In diesem Thema werden die Zscaler-Konfiguration und die Schritte zum Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ Zscaler im SD-WAN Orchestrator erläutert.

Konfigurieren von Zscaler

Führen Sie die folgenden Schritte auf der Zscaler-Website aus:
  1. Erstellen Sie auf der Website von Zscaler ein Zscaler-Websicherheitskonto.

    complementary-config-zscaler-cloud-portal

  2. Richten Sie Ihre VPN-Anmeldedaten ein:
    1. Bewegen Sie oben im Zscaler-Bildschirm den Mauszeiger über die Option Verwaltung (Administration), um das Dropdown-Menü anzuzeigen. (Siehe Abbildung unten).
    2. Klicken Sie unter Ressourcen (Resources) auf VPN-Anmeldedaten (VPN Credentials).

      complementary-configuration-zscaler-administration-drop-down

    3. Klicken Sie in der oberen linken Ecke auf VPN-Anmeldedaten hinzufügen (Add VPN Credentials).

      complementary-config-zscaler-add-location

    4. Gehen Sie im Dialogfeld VPN-Anmeldedaten hinzufügen (Add VPN Credential) wie folgt vor:
      1. Wählen Sie FQDN als Authentifizierungstyp aus.
      2. Geben Sie die Benutzer-ID und den vorinstallierten Schlüssel (Pre-Shared Key, PSK) ein. Sie können diese Informationen aus Ihrem Nicht-SD-WAN-Ziel-Dialogfeld in SD-WAN Orchestrator abrufen.
      3. Geben Sie bei Bedarf Kommentare im Abschnitt Kommentare (Comments) ein.

        complementary-config-add-vpn-credentials

      4. Klicken Sie auf Speichern (Save).
  3. Weisen Sie einen Speicherort zu:
    1.  Bewegen Sie oben im Zscaler-Bildschirm den Mauszeiger über die Option Verwaltung (Administration), um das Dropdown-Menü anzuzeigen.
    2.  Klicken Sie unter Ressourcen (Resources) auf Standorte (Locations).
    3.  Klicken Sie in der oberen linken Ecke auf Standort hinzufügen (Add Location).
    4. Führen Sie im Dialogfeld Standort hinzufügen (Add Location) die folgenden Schritte aus:
      1. Füllen Sie die Textfelder (Name, Land, Bundesland/Kanton, Zeitzone) im Bereich für den Standort aus.
      2. Wählen Sie im Dropdown-Menü Öffentliche IP-Adressen (Public IP Addresses) die Option Keine (None) aus.
      3. Wählen Sie im Dropdown-Menü VPN-Anmeldedaten (VPN Credentials) die soeben erstellten Anmeldedaten aus.
        complementary-config-zscaler-location2
      4. Klicken Sie auf Fertig (Done).
      5. Klicken Sie auf Speichern (Save).

Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „Zscaler“

Nachdem Sie eine Nicht-SD-WAN-Ziel-Konfiguration vom Typ Zscaler erstellt haben, werden Sie zu einer Seite mit zusätzlichen Konfigurationsoptionen weitergeleitet:
Sie können die folgenden Tunneleinstellungen konfigurieren und dann auf Änderungen speichern (Save Changes) klicken:
Option Beschreibung
Allgemein
Name Sie können den zuvor eingegebenen Namen für Nicht-SD-WAN-Ziel bearbeiten.
Typ (Type) Zeigt den Typ als Zscaler an. Sie können diese Option nicht bearbeiten.
Tunnel aktivieren Klicken Sie auf die Umschaltfläche, um den Tunnel vom SD-WAN-Gateway zu dem Zscaler-VPN-Gateway zu initiieren.
Tunnelmodus (Tunnel Mode) Zeigt Aktiv/Hot-Standby (Active/Hot-Standby) an, dass der Standby-Tunnel (Hot-Standby) übernimmt und zum aktiven Tunnel wird, wenn der aktive Tunnel ausfällt.
Primäres VPN-Gateway (Primary VPN Gateway)
Öffentliche IP (Public IP) Zeigt die IP-Adresse des primären VPN-Gateways an.
PSK Der vorinstallierte Schlüssel (PSK) ist der Sicherheitsschlüssel für die Authentifizierung über den Tunnel. Der SD-WAN Orchestrator generiert standardmäßig einen PSK. Wenn Sie Ihren eigenen PSK oder Ihr eigenes Kennwort verwenden möchten, geben Sie es in das Textfeld ein.
Redundantes VMware Cloud-VPN Aktivieren Sie das Kontrollkästchen, um redundante Tunnel für jedes VPN-Gateway hinzuzufügen. Änderungen, die an Verschlüsselung (Encryption), DH-Gruppe (DH Group) oder PFS von „Primäres VPN-Gateway (PFS of Primary VPN Gateway)“ vorgenommen wurden, werden, falls konfiguriert, auch auf die redundanten VPN-Tunnel angewendet.
Sekundäres VPN-Gateway (Secondary VPN Gateway) Klicken Sie auf die Schaltfläche Hinzufügen (Add) und geben Sie dann die IP-Adresse des sekundären VPN-Gateways ein. Klicken Sie auf Änderungen speichern (Save Changes).

Das sekundäre VPN-Gateway wird sofort für diese Site erstellt und stellt einen VMware-VPN-Tunnel für dieses Gateway bereit.
Lokale Authentifizierungs-ID Mit der lokalen Authentifizierungs-ID werden das Format und die Identifizierung des lokalen Gateways festgelegt. Wählen Sie im Dropdown-Menü eine der folgenden Typen aus und geben Sie einen Wert ein:
  • FQDN: Der vollqualifizierte Domänenname oder der Hostname. Beispiel: vmware.com
  • Benutzer-FQDN (User FQDN): Der vollqualifizierte Domänenname in Form einer E-Mail-Adresse. Beispiel: [email protected]
  • IPv4: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
  • IPv6: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
Hinweis: Für eine Nicht-SD-WAN-Ziel vom Typ „Zscaler“ wird empfohlen, den FQDN oder den Benutzer-FQDN (User FQDN) als lokale Authentifizierungs-ID zu verwenden.
Beispiel IKE/IPsec Klicken Sie hier, um die Informationen anzuzeigen, die zum Konfigurieren des Nicht-SD-WAN-Ziel-Gateways erforderlich sind. Der Gateway-Administrator sollte diese Informationen verwenden, um den/die VPN-Tunnel des Gateways zu konfigurieren.
Standort Klicken Sie auf Bearbeiten (Edit), um den Speicherort für die konfigurierte Nicht-SD-WAN-Ziel festzulegen. Die Angaben zum Längen- und Breitengrad werden verwendet, um den besten Edge oder das beste Gateway zu bestimmen, mit dem eine Verbindung im Netzwerk hergestellt werden kann.
Zscaler-Einstellungen
Zscaler-Anmelde-URL (Zscaler Login URL) Um sich von hier aus am Zscaler-Portal anzumelden, geben Sie die Anmelde-URL in das Textfeld ein und klicken Sie dann auf die Schaltfläche Bei Zscaler anmelden (Login to Zscaler). Dadurch werden Sie zum Zscaler-Admin-Portal der ausgewählten Zscaler-Cloud umgeleitet. Die Schaltfläche Bei Zscaler anmelden (Login to Zscaler) wird nur aktiviert, wenn Sie die Zscaler-Anmelde-URL eingegeben haben. Weitere Informationen finden Sie unter Konfigurieren von API-Anmeldedaten.
L7-Integritätsprüfung (L7 Health Check) Aktivieren Sie das Kontrollkästchen, um die L7-Integritätsprüfung für den Anbieter des Zscaler-Cloud-Security-Service mit Standardprüfpunktdetails zu aktivieren (HTTP-Prüfintervall = 5 Sekunden, Anzahl der Wiederholungen = 3, RTT-Schwellenwert = 3.000 Millisekunden). Die L7-Integritätsprüfung ist standardmäßig deaktiviert.
Hinweis: Die Konfiguration der Details für die Integritätsprüfung wird nicht unterstützt.

Ein Zscaler-Tunnel wird mit dem IPsec-Verschlüsselungsalgorithmus NULL und dem Authentifizierungsalgorithmus SHA-256 unabhängig davon eingerichtet, ob die Exportbeschränkung für Kunden aktiviert oder deaktiviert ist.