie auf das Symbol „Erweitern“ (Expand) und die folgende Seite wird angezeigt.

    Durch Klicken auf Ansicht (View) in der Spalte Aktionsdetails (Action Details) werden die tatsächlichen Werte für die von Zscaler abgerufene Konfiguration angezeigt (sofern vorhanden).

  6. Um einen Unterspeicherort zu erstellen, klicken Sie in der Tabelle Unterspeicherorte (Sub-Locations) auf das Symbol unter der Spalte Aktion (Action).
    1. Geben Sie im Textfeld Name des Unterspeicherorts (Sub-Location Name) einen eindeutigen Namen für den Edge ein. Der Name des Unterspeicherorts sollte in allen Segmenten für den Edge eindeutig sein. Der Name kann alphanumerische Zeichen mit einer maximalen Wortlänge von 32 Zeichen enthalten.
    2. Wählen Sie im Dropdown-Menü LAN-Netzwerke ein für den Edge konfiguriertes VLAN aus. Das Subnetz für das ausgewählte LAN-Netzwerk wird automatisch aufgefüllt.
      Hinweis: Für einen ausgewählte Edge sollten Unterspeicherorte keine sich überlappenden Subnetz-IPs aufweisen.
    3. Klicken Sie auf Änderungen speichern (Save Changes).
      Hinweis: Nachdem Sie mindestens einen Unterspeicherort im Orchestrator erstellt haben, wird auf der Zscaler-Seite automatisch ein „weiterer“ Unterspeicherort erstellt, der in der Orchestrator-Benutzeroberfläche angezeigt wird. Sie können auch die Gateway-Optionen für „weitere“ Unterspeicherorte konfigurieren, indem Sie in der Tabelle der Unterspeicherorte (Sub-Locations) auf die Schaltfläche Bearbeiten (Edit) unter Gateway-Optionen (Gateway Options) klicken.
    4. Um die Gateway-Optionen und die Bandbreitensteuerung für den Speicherort und den Unterspeicherort zu konfigurieren, klicken Sie auf die Schaltfläche Bearbeiten (Edit) unter Gateway-Optionen (Gateway Options) in der entsprechenden Tabelle.
      Das Fenster Optionen und Bandbreitensteuerung für Zscaler-Gateway (Zscaler Gateway Options and Bandwidth Control) wird eingeblendet.

      Konfigurieren Sie die Gateway-Optionen und Bandbreitensteuerungen für den Speicherort und den Unterspeicherort nach Bedarf und klicken Sie auf Änderungen speichern (Save Changes).

      Hinweis: Die Parameter der Optionen und Bandbreitensteuerung für Zscaler-Gateway, die für die Speicherorte und Unterspeicherorte konfiguriert werden können, unterscheiden sich jedoch geringfügig; die Parameter für die Gateway-Optionen und die Bandbreitensteuerung für die Speicherorte und Unterspeicherorte sind dieselben, die auf dem Zscaler-Portal konfiguriert werden können. Weitere Informationen zu Optionen und Bandbreitensteuerung für Zscaler-Gateway finden Sie unter https://help.zscaler.com/zia/configuring-locations.
      Option Beschreibung
      Gateway-Optionen für Speicherort/Unterspeicherort
      XFF aus Clientanforderung verwenden Aktivieren Sie diese Option, wenn der Standort die Proxy-Verkettung verwendet, um den Datenverkehr an den Zscaler-Dienst weiterzuleiten, und Sie möchten, dass der Dienst die Client-IP-Adresse anhand der X-Forwarded-For (XFF)-Header ermittelt, die Ihr lokaler Proxyserver in ausgehende HTTP-Anforderungen einfügt. Der XFF-Header identifiziert die IP-Adresse des Clients, die vom Dienst genutzt werden kann, um den Unterspeicherort des Clients zu identifizieren. Mithilfe der XFF-Header kann der Dienst die entsprechende Richtlinie für den Unterspeicherort auf die Transaktion anwenden. Wenn IP-Surrogat aktivieren (Enable IP Surrogate) für den Speicherort oder Unterspeicherort aktiviert ist, wird die entsprechende Benutzerrichtlinie auf die Transaktion angewendet. Wenn der Dienst den Datenverkehr an sein Ziel weiterleitet, entfernt er den ursprünglichen XFF-Header und ersetzt ihn durch einen XFF-Header, der die IP-Adresse des Client-Gateways (die öffentliche IP-Adresse des Unternehmens) enthält, um sicherzustellen, dass die internen IP-Adressen eines Unternehmens niemals extern zugänglich gemacht werden.
      Hinweis: Diese Gateway-Option kann nur für den übergeordneten Speicherort konfiguriert werden.
      Vorsicht aktivieren Wenn Sie die Authentifizierung (Authentication) nicht aktiviert haben, können Sie diese Funktion aktivieren, um nicht authentifizierten Benutzern eine Warnmeldung anzuzeigen.
      AUP aktivieren Wenn Sie die Authentifizierung nicht aktiviert haben, können Sie diese Funktion aktivieren, um eine Richtlinie zur akzeptablen Nutzung (Acceptable Use Policy, AUP) für nicht authentifizierten Datenverkehr anzuzeigen und die Benutzer aufzufordern, diese zu akzeptieren. Wenn Sie diese Funktion aktivieren:
      • Unter Benutzerdefinierte AUP-Frequenz (Tage) (Custom AUP Frequency (Days)) geben Sie in Tagen an, wie oft die AUP den Benutzern angezeigt wird.
      • Der Abschnitt AUP-Anfangsverhalten (First Time AUP Behavior) wird mit den folgenden Einstellungen angezeigt:
        • Internetzugriff blockieren (Block Internet Access) – Aktivieren Sie diese Funktion, um den gesamten Zugriff auf das Internet, einschließlich Nicht-HTTP-Datenverkehr, zu deaktivieren, bis der Benutzer die angezeigte AUP akzeptiert.
        • SSL-Überprüfung erzwingen (Force SSL Inspection) – Aktivieren Sie diese Funktion, damit die SSL-Überprüfung eine AUP für HTTPS-Datenverkehr durchsetzt.
      Firewallsteuerung erzwingen Wählen Sie diese Option aus, um die Firewallsteuerung des Diensts zu aktivieren.
      Hinweis: Vor der Aktivierung dieser Option muss der Benutzer sicherstellen, dass sein Zscaler-Konto über ein Abonnement für „Firewall Basic“ verfügt.
      IPS-Steuerung aktivieren Wenn Sie Firewallsteuerung erzwingen (Enforce Firewall Control) aktiviert haben, wählen Sie diese Option aus, um die IPS-Steuerelemente des Diensts zu aktivieren.
      Hinweis: Vor der Aktivierung dieser Option muss der Benutzer sicherstellen, dass sein Zscaler-Konto über ein Abonnement für „Firewall Basic“ und „Firewall Cloud IPS“ verfügt.
      Authentifizierung (Authentication) Aktivieren Sie diese Option, um Benutzer aus dem Speicherort bzw. Unterspeicherort zur Authentifizierung beim Dienst aufzufordern.
      IP-Surrogat (IP Surrogate) Wenn Sie die Authentifizierung (Authentication) aktiviert haben, wählen Sie diese Option aus, wenn Sie Benutzer den Geräte-IP-Adressen zuordnen möchten.
      Leerlaufzeit für Zuordnungsaufhebung (Idle Time for Dissociation) Wenn Sie IP-Surrogat (IP Surrogate) aktiviert haben, geben Sie an, wie lange der Dienst nach einer abgeschlossenen Transaktion die Zuordnung der IP-Adresse zum Benutzer beibehalten soll. Sie können die Leerlaufzeit für Zuordnungsaufhebung in Minuten (Standard), Stunden oder Tagen angeben.
      • Wenn der Benutzer als Einheit Minuten auswählt, liegt der zulässige Bereich zwischen 1 und 43200.
      • Wenn der Benutzer als Einheit Stunden auswählt, liegt der zulässige Bereich zwischen 1 und 720.
      • Wenn der Benutzer als Einheit Tage auswählt, liegt der zulässige Bereich zwischen 1 und 30.
      Surrogat-IP für bekannte Browser (Surrogate IP for Known Browsers) Aktivieren Sie diese Option, um die vorhandene Zuordnung von IP-Adressen zu Benutzern (die von der Surrogat-IP erfasst wurde) zu verwenden, um Benutzer zu authentifizieren, die Datenverkehr von bekannten Browsern senden.
      Aktualisierungszeit für die erneute Validierung von Surrogacy (Refresh Time for re-validation of Surrogacy) Wenn Sie Surrogat-IP für bekannte Browser (Surrogate IP for Known Browsers) aktiviert haben, geben Sie an, wie lange der Zscaler-Dienst die Zuordnung der IP-Adressen zu Benutzern für die Authentifizierung von Benutzern verwenden kann, die Datenverkehr von bekannten Browsern senden. Nach Ablauf des definierten Zeitraums aktualisiert und der Dienst die vorhandene Zuordnung der IP-Adressen zu Benutzern und validiert sie erneut, sodass die Zuordnung weiterhin zur Authentifizierung von Benutzern in Browsern verwendet werden kann. Sie die Aktualisierungszeit für die erneute Validierung von Surrogacy in Minuten (Standard), Stunden oder Tagen angeben.
      • Wenn der Benutzer als Einheit Minuten auswählt, liegt der zulässige Bereich zwischen 1 und 43200.
      • Wenn der Benutzer als Einheit Stunden auswählt, liegt der zulässige Bereich zwischen 1 und 720.
      • Wenn der Benutzer als Einheit Tage auswählt, liegt der zulässige Bereich zwischen 1 und 30.
      Optionen zur Bandbreitensteuerung für den Speicherort
      Bandbreitensteuerung (Bandwidth Control) Aktivieren Sie diese Einstellung, um Bandbreitensteuerungen für den Speicherort zu erzwingen. Wenn diese Option aktiviert ist, geben Sie die maximalen Bandbreitengrenzwerte für Download (MBit/s) und Upload (MBit/s) an. Alle Unterspeicherorte teilen sich die diesem Speicherort zugewiesenen Bandbreitengrenzwerte.
      Herunterladen (Download) Wenn Sie die Bandbreitensteuerung aktiviert haben, geben Sie die Grenzwerte für die maximale Bandbreite für den Download in MBit/s an. Der zulässige Bereich liegt zwischen 0,1 und 99999.
      Hochladen (Upload) Wenn Sie die Bandbreitensteuerung aktiviert haben, geben Sie die Grenzwerte für die maximale Bandbreite für den Upload in MBit/s an. Der zulässige Bereich liegt zwischen 0,1 und 99999.
      Optionen zur Bandbreitensteuerung für den Unterspeicherort (wenn die Bandbreitensteuerung am übergeordneten Speicherort aktiviert ist)
      Hinweis: Die folgenden Bandbreitensteuerungsoptionen sind nur für den Unterspeicherort konfigurierbar, wenn Sie die Bandbreitensteuerung am übergeordneten Speicherort aktiviert haben. Wenn die Bandbreitensteuerung am übergeordneten Speicherort nicht aktiviert ist, sind die Optionen zur Bandbreitensteuerung für den Unterspeicherort dieselben wie für den Speicherort (Bandbreitensteuerung, Download, Upload).
      Standortbandbreite verwenden Wenn Sie die Bandbreitensteuerung für den übergeordneten Speicherort aktiviert haben, wählen Sie diese Option, um die Bandbreitensteuerung für den untergeordneten Speicherort zu aktivieren und die für den übergeordneten Speicherort festgelegten maximalen Download- und Upload-Bandbreiten zu verwenden.
      Überschreiben Wählen Sie diese Option, um die Bandbreitensteuerung für den Unterspeicherort zu aktivieren, und geben Sie dann die maximalen Bandbreitengrenzwerte für den Download (Mbit/s) und Upload (Mbit/s) an. Diese Bandbreite ist für den Unterspeicherort reserviert und wird nicht gemeinsam genutzt.
      Deaktiviert (Disabled) Wählen Sie diese Option aus, um den Datenverkehr von allen Bandbreitenverwaltungsrichtlinien auszuschließen. Unterspeicherorte mit dieser Option können nur bis zu einem Maximum der verfügbaren gemeinsamen Bandbreite zu einem bestimmten Zeitpunkt nutzen.
    5. Nachdem Sie einen Unterspeicherort erstellt haben, können Sie die Konfiguration des Unterspeicherorts auf derselben Orchestrator-Seite aktualisieren. Sobald Sie auf Änderungen speichern (Save Changes) klicken, werden die Konfigurationen des Unterspeicherorts auf der Zscaler-Seite automatisch aktualisiert.
    6. Klicken Sie unter der Spalte Aktion (Action) auf das Symbol , um einen Unterspeicherort zu löschen.
      Hinweis: Wenn der letzte Unterspeicherort aus der Tabelle gelöscht wird, wird auch der „weitere“ Unterspeicherort automatisch gelöscht.

Einschränkungen

  • Wenn in Version 4.5.0 ein Unterspeicherort erstellt wird, speichert Orchestrator automatisch den „weiteren“ Unterspeicherort. In früheren Versionen von Orchestrator wurde der „weiterer“ Unterspeicherort von Zscaler nicht in Orchestrator gespeichert. Nach dem Upgrade von Orchestrator auf Version 4.5.0 wird der „weitere“ Unterspeicherort erst dann automatisch importiert, wenn mithilfe der Automatisierung ein neuer normaler (nicht-weiterer) Unterspeicherort erstellt wurde.
  • Zscaler-Unterspeicherorte dürfen keine überlappenden IP-Adressen (Subnetz-IP-Bereiche) aufweisen. Der Versuch, mehrere Unterspeicherorte mit in Konflikt stehenden IP-Adressen zu bearbeiten (hinzuzufügen, zu aktualisieren oder zu löschen), kann zu einem Fehlschlag der Automatisierung führen.
  • Benutzer können die Bandbreite von Speicherort und Unterspeicherort nicht gleichzeitig aktualisieren.
  • Unterspeicherorte unterstützen die Option Standortbandbreite verwenden (Use Location Bandwidth) zur Bandbreitensteuerung, wenn die Bandbreitensteuerung für den übergeordneten Speicherort aktiviert ist. Wenn der Benutzer die Bandbreitensteuerung für einen übergeordneten Speicherort deaktiviert, prüft oder aktualisiert der Orchestrator die Option für die Bandbreitensteuerung für untergeordnete Speicherorte nicht proaktiv.

Weiterführende Links