In diesem Thema werden die Zscaler-Konfiguration und die Schritte zum Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ Zscaler im SD-WAN Orchestrator erläutert.
Konfigurieren von Zscaler
Führen Sie die folgenden Schritte auf der Zscaler-Website aus:
- Erstellen Sie auf der Website von Zscaler ein Zscaler-Websicherheitskonto.
- Richten Sie Ihre VPN-Anmeldedaten ein:
- Bewegen Sie oben im Zscaler-Bildschirm den Mauszeiger über die Option Verwaltung (Administration), um das Dropdown-Menü anzuzeigen. (Siehe Abbildung unten).
- Klicken Sie unter Ressourcen (Resources) auf VPN-Anmeldedaten (VPN Credentials).
- Klicken Sie in der oberen linken Ecke auf VPN-Anmeldedaten hinzufügen (Add VPN Credentials).
- Gehen Sie im Dialogfeld VPN-Anmeldedaten hinzufügen (Add VPN Credential) wie folgt vor:
- Wählen Sie FQDN als Authentifizierungstyp aus.
- Geben Sie die Benutzer-ID und den vorinstallierten Schlüssel (Pre-Shared Key, PSK) ein. Sie können diese Informationen aus Ihrem Nicht-SD-WAN-Ziel-Dialogfeld in SD-WAN Orchestrator abrufen.
- Geben Sie bei Bedarf Kommentare im Abschnitt Kommentare (Comments) ein.
- Klicken Sie auf Speichern (Save).
- Weisen Sie einen Speicherort zu:
- Bewegen Sie oben im Zscaler-Bildschirm den Mauszeiger über die Option Verwaltung (Administration), um das Dropdown-Menü anzuzeigen.
- Klicken Sie unter Ressourcen (Resources) auf Standorte (Locations).
- Klicken Sie in der oberen linken Ecke auf Standort hinzufügen (Add Location).
- Führen Sie im Dialogfeld Standort hinzufügen (Add Location) die folgenden Schritte aus:
- Füllen Sie die Textfelder (Name, Land, Bundesland/Kanton, Zeitzone) im Bereich für den Standort aus.
- Wählen Sie im Dropdown-Menü Öffentliche IP-Adressen (Public IP Addresses) die Option Keine (None) aus.
- Wählen Sie im Dropdown-Menü VPN-Anmeldedaten (VPN Credentials) die soeben erstellten Anmeldedaten aus.
- Klicken Sie auf Fertig (Done).
- Klicken Sie auf Speichern (Save).
Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „Zscaler“
Nachdem Sie eine
Nicht-SD-WAN-Ziel-Konfiguration vom Typ
Zscaler erstellt haben, werden Sie zu einer Seite mit zusätzlichen Konfigurationsoptionen weitergeleitet:
Sie können die folgenden Tunneleinstellungen konfigurieren und dann auf
Änderungen speichern (Save Changes) klicken:
Option | Beschreibung |
---|---|
Allgemein | |
Name | Sie können den zuvor eingegebenen Namen für Nicht-SD-WAN-Ziel bearbeiten. |
Typ (Type) | Zeigt den Typ als Zscaler an. Sie können diese Option nicht bearbeiten. |
Tunnel aktivieren | Klicken Sie auf die Umschaltfläche, um den Tunnel vom SD-WAN-Gateway zu dem Zscaler-VPN-Gateway zu initiieren. |
Tunnelmodus (Tunnel Mode) | Zeigt Aktiv/Hot-Standby (Active/Hot-Standby) an, dass der Standby-Tunnel (Hot-Standby) übernimmt und zum aktiven Tunnel wird, wenn der aktive Tunnel ausfällt. |
Primäres VPN-Gateway (Primary VPN Gateway) | |
Öffentliche IP (Public IP) | Zeigt die IP-Adresse des primären VPN-Gateways an. |
PSK | Der vorinstallierte Schlüssel (PSK) ist der Sicherheitsschlüssel für die Authentifizierung über den Tunnel. Der SD-WAN Orchestrator generiert standardmäßig einen PSK. Wenn Sie Ihren eigenen PSK oder Ihr eigenes Kennwort verwenden möchten, geben Sie es in das Textfeld ein. |
Redundantes VMware Cloud-VPN | Aktivieren Sie das Kontrollkästchen, um redundante Tunnel für jedes VPN-Gateway hinzuzufügen. Änderungen, die an Verschlüsselung (Encryption), DH-Gruppe (DH Group) oder PFS von „Primäres VPN-Gateway (PFS of Primary VPN Gateway)“ vorgenommen wurden, werden, falls konfiguriert, auch auf die redundanten VPN-Tunnel angewendet. |
Sekundäres VPN-Gateway (Secondary VPN Gateway) | Klicken Sie auf die Schaltfläche Hinzufügen (Add) und geben Sie dann die IP-Adresse des sekundären VPN-Gateways ein. Klicken Sie auf Änderungen speichern (Save Changes). Das sekundäre VPN-Gateway wird sofort für diese Site erstellt und stellt einen VMware-VPN-Tunnel für dieses Gateway bereit. |
Lokale Authentifizierungs-ID | Mit der lokalen Authentifizierungs-ID werden das Format und die Identifizierung des lokalen Gateways festgelegt. Wählen Sie im Dropdown-Menü eine der folgenden Typen aus und geben Sie einen Wert ein:
Hinweis: Für eine
Nicht-SD-WAN-Ziel vom Typ „Zscaler“ wird empfohlen, den
FQDN oder den
Benutzer-FQDN (User FQDN) als lokale Authentifizierungs-ID zu verwenden.
|
Beispiel IKE/IPsec | Klicken Sie hier, um die Informationen anzuzeigen, die zum Konfigurieren des Nicht-SD-WAN-Ziel-Gateways erforderlich sind. Der Gateway-Administrator sollte diese Informationen verwenden, um den/die VPN-Tunnel des Gateways zu konfigurieren. |
Standort | Klicken Sie auf Bearbeiten (Edit), um den Speicherort für die konfigurierte Nicht-SD-WAN-Ziel festzulegen. Die Angaben zum Längen- und Breitengrad werden verwendet, um den besten Edge oder das beste Gateway zu bestimmen, mit dem eine Verbindung im Netzwerk hergestellt werden kann. |
Zscaler-Einstellungen | |
Zscaler-Anmelde-URL (Zscaler Login URL) | Um sich von hier aus am Zscaler-Portal anzumelden, geben Sie die Anmelde-URL in das Textfeld ein und klicken Sie dann auf die Schaltfläche Bei Zscaler anmelden (Login to Zscaler). Dadurch werden Sie zum Zscaler-Admin-Portal der ausgewählten Zscaler-Cloud umgeleitet. Die Schaltfläche Bei Zscaler anmelden (Login to Zscaler) wird nur aktiviert, wenn Sie die Zscaler-Anmelde-URL eingegeben haben. Weitere Informationen finden Sie unter Konfigurieren von API-Anmeldedaten. |
L7-Integritätsprüfung (L7 Health Check) | Aktivieren Sie das Kontrollkästchen, um die L7-Integritätsprüfung für den Anbieter des Zscaler-Cloud-Security-Service mit Standardprüfpunktdetails zu aktivieren (HTTP-Prüfintervall = 5 Sekunden, Anzahl der Wiederholungen = 3, RTT-Schwellenwert = 3.000 Millisekunden). Die L7-Integritätsprüfung ist standardmäßig deaktiviert.
Hinweis: Die Konfiguration der Details für die Integritätsprüfung wird nicht unterstützt.
|
Ein Zscaler-Tunnel wird mit dem IPsec-Verschlüsselungsalgorithmus NULL und dem Authentifizierungsalgorithmus SHA-256 unabhängig davon eingerichtet, ob die Exportbeschränkung für Kunden aktiviert oder deaktiviert ist.