Führen Sie die folgenden Schritte aus, um eine Nicht-SD-WAN-Ziel vom Typ Zscaler zu erstellen und zu konfigurieren:
- Navigieren Sie im Navigationsfenster in SASE Orchestrator zu Konfigurieren (Configure) > Netzwerkdienste (Network Services). Der Bildschirm Dienste (Services) wird angezeigt.
- Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) auf die Schaltfläche +Neu (+New).
Das Dialogfeld Neue Nicht-SD-WAN-Ziele über Gateway (New Non SD-WAN Destinations via Gateway) wird angezeigt.
- Geben Sie im Textfeld Name den Namen für die Nicht-SD-WAN-Ziel ein.
- Wählen Sie im Dropdown-Menü Typ (Type) den Eintrag Zscaler aus.
- Geben Sie die IP-Adresse für das primäre VPN-Gateway (und bei Bedarf für das sekundäre VPN-Gateway) an und klicken Sie auf Weiter (Next). Eine Nicht-SD-WAN-Ziel vom Typ Zscaler wird erstellt und ein Dialogfeld für Ihre Nicht-SD-WAN-Ziel wird angezeigt.
- Um die Tunneleinstellungen für das primäre VPN-Gateway der Nicht-SD-WAN-Ziel zu konfigurieren, klicken Sie auf die Schaltfläche Erweiterte Einstellungen (Advanced Settings).
- Im Bereich Primäres VPN-Gateway (Primary VPN Gateway) unter Tunneleinstellungen (Tunnel Settings) können Sie den vorinstallierten Schlüssel (Pre-Shared Key, PSK) konfigurieren. Hierbei handelt es sich um den Sicherheitsschlüssel für die Authentifizierung über den Tunnel. Der Orchestrator generiert standardmäßig einen PSK. Wenn Sie einen eigenen PSK oder ein eigenes Kennwort verwenden möchten, können Sie dies in das Textfeld eingeben.
Hinweis: Ab Version 4.5 wird die Verwendung des Sonderzeichens „<“ im Kennwort nicht mehr unterstützt. Wenn Benutzer das Sonderzeichen „<“ bereits in früheren Versionen in ihren Kennwörtern verwendet haben, muss es entfernt werden, um Änderungen an der Seite speichern zu können.
- Wenn Sie ein sekundäres VPN-Gateway für diese Site erstellen möchten, klicken Sie auf die Schaltfläche +Hinzufügen (+Add) neben Sekundäres VPN-Gateway (Secondary VPN Gateway). Geben Sie im Popup-Fenster die IP-Adresse des sekundären VPN-Gateways ein und klicken Sie auf Änderungen speichern (Save Changes). Das sekundäre VPN-Gateway wird sofort für diese Site erstellt und stellt einen VMware-VPN-Tunnel für dieses Gateway bereit.
- Aktivieren Sie das Kontrollkästchen Redundantes VMware Cloud-VPN (Redundant VMware Cloud VPN), um redundante Tunnel für jedes VPN-Gateway hinzuzufügen. Alle Änderungen, die am PSK des primären VPN-Gateways vorgenommen wurden, werden, falls konfiguriert, auch auf die redundanten VPN-Tunnel angewendet. Nachdem Sie die Tunneleinstellungen des primären VPN-Gateways geändert haben, speichern Sie die Änderungen und klicken dann auf Beispiel IKE/IPsec (Sample IKE/IPsec), um die aktualisierte Tunnelkonfiguration anzuzeigen.
- Klicken Sie im Bereich Speicherort (Location) auf den Link Bearbeiten (Edit), um den Speicherort für die konfigurierte Nicht-SD-WAN-Ziel zu aktualisieren. Die Angaben zum Längen- und Breitengrad werden verwendet, um den besten Edge oder das beste Gateway zu bestimmen, mit dem eine Verbindung im Netzwerk hergestellt werden kann.
- Mit der lokalen Authentifizierungs-ID werden das Format und die Identifizierung des lokalen Gateways festgelegt. Wählen Sie im Dropdown-MenüLokale Authentifizierungs-ID (Local Auth Id) unter den folgenden Typen und geben Sie einen ermittelten Wert ein:
- FQDN: Der vollqualifizierte Domänenname oder der Hostname. Beispiel: google.com.
- Benutzer-FQDN (User FQDN): Der vollqualifizierte Domänenname in Form einer E-Mail-Adresse. Beispiel: [email protected].
- IPv4: Die zur Kommunikation mit dem lokalen Gateway verwendete IPv4-Adresse.
- IPv6: Die zur Kommunikation mit dem lokalen Gateway verwendete IPv6-Adresse.
Hinweis:Für eine Nicht-SD-WAN-Ziel vom Typ Zscaler wird empfohlen, den FQDN oder den Benutzer-FQDN als lokale Authentifizierungs-ID zu verwenden.
- Wenn der Zscaler-Cloud-Security-Service als Diensttyp ausgewählt ist, können Sie zur Ermittlung und Überwachung der Integrität des Zscaler-Servers zusätzliche Einstellungen wie z. B. Zscaler-Cloud und Schicht 7(L7)-Integritätsprüfung konfigurieren.
- Aktivieren Sie das Kontrollkästchen Schicht 7(L7)-Integritätsprüfung (L7 Health Check), um die L7-Integritätsprüfung für den Anbieter des Zscaler-Cloud-Security-Service mit Standard-Prüfdetails zu aktivieren (HTTP-Prüfintervall = 5 Sekunden, Anzahl der Wiederholungen = 3, RTT-Schwellenwert = 3.000 Millisekunden). Die L7-Integritätsprüfung ist standardmäßig deaktiviert.
Hinweis: Die Konfiguration der Details für die Integritätsprüfung wird nicht unterstützt.
- Wählen Sie im Dropdown-Menü Zscaler-Cloud (Zscaler Cloud) einen Zscaler-Cloud-Dienst aus oder geben Sie den Namen des Zscaler-Cloud-Dienst in das Textfeld ein.
- Aktivieren Sie das Kontrollkästchen Schicht 7(L7)-Integritätsprüfung (L7 Health Check), um die L7-Integritätsprüfung für den Anbieter des Zscaler-Cloud-Security-Service mit Standard-Prüfdetails zu aktivieren (HTTP-Prüfintervall = 5 Sekunden, Anzahl der Wiederholungen = 3, RTT-Schwellenwert = 3.000 Millisekunden). Die L7-Integritätsprüfung ist standardmäßig deaktiviert.
- Um sich von hier aus beim Zscaler-Portal anzumelden, geben Sie die Anmelde-URL in das Textfeld Zscaler-Anmelde-URL (Zscaler Login URL) ein und klicken Sie dann auf Bei Zscaler anmelden (Login to Zscaler). Dadurch werden Sie zum Zscaler-Admin-Portal der ausgewählten Zscaler-Cloud umgeleitet. Die Schaltfläche Bei Zscaler anmelden (Login to Zscaler) wird aktiviert, wenn Sie die Zscaler-Anmelde-URL eingegeben haben.
Weitere Informationen finden Sie unter Konfigurieren eines Cloud-Security-Service.
- Aktivieren Sie das Kontrollkästchen Tunnel aktivieren (Enable Tunnel(s)), sobald Sie bereit sind, den Tunnel vom SD-WAN Gateway zu den Zscaler-VPN-Gateways zu initiieren.
- Klicken Sie auf Änderungen speichern (Save Changes).
Hinweis: Ein Zscaler-Tunnel wird mit dem IPsec-Verschlüsselungsalgorithmus NULL und dem Authentifizierungsalgorithmus SHA-256 unabhängig davon eingerichtet, ob die Exportbeschränkung für Kunden aktiviert oder deaktiviert ist.
Der konfigurierte Netzwerkdienst wird im Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) im Fenster Netzwerkdienste (Network Services) angezeigt. Sie können den Netzwerkdienst einem Profil zuordnen. Weitere Informationen finden Sie unter Verknüpfen einer Nicht-SD-WAN-Ziel mit einem Konfigurationsprofil.