Cuando se asigna un perfil a una instancia de Edge, la instancia de Edge hereda automáticamente el servicio de seguridad de nube (CSS) y los atributos configurados en el perfil. Puede omitir la configuración para seleccionar un proveedor de seguridad de nube diferente o modificar los atributos de cada instancia de Edge.

Para anular la configuración de CSS de una instancia específica de Edge, realice los siguientes pasos:

  1. En el portal de empresas, haga clic en Configurar (Configure) > Instancias de Edge (Edges).
  2. Seleccione la instancia de Edge en la que desee anular la configuración de CSS y haga clic en el icono de la columna Dispositivo (Device). Se mostrará la página Configuración del dispositivo (Device Settings) para la instancia de Edge seleccionada.
  3. En el área Servicio de seguridad de nube (Cloud Security Service), se muestran los parámetros de CSS del perfil asociado. Seleccione Habilitar anulación de Edge (Enable Edge Override) para seleccionar un CSS diferente o para modificar los atributos heredados del perfil asociado con la instancia de Edge. Para obtener más información sobre los atributos, consulte Configurar servicios de seguridad de nube para perfiles.

    Establecer configuración de IPsec

    Nota: Para los servicios de seguridad en la nube con la URL de inicio de sesión de Zscaler configurada, el botón Iniciar sesión en Zscaler (Login to Zscaler) aparece en el área Servicio de seguridad de nube (Cloud Security Service). Al hacer clic en Iniciar sesión en Zscaler (Login to Zscaler), el botón le redirigirá al portal de administración de Zscaler de la nube Zscaler seleccionada.
  4. Si decide configurar un túnel de IPsec en el nivel de Edge, además de los atributos heredados, debe configurar un nombre de dominio completo (FQDN) y una clave precompartida (PSK) para la sesión de IPsec.
    Nota: Para CSS de tipo Zscaler y genérico, debe crear credenciales de VPN. Para CSS de tipo Symantec, no son necesarias las credenciales de VPN.
  5. Si decide configurar un túnel GRE en el nivel de Edge, haga clic en Agregar túnel (Add Tunnel).
  6. En la ventana Agregar túnel (Add Tunnel) que aparece, configure los siguientes parámetros de túnel GRE y haga clic en Aceptar (OK).
    Opción Descripción
    Vínculos WAN (WAN Links) Seleccione la interfaz de WAN que el túnel GRE utilizará como origen.
    Dirección IP pública de origen de túnel (Tunnel Source Public IP) Elija la dirección IP que el túnel utilizará como dirección IP pública. Puede elegir la dirección IP de vínculo WAN o la IP de WAN personalizada. Si elige IP de WAN personalizada, introduzca la dirección IP que se utilizará como IP pública.
    Punto de presencia principal (Primary Point-of-Presence) Introduzca la dirección IP pública principal del centro de datos de Zscaler.
    Punto de presencia secundario (Secondary Point-of-Presence) Introduzca la dirección IP pública secundaria del centro de datos de Zscaler.
    IP/máscara de enrutador principal (Primary Router IP/Mask) Introduzca la dirección IP principal del enrutador.
    IP/máscara de enrutador secundario (Secondary Router IP/Mask) Introduzca la dirección IP secundaria del enrutador.
    IP/máscara de ZEN principal (Primary ZEN IP/Mask) Introduzca la dirección IP principal de la instancia de Edge del servicio público de Zscaler interno.
    IP/máscara de ZEN secundaria (Secondary ZEN IP/Mask) Introduzca la dirección IP secundaria de la instancia de Edge del servicio público de Zscaler interno.
    Nota: Zscaler proporciona la IP/máscara de enrutador y la IP/máscara de ZEN.
    Nota: Solo se permite un CSS con GRE por instancia de Edge. Una instancia de Edge no puede tener más de un segmento con la automatización GRE de Zscaler habilitada.
    Nota: Limitaciones de escala:
    • GRE-WAN: Edge admite un máximo de 4 vínculos WAN públicos para un destino que no es de SD-WAN (NSD) y, en cada vínculo, puede tener hasta 2 túneles (principal/secundario) por NSD. Por lo tanto, para cada NSD, puede tener un máximo de 8 túneles y 8 conexiones BGP de una instancia de Edge.
    • GRE-LAN: Edge admite 1 vínculo a una puerta de enlace de tránsito (TGW) y puede tener hasta 2 túneles (principal/secundario) por TGW. Por lo tanto, para cada TGW, puede tener un máximo de 2 túneles y 4 conexiones BGP de una instancia de Edge (2 sesiones de BGP por túnel).
  7. Haga clic en Guardar cambios (Save Changes) en la ventana Instancias de Edge (Edges) para guardar la configuración modificada.

Configuración de proveedor de CSS de Zscaler automatizado para instancias de Edge

En el nivel de Edge, para un proveedor de CSS de Zscaler automatizado seleccionado, puede anular la configuración heredada del perfil, crear sububicaciones, configurar las opciones de puerta de enlace y los controles de ancho de banda para las sububicaciones.

Antes de crear una sububicación, asegúrese de que la instancia de Edge seleccionada esté activada y de que las credenciales de VPN estén configuradas para la instancia de Edge. Para crear sububicaciones en una instancia de Edge seleccionada, realice los siguientes pasos:

  1. En el portal de empresas, haga clic en Configurar (Configure) > Instancias de Edge (Edges).
  2. Seleccione una instancia de Edge en la que desea anular la configuración de CSS y crear una sububicación.
  3. Haga clic en el icono de la columna Dispositivo (Device). Se mostrará la página Configuración del dispositivo (Device Settings) para la instancia de Edge seleccionada.
  4. En la sección Servicio de seguridad de nube (Cloud Security Service) seleccione Habilitar anulación de Edge (Enable Edge Override).
  5. En el menú desplegable Servicio de seguridad de nube (Cloud Security Service), para el proveedor de CSS automatizado seleccionado, modifique los atributos (hash, cifrado y protocolo de intercambio de claves) heredados del perfil, si es necesario. La automatización creará un túnel en el segmento para cada vínculo WAN público de Edge con una dirección IPv4 válida. En una implementación de varios vínculos WAN, solo se utilizará uno de los vínculos WAN para enviar paquetes de datos de usuario. Edge elige el vínculo WAN con la mejor puntuación de calidad de servicio (QoS), con ancho de banda, vibración, pérdida y latencia como criterios. La ubicación se crea automáticamente después de que se establece el túnel. Para obtener más información sobre los atributos, consulte Configurar servicios de seguridad de nube para perfiles.
    Nota: No se permite cambiar a otro proveedor de CSS desde un proveedor de servicios de Zscaler automatizado en un segmento. Para la instancia de Edge seleccionada en un segmento, debe deshabilitar explícitamente el servicio de seguridad de nube y, a continuación, volver a habilitar CSS si desea cambiar a un nuevo proveedor de CSS desde un proveedor de servicios de Zscaler automatizado.

  6. Para crear una sububicación, haga clic en el icono de la columna Acción (Action).
    Nota: No se le permitirá crear una sububicación si no se configuraron las credenciales de VPN para la instancia de Edge. Antes de configurar las sububicaciones, asegúrese de comprender qué es una sububicación y sus limitaciones. Consulte https://help.zscaler.com/zia/about-sub-locations.
    1. En el cuadro de texto Nombre de sububicación (Sub-Location Name), introduzca un nombre único para la sububicación. El nombre de la sububicación debe ser único en todos los segmentos de la instancia de Edge. El nombre puede contener caracteres alfanuméricos con una longitud de palabra máxima de 32 caracteres.
    2. En el menú desplegable Redes LAN (LAN Networks), seleccione una VLAN configurada para la instancia de Edge. La subred de la red LAN seleccionada se rellenará automáticamente.
      Nota: Para una instancia de Edge seleccionada, las sububicaciones no deben tener direcciones IP de subred superpuestas en todos los segmentos.
    3. Para configurar las opciones de puerta de enlace y los controles de ancho de banda para la sububicación, haga clic en Editar (Edit). Aparece la ventana Opciones de puerta de enlace y control de ancho de banda de Zscaler (Zscaler Gateway Options and Bandwidth Control).
    4. Configure las opciones de puerta de enlace y controles de ancho de banda para la sububicación, según sea necesario, y haga clic en Guardar cambios (Save Changes). Se crea una sububicación en SD-WAN Orchestrator.
      Nota: Actualmente, no se admiten las siguientes opciones de puerta de enlace para la configuración de sububicación:
      • Usar XFF de la solicitud del cliente (Use XFF from Client Request)
      • Habilitar precaución (Enable Caution)
      • Habilitar AUP (Enable AUP)
      Nota: Después de crear al menos una sububicación en Orchestrator, Zscaler crea automáticamente "otra" (other) sububicación en el lado de Zscaler. No se admite la funcionalidad de configurar las opciones de puerta de enlace de la sububicación "otra" (other) desde Orchestrator.
      Opción Descripción
      Opciones de puerta de enlace
      Inspección de SSL (SSL Inspection) Habilite esta opción para aplicar la directiva de inspección de SSL al tráfico HTTPS en la sububicación e inspeccione las transacciones HTTPS para detectar fugas de datos, contenido malintencionado y virus.
      Autenticación (Authentication) Habilite esta opción para requerir que los usuarios de la sububicación se autentiquen en el servicio.
      Sustituto de IP (Surrogate IP) Si habilitó la autenticación, seleccione esta opción si desea asignar usuarios a direcciones IP del dispositivo.
      Tiempo de inactividad para disociación (Idle Time for Dissociation) Si habilitó el sustituto de IP, especifique durante cuanto el tiempo, después de una transacción completada, el servicio conserva la asignación de dirección IP a usuario. Puede especificar el tiempo de inactividad para la disociación en minutos (predeterminado), horas o días.
      • Si el usuario selecciona la unidad como minutos, el rango permitido es de 1 a 43200.
      • Si el usuario selecciona la unidad como horas, el rango permitido es de 1 a 720.
      • Si el usuario selecciona la unidad como días, el rango permitido es de 1 a 30.
      Sustituir IP para navegadores conocidos (Surrogate IP for Known Browsers) Habilite esta opción para utilizar la asignación de dirección IP a usuario existente (adquirida a partir de la IP de sustitución) para autenticar a los usuarios que envían tráfico desde navegadores conocidos.
      Tiempo de actualización para volver a validar la sustitución (Refresh Time for re-validation of Surrogacy) Si habilitó Sustituir IP para navegadores conocidos (Surrogate IP for Known Browsers), especifique el tiempo que el servicio de Zscaler puede utilizar la asignación de dirección IP a usuario para autenticar a los usuarios que envían tráfico desde navegadores conocidos. Una vez transcurrido el período de tiempo definido, el servicio se actualizará y volverá a validar la asignación de dirección IP a usuario existente para que pueda seguir usando la asignación para autenticar a los usuarios en los navegadores. Puede especificar el tiempo de actualización para volver a validar la sustitución en minutos (valor predeterminado), horas o días.
      • Si el usuario selecciona la unidad como minutos, el rango permitido es de 1 a 43200.
      • Si el usuario selecciona la unidad como horas, el rango permitido es de 1 a 720.
      • Si el usuario selecciona la unidad como días, el rango permitido es de 1 a 30.
      Control de ancho de banda (Bandwidth Control)
      Control de ancho de banda (Bandwidth Control) Habilite esta opción para aplicar los controles de ancho de banda para la sububicación.
      Descargar (Download) Si habilitó el control del ancho de banda, especifique los límites máximos de ancho de banda para la descarga en Mbps. El rango permitido es de 0,1 a 99999.
      Cargar (Upload) Si habilitó el control del ancho de banda, especifique los límites máximos de ancho de banda para la carga en Mbps. El rango permitido es de 0,1 a 99999.
      Nota: Las opciones de puerta de enlace para las sububicaciones son las mismas que se pueden configurar en el portal de Zscaler. Para obtener más información sobre las opciones de puerta de enlace de Zscaler y los parámetros de control de ancho de banda, consulte https://help.zscaler.com/zia/configuring-locations
  7. Después de crear una sububicación, puede actualizar la configuración de la sububicación desde la misma página y hacer clic en Guardar cambios (Save Changes). La sububicación en el lado de Zscaler se actualizará automáticamente.
  8. Para eliminar una sububicación, haga clic en el icono de la columna Acción (Action).
  9. Haga clic en Guardar cambios (Save Changes).