Aktivieren Sie den Cloud-Security-Service (CSS), um einen sicheren Tunnel von einem Edge zu CSS-Sites einzurichten. Dadurch kann der gesicherte Datenverkehr an die Cloud-Sicherheits-Sites von Drittanbietern umgeleitet werden. Auf der Profilebene unterstützt die VMware SD-WAN- und Zscaler-Integration die Automatisierung von IPsec- und GRE-Tunneln.
- Stellen Sie sicher, dass Sie über Zugriffsberechtigungen zum Konfigurieren der Netzwerkdienste verfügen.
- Stellen Sie sicher, dass Ihr SD-WAN Orchestrator die Version 3.3.x oder höher aufweist.
- Die Endpoint-IPs und FQDN-Anmeldedaten des CCS-Gateways sollten im Cloud-Security-Service des Drittanbieters konfiguriert sein.
- Klicken Sie im Unternehmensportal auf .
- Klicken Sie auf das Gerätesymbol neben einem Profil oder klicken Sie auf den Link zum Profil und dann auf die Registerkarte Gerät (Device).
- Schalten Sie im Bereich Cloud-Sicherheit (Cloud Security) den Wählschalter von der Position Aus (Off) in die Position Ein (On).
- Konfigurieren Sie die folgenden Einstellungen:
Option Beschreibung Cloud-Security-Service (Cloud Security Service) Wählen Sie aus dem Dropdown-Menü einen Cloud-Security-Service für die Zuordnung zum Profil aus. Sie können im Dropdown-Menü auch auf Neuer Cloud-Security-Service (New Cloud Security Service) klicken, um einen neuen Diensttyp zu erstellen. Weitere Informationen zum Hinzufügen eines neuen CSS finden Sie unter Konfigurieren eines Cloud-Security-Service. Hinweis: Für Cloud-Security-Services mit konfigurierter Zscaler-Anmelde-URL wird die Schaltfläche Bei Zscaler anmelden (Login to Zscaler) im Bereich Cloud-Security-Service (Cloud Security Service) angezeigt. Wenn Sie auf Bei Zscaler anmelden (Login to Zscaler) klicken, werden Sie zum Zscaler-Admin-Portal der ausgewählten Zscaler-Cloud umgeleitet.Tunnelprotokoll (Tunneling Protocol) Diese Option ist nur für den Zscaler-Cloud-Security-Service-Anbieter verfügbar. Wenn Sie einen manuellen Zscaler-Dienstanbieter auswählen, wählen Sie entweder IPsec oder GRE als Tunnelprotokoll aus. Standardmäßig ist „IPsec“ ausgewählt. Hinweis: Wenn Sie einen automatisierten Zscaler-Dienstanbieter auswählen, ist das Feld Tunnelprotokoll (Tunneling Protocol) nicht konfigurierbar, zeigt aber den vom Dienstanbieter verwendeten Protokollnamen an.Hash Wählen Sie als Hash-Funktion „SHA 1“ oder „SHA 256“ in der Dropdown-Liste aus. Standardmäßig ist „SHA 1“ ausgewählt. Verschlüsselung (Encryption) Wählen Sie als Verschlüsselungsalgorithmus „AES 128“ oder „AES 256“ in der Dropdown-Liste aus. Standardmäßig ist „Keine (None)“ ausgewählt. Schlüsselaustauschprotokoll (Key Exchange Protocol) Wählen Sie als Schlüsselaustauschmethode „IKEv1“ oder „IKEv2“ aus. Standardmäßig ist „IKEv2“ ausgewählt.
Diese Option ist für den Symantec-Cloud-Security-Service nicht verfügbar.
Bei Zscaler anmelden Klicken Sie auf Bei Zscaler anmelden (Login to Zscaler), um sich beim Zscaler-Admin-Portal der ausgewählten Zscaler-Cloud anzumelden. - Klicken Sie auf Änderungen speichern (Save Changes).
Wenn Sie den Cloud-Security-Service aktivieren und die Einstellungen in einem Profil konfigurieren, wird die Einstellung automatisch auf die Edges angewendet, die mit dem Profil verknüpft sind. Falls erforderlich, können Sie die Konfiguration für einen bestimmten Edge außer Kraft setzen. Weitere Informationen finden Sie unter Konfigurieren von Cloud-Security-Services für Edges.
Für die Profile, die mit vor Version 3.3.1 aktivierten und konfigurierten Cloud-Security-Services erstellt wurden, kann der Datenverkehr wie folgt umgeleitet werden:
- Nur Webdatenverkehr an Cloud-Security-Service umleiten
- Gesamten internetgebundenen Datenverkehr an Cloud-Security-Service umleiten
- Datenverkehr basierend auf Business Policy-Einstellungen umleiten – Diese Option ist erst ab Version 3.3.1 verfügbar. Bei Auswahl dieser Option stehen die beiden anderen Optionen nicht länger zur Verfügung.
