Aktivieren Sie den Cloud-Security-Service (CSS), um einen sicheren Tunnel von einem Edge zu CSS-Sites einzurichten. Dadurch kann der gesicherte Datenverkehr an die Cloud-Sicherheits-Sites von Drittanbietern umgeleitet werden. Auf der Profilebene unterstützt die VMware SD-WAN- und Zscaler-Integration die Automatisierung von IPsec- und GRE-Tunneln.
- Stellen Sie sicher, dass Sie über Zugriffsberechtigungen zum Konfigurieren der Netzwerkdienste verfügen.
- Stellen Sie sicher, dass Ihr SASE Orchestrator die Version 3.3.x oder höher aufweist.
- Die Endpoint-IPs und FQDN-Anmeldedaten des CCS-Gateways sollten im Cloud-Security-Service des Drittanbieters konfiguriert sein.
- Klicken Sie im SD-WAN-Dienst des Unternehmensportals auf . Auf der Seite Profile (Profiles) werden die vorhandenen Profile angezeigt.
- Klicken Sie auf den Link zu einem Profil oder auf den Link Anzeigen (View) in der Spalte Gerät (Device) des Profils. Die Konfigurationsoptionen für das ausgewählte Profil werden auf der Registerkarte Gerät (Device) angezeigt.
- Klicken Sie in der Kategorie VPN-Dienste (VPN Services) auf Cloud-Sicherheitsdienst und aktivieren Sie Cloud-Security-Service (Cloud Security Service), indem Sie die Umschaltfläche auf Ein (On) festlegen.
- Konfigurieren Sie die folgenden Einstellungen:
Option Beschreibung Cloud-Security-Service (Cloud Security Service) Wählen Sie aus dem Dropdown-Menü einen Cloud-Security-Service für die Zuordnung zum Profil aus. Sie können im Dropdown-Menü auch auf Neuer Cloud-Security-Service (New Cloud Security Service) klicken, um einen neuen Diensttyp zu erstellen. Weitere Informationen zum Hinzufügen eines neuen CSS finden Sie unter Konfigurieren eines Cloud-Security-Service. Hinweis: Für Cloud-Security-Services mit konfigurierter Zscaler-Anmelde-URL wird die Schaltfläche Bei Zscaler anmelden (Login to Zscaler) im Bereich Cloud-Security-Service (Cloud Security Service) angezeigt. Wenn Sie auf Bei Zscaler anmelden (Login to Zscaler) klicken, werden Sie zum Zscaler-Admin-Portal der ausgewählten Zscaler-Cloud umgeleitet.Tunnelprotokoll (Tunneling Protocol) Diese Option ist nur für den Zscaler-Cloud-Security-Service-Anbieter verfügbar. Wenn Sie einen manuellen Zscaler-Dienstanbieter auswählen, wählen Sie entweder IPsec oder GRE als Tunnelprotokoll aus. Standardmäßig ist „IPsec“ ausgewählt. Hinweis: Wenn Sie einen automatisierten Zscaler-Dienstanbieter auswählen, ist das Feld Tunnelprotokoll (Tunneling Protocol) nicht konfigurierbar, zeigt aber den vom Dienstanbieter verwendeten Protokollnamen an.Hash Wählen Sie als Hash-Funktion „SHA 1“ oder „SHA 256“ in der Dropdown-Liste aus. Standardmäßig ist „SHA 1“ ausgewählt. Verschlüsselung (Encryption) Wählen Sie als Verschlüsselungsalgorithmus „AES 128“ oder „AES 256“ in der Dropdown-Liste aus. Standardmäßig ist „Keine (None)“ ausgewählt. Schlüsselaustauschprotokoll (Key Exchange Protocol) Wählen Sie als Schlüsselaustauschmethode „IKEv1“ oder „IKEv2“ aus. Standardmäßig ist „IKEv2“ ausgewählt.
Diese Option ist für den Symantec-Cloud-Security-Service nicht verfügbar.
Bei Zscaler anmelden (Login to Zscaler) Klicken Sie auf Bei Zscaler anmelden (Login to Zscaler), um sich beim Zscaler-Admin-Portal der ausgewählten Zscaler-Cloud anzumelden. - Klicken Sie auf Änderungen speichern (Save Changes).
Wenn Sie den Cloud-Security-Service aktivieren und die Einstellungen in einem Profil konfigurieren, wird die Einstellung automatisch auf die Edges angewendet, die mit dem Profil verknüpft sind. Falls erforderlich, können Sie die Konfiguration für einen bestimmten Edge überschreiben. Weitere Informationen finden Sie unter Konfigurieren von Cloud-Security-Services für Edges.
Für die Profile, die mit vor Version 3.3.1 aktivierten und konfigurierten Cloud-Security-Services erstellt wurden, kann der Datenverkehr wie folgt umgeleitet werden:
- Nur Webdatenverkehr an Cloud-Security-Service umleiten
- Gesamten internetgebundenen Datenverkehr an Cloud-Security-Service umleiten
- Datenverkehr basierend auf Business Policy-Einstellungen umleiten – Diese Option ist erst ab Version 3.3.1 verfügbar. Bei Auswahl dieser Option stehen die beiden anderen Optionen nicht länger zur Verfügung.